孫 悅

一、引言

《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)首次以法律的形式明確了個人信息保護(hù)合規(guī)審計制度,其中第五十四條以個人信息處理者為主體,規(guī)定了其要定期進(jìn)行合規(guī)審計的義務(wù),從內(nèi)督促個人信息處理者自我約束,自我管理。第六十四條以監(jiān)管部門為主體,規(guī)定了監(jiān)管部門具有要求處理者進(jìn)行合規(guī)審計的職權(quán),從外加強(qiáng)了對個人信息處理活動的監(jiān)督。內(nèi)、外兩方面規(guī)定,為個人信息處理活動加上雙保險。2023年8月,網(wǎng)信辦發(fā)布了《個人信息保護(hù)合規(guī)審計管理辦法(征求意見稿)》,完善了《個人信息保護(hù)法》第五十四條、六十四條關(guān)于合規(guī)審計的具體執(zhí)行規(guī)則,填補(bǔ)了下位法空白,開創(chuàng)新的審計實踐。

人臉識別是指使用攝像設(shè)備采集人臉圖像或視頻,基于個體的人臉的特征進(jìn)行檢測、跟蹤,進(jìn)而對個體進(jìn)行識別的技術(shù)。人臉識別已經(jīng)應(yīng)用于我們生活的方方面面,例如手機(jī)解鎖、小區(qū)門禁、面部支付等,為我們帶來的巨大便利。但人臉識別屬于個人敏感信息,一旦泄漏,容易導(dǎo)致信息主體的人格尊嚴(yán)、人身安全、財產(chǎn)安全受到侵害。人臉識別技術(shù)存在知情同意規(guī)則失靈、算法“技術(shù)中立”陷阱,算法濫用等風(fēng)險,所以,對人臉識別進(jìn)行合規(guī)審計具有合理的目的和充分必要性。

二、人臉識別技術(shù)的合規(guī)要求

(一)個人信息保護(hù)影響評估

《個人信息保護(hù)法》第五十五條規(guī)定在處理敏感個人信息前應(yīng)當(dāng)進(jìn)行個人信息保護(hù)影響評估。個人信息保護(hù)影響評估的內(nèi)容包括:一是評估處理活動的安全、合法、必要。這也是處理個人信息的基本原則,發(fā)揮著統(tǒng)領(lǐng)作用[1]。二是評估對個人權(quán)益的影響,人臉面部信息承載了多項個人權(quán)益,不僅包括人身、財產(chǎn)安全,還會涉及隱私和人格尊嚴(yán)等,而人臉識別過程必然會對這些權(quán)益有著或多或少的影響,應(yīng)當(dāng)進(jìn)行審慎評估,避免事后造成不可逆的傷害。三是評估所采取的保護(hù)措施是否合法、有效。在評估了對個人權(quán)益的影響后,需要采取保護(hù)措施,保護(hù)措施要限制在合理的成本范圍內(nèi),且要合法、有效,不能停留在應(yīng)付檢查的表面功夫,這也應(yīng)該成為合規(guī)審計的重點[2]。在對人臉識別進(jìn)行合規(guī)審計的過程中,要重點審查事前是否進(jìn)行了個人信息保護(hù)影響評估,并且要向個人告知進(jìn)行人臉識別的必要性和其對個人權(quán)益的影響。

(二)收集

在收集階段,首先,個人信息處理者要履行告知義務(wù),告知對方自己的身份、聯(lián)系方式、處理規(guī)則,并切以清單的形式列明所收集的個人信息及其處理目的、方式、范圍。作為敏感個人信息,《個人信息保護(hù)法》還明確強(qiáng)調(diào)了需要告知收集人臉識別數(shù)據(jù)的必要性和對個人信息權(quán)益的影響,這種影響不僅包括負(fù)面影響,也包括積極的影響、事前影響、事后影響,是全方面的。如果有可以替代人臉識別的其他方案,需要將其他方案和人臉識別進(jìn)行權(quán)衡。當(dāng)人臉識別的安全性、便捷性明顯強(qiáng)于其他方案時,才會啟動人臉識別方案,如果有其他方案,也需要告知對方。其次,收集人臉信息必須采用單獨同意的機(jī)制,不能使用概括授權(quán)、捆綁授權(quán)、兜底授權(quán)等方式,目前實踐中,個人信息知情同意機(jī)制存在復(fù)雜冗長、流于形式等問題,而人臉識別關(guān)系到身份認(rèn)證、金融支付等重要人身、財產(chǎn)權(quán)益的實現(xiàn),采用單獨同意可以盡量做到信息處理和權(quán)益保護(hù)之間的平衡。最后,收集個人信息不能過度,要在目的范圍內(nèi)且遵循最小必要原則,不要超度、超頻次。

