近年来,以人脸识别为代表的生物识别新技术、新应用飞速发展,广泛使用于安防、金融、医疗、支付、教育、文娱等诸多领域中,为我国数字经济社会发展带来了新机遇。但与此同时,人脸识别技术滥用的风险也在不断加剧。基于此,对外经济贸易大学法学院、数字经济与法律创新研究中心于2023年1月9日下午采取线上线下结合的形式,召开“人脸识别法律治理暨《人脸识别产业法律治理白书》”研讨会,来自北京大学、中国人民大学、中国政法大学、中国社科院大学、北京航空航天大学、华东政法大学、《中国法学》杂志社、中国信通院、对外经济贸易大学等科研单位的专家学者,来自百度、阿里、美团、蚂蚁集团等产业界代表和相关政府部门的与会嘉宾相聚一堂,就人脸识别技术的风险挑战与监管规制路径展开深入研讨。
会议由对外经济贸易大学数字经济与法律创新研究中心主任许可主持,对外经济贸易大学法学院院长梅夏英教授首先发表会议致辞。梅夏英院长对参与本次研讨的各位产业界、学术界乃至监管部门的领导与专家们表示诚挚的感谢与欢迎。就人脸识别问题,他认为人脸识别与信息保护不可混为一谈,人脸本身并不具有涉密性,经采集、识别、处理从而实现人脸信息化,并且除了在人格权、肖像权保护,信息本身公开人格权益实质上较低。梅夏英院长强调,人脸识别的风险产生于依托网络技术进行利用的不可控过程,我们应当肯定人脸识别从应用场景和风险等级方面设计人脸识别方式,考虑使用人脸识别技术应用的合理性、必要性和危险点,发现隐藏风险并快速斩断。
中国人民大学法学院教授、网络与信息法学研究会副会长张新宝开启了“第一单元:人脸识别治理多维视角主题发言环节,针对人脸识别个人信息处理发表重要观点。首先,张新宝教授指出近年来人脸识别的泛用与滥用方面存在四大严重问题,即处理人脸识别信息缺乏合法性基础、背离原始采集目的用于其他场景、泄漏引致人身和财产安全隐患、超过保存期限未及时删除等。接着,张新宝教授进一步分析中国当下针对人脸识别信息处理的治理现状,早在2021年《个人信息保护法》正式出台之前,《民法典》和《刑法》修正案都对有关个人敏感信息做出保护性规定,最高人民法院也及时发布《最高院关于人脸识别技术处理个人信息的司法解释》,为后续各级人民法院处理相关案件提供裁判依据,卫健委、人民银行系统等政府部门层面也曾制定一些规章来应对具体问题。最后,张新宝教授关于依法治理人脸识别信息处理提出发挥网信部门统筹协调和监督职能,坚持政府主导、多方参与、制度完善和重在实施的总体建议,并从公共场所、小区物业、学校、企业、金融机构以及医疗机构等人脸识别技术应用较多场合出发,希望相关部门尽快制定或是完善关于监控设置、身份识别方面的规范。
百度公司副总裁吴梦漪从产业界视角发表对于人脸识别关涉技术探索、监管治理、数据合规等多维度工作方面的观点。吴梦漪副总裁分享了技术驱动型企业在合规实践方面应对当下新形势的具体做法:一是合规实践需自上而下进行设计,同时要从顶层向下推进,持续完善管理架构;二是企业从规章制度层面明晰责任,基于数据分类分级建构内部数据管理制度体系,并合理配套相应的数据治理流程;三是重视对规章制度的执行,企业内部涉及数据治理工作人员需要结合不同业务场景与特点通力协作,整体提升合规实践的具体贯彻效果。此外,行业组织积极建构人脸识别安全合规技术标准,头部优势企业加强技术能力和解决方案的输出,政产学研界加强多层次多方面交流互助等社会相关利益方共同参与、协同共治行动,打造健康发展的人脸识别应用市场。
国家互联网应急中心高级工程师张震指出,人脸识别技术应用范围非常广泛,小到支付、身份验证,大到国家级对抗,整个这个行业已经到了不可逆反的快速通道。张震博士认为应当从采集侧思考人脸识别治理的解决路径。首先,在人脸采集方式滥用问题上,一方面企业使用人脸识别技术的必要性范围需要清晰界定,另一方面不同应用场景下采集人脸信息的设备参数如何规定,以及不必要的高分辨率采集行为所引发的风险由谁承担需要进一步明确。其次,脸识别应用行业需要健康有序的正向引导,根据场景的实际应用,在安全性、特异性与精准度上做到有倾斜的投入。再次,在分类分级场景明确上达成业内共识,让企业能够按照约束范围采集相关数据。最后,产业要重视数据安全储存上,时刻警惕未来黑灰产或许会利用人脸信息对个人人身财产、社会市场经济乃至国家安全产生不可预知的破坏性影响,建议尝试采取云端分离、数字加密、提取局部特征等方式来存储数据,最大限度保证原始数据的安全性。
中国信通院互联网法律研究中心主任方禹由俄乌冲突过程中乌方分析俄方士兵面部快速追踪到其家人信息的案例,生动说明当下人脸识别技术运用空间大、滥用风险高。方禹主任进一步分享关于人脸识别应用治理的思考:一是依托《个人信息保护法》加强对个人信息权益的保障;二是在明确表态或严或宽的管理趋势后设计相应的法律制度进行专门规制;三是借助专项治理来针对性解决风险问题;四是引入第三方合规审计实现风险预防。
