摘要:鉴于人脸信息泄露所引发的安全事件层出不穷,亟须对此进行专门的泄露危害和治理对策研究,并从多元主体的视角提出治理对策。研究发现:第一,人脸信息泄露所造成的危害具有多重性,涉及个人、企业、政府等多个主体,隐私安全、财产安全、信誉声誉等多个方面;第二,根据“两头强化、三方平衡”理论,可将引起人脸信息泄露的原因归纳为法律规制的分散、政府监管的滞后、企业行业缺乏自律及公民个人维权意识和能力不足四个方面;第三,在治理对策上,应从构建完备法律体系、提升政府监管能力、强化企业行业自律、提高公民个人自我保护意识和能力四个方面发力。
关键词:人脸信息;泄露风险;治理对策
在社会日益智能化和信息化的时代背景之下,伴随着大数据、云计算等关联技术的突破,人脸识别技术得以快速发展和应用,海量的人脸信息被采集、存储和利用。一方面,人脸识别技术给人们的生活带来了便利,在金融支付、考勤门禁、智能安防以及教育、医疗、公共卫生等多个领域展现出强大的赋能效应,尤其是在新冠肺炎疫情防控期间,因人脸识别技术具有非接触的特点,减少了人与人、人与物的接触,降低了病毒扩散的风险,由此在实名登记、交通安检、支付转账等多个领域得以迅速扩张[1]。另一方面,由人脸信息泄漏带来的风险也不容小觑。2019年出现了“中国人脸识别第一案”,因涉及人脸信息泄露问题,杭州野生动物世界被起诉,此案引起学界对人脸识别安全问题的高度关注。与此类似,商家非法买卖人脸信息造成大量人脸信息泄露的事件也陆续被媒体曝光[2]。《人脸识别应用公众调研报告(2020)》指出,超九成的受访者使用过人脸识别技术,超六成受访者认为技术有滥用的趋势,而超三成的受访者表示已经因人脸信息泄露、滥用等遭受损失或隐私被侵犯。由此可见,在人脸识别技术渗透程度日益加深的同时,伴其而来的人脸信息的泄露问题、危害及其治理策略需要加以系统研究。
一、研究述评
目前,学界对于人脸信息泄露的危害及治理对策的研究,主要集中于两个领域:一是计算机科学领域,即从计算机科学理论和技术角度探究泄露问题并提出治理对策;二是社会科学领域,即从法学、社会学等角度探究信息泄露的危害并提出治理对策。具体而言,在计算机科学领域,集中在技术层面,主要是从关键算法、加密方案、系统设计方面分析技术漏洞并提出安全防范措施[3],如基于SIFT的安全算法、基于认证与密钥技术的人脸特征保护技术、基于特殊安全模组的人脸信息采集等;而在社会科学领域,对于人脸信息泄露的危害及治理对策研究,则集中在法律层面,学界主要从个人信息权、法律规制路径、法律制度和立法路径等方面研究其危害并提出法律对策。总体而言,针对人脸信息泄露的危害及治理对策研究,计算机科学领域的研究较为透彻,社会科学领域的研究较少且集中于法学层面,较少对其进行全面梳理。鉴于此,笔者试图突破现有研究视角较为单一的局限性,根据“两头强化,三方平衡”理论[4],从法律、政府、行业、公民个人等视角探究人脸信息泄露的危害并提出治理对策。
二、人脸信息泄露的危害
(一)危害个人隐私安全
人脸信息属于个人敏感信息,泄露个人敏感信息的行为构成对个人隐私权的侵犯[5],公民的隐私安全受到法律保护、不应被非法收集、存储、处理和公开,易言之,法律对公民的人脸信息安全和隐私安全给予了原则性的规定和保护。但现实中,违反法律规定,泄露公民人脸信息、危害公民隐私安全的事件却屡屡发生,据《人脸识别应用公众调研报告(2020)》显示,超过三成的受访者表示当前隐私泄露问题突出。人脸信息泄露给隐私安全带来的危害,主要体现在两个方面:一是人脸信息属于生物识别信息,运用大数据等关联技术对生物识别信息进行处理,便可分析出个人的年龄、性别、情绪甚至身体状况等其他个人信息,因此人脸信息发生泄露的同时,就可能伴随着个人关联信息的同步泄露,这无疑是对隐私安全的严重威胁;二是不法分子为实现报复、诽谤等目的,借助网络社会的放大效应,非法公开包括人脸信息在内的个人隐私信息并在短时间内快速传播,导致个人隐私信息非法扩散,严重干扰公民正常的生活秩序,危害隐私安全中的秘密权和安宁权。
(二)危害个人财产安全
