刘彭飞, 白牧蓉

(兰州大学 法学院,甘肃 兰州 730000)

随着大数据时代的来临,信息共享、万物互联助力了经济腾飞和社会发展,便利了人们生活,增进了民生福祉。但收益与风险是共存的,信息技术的高速发展使得个人信息时刻面临侵害风险,尤其是与个人身份密切相关的生物识别信息,人脸信息更是如此。“人脸识别第一案”(1)参见浙江省杭州市中级人民法院(2020)浙01民终10940号判决书。的终审落槌似乎并未宣告个人信息强保护时代的到来,越来越多的人脸信息侵权案件相继发生。立法层面已经对侵权乱象做出了回应,《个人信息保护法》以敏感信息的方式强化了对人脸信息的保护,《民法典》则将个人信息划分为私密信息和一般个人信息,属于私密信息的,适用隐私权保护;属于一般个人信息的,适用个人信息权益保护,个人信息的私密与否决定了保护力度的强弱。但新形势产生了新问题,《民法典》并未明确私密信息的具体内涵,间接导致了实践中裁判尺度的混乱。那么,私密信息应当作何定义?私密信息的认定标准如何确定?人脸信息是否属于私密信息进而适用隐私权的强保护?如何通过保护路径的完善来优化人脸信息保护现状,为信息主体提供位阶更高、力度更大的保护方式?本文将围绕以上内容逐一做出分析与论证。

一、我国人脸信息保护的风险挑战与法律基础

1.人脸识别技术发展的隐忧

人脸识别技术诞生后因其高效便捷、精准可靠的特性取得了飞速发展,越来越多的领域开始使用人脸识别技术,刷脸支付、刷脸入住、刷脸认证等方式逐渐都为大众所接受,公共领域和商业领域普遍采用人脸识别技术来助力社会秩序维护或自身利润增长目的的实现。

但事无绝对,在享受人脸识别技术带来的发展红利时,我们更应看到技术发展背后的隐忧与风险。需要指出的是,即使在公共空间,个体的隐私期待也并未因公共性而降低。人们可以接受以国家安全和社会稳定为名义的监控识别,但却无法忍受对自身私密信息、私密空间的窃取和侵犯。人脸作为个体最独一无二的特征是个体进行社会交往的公开媒介,人脸信息作为人脸的数字表达与承载形式,其与人脸密切相关,更与个人隐私紧密相连,人脸信息一旦被侵害无异于互联网上的“变相墨刑”。

第一,对信息主体财产权益保护带来的挑战。互联网时代,信息技术高速发展,包括人脸信息在内的个人信息成为很多互联网企业发展的助推器和催化剂,是企业成长隐形的资源库。人脸识别技术的重点不仅在于识别,更在于识别后的分析,其会将人脸信息与个人消费喜好、行为习惯等在大数据技术的辅助下进行结合从而起到联系个人身份和相关信息的纽带作用,使精确信息主体的消费需求与喜好成为现实。前文提及,人脸识别技术被广泛使用到消费支付领域,从给付现金到刷脸认证不仅意味着支付的高效便捷,也带来了潜在的风险:人脸信息一旦泄露,信息主体的账户安全将岌岌可危。信息主体有权对信息及其产生的利益进行支配、管理和控制,技术的不透明和信息处理者的“有意为之”致使信息主体对其人脸信息的去向不明、收益不知,对人脸信息的非法利用等行为极大地损害了信息主体的财产权益。

第二,对信息主体人格权益保护带来的挑战。人的社会存在表征就是生物和哲学双重意义下的“脸”,因此脸的存在与否和人的社会存在直接相关[1]。首先,人脸识别技术的使用需要先采集信息主体的人脸信息图像,同时在后台数据库中也会存储大量人脸肖像用于对比识别。若信息主体的肖像或数据库中的肖像泄露并被别有用心者进行深度伪造——AI换脸就是很好的例证,不法分子会将人脸图像拼接或嫁接至色情广告或商业用途中,该类侵权行为不仅会严重侵害信息主体的肖像权更会带来严重的精神损害[2];其次,信息处理者未经信息主体同意进行人脸信息采集和擅自扩张人脸信息利用场景侵犯了信息主体的隐私权(下文将对此进行论证);最后,人脸信息处理的全过程中知情同意规则的虚化侵犯了信息主体的个人信息权益。信息主体的“同意”边界模糊且范围不明,导致人脸信息泄露后溯源无门[3]。

