我国人脸数据广泛扩散的问题在人工智能革命及数据要素市场高速发展的加持下,已升级为初现端倪的、与市民社会及国家生活皆紧密融合的链式社会危机。尽管以联合国安理会为代表的国际社会及中国早在2023年就已明确了对人工智能及数据风险的积极防控态度,且我国现行法律法规已经建立起了以“公共安全需要”或“数据主体授权同意”为要件的人脸数据采集、利用条件,以“网信部门、国家安全机关、公安机关、各经济行业行政主管部门”为主体的行政监管与救济组织框架,以“人员素养、技术手段、面向数据主体的透明度、定期自我风险评估报告、对既有数据库的管理”为主要内容的内部风险控制要求,以“私益诉讼和公益诉讼”并存的司法救济手段,以“民事责任、行政责任、刑事责任”为人脸数据侵权行为法律后果的周延责任体系等,但实践中,各社会活动动辄便要求采集人脸数据的情况仍然比比皆是。曾几何时,在大众认知中,人脸识别技术是仅于影视作品中可见的、用于保护国家重要人员的非常规技术,而如今,其在民商事及教育领域应用的频率和范围仿佛已经将公众麻木到认为“生物特征数据被采集是一件司空见惯的小事”。现实中,围绕人脸数据发生的各类案件在不断地印证着“调整法律规制途径、转换风险防控成本主要承担者”的必要性和紧迫性。(表1)
表1 人脸数据滥采、滥用的后果实例
从上表可知,人脸数据广泛扩散所导致的不利后果已经覆盖了人脸识别技术在民商事及教育领域的应用全域——从用途各异的身份认证、商品服务增值噱头到经济行业信用基础,再到借助强人工智能技术的全网数据比对、公民个人数据库建设与交易、“声音+图形及视频”的深度融合等。此外,当人脸数据与人工智能技术结合之后,数据对人的“取代”途径就从欺骗计算机技术扩展到了直接欺骗人类感官的、具备中国传媒大学媒体融合与传播国家重点实验室发布的《中国虚拟数字人影响力指数报告(2022)》中“数字模因”的数字人,这加剧了“数字人的物格”与“自然人的人格”之间的伦理冲突。伴随着应用范围的不断扩大和与人工智能技术的结合,人脸数据扩散的危害对象从公民的特定财产蔓延至人身安全,再到社会生活与工作环境、社会经济各行业的运转基础等,最后直至整个国家运行的身份与信用保障。举轻以明重:2021年,以大众出行数据为主的“滴滴出行”App因违规收集和使用用户信息而被网信部门、国家安全部门、公安部门等七部门联合叫停、追责,与之相较,我国公民人脸数据广泛扩散所造成的危害的严重性更不言而喻。
现行规范难以有效抑制不断加重的人脸数据扩散危机的原因包括:立法宏观框架的缺漏与部分条款的不足,利益法学视角中商业资本在逐利动因下对人脸数据产品的不断推广,司法实务对现行法的理解不到位,观念认知上仍未祛魅“技术中立”理念,社会实践中内部制度与组织准备的不足,信息技术相关纠纷中被侵权人个人的弱势地位等。其中,立法宏观框架的缺漏体现为以下两个方面。
首先,在人工智能治理端,我国至今没有颁布《人工智能法》或其草案,立法之路漫长、艰难。现有的《生成式人工智能服务管理暂行办法》只是宣示了规制人工智能的宏观态度,其中的“信息生产者责任”和“信息处理者责任”语焉不详,在精细化程度上达不到指导具体实务操作的标准。而人工智能技术和相关产业不但能够快速、广泛、深度地收集、处理各式人脸图像,更使得普通公民也可以通过开放下载的人工智能软件实施针对人脸图像的各类数据行为,此外,已经上市销售、不断升级的人工智能芯片及个人电脑还会进一步降低人工智能技术的使用门槛。总之,缺乏对人工智能技术的严格规范,无法实现对人脸数据扩散现状的遏制。
其次,在数据治理端,《中华人民共和国数据安全法》主要表明的是国家应该建立保护数据的分级组织体系,《中华人民共和国网络安全法》主要针对的是网络不文明行为,它们皆非直接评价数据的生产、加工、流通等行为,难以适用于对人脸数据危机的司法遏制;《个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《网络数据安全管理条例》等尽管可以作为打击滥采、滥用人脸数据行为的制度依据,但除人脸数据的跨国境转移外,各行政监管机关只是于事后被动地审查人脸数据处理者提交的自我风险评估及备案材料,被动地接受被侵权人的投诉。这使得实务仍处于“各主体可以率先轻易地滥采、滥用人脸数据—人脸数据侵权事件频发—被侵权人承担寻求司法或行政救济的成本—法院或行政机关于事后被动处理侵权个案”的运行链条中。同时,由于人脸数据往往是在格式合同、隶属地位、垄断环境等不平等状态下被采集的,此时,数据主体若以一己之力反抗人脸数据的采集,实则是在势单力薄地反抗由外力安排的生活和工作环境,因此被侵权者通常无法负担维权成本及后果。鉴于此,法律应当提供新型的、能够主动嵌入的人脸数据风险治理途径,避免将控制风险的主要成本转嫁给被侵权人。
总之,尽管人脸识别技术在人工智能时代的战略意义及各类研发机构的贡献不容忽视,但“发展技术”与“规范技术”是一体两面的共存关系——缺乏对技术的制约就必然出现技术的滥用,且人脸识别技术的“精尖程度”与“应用范围”是两个不同的问题。在“规范技术”与“应用范围”的层面,鉴于我国及国际社会相关现状,应反思:于民商事及教育领域广泛采集、利用人脸数据的做法,是否会给我国公民及社会带来背离技术开发初衷及良性利用结果的、严重的安全威胁。下文将从导致现行规范失能的诸多症结中逐一切入,并相应地提供具有操作性的、控源型人脸数据法律保护路径的具体构建方案。
法律纠纷的根源是利益冲突,并非空洞的自然法理论下各权利概念间的冲突。而在冲突之中保护哪一方的利益则决定了该法律的立场,也决定了该法律从人民根本利益的角度被评价为“恶”,还是为“善”。在民商事及教育领域,我国广泛运用人脸识别技术的现状并非源自解决社会问题的迫切需要,而是经济行业在营利目的诱导下竞争市场优势地位的结果。不论是人脸识别技术于1964年在美国的初次公开,还是我国科学院自主研发的人脸识别技术在2008年北京奥运会中的“里程碑”式应用,均未导致该技术在民商事及教育领域的广泛扩散,也未引发法学界对人脸识别技术伴生风险的关注。直至互联网企业争先推出“刷脸支付”业务,一条围绕人脸识别技术的产业链条在商业资本的加注下迅速形成,人脸识别技术相关商品开始被大量推销、售卖、应用到民商事及教育领域的诸多场景。2013年,芬兰公司Uniqul于全球首次推出“刷脸支付”业务,其以“快速便捷支付”为宣传点,联合PayPal公司及Square公司吸引消费者使用其支付业务;2015年,阿里巴巴集团控股有限公司在德国汉诺威博览会上首次公开支付宝“刷脸支付”业务的研发雏形,后于2017年联合肯德基(KFC)餐厅在国内正式试点;2019年,我国银联及各银行、腾讯微信接踵发布各自的“刷脸支付”业务。至此,人脸识别技术行业不但催生出上海商汤智能科技有限公司、云从科技集团股份有限公司、上海依图网络科技有限公司等头部企业(表2),且其再也不是具备高技术壁垒的垄断性产品,而成为小微科技企业亦能开发的常见技术。不仅如此,相关企业并不满足于移动支付市场的利润,不断向社会生活的其他领域扩张——包括居民小区门禁、学校内部管理、企业内部管理、交通、物流、智能家居、酒店住宿等众多场景,娱乐换装、金融、社交、网络直播与视频、网上购物等各类软件,皆在不同环节设置了人脸识别程序。众多不同性质的组织对我国公民人脸数据的大范围、高精度、高频率的采集,就形成了海量人脸数据实际已广泛扩散的事实,而我们对该事实的认知程度和法律讨论,还并不包括黑市和暗网上非法利用人脸数据等更加难以调查且恶劣的情况。