在会议的第二单元“《人脸识别产业法律治理白书》报告解读”环节,对外经济贸易大学数字经济与法律创新研究中心主任许可围绕白皮书的结构特色、理论架构、核心内容以及尚待解决的问题四个部分进行详细阐述。相较以往传统报告,《人脸识别产业法律治理白书》由人脸识别产业的生态图谱、全球治理经验、法律治理图景、最佳实践案例四大核心内容组成,在聚焦产业治理、构建生态体系、强化多主体治理、为后续立法提供前瞻性思考等方面有所突破。在理论架构上,白皮书立足于技术-社会系统理论,从制度、技术与组织三要素的内在复合架构出发,提出将技术提供者、产品/服务提供者、服务应用者三大主体作为人脸识别治理的支点,区分各方数据安全、算法安全、个人信息保护、平台守门人等多重义务,并通过丰富人脸识别的最佳实践范例,实现硬法和软法的协同治理。
中国信通院云计算与大数据研究所内容科技部研究员、“可信人脸应用守护计划”合规负责人呼娜英进一步分析白皮书的核心研究逻辑,从技术提供方在人脸方面需要做出哪些更特殊、更细致的规定,产品/服务提供方与应用方合同签订的具体归责细节上进一步展开,希望能够与其他专家们共同探讨。
在第三单元“专家圆桌讨论”中,中国政法大学教授张凌寒首先对白皮书结构表示高度赞同,科学分类使得人脸识别这一流动性概念下有了更多维度层次区分。张凌寒教授提出人脸识别两大特征并跟进针对性解决方案:其一人脸信息的唯一性和不可更改性涉及数据安全问题,通过建立数据安全架构有效控制风险;其二,人脸信息的随身性涉及个人信息保护问题,人脸识别往往可以在人们无感或是不能拒绝的情形下自由实施,公共部门需要合理限定滥用范围和权限,私营部门应以知情同意为原则进行规制。
北京大学法学院副教授胡凌从人脸信息与其他生物信息是否平等看待角度出发,建议对人脸识别背后的伦理、安全和成本问题进行深入分析。例如,禁止采集人脸可能会带来滑坡效应,其他种类的身份信息也会降级使用;小区物业不利用人脸识别功能则需要增加保安人数,以提高物业费用作为保障安全的代价。
中国社会科学院大学互联网法治研究中心执行主任刘晓春首先指出使用人脸的好处,即相比密码、验证码其他验证行为而言,可以保证实人验证。针对人脸信息是否需要特殊保护问题,刘晓春主任认为其风险不在于泄漏本身,而在于泄漏之后的使用,因此应根据场景权衡风险后作出判定。
《中国法学》杂志社副编审任彦建议结合人脸识别的主体和场景来设置标准。她建议设置准入标准、区分技术风险和滥用风险、建立底线规范,并对公权力机关和私营部门一体规范,对不同主体设定不同的准入标准。
华东政法大学数字法治研究院副院长韩旭至就公共机关人脸识别等问题分享观点。他指出,相比身份证号、指纹等敏感信息,人脸信息更容易被识别分析,公共部门应该是监管重心,公共部门滥用人脸信息的危害比私营部门更大。因此,对人脸识别的规制应以《个人信息保护法》28条第二款“目的特定、必要性充分”为基础,政府机构不应以数字政务为由设置“人脸识别硬要求”,基于疫情防控采集的人脸信息应尽快删除。
北京航空航天大学法学院副教授赵精武以人脸识别技术治理的立法现状与问题审视为主题进行分享。他指出现行立法框架下,人脸识别技术应用相关立法已经相当成熟,不需要单行立法,将既有的立法资源激活即可,建议在《个人信息保护法》的相关司法解释中细化相关规则。
对外经济贸易大学法学院副教授孔祥稳指出现有的制度供给不充分。《个人信息保护法》26条规定了在公共场所去安装图像和身份采集设备维护公共安全所必需。其场景分类维度过于笼统、单一,其执行具有高度不确定性,有待进一步明确。
阿里巴巴集团政策法规研究室高级专家刘明认为人脸识别的问题关键还是在透明度和选择权,其中透明度更为重要。美团数据合规负责人李素焕建议关注不同应用场景以及技术类型的特点,分类分级精细化制定规制标准。在主体方面,人脸技术提供方、技术方案部署方、实际应用方在人脸识别信息存储、方案的安全性评估等方面的责任需要明确划分。蚂蚁集团人脸安全的攻防专家金璐指出为应对黑灰产业,人脸识别技术需要建立全链路的防御体系,结合活体算法、客户端安全、通信传输安全、人脸威胁对抗体系来做保障,具备实时人脸威胁感知的能力、处置能力、闭环防御处置流程以及风险治理模块。百度数据合规法务负责人徐全全从产业角度分享治理人脸识别的建议,人脸检测、验证、监控、合成等场景的风险度不同,建议对人脸识别场景做分类分级做风险行为的清单或负面清单,针对它不同的风险级别去匹配不同的管控措施。分类分级体现在区分生态链不同主体角色匹配不同责任和应用阶段上。
在会议总结环节,中国信通院云计算与大数据研究所内容科技部副主任石霖主任分享了人脸识别领域的四个趋势:多种认证技术融合;厂商主动合规;替代人脸识别的解决方案;深度合成类的应用。石霖主任还指出即将到来的元宇宙时代所面临的人脸识别方面的挑战,即如何确定个人的虚拟化身由本人控制。最后,石霖主任指出人脸识别产业链复杂,涉及应用场景多样,需要产业学研用各方打造生态共同治理。
本次研讨会在各位专家学者的热烈讨论中圆满结束。