国家(行政机关)、事业单位、私主体(营利法人)三类主体可否应用人脸识别技术应符合合法性、正当性、必要性前提标准,但因主体不同,具体判断标准也有所差异。
自新冠肺炎疫情发生以来,人脸识别技术在我国疫情防控中发挥了重要作用。但后疫情时代下该技术在个人信息保护等方面的风险隐患令人担忧。目前,人脸识别应用主要存在技术风险(包括误识率风险、歧视风险以及技术对抗漏洞)、滥用风险以及信息风险,继而导致“钱”“安全”等各方面的风险随着人脸识别应用的普遍化而增长。
遗憾的是,我国目前尚无专门针对人脸识别技术及其应用进行规定的法律法规,相关的规定散见于民法典、网络安全法、消费者权益保护法、刑法等法律以及相关司法解释中。由于缺乏系统性和细化针对性,现有立法的相关规定在防范和应对人脸识别风险方面显得力有不逮。最近公布的个人信息保护法(草案)对个人信息保护进行了较为全面的规定,可以提供相对具体的法源支持。但个人信息毕竟是人脸信息的上位概念,在法条适用中,还需结合特定主体和场景进行细化解释,以符合“场景正义”。囿于篇幅,本文仅以国家(行政机关)、事业单位、私主体(营利法人)三类主体可否应用人脸识别技术的判断为例作简要分析。
根据个人信息保护法(草案)第5条、第6条规定,“处理个人信息应当采用合法、正当的方式处理”“具有明确、合理的目的,并应当限于实现处理目的的最小范围”,因此,三类主体对人脸识别的应用应符合合法性、正当性、必要性前提标准,但因主体不同,具体判断标准也有所差异。
1.国家(行政机关)
国家(行政机关)对人脸识别技术的应用多出于公共安全维护或行政管理等需要,属于具体行政行为。其合法性判断应根据宪法和法律,从内容合法和程序合法两个方面进行考察。内容合法的判断主要考察不同级别的机关的法定职责职权,如应用范围和对象是否属于其管辖范围和权限等。例如,根据个人信息保护法(草案)第13条及传染病防治法、突发事件应对法的规定,行政机关在应对突发公共卫生事件等特定情形下可未经公民同意收集个人信息(包括人脸信息),依此,在疫情防控期间进出飞机场、火车站等人流密集的重点防控区域要求刷脸测温是合法的。程序合法要求依照行政法律和规章规定的程序来确定是否实施人脸识别应用行为。此时,不同的应用场景可能有不同的程序标准,但基本要求是要符合法定程序。
正当性主要是对目的的考察。在实质法治国概念下,国家对基本权利的侵犯只能出于正当的目的。对此,首先要看该目的是否违反宪法和法律;其次应判断该目的是否确实为了“迫切的或实质的国家利益”或有助于实质性增进社会公共利益;最后要看相较人脸识别应用可能对公民基本权利产生的影响而言,该目的的实现是否具有足够的重要性和紧迫性。
必要性要求行政主体在应用人脸识别技术时应当坚持最小够用标准,应是“为履行法定职责或者法定义务”或“为应对突发公共卫生事件”“所必需”(个人信息保护法(草案)第13条第2、4项)。在判定时应按照比例原则,结合对安全等利益的影响综合考量,确保人脸识别范围和方式与识别目的相称。
2.事业单位
对学校、医院等事业单位应用人脸识别技术的内容合法性判断,除须考察是否合法外,还应着重考察其是否符合其法人的宗旨(或法定职责)。例如,医院通过利用人脸表情特征的识别来跟踪病患的疼痛感知状况符合其救死扶伤宗旨,因而在内容上是合法的。事业单位虽具有公共服务属性,却不同于行政机关,其与服务对象之间并不存在行政管理与被管理的关系,因此在程序合法的衡量中,应加大对相对人权益的考虑。换言之,事业单位不能仅仅通过合法遵循其内部章程即决定应用人脸识别技术,而必须在决定过程中引入并尊重被识别者的意见。如前述医院将人脸识别应用于监控治疗前,应当与患者沟通并取得同意。
在目的合法且符合事业单位宗旨的前提下,对目的正当性判断应着重考察该目的对实现事业单位的宗旨而言是否足够重要和紧迫。例如,学校监管课堂秩序并了解学生对教师讲授的反应对实现教书育人宗旨而言很重要,但相对于可能对学生和老师隐私权的侵犯而言并没有足够的重要性,更没有紧迫性,因此,课堂中监控学生的人脸及表情并不符合目的正当性标准。
对事业单位应用人脸识别必要性的判断应借助比例原则,着重考察识别与应用人脸识别的具体目的之间的关联性大小。例如,虽然人脸识别有助于更加清晰地了解课堂效果并助益改进教学,但这并不是唯一的、不可替代的方式,就改进教学目的的实现而言并没有满足必须的关系,因此不是必要的。
3.私主体(营利法人)
在私主体的应用场景中,人脸识别应用大多出于更好地为信息主体提供个性化私人服务、减少运营成本等目的,一般不涉及社会公共利益。此时,人脸识别技术应用主体和人脸信息主体双方为平等主体,私主体的上述应用目的和诉求相对于人脸信息主体的权益而言并不占据优势地位。因此,其人脸识别应用的合法性、正当性和必要性判断除考察是否合法合规外,更多地应取决于人脸识别应用的双方主体意思。
就合法性而言,人脸识别应用只能基于应用双方(应用主体及人脸信息主体)真实合意而实施,即人脸信息主体应在“充分知情的前提下,自愿、明确作出”同意授权识别的意思表示(个人信息保护法(草案)第14条)。考虑到人脸信息获取的隐蔽性特征,对知情同意应采取更加严格的标准——人脸识别的应用方应以明显、可被理解的方式告知对方人脸识别的应用和目的、人脸信息的使用范围、保存时间以及可能的风险等,并取得清晰、真实的甚至书面的授权确认。
就正当性而言,应用人脸识别的私主体应确保其对人脸的收集和识别限于其经营范围之内的必要目的,并将该具体目的告知人脸信息主体,以便其判断识别是否正当并同意。
就必要性而言,私主体对人脸识别的应用应限于“为订立或者履行个人作为一方当事人的合同所必需”(个人信息保护法(草案)第13条第2项),且应详细说明并确保人脸识别及相关信息的处理不超出该特定目的的合理范围。当人脸信息主体拒绝人脸收集和识别时,除非必要(如美图时需要人脸照片,否则无法提供美颜服务),服务提供者应提供其他验证的方式,不得因对方拒绝“刷脸”而拒绝进入或使用。