(三)存儲

個人信息處理者要采取有效的技術(shù)措施存儲信息,防止人臉數(shù)據(jù)被泄露、篡改、濫用。存儲在原則上是不存儲不加密的原始人臉圖像,在完成人臉識別的過程后應(yīng)當(dāng)立刻刪除,如果在法律規(guī)定情況下需要存儲人臉的原始圖像,應(yīng)當(dāng)設(shè)置存儲期限,最長不能超過3年。雖然《個人信息保護(hù)法》沒有明確規(guī)定,但在實踐中,人臉識別數(shù)據(jù)需要進(jìn)行加密存儲且要與其他的個人信息進(jìn)行隔離,可以是物理層面的隔離也可以是算法層面的邏輯隔離。另外,未經(jīng)批準(zhǔn),個人信息處理者不得向境外提供存儲的信息。

(四)共享、轉(zhuǎn)讓

一般來說,對收集來的人臉數(shù)據(jù)不得向第三人共享、轉(zhuǎn)讓,如果確實有共享、轉(zhuǎn)讓的需要,則要進(jìn)行事前的個人信息保護(hù)影響評估,并且履行告知的義務(wù),告知的內(nèi)容包括共享、轉(zhuǎn)讓的目的、接收方的身份、聯(lián)系方式、數(shù)據(jù)安全能力以及可能產(chǎn)生的影響等相關(guān)信息,處理者還需要審核接收方的數(shù)據(jù)保護(hù)能力,與其簽訂數(shù)據(jù)共享協(xié)議,共享、轉(zhuǎn)讓中需要取得另外的單獨同意,并且這里的單獨同意不能涵蓋在收集環(huán)節(jié)中的。

(五)特殊的合規(guī)要求

人臉識別數(shù)據(jù)的應(yīng)用場景可以大致歸為三種,對于這三種不同的場景,除了上述一般的合規(guī)要求外,還有其自身的特別要求。

第一種是人臉驗證,是將即時的人臉和已經(jīng)提取的面部信息進(jìn)行一對一的比較,識別到“你是你”的過程,例如手機(jī)面部解鎖、刷臉支付等。這種場景下要求用來比對的數(shù)據(jù)庫的來源必須是合法的,可以來自政府相關(guān)部門,或者是來自經(jīng)授權(quán)的機(jī)構(gòu)。第二種是人臉辨識,個人信息處理者要事先收集到多個人臉數(shù)據(jù),建立數(shù)據(jù)庫,然后將當(dāng)下的人臉信息與數(shù)據(jù)庫中的信息進(jìn)行比對,從而識別出自己,這種場景在門禁查驗上應(yīng)用最為廣泛。這里的數(shù)據(jù)庫的數(shù)據(jù)需要是個體主動登記、上傳的人臉圖像,并且需要經(jīng)過單獨的告知、單獨的收集。第三種是人臉分析,不同與前兩種只是身份的比對,人臉分析將收集到的人臉數(shù)據(jù)進(jìn)行二次加工,例如客流量統(tǒng)計、面部情況測評等。在這種場景下,處理者不能把即時收集到的人臉數(shù)據(jù)再重新關(guān)聯(lián)、識別到用戶個人,并且嚴(yán)格保護(hù)用戶個人的隱私權(quán)。

三、人臉識別合規(guī)審計的完善路徑

(一)理論方面的原則指導(dǎo)

1.合法原則

《個人信息保護(hù)合規(guī)審計管理辦法(征求意見稿)》第三條指出個人信息保護(hù)合規(guī)審計是審查、評價個人信息處理活動是否遵循法律、行政法規(guī)的監(jiān)督活動。這條規(guī)定表明合規(guī)審計的依據(jù)是法律和行政法規(guī)。但這樣合規(guī)審計的依據(jù)范圍是否過于狹窄,法律、行政法規(guī)的內(nèi)容是否能夠涵蓋所有個人信息處理活動的要求?作為一種特殊的個人信息處理活動,司法解釋、部門規(guī)章、其他規(guī)范性文件對其有著單獨的規(guī)定,例如《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求》等,這些也是人臉識別過程中需要遵守的“法”。另外,《信息安全技術(shù)個人信息安全規(guī)范》(GB/T35273-2020)等國家標(biāo)準(zhǔn)、金融、醫(yī)療等具體的行業(yè)標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)文件也會涉及關(guān)于人臉識別技術(shù)的要求,不能對此視而不見,也應(yīng)該成為合規(guī)審計的依據(jù)。所以,這里的合法原則遵守的“法”不應(yīng)該局限于法律、行政法規(guī),要有廣度、有深度地看待。

