法学论文哪里有?笔者认为将风险预防理论嵌入人脸识别技术的法律规制中,需要构建人脸识别技术的多元治理体系。这一体系以法律关系的明晰为起点,以法律规则的完善为核心,以治理规则的协调为落脚点。首先,法律关系的明晰旨在搭建规制体系的主体、客体与权利义务框架,这是多元规制的前提。
第一章 人脸识别技术法律规制的现实缘由和理论嵌入
第一节 人脸识别技术权利风险的复杂性
一、人脸识别技术减损个人信息权益和隐私
概括而言,相对于其他身份验证技术来说,人脸识别技术具有比较优势,包括非接触性、拓展性强、准确性高等。这些比较优势促使人脸识别技术的使用逐渐泛化,其应用场景涵盖多个领域。人脸识别技术使用呈现泛化趋势,其风险也表现出复杂性。该技术最直接的风险是减损个人信息权益和侵犯隐私。
人脸识别技术使用行为会减损个人信息权益。该技术通过检测人脸、提取关键特征并进而识别分析,主要依托于对人脸识别信息的处理。在技术应用过程中,由于授权机制的缺失,人脸识别信息的处理通常是无意识的或者被自愿的。人脸识别技术使用的第一步是人脸图像的收集。然而,对于人脸图像的收集,个人信息主体多数情况下不完全知情,这实际上诱发了人脸识别信息处理的风险处境。因为对收集的不知情,通常意味着对后续的存储、公开、使用等处理行为不知情,甚至可以说,对人脸识别信息权益所包含的具体权利状态也难以知情。由此,对处理行为的不知情引发权利实现的不能,也导致权利救济的低效。这是人脸识别技术的使用风险之一,即减损个人信息权益。
除此之外,人脸识别技术还可能侵犯个人隐私。一方面,该技术使个人丧失匿名性,个人在公共领域无所遁形。公共视频监控在人脸识别技术的赋能下,由于规范的缺乏导致运行失范,进而引爆个人隐私危机[42]。人脸识别技术对人脸识别信息的处理会使个人丧失匿名性。丧失匿名性则正是隐私权受损的表现形式之一。另一方面,人脸识别技术处理信息的过程无形中对隐私构成威胁。
第三章 域外人脸识别技术的风险规制逻辑及其镜鉴
第一节 以风险差异化为核心的法律规制模式
一、主体区分模式蕴含主体风险的差异
主体区分模式旨在为不同主体设置不一致的行为规范,以应对源于不同主体使用人脸识别技术所引发的风险。立法中通常区分私人实体与执法机构,原因在于二者使用人脸识别技术会带来程度不同、性质不一的风险。前者引发的风险一般表现为隐私侵犯、人脸识别信息的不当分享和泄露。对此,立法者认为,应当要求使用者事先获得个人的同意[101],原则上不限制其使用。后者带来的风险通常表现为侵犯言论自由、平等权等。因此,立法者主张,在制定出人脸识别技术使用准则与监管规则之前,应要求执法机构暂停使用 [102]。
具体而言,针对私人实体使用人脸识别技术带来的风险,法律一般倾向于以行为规范的方式进行规制,包括赋予被识别者确认权、删除权、起诉权等实体权利与程序性权利。其中以实体性规定为主,原因是私人实体的使用行为风险较小,对自然人造成的影响程度相对较低。至于因执法机构使用该技术引发的风险,主要借助程序性规定予以规制。这些程序性规定以编制问责报告、测试、人工审查等为主要内容。程序性规定为使用者设定了诸多义务,实际上是对执法机构使用该技术予以严格限制。其原因在于,执法机构使用人脸识别技术,对自然人造成的风险较高。然而,基于犯罪预防等目的,立法者也可能相对注重人脸识别技术的工具价值,赋予执法机构使用人脸识别技术的权利,同时限制私人实体对该技术以及相关产品的使用。
第四章 人脸识别技术法律规制的完善路径
第一节 明晰人脸识别技术规制的法律关系
一、调整单一主体面向为多元主体面向
从我国人脸识别技术法律规制现状来看,其所涉主体一般指人脸识别信息处理者。个人认为,这种单一的主体面向难以满足人脸识别技术法律规制的需要。因此,可以考虑增加人脸识别信息控制者、人脸识别技术研发者与提供者、利用人脸识别技术进行决策者三大类主体,以扩大人脸识别技术法律规制的主体面向。因为在风险规制中,规制目标的实现除可借助行政执法外,利益相关者也可发挥重要作用[130]。