第三,对公共利益保护带来的挑战。政府为了便于社会管理、维护社会秩序、打击违法犯罪及推进数字政府建设也将人脸识别技术使用至政务等多个领域。与商业领域不同,政府主导下的公共领域所存储的人脸信息规模更大、处理人脸信息所关涉的第三方波及更广,且乘车出行、证照办理等都与信息主体现实生活中的需求息息相关。若公共领域中的人脸信息泄露,不仅会损害信息主体的个人利益,对社会稳定、国家安全等公共利益带来的损害更无法避免。

故在享受人脸识别技术高速发展带给个人、社会巨大红利的同时,更应甄别其中的潜在风险与现实危险,在权益保护和信息利用之间进行利益衡量,把握尺度标准。

2.我国人脸信息保护的现行法律框架

我国关于人脸信息保护的法律散见于《民法典》和《个人信息保护法》中,二者共同构成了保护人脸信息的法律体系。《民法典》第一千零三十二条和第一千零三十四条规定了隐私权保护和个人信息权益保护的内容,并以私密信息和非私密信息的划分方式强化了对私密信息的保护。除此之外,《民法典》第九百九十一条规定了人格权受法律保护的相关内容,其在性质上属于一般性保护规则。但个人信息作为一种人格权益并未上升为权利,在权益保护规则供给不足时,能否统一适用人格权的一般性保护规则仍有待商榷;与《民法典》不同,《个人信息保护法》中对个人信息采取了敏感信息和一般信息的界分方式,并对包括生物识别信息在内的敏感信息的类型、保护方式和同意规则做了规定。就概念内涵的准确性、保护规则的明确性而言,《个人信息保护法》中的规定更为详实、可操作性更强且保护力度也更大,为人脸信息的从严保护打下了基础;《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》也对人脸信息侵权进行了一定程度上的调整与规制。

但法律规定的分散、保护路径的多元在一定程度上会影响裁判尺度的统一,隐私权保护、个人信息权益保护和敏感信息保护究竟孰优孰劣仍有待于实践的检验,在如下案例中我们可以发现其法律适用上的端倪。

在徐红婷、苏州平泰置业有限公司个人信息保护纠纷一案中(2)参见江苏省苏州市姑苏区人民法院(2022)苏0508民初5316号判决书。,原告主张被告在其售楼处安装多台摄像头,采集存储并传递原告的人脸等个人信息。被告在无合规流程的情况下,非法获取、传递消费者个人信息,构成侵权。法院基本支持了原告的全部诉讼请求,并在判决书说理部分明确原告个人信息权益受到侵害。但在适用法律依据时,却选择了《中华人民共和国民法典》第一千零三十三条——即侵犯隐私权行为的条款。虽然法院也同时援引了其他条款,但在明确指出原告系个人信息权益受损的情形下,仍选择将隐私权相关条款作为裁判依据,可以看出人脸信息的保护路径仍有待统一。

二、私密信息的内涵与界定

1.隐私与个人信息的联系区分

隐私和个人信息之间的关系一直以来都未曾像楚河汉界般泾渭分明,“万物皆可数字化”使得传统观念中的“隐私止于家门”被消解,极大地更新了隐私的表现样态。在这种背景下,隐私权的保护范围从原来的私密空间、私人生活等扩张到了载有人格利益且可以被数字编码化的私密信息,隐私的信息化和信息的隐私化二者相互交织、相互影响。天然的联系、内涵的重合、外延的交互必然产生隐私和个人信息交叉领域中法律控制的缺位或叠加,这种缺位或叠加集中表现在私密信息上。

