人脸识别的法律性质认定
朱巍
“人脸识别第一案”正在进行中,人脸识别本来是一种技术应用,但因其个人身份信息的特殊性质,法律关系上还是比较复杂。
第一,人脸识别的基本性质为可识别的个人信息。人脸识别并非仅是对人脸特征的识别,而且将人脸信息与个人身份、金融、行为、位置、偏好等信息对接,属于关联身份、行为、信息之间的纽带。按照网安法的规定,人脸识别信息属于“直接可识别”到个人身份的信息。所以,人脸识别信息的性质并非知识产权的大数据,而是被依法纳入到隐私法范畴的个人敏感信息。
第二,人脸识别信息属民事权利。个人信息属于民事权利的一类,可以被纳入到隐私权的大范畴。权利人自己当然可以处分民事权利,但应有一定的前提。首先,按照“一法一决定”相关规定,个人信息采集、使用和处分需要遵守“合法性、正当性和必要性”基本原则。其次,按照合同法和消法的规定,用户应充分知情,并保障自己的选择权和退出权。再次,用户应享有删除权、更正权、控制权和注销权,这些基本权利是个人信息合理使用的前提。最后,信息采集者应保障信息安全可控,既包括技术上的安全,也包括制度上的安全保障,还包括法律责任上的落实。
第三,人脸识别信息类别应进行有效区分。从个人信息主体、目的和行为上看,人脸识别类信息是有区别的。其一,基于网安法和国安法等相关规定,在侦查犯罪和国家安全问题上,相关机关是可以直接依法获取人脸识别信息的。其二,按照《儿童个人信息网络保护规定》,孩子的个人信息授权需要监护人同意,而且保护原则和适用情形有特殊类别保护。其三,商业型人脸识别应用与公共利益应用应有区别,公共利益是隐私个体权利的抗辩事由之一,在一定程度上可以超越个体隐私权利以维护社会整体效率与安全,但基于商业利益的人脸识别应用则不是一回事,必须以个体隐私权利为基础。其四,人脸识别信息等身份信息,一般不应允许搜集者以“共享”“开放平台”等方式进行处分,更不得有非经用户事先授权和再次授权就进行转让使用的情况。
第四,人脸识别技术应用是未来发展方向。目前人脸识别技术在法律性质上,仍停留在身份信息识别的隐私权范畴。未来的5G技术普及之后,万物互联时代,人脸识别将通过大数据与云端,在可穿戴设备、物联网的加持下,以算法为核心,成为未来人与物,人与信息、身份与行为、物与物之间沟通的中心点之一。未来的人脸识别将不局限于支付、身份、监测等情况,将更广泛使用于医疗、资质、电商、体育、文化、家庭的各个方面。至于安全方面,也许区块链技术将代替目前的这些信息采集平台,去中心化会让整个信息系统相互信任,不会产生因黑客攻击造成的个人信息“不可逆性”损害,也不会产生大平台搞的“数据垄断”,或对用户数据的过度掠夺情况出现。未来的人脸识别会更加与AI相匹配,真正掌控这些个人信息的并非是哪个平台或哪个人,而是以人工智能为代表的“类人形态”,届时,人脸识别的隐私观与伦理观可能才会被真正颠覆。
(作者系中国政法大学传播法研究中心副主任)