我国人脸识别侵权责任制度的解释论
2021-01-29张华韬
张华韬
(西南政法大学 民商法学院,重庆 401120)
由于目前人脸识别技术的广泛使用,大量服务者随意收集使用消费者的人脸识别信息,已经构成了事实上的滥用,引起了全社会广泛关注,也使得有关侵权责任的承担成为广泛讨论的热点话题[1]。针对现有情况,《中华人民共和国民法典》(以下简称《民法典》)对于个人信息保护提纲挈领地进行了规定,而从2021年8月1日起开始施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号,以下简称《使用人脸识别技术的适用规定》)则专门针对人脸识别技术滥用进行了具体规范。总体来看,目前关于人脸识别系统的规范均侧重于人格权益保护,对于兼具产品与服务性质的人脸识别系统侵权则规制不足,亟须厘清解释。
针对人脸识别技术运用中存在的侵权问题,学界已进行积极探讨并提出了系列对策。例如,由于生物识别信息损害后果具有严重性和不可逆转性,应当作为特殊的个人信息予以保护[2];应当结合已有案例与《民法典》相关规定实现对个人信息的有效法律保护[3];应当对于利用人脸识别侵害个人生物识别信息的行为采取预防优先的态度,调整侵权责任构成标准,减少信息权人的证明责任,降低受害者的受偿难度[4]。但是,现有研究严重局限于个人信息保护领域,缺乏对人脸识别侵权责任整体的研究,在研究理论上侧重于人格权益保护,轻视侵权责任承担的解释分析;在研究实施中侧重于具体政策的建议,缺乏对于人脸识别侵权理论的总体构建。
因此,本文基于现有研究成果,全方位分析人脸识别侵权责任风险,从而界定侵权责任主体,明确侵权责任类型,对人脸识别侵权责任适用前提、构成要件与承担方式等方面提出可行性建议,达到促进先进科技发展与保障受害者权益的平衡。
一、我国人脸识别法律规制的现状与侵权责任风险
(一)我国人脸识别技术发展的现状
人脸识别技术是指给定某一静止或动态图像,利用已有的人脸数据库来比对确认图像中一个或多个人的技术[5]。目前最广泛使用的人脸识别技术系统由人脸检测、人脸特征点估计、人脸编码、人脸匹配四步组成[6]。
通过对目前通行的人脸识别技术进行分析,可以发现人脸识别技术具有以下特征:一是简易性,目前的人脸识别技术关注技术的可行性与易实现性,人脸识别拥有识别手段简易与实现方式简易的特征,对设备性能的要求较低;二是间接性,人脸识别技术实际比较的是依据人脸识别信息产生的如梯度直方图、特征点分布等数据[7];三是自学习性,人脸识别系统的运用得益于通过大数据进行自学习系统的构建,直到机器自学习阶段完成,人脸识别技术才真正得以实现[8];四是可训练性,大量使用大数据自学习的人工智能技术通过训练培训出符合运营者要求的人脸识别系统。
人脸识别既带来了人脸识别系统有别于其他身份鉴定方式的优势,又带来了相应的风险,需要合理利用其优势,同时规避防范其风险。
(二)我国人脸识别法律规制的现状
《民法典》第1034条第1款明确规定“自然人的个人信息受法律保护”,第2款则明确规定“生物识别信息”属于个人信息的范围。根据《中华人民共和国网络安全法》(以下简称《网络安全法》)第76条第5款的规定,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,包括“个人生物识别信息”。《民法典》与《网络安全法》已经将生物识别信息纳入个人信息保护范畴,提供了生物信息保护的原则,但是缺乏对于生物信息数据区别于其他数据保护的特别规定,对于人脸识别技术涉及的特殊风险防范,更没有与之配套的法律法规。现有关于人脸识别技术运用的规制主要依靠技术规范、标准与要求。在防止个人信息滥用领域,2021年7月28日,最高人民法院发布《使用人脸识别技术的适用规定》,进一步明确规定人脸识别信息属于《民法典》所规定的“生物识别信息”,同时规定了属于侵害自然人人格权益的人脸识别技术运用情形。