人脸信息在科技、人文等领域具有较高的财产价值[6],泄露人脸信息的行为涉嫌侵犯主体的财产安全,而实践中因人脸信息泄露遭受财产损失的主体是公民个人。不法分子利用被泄露的人脸信息侵犯公民财产安全的行为表现为两个方面:一是不法分子掌握了公民的人脸信息以及与之关联的其他隐私信息,就可能利用这些信息和网络系统的漏洞“骗过”身份识别系统,盗取公民的网络账号和账号内财产。二是不法分子掌握了受害人具体、准确的个人信息,可以借助这些信息实施敲诈勒索和电信诈骗。因此,人脸信息的泄露对公民的财产安全形成了一定的威胁。
(三)危害组织公信力及信誉
人脸信息的泄露不仅会对公民个人的隐私安全、财产安全造成危害,长此以往,还会危害政府部门的公信力以及相关企业的信誉[7]。在大众认知中,政府网站作为政府的门户,具有较高的可信度,政府网站理应是安全的、可靠的,政府网站的建设和发展也是为了进一步提高行政效能和群众满意度,进而提升政府的公信力。然而,近年来却多次发生政府网站被攻击、网站内存储的包括人脸信息在内的个人信息发生泄露的恶性事件,如2018年安徽多地政府网站频现个人信息泄露、2020年山东某市政府门户网站泄露执法人员个人信息等。此类事件的发生,引发了公众对政府网站安全性和可靠性的怀疑,影响了公众对政府网站的信任程度,进而减损政府部门的公信力。对于企业而言,其存储的人脸信息安全与否是影响用户对其信任程度的重要因素,“2019年深网世界百万人脸数据泄露”“2020年ClearviewAI公司30亿张人脸数据发生泄露”事件直接反映出部分企业人脸信息保护机制不健全,用户对人脸信息是否会通过企业造成泄露产生怀疑、对企业的信任程度大打折扣[8],企业的信誉也深受其负面影响。
三、人脸信息泄露的原因分析
从个人信息保护的角度出发,“两头强化,三方平衡”理论认为,个人信息保护涉及国家、信息从业者和公民个人三方利益的平衡[4],因此可将人脸信息泄露所涉主体归纳为国家、从业者和公民个人三方,国家层面又可以进一步划分为法律和政府两个维度。笔者从法律、政府、企业、公民个人四个方面对人脸信息泄露的原因进行分析。
(一)法律规制分散,尚未形成合力
人脸识别技术带来了便捷,但便捷不等于安全,缺乏有效的法律规制,极易造成技术的“野蛮生长”[9]。目前,我国关于人脸信息泄漏的法律规制,虽有《民法典》《网络安全法》《消费者权益保护法》《刑法》和《信息安全技术个人信息安全规范》等多部法律法规,但相关规定存在操作性不强、执行效果差、救济措施不完善等不足之处。一方面,虽有多部法律对其进行规制,但法律的规定过于原则化,仅指明人脸识别技术的应用和人脸信息的采集、处理要遵循“合法、正当、必要”的原则,而缺乏配套的司法解释和具体的实施细则,针对性和可操作性不足,并且现有的法律规定未明确执法的主体及其权利和责任,导致法律在实践中可执行力不足、执行效果较差[10]。以2015年出台的《刑法修正案(九)》为例,虽增设了“严重侵犯公民个人信息的行为可认定为侵犯公民个人信息罪,依法可追究法律责任”的规定,但因缺乏对事实认定和量刑情节的具体规定,导致司法机关在处理具体案件时“有法难依”,难以实现对该类犯罪的有效追诉;另一方面,在法律事先规定并不明确的情况下,有关事后救济、惩罚的法律规定也不完善,法律救济、惩罚措施的方式单一、力度不足、效果较差[6]。在司法实践中,对泄露人脸信息的企业的处理,主要以行政约谈的方式进行,处罚力度较轻,往往只是企业内部自查、完善企业内部安全管理等,而对于个人侵权的处理,主要依据《侵权责任法》,救济途径多为简单的赔礼道歉、赔偿损失。综上所述,针对人脸信息的泄露问题,在法律方面存在一定的漏洞和不足。
(二)政府监管滞后,凸显制度困境