表2 头部企业早期推广人脸识别技术产品大事记
在人脸识别技术于商业主导下完成了被广泛应用的自身发展过程之后,外部主体关注相关法律风险的规范性文件、行业报告及学术研究成果才开始出现。2019年,工业和信息化部通过了《关于促进网络安全产业发展的指导意见(征求意见稿)》,首次从国家层面追认了人脸识别技术可被商用;2020年,隶属于中国国家标准化管理委员会、工业和信息化部的全国信息技术标准化技术委员会、生物特征识别分技术委员会,首次发布了《人脸识别行业研究报告》;2021年,南都人工智能伦理课题组公开了嗣后被学界广泛引用的《人脸识别应用场景合规报告》。此外,据知网数据的量化分析结果,直接以“人脸识别技术法律风险”为对象的研究成果最早于2019年发表,而后该论题才逐步成为学术热点(图1)。
图1 “人脸识别技术法律风险”研究成果发文量
据《人脸识别行业研究报告(2020)》,商业资本对我国人脸识别产品的投入是在2017至2018年间达到峰值,我国人脸识别企业的业务亦早在2018年就占据了全球人脸识别市场近一半的份额。且不论是政府、学界还是公众等对“人脸识别技术法律风险”这一问题的关注,还是上文提及的“中国人脸识别第一案”“中国人脸识别民事公益诉讼第一案”等,皆产生于2017年商业资本利用人脸数据建立营利产业链之后。它们不仅印证了人脸数据已在民商事及教育领域广泛扩散的事实,亦证明了该状况是由商业资本主导的结果。
尽管我国人脸识别技术研发水准早已处于世界领先地位——头部科技公司的人脸识别算法准确率在2014年就达到了98.52%,超过了Fackbook公司;在2016年就刷新了行人识别领域的世界纪录;在2022年就力克日本东芝、韩国三星等各国科技公司,获得了全球权威人脸识别算法测试(NIST-FRVT)的冠军,识别精度达到百万分之一……但正如前文所述,技术的“精尖程度”与“应用范围”是两个不同的问题。在技术的先进程度已经饱和式地满足了必要用途时,应着重反思的是:在民商事及教育领域,是否应当如此普遍地应用人脸识别技术,放任人脸数据的广泛扩散?对此可从以下四个方面回答。
(一)与现行法相悖的人脸数据采集现状
《个人信息保护法》第二十六条明确表示:除被采集人亲自同意以外,只能出于维护公共安全的目的应用个人身份识别设备,且该目的与手段间的联系还应达到“必需”的程度。此外,据该法第27至29条,个人数据可被分为“已公开数据、未公开数据、对个人权益有重大影响的数据、敏感数据”4类,而人脸数据属于其中“对个人权益有重大影响的、敏感数据”,即除法律明确授权的特定国家机关外,其余主体必须经公民本人同意才能采集其人脸数据。
就“公共安全维护目的”这一要件而言,首先,众多采集人脸数据的行为明显不符合此目的,应当被果断禁止。这些目的包括:为了学生课堂监测、企业员工考勤,或为了在软件中换装、社交,或为了提升便捷程度而在自动贩卖机、智能家居产品、软件上设置的刷脸支付、刷脸登录等。其次,“公共安全维护目的”本身是一个只能被法律授权机构解释的、对应适用标准的概念。不能因为某一组织的客户为不特定多数人,或管理的场所具有一定的公共性,或管理的人数为多数等,就将其采取的所有管理措施认定为符合公共安全维护目的。因为作为具有社会属性的任一公民,无论自愿与否,时时刻刻皆处于某一组织的管理体系之下,就连经营小商铺的个体工商户也可以面向社会聘用职工,并承担着在其经营场所内维护公共秩序的义务。倘若将“公共安全维护目的”的概念解释权放由任一组织享有,将导致包括人脸数据在内的自然人的人格利益被组织的管理需求和营利需求无限吞噬。企业、学校和未被法律赋予公共安全监管职能的政府部门等无权将“公共安全维护目的”用作自己开展违法活动的借口。最后,绝大部分使用人脸识别技术的行为并非维护公共安全所“必需”,因为“必需”二字在逻辑关系上意味着“不得不”——倘若不利用人脸数据则必然导致公共安全遭遇现实、紧迫的威胁;相反,利用人脸数据“将有利于”公共安全,或将“更加”有利于公共安全,或公共安全面临的威胁“达不到现实、紧迫的程度”等情况,皆不能被定义为“必需”。正如前文所述,人脸识别技术的广泛应用是由商业资本在市场营利目的下主导的,而不是因为我国民商事或教育领域遇到了“只有”通过普遍地采集人脸数据“才能”解决的问题。
就“同意”这一要件而言,重点是判断被采集人是否有实质上的“意思自由”,而非以“被采集人是否口头同意或签字、是否反抗”等为依据。首先,在学校、企业等机构利用自己的强势地位采集学生、员工等的人脸数据的情况下,被采集人在此垂直关系中属于被管理的地位,对机构具有人身依附性,不具备与机构磋商的地位。被采集人若想继续上学或者工作等,就不得不接受机构的安排。因此,他们在形式上的表态不能作为判断其是否同意采集人脸数据的依据。其次,企业在经营当中往往通过格式合同与消费者订立人脸数据采集条款,且由于人脸识别技术在我国民商事领域的滥用,形成了同类企业在人脸数据采集行为上的一致性——垄断现象,消费者没有可替代的选择。最后,诸如居民小区、交通、特定活动门禁或人流量监控等擅自在某一区域采集人脸数据的行为,完全剥夺了被采集人表达反对意见的空间,被采集人甚至对自己的人脸数据已被监控摄像头采集的事实毫不知情。上述基于强势地位、格式合同、区域监控等实施的人脸数据采集,皆剥夺了被采集人的意思自由,不符合《个人信息保护法》中的“同意”要件。
但遗憾的是,在各类组织为方便内部管理而利用人脸数据,违反现行法律构建的“维护公共安全所必需”和“授权”这两项封闭式前提条件,并成为当前人脸数据非法扩散重灾区的情况下,《人脸识别技术应用安全管理规定(试行)》(征求意见稿)第8条竟然明确规定“组织机构为实施内部管理”可以使用人脸识别技术。这一与现行法精神相悖的条款应从该部门规章中删除,不得准予实施。
(二)“技术中立”理念无法为人脸数据的扩散提供正当性依据