在信息安全领域,2020年由国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术个人信息安全规范》正式实施,确定了面部识别特征属于个人生物识别信息类别,并对收集、储存、使用、委托、安全事件处置、安全管理要求等方面作出了规范。在金融领域,2020年由中国人民银行颁布的《个人金融信息保护技术规范》则将“用于用户鉴别的个人生物识别信息”列为最为敏感的个人金融信息。2020年11月,国家市场监督管理总局与国家标准化委员会颁布的《信息安全技术远程人脸识别系统技术要求》正式施行,是全国首个使用人脸识别技术进行身份认证的国家安全标准,在人脸识别技术法律规制方面具有开创性的意义。
但是,相应规制主要存在以下四个问题:第一,由于数据处理具有普遍性、技术性、复杂性与即时性的特征,数据治理存在软法规制的空间[9],但作为技术规范、技术要求等“软法”缺乏强制力,亦缺乏处罚条款,难以严格约束侵害信息安全的行为。第二,相应的技术规范、技术要求主要是针对人脸识别技术运用的特定领域,对于已经广泛使用的个人生物信息识别技术缺乏宏观规范与限制。第三,有关技术规范、技术要求主要是针对生物识别信息这一总体概念设定,或者聚焦在人脸识别的技术规范层面,没有特别针对人脸识别技术的特征及由此产生的风险进行规制。第四,《使用人脸识别技术的适用规定》主要针对自然人人格权益进行保护,涉及的侵权责任也局限于自然人人格权益及其衍生的财产权益,对于人脸识别系统这种兼具产品与服务双重性质的智能系统的侵权责任法律制度构建,缺乏有针对性的规定。由于人脸识别的技术特征以及由此产生的有别于其他生物数据识别信息的巨大收益和相应风险,仅凭现有规范难以有效确保行业稳定有序发展,难以确实保护使用者的权益。
(三)我国人脸识别的侵权责任风险
人脸识别技术拥有简易性、间接性、自学习性与可训练性的特点,使其拥有低成本、快速便捷、精确的优势,为人脸识别系统广泛使用提供了良好的基础。但人脸识别技术的上述特点在给其带来巨大优势的同时,在实际运用中也面临着相应的技术缺陷挑战,新兴产业的勃兴必然会伴随着较旧有产业更多的风险[10]。由于人脸识别系统本质上是基于人工智能系统构建的识别程序,其固有的技术缺陷仍然会带来额外的侵权责任法律风险,对此必须予以防范注意。将人脸识别的侵权责任纳入法律规制中,对于我国身份识别市场整体的发展有巨大的作用。
第一,人脸识别系统本身的侵权风险。人脸识别程序作为一种算法,其本身就面临着先天设定不足的风险。一是人脸识别作为一种识别途径本身固有缺陷,人类面部较指纹、虹膜等生物特征少,变化的复杂程度不足,会影响其精度。二是系统本身先天设置缺陷导致系统无法正常运作的风险,目前广泛运用的人脸识别技术还停留在静态二维照片识别的范围内,而人脸是三维的动态,与二维图片有本质上的区别。三是后天学习能力有限导致无法及时响应的风险,人脸会随着年龄增长而呈现十分明显的变化,如果不能及时更新算法升级系统,就会出现无法及时响应面部特征变化的风险。此外,人脸识别系统还面临着遭到黑客攻击或网络故障导致的中断瘫痪等网络安全风险问题。
第二,人脸识别系统运行中的侵权风险。到目前为止,最为突出的风险是运营商与识别者滥用人脸识别技术的风险。由于人脸识别特有的快捷性、广泛性特征,不需要专业设备即可利用;由于目前对于人脸识别系统的使用缺乏规制,大量服务者随意收集使用消费者的人脸识别信息,已经构成了事实上的滥用,不能够简单地使用个人信息的“自主处理权”进行解释。同时,由于人脸识别技术的滥用,数据收集环境与信息采集终端的安全性难以得到保障。此外,也有操作人员因为操作不当导致系统运行错误而产生的风险。