防范和化解人脸信息泄露的危害,政府的监管职责必不可缺。但日趋严峻的安全形势表明,政府的监管未达到理想效果,尤其是在监管主体、监管制度、监管措施方面存在明显不足。1.监管主体不明确、权责不清晰。人脸信息安全监管工作涉及公安、工信、市场监管等多个政府部门,应由权责明确的专门机构统一负责[11],我国目前尚未建立权责一致的专职监管机构。同时,由于缺乏明确的法律规定,政府内部各责任部门的权责划分并不清晰,面对具体问题时,易出现推诿扯皮、敷衍了事等消极现象。既无专责机构,又无理想的合作机制,政府难以实现对人脸信息保护的有效监管。2.政府内部缺乏有效的监督管理制度。在“智慧政务”政策指引下,大量政务工作转至互联网平台,政府网站存储了海量的包括人脸信息在内的个人敏感信息,而政府网站的安全建设却明显滞后,具体表现为部分政府网站缺乏必要的保密审查和安防建设,负责网站安全工作的责任人员未严格遵守安全管理规定甚至违规操作。政府反而成为信息泄露的源头,这不仅使人脸信息大量外泄,还严重损害了政府的公信力[7],暴露出监管主体的问题。3.监管措施不完善、滞后性强。相对于技术的快速发展,面对人脸信息泄露引发的安全问题,政府部门的监管措施却表现出明显的滞后性。一是尚未建立起统一的市场准入制度,缺乏必要的门槛对人脸信息采集予以限制,在源头上存在监管漏洞。二是由于缺乏有效的监督管理制度和联合执法活动,政府部门在日常的监管工作中难以及时发现泄露隐患,从而为可能引发的信息泄露埋下了“伏笔”。三是要实现对人脸信息安全保护工作的有效监管,就必须与时俱进,掌握人脸识别的技术原理、技术特点、技术漏洞以及云计算、大数据处理等关联技术,而这些恰恰是现阶段政府监管部门所欠缺的[12]。这种监管措施的滞后性为不法分子利用监管漏洞从事违法犯罪活动提供了可乘之机。
(三)企业责任真空,行业亟须自律
从应用领域来看,网络服务提供商、电商平台等企业单位已经成为人脸信息泄露的主要来源[10],这些企业为开展业务采集、存储了海量的人脸信息,但对于保护人脸信息安全却明显乏力。究其原因,一方面,部分企业罔顾社会责任,轻视信息安全保护工作,缺乏健全的内部管理制度,安全管理工作十分松懈;另一方面,整个行业缺乏行之有效的行业自律规范。以互联网行业为例,虽有《中国互联网行业自律公约》对互联网企业采集的用户信息保护进行规定,但该类公约大多执行力差、约束力弱,多数企业未严格按照公约的规定保护人脸信息安全[10]。此外,由于缺乏有效的行业惩处制度,企业违法的风险小、成本低,违法企业得不到及时清退,整个行业难以杜绝人脸信息泄露事件的发生。
(四)保护意识匮乏,维护能力低下
随着人脸识别及其关联技术的发展,“刷脸进门”“刷脸打卡”“刷脸支付”等现象已经成为人们的生活常态。在此情况下,相较于身份证号码等其他个人敏感信息而言,公民对人脸信息被采集、存储的现象早已“习以为常”,对信息被泄露也已“见怪不怪”,而恰恰是这种“习以为常”和“见怪不怪”削弱了人们对人脸信息安全的保护意识。同时,个人也缺乏维护自身人脸信息安全的能力,在大数据时代,个人信息传播得速度更快、人脸信息流转的主体更多,不法分子恶意泄露和盗用人脸信息的可能性也就更大,个人对人脸信息的控制能力便大大减弱。此外,由于现行法律和政府监管制度不健全,面对恶意泄露和盗用人脸信息的行为,个人缺乏有效的维权途径和措施[13],可以说,就人脸信息泄露问题,公民个人在主观上缺乏保护意识,在客观上缺乏保护能力。
四、人脸信息泄露的多元主体治理对策
如上所述,人脸信息的泄露对公民、政府、企业等多个主体形成了危害,人脸信息泄露已成为社会治理新的难题。从利益相关者的角度出发,应针对人脸信息泄露,形成以法律法规为依托,政府、企业、公民个人等多元主体共同参与的治理格局[12]。
(一)构建完备的法律体系
法律是人脸信息保护工作的依据,构建完备的法律体系是治理人脸信息泄露问题的基础。鉴于现行法律体系在针对性、可操作性、执行效果等方面的不足[10],应在《宪法》《民法典》等法律基础上,推动《个人信息保护法》等针对性法律法规的出台和实施,将“合法、正当、必要”等法律的原则性规定落实为可操作性强的具体规范,为政府监管和公民维权提供具体依据,在法律层面为人脸信息的保护工作提供指引。进一步而言,可以鼓励地方先行立法,继而推动全国性法律规范的出台。例如美国加利福尼亚州和华盛顿州于2019年、2020年相继出台了摄像头责任法案和首个州级的人脸识别专门法律,此类地方法案为全国立法指明了方向,推动了人脸信息保护的法律进程[14]。此外,对于泄露公民人脸信息行为的惩治,应在《刑法》《行政处罚法》的基础上,出台相应的司法解释和地方性法规,明确泄露者的法律责任,加大处罚力度,增加处罚措施,细化处罚标准,明确政府相关部门的职责和权限,拓宽公民维权的法律途径,为人脸信息泄露的惩治和救济工作提供法律保障。