伴随着计算机和信息技术的出现与发展,技术中立理论以《技术与文明》(Technics and Civilization),《技术社会》(The Technological Society)等作品为代表诞生于20世纪中叶,具有以下三重含义:第一,其核心要义是从技术哲学的角度认为技术本身不具有价值、立场倾向,仅是人类所利用的属于纯粹客观世界的工具,至于其最终被具体地用来行善还是行恶则完全取决于使用之人的主观意愿。第二,从核心含义延伸,在立法层面推论出:应当平等、不歧视地对待任何技术,不对特定技术施加限制性条款,从而尽可能地支持技术的自由发展与更替;同时,政府监管机构虽然可以为市场主体设定监管目标,但不能干涉市场主体为达到监管目标而选择任一技术的自由。第三,在司法层面推论出:责任是中立的,即技术使用者所造成的危害不能被归责于技术提供者,技术提供者可将“技术中立”作为抗辩理由以对抗被侵权人面向自己的责任追究请求,除非技术提供者主动参与实施侵权行为。将“技术中立”作为抗辩理由的司法实践首次出现于1984年美国联邦最高法院审结的“环球影业公司诉美国索尼公司”(Universal City Studios, Inc vs. Sony Corporation of America)一案中,该抗辩理由最终获得了法院的支持。
尽管法律界对技术中立理念耳熟能详,但该理念的逻辑却存在着重大局限。首先,任一技术都是按设计者的意愿所创造之物,它的预设功能、运行程序、使用场景、风险分配方式、应用结果等皆受到设计者的主观限制,因此任一技术绝非纯粹客观经验的集合,而是天然地承载着设计者的价值或立场偏好。其次,由于科研工作者必然会受到其所处的政治环境、工作环境、个人价值观或特定目的的影响,因此,科研工作并非完全中立地寻找自然界或人类社会运行的客观规律,而是存在立场的。法国哲学家奥古斯特·孔德(Isidore Marie Auguste Francois Xavier Comte)和德国社会学家马克斯·韦伯(Maximilian Karl Emil Weber)在“实证主义”和“价值中立”理念中仅表达了希望科研工作者尽量客观地发掘规律的“期许”,并非认为科研工作者群体是绝对中立的,相反,该期许表明两位先驱清醒地认识到科研工作者的“应然中立”与“实然非中立”间的区别;20世纪初,由美国哲学家威廉·詹姆斯(William James)和约翰·杜威(John Dewey)提出的“实用主义”理念进一步指出了科研工作必然为特定社会或个人目的服务的事实。再次,以何种方式使用技术、技术对社会的影响如何,要受到它所处时代的社会经济基础与文化的影响。相同的技术在不同时代中的角色定位、应用价值是有区别的。同时,技术也会反过来改变不同时代的人的生活方式、价值观和社会结构,甚至是一种社会控制形式。就连上述在其经典作品《技术与文明》中较早提出技术中立理念的刘易斯·芒福德(Lewis Mumford)本人也在该书中正面承认了技术的社会属性,但可惜的是,对于技术自由发展的偏执推崇和围绕技术形成的利益链条却似乎总是选择性地引用刘易斯·芒福德对于技术中立理念的阐述,而忽视了他对于技术中立理念的社会制约性和技术风险的提示。最后,社会实践已经明确表态,并非所有技术皆无善恶之分,不能不加区分地放任所有技术自由发展。例如,医学领域的换脑手术、人与动物混合胚胎实验,军事领域的生化武器技术,AI相关的脑机互联技术等,它们本身就是极具伦理争议的、存在较大安全风险的、应被严格控制甚至被禁止开发的技术。联合国《全球数字契约》中对控制数字风险的明确倡议、国际社会《禁止生物武器公约》中对生物武器技术的禁止、各国医学伦理委员会对医学实验的审查监督权等无不印证着:“技术中立”理念是有局限性的,与之相较,“技术是具有社会属性的非中立人造品”才更符合事实,故,应对不同技术进行区分性规制,以引导技术向善。
就人脸数据而言,它作为与自然人具有对应性的生物特征信息,固有人格伦理利益,而“技术中立”理念无法粉饰直接以人脸数据为利用对象的技术对自然人的侵略性。任何利用人脸数据的行为皆不能否定人脸数据与人格伦理利益间的联系,都必须在“特定行为目的”与“对人格伦理利益的保护”之间进行衡量、取舍,两者之间总有一方会在特定行为中遭受相对更大的损害。尤其是在“人脸数据已经于众多场景中被用作个人身份认证,数据易被复制、篡改、扩散,且人工智能软件的使用门槛极低”的现状下,滥用人脸数据的行为不仅会侵害自然人的人身和财产安全,也会威胁到以人脸识别技术为安全保障的各行业、社会及国家的运行基础。鉴于此,“技术中立”理念无法为人脸数据的广泛扩散提供正当性支撑。
(三)人脸数据安全保障的组织准备不足
《信息安全技术 数据安全能力成熟度模型》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等规范性文件为保障数据安全,皆对接触数据的机构及就职人员提出了一系列的监管要求,全面覆盖了数据采集、传输、存储、处理、交换、销毁等环节。其中,机构的义务包括:向行政监管部门主动汇报,接受第三方或上级监管机构的年度安全评估,定期进行内部风险评估,建立完善的内部安全管理制度、安全技术措施、数据安全事故应急预案、操作留痕追责制度,畅通社会监督途径等;就职人员的义务包括,接受个人安全背景审查,具备一定的技能专业水准,签订保密协议等。
但就实务中使用人脸识别技术、接触人脸数据的机构和就职人员而言,数据安全保障义务的履行情况呈现的总体特征为:除专门研发数据产品的企业,和便于工业和信息化部、市场监督管理局、消费者协会调查的线上App外,其余场景中的人脸数据安全保障措施漏洞百出甚至几近于无。其中,企业在内外部工作、学校在内部管理、居民小区在门禁等环节对人脸识别技术的应用更是人脸数据安全保障不达标的“重灾区”——人脸数据可于采集设备、传输设备、服务器、计算机等中被轻易读取,缺少严密的数据销毁制度、数据获取权限分级制度、数据操作留痕制度等。这使得人脸数据既可以被负责门禁或考勤的一线工作人员——保安、公寓管理人员、计算机一般维护人员、机构保密部门一般人员等轻易获取,也因机构内部的上下级间缺乏必要的独立性而可以被他们的上级领导等轻易获取。各就职人员的安全背景调查、专业技能培训等在控制人力成本的首要目标下亦流于形式。总之,实务中大部分涉及人脸数据的机构和人员达不到规范性文件要求的安全保障标准。
(四)世界各发达国家普遍限制人脸数据的利用
不论是人脸识别技术,还是以“刷脸支付”为代表的人脸数据商业模式皆源起于西方,但早在2018年就于全球人脸识别市场业务中占据绝对优势地位的则是中国。世界各发达国家并非缺乏达到应用水准的人脸识别技术,也并非没有试图通过人脸数据产业牟利的商业资本,而是人脸数据产业的发展被某些外在因素限制了。该因素包含两点:一是法律法规严格限制人脸数据的采集和使用,二是各类主体通过合法途径自发地抵制人脸数据的滥采、滥用。(表3)
