赵精武
北京航空航天大学法学院 副教授
一、问题的提出
人脸识别技术应用的监管问题持续受到学界关注,其核心在于该项技术在具体的应用场景中如何平衡安全和效率两种不同的法律价值。一方面,人脸识别技术的广泛应用缩短了身份验证的繁冗环节,可方便高效率地完成批量身份验证;另一方面,人脸识别信息作为《个人信息保护法》所规定的敏感个人信息,理应采取更严格的保护措施,但实践中仍出现违法收集人脸识别信息的现象,甚至将人脸识别信息与其他信息相结合,用于办公场所监控员工是否认真工作、线上消费者对于特定商品的面部表情变化等场景,严重侵害了自然人的人格尊严。然而,规范人脸识别应用行为的问题并不是简简单单通过强化执法就可以实现;网络空间治理的基本思路并不是限制技术应用,而是促进技术创新安全应用与数字经济发展。客观而言,人脸识别技术在公共安全保障、身份核验安全等领域确实具有增效作用,且相较于人工审核而言,甚至还能够避免内部员工消极怠工、违规核验等风险。因此,为了进一步平衡安全和效率,国家互联网信息办公室在2023年8月发布了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《征求意见稿》),对该技术应用作出更为详细的体系化规定。不过,《征求意见稿》在明确技术应用的合法性边界时,仍然存在部分争议:《征求意见稿》第4条提及将“只有特定目的和充分必要性”以及“严格保护措施”作为采用人脸识别技术处理人脸信息的法定条件,其中的“特定目的”和“充分必要性”究竟如何理解?是否存在过度限缩人脸识别技术应用范围的风险?此外,《征求意见稿》还将公共场所使用人脸识别技术作为一类特殊情形予以规范,但是并没有对“公共场所”的概念和范围作出相关解释。事实上,这些争议在学理层面可以归结为同一个问题,即按照何种标准判断人脸识别技术应用具有合法性和正当性?所谓的“特定的目的”和“充分的必要性”本质上仍属于价值判断的范畴,故而需要进一步回答两个关键问题:一是按照何种法益平衡范式判断是否具有采用人脸识别技术的必要性,二是如何在实践中解释“特定的目的”与“充分的必要性”的具体判断标准。
二、人脸识别技术应用监管的学说现状与研究疏漏
(一)人脸识别技术应用监管的学说现状与研究不足
学界目前有关人脸识别技术应用的讨论已经相当充分,从人脸识别信息的保护到技术滥用对人格尊严的侵害均有提及,论证模式大抵可以归结为根据具体的技术风险类型确定相应的治理模式以及义务履行标准。现阶段,人脸识别技术应用监管的学说主要包括个人信息保护论、多元协同治理论两类观点。个人信息保护论主要是从个人信息保护的视角解释人脸识别技术的规制模式,人脸识别信息作为《个人信息保护法》的敏感个人信息,理应遵循更为严格的个人信息保护规则。人脸识别技术滥用构成侵害自然人的个人信息自决权,因为在大多数情况下自然人并不知晓自己的人脸识别信息何时以及如何被收集。因此,相关的治理主张也大多表现为通过“分级分类保护”“知情同意原则”等机制限制个人信息处理者收集人脸识别信息的行为。此外,该类学说中还存在同意规则改良论,即认为同意规则在治理人脸识别技术滥用领域存在失灵问题,尤其在公共场所领域存在大量未能获得公众同意的情形,主张按照使用目的等要素细化自然人单独同意的方式和内容。
多元协同治理理论则认为现有的立法体系并不足以全方位预防和控制技术滥用风险,而应通过“动态治理”“协同治理”“场景化治理”“多元主体共治”等治理架构从法律、技术、市场、伦理等方面规范人脸识别技术应用。该类学说的支持者通常以欧美生物识别信息保护和人脸识别技术应用限制的监管模式为例,如“基于使用目的和风险预防限制或禁用该技术”和“基于使用主体区分公私不同机构的使用规则”。此外,部分支持者还认为仅明确人脸识别技术提供者、使用者的法定义务并不足以解决技术滥用风险,而应当从企业社会责任、行业自律以及公众个人信息保护意识等角度提升实际的治理效果,推进“多元主体协同共治”。
人脸识别技术的不当使用可能导致三类风险:第一,技术安全风险。任何信息技术均不可能达到绝对安全可靠的技术水平,人脸识别技术在身份核验层面的高效性和准确性也不意味着能够达到核验的绝对准确性。第二,个人信息和个人隐私泄漏风险。这类风险常表现为个人信息处理者在未告知或未获得同意的情形下,擅自采集人脸识别信息,并且,由于技术使用者事前未能确认相关设备和信息系统的安全性,在面对外部网络攻击或者内部员工私自携带人脸识别数据时未能采取及时有效措施,导致所采集的人脸识别信息外泄。第三,科技伦理风险。随着数据分析处理技术的强化,人脸识别技术识别的对象不单单是面部信息本身,还包括面部的动态信息,即根据面部的表情变化判断个人的情绪变化,部分企业甚至将该技术用于办公场所,监督员工是否认真工作。这些应用模式除了侵害个人隐私之外,显然也极易引发人类成为机器监管对象等主客体倒置的科技伦理问题。