2.比例原則

比例原則是指手段和目的的平衡,即對人臉識別信息處理者監(jiān)管的手段要和保護(hù)個人利益的目的相當(dāng)。人臉信息承載了多項個人權(quán)益,人臉識別技術(shù)勢必會帶來或多或少的安全風(fēng)險。因此,需要對人臉識別活動的風(fēng)險等級和采取的安全保障措施進(jìn)行審查。合規(guī)審計是為了監(jiān)督人臉識別企業(yè)的行為,而不是打壓人臉識別這項技術(shù)的發(fā)展應(yīng)用,尤其是對監(jiān)管部門的合規(guī)審計活動,其審查的成本,對企業(yè)的審查方式、程度不能過分超于保護(hù)的利益,避免造成形式主義。企業(yè)在制訂合規(guī)計劃時,也要避免設(shè)立過多冗長、復(fù)雜、難以實現(xiàn)的合規(guī)規(guī)則,讓合規(guī)制度淪為形式主義。

3.目的正當(dāng)原則

人臉識別領(lǐng)域的合規(guī)審計的直接目的在于確保處理者按照法律規(guī)定的要求處理人臉信息,根本目的在于確保人臉信息的真實性、準(zhǔn)確性、完整性。由于人臉識別技術(shù)中人臉信息的主體和人臉信息的處理者相分離,而處理者對人臉信息具有更強(qiáng)的控制力,信息主體處于弱勢地位,所以,需要通過合規(guī)審計來監(jiān)督處理者是否按照法律要求和原則來處理這些信息數(shù)據(jù)。

(二)實踐層面的制度構(gòu)建

1.重構(gòu)知情同意規(guī)則

在上述人臉識別合規(guī)要求的論述中,知情同意規(guī)則幾乎貫串始終,屬于核心要求,而在實踐中,知情同意規(guī)則的運行存在失靈的風(fēng)險。《中華人民共和國民法典》的一千零三十四條,《中華人民共和國個人信息保護(hù)法》的十四條、十五條、二十三條、二十五條、二十九條等法律法規(guī)均對知情同意規(guī)則做出了規(guī)定。知情同意規(guī)則是個人信息保護(hù)的核心架構(gòu),其中蘊(yùn)含著對信息主體人格尊嚴(yán)的保護(hù)以及主體對個人信息的自主決定權(quán)。但是,在很多情況下,企業(yè)對用戶的知情同意規(guī)則流于表面。作為人臉信息主體的用戶,應(yīng)當(dāng)作為同意與否的決策者,但是用戶群體廣泛,素質(zhì)層次不齊,對于煩瑣冗長的隱私聲明,用戶群體往往直接點擊同意,沒有經(jīng)過仔細(xì)閱讀,即便閱讀,由于專業(yè)知識的缺乏以及告知內(nèi)容表述的晦澀難懂,特別是在驗證、辨識的場景下,信息主體很難知曉其面部信息在何種數(shù)據(jù)庫中的對比程度,更難以知曉信息存儲安全性、自動化決策算法邏輯的信息。對于這個問題,知情同意規(guī)則的形式需要簡潔明了、重點突出,要摒棄現(xiàn)在繁雜的條款內(nèi)容,對涉及信息主體權(quán)利的內(nèi)容盡到提示義務(wù)。在簡潔易懂的同時,企業(yè)要將條款內(nèi)容向監(jiān)管部門備案,保證真實性。

知情同意規(guī)則的另一個困境在于數(shù)據(jù)技術(shù)對人臉識別信息的持續(xù)處理、對比和分析,導(dǎo)致人臉識別信息的屬性轉(zhuǎn)化、應(yīng)用場景的復(fù)雜性、安全風(fēng)險的持續(xù)性。如果同意是一種概括的同意,那么僅在收集階段,存在用戶對人臉信息的授權(quán)。在存儲、共享、轉(zhuǎn)讓等后續(xù)階段,人臉信息的安全性和風(fēng)險不斷變化,收集階段的同意將無法保障用戶的知情權(quán)、決定權(quán)。所以,知情同意應(yīng)該變成動態(tài)的同意,需要對變化的人臉信息使用方式、范圍、目的進(jìn)行披露,提示用戶風(fēng)險程度,降低用戶和企業(yè)之間的信息不對稱。