隐私与个人信息之间究竟是平行关系还是交叉关系,学界和实务界对此看法不一,观点的不一导致实践中对二者进行区分存在一定难度,映射到立法上便是“一元模式”和“二元模式”的并立共存。“一元模式”为美国创立发展,其提出“大隐私”概念并主张用隐私保护个人信息。与美国立法不同,欧洲采取了“二元模式”,即将个人信息与隐私权进行区分,从立法上尝试厘清二者的边界。《欧洲一般数据保护原则》为个人信息保护提供了更为全面系统的保护,个人信息自决权也于德国得到了最早的承认与确立。我国《民法典》采用二元并立的保护模式,以强调隐私权与个人信息是相互独立的民事权利(益)[4],并且进一步区分了隐私权与个人信息权益,主张私密性和公开性是隐私权主要解决的问题,而个人信息权益则主要调整个人信息权益自决的保护与社会公共利益维护的紧张关系[5]。

在比较法上,个人信息制度是从隐私权的框架内发展起来的,个人信息长期被视为隐私权的一个维度,是隐私权在信息化时代的应用和逻辑延伸[6]。追根溯源,原因在于隐私权和个人信息权益本质上都承载了人格尊严与人格自由,其在法律属性上均属于人格权益。二者在侵害方式上都包括非法采集、泄露等,在功能价值上都具有保护人格尊严不被侵犯、人格利益不被损害的作用,在权利客体上也存在一定交叉,《民法典》也对个人信息中的私密信息适用隐私权保护进行了明确。

信息时代个人信息被大量利用,个人信息的流通属性和价值属性相得益彰、相互促进,个人信息只有流通才能产生更大价值,个人信息的流通根植于个人信息的价值。个人信息权益产生时间较晚,其得益于信息时代的互联网技术而蓬勃发展,在现代语境下仍属于一项新颖的人性权益。具体而言,二者在以下几个方面均存在一定程度的区别:首先,在权利性质上,隐私权财产属性较弱,外观和实质上均表现为一种精神性人格权。但个人信息权益则兼具精神利益和财产利益,表现为一种综合性人格权益;其次,在权利内容上,隐私权主要目的是防范个人隐私不在未经个人同意的前提下被窥探、泄露,是一种消极防御性人格权。个人信息权益则更为主动,其目的是对个人信息的支配与控制,是一种积极行使的人格权益;再次,在权利保护上,于隐私而言我国立法采取的是明确权利属性的强保护,于个人信息权益而言采取的则是模糊权益属性的弱保护,《民法典》中对于隐私和个人信息采集利用的知情同意规则也能体现该点;再次,二者的价值定位不同,隐私权着重保护人格尊严与人格自由而个人信息权益则侧重于权益主体的意思自治;最后,个人信息权益的公共属性更强,而隐私权则更突出私人属性。

隐私与个人信息呈交叉关系,私密信息则最直观地体现了这种关系。从《民法典》第一千零三十二条第二款规定(3)《民法典》第一千零三十二条第二款:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。和第一千零三十四条第三款(4)《民法典》第一千零三十四条第三款:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。规定中可以看出,《民法典》一方面承认私密信息属于隐私,同时又规定了个人信息中的私密信息适用隐私权保护,私密信息的双重保护体系也由此得以建构。在民法典的立法构造下,隐私、个人信息和私密信息,共同构成了客体保护的秩序概念谱系,三者概念边界模糊,却享有迥异的保护规则[7]。因此,何为私密信息?如何认定私密信息成为厘清隐私与个人信息的边界、在实践中统一裁判尺度和正确适用法律依据的关键。

2.私密信息的内涵界定

我国包括《民法典》在内的现行法律规范均未对何为私密信息、私密信息的具体内涵作出明确界定。界定私密信息内涵的前提是明晰私密信息的本质,本文认为私密信息本质上是个人信息,但其承载和附着了隐私利益,由此具备了个人信息和隐私的双重属性、受到了个人信息权益和隐私权的双重保护。