至于相应的治理策略,尽管部分学者强调通过算法治理规则解决潜在的科技伦理风险,但问题在于,算法安全问题并非人脸识别技术滥用的特殊问题。人脸识别技术的核心之一是算法模型,相应地,人脸识别技术应用的安全问题在某种程度上也可以归结为算法安全,因为不可靠的算法模型同样可能引发数据泄漏、算法不公等问题。算法安全导致数据泄漏、算法不公等问题普遍存在于所有使用算法的信息系统,故而与其说其是人脸识别技术应用的监管重心之一,倒不如说其是算法安全治理需要解决的现实问题。此外,学者们还提出了“技术优化路径”“风险探析路径”“法律规制路径”“应用场景分类治理路径”等主张,但本质上还是在“具体问题具体分析”层面提出方向性治理建议,而非具体的解决方案。
(二)人脸识别技术应用监管的研究疏漏:合法性边界
时至今日,我国个人信息保护、数据安全、算法治理等领域相关的法律法规相继出台,这些规定均能适用于人脸识别技术应用领域,解决个人信息保护、算法公正、技术安全风险等问题,国内相关研究讨论已经相当充分。如此看来,似乎并没有再行讨论人脸识别技术监管的必要。然而,现阶段的人脸识别技术监管重心早已不是个人信息保护等问题,而是进入到该技术应用实践的合法性监管领域。
《征求意见稿》和《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“司法解释”)在内容上似乎存在重叠。但从立法目的和立法背景来看,司法解释发布于《个人信息保护法》之前,主要是为了填补人脸识别技术应用监管的规则空白以及推进《民法典》等法律的适用。而作为人脸识别信息保护规则的《征求意见稿》,则是在《个人信息保护法》的基础上对人脸识别技术应用具体要求的细化,更确切地说,征求意见稿的目的是为实践中如何判断人脸识别技术应用的合法性边界提供依据。这种立法趋势的变化在学理层面则表现为研究议题从风险预防、风险治理到具体应用监管的转变。风险预防、风险治理理论是为了解决应当以何种方式监管人脸识别技术应用,不仅包括立法,还包括科技伦理审查、公民意识提升、行业自律等机制。而具体应用监管则是在保障技术安全的基础上,兼顾市场的技术应用需求。“一刀切式”地要求企业优先采用具有相同技术效果的身份验证技术可能会实质性限缩人脸识别技术的可用范围,但若允许企业自行选择身份验证技术,则难以排除技术滥用的风险。因此,在学理层面,将问题总结为“人脸识别技术应用的必要性如何确定”并不准确,应当总结为“人脸识别技术应用方式能否确保利益权衡”。因为狭义的技术应用必要性认定往往局限于数据处理目的与相关服务之间的关联程度,且其结论也会导向人脸识别信息收集行为是否必要,而非人脸识别技术应用是否必要。相对地,“利益权衡”问题虽然属于抽象层面的价值判断问题,但是“利益权衡”的一般范式和具体标准直接关系到人脸识别技术应用的合法性认定。在人脸识别技术尚未出现时,公共场所的公共安全保障程度并没有发生显著变化,如果严格按照必要性要求,出于公共安全目的的技术应用似乎也不具备“必要性”,也即必要程度并未超过个人权益,那么,立法层面的“公共安全”之必要性则需要通过利益权衡方式予以解释,因为公共场所的安全采用普通的视频监控即可达到公共安全保障的目的,涉及不特定多数人,虽然普通的视频监控同样能够解决安全问题,但是从安全效果和安全成本来看,配置人脸识别功能,能够在安全事件发生之初最大程度控制损害程度。尤其是在发生犯罪活动后,公安机关通过人脸识别技术能够尽早识别犯罪嫌疑人,既能避免犯罪活动的再次发生,也与个体性的安全法益相匹配。总结而言,现阶段的人脸识别技术监管更需要在学理层面提供相应的利益权衡范式,以便在实践活动中具体判断技术应用的必要性和合法性。
三、人脸识别技术应用的利益权衡理论
(一)人脸识别技术应用的利益平衡理论
人脸识别技术应用的利益平衡问题早有学者关注,但大多还是以“安全与效率兼顾”“成本效益分析”等价值评价为主,鲜有涉及体系性利益权衡理论的分析,且对应的结论多是强调应用方式应当符合公开、透明、民主参与等基本原则。在具体分析利益平衡问题上,现有研究主要进行有限类别的法律价值比较:一是公共安全保障与个人信息保护的利益比较;二是人脸识别技术应用的成本效益分析;三是企业与用户的利益冲突与平衡。(1)公共安全保障与个人信息保护的利益平衡讨论常见于公共场所人脸识别技术应用的必要性分析,强调应当兼顾公共安全利益与个人信息利益。一方面,基于风险社会理论,人脸识别技术应用是为了最大程度地预防新型社会风险,具有显著的公共利益导向;另一方面,公共场所应用人脸识别技术是以公权力依法行使为前提,公权力不能以公共安全为由侵蚀个人信息权益。有学者就此提出了人脸识别信息的共享性和有序性特征,前者是指为了维护公共安全应当允许应用人脸识别技术,后者则是指人脸识别技术在公共场所大规模应用应当受到限制,这也是公共安全与人脸识别信息保护之间利益平衡的一致性要素。