该表格体现出以下规律:第一,除特定的国家安全案件和刑事犯罪案件以外,“严格限制或完全禁止采集、利用人脸数据的行为”是国际社会的共识。第二,在各个国家之内,抵制采集、利用人脸数据的主体包括了立法机关、司法机关、行政机关、企业、公民等,滥采、滥用人脸数据的行为是社会各阶层的公敌。第三,被勒令禁止的曾广泛采集人脸数据的主体主要为行政机关和企业,采集的目的为“管理需求”或“营利”。第四,世界各国的抵制浪潮从2018年起愈发激烈——涉及抵制活动的数量、程度、范围、权威性等,这与前文中商业资本的活动时间线相匹配,进一步验证了“人脸数据的扩散主要是由商业资本主导”这一结论。世界各发达国家在禁止广泛采集人脸数据的情况下,社会的安全和秩序并没有因此而陷入困境。例如居民及学生公寓等场所仅借助门禁卡就实现了对出入秩序的有效管理。即便是在风险更高、更隐蔽的金融及衍生品领域,它们亦在传统安全保障手段(手机短信、电子邮件、居住地址验证及设备绑定等)下运行得井井有条。以上事实无不表明:当代社会实无广泛采集人脸数据的需要,却有禁止商业资本主导的滥采、滥用人脸数据行为的必要。
表3 世界各发达国家对人脸数据应用的限制
“控源”具有两层含义:第一,就立法而言,法律法规应深入地与各类人脸数据行为相对接,具体地规制人脸数据的采集、储存、传输、销毁等环节,从而实现法律与科技在技术实操层面的嵌合,在根本上减少人脸数据非法扩散的情况。第二,就司法而言,不仅应根据有限的现行法实现个案正义,更需要在调整数据宏观秩序的层面,由浅入深地实现司法类案治理、溯源治理和社会治理的功能。据此,为保护人脸数据权而构建的控源型法律路径包含以下五个方面的内容。
(一)规制人脸数据的立法方向选择
立法对各类数据的规制方向选择有两种。其一,法律专门设立“数据权”这一独立的权利类型,将其赋予涉及数据来源、采集、处理、生成、使用、流通等环节的不同主体,并把该数据权细分为“控制权、经营权、处分权等”权能。“数据权”的概念由劳伦斯·莱斯格(Lawrence Lessig)于1999年首次提出,我国学者王利明等是支持单设数据权的代表。该立法路径的优势在于:各权利人可根据不同的权能内容和主观需求实现对数据权益的精准保护,并通过“授权许可”或“禁止声明”提前控制数据、预防其他主体侵权。然而,该理念也存在着下列弊端:首先,数据的产生、收集、储存、处理、生成、流通等诸多环节并非处于单向的线性静态,而是处于可以循环往复或者随机组合的不规则动态,其中牵涉的主体众多、无法预计。此时,若精细化地将数据权赋予所有相关主体,则会导致在同一数据上的权利主体过多,各权利主体之间相互掣肘,授权许可流程冗繁受阻,最终形成“权利泛化”[65]现象。其次,数据所携带的信息量和价值在使用、流通、再创造的过程中会不断增加,且数据市场的运行基础亦是数据的流通性,而上述“权利泛化”现象会使得各权利主体更倾向于使用在客观上抑制数据流通性的权利保护方法——非经权利主体提前授权,其他主体不得对数据进行任何处置。这既在较大程度上否定了数据的公共性——其他主体在未经提前授权下合理接触数据的可能,又损害了数据创新的积极性,压缩了数据的增值空间,破坏了数据市场的存在基础。再次,数据在被复制、共享、读取等后并不会损坏原数据,因此数据财产权利人之间在“权利的排他性”这一层面的利益冲突及对立并不如传统财产权人之间严重。
其二,在立法上不单独新设“数据权”这一权利类型或相关权能内容,而是在不同场景下将数据视为知识产权、物权、隐私权、经营权等的客体,以分别适用《著作权法》《民法典》《个人信息保护法》《反垄断法》《反不正当竞争法》等。此立法路径的优势如下:首先,它仅通过对现行法部分条款的增改就实现了对数据权益的保护,暂时规避了难度极高的数据权专门立法(国内的数据私权专门立法目前处于缺位状态,国际历史上曾相对成体系的欧盟《数据库保护指令》以失败告终),可以直接为司法裁判提供依据。其次,在该立法路径下,对数据的利用并非由初始的数据权益享有者完全控权即便数据权益享有者没有提前授权其他主体,其他主体也可以依据或类推适用《著作权法》第24条、第25条等规定的“合理使用”“法定许可”制度而径直利用特定数据。该平衡“数据控权与数据流通之公共秩序”的理念不仅有利于数据价值本身的增加和体现,也有利于利用数据的各主体和数据市场的发展。
从《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的导言及各具体条款来看,它们皆根据各部门法(《民法典》《中华人民共和国网络安全法》《消费者权益保护法》《电子商务法》)判断原被告的实体权关系,因此我国目前采用的是第二种立法路径。也正是由于未单独设立数据权,我国当前对数据私权的保护力度不及采用数据权立法路径的欧盟国家及英国,也不及虽同样未单设数据权,但在隐私法领域立法较为严密、能够通过判例不断更新隐私保护标准的美国。对此,王利明等学者明确指出,数据权益与不正当竞争行为、市场竞争秩序、知识产权、个人信息权等之间存在着区别,因此数据法律关系不能作为《反不正当竞争》《著作权法》《个人信息保护法》等的客体,鉴于此,应在未来单独设立数据权。
(二)否定人脸数据的市场流通性
滥用人脸数据的行为隐匿于蓬勃发展的数据交易市场中,并以数字社会的大环境为自身非法性的掩饰。从《“十四五”数字经济发展规划》到《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《数字中国建设整体布局规划》,从上海、深圳数据交易所揭牌到国家数据局成立,再到各地算力中心的接踵建成等——我国已将数据交易市场视为社会发展的重要组成部分。
导致人脸数据扩散的症结是以营利为目的的商业资本,因此,必须回答“人脸数据在我国数据交易市场中应处于怎样的地位”这一问题,才能在全国市场制度与生产力端揭露:利益导向的人脸数据滥采、滥用行为的本质是“不应被市场规范所承认的违法交易”。即国家在建设数据市场和发展“新质生产力”时,并未批准将人脸数据这一事关人身、社会与国家安全的敏感数据交由市场自由处置。