第一类主体是人脸识别信息的控制者。将人脸识别信息控制者纳入规制体系,其目的并非是修正已有的个人信息处理者之概念,而是要凸显实际的个人信息处理者的角色和作用。个人信息处理者这一概念是对欧盟《通用数据保护条例》的借鉴,涵盖了《通用数据保护条例》中的个人数据处理者与个人数据控制者。这样的制度设计尽管避免了针对两类主体适用有区别的规范所带来的法律成本,但却忽视了个人数据控制者与个人信息处理者的重要区别。欧盟区分二者的标准是:个人数据控制者独立决定个人数据处理的目的和方式,个人数据处理者受个人数据控制者委托进行实际处理[131]。我国人脸识别技术法律规制中未区分处理者与控制者,后者被前者所吸收。从规范目的来看,关于委托处理的规定可以解决未区分控制者和处理者带来的实践难题,即根据个人信息处理的委托协议确定实际的个人信息处理者,以便划定权利义务边界。
第二节 完善人脸识别技术规制的法律规则
一、制定以许可、认证与评估为基础的事前规制规则
在明晰人脸识别技术法律规制的法律关系之后,应以此为基础,制定专门的法律规则。根据人脸识别技术法律规则的实施阶段,首先应制定以许可、认证与评估为基础的事前规制规则。许可、认证、评估的规则设计,要考虑到规则的可操作性。这就要求,引入第三方机构进行认证与评估,以确保对相关产品、相关场景等予以认证和评估的科学合理性。本质上,这是人脸识别技术法律规制的社会化,即规制主体的多元化。
事前规制中的许可规则主要指向人脸识别技术及其相关产品的研发者与生产者。有学者主张,应建立和完善个人信息收集的行政许可制度,从而避免过度收集行为[138]。但个人认为,对于人脸识别技术而言,具有事先预防性的许可规则应以研发、生产的许可为主。之所以要建立该规则,是因为这能够提供一种资格准入限制,将不具有一定数据安全能力的研发者或生产者排除在市场之外。对于人脸识别技术这一高风险人工智能而言,有必要通过许可规则,从主体层面对研发者和生产者的资格予以限制,并实施对人脸识别产品的许可[139]。由于我国人脸识别技术市场相对成熟,人工智能产品的许可制度不会对行业发展造成消极影响。以许可为基础的限制对于人脸识别技术而言,并非是一种纯粹的行政手段。许可规则是行政机关主导下,市场主体协同的治理规则。其原因在于,一方面行政监管者对于相关主体资格的限制通常以人员、系统、设施等硬性条件为基础,难以综合评判其数据安全能力;另一方面,以咨询公司为代表的市场主体具备一定的技术优势,能够较为准确地评判相关主体的数据安全能力。因此,以许可为基础的规则实际上具有一定的社会治理色彩。
结语
人脸识别技术的泛化使用带来了一系列权利风险,其使用不仅减损个人信息权益,还会造成决策权力异化等。既有法律规范面对这些权利风险时,呈现出价值定位有偏、法律规范分散、客体认定不清的状态。造成这一局面的原因在于,现有法律规制的理论基础存在局限性。以技术工具论和个人信息自决权为主的理论基础存在一定的局限性,前者引发责任规避现象,后者遭遇现实障碍。有鉴于此,应引入风险预防理论,实现人脸识别技术法律规制的理论转向。从理论本身角度考虑,风险预防理论嵌入具备现实基础,契合人脸识别技术法律规制的需要。
除理论本身的特征契合规制需要外,该理论在域外规制中的适用也为其适用的可行性提供了一定依据。从比较的角度来看,我国人脸识别技术法律规制的主要规范是个人信息保护法律规则,该类规则以个人信息权益保护为目的。从该类规则本身及其与诸多治理规则的关联来看,人脸识别技术法律规制的问题主要体现在法律规则的体系性欠缺、法律规则实施的系统性不足两个方面。规制难题背后的原因是对风险预防理论的应用尚处在初步阶段,目前仅个人信息保护中的风险评估规则应用到该理论。而域外人脸识别技术法律规制领域对该理论的应用较为体系化,即使存在忽略多元场景和多重主体的规制偏误,但其规制模式与实践仍可以提供相对充分的思路借鉴。在域外人脸识别技术的风险规制中,除了法律规则外,非正式规则也能起到一定的规制作用。国内规制中同样具备这两类工具。对于人脸识别技术而言,以非正式规则为工具的软治理和以法律规则为工具的硬治理相结合,不仅能够有效地将风险预防理论嵌入到对该技术的法律规制中,还可以发挥法律规则的强适用性和非正式规则的针对性和灵活性。
参考文献(略)