第三,侵害接受者隐私的侵权风险。为了人脸识别系统的运作,必须对接受者面部识别信息进行精确构建,其产生的数据为接受者独有的生物识别信息数据。生物识别信息数据与一般个人信息有所不同,一般个人信息可以依要求进行修改,而生物识别信息难以修改,且导致其泄露与滥用的后果尤其严重。同时,人脸识别数据的分类并不明确,《信息安全技术个人信息安全规范》的定义为面部识别特征。由于人脸识别技术间接性的性质,人脸识别所使用的梯度直方图、人脸特征点分布、人脸编码测量值阵列等方法,均为经过系统处理过的数据,与直接输入识别信息的指纹识别不同。此外,如果运营商人脸识别系统的保密性出现问题,也有数据泄露的风险。
人脸识别系统作为一个新兴产业,有针对性的法律规制欠缺,接受者不仅面临着运营商利用优势地位滥用人脸识别技术的风险,还有对自身合法权益的侵害,超出了协议保护的范围,急需有针对性的法律保护。因此,本文将从人脸识别的基本法律关系出发,深入研究人脸识别的侵权责任。
二、我国人脸识别侵权责任主体的特殊性
由于人脸识别采用了大量的人工智能技术,对于其主体性的讨论也是必要的,必须在明确人工智能是否有主体地位的基础上进一步明确人脸识别侵权责任的主体。同时,要研究我国人脸识别的侵权责任承担问题,在主体明确之后必须找出人脸识别的主要相关方,从而明晰我国人脸识别商业模式中存在的法律关系,为侵权责任的承担与分配提供依据。
(一)我国人脸信息处理中的特殊法律关系
目前人脸识别商业模式呈现系统开发、系统运营与实际使用分离的情况,主要包括提供人脸识别产品与提供人脸识别产品服务两大部分,并由此派生出对应的法律关系。
第一,提供人脸识别产品产生的法律关系。依照国务院《计算机软件保护条例》第11条的规定,接受委托开发的软件系统著作权归属问题,有约定的从约定,无约定的属于受托人,该规定厘清了人脸识别系统的知识产权归属。开发软件系统者接受委托开发相应软件系统用于人脸识别的商业运作属于委托关系,标的物是人脸识别系统产品,属于《计算机软件保护条例》第3条规定的计算机程序。开发软件系统者不仅应当承担合同义务,还应当承担一部分后合同义务,包括人员培训、系统调试、技术指导、系统维护等。同时,我国人脸识别系统在实际运营中也存在人脸识别系统开发者将所开发的人脸识别系统自用以提供人脸识别服务的情况,这就需要提供人脸识别服务的人脸识别系统开发者对顾客承担相应的责任。
第二,提供人脸识别产品服务产生的法律关系。由于我国人脸识别终端呈现出分散化的特征,提供人脸识别产品服务流程通常分为两段——自系统运营者至识别终端,以及识别终端至被识别者。购买人脸识别服务的识别终端在购买服务之前必须同意一个或数个服务协议以明确产品操作流程、双方权利义务、纠纷解决机制等事项,服务协议的标的是明确的人脸识别服务,服务协议的内容包括运营商应识别终端要求提供人脸识别服务,符合委托合同的法律定义,从性质上而言,应当纳入委托合同的范畴。对于接受人脸识别终端提供人脸识别服务的被识别者而言,其与人脸识别终端仍然是委托关系,大众委托人脸识别终端对其面部识别信息进行识别与收集,再使用其结果用于人脸识别服务。但是与人脸识别系统开发商不同的是,识别者与接受者之间的委托关系使用的是服务而非产品。同样,我国人脸识别系统也存在系统运营者兼营人脸识别终端的情况,需要兼顾人脸识别终端角色的运营商对顾客承担相应的责任。
(二)我国人脸识别服务的侵权主体界定
通过对提供人脸识别产品产生的法律关系进行分析,可以界定出开发人脸识别产品的委托者与受托者,对应到人脸识别服务商业体系中,委托者为人脸识别系统运营商(以下简称“运营商”),受托者为人脸识别系统开发商(以下简称“开发商”)。通过对提供人脸识别产品服务产生的法律关系的分析,可以界定出提供人脸识别产品服务的委托者与受托者,委托者为人脸识别系统使用者,受托者为人脸识别系统运营商。同时在使用人脸识别系统的过程中,又产生了对应的委托关系,被识别者委托人脸识别终端提供人脸识别服务,委托者为使用系统进行人脸识别者(以下简称“识别者”),受托者为接受系统进行人脸识别者(以下简称“接受者”)。
