《2020年人脸识别行业研究报告》指出,人脸暴露度较高,相比对其他生物特征数据更容易实现被动采集。这也同时意味着人脸信息的数据更容易被窃取,不仅可能侵犯个人隐私,还有可能带来财产损失。大规模的数据库泄露还会对一个族群或国家带来安全风险。因此,应加快构建人脸识别数据安全风险防范法治体系。
人脸识别技术是基于人面部特征数据进行身份识别的一项生物特征识别技术。近年来,随着大数据、人工智能、云计算、5G等技术迅猛发展,人脸识别技术获得了广泛应用空间。从人脸识别技术应用场景看,其在金融、医疗、安检、支付、文娱等诸多领域得到普及,这为数字经济社会发展和人们日常生活带来了新机遇。与此同时,也潜藏着较多风险并带来一些挑战。通过人脸识别技术产生的人脸识别数据,将会面临诸多风险。《2020年人脸识别行业研究报告》指出,人脸暴露度较高,相比其他生物特征数据更容易实现被动采集。这也同时意味着人脸信息的数据更容易被窃取,不仅可能侵犯个人隐私,还有可能带来财产损失。大规模的数据库泄露还会对一个族群或国家带来安全风险。
无论是私主体处理人脸识别数据产生隐私信息侵权的民事法律风险,还是特定主体不法处理人脸识别数据导致隐私信息侵害的刑事法律风险,都是这些风险在法律层面的具体表现。这些风险范围广、类型多、影响大,有必要全面审视人脸识别数据安全风险,并亟待构建防范这些风险的法治体系。
风险具体类型
在法律层面,人脸识别数据主要存在民事和刑事两种法律风险。两种法律风险是以人脸识别数据安全风险的法律后果为划分依据。在此意义上,这种后果导向的划分依据是把握人脸识别数据安全风险的一个重要维度。更为重要的是,从人脸识别数据安全风险的过程导向考察风险类型,才能准确透视与把握人脸识别数据安全风险的发生机理,进而有效构建其防范的法治体系。
以人脸识别数据安全刑事法律风险为例,在数据全生命周期下,人脸识别数据可能在收集、存储、分析、传输、使用等阶段面临各种刑事安全风险。具体包括侵害数据隐私利益、财产利益、知识产权利益、金融秩序、商业竞争秩序、公共安全等刑事安全风险。
此外,以人脸识别数据刑事安全风险等级为基础,可划分为四个等级,即最高风险、较高风险、较低风险和最低风险。结合信息技术使用及科学证据法则予以划分,具体划分标准包括发生概率、辐射范围、严重程度、持续时长等。依据人脸识别数据安全刑事法律风险的具体类型及其程度,能够划分出如上刑事法律风险的不同程度。对于这些刑事法律风险,需要探索并施行富有针对性的防范举措,为实现这一目标,亟待追寻人脸识别数据安全风险的防范理论。
多元共治理论
以什么防范理论应对人脸识别数据安全风险,影响构建人脸识别数据安全风险防范的法治体系?笔者认为,面对人脸识别数据安全风险规模大、类型多、影响广等现实因素,不宜片面强调某一主体或者某一机制的防范作用,而应始终坚持在党的领导下,倡导基于权力机关、企业、社会组织和公众等主体的多元共治格局。人脸识别数据安全风险防范是一项系统性工程,这些主体既应各司其职,又应密切配合,及早预防与遏制人脸识别数据安全风险的发生与扩散。
多元共治理论强调从不同治理角度出发,统合多元主体和多元方法,配以高效稳定的制度设计,形成合力化解人脸识别数据安全风险,提倡并发展我国关于人脸识别数据安全风险防范的多元共治理论。区分公私部门对人脸识别数据安全风险防范的侧重点,细化公私主体对人脸识别数据的处理规则,强化人脸识别数据控制者的责任归属、每一方主体作为身份提供者或者服务提供者、控制者或者处理者所应遵守的义务内容。
加快体系建设
加快构建人脸识别数据安全风险防范法治体系,第一,应当坚持建设中国特色社会主义法治体系,努力形成关于人脸识别数据安全风险防范的法律规范体系;第二,应当坚持全面推进科学立法,完善中国特色社会主义法律体系,加强有关生物安全、生物数据安全、人脸识别数据安全等新兴领域立法。
一方面,明确人脸识别数据安全风险防范的规范体系。就防范人脸识别数据安全风险而言,我国目前已形成法律、法规(行政法规、地方性法规)、部门规章、司法解释、规范性文件、政策文件、技术标准(强制性标准、推荐性标准)“七位一体”的规范体系。具体包括:(1)宪法、民法典、刑法、个人信息保护法、数据安全法、网络安全法等法律;(2)《关键信息基础设施安全保护条例》等法规;(3)儿童个人信息网络保护规定、网络信息内容生态治理规定等部门规章;(4)《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等司法解释;(5)《常见类型移动互联网应用程序必要个人信息范围规定》等规范性文件;(6)《App违法违规收集使用个人信息行为认定方法》等政策文件;(7)《信息安全技术个人信息安全规范》《信息安全技术人脸识别数据安全要求》《信息安全技术生物特征识别信息保护基本要求》等技术标准。在人脸识别数据安全风险防范的规范体系中,一要处理好法律、法规、部门规章、司法解释之间的规范衔接,发挥这些法规范的硬性约束作用;二要关注规范性文件、政策文件、技术标准(国家标准为主)的柔性提示价值,重视人脸识别数据安全风险防范的场景效应。
另一方面,探索人脸识别数据安全风险防范的第三方评估制度。目前,第三方评估制度已在政府重大行政决策、司法公信力、认罪认罚从宽制度试点等领域得以展开,并且已取得了实质性突破。在此背景下,笔者认为,应进一步发挥第三方评估的制度绩效,强化其在人脸识别数据安全风险防范中的制度作用。第一,通过开展估值、评分、量化等具体活动,对交易支付、医疗卫生、社区出入等各个场景中人脸识别数据安全风险防范成效进行评估,逐步形成人脸识别数据安全风险防范评估的制度化。第二,通过第三方评估制度,倒逼多元主体在人脸识别数据安全风险防范中尽心尽责,科学规划、全力推行各类风险防范举措。例如,第三方评估制度中涉及互联网企业数据安全合规指南时,将有助于调整甚至校正互联网企业关于落实人脸识别数据安全的合规建设机制,强化其在不同场景下人脸识别数据安全风险预警与防范工作。