这种利益平衡分析并未脱离公共利益与个体利益的讨论范畴,亦是信息安全与信息使用平衡问题的另一种表述形式,其引申而出的结论也必然无法脱离多元协同治理论的范畴。这种分析模式固然可以解释人脸识别技术应用的治理框架应当如何设计,但还是侧重风险预防与风险治理,而不是在执法或司法实践中如何判断人脸识别技术应用的合法性。(2)收益与风险的比较是为了在法律层面确定数据利用与数据安全何者优先的问题。如果“收益>风险”,则数据利用优先;如果“收益≤风险”,则数据安全优先。这里的“收益”主要是指经济价值,即人脸识别技术本身的市场经济价值早已得到肯定,无论是在辅助企业进行内部管理或服务优化,还是支撑社会治安,均展现出广阔的市场应用前景。同时,该项技术在身份核验领域的效率是人工核验、证件核验等传统方式无法相提并论的。但由于技术应用方式的不同,其潜在的风险程度和风险类型也不同,且任何技术均存在相应的技术风险,故而收益与风险的比较成为判断技术应用合法性的关键环节。也有学者提出“效益平衡原则”,即在人脸识别技术应用之前,除了需要评估技术安全风险之外,还需要进行成本和效益的核算,量化比较技术应用可能造成的负面损失与通过技术应用能够获得的经济利润。这类利益平衡观点虽是主张量化评估“成本—收益”的核算,但结论还是侧重应用结果正面效益与负面效益的匹配性,将量化评估作为企业业务合规的内容之一。(3)至于常见的用户与企业利益平衡比较与第一种利益平衡模式较为相似,只不过比较的对象从“公私主体”转变为私法层面的“用户与企业”。在该利益平衡模式下,与个人信息权益冲突的是企业的商业利益。虽然用户在刷脸时,享受了信息服务的便捷性和高效性,但是人脸识别信息一旦被泄露或被滥用,大概率会导致相关的个人信息泄露。因为常见的个人信息泄露并非一次性泄露所有的信息,而是某个网络节点的部分个人信息泄露,进而导致其他网络节点的相关个人信息泄露,最常见的形式便是“撞库”。在价值平衡层面,企业的数据使用需求与个人信息保护需求发生冲突,常见的利益平衡理论便是“兼顾安全与使用”,安全是使用的前提,使用与安全并不存在根本性的冲突对立。人脸识别技术应用的合法性表现在,在保障人脸识别信息依法收集和处理的前提下,可最大范围地实现企业业务模式的优化。
(二)人脸识别技术应用利益平衡的理论不足及其成因
前述三类利益平衡论均存在不同程度的理论局限,主要表现为利益类型与利益标准的不匹配。其一,在公共安全保障与个人信息保护的利益平衡中,两种利益未能置于同一时空下予以比较,既没有提及处于室内的公共场所与室外的公共场所之间的差异性,也没有比较其他公共安全保障措施的实施效果。其二,在收益与风险的利益平衡中,经济学意义上的成本效益分析模式与法律层面的利益权衡分析并不完全相同。前者以效率优化为目的,后者则是以判断利益架构是否正当为目的。并且,抽象价值层面的收益与风险均存在未来发生的不确定性特征,将两个不确定的利益概念进行比较,其平衡方案显然难以确定。其三,在用户与企业的利益平衡分析中,忽视了人脸识别技术应用的社会效应,仅仅注重技术使用者与技术服务接受者之间的权益平衡,这种利益平衡实际上是具体法律关系的权利义务分析,并没有涉及技术应用行为的合法性标准。
这些利益平衡分析多采用了“二元利益比较”模式,主张多元协同治理。这种“二元”对“多元”的论证过程忽视了对人脸识别技术应用法律关系的考察,忽视了利益平衡的起点应当是以整体利益结构为基础,然后分析利益冲突的关键节点并判断何种利益应当优先得到保护。换言之,此时的“利益平衡”表述为“利益权衡”更为恰当,因为不可能存在一种方案满足所有的利益诉求的情形,所以需要通过权衡利弊的方式实现整体利益结构的最大化。“利益平衡”是一种最终的利益分配方案,其目的是为了使得各方主体的利益诉求都能得到一定程度的满足;而“利益权衡”则是一种动态的利益分配调整过程,其目的是为了使得整体利益状态符合社会治理目标。最常被提及的一种利益是“公共利益”,但该项利益自身固有的模糊性、动态性等特征,使得大部分利益平衡方案始终停留于基本原则或法律价值层面的粗略比较,与之相对应的个体利益(如个人信息权益等)则具有具体性、特殊性。对于“公共利益”内涵的诠释,难以达成共通性的解释结论,但这并不等于仅能在抽象层面探讨公共利益与个体利益孰者优先的问题。在具体应用场景中,公共利益的平衡问题应当转化为基本原则的适用问题,而非例外情形予以讨论。
