來源 | 檢察日報
作者 | 勞東燕 清華大學法學院教授
北大法律信息網簽約作者
治理現代化不能僅僅理解為數字化管理
當前,在北京與其他一些地方,人臉識別技術推進得迅速且普遍。這種迅速擴張存在幾個原因:一是中國的人臉識別技術領先,且法律層面障礙較小。二是企業急於變現,技術開發後企業有上市壓力,所以努力在各種場景中作商業性推廣,包括教育領域、公共治安領域等。三是社會治理的需要。黃仁宇研究明代歷史時提出一個命題,明代這樣的大一統國家,從數目化管理角度來講仍有缺陷,即使中央層面有政令,因管理手段有限也很難真正推行。
社會複雜化無疑要求管理手段數字化,但管理手段上的數字化是否真的能夠解決複雜社會系統的治理問題?我認為,單是管理手段的數字化,恐怕無法從根本上解決問題,這樣的思路有其局限。如果針對的是一個確定的對象,提升手段本身的精確性的確能夠提高治理的效率。但是,當代社會系統自身運作的複雜性導致其必然具有不確定性,沿用控制思維去治理具有不確定性的社會,這種思維難以適應當代社會的治理需要。中央層面特彆強調治理體系和治理能力的現代化,這裡的「現代化」絕不應該僅僅理解為在手段上實現數字化管理。
人臉識別技術推廣適用的潛在風險
人臉識別技術的實質是收集、積累、分析生物數據,以此勾勒個人畫像。眼下人臉識別技術的使用目的有三,一是身份認證(這種用途爭議較小),二是識別與追蹤,三是影響主體的行為選擇。所以,人臉識別技術所涉及的,不僅是隱私權問題,更關乎社會的基本走向。眼下技術的發展能力,遠遠超過對其的控制能力。
人臉識別技術為什麼相較於生物、指紋技術更具有敏感性?這是因為其在使用中具有無意識性、非接觸性、侵入性強的特點。推廣人臉識別技術肯定會帶來一些好處,如技術領先,產業就會盈利,這毋庸置疑會促進產業的發展;與刷手機相比,刷臉肯定更加便捷,但我認為其帶來的風險也不能忽視。
人臉識別技術推廣使用的潛在風險,一是使公民成為「透明人」的風險。人臉識別不僅收集數據,更通過你的人臉數據迅速鎖定你的身份。二是數據泄露引發的風險。比如AI換臉技術,在違法犯罪的視頻上被換臉的人很可能被刑事追究,而真正的犯罪分子卻可以此牟利、逃避刑事追究。三是數據被濫用的風險。數據濫用的主體除了違法犯罪分子,還包括公權力。四是個體被操縱的危險。五是被歧視性使用的風險。六是無法有效救濟的風險。尋查泄露數據者在實踐上存在極大困難,在這種情況下,民事訴訟等同於畫餅。儘管現在有人說應該以公法保護為主,但個人受損害仍然很難受保護,除非大量數據遭到泄露。然而一旦人臉數據泄露就很難補救,所以人臉識別的應用比其他技術應受到更多關注。
信息時代下三方關係亟待平衡
人臉識別技術的爭議,並非單純的隱私權與公共安全之爭,推廣之後公眾的人身安全與財產安全都可能會受到威脅,而我們每個人都是公眾的組成部分。比如人臉識別的支付方式很容易被犯罪分子利用,這就侵害到人身安全跟財產安全。為了解決違法犯罪問題把所有人都拉過來陪綁,這樣的治理方式從長遠來看危險很大,而且無法從根本上解決社會治安的問題。如果維護治安需要由各式各樣的組織來收集大量數據,而在保管方面又沒有足夠的動力,這必然會導致更多的數據被泄露,由此而引發更多的違法犯罪。這些年來,電信詐騙特別猖獗,就與個人信息的大量泄露有關。
信息時代下的社會結構中存在三方關係:個人是數據主體;企業是數據控制者和處理者;政府則承擔雙重角色,既是數據控制者和處理者,會收集使用分析數據,也是個人與企業之間的調停者。信息時代的三方關係中,個人處於絕對的弱勢,眼下除了極少數網絡大V藉助互聯網技術,使自己的話語權和影響力大大擴張之外,絕大部分作為個人的普通民眾仍是絕對的弱勢方。眼下數據領域基本實行的是叢林規則,強勢的是企業,科技企業通過互聯網信息技術獲得的強勢地位是普通企業無法想像的,傳統企業不可能獲得這樣的影響和地位。另外是政府,政府一方面收集使用數據,也處於數據控制者與處理者的地位,另一方面是調停者,關鍵是政府作為調停者往往更為強調產業的發展,如此一來便導致企業與政府更加強勢,個人更為弱勢,從自然意義和事實意義上看,三方關係結構之中,個人本來就最為弱勢,加之稀薄的法律保護都被虛置,只會使其處於更加弱勢的地位。
建立合理法律保護框架
在法律上,個人信息的保護,不是以隱私作為判斷標準,而是以可識別性來認定的。所以,我們會發現,個人信息是否受到法律的保護跟個人隱私沒有太大的關係,只要識別到個人,即便是在公共場合的行蹤軌跡信息也是受到保護的。
關於個人信息保護,有一種觀點認為,信息的保護涉及個人隱私與公共安全之爭,為公共安全考慮可以犧牲個人隱私。應當說,這一觀點是存在問題的。
眼下個人信息的保護框架中,讓人比較受到鼓舞的是今年3月6日發佈並於10月1日開始生效的《個人信息安全規範》,它明確規定,收集個人信息除應單獨向個人信息主體告知外,還應告知目的、方式、範圍、儲存時間,徵得信息主體的獨立的明示同意。當然,這還不是法律規定,而只是行業性標準。
在我看來,合理的法律保護框架應考慮如下幾個方面的因素。第一,應該加強對收集與使用數據方面的合規,對企業或者政府部門收集使用數據的行為進行規範。這不意味着由相關部門加強直接的監管,而應當間接地進行調控,包括使用商業化的手段,比如加強安保技術的商業化,由政府來購買安保技術方面的服務。第二,明確個人數據和信息保護的主要責任主體。之所以收集和使用數據的一方應當作為主要責任主體,是因為風險乃是由其收集、使用行為所製造,且相應的利益也主要由其所享有。基於此,數據的控制者與處理者理應承擔更多的風險。第三,法律規制重心的轉變,規制的重點由對個人數據的收集轉移到對個人數據的濫用上。第四,應根據類型與場景進行不同程度的保護,數據當中要區分敏感數據跟一般數據,敏感數據當中又要區分生物數據與一般的敏感數據,後者包括涉及個人的宗教信仰、政治立場等。
-END-
責任編輯 | 華銘章
審核人員 | 張文碩
▼