(二)提升政府的监管能力
加强对人脸信息安全工作的监督和管理,防范和化解人脸信息泄露的危害,是政府部门的应尽职责,要弥补政府监管的短板,就必须提升责任部门的监管能力。一要建立监管人脸信息安全工作的专责机构,形成以法律为基准、多部门联合行动的监管制度,明确各责任部门的权责边界,统一检查、认定和处罚的标准,建立高效透明的人脸识别监督管理制度,形成长期有效的政府监管机制。二要强化政府内部的自我监管,依托信息技术,通过升级数据加密、限制访问、智能检测、防火墙系统、入侵预警系统等技术手段加强政府网站的人脸信息安全防护工作。此外还要重视“人的因素”,强化政府工作人员的信息安全意识,通过加强安全教育、签署保密协议、开展保密培训等形式,提升政府工作人员的信息保密能力,建立授权访问、定期巡查、物理隔离存储等安全保护制度,形成政府内部的自我监管体系。三要完善监管措施。首先,要建立市场准入制度,存储和利用人脸信息应得到事先的行政许可和一定的条件限制。其次,要加强对人脸信息安全的日常检查工作,强化对政府部门、高风险行业等应用领域的监管,对互联网公司获取个人信息进行严格监管和限制。再次,要加大对恶意泄露、买卖、传播公民人脸信息行为的打击频度和力度,通过实施“违法行为公示制度”“违法企业黑名单”等方式遏制公民人脸信息的泄露问题。最后,公安机关要对利用人脸信息实施电信诈骗的犯罪行为进行严厉打击,保护公民的隐私安全、财产安全。
(三)强化企业安全管理和行业自律
对于企业而言,在技术上要提供除人脸识别之外的其他的识别、认证方式的范围、时限和销毁方式,避免进入人脸识别的技术孤岛。同时,企业要提高存储系统的安全性,实现人脸信息与其他个人信息的分离存储,避免个人敏感信息“全套”泄露。在对企业员工的管理上,要通过培训提升员工的安全防范意识和能力,细化企业的信息安全管理制度,防范人脸信息泄露的人为风险。对于行业整体而言,应制定和完善人脸信息采集和存储的行业规范,细化人脸信息保护的技术标准,推行严格的行业准入和清退规则,健全行业内部的问责机制,使问题企业难以在行业内立足。同时,针对不同行业的特点,应制定符合行业特点的具体规定。例如,日本针对政府部门制定了《行政机关个人信息保护法》,针对地方公共团体制定了《个人信息保护条例》。简言之,要通过技术升级、强化人员管理、健全行业规范等方式强化企业个体及行业整体的自律意识和能力,补足企业在人脸信息泄露问题方面存在的治理短板。
(四)提高个人的自我保护意识和能力
在相关法律体系尚未健全、政府监管和行业自律体系尚未完善的情况下,提高个人的自我保护意识、增强个人的自我保护能力至关重要。一方面,要加大安全教育宣传,提高公众的人脸信息安全保护意识,养成良好的自我保护习惯,例如在非必要场合不进行人脸认证、及时注销或删除包含人脸信息的弃用账号、减少使用人像处理的应用软件;另一方面,个人要积极学习人脸信息安全保护知识,提高自我保护的能力,例如学习必备的网络防护技能、学习有关信息保护的法律法规等。本文仍存在不足之处,后续研究可以进一步展开:第一,本文提及的人脸信息泄露危害,多为“显性”的,即已经或极有可能造成的、主要的危害,而“隐性”的,即难以被发觉、发生概率较小但仍存在的、进一步发展才会造成的危害(如因人脸信息泄露导致社会治理成本上升)尚需后续研究加以探讨;第二,本文从所涉利益主体的视角分析了引发人脸信息泄露的主要原因,但并未详细说明某一方面原因与危害结果之间的内在引发机制,如企业对员工信息安全教育的缺失具体是怎样引发信息泄露的、其间经历了怎样的过程;第三,关于治理对策的研究,后续研究应针对某一方面加以具体论述,如选取政府监管的视角,详细阐述如何通过政府监管更好地治理人脸信息泄露问题。
作者:王耀辉