《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》第3条将数据分为公共数据、企业数据、个人数据三类。其中的企业数据又可被细分为企业公开数据、企业秘密数据和企业知识产权数据。不同数据的流通性、公共性各有不同。就公共数据以及企业公开数据而言,国内外司法实务对于其流通性的裁判尺度是不一致的。作为《中国数据交易市场研究分析报告(2023)》承认的全球最大数据交易市场所在国,美国对上述数据的裁判尺度经历了从“严格控权”到“流通性优先”的转变。彰显这一转变的相应判例分别是德克萨斯州北区法院于2004年审理的“Southwest Airlines公司诉Farechase公司”案、《联邦补充案例》于2013年收录的“Craigslist公司诉3Taps公司”案以及《联邦判例》于2019年收录的由美国第九巡回上诉法庭审结的“hiQ Labs公司诉LinkedIn公司”案。欧盟《通用数据保护条例》亦将“数据自由流通”列为立法目的。但对“是否合法”与“是否需要付费”的认定是两个不同的问题——只有当数据行为被判违法时,才能推论出侵权方须向数据权益享有者付费的结论,而当未经许可的数据行为合法时,数据行为方是否需向数据权益享有者付费就是一个需要再独立认定的问题。与之相较,国内司法实务对数据流通性的裁判是矛盾的。以“北京微梦创科网络技术有限公司诉云智联网络科技(北京)有限公司”案、《2023年人民法院反垄断和反不正当竞争典型案例》收录的“北京字节跳动科技有限公司诉北京创锐文化传媒有限公司”案为例,部分法院坚持其他主体必须在获得授权许可的情况下才能收集、利用数据,否则即为违法。而“上海汉涛信息咨询有限公司诉北京百度网讯科技有限公司、上海杰图软件技术有限公司”案则允许被告在未获授权许可的情况下收集、利用原告的数据。上海知识产权法院在裁判理由中认为:并非所有源自原告的数据都应由原告享有数据权益,相反,许多数据依信息公开政策应为属于公共领域的、可被任何主体径直免费利用的数据。
对于个人数据、企业秘密数据、企业知识产权数据而言,它们通常须经授权许可才能被权利人之外的其他主体利用,但亦有例外情况,例如:企业知识产权数据要受到合理使用与法定许可制度的约束;国家安全机关、公安机关为打击犯罪可在特定案件中采集、利用相关数据;司法执行机关可按执行依据对特定数据进行执行等。就对人脸数据等个人数据的限制而言,国际上在“授权许可”这一条件之外有着更高的要求。纵观英国《数据保护法》第二条、第三十五条至四十二条之规定,对个人数据的保护有以下六项原则,以规制执法机关:第一,任何对个人数据的处理都必须合法且公平,其中,对于非敏感个人数据而言,达到“合法”标准的条件是“被采集人的授权许可”或“执行特定任务所必须”,但对于包括人脸数据等在内的敏感数据而言,达到“合法”程度的额外条件是“特定层级以上的政策文件的特批”。第二,收集个人数据的目的必须是明确的、特定的,而不能是笼统的。第三,处理数据的方式不能超过目的的涵摄范围。第四,被收集的个人数据不能存在明显差错或过度老旧的情况,任何逾越特定执法目的的个人数据须被及时删除,确保既有的个人数据不会被传输给与特定执法目的无关的其他主体。第五,不论特定执法目的是否已经达到,任何个人数据都有保存时间限制,且还须定期审查是否需要继续保存现有的个人数据或作出缩短保存时间的决定。第六,任何个人数据都必须在技术、组织、制度等层面设置安全保护措施。欧盟《通用数据保护条例》第五条与英国《中华人民共和国数据保护法》设置了相似的原则;其第六条规定,对个人数据的处理必须与收集数据的“初始”目的相一致;第七条规定,被采集人有权随时撤回其授权;第十七条规定,被采集人有权要求数据的控制者在多种情形下删除其个人数据;第十八条规定,被采集人有权限制控制者对数据的处理;第二十一条至二十二条规定,被采集人有权反对个人数据被用于包括网络、计算机、机器在内的可自动化处理数据的技术系统等。我国保护数据的相关法律法规虽尚未如此精细,但对于人脸数据在内的个人数据流通性的限制亦有大致规定。《中华人民共和国网络安全法》第四十一条规定,只能收集与提供的服务相关的个人数据;第四十二条规定,网络运营者不得向他人提供自己掌握的个人数据;第四十四条规定,任何主体不得向他人非法出售或非法提供个人数据。《数据安全法》第三十二条要求对数据的收集、利用必须符合法律法规的目的和授权范围。《中华人民共和国个人信息保护法》第二十八条、三十二条要求收集人脸数据等在内的敏感数据时必须具有特定的目的和充分的必要性,且获得相关的行政许可。
总之,国内外的法律法规皆对人脸数据这类敏感数据在合法性、利用目的、利用方式、保存期限、传输限制、撤回权限、政策许可等方面有诸多规定,人脸数据在传输特点上体现的是数据来源主体与收集者间一对一的闭环,它无法如其他数据般在不同主体间实现查阅、传输、买卖、处理等的自由。因此,“人脸数据不具备市场流通性”是国内外现行法的共识。
(三)重构人脸数据授权许可的认定标准
“知情—同意”原则是国内外共同承认的利用人脸数据的首要原则,各国对相应制度的设计互有差异。欧盟《通用数据保护条例》对“知情—同意”的标准设定得十分严格,它要求:主体间基于合意而采集、利用人脸数据的行为必须在符合该条例的前提下进行;公民被采集人脸数据之前应被明确告知数据的采集方式、目的、用途、保留期限等;公民“同意”的意思表示必须是在自愿的基础上作出的;公民用书面方式签订的同意条款必须与数据授权合同中的其他条款明显区分开来;对数据的采集必须在最小必要原则下进行;数据控制者对“知情—同意”的事实承担全部举证责任,公民不承担任何举证责任;公民可随时撤回自己的同意等。我国对“知情—同意”的认定则相对宽松,相关条款集中于《个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《中华人民共和国网络安全法》,散见于《中华人民共和国数据安全法》《民法典》《刑法》等法律法规中。尽管我国的法律法规同样规定了“与特定目的相关、取得公民的明确同意、告知数据处理的方式和范围等”限定条件,但并没有如国外对人脸数据流通性的规制般将该限制延伸到人脸数据可能流转的全流程里,且数据控制方关于人脸数据的约定是笼统、不全面的,这就难以形成一对一、封闭式的数据流转闭环。
不仅如此,我国较为宽松的认定标准所带来的问题还会因以下社会因素被放大。首先,在垂直的人身关系中,被采集人以书面、口头等方式表达的同意往往并非真实的意思表示。其所处的人身依附地位使得被采集人在前提条件方面就天然地失去了意思自由的基础,这以学校及企业低成本、高风险地分别将学生和职工的人脸数据应用于门禁、考试、考勤等为典型例证。其次,由于规制不严所导致的部分行业普遍使用人脸识别技术的现状,已经形成了迫使消费者必须提供人脸数据才能购买该行业服务的捆绑销售、垄断环境,这以支付宝、微信、银行、度小满等提供支付、借贷等业务的金融行业为代表,且市场上缺少不需要人脸数据的金融竞品。再次,即使在法律上预设平等的关系之间,被采集人迫于对维权成本和后果的担忧亦难以反抗人脸数据的滥采、滥用。例如,在居民小区利用人脸识别设备作为门禁时,尽管住户和物业之间是基于物业服务委托合同而建立的平等契约关系,但是某一住户对人脸数据权的维护可能会导致家庭生活在各方面遭到物业团队的恶意针对、其他用户的故意排斥。最后,在某一活动场域内使用人脸识别技术时,进入该场域的被采集人有时对自己的人脸数据已被采集的事实并不知情,或者没有表达是否同意的途径。例如,在某一旅游景点、体育场馆内,管理者利用遍布各处的监控摄像头直接采集任何经过的主体的人脸数据,以实现对行人身份、人流量、行人位置、旅游或观赛偏好等的分析。此时,进入旅游景点或体育场馆的行人虽然可以预见到自己处于摄像头的监控下,但很难预见到自己的人脸数据被采集并利用。即使行人能看到在场域内张贴的关于人脸数据采集的告示,但其往往过于简短且行人没有向管理者表达同意与否的空间。该告示在法律之外创设了一种“默认授权模式”:只要张贴了告示,且行人没有明确将反对意见传达给管理者,那么管理者就默认行人已经同意,这实际上是管理者自己向自己授予人脸数据的采集、利用权。再者,即便行人向管理者当场作出了反对的意思表示,管理者基本不会理睬,行人只有“离开”或者“全盘接受”这两种选项,没有磋商的余地。
