人脸识别技术:风险如何防控　如何依法规制(3)

　　当然,民法典里有涉及国家机关行使公权力的条款,比如第1039条规定,“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”但此条调整的是国家机关已经知悉了个人信息后如何去保护,我们现在最关注的是国家机关如何知悉或者如何获取人脸这样一个生物识别信息。对这个过程民法典并没有对国家机关提出要求。
　　2020年3月6日,国家市场监督管理总局、国家标准化管理委员会正式发布国家标准《个人信息安全规范》,要求获取个人信息要经过当事人的授权同意,问题是标准这种规范在法律上属于不完全规范,没有办法单独适用,必须要跟其他规定法律责任的规范一起适用。因此,目前我们对个人信息的保护,即使在平等关系中有相应的法律依据,但是对于限制不平等主体或者国家机关行使公权力过程中获取人脸信息的相关法律依据依然不够。
　　规制重点是数据库的建立
　　目前我们对人脸识别的担忧,重点并不在于技术是否成熟,任何技术都有一定的风险,或者说都需要有一定的发展时间。我认为人脸识别的关键问题不在于识别,而在于建立了人脸信息的数据库,没有这个数据库就没有办法进行比对。但是,这个数据库并不受人脸信息所有者的控制。人脸信息数据库如何能够让公众进行控制和监督?我们好像把重点更多地放在“同意”上,但现在的很多“同意”都是概括性同意,同意一次即代表永久同意;同时,民众同意的前提是对这个风险有了解,但大部分民众并不了解其中的风险,如果不知道风险就同意,那跟赌博又有什么区别呢?另外,我们不同意是因为它有很多不利的后果。而公众同意有时可能是被迫的,不是出于完全自愿。比如进学校,不同意就无法进入。
　　所以仅仅用“同意”作为规制的重点我觉得是不够的,我个人认为,规制的重点应当是人脸信息数据库的建立。首先谁能够建立这样的数据库?我认为有必要由统一的主体来建立,而不是目前这种遍地开花,每个企业甚至每个单位都能建立人脸信息数据库,分散的建立方式不仅信息泄露风险比较大,而且监督的难度也比较大,即使同国外一样成立个人信息的保护官或者监察官,也没有办法监督那么多的数据库。其次,人脸信息数据库中是不是要包含所有人的人脸信息?我认为完全没有必要,我们不能为了防范几个犯罪分子就牺牲所有人的个人信息安全,即使建立了也只能针对特定主体的人脸信息。
　　数据库要接受公众监督
　　数据库一定要受到公众的监督。个人要想去监督,首先要对技术有所了解,但个人往往并没有这个能力,这就必须让公益机构、社会团体或者第三方组织介入。过去把自由理解为是一种不受干涉的自由,但在今天人脸识别问题上,人脸识别是非接触性的,什么都没做的时候就已经被侵犯了。
　　所以今天有必要对“自由”的内涵作新的界定,我比较赞同“从不受干涉的自由到不受支配的自由”,我们今天处于被支配的状态中,很多情况下你没有选择权,甚至是在不知情的情况下就已经处于一种非自主性的状态。那么要恢复人的自主性,路径就是公众参与,应该积极地参与公共生活,积极对国家权力进行监督。只有这样,人脸识别技术才能真正地受到规制,也才能真正保证它的使用符合公共利益、符合人民利益。
　　(作者单位:北京航空航天大学法学院)（责任编辑：刘晓方）