利益权衡的基本逻辑不应当是“为了A利益而牺牲B利益”,而是“在保障A利益的前提下怎么协调B利益”。诸如公序良俗、诚实信用等基本原则具有典型的“公共利益”属性,但是在判断特定技术应用的合法性时,这些基本原则应为所有技术应用普遍遵循,而不是作为例外情形免责的依据。例如,出于公共安全目的采用人脸识别技术时,其内在的利益权衡过程可以总结为:首先,人脸识别技术应用方式是否遵守了公序良俗等基本原则;其次,如果遵守了,那么按照该原则,其中的核心利益是个人利益还是企业利益;最后,因为出于公共安全目的采集人脸识别信息本质上还是为了个人安全,无论是个人信息权益,还是个人安全权益,均属于个人利益,因而利益权衡的方式应当在保障人脸识别信息安全风险不变的情况下,为了确保公共场所设置的人脸识别系统和装置不损害个人信息安全状态,进而衍生出“显著标识提醒义务”“敏感个人信息严格保护义务”等义务内容,用以冲抵可能增加的技术滥用风险。
(三)利益权衡理论的引入与再审视
利益权衡与行政法领域的比例原则较为相似,后者主要是指行政机关在实施具体行政行为时应确保行政目标实现和行政相对人权益保护;比例原则不仅适用于行政法领域,且可适用于民法、刑法领域。当然,比例原则也存在自身的局限性,如在复杂的实践场景中,作为行政相对人的利益群体不同、可供选择的行政手段不同等往往可能导致该原则在具体适用过程中利益权衡标准不统一。并且,在必要性审查环节,“最小损害”的判断模式容易陷入纯粹的数量比较,进而引发滥诉问题。尽管存在这些局限性,但比例原则的确体现了利益权衡的预设前提——整体性利益框架。
需要注意的是,利益、法益与权益三个词常被混同替换使用,但严格来说,三者之间仍然具有一定的差异性。相较于其余两个概念,“利益”一词强调的是一种人与人之间就某种特定需求所形成的利害关系,在具体的法律关系中,利益则表现为相应的权益。而学界关于“法益”概念的理解存在分歧,刑法学界的主流观点则将法益概念与权益概念混同,其根源是受到日本学者对法益概念的推崇。对于利益权衡所涉及的“利益”,有学者将之划分为当事人的具体利益、群体利益、制度利益和社会公共利益,分别对应“双方当事人之间的各种利益”“案件判决结果对类似群体的利益”“法律制度中的利益”和“涉及经济秩序和社会公德的利益”。这种利益架构的优点在于将制度利益、社会公共利益设置为参照物,在制度利益无法反映社会公共利益时,相应的制度利益就应当被突破,形成新型的利益权衡方案。以“人脸识别第一案”为例,假设杭州动物园采用的人脸识别技术不会造成个人信息泄露,且不采用人脸识别技术可能导致公共安全无法保障,那么动物园使用刷脸设备就是合法的、正当的。此时选择“保护动物园”能够实现利益的最大化,选择“不保护动物园”则会导致诸多其他利益的失衡。然而,在司法实践中,动物园既无法确保人脸识别技术的安全性足以控制个人信息泄漏风险,也无法确保不采用人脸识别技术就不能保障相同水平的公共安全保障目标,法院也不出意外地没有认定动物园采用刷脸设备的合法性。由于“社会公共利益”的界定模式过于庞杂,且具体利益、群体利益、制度利益以及社会公共利益的实际主体具有重叠性,存在“主体标准与价值位序标准混同”的问题,因此,有必要重新对人脸识别技术应用领域的利益层次架构进行调整,从利益主体、利益保护目标明确权衡的统一标准。
四、人脸识别技术应用的合法性边界认定:以利益权衡理论为基础
(一)三步判断
在人脸识别技术应用的利益权衡中,公私利益二元平衡模式忽视了人脸识别技术行业的产业利益与人脸识别技术使用者的利益。在具体的法律关系中,相应的法律主体也涉及研发者、使用者、用户与社会公众等多方主体。故而在利益权衡过程中,不能仅仅以公共利益与个体利益划分方式进行区隔,否则只会陷入一般性的法律价值位阶比较的理论困局,且无法关注到微观层面的利益差别。
第一步,利益权衡的前提条件预设。不同的应用场景往往意味着不同的技术应用需求,其所对应的合法性判断标准也会有所不同。通常而言,人脸识别技术的应用目的包括“安全保障”和“经营性活动”两种,前者是指通过该项技术实现高效的身份核验和可疑行为监控,后者则是指通过该项技术实现业务模式优化、内部管理效率提升等目的。在“安全保障”层面,首先需要判断的要素是人脸识别技术能够达到什么程度的安全保障水平、潜在的技术安全风险以及是否存在多个可替代的技术方案。这是因为一旦人脸识别技术存在显著的安全风险或诸多可以替代的技术方案,那么就没有利益权衡的需要。仅仅在社会公共利益层面,采用一种技术方案提升安全状态,然后又减损其他领域的更多的安全利益,只会使社会公共利益的整体性减损。在“经营性活动”层面,首先需要判断的要素则是技术应用可能涉及自然人的何种利益。不同于前一种情形,“经营性活动”的技术应用通常属于人脸识别技术的后续利用,如工作状态监控、身体状态健康监控等情形,涉及除个人信息之外的利益权衡问题。