改善我国过于宽松的人脸数据授权许可规则的路径是:建立“以禁止采集、利用人脸数据为原则,允许人脸数据处理为例外的、主动控权型制度”。该制度借鉴欧盟《通用数据保护条例》、英国《数据保护法》,同时考虑到《人脸识别技术应用安全管理规定(试行)》(征求意见稿)之规定,应于现行法的基础上修改或增加以下内容:第一,在对人脸数据采集及利用行为的合法性上实施“法无规定即禁止”——凡是法律没有明确授权之处即视为禁止处理人脸数据,只有在法律明确授权的范围才能处理人脸数据。第二,将《人脸识别技术应用安全管理规定(试行)》(征求意见稿)第七条至第十四条以“封闭式列举为主、概括式为辅”这一确认人脸数据可得利用范围的方式作为相关法律的主要立法技术;明确相关行政主管部门依照上位规范制定更加细致的准予利用人脸数据范围的目录的责任,例如,国家互联网信息办公室等部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》从保护消费者信息、限制捆绑销售的角度,详细地列举了多类App收集的必要个人信息的范围,并在第四条规定“App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务”。第三,所有对人脸数据的许可必须是两主体间一对一的特别授权,而不能在主体、内容等方面采取概括授权形式。对概括授权形式的否定,也意味着否定了《个人信息保护法》第二十二条——“只要接收方不变更原先的处理目的、处理方式,就不需要重新取得个人的同意”,相应理由会在下文中对《个人信息保护法》第二十二条的评述部分集中展现。第四,凡是在被采集人处于弱势地位(垂直关系)或维权成本过高的情形下,被采集人与数据采集者、控制者之间的契约不能构成合法认定的充分条件,与之相较,实质意思自由才是契约合法、有效的条件。第五,任何情况下不得以默示或近似默示的方式建构授权许可。第六,任何国家机关、其他公共机构利用人脸数据的行为不仅需有法律的支撑,且必须得到权威级别足够高的、签发人明确的行政或司法授权文件;该授权文件不能是概括授权,而只能在每一次的数据采集需求发生时进行具体授权。第七,出于科研、教学等目的使用人脸数据的,不能类推适用“合理使用”之规定,而必须征得被采集人的同意。第八,授权条款、涉及被采集人权利与义务的条款必须与其他条款明确区分开,不得作为其他条款的一部分,或如《人脸识别技术应用安全管理规定(试行)》(征求意见稿)第九条之规定,不得作为实现其他目的的捆绑式、附加性条款。
(四)完善人脸数据的监管组织体系和数据库标准
对已被采集的人脸数据的安全保障不能完全交由行业标准或企业标准等自我监督机制,而须由法律搭建监管组织的框架,及在一定程度上明确对既有数据库的管理要求。
1.人脸数据监管组织体系的完善
在人脸数据的监管组织建设方面,我国目前适用的“地方网信部门备案制”难以为人脸数据提供应有的保护。其存在的问题如下:首先,工业和信息化部颁发的《工业和信息化领域数据安全管理办法(试行)》第十二条、国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》第十五条只要求控制者、处理者将数据的目录或使用数据的目的、规模、方式等向地方网信部门备案,并未要求各主体在采集、使用人脸数据之前取得地方网信部门的行政许可。这实际默许了各主体可以根据自己的需要先直接采集和处理人脸数据,而后再向地方网信部门备案。即便地方网信部门嗣后否定该数据行为,也难以挽回可复制、易转移的人脸数据已非法扩散的后果。其次,上述规定只赋予了地方网信部门对备案材料进行形式审查的权力,而没有赋予其实质审查权,这使得地方网信部门易受虚假备案材料的蒙蔽。再次,没有规定地方网信部门的法律责任,易导致地方网信部门对备案材料的监督流于表面,即在地方网信部门不对备案资料提出异议、该人脸数据行为又实际违法的情况下,没有规定地方网信部门应该向被侵权人承担怎样的责任。
鉴于此,应对我国的“地方网信部门备案制”作出以下改善:第一,既然《个人信息保护法》《中华人民共和国网络安全法》《信息安全技术 网络数据分类分级要求》《工业和信息化领域数据安全管理办法(试行)》等规范皆在“数据分级分类”思路下强调对人脸数据的区别对待、特别保护,那么就应采用“审批制度”:(1)要求相关主体在特定的人脸数据采集、处理等活动之前获得地方网信部门的批准,而非延续当下的事后备案制度;(2)将人脸数据等凡是以生物特征信息为直接利用对象的相关行业纳入特许经营范围,而非如当前般仍将门槛非常低的“注册”作为行业准入条件。此外,也只有事前审批制度才能与前文“改善我国过于宽松的人脸数据授权标准”中的对策——“由法律法规明列人脸数据的准许利用范围”相协调。但遗憾的是,《人脸识别技术应用安全管理规定(试行)》(征求意见稿)在特定人脸数据处理活动的相关规定上并没有实现从备案制到审批制的突破。
第二,应向被采集人公示作出行政许可的地方网信部门,且该部门应当承担持续监督数据控制者和处理者、受理人脸数据侵权纠纷、提供行政救济渠道的职责。当然,这一职责与公安机关、市场监督管理部门等对人脸数据纠纷的行政管辖权是并存关系。此外,被侵权人有权对怠于提供行政救济的地方网信部门提起行政诉讼。
第三,借鉴欧盟《通用数据保护条例》第三十七条至第三十九条之规定,从三个方面增加我国《网络数据安全管理条例》《信息安全技术 网络数据处理安全要求》《工业和信息化领域数据安全管理办法(试行)》等设定的数据控制组织内部安全责任人的权力和独立性,这包括:由数据安全责任人负责受理公众的数据维权或权利行使要求,并向地方网信部门备案数据安全责任人的个人身份信息,避免数据安全责任人因数据的转移而无法被追踪;数据安全责任人在组织内部只向最高职级的管理者负责,在组织外部直接与地方网信部门、公安机关、市场监督管理部门等进行工作对接,包括但不限于《网络数据安全管理条例》第三十条、第三十三条规定的单独报告权、定期风险评估权;数据安全责任人须监督人脸数据的销毁,其责任原则上不随企业并购、重组、破产等组织形式的变化而变化,但经地方网信部门批准及记录,将职责明确转交由其他数据安全责任人承担的除外。
2.人脸数据库法律规制的完善
