大陸人臉識別(人臉辨識)技術廣泛普及應用,已是不爭事實。但是好用不等於濫用,關鍵問題在於,人臉識別的公共應用邊界到底在哪裡?大陸法律相關規定,已有合乎法定比例原則的「知情、可選、可追責」雛型,然而司法實務對於個人隱私權的保障,依舊偏向保守。
依據大陸新修訂的《資訊安全技術個人資訊安全規範》規定,人臉資料屬於個人敏感資料。《消費者權益保護法》第29條規定:經營者蒐集、使用消費者個人資訊,應當遵循合法、正當、必要的原則,明示蒐集、使用資訊的目的、方式和範圍,並經消費者同意。
大陸微信公眾號「腦極體」稱,AI技術的低門檻,造成私人濫用人臉識別的社會風險,更嚴重的是,相較外國民眾的保持警惕,大陸對人臉識別技術的寬容度,實在太高。有些公共場所和企業商家將「刷臉」當作數位化升級的賣點,完全忽略用戶的人臉隱私安全。大陸消費者不僅面臨所有線上行為資料隱私的失守,也面臨生物資料的「失身」。
人臉識別的公共應用的邊界在哪裡?杭州法學教授郭兵的「中國人臉識別第一案」,帶出最核心的法律主張,是郭兵本人對自身人臉資料的隱私權。但司法只回應了郭兵本人刪除刷臉資訊的訴訟請求,並沒有否定園方使用人臉識別技術本身的正當性,而且別無選擇。
然而,按大陸《網路安全法》第41條規定:網路運營者蒐集、使用個人資訊,應當遵循合法、正當、必要的原則。上述案例,過去入園錄指紋就足以識別遊客身分、防止冒用,如今新增一套「刷臉」技術,實在不符合蒐集公民個人資訊的「必要性」、「最小夠用」標準等比例原則。園方顯然忽視最根本的問題:沒有提供給消費者選擇的自由。
需知人臉識別公共應用邊界的基本點,依法在於用戶「知情」和「可選擇」。首先是知情權。據大陸《網路安全法》、《民法典》相關最核心原則,就是首先要告知被蒐集者該場地已經進行人臉識別採集,同時要經過被蒐集者同意,才能保留相關採集資料。其次,是給用戶選擇權,對於已採用人臉識別技術的主體,理應保留原有的認證管道。第三,是技術使用者的權責統一。要在這些資訊被侵害時,承擔起相應的侵權責任,給予合理賠償。(李文輝)