侵权行为的法律结构逻辑,必须以行为为起点,以责任为归属,责任为侵权行为的法律结果[11]。从逻辑上分析,因为受托者提供的产品与服务出现瑕疵导致的侵权责任应当由受托者承担;在产品责任中为生产者与销售者,在服务导致的侵权责任中,应当为服务提供者。因此,对于提供人脸识别产品产生的侵权责任,侵权主体应当为开发商;对于提供人脸识别产品服务产生的侵权责任而言,侵权主体应当为运营商。在使用人脸识别系统的过程中产生的侵权责任,侵权主体应当为识别者。
需要注意的是,关于人工智能产品侵权民事主体的法律地位,可以参考《民法典》第2条的规定:“民法调整平等主体的自然人、法人和非法人组织之间的人身关系和财产关系。”目前普遍认为,人工智能还处于高级函数阶段,仅仅是一种为运营商使用的算法工具,是运营商意志的延伸,因此不具备侵权的主动意志,也不具有承担侵权责任的能力[12]。所以人工智能侵权仍然仅仅是侵权行为的表象,实际上是具有安全注意义务的民事主体因为故意或过失未履行义务而导致的侵权危险。
三、我国人脸识别侵权责任的类型
要分析我国人脸识别的侵权责任,必须从我国人脸识别系统的法律关系出发。系统开发商与运营商的法律关系应当归结于人脸识别系统自身的质量问题,由于设计失误而导致人脸识别系统无法达到预定的目标,从而侵害使用者的合法权益。运营商与识别者间的法律关系应当归结于人脸识别系统的运营问题,即侵权责任不是人脸识别系统本身的质量问题导致的,而是运营商在使用该系统为识别者提供服务时,因过失或故意产生的侵害消费者合法权益的行为。识别者与接受者之间的法律关系也应当归为人脸识别系统的运营问题,由于人脸识别数据的现场采集、储存实际上是人脸识别实现的一环,人脸识别数据的现场采集、储存当然是人脸识别系统服务的一部分。因此,本文将从人脸识别的特殊法律关系出发,将侵权责任分为人脸识别系统本身导致的侵权责任与人脸识别系统运营导致的侵权责任。
(一)人脸识别系统本身导致的侵权责任
分析人脸识别系统本身的侵权责任,必须落脚在人脸识别系统本身上,对于运营商而言,人脸识别系统是一种由开发商提供的产品,因此,人脸识别系统本身的侵权责任应适用人工智能产品的侵权责任承担原则。同时,由于人工智能产品的侵权主体仍然是有安全注意义务的民事主体,研究人工智能产品侵权责任必须从产品的侵权责任出发,在《民法典》侵权责任编、《中华人民共和国产品质量法》(以下简称《产品质量法》)与《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》)中均有明文规定。
《民法典》侵权责任编对“产品责任”有十分明确完备的规定。同时,《产品质量法》第3章“生产者、销售者的产品质量责任和义务”以及第4章“损害赔偿”均为关于产品责任的规定;《消费者权益保护法》第3章“经营者的义务”、第6章“争议的解决”、第7章“法律责任”等也部分涉及产品责任。此外,最高人民法院有关司法解释以及对某些产品责任案件适用法律的意见,也构成我国产品责任法律制度的重要组成部分。产品侵权责任是一种特殊侵权责任,其特殊性主要表现在归责原则的适用方面。普通侵权责任适用过错责任原则,而作为特殊侵权责任的产品责任,大多适用无过错责任原则,受害人无须证明加害人有无过错,而只需要证明产品的缺陷、损害、因果关系。采取无过错责任原则,不论该行为人是否具有过错,如不存在法定免责事由,都应当承担侵权责任。
《民法典》第1203条明确规定,对于缺陷产品,生产者、销售者承担的是无过错责任。因此人工智能产品责任以无过错责任原则作为归责原则,是因为缺陷产品本身具有致人损害的危险性,当损害发生时,实际上是损害发生危险性的现实化,缺陷产品的生产者和销售者有义务对这种危险承担侵权责任。更进一步,由于人工智能产品本身的高度智能化,通常不需要使用者一直控制操作,因此人工智能产品的安全性要求不仅不比普通产品低,甚至要比普通产品更高。