在对人脸数据库的法律规制方面,基于对欧盟《通过数据保护条例》、英国《数据保护法》与我国《个人信息保护法》《工业和信息化领域数据安全管理办法(试行)》《网络数据安全管理条例》《人脸识别技术应用安全管理规定(试行)》(征求意见稿)等规范之比较,应作出以下改善:第一,虽然我国现行规范着重强调了须在处理人脸数据“之前”将处理方式、目的、保存期限等告知数据主体,并向数据主体提供查阅、复制该数据的途径,但实际上,能够威慑并遏制数据侵权行为,或在纠纷发生后证明数据侵权行为存在的关键是人脸数据被采集“之后”的“数据处理记录”,因此,应当增加规定——数据控制者有义务向数据主体提供查询、复制数据处理记录的途径,须定期向数据主体发送数据处理记录,并对该记录的全面性、时效性、准确性负责。此举措,不仅可以及时地固定证据,而且可以在纠纷中明确数据记录被篡改、前后矛盾或记录不完整时的法律责任。至于现行规范所赋予的行政监管机关提取数据处理的权力,则受限于行政监管的滞后性,给数据控制者留下了在纠纷发生之后篡改、销毁记录的空间,远不如“直接将权利赋予数据主体或要求数据控制者定期向数据主体发送记录”这一举措般切中要害。
第二,我国现行规范要求人脸数据的处理记录和风险评估报告等材料等“应最少保存三年”,此规定易被数据控制者用作减轻其法律责任、故意隐藏侵权证据的借口——由于没有明确规定数据控制者在三年之后是否还有保存相关记录的强制性义务,故数据控制者可以用“距离特定数据行为已经超过三年”这一理由主张自己“无法提供相关记录”的行为不违反现行法、已满足了法律的强制性要求,从而对抗监管机构和被侵权人。对此,应将责任期限的相关规定更改为:(1)数据控制者在合法控制数据期间内,应保留人脸数据从被采集至今的所有相关记录;(2)当数据控制者已依法销毁、转移人脸数据时,原数据控制者应从销毁、转移行为发生之日起至少保存相关记录三年;(3)若数据控制者存在超越合法期限控制人脸数据的行为,则在数据侵权纠纷中,对该数据控制者适用“过错推定”这一举证责任规则,即是,若数据控制者无法证明该侵权与自己无关的,则推定数据控制者对侵权事实的发生存在过错,应向被侵权人承担法律责任。提出上述修改意见的依据为:其一,《最高人民法院关于民事诉讼证据的若干规定》第四十八条规定:“控制书证的当事人无正当理由拒不提交书证的,人民法院可以认定对方当事人所主张的书证内容为真实。”这一可得在多种证据中类推适用的文书提出命令制度,是对司法实务中强势方往往利用优势地位隐藏证据的经验应对。现行规范未对三年之后的人脸数据记录作强制性义务要求的表述,实际上给予了潜在的侵权人挑战文书提出命令制度的借口。其二,能证明事实或支撑诉讼请求的证据必须是“连续”的证据链,对同一数据的多种数据行为也是“连续”的。依现行规范,数据控制者只需提供距今三年之内的数据记录,而对三年之前发生的诸如数据采集等记录不负强制性的法律义务,这使得数据控制者有只向监管机关[、]司法机关提供不完整记录的余地,从而隐藏其侵权事实。其三,从数据本身的特征来看,它不会像其他资产般随时间的推移发生资产折旧的事实或产生计提资产减值的需要,相反,它有不断被复制、流转、利用的可能与价值。这意味着一旦人脸数据被采集,流入合法或非法市场,那么从总体上看,该人脸数据就面临着在不同主体间被近乎永久储存、流转、利用的可能与威胁。其四,“动态延长记录保存期限,要求三年时间的起算点应是数据被合法销毁、转移之时”这一建议,与前文中“数据安全责任人的责任原则上不随企业并购、重组、破产等组织形式的变化而变化”这一方案是相互协调、配合的。
第三,《个人信息保护法》没有认识到人脸数据这一生物特征信息在“匿名”环节的特殊性,应予以更正。《个人信息保护法》第四条规定,个人信息不包括匿名化处理后的信息;第七十三条规定,本法所称的匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。但是,包括人脸、指纹、虹膜、DNA等在内的生物特征数据只要未被销毁、损坏,便必定可以经由大数据对比等技术手段而直接锁定特定自然人,这与书信、行踪、财产状况等非生物特征信息只要与自然人姓名、身份证号、联系方式等相剥离就可以实现匿名化的情况是天差地别的。尤其是在人工智能技术的应用门槛已经平民化,众多主体都可以利用各类人脸智能软件进行网络大数据检索、对比的情况下,不能因为数据库中的人脸数据与姓名等要素之间实现了信息隔离就认为人脸数据已经无法与特定自然人对应,继而认定人脸数据已非个人信息。《个人信息保护法》对人脸等生物特征数据在“匿名”环节的认识缺漏被《人脸识别技术应用安全管理规定(试行)》(征求意见稿)反衬了出来。《人脸识别技术应用安全管理规定(试行)》(征求意见稿)第17条规定,除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。这一规定表明:实务中人脸数据的匿名化实际上只是人脸原始图像等在不被销毁、损坏的前提下与其他个人信息之间的剥离[,]无法达到《个人信息保护法》对“匿名化”的要求——个人信息经过处理无法识别特定自然人且不能复原;从另一方面阐述,即是,若要使生物特征信息与特定自然人之间剥离,则只有对其进行销毁或损坏,没有折中地进行匿名的余地。鉴于此,《个人信息保护法》第四条、第七十三条应为人脸数据等生物特征信息设置例外条款,从而使其能从始至终地处于个人信息相关规范的保护之下,避免数据控制者通过技术上的处理致使生物特征信息被错误地认定为无法与特定自然人对应,继而致数据控制者逃脱监管、肆意滥用人脸数据。此外,还应在上述法律法规的基础上增加要求:对收集到的任何人脸数据,都应当在技术上为人脸数据与其他个人数据的链接间设置两套不同的访问秘钥,进行隔离化、匿名化处理,防止数据泄露后出现个人敏感信息全面暴露、数据非法控制者轻易根据被采集人的“数据画像”伪造身份的情况。
第四,应当要求数据控制者删除其收集到的不相关信息,而非允许其保留。《网络数据安全管理条例》第二十四条、《人脸识别技术应用安全管理规定(试行)》(征求意见稿)第十八条在数据控制者收集到不相关的人脸数据时,竟允许其在实现匿名化(上述规范中的匿名化仅指人脸数据与其他个人信息之间隔离)处理之后保留不相关的人脸数据。上述规定架空了我国现行法对人脸数据只能在“数据主体特定授权”“维护公共安全”的前提下被利用的限制性条件,使得数据控制者可以以“不经意、无法避免”为借口,收集未被授权、与公共安全无关的人脸数据。对此,应当明确要求数据控制者必须删除不相关的人脸数据,不得以任何理由保留不相关的人脸数据。
第五,数据采集者不得在任何范围内与被采集人约定人脸数据的“专有授权”条款,即不得在任何情况下禁止被采集人处置自己的人脸数据或禁止其他主体合法地处理被采集人的人脸数据。