第二步,基于预设条件的不同主体利益权衡。将利益分为个体利益、产业利益、使用者利益以及社会公共利益,并与先前的预设条件结合,具体判断承认人脸识别技术应用合法性后对这些利益的影响。如假设在公园进出口采用人脸识别技术的目的是“公共安全保障”,且公园管理方的管理能力与管理资源有限,人工审核进出可能会增加游客进出时间,同时人脸识别技术的产品提供方能够确保刷脸设备符合技术安全标准,此时,如果认可人脸识别技术具备合法性,虽然进出公园的游客个人利益可能受到一定限度的减损,但是使用者(公园管理方)的利益、社会公共利益(如公共安全等)均能够得到保护。相应地,人工智能应用产业的相关商业利益也能得到法律认可,因为这类技术应用模式并不会造成利益失衡的不利结果。进出公园的游客群体虽然需要提交人脸识别信息,但是可以享受更为便捷的进出服务,且园内社会治安秩序也能够得到保障。
第三步,利益权衡的判断不仅是数量层面的权衡,还包括内容层面的权衡。前述第一步判断是为了限缩有必要进行利益权衡的场景范围,第二步则是为了在数量层面判断人脸识别技术应用是否可能造成“多数人”的利益减损。为了避免第二步可能导致的非理性利益数量平衡偏差,此时就需要将第二步的利益平衡结果与包含了社会治理目的的制度利益进行比较。在《征求意见稿》中,制度利益表现为第1条所提及的立法目的,即“规范人脸识别技术应用,保护个人信息权益及其他人身和财产权益,维护社会秩序和公共安全”。在具体的技术应用场景中,这种制度利益可以解释为“技术应用不应当违背禁止性规定,保护个体利益的同时,也能够实现社会公共利益的保护”。结合第二步的利益影响结果,虽然游客的个体利益受到部分减损,但这种减损仅仅在发生实质性的安全风险事件时才会存在。因此,可以认定该类人脸识别技术应用的合法性与制度利益具有一致性。
(二)利益权衡理论的“特定的目的”和“充分的必要性”之解释
《征求意见稿》第4条提及的“特定的目的”和“充分的必要性”之要件可以视为利益权衡的直接法律依据。(1)从文义解释来说,所谓的“特定的目的”通常对应的是目的明确性要求,这里的“特定”不仅是指个人信息处理者应当明确告知自然人收集人脸识别信息的目的,还强调告知的目的内容应当明确具体。在利益权衡过程中,这也是第一步所需要明确的前提预设条件,因为模糊不清的处理目的难以明确人脸识别技术应用对个体利益、产业利益、使用者利益、社会公共利益的影响。如果仅仅以公共安全、身份核验等笼统性表述作为处理目的,不仅不能完成一般性应用模式的合法性判断,而且会构成利益权衡第三步所涉及的个人利益减损问题。因为此时的处理目的并不足以支撑个人对其人脸识别信息处理方式作出充分自主的决定,减损的是个人的知情权,因此难以证成相关技术应用具有合法性。(2)所谓的“充分的必要性”通常对应的是最小必要原则。在特定场景下,人脸识别技术的应用属于“没有可替代的其他技术方案”,即“不得不采用”之情形。一方面,“充分的必要性”与“特定的目的”相关联。为了实现特定的目的,只有采用人脸识别技术,即“目的和手段的一致性”符合“充分的必要性”之要求。另一方面,“充分的必要性”也是补充利益权衡的另一个环节。合法性与必要性属于两个不同的判断环节。在完成利益权衡之后,如果不存在“充分的必要性”,亦即在利益权衡的第三步中,对个人利益的影响能够控制到更低程度时,则需要对可替代的技术方案再进行一次利益权衡。
假设刷卡进出能够发挥与人脸识别技术相同的安全保障效果,在进行相同的应用目的确认的第一步权衡后,第二步的利益平衡则转变为采用刷卡技术方案对个体利益、产业利益、使用者利益以及社会公共利益的影响。此时,刷卡进出技术方案具有合法性,由于此时所需要的信息从原本的敏感个人信息转变为一般个人信息,个体利益、使用者利益以及社会公共利益都能够得到保护。因为进出公园所需要的一般个人信息是进出公园所必需,并不等于个体利益无法得到保护。而使用者(公园管理方)可以采取成本更低廉的技术方案实现相同的技术效果,其实际利益反而能得到更大保护。刷卡进出同样能够保证园区的公共安全和进出秩序,社会公共利益的保护亦能得到落实。在第三步中,制度利益则转变为《个人信息保护法》第1条提及的“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。前述的利益权衡以更低的泄漏风险、更少的敏感个人信息保护了自然人的个人信息权益,且刷卡所需录入的个人信息也符合“促进个人信息合理利用”这一制度利益内容,故而刷卡技术应用具有合法性,而且无直接涉及减损个体权益的风险,也满足了必要性要求,故公园管理方更应当采用刷卡进出的方式。
(三)利益权衡理论的制度化方式:个人信息保护影响评估