2.企業(yè)算法問責(zé)制度

從主體的角度來看,人臉識別合規(guī)風(fēng)險可能是多方面造成的,但是企業(yè)對于算法的輸出具有安全審查義務(wù),企業(yè)有著無法逃避的責(zé)任。當(dāng)企業(yè)作為算法的設(shè)計者時,算法的設(shè)計范圍不僅包括對人臉信息的收集、存儲、使用,還要包括對外部網(wǎng)絡(luò)環(huán)境的實時反應(yīng)方式、對不良數(shù)據(jù)的反應(yīng)能力[3]。當(dāng)企業(yè)在作為算法的使用者時,算法的來源必須合法合規(guī),有些企業(yè)為了提高效益,違法販賣、購買人臉信息,嚴(yán)重?fù)p害了個人權(quán)益。此外,作為使用者,企業(yè)在投放前啟動安全測試,根據(jù)風(fēng)險等級設(shè)置安全保障機(jī)制。所以,無論是作為設(shè)計者還是使用者,當(dāng)出現(xiàn)合規(guī)風(fēng)險時,企業(yè)都需要被問責(zé),承擔(dān)相應(yīng)的責(zé)任。

企業(yè)算法問責(zé)制度應(yīng)當(dāng)遵循主客觀相一致的原則。在算法的設(shè)計、運行過程中,企業(yè)的主觀方面存在過錯,責(zé)任的設(shè)置要和主觀過錯相符合。主觀過錯的內(nèi)容包括保障存儲面部信息的安全、不得操縱用戶行為、保護(hù)用戶人格尊嚴(yán)等技術(shù)倫理問題。同時要警惕“技術(shù)中立”的陷阱,即算法作為技術(shù)本身是中立的,ABC技術(shù)(即算法algorithm)、大數(shù)據(jù)(big data)、云存儲(cloud))的復(fù)合運用掩蓋了企業(yè)的“主觀能動性”、削弱了認(rèn)定主觀過錯的基礎(chǔ),造成了“技術(shù)中立”和“工具理性”的假象。對于企業(yè)的算法問責(zé),應(yīng)當(dāng)是動態(tài)過程,不僅包括算法設(shè)計的監(jiān)管,也包括投入使用過程中的監(jiān)督,算法應(yīng)用時出現(xiàn)違規(guī)情況,審計還需重點審查企業(yè)是否采取了有效的控制措施,防止損害結(jié)果的擴(kuò)大。

3.區(qū)分場景公開算法

人臉識別技術(shù)具有算法歧視、泄露信息的風(fēng)險,問題在于算法的濫用。一部分學(xué)者認(rèn)為算法濫用的根源在于算法的使用者利用算法運行的專業(yè)性和不透明性,在設(shè)計算法時為謀求個人目的違背技術(shù)中立性,設(shè)計出對自身有利的算法,也就是“算法黑箱”?；谶@項理論基礎(chǔ),治理“算法黑箱”最有效的治理方法應(yīng)該是公開算法,這項看似合理的方法在實踐中存在多項難點。首先,算法具有極強(qiáng)的專業(yè)性,公開算法普通公眾也很難辨別其是否違背技術(shù)中立性,是否有濫用的風(fēng)險。其次,由于技術(shù)水平的發(fā)展,算法已經(jīng)升級到可以自行設(shè)計、自行進(jìn)化的程度,即使公開,算法實質(zhì)已經(jīng)發(fā)生變化,解讀只會更加困難。最后,算法作為人臉識別技術(shù)的核心,是企業(yè)競爭力的體現(xiàn),也是知識產(chǎn)權(quán)所保護(hù)的對象,如果為了防止濫用而全部公開,會打擊企業(yè)創(chuàng)新積極性,違背商業(yè)倫理。

針對上述難點,全面公開算法是不具可操作性的,可以根據(jù)算法的主體、使用場景,對公開程度加以不同規(guī)定。對于普通的非壟斷性企業(yè),正常使用人臉識別技術(shù),沒有損害用戶權(quán)益的情況下,不強(qiáng)行要求其進(jìn)行算法的公開,這樣既保護(hù)了企業(yè)的知識產(chǎn)權(quán),也保護(hù)了算法創(chuàng)新的動力,以及為算法的優(yōu)化提升創(chuàng)立了寬松良好的制度環(huán)境等。當(dāng)企業(yè)發(fā)生損害用戶權(quán)益結(jié)果或者存在算法濫用的風(fēng)險時,要求其向?qū)徲嫴块T和用戶公開算法并進(jìn)行算法的解釋。多個企業(yè)進(jìn)行算法合作時,企業(yè)在事前就要向?qū)徲嫴块T公開算法,做好實時被監(jiān)督、被抽查的準(zhǔn)備?；诠芾砺毮?政府使用人臉識別技術(shù)具有合法性基礎(chǔ),當(dāng)政府利用人臉識別算法進(jìn)行自動化行政時,需要在最大范圍內(nèi)公開算法,公開算法可以使政府的實際意圖呈現(xiàn)在公眾面前,從而得以被監(jiān)督,其行使權(quán)力時便能“有所忌憚”。