第六,人脸数据的控制组织被兼并、重组、破产的,应当在数据转移之前重新征询被采集人的同意,而非如《个人信息保护法》第二十二条、国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》第三十一条,或参照《企业破产法》之规定将人脸数据视作可以在破产等情况下被径直转移的一般财产。数据主体在考虑是否授权数据控制者处理其人脸数据时,既会对对方的资质、信誉进行考量,也会为了保护人脸数据而主动限制可得授权的主体数量。但《个人信息保护法》第22条规定的“只要接收方不变更原先的处理目的、处理方式,就不需要重新取得个人的同意”,它否定了数据主体在授权时对对方主体资格进行考察和选择的权利,且无法应对以下现象:(1)数据侵权人先以资质较高的公司骗取数据主体授权,而后将人脸数据转移给空壳公司以实施侵权行为,并将法律责任从自身转由空壳公司承担,数据主体在纠纷发生后实际上无法从资产几尽于无的空壳公司处获得任何赔偿,亦无法向遵守《个人信息保护法》第二十二条的原采集公司索赔——因为证据只能显示侵权行为是空壳公司所为,而非原采集公司所为。(2)无需经数据主体重新同意就允许数据控制主体进行变更的规定,打开了人脸数据一旦被采集即意味着“失控”,并在各数据经营主体间不断被买卖的“潘多拉魔盒”。待数据侵权事实最终被发现时,不仅人脸数据已经大面积扩散,且数据主体个人根本无力向法院提交从数据最初采集者到数据最终接收者之间证明数据侵权事实、侵权责任分配的完全证据链,因为现行规范在此情形中将数据主体视为对数据转移没有话语权和控制力的“旁观者”。
(五)重视个人信息检察公益诉讼以保护人脸数据权
在既有的消费、环境公益诉讼之外,2021年实施的《个人信息保护法》第七十条增设了“个人信息公益诉讼”,拓宽了人脸数据司法救济的途径。在我国数据私权法暂时缺位的现状下,相较于被侵权人提起的私益诉讼而言,公益诉讼能更好地在案源层面实现保护人脸数据权的法律效果和社会效果,因而应提高它在司法实务中的应用频率。该诉讼制度的运行机理及优势缘由如下:第一,数据侵权案件皆具有“证据偏在”的特征——查清案情所需的人脸数据和数据处理记录皆储存在被告控制的服务器及其他终端中,被侵权人只知证据所在之处,而不掌握证据本身。且被告在法院等国家权力机关依《民事诉讼法》第六十七条等法律法规强制调取证据之前,既不会允许被侵权人查阅证据,又可以轻易地篡改、隐匿、转移、删除数据。司法实务中决定诉讼胜负的关键就是证据,而处于“证据偏在”困境中的被侵权人,既没有当场查封数据证据的权力,又没有打破被告设置的信息技术障碍的手段,这使得被侵权人在数据侵权案件中无一例外地处于诉讼弱势地位。但当以国家强制力、法律监督权为后盾的检察院提起个人信息公益诉讼时,可在被告使用技术手段篡改、隐匿、转移、删除涉案数据前,及时、充分地调动公安、网信监管部门和网络通讯国有公司(指中国联通、中国移动、中国电信等通讯网络服务公司)的技术侦测力量,威慑被告的证据违法意图、破解被告设置的信息技术障碍,从而弥补证据偏在的弊端。
第二,涉案数据与非涉案数据往往被混杂地存储在同一介质中,这使得调取个案证据的过程既是一个需要控制、甄别非涉案数据的过程,也是一个需要不断取得其他权利主体对非涉案数据授权的过程,由此,他人的数据权在客观上增加了被侵权人的维权难度。纵观国内外司法实务,调取数据的技术手段只有两种:其一,对数据的储存介质进行物理意义上的查封、扣押;其二,先从储存介质中识别出涉案数据,而后只控制涉案数据,而不查封、扣押储存介质。无论采用上述何种技术手段,都无法避免地会触及非涉案数据的权利人的合法利益。这些非涉案数据的权利人,既可能是侵权人(如侵权人的公司运营数据),也有可能是其他被侵权人(如被非法采集人脸数据的其他人),还有可能是其他个体(如使用同一介质存储私人数据的侵权公司的职工)等。面对众多的其他权利主体,个案中的被侵权人很难以自然人身份取得他们的一致授权。当被侵权人在未经授权的情况下为维护自己的权利而强行控制涉案证据时,则有可能在法理上被认定为“滥用权利”,在部门法上构成《刑法》《个人信息保护法》中的破坏计算机信息系统罪及民事侵权。解决“授权难题”的可行途径,就是寻得一个具有公信力的、较大可能统一取得其他权利主体授权的原告——检察院。此外,相较于被侵权人,由于其他主体在检察院所代表的国家权力面前更倾向于配合,因而检察院在征询授权的过程中所付出的诉讼成本(金钱及时间)显然更低。
第三,个人信息检察公益诉讼既是“国家治理的现代化、司法化”的实现方法,亦具有“民事公诉权”这一坚实的国家权力基础。在我国全国人民代表大会这一最高国家权力机关的统筹之下,立法权、行政权、监察权、司法权等皆源自国家权力,对国家权力负责,是国家权力机关治理国家的细分手段。因此,检察机关对法律监督职责的履行实则是全国人民代表大会授权其在特定范围内参与国家治理的结果。此外,检察系统直接依据《宪法》第134条提出的“能动检察”理念,赋予了各级检察院主动、广泛的法律监督权,使得其工作范围不再局限于对国家机关及其工作人员的监督,也不再局限于各部门法的授权范围,而是可以对其他类型主体(公民、公司、事业单位、民事团体等)的任何违反法律的行为皆进行监督。尤其是在我国人工智能法、数据私权法缺位的情况下,若仅由处于被动地位的法院依据滞后的现行法实施司法治理,不仅难以规范我国的数据秩序,亦难以在新型、多变的数据纠纷中为权利人提供合理救济。不仅如此,由于个人信息公益诉讼可以有效地整合类案,且检察院亦能在诉讼之外依法律监督权进行更深入、系统的调查,这便有利于追溯至数据侵权的源头。
从原因力的角度观察,人脸数据扩散的主要因素是商业资本的推动;从监管的角度观察,主要因素则是没有处理好人脸数据在技术应用中的“便利性”与“必要性、风险性”之间的关系。数据易于复制、转移、保存等特点意味着已扩散或泄露的人脸数据难以在嗣后救济的层面被绝对销毁,这要求法律须尽量精准地规制人脸数据的采集、利用、存储、流转、销毁等各环节。遗憾的是,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等法律法规围绕着现行的“备案、投诉”和“起诉”机制,将人脸数据权的保护停留在被动的行政监管及行政救济、司法救济层面,而非要求政府相关部门在人脸数据被采集之前主动、积极地实施实质性行政审查。这不仅导致在人脸数据规制过程中呈现出“只治标(待人脸数据滥用行为侵权时才救济个案),不治本(不严格限制人脸数据的采集)”的特征,也使得人脸数据的安全保障成本实际主要由被侵权方承担。“嗣后的法律救济”不是适用数据及人工智能法的唯一目的,“在信息技术的实务操作流程中即与其嵌合”才能在更大程度上彰显其价值,因此,对人脸数据滥采、滥用现象的规制必须着重“限制数据采集行为”,并重“持续动态监管其他环节的数据行为、提供权责一致的救济渠道”。