总结而言,为了能够促使人工智能产品的制造者对人工智能产品的安全性负有高度注意义务,在人工智能产品有关的侵权责任方面,以无过错责任原则作为归责原则是比较妥当的。但与此同时,由于人工智能技术的先进性与新颖性,可以适用《产品质量法》第29条规定的生产者三类免责事由:一是未将产品投入流通;二是产品投入流通时,引起损害的缺陷尚不存在;三是将产品投入流通时的科学技术水平尚不能发现缺陷的存在。由于人脸识别系统使用的人工智能技术是新兴技术,会出现大量以目前的科技水平难以预料的意外情况,为了促进人工智能技术的发展,应当灵活适用三类免责条款,作为承担产品侵权责任的重要补充。
(二)人脸识别系统运营导致的侵权责任
在明确了归责于人脸识别系统本身的侵权责任后,对于人脸识别系统运营导致的侵权责任,必须回归到身份识别的本质即服务上。服务是一种广义的“特殊产品”,根据第六版《辞海》的定义,服务是“一方向另一方提供的非实物生产的经济活动”,主要包括服务行业提供的各种服务,也包括与实体产品相配合的服务。服务侵权责任则是由提供服务缺陷导致的损害责任,通常界定为:“服务的提供者因服务质量存在缺陷,致使他人人身或财产遭受损害而应承担的损害赔偿责任”[13]。服务侵权责任与产品侵权责任十分相似,本质均为特殊的民事侵权责任,但是服务侵权责任同时又有其独特性。
虽然服务是一种广义的产品,但是同时也与实体产品有区别:第一,服务是由消费者直接参与生产,生产与消费同时进行的经济活动。服务的生产与消费在实践与空间上都高度统一,其过程无法储存。因此,服务的提供必须有消费者的直接参与,如常见的休闲活动、餐饮服务、金融服务、文娱体验等,都必须由消费者直接参与。第二,服务生产的是无形产品。与一般制造业生产的产品不同,服务生产的结果是无形的无实体产品,表现形式为信息传递、体验、移动、学习、医疗、金融保险等。在服务结束后消费者离去,不会带走有形产品。第三,服务业与制造业有区别。服务的提供者主要是从事运输、商务、金融、旅游、医疗、餐饮、住宿等服务的商事主体,其经营方式与经营内容与制造业企业有本质区别。
针对使用者的人脸识别服务属于服务领域而非有形产品,与此相对应,人脸识别系统则是有形产品。第一,人脸识别的生产与消费同时进行。人脸识别系统直接通过人脸图片提取特征点给出是否通过身份验证的结论,之前没有预备生产的过程,之后也没有继续生产的过程,身份验证结论的提出与顾客的消费是同时进行的。第二,人脸识别提供的是“无形产品”。人脸识别是针对生物数据的身份验证行为,并非看得见摸得着实实在在存在的物品。第三,人脸识别经营模式运用的身份识别领域是第三产业,亦即服务业的范畴,从大范围来看,人脸识别属于服务。由此可知,对于使用者而言,人脸识别属于服务领域。
服务侵权责任与产品侵权责任存在十分明显的竞合性,这是由服务业本身的特点决定的。因为服务的提供与接受在时空上存在同一性,服务合同通过履行实现,合同履行后,合同目标得以实现,服务侵权与服务合同的履行高度重合,从而使违约责任和侵权责任互相融合。因此,服务侵权不能适用与产品质量侵权完全相同的规则,我国《产品质量法》所称的“产品”并不满足“服务”的定义,服务侵权的被侵权人不能依据《产品质量法》寻求救济,只能依据《消费者权益保护法》保障自身合法权益。
有研究认为,应当采取与产品侵权相当的无过错责任原则,同时在每一个服务行业均制定相应的行业性法律,根据自身的发展和特殊需要,确定各服务行业的发展目标和侵权责任承担制度,最大限度地实现保护与发展相结合[14]。也有研究指出,应当参照已经存在的涉及服务的立法或者司法解释,如最高人民法院在2001年12月21日公布的《关于民事诉讼证据的若干规定》规定,对医疗行为所产生的侵权诉讼,由医疗机构就医疗行为与损害之间不存在因果关系及不存在医疗过错承担举证责任。1996年3月1日起施行的《中华人民共和国民用航空法》第127条也采用了该项原则。本文认为,借鉴已有的服务侵权责任专法,采用过错责任原则推定其有过错是较为合适的。
