近日,上海进行了“亮剑浦江2024”消费领域个人信息权益专项执法行动的总结,明确提出公共场所“不刷脸为原则、刷脸为例外”。这则消息是继今年酒店业普遍取消“刷脸才能入住酒店”的规定后,对人脸识别技术滥用的另一明确抑制举措。
在较长一段时间内,人脸识别技术在我国被持续泛化滥用。由全国信息安全标准化技术委员会等机构发布的《人脸识别应用公众调研报告》显示,在两万名受访者中,有94.7%的人表示使用过人脸识别技术,而近30.86%的人反映已出现过隐私泄露和权利受损的问题。实践中,刷脸支付、刷脸开门、刷脸进站等早已随处可见。
这种对个人信息的精准化和大规模收集,虽然带来管理的高效,却埋下数据泄露甚至个人被数据操纵的风险。其原因就在于,人脸识别技术具有侵入性强的特点,可在当事人不知情的情况下反复收集,而且此种信息又因为具有单独的可识别性和明确的可辨性,一旦被泄露就会给当事人的基本权利乃至人格尊严都造成巨大伤害。
所以,在适用新兴技术时,技术可能引发的风险大小和强度以及是否可逆,必须是考虑其是否可被允许适用的基准。如果某项技术应用可能带来无法估量且难以逆转的风险,在道德与伦理层面也受到一致批判,就应为法律所完全禁止;如果某项技术应用虽然带来较大效益但风险难以预测,其中蕴含的政治性和社会性风险甚至会对个人权利构成严重威胁,就只应例外适用而原则禁止。欧盟对人脸识别技术采取原则上禁止的立场就是基于这一考虑。
我国的《民法典》和《个人信息保护法》对人脸信息收集和适用的规定,迄今都较为粗疏。《个人信息保护法》仅将人脸信息归入“敏感个人信息”,并借由“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”的规定,对其予以规范。但无论是“特定目的”“充分必要”还是“严格保护”,这些要件因为过于模糊,所以对抑制人脸识别技术的滥用并无太大作用。而司法实务中,也已大量出现因人脸信息泄露所导致的“被贷款”“被诈骗”等案件。总之,无限度的刷脸已经导致很多个体“脸面尽失”。
也是在上述背景下,国家网信办在去年8月出台《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(下称《征求意见稿》)。该《征求意见稿》对人脸识别技术应用的门槛,设备安装到图像采集,数据的处理、存储、提供、删除以及技术应用的准度、精度到置信度阈值、技术适用者或服务提供者的责任都做了有针对性的规定。
尤其值得指出的是,该《征求意见稿》首先明确,为防止人脸识别的滥用,在公共浴室、卫生间、酒店客房、更衣室等涉及个人隐私的场所,不得安装图像采集和个人身份识别设备。而在宾馆、银行、车站、机场、体育场馆、博物馆、图书馆等经营场所,除非法律、行政法规有明确规定,否则不得以办理义务、提升服务质量等为由强制个人接受人脸识别验证身份。
该《征求意见稿》还明确,即使是酒店宾馆等公共场所有法律、行政法规授权可以采集个人的人脸信息,也必须坚守“特定目的”和“充分必要”的要求。换言之,人脸识别终端的安装和使用对于酒店和宾馆来说并非强制,如果可采用其他非人脸识别技术就可达到核实客人身份的目的,就不能再采用人脸识别。相应地,个人完全可基于自主权和控制力,对人脸识别说“不”。
从这个角度出发,上海提出的公共场所“不刷脸为原则、刷脸为例外”的原则,相较《征求意见稿》更加明确了地方政府对于人脸识别技术适用的基本立场。上海还进一步细化了公共场所安装人脸识别设备要遵循的三大原则:“为公共安全所必须”“有法律依据”“做到单独告知”;还提出了在收集端总体减量,存储端确保安全的总体目标,以及“最大可能退”“最小范围用”“最小范围存”的基本手段。
上海的举措无疑为未来人脸识别技术应用管理规范,乃至更大范围内的生物识别信息应用管理规范的制定都提供了样本和参照。技术的发展无疑会带来社会治理和政府监管的极大赋能,但同样伴有巨大的,甚至是不可控的风险。由此,法律也必须尽力平衡可能的收益和风险,避免新兴技术反而成为压制个人自由甚至吞噬个人主体性的工具。