学理层面的利益权衡方式表现为《个人信息保护法》与征求意见稿中所提及的个人信息保护影响评估机制。具体评估事项包括“处理人脸信息是否具有特定的目的和充分的必要性”“采取的保护措施是否合法有效并与风险程度相适应”“可能对个人权益带来的损害和影响,以及降低不利影响的措施是否有效”等内容。所谓的个人信息保护影响评估本质上是对采用新兴信息技术可能产生的不利影响进行事前评估和衡量,以此督促个人信息处理者选择更为稳妥的技术应用方案。诚然,个人信息保护评估机制的创设目的并不是为了实现利益权衡,而是以事前的自评估或他评估方式实现自我管理、自我约束的治理效果,并不涉及企业对自己所处的整体性利益层次结构进行权衡,且其制度功能多被理解为“检验个人信息处理是否合规、降低个人信息安全风险、减轻或免除个人信息处理责任”。但是,利益权衡范式的实际功能在于提供一种技术应用合法性的评估路径,避免诸如“公共安全”“公共利益”“公共场所”等较为笼统的概念成为技术应用者、监管机构等判断和预测人脸识别技术应用法律效果的障碍,过度限制或放宽人脸识别技术的应用范围。
现行立法并未对个人信息保护影响的评估流程、标准以及结果作出明确规定,但《信息安全技术个人信息安全影响评估指南(GB/T
39335-2020)》则将评估实施流程明确为评估必要性分析、评估准备工作、数据映射分析、风险源识别、个人权益影响分析、安全风险综合分析、评估报告、风险处置和持续改进、制定报告发布策略等环节。其中,个人权益影响分析则涉及个人信息敏感程度分析、个人信息处理活动特点分析、个人信息处理活动问题分析以及影响程度四个部分。在人脸识别技术应用领域,评估环节则表现为:首先,个体利益是自然人对其敏感个人信息的特殊权益;其次,人脸识别信息处理活动如果以“经营性活动”为使用目的,那么该类个人信息处理活动可能涉及差别性待遇等问题;再次,判断采用的人脸识别技术是否存在显著的安全漏洞风险以及实际的风险级别;最后,结合前述结果判断流程,综合分析可能对个人权益产生的负面影响及其影响程度。与利益权衡范式相比,个人信息保护影响评估将“利益”转变为“风险”进行衡量和评估,合法性的技术应用除了需要满足“风险可控”“风险可接受”等标准之外,还需要满足“增加的个人权益负面影响风险”小于“降低的其他安全风险”。
现行法律规范未明确个人信息保护影响评估所采用的评估标准,有学者主张相关评估标准可通过“安全事件可能性分析”“个人权益影响分析”和“综合分析”三个层面予以明确,或采用《信息安全技术个人信息安全影响评估指南(GB/T
39335-2020)》所列举的严重、高、中、低四个等级,或者企业自行设置的风险级别进行细化。从利益权衡范式来看,与利益相对应的“风险”评估过程并不是一个精准量化过程,且《征求意见稿》第15条所提及的评估事项多是以“程度”“所必需”等为限定词,个人信息保护影响评估并没有强制设置具体的评估标准,而是由评估主体自行选择参照物进行风险程度的比对,由此确定风险级别。个人信息保护影响评估的目的在于个人信息处理者在技术应用前评估技术手段与技术目标之间的必要性以及合法性,其与数据安全风险评估不同的是,该评估机制更侧重对个体利益影响的评估,而不是单纯的安全风险量化评估。相应地,其评估逻辑可以理解为权衡该技术应用对个体利益的影响程度以及这种影响程度是否与合法状态下的利益权衡架构有区别,倘若存在显著区别,则可以认定其技术应用将对个人权益产生较大负面影响。
五、利益权衡理论对人脸识别应用场景的限缩功能:以公共场所为例
(一)从一般到具体:应用场景范围的限缩逻辑
既有学说普遍认为,非基于公共安全或个人财产安全目的的人脸识别技术应用需要以自然人的明确同意为前提,因为信息技术的便捷性不能作为自然人有义务接受该类信息技术服务的正当性基础,考虑到存在特殊人群的“数字鸿沟”,刷脸认证往往也不是最佳的技术优化方案。因此,在人脸识别技术应用合法性讨论中,最核心的问题是“公共场所”内安装人脸识别设备和信息系统是否合法,且这种安装行为是否以公共安全保障为前提。在此基础上进而延伸出两个子问题:其一,“公共场所”的范围如何划定。现行立法常将“公共场所”与“经营场所”并列,并且大多也采取列举的方式将车站、码头、机场、医院、商场、公园、影剧院、展览会、运动场、银行、学校、游泳馆、车站、儿童游乐场、学生集体宿舍、港口等作为“公共场所”。这些公共场所彼此之间的开放程度、活动属性存在较大差异,显然无法一并作为人脸识别技术应用的合法例外情形。其二,从“公共安全”这一目的出发可否推导出技术应用存在法律意义上的“必要性”。诚然,对于部分自然人而言,接受公共场所的人像采集并不会让自己发生“实际的经济损失”,且能够有助于公共场所的安全保障,这种“必要性”属于自然人能够接受的范围。但是这种“必要性”程度可能导致公权力扩张的偏差结论,即在任何公共场所都可以免责性地安装人脸识别设备和信息系统。由此可见,即便是基于公共安全目的进行人脸识别,也不完全属于《征求意见稿》第10条规定的情形,故而有必要首先基于人脸识别技术应用场景的法律性质对公共安全进行层次性限缩。在前述的三步利益权衡范式中,第一步的“前提条件预设”恰是为了区分不同目的、不同场景中人脸识别技术应用的正当性基础,这是因为目的、场景的不同会导致相应的整体性利益架构不同,也意味着会形成不同的利益权衡方案。