由于服务与产品存在明显差异,适用产品侵权责任并不合适。对于人脸识别系统运营导致的侵权责任,应当借鉴已有服务侵权责任立法,服务质量侵权责任应实行过错责任原则推定其有过错。
四、我国人脸识别侵权责任制度适用的厘清
人脸识别作为一种新兴的服务形态,兼具人工智能产品与服务的特点,其侵权责任界定应当更加有别于普通的身份识别服务。由于人脸识别是人工智能技术这一新领域中产生的一个新区块,其服务的特征也与一般人工智能产品存在相当大的区别。与已经引起广泛关注的人工智能产品侵权责任研究相比,国内关于人脸识别相关法律规制的关注相对滞后,针对人脸识别系统的侵权责任的相关研究更是十分粗糙。因人脸识别操作系统的应用而造成他人损害时,侵权责任该如何承担,目前学界对此并没有统一认识,我国也没有相关的法律规定,急需加以厘清。结合人工智能产品侵权责任分析的相关研究,人脸识别的侵权责任应当在考虑服务侵权责任的基础上加入人工智能产品的特点。所以,人脸识别侵权责任应当实行过错责任原则推定其有过错,同时考虑到针对新技术运用的免责条款。
(一)人脸识别侵权责任的适用前提
第一,明确侵权责任承担者。关于人脸识别的侵权主体,应当从已有研究出发,结合人脸识别的相关特点进行认定。之前的研究已经证明了人工智能不能成为民事主体,也不能成为侵权责任的责任主体,使用人工智能技术的人脸识别操作系统也无法成为责任主体。要确定人脸识别的侵权主体,必须明确人脸识别的主要相关方是人脸识别系统运营商、人脸识别系统开发商、人脸识别系统使用者,使用者又分为识别者与接受者。同时,关注人脸识别系统侵权责任的最重要目的是保护使用者的合法权益,人脸识别系统的接受者是受到保护的对象,在现实中也没有对应的利用接受人脸识别服务而侵害他人权益的情形,应当排除在侵权责任承担者之外。因此,将人脸识别系统侵权责任承担者选取为人脸识别系统开发商、人脸识别系统运营商与人脸识别系统使用者中的识别者,是科学合理的,也符合通常的法律认知逻辑。
第二,在侵权主体明确之后,对于侵权责任承担逻辑的构建,有两个原则需要厘清。首先是要明确侵权责任的归责逻辑。如前文所述,人脸识别系统致人损害的原因,要么是人脸识别系统本身在设计、构建环节上存在质量问题,要么是人脸识别系统在使用和管理中存在问题,两种情形有不同的归责逻辑,人脸识别侵权责任的承担必须遵照这两种归责逻辑。其次是要明确侵权责任发生的情形。由于在人脸识别系统的构建与运营中,运营商是开发商提供的产品与服务的接受者,识别者是运营商提供的产品与服务的接受者,两者在一些情形下又是被侵权人。在侵权主体同时兼有侵权人与被侵权人两个属性的情况下,如果单从主体出发进行讨论,会有混淆的情况出现。要明确人脸识别侵权责任的承担方式,需要从运营商与开发商之间的法律关系、运营商与识别者之间的法律关系、识别者与接受者之间的法律关系出发,分别考察人脸识别侵权责任发生的情形——人脸识别系统硬件问题、人脸识别服务问题、识别者服务问题。
第三,人脸识别侵权责任的构成要件。首先,必须造成了损害。由于人脸识别服务的身份识别服务属性,作为人脸识别侵权责任构成要件的伤害,可以兼具财产与人身伤害,但必须是直接和人脸识别系统相关的伤害,影响范围和行为的目的、方式、后果必须具有同质性[15]。需要说明的是,针对滥用人脸识别技术侵害自然人人格权益的问题,人脸识别信息处理者滥用技术未经被识别者同意处理人脸信息的行为本身,即是对个人信息的恶意窃取与违规使用,构成了对被识别者人格权益的损害[16]。因为人脸识别系统中同时存在多个委托行为,重点在于明确受到损害的对象。其次,存在因果关系。基于我国的侵权责任因果关系理论,因果关系必须具有联系性、客观性、时间顺序性、必然性与多样性[17]。损害应当是由于人脸识别系统的应用引起的,由于人脸识别系统自身问题或者操作不当带来了对应的风险,该风险现实化引发了对被侵权人合法权益的客观侵害,且在时间与空间上均具有连续性。对于一因多果与一果多因的情况,应当区分主次要原因以决定行为人的责任承担份额。最后,不满足相关免责条款。人脸识别操作系统侵权责任应该发生在该产品已经实际投入使用,进入到服务领域的情形;若尚未进入广泛的流通领域时发生损害,则应当适用免责条款,不承担侵权责任。
