本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:刘为军,编辑:朱弢,原文标题:《重在前端治理:人脸数据保护立法展望》,题图来自:视觉中国


近年来,中国将以人脸识别技术为代表的高新技术应用于社会治理,取得了显著成效,但技术进步及由此带来人的行为变化,也引发与既有法律政策体系的一系列碰撞。


人脸信息是以电子形式记录的,与已识别或者可识别的自然人有关的信息,属于《个人信息保护法》规定的个人信息。《个人信息保护法》关于个人信息处理原则、规则、权利与义务的规定同样适用于人脸信息的保护。


不仅如此,人脸数据是人脸信息载体,特殊主体的人脸数据或者达到一定规模的人脸数据的篡改、破坏、泄露或者非法获取、非法利用,完全有可能对国家安全、公共利益或者个人、组织合法权益造成危害,有可能被解释为重要数据,得到《数据安全法》的特殊保护。


总体而言,中国近期立法及政策导向,以及学者们对人脸识别规制的研究,新兴技术规制问题引发的实践与理论的双重关注,已经就多元规制思路达成共识,并且在法律规制、行政监管、行业自律等层面形成了较为全面的治理体系。


但是,无论是《个人信息保护法》《数据安全法》,还是其他法律,在人脸信息和人脸数据的保护领域主要扮演的是基础性法律角色,普遍存在可操作性不强的窘境


当前数据治理走向复杂、多元、动态的复杂科学管理范式,无论从国家安全、公共安全还是公民权利视角,都应根据对人脸识别技术应用治理现状及风险的深刻观察,在业已出台的重要法律基础上开展更细致的立法工作,科学设计并坚定执行符合产业发展和安全管理双重需求的人脸识别技术应用立法规制路径。


01 人脸识别应用治理:前端治理为要


人脸识别技术的应用,涉及包括人脸信息和人脸数据的采集、使用、存储、传输、提供、删除等在内的整个数据生命周期,因而对人脸识别技术滥用以及由此引发的安全风险的治理,需要在各个环节发力,纵向上通盘考虑整个应用链条进行全面治理,横向上采取包括立法、执法、司法、行业、社会力量参与、宣传教育等在内的立体化应对措施。


不过,就当前人脸识别技术应用的法律政策规制而言,包括《刑法》《民法典》《网络安全法》《数据安全法》《个人信息保护法》《消费者权益保护法》等在内法律政策规定多属原则性规定,本质上属于事后救济模式,在人脸识别技术应用的纵向治理链条中处于末端,通常在发生涉人脸识别的民事、刑事、行政案件后才能启动相关程序开展治理,虽有一定特殊预防和一般预防效果,但易造成执法司法资源的大量消耗,也很难消除海量人脸数据泄露和发生衍生风险的隐患。


侧重对现实及潜在风险的前端治理,是网络时代风险治理的发展趋势。


例如,犯罪是最严重的社会风险之一,但现发案件和隐案数量庞大,犯罪发展的智能化以及网络犯罪的跨区、跨国特征,都使有限执法资源难以追随新型犯罪加速的步伐。最合理的应对,必然是要将犯罪治理前置到犯罪前端,采取综合的技术与制度性预防策略,推动社会秩序的良性运转,减轻执法压力,减少犯罪损失,减少犯罪的发生,避免已发生犯罪的产业链条继续延展,从重“打击”转向重“治理”,构建“以防为主、兼重打击、生态治理”的应对体系。


同理,对人脸信息和人脸数据的保护亦应从人脸识别技术应用的源头开始,从以民事赔偿、行政处罚和刑事处罚为主导的事后救济模式,转向监管部门主动作为、积极介入的前端控制,并以立法或标准形式将《个人信息保护法》等法律规定的原则转化为具有可操作性的规范,为监管部门提供介入的明确依据,提供符合一线执法特点的规范“产品”,实现人脸识别技术应用的有效源头治理,从而阻断针对该源头获取人脸信息和人脸数据的非法使用及泄露问题。


在责任分配层面,公安机关等政府职能部门对于公共秩序、公共场所视频图像信息系统、数据安全、网络安全与网络秩序等负有重要监管和保护职责,自然应担负人脸识别技术应用前端治理的义务。


02 人脸识别专门立法:以增强可操作性为目标


《网络安全法》《数据安全法》和《个人信息保护法》已经就数据、个人信息的保护提供较为全面的原则和规则指引,《民法典》为相应民事侵权行为及救济做出了较为完备的规定。但是,人脸信息作为一种外露的生物特征,除了具有生物特征信息的普遍性特征,还具有其自身的特殊性,特别是其收集过程无需数据主体的配合即可完成,立法需要对由于人脸识别技术特殊性所带来的现有法律框架难以妥善解决的问题进行回应。