王利明认为私密信息在本质上属于个人信息,只不过信息主体希望该信息维持于私密状态不欲为他人知晓[8]。有学者主张私密信息可概括为:在内容上涉及私人事务;在主观上欲排除他人知情,社会一般人也期待不欲为他人知晓;用积极或消极的行为阻隔他人知晓的个人信息[9]。另有学者指出:“私密信息的内涵为可直接或间接识别至特定自然人,且不愿为他人知晓的信息”[10]。从以上不同学者的观点可看出,对私密信息的内涵界定必须立足于其本质属性和承载利益两个维度。

因此对私密信息的内涵界定可从其本质属于个人信息和兼具隐私利益的特性入手。首先,私密信息因属于个人信息,其必须具备可识别性或已被识别。个人信息可以分为已识别信息(如姓名、性别等)、可识别信息(如生物识别信息等)和非可识别信息(如密码等),只有当私密信息已为识别或具备可识别性时,其他权利主体才能通过一个或多个私密信息的结合精准识别到该私密信息权益主体,私密信息才有被侵犯的可能性,无法被识别或者不能反映个人特征的信息不属于私密信息。

其次,私密信息具有私密性,所谓私密性是指私密信息权益主体主观上不欲为他人知晓,客观上也采取了一定措施避免他人知晓,客观上措施的有无不影响私密性的认定,仅影响该信息私密性的强弱。私密信息权益主体自愿公开的信息是否仍具有私密性还有待商榷,可依据权益主体明确授权的适用场景进行认定。

最后,需明确私密信息的核心是“私密”而非“信息”,私密强调的是信息主体认为该信息是其个人事务,仅涉及其私人领域而与公共利益无关,体现的是人格权属性,“信息”的财产权属性则更显著。根据法的价值位阶理论,人格权的价值位阶绝对高于财产权。因此,在界定私密信息内涵时应当以私密信息本质上是个人信息,但其核心仍是“私密”而非“信息”这一理念为原则。

综上,私密信息的内涵应当界定为“信息主体不欲为他人知晓、客观上采取一定防范措施的,能够单独或结合其他信息精准识别至信息主体个人特征的信息”。在界定好私密信息的内涵后,明确好私密信息的认定标准方能避免保护体系错位,才能防止在实践中原本应受更强力度、更高位阶的隐私权保护的私密信息因认定错误而落入个人信息权益保护,致使私密信息主体的权益被不当减损,相关利益无法得到充分保护。

3.私密信息的认定标准

对于私密信息的认定标准可遵循“内涵加外延”的思路进行明确。所谓内涵即指私密信息应当具有可识别性或已被识别,并且同时具有私密性。另有学者指出私密信息还应当具有私人性,所谓私人性即指私密信息是与公共利益和他人利益无关的信息[11],其主张隐私权的目的是在“私人的”和“公共的”两种领域间做出明显的区隔,使个人在“私人”的领域中享有高度的自主[12],并以此为理论进路指出私密信息的内涵应包括私人性。本文对此持保留意见,现代社会各主体之间的交流日益密切,每个主体的行为都具有一定程度上的涉他性,不涉他的法律行为甚至已经成为一种理想图景。疫情时期,健康码、行程码等与我们个人特征密切相关的个人信息为政府收集、储存和利用,在私人利益让位于公共利益的利益衡量背景下,私密信息所谓的私人性主张并不牢靠。

但仅凭私密信息的内涵无法准确对私密信息进行认定,还应当考虑限制其外延。前文提及,私密信息在本质上属于个人信息,信息具有内生的流动性。在人类文明的长河中,信息一旦被公开即被认为处于公共领域,是任何人可以自由利用的公共资源,任何利用者也不能排他性支配或独享[13]。私密信息的私密性不能否认信息的经济价值和流动性,当私密信息主体已经公开该信息或传递该信息时,此时的私密信息在主体承诺公开的范围内就丧失了私密性,从而无法获得隐私权的强保护;信息数字化使得信息的流通、交互成为很多企业进行营利、扩大再生产的重要方式,若任何信息都能成为权利人所主张的私密信息、一味主张私密信息的私密性而忽略其经济价值,该种做法将成为阻碍社会进步与时代发展的藩篱。同时,尽管有些个人信息具备私密性且与私密信息的内涵相符合,但如果将该信息认定为私密信息会对更大利益或公众利益产生影响时,基于社会成本收益的考量,此种情形下的私密信息也不具备私密性。故在私密信息外延限制上应当通盘考虑、系统考量私密信息的内在流通性、附随价值性和公共利益性。

