当前,人脸识别已经应用到地铁安检、动车检票、移动支付等多个日常生活领域,人脸生物信息利用日益普及的同时也存在滥用风险。例如,网络中大量存在的针对电商平台、特定设备的“过脸”技术解答与技术教程,不断地钻技术漏洞滥用人脸信息;人脸识别企业也发生过相关数据泄露事件,超过250万人的核心数据被获取,容易滋生数据黑灰产交易,进一步扩大安全风险。
人脸识别作为新兴生物信息技术,尚无专门立法规定,也尚未建立严格的准入制度与监管制度。面对面部信息的收集主体多、安全保障弱的现状,监管有待于进一步探索如何建立分级应对精细化管理机制。
人脸识别等类似大规模隐私技术切身涉及公民基本权利,需要引入“正当程序”。在公共政策的出台过程中,要广泛进行话题辩论,鼓励公众讨论,甚至在争议较大的核心问题上听取公众意见,充分保障民众在公共话题上的参与权与知情权。
美国的人脸识别监管法案
美国在联邦层面没有统一的法律规制人脸识别数据的收集和使用,而是各州针对生物特征信息单独立法,其中美国伊利诺伊州与加利福尼亚州颁布的《生物信息隐私法案》最为典型。
伊利诺伊州于2008年颁布了《生物信息隐私法案》,是美国国内第一部旨在规范生物标识符以及信息的收集、使用、处理、存储、保存和销毁的法律。加利福尼亚州于2017年颁布了《加州生物信息隐私法案》。综合这两部法案,其对规制人脸识别体现如下特点:一是明确人脸识别数据属于生物信息。《加州生物信息隐私法案》首先以概括式+列举式的立法技术对“生物信息”内涵予以细化。其规定任何能够捕获的直接或间接源自视网膜或虹膜扫描、指纹、声纹、手或脸扫描的信息都属于生物信息,但不包括文身或身体描述(例如身高,体重,头发的颜色或眼睛的颜色)。二是确立知情同意原则。法案要求初次收集面部数据需要符合“知情同意原则”,告知生物信息收集的情形、收集目的、信息留存时间,并获得书面同意。同时在未经当事人同意或者非法律规定的例外情形时,不得将面部识别数据出售于第三方。三是施加企业法定期限删除义务。企业需在书面政策中设立生物识别数据保留时间表。当面部收集数据的目的已达或距信息主体与企业最后一次联络已满三年时,应该销毁相关数据。四是确立企业审计制度,需要对技术使用相关情况提供报告。
在州法制定之外,美国个别城市也尝试采取禁令方式禁止政府使用人脸识别技术。旧金山市于2019年5月通过了《停止秘密监视条例》,成为美国第一个禁止政府使用人脸识别系统的城市。除了由联邦政府控制的机场与港口外,禁止全市53个政府部门包括警察局在内随意使用人脸识别技术。如果正在使用该技术的,必须向市议会暨郡监督理事会汇报过去的使用情况;而个别有特殊需要、将来准备使用该技术的部门,包括购买该技术所需器材、研究经费等,均必须向议会暨理事会提交详细报告,说明使用目的、场所、范围,并召开公众听证会。此外,条例也规定了在急需监视技术应对迫在眉睫的死亡危险或严重人身损害时可以使用的若干情形。例如使用时间要控制在事态发生后的7天内或事件结束后(以较早时间为准);原则上只保留与紧急事件相关的面部数据,销毁无关数据,不得泄露给第三方;在紧急情况发生后的45天内,向监事会提交书面报告等内容。
萨默维尔市与奥克兰市也于今年6、7月分别通过了《人脸识别全面禁止条例》与修正后的《监视及社区安全法案》,对政府使用人脸识别技术进行了规制。
架构合理前沿技术治理体系的国际趋势
面对面部识别可能侵犯公民隐私的现状,欧盟先是2019年6月份成立了人工智能高级别专家组(HLEG),考虑面部识别需要何种方式的监管。专家组此后发布报告,提议欧洲应该禁止AI进行大规模监视和社会信用评分。报告写道,政府应承诺只部署和采购值得信赖的人工智能系统,其设计宗旨是尊重法律和基本权利,符合伦理原则,保障技术对全社会的向善品质。
在专家组不断评估的同时,立法也不断跟进。今年8月22日,欧盟委员会拟通过新立法以全面改革面部识别法规,限制公司和公共机构不加选择地使用面部识别技术,以保护公民免受公开监视,甚至为人工智能面部识别设定国际通行的清晰、可预测的标准。
技术进步的大势不可逆转,但是如何趋利避害,在用好新技术的同时防范内险的方法却值得深思。
首先,应完善人脸识别相关立法,尤其对于公共场合大规模应用需要有章可循。对于公共场合大规模应用,应明确人脸识别信息收集的范围需与提供服务直接相关的必要性,信息使用应将对隐私的不利影响控制在最小范围和限度内,必要场景考虑设立“黑名单”制度。
其次,以伦理准则为起点,建立一套人工智能治理体系,确保科技向善。企业应发挥伦理准则和行业自律等软法性质的非强制性规则,积极设立人工智能伦理委员会,对人工智能相关争议问题进行伦理审查,确保科技向善。
再次,政府公共部门应严格遵守正当程序,广泛听取民意。公共机构若要大规模采用人脸识别技术应当遵守严格的程序限制,履行严格的审批。