例如:针对公共场所人脸信息的无感收集问题,如何确保个体的明知,并给予其是否接受人脸识别的选择权?因为无感采集,个体往往难以知晓被侵权事实且维权成本极高,监管部门如何补位?针对信息集中带来的风险问题,在加密存储人脸数据的基础上,是否应当通过物理或逻辑隔离的方式对人脸数据与其他数据包(包括其他个人信息)进行分别存储?当前过于粗疏的立法显然难以清晰回答这些问题。


因此,为便于公安机关等职能部门的提前介入,避免执法标准不一破坏法制统一性,仍有必要通过有更清晰明确指向的立法(特别是行政法规、部门规章和其他规范性文件),确保职能部门在执法过程中能够充分利用其自身的优势执法力量,开展技术应用可行性评估、安全评估等工作,对人脸信息、人脸数据的使用应用场景、影响效果等开展日常监测工作,感知技术应用带来的网络传播趋势、市场规则变化、网民行为等信息,预警技术应用可能产生的不规范、不公平、不公正等隐患。甚至在人脸识别技术应用设计及部署环节就积极介入,发现算法应用安全问题,研判算法应用产生的意识形态、社会公平、道德伦理等安全风险,并提出针对性应对措施。


从操作层面来看,需要在上位法框架下,以行政法规或部门规章形式,就人脸识别技术应用有效治理作出规定,着力化解安全风险。对于人脸识别技术应用担负较重职责的政府部门,也有必要在《个人信息保护法》等法律法规框架下,专门针对本部门出于履行法定职责需要而开展人脸识别技术应用设定实体和程序规则。


首先,要明确规定禁止开展人脸识别的场景。


应区分商业应用、行政执法和刑事执法等不同需求,分别设定禁用场景,包括建立应用场景的白名单和黑名单制度。需要注意的是,禁用场景往往是目的与程序相结合的综合判定。例如,任何应用主体非为医疗目的并经识别对象同意,不得利用人脸识别技术分析其健康状态;无合法依据不得在人脸识别同时利用人脸信息开展情绪、心理活动、宗教信仰等分析活动。即便可以给予最宽松规制环境的刑事执法,至少也要受到广义刑事诉讼法有关侦查取证规定的制约,仍然存在绝对不可应用和不经法定程序不可应用人脸识别技术的领域。


其次,建立人脸识别技术应用备案和年度评估制度。


应当明确要求人脸识别技术应用者根据其业务内容向对应主管部门进行备案。如,在公共场所安装摄像头的人脸识别技术应用,应在本地公安机关备案。为了实现更好地监管,具备一定规模(以人脸数据处理量或营收规模等为基准)的人脸识别技术应用主体应接受定期安全评估,以应用主体向对应主管部门提交评估报告为基础,主管部门视情决定是否开展现场检查。


再次,设定主要应用场景的安全要求。


应当在《数据安全法》和《个人信息保护法》的强制性规定之下,以数据安全为核心,对人脸信息和人脸数据的处理做出明确要求,将这两部法律的数据安全要求和个人信息保护要求落到实处。


例如,可以要求人脸数据的处理原则上应在本地(终端)完成,除非为了更大法益,不得通过公共网络传输。在个人终端即可实现人脸识别目的的,人脸数据不得传出该设备;人脸数据留存最小化,以满足业务需求为上限,且需严格禁止人脸数据用于法律法规规定或经个人授权同意之外的其他目的;除非为履行法定职责开展进一步调查或者履行法定存证义务等目的,已采集或产生的人脸数据应在完成人脸识别功能后立即删除;


采用人脸识别技术的服务停止、数据存储期限届满、个人撤回同意授权(包括积极撤回和消极撤回)时,应当及时删除人脸数据;不能将人脸图片的公开视为理所当然的人脸识别授权,使用这类人脸数据仍需遵循人脸识别技术应用的一般规则;人脸识别技术应用者原则上不能委托第三方处理人脸数据,确需委托的,必须事先采取安全措施,确认受托方的数据安全保障能力不低于委托方,并签署相应协议和配套严格监管措施。