综上,在对私密信息的认定标准进行明确时,我们不仅需要对私密信息的内涵进行拆分解析、明确其题中之义,更要对私密信息的外延进行合理限制,防止其不当扩张,以保证私密信息认定的准确性与合理性。

三、人脸信息的私密性证成

我国《民法典》采取概括加列举的方式对个人信息进行了定义,并且对个人信息做了私密信息和非私密信息的二元划分,但囿于未对私密信息进行进一步明确,故生物识别信息是否属于私密信息仍有待研究。

1.生物识别信息私密性的认定

生物识别是识别个人特征、匹配个人身份的新技术新方法,其利用自然人的唯一身份特征如指纹、掌纹、人脸等进行身份验证。在“数字中国”的发展浪潮中,多样化的生物识别技术已被广泛应用,人脸、指纹、声纹等都已经成为重要的个人身份信息[14]。与传统的识别方法相比,生物识别技术具有高效便捷、精准方便等优势。我国《个人信息保护法》中并未对生物识别信息进行定义,仅做了列举。有学者认为生物识别信息是对自然人的生物特征进行特定技术处理所形成的信息[15],是个人数字身份的重要组成部分,与个人权利密切相关[16]。另有学者指出生物识别信息是自然人可识别的生理或行为特征,从中提取可识别、可重复的生物特征样本、模板、模型等识别数据或数据的聚合[17]。综合来看,生物识别信息大致分为生理特征信息和行为特征信息两类,具体包括个人基因、指纹、掌纹、面部识别特征等,随着生物识别技术的发展,生物识别信息的内涵与外延会进一步扩大。

结合立法上的列举和理论上的定义来看,生物识别信息具有如下几个特征:一是生物识别信息能够反映个人生物特征,表现其专属特点;二是生物识别信息区别于其他个人信息仅凭经验或熟知程度就能识别,其需要经过技术处理,特定技术处理是连接个人生物特征与生物识别信息的纽带,其承担着转换器的功能,若没有经过这一环节则不会产生生物识别信息[18];三是生物识别信息具有精准识别的功能,这是生物识别信息最为显著的特点与优势,生物识别信息一旦泄露或被盗用,通过重新设置来实现救济的可能微乎其微,只能放弃该生物识别特征的使用;最后,生物识别信息具备关联性,能够与其他信息相关联,结合其他信息并经大数据分析整合后可形成特定主体的大部分信息,进而在算法和技术的支持下形成对该主体的“精准画像”,故侵犯生物识别信息带来的损害结果远大于其他个人信息。

前文提及,私密信息的核心在于“私密”,而生物识别信息的特征则在于“识别”,二者在一定程度上存在交叉,未公开的生物识别信息具备私密性,即部分生物识别信息属于私密信息,应当落入隐私权保护,而非以敏感信息或个人信息权益的方式进行保护。有学者指出包含指纹、声纹、面部识别信息在内的生物识别信息并不是私密信息,每个社会主体在社会交往的过程中都会展示自己的声音和面部,并非不愿为他人知晓[19],因此其认为生物识别信息不属于私密信息,进而主张生物识别信息是一种高度敏感的个人信息;另有学者指出私密信息与敏感信息并不等同,有些生物识别信息是敏感个人信息却未必是私密信息,如面貌特征等[20]。

某种生物识别信息私密性的认定决定了该生物识别信息的救济途径和保护方法,其重要性不言而喻。在司法实践中已有将行踪轨迹等生物识别信息认定为私密信息并适用隐私权强保护的案例出现(5)参见北京市第一中级人民法院(2017)京01民终509号民事判决书。。故本文认为,不能对生物识别信息的私密性进行通盘否认,应当以信息主体的主观意愿为首要前提,以一般主体的社会相当性认知为判断标准、以场景化应用为认定方法、以兼顾社会公众利益或其他重大利益为合理限制,对生物识别信息的私密性进行依法界定和准确甄别。