(二)人脸识别的侵权责任归责
目前通行的侵权责任归责理论主要有过错责任、公平责任与无过错责任三种,对于过错责任则又以举证责任的归属可以推定侵权责任主体有过错[18]。本文根据人脸识别系统硬件问题、人脸识别服务问题、识别者服务问题三种情形从三个方面进行分析:
1.由人脸识别系统硬件问题导致的归责
若人脸识别操作系统发生侵权的原因可以确定是因为系统的设计、构建、调试等存在的风险,即人脸识别操作系统本身存在缺陷,则应当参照归责于人脸识别系统本身问题的侵权责任归责逻辑。侵权人为系统开发商与系统运营商,同时应当以无过错责任原则作为归责原则,只要是产品缺陷引发的侵权责任,都应当由侵权人承担责任。同时,还需要适用《产品质量法》规定的三类免责条款。
由于存在多个侵权人,应当依照《民法典》第1203条的规定,分配侵权责任,即被侵权人可以向人脸识别系统的开发商与运营商请求赔偿;如果是系统开发商过错导致系统缺陷,负赔偿责任的系统运营商有权向系统开发商追偿。反之,则负赔偿责任的系统开发商可以向运营商追偿。结合人脸识别系统现实运用的特点,目前存在开发商与运营商紧密结合,甚至是同一企业的同一部门的情况,则系统运营商应当承担全部赔偿责任。
2.由人脸识别服务问题导致的归责
如果是因为人脸识别系统的管理、运营存在缺陷而引发风险,导致侵权责任的发生,即人脸识别服务问题导致的侵权责任,则应当参照归责于人脸识别系统运营问题导致的侵权责任归责逻辑。侵权人为运营商,以过错责任原则推定其有过错,如果运营商无法证明自己在管理运营人脸识别系统中不存在过错,就应当承担相应责任。
由于我国缺乏专门针对服务的侵权责任分配立法,对于人脸识别服务问题所导致的侵权责任的归责,应当参照《民法典》第1165条与第1166条的规定,厘清由人脸识别服务问题导致侵权责任的侵权主体。此种情况只有运营商一个侵权人,侵权责任由运营商独自承担。
3.由识别者服务问题导致的归责
如果侵权责任的发生是由于识别者的服务存在缺陷所致,由于不管是人脸识别服务还是为接受者提供身份验证的服务都属于服务的范畴,同样应当参照人脸识别系统运营问题导致的侵权责任归责逻辑。侵权人为人脸识别系统运营商与识别者,以过错责任原则推定其有过错,在人脸识别运营商与识别者无法证明为接受者提供身份验证的服务过程没有过错时,则应当承担责任。
同样,在存在多个侵权人的情况下,应当有具体的分配依据。由于我国目前没有关于服务侵权责任分配的相关立法,应当依照《民法典》第1171条与第1172条的规定,由人脸识别系统运营商与识别者承担连带责任,并依照过错大小各自承担或平均承担。
五、结语
人脸识别拥有低成本、快捷、便利、准确的优势,在社会管控等领域有广大的发展前景。与人脸识别产业迅速发展相对照的,是针对人脸识别领域的法律规制出现了大量空白,不利于保护使用者合法权益,也不利于人脸识别产业的蓬勃发展。本文通过详细分析人脸识别的商业模式和法律关系,以人脸识别系统运营商、开发商、识别者与接受者之间的法律关系为切入点,深入分析人脸识别运用中侵权责任主体,从属性、构成要件与侵权责任承担方式等方面厘清我国人脸识别侵权责任制度的适用,为保护使用者在新技术运用环境下的合法权益提供了充分的参考意见,为人脸识别技术的广泛运用与产业发展提供了法律保障建议。更进一步,将人脸识别从简单的人工智能产品的范畴中区别出来,为针对人工智能服务的侵权责任研究,乃至建立相应的法律规制路径提供了较好的基础与参照。
