刷脸侵害隐私 司法保障仍不足

人脸辨识涉及隐私,司法保障仍有不足。图为庭审现场。(中新社

大陆人脸识别(人脸辨识)技术广泛普及应用,已是不争事实。但是好用不等于滥用,关键问题在于,人脸识别的公共应用边界到底在哪里?大陆法律相关规定,已有合乎法定比例原则的「知情、可选、可追责」雏型,然而司法实务对于个人隐私权的保障,依旧偏向保守。

依据大陆新修订的《资讯安全技术个人资讯安全规范》规定,人脸资料属于个人敏感资料。《消费者权益保护法》第29条规定:经营者搜集、使用消费者个人资讯,应当遵循合法、正当、必要的原则,明示搜集、使用资讯的目的方式范围,并经消费者同意。

大陆微信公众号「脑极体」称,AI技术的低门槛,造成私人滥用人脸识别的社会风险,更严重的是,相较外国民众保持警惕,大陆对人脸识别技术的宽容度实在太高。有些公共场所企业商家将「刷脸」当作数位化升级卖点,完全忽略用户的人脸隐私安全。大陆消费者不仅面临所有线上行为资料隐私的失守,也面临生物资料的「失身」。

人脸识别的公共应用的边界在哪里?杭州法学教授郭兵的「中国人脸识别第一案」,带出最核心的法律主张,是郭兵本人对自身人脸资料的隐私权。但司法只回应了郭兵本人删除刷脸资讯的诉讼请求,并没有否定园方使用人脸识别技术本身的正当性,而且别无选择。

然而,按大陆《网路安全法》第41条规定:网路运营者搜集、使用个人资讯,应当遵循合法、正当、必要的原则。上述案例,过去入园录指纹就足以识别游客身分、防止冒用,如今新增一套「刷脸」技术,实在不符合搜集公民个人资讯的「必要性」、「最小够用」标准等比例原则。园方显然忽视最根本的问题:没有提供给消费者选择的自由。

需知人脸识别公共应用边界的基本点依法在于用户「知情」和「可选择」。首先是知情权。据大陆《网路安全法》、《民法典》相关最核心原则,就是首先要告知被搜集者该场地已经进行人脸识别采集,同时要经过被搜集者同意,才能保留相关采集资料。其次,是给用户选择权,对于已采用人脸识别技术的主体,理应保留原有的认证管道。第三,是技术使用者权责统一。要在这些资讯被侵害时,承担起相应的侵权责任,给予合理赔偿。