其一,应用场景的公共性与私人性影响人脸识别技术应用的合法性,私人性场所通常具有封闭性、人员有限性、活动内容私人社交性等特征,此时是否接受人脸图像采集和识别完全属于意思自治的范畴。需要澄清的是,鉴于《个人信息保护法》规定了有关个人信息处理的“知情同意规则”,学者们习惯性地将“同意”理解为公法领域个人信息处理者的强制性义务,人脸识别信息收集也应当以“同意”为前提。但实际上,即便没有《个人信息保护法》的相关规定,从民法视角来看,个人信息处理者与自然人之间的信息服务合同关系也决定了人脸识别信息的处理活动需要以合意为基础,亦即自然人同意。《个人信息保护法》之所以对相关内容作出细致规定,除了为确保条款内容的体系性完整之外,还是为了通过公法的介入化解个人信息处理者与自然人之间的实际地位不平等问题,避免自然人因信息不对称等问题做出错误的意思表示。这种私法性特征所表现的整体性利益架构仅以自然人和个人信息处理者双方的个体利益为限,其应用场景大多是封闭式的私人空间,并不会涉及产业利益等,故而没有必要进行利益权衡范式中的第二步利益权衡,仅以合同双方之间的权利义务平衡即可。换言之,有必要进行利益权衡的应用场景主要还应以“公共场所”为限。
其二,即便在公共场所设置人脸识别设备和信息系统也不当然具有正当性基础。举例来说,商场出于挖掘潜在客户、识别老客户等经营性目的而采用人脸识别技术,即便其兼具保障商场公共安全的目的,也无法使其合法化。因为不仅其技术应用方式与技术应用目的不匹配,而且其技术应用效果与权益损害风险也不匹配。在实践中,绝大部分商场所采用的人脸识别设备与信息系统往往是以外包服务的形式交由第三方技术公司处理,人脸识别数据的安全性难以得到保障。此外,倘若商场仅以公共安全的目的采用人脸识别技术,虽然在利益权衡的第二步中能够得出“个体利益存在减损风险,使用者利益、产业利益和社会公共利益得到保护”的理想结论,但这种结论无法当然满足利益权衡第三步所提及的“制度利益”。因为此时的“制度利益”内容之一是保障个人信息安全,一旦商场所采用的人脸识别技术不具有可靠性或超目的处理人脸识别信息,商场顾客的个人信息显然面临极大的安全风险,也就不符合理想化的利益权衡效果。因此,还有必要在应用目的层面对“公共场所”范围进行限缩。执法机构采用人脸识别技术虽然也是以公共安全为目的,但由于其公共职能属性,相应的整体性利益框架只有个体利益和社会公共利益两类,这两类利益的权衡重心则转至第三步,即执法机构采用人脸识别技术是否具有实现国家安全、公共安全以及公民安全的必要性,采用比例原则进行判断即可。
(二)从具体到特定:公共场所概念范围的限缩依据
在对人脸识别技术应用的“公共场所”进行范围限缩之前,有必要对“公共场所”的概念予以明确解释。征求意见稿以及人脸识别技术应用相关的法律法规,均提及了公共场所应用的特殊情形,但是对于什么是“公共场所”以及其包含的具体类型并没有明确规定,而且公共场所与经营场所等概念并列出现,导致公共场所的实践认定标准模糊。审视现行立法体系,除了《民法典》第1198条提及经营场所、公共场所的类型,有关“公共场所”的概念界定或范围列举常见于刑法、行政法等公法领域,且多是以具体场所类型的方式予以列举。而在司法实践中,法官一般认为公共场所具有“公共秩序”和“人口密集”两种属性。如在“张某诉上海地铁某运营有限公司、淮安市某保安服务公司健康权纠纷案”中,法院认为“公共场所合理安全保障规则”具有公共秩序属性;在“王某妨害传染病防治案”中,法院则将市场、饭店、药店、政务大厅等均认定为“公共场所”。学界主流观点认为公共场所应当满足“公众可以自由出入”和“供社会公众从事社会生活”两个要件,既与公共利益、社会公德相关,也允许公权力介入。有学者将民事立法过程中的“公共场所”争议总结为两类。一是原《侵权责任法》第37条的“公共场所”实际是指“向社会公众提供服务的经营场所”,并非真正意义上的公共场所,故而宾馆、商场、银行、饭店等不属于民法意义上“公共场所”;二是公共场所应当是指公共服务性场所,包括机场、码头、公园、餐厅等。不过,也有学者认为公共场所的概念界定难以统一,但是从特征方面却可以总结为具有开放性、公共性、多元性和不确定性;对于存在争议的特定场所,则可以根据开放程度予以解释,如公园、广场属于完全开放的公共场所,学校属于半开放公共场所,宾馆、民宿属于封闭公共场所。公共场所还可以分为“完全性的公共空间”和“半公共空间”。除此之外,从私密性的角度反面解释公共场所概念也较为常见。因为公共场所对应的概念是私密场所,故而公共场所也被部分学者解释为“公众可以任意逗留、集会、游览或利用的场所”,具有开放、共享、自由的特性。由此可见,对于公共场所的概念界定,实际上聚焦于开放性与公众活动性。为此也有学者将“公众场所”界定的概念学说总结为“开放说”与“用途说”,前者强调公共场所允许社会公众随意进出;后者则强调公共场所应当用于开展公众活动。