第四,加强对特殊主体的人脸信息保护。


针对未成年人,应给予严格保护,非为执法目的,不得对其应用人脸识别技术。针对党和国家领导人,其人脸数据也应予以特殊保护,但由于其在新闻报道中的高曝光度,禁止单一的身份识别并无意义,保护目的主要在于防止人脸仿冒和利用人脸识别技术进行轨迹追踪等。


第五,实行对人脸识别技术和人脸数据的国家保护


在中国境内采集和产生的人脸数据,非经有权部门安全评估和同意,不能出境;人脸识别形成的算法模型,不仅因凝聚了个人信息和开发者、训练者智慧而关联知识产权,而且有可能成为敌对国家觊觎的关键技术,应当纳入管制范畴,非经安全评估和主管部门批准,不得向境外输出。


第六,鼓励满足一定数据采集条件的人脸识别技术研发。


人脸识别技术发展迅猛,但技术追求永无止境。技术是双刃剑,关键看谁在用、如何用和用于谁。对人脸识别技术应用的治理,不代表着不支持人脸识别技术的研发。对于出于研究目的人脸数据和人脸信息应用,立法上应给予一定包容。


第七、明确监管措施。


为确保人脸数据安全,除了日常性检查和评估外,给予约谈、责令限期整改等权力外,还应赋予主管部门在发现人脸识别技术应用存在紧迫性重大风险时的应急处理权限。


03 公共场所视频监控立法:不可低估的源头规制路径


前端采集设备和视频图像信息系统是人脸识别技术应用的最前端,以公共场所摄像头和智能手机App为主的人脸信息和人脸数据采集,既包括人脸识别技术应用者的主动采集,也包括用户上传的被动采集(如用户在社交网络平台分享的人脸图像被平台或第三方用于人脸识别)


做好前端准入和安全性评估,是有效解决人脸识别技术滥用和人脸数据泄漏的重要举措。有关手机App,工信部等部门曾发布专门规范进行治理,在该领域也制定了一些国家标准和行业标准,治理工作不断取得进展。但是,有关公共场所视频监控却一直缺乏可提供明确指引的高位阶立法。


公共场所视频图像信息系统(含硬件设备和软件系统)一般而言属于公共安全领域,且主要归口公安机关管理。公安部于2016年发布过《公共安全视频图像信息系统管理条例(征求意见稿)》,但基于种种原因,该条例至今未获颁行。公安机关对于自建公共安全视频图像信息系统有着较为严格的内部管理程序,但是对于其他部门、企业、小区甚至居民自建的监控设备缺乏事前监管手段。可以想见,如果该条例早获通过,公共场所视频监控及相应技术应用得以规范,有关地铁人脸识别安检分流、居民住宅楼电梯安装人脸识别设备等争议性问题或许不会成为舆论焦点。


相比于2016年,目前立法环境发生变化,对数据安全和个人信息保护的重视程度前所未有,针对网络和数据领域的立法技术日趋成熟,人们对公共场所视频监控的认识更为理性,宜尽快修改完善并完成立法程序,及早为公共场所采集视频图像信息及其处理提供明确执法依据。


专门针对公共场所视频监控问题进行立法,应当清晰厘定公安机关对于全社会公共场所视频图像信息系统全流程运转的管理职权,将公安机关及其他主体的公共场所视频监控行为均纳入规制范畴。明确规定可以和不可以安装视频图像信息系统(包括人脸识别模块)的具体场所;明确视频图像信息处理的基本原则、具体规则、流程和安全保障义务;确定相应罚则以此发挥公安机关执法资源优势,提升公安机关服务能力,及时开展公共场所视频图像信息系统(包括人脸识别模块)安装、使用的可行性和安全性评估;实现执法靠前,确保公共场所视频监控仅用于公共安全目的,最大限度避免公共场所视频图像信息系统非法处理人脸数据。


总之,人脸识别技术仍在飞速发展,算法精度不断提升迅速,产品和服务功能迭代迅速,安全风险也将呈现新样态。尽管目前已经构建起了网络安全、数据安全和个人信息保护的基本法律体系,但仍需要采取新的规制措施。


国家数据战略资源安全与公民信息安全都要求,科技必须秉承“善意”的发展理念,只要监管部门积极作为,保持密切关注,紧跟技术发展的步伐,积极探索技术治理和法律政策治理的新路径,就一定能够实现对规制方式的及时和动态的调适,极大压缩隐患转化为现实风险的空间。


作者介绍:刘为军,中国人民公安大学网络空间安全与法治协同创新中心教授、博士生导师


本文来自微信公众号:财经E法(ID:CAIJINGELAW),作者:刘为军,编辑:朱弢