客观而言,公共场所的核心特征在于其公共性,既包括对不特定人开放,也包括不特定人能够在该场所从事不特定的活动。这里的不特定人并不仅仅局限于主体身份的不特定性,还指向主体人数的不特定性,因为在实践层面,公共场所应允许社会公众进出和从事相关活动。虽然并不以特定人数为量化标准,但能够进出的人群应当符合一般认知的“多数人”。并且,公共场所也不以是否有偿或有条件进出作为核心认定标准,诸如收费进出的游泳馆、仅限师生进出的学校校园等场所虽然进出存在条件,但不能否认其具有一定程度的社会开放性。在认定公共场所的过程中,最常遇到的问题便是特定场所仅限多数的特定个人或特定人群进出,尤其是绝大多数经营场所均具有这个特点。需要强调的是,公共场所的认定标准通常是多元化的,其核心要素应当是与私密性相对应,故而需要判断场所内的人员之间是否存在社会交往互动。倘若彼此之间均属于亲朋好友,特定场所的社会交往活动也是以私密信息为主,那么显然就不属于公共场所范畴。
(三)从理论到实践:公共场所范围的限缩
第一,具体用途层面的范围限缩。在公共场所设置人脸识别技术需要根据具体用途和设置场地予以进一步明确:在进出口安装刷脸门禁设备和在公共场所内安装人脸识别设备其必要性并不等同。一方面,在进出口安装刷脸门禁设备时,其目的是高效率完成身份核验,避免可疑人员进出公共场所造成混乱,此时的人脸识别技术应用显然需要限于人口流动量较大的公共场所及其特定区域,这与实践中宾馆、酒店等公共场所要求强制实名身份登记具有相似性。另一方面,在特定场所内部安装人脸识别设备时,由于涉及对不特定个人的人脸识别信息采集、跟踪和处理,对个人权益的影响更为显著,故而需要明确设置的区域、方式以及技术是否会造成个体利益的实际减损,亦即相应的利益权衡结果是否与制度利益相符合。
第二,具体环境层面的范围限缩。《个人信息保护法》所强调的制度利益是“非必要不收集人脸识别信息”和“最大程度保护人脸识别信息”,故而在公共场所设置人脸识别设备同样需要根据设置场所和位置评估其合法性。结合利益权衡所涉及的个体利益、产业利益、使用者利益以及社会公共利益来看,公共场所设置人脸识别设备应当满足三个条件:一是公共场所存在预防公共安全风险的必要。若无公共安全目的,虽然使用者利益和产业利益能得到保护,但个体利益和社会公共利益却未能保护,所以大范围采集人脸识别信息和监控社会公众显然侵害了个人隐私、个人信息权益以及社会公众的人格尊严。二是公共场所具有人口密集的特点。因为在人流量较少的区域公共安全事件发生概率较低,且即使发生公共安全事件,当事人也能够在第一时间尽可能躲避危险,所以并没有进行人脸识别的必要性。三是“公共场所”不涉及个人活动的特定区域。虽然酒店、宾馆等属于公共场所,但其内的客房显然属于私密的空间,因此不应设置人脸识别设备。
第三,公共场所活动层面的范围限缩。游泳馆和车站均属于公共场所,但是在这两个场所采用人脸识别技术的合法性判断却有所不同:在游泳馆内,基于公共安全目的安装人脸识别设备和系统,仅在前提预设条件层面就无法满足合法性要求。因为游泳馆所发生的公共安全事件大多与溺水相关,设置安全员等传统措施完全能够作为人脸识别技术的替代方案,传统的视频监控录像等技术方案能够发挥相同作用,专门采集人脸识别信息没有必要。不过,如果选择设置刷脸进出门禁时,其前提应当是除了刷脸进出技术方案之外,不存在相似效果的替代方案。如车站的人流量显著高于游泳馆,无论是车站进出口还是车站内部设置人脸识别设备和系统,都能更好地保障公共安全。
第四,场所安全性层面的范围限缩。尽管《征求意见稿》第14条禁止物业公司将人脸识别技术作为唯一的身份验证方式,但并没有否定物业公司可以采用刷脸进出的模式,只不过从利益权衡的角度来看,刷脸进出需要满足“技术安全可靠”“应用目的仅以小区安全为限”“小区所存在的安全风险确实需要通过刷脸技术予以有效控制”等目的。这里需要强调的是,倘若小区近期存在盗窃案频发且采用的身份验证方式难以有效排除可疑人员时,在进出口采用人脸识别技术则符合相应的合法性要求。
六、结语
我国人脸识别技术应用治理已经进入到全新阶段,细化和判断人脸识别技术应用的合法性成为执法和司法的关键。一概否定经营性场所采用人脸识别技术提升业务能力的合法性,或者一概承认公共场所采用人脸识别技术保障公共安全的合法性,均不可取。不同于大数据、人工智能、区块链等信息技术,人脸识别技术作为应用导向的新兴技术,决定了其治理逻辑应当以具体场景作为合法性判断的前提条件。根据人脸识别技术应用的安全性、必要性和可靠性进行利益权衡时,不能单单进行法律价值位阶的分析,而更应当关注技术应用对整个利益的影响,并以制度利益作为参照物,判断人脸识别技术应用的合法性。
(本文原载《法律科学》2024年第1期)
《数字法治》专题由华东政法大学数字法治研究院特约供稿,专题统筹:秦前松