2.人脸信息私密性的认定

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》明确指出人脸信息属于生物识别信息,该点无需多做讨论。

在谈及人脸信息前,需对人脸及人脸信息的关系做一番说明。首先,人脸信息是通过人脸识别技术对人脸进行选定和采集而形成的,因此人脸信息和人脸具有一致性(权利主体进行整容等改变面部信息特征的行为时,与原来的人脸信息则不再具有相似性)并且人脸信息以人脸为基础;其次,人脸是社会个体与生俱来的身体特征,具有自然性,而人脸信息的形成则必须借助人脸识别技术和设备,具有人为性;再次,人脸作为社会个体进行社会行为的显著标识,能直接为其他社会主体所识别,具有公开性,且同时具备人格和财产的双重属性,大量的伦理情感因素蕴含其间,也承载了一定的物质利益。而人脸信息则仅由信息主体自身、信息处理者所掌握且存储在特定数据库内,其公开性有待明确,人脸信息的财产属性也要强于人格属性;最后,二者的救济路径不同,人脸遭受损害应适用人格权的强保护,比如身体权、健康权等。人脸信息遭受损害因标准不一,可能涉及多种救济路径的适用如隐私权保护、个人信息权益保护和《个人信息保护法》中敏感信息保护。

我们从人脸信息特点、人脸识别技术和理论支持三个维度来论证人脸信息的私密性。

(1)人脸信息的特点符合私密性要求 人脸信息具有精准识别性。每个人的人脸信息都是独特的,纵使是视觉上无法准确区分的双胞胎,在人脸识别技术的算法支持下仍能进行身份的精准识别;人脸信息具有易采集性,在特定场景下能够做到无接触式采集(如摄像头抓拍),这种隐蔽式地采集人脸信息往往在信息主体不知情的状态下无需其进行主动配合便能完成信息采集操作;人脸信息具有损害结果的不可逆性,相对于其他生物识别信息而言,人脸信息的脱敏处理或者匿名化处理的难度更大。因此,人脸信息一旦泄露,给信息主体造成的损害具有不可恢复性。

人脸信息是否具有天然的公开性?所谓的公开是向一般的自然人公开还是向数据库、向人脸识别技术后台公开?如果仅向数据库和信息处理者公开,其是否还具有公开性?本文认为人脸信息的公开性是相对而言的,并非所有人脸信息都具有公开性,人脸信息一定条件下也具备私密性,应当被认定为私密信息。人脸信息处理者主张人脸大家都可以观察到,其不应当属于隐私信息的保护范围,进而主张人脸信息不属于私密信息。 该观点有失偏颇:首先,需要明确的是人脸仅为人脸信息的载体,人脸具有公开性并不代表人脸信息具有公开性,人脸信息所携带的面部图谱一定程度上属于肖像;其次,即使信息主体公开了自身的人脸信息也不意味着相关主体就能擅自进行处理,此时在信息主体明确同意的场景内人脸信息丧失了私密性,但如果信息处理者擅自扩张场景,进行传输、存储等行为,人脸信息的私密性在新场景中应当被认可。

(2)人脸识别技术的运行过程佐证私密性存在 人脸识别技术的运行方法和工作原理也能对人脸信息私密性认定有所帮助。人脸识别过程中涉及的人脸信息可以分为两类:一类是基于约定的法律关系进行收集的人脸肖像,另一类是在后台实时生成的人脸信息文件[21]。人脸识别技术的运行过程可以分为以下三个阶段:人脸图像信息的采集、人脸特征的建模存储、将存储后的人脸图像信息与人脸特征进行对比验证[22]。从人脸信息的采集开始,信息处理者在未获得信息主体明确授权、表示同意的情形下采集到的人脸信息属于私密信息。在相关设备或技术开始运行时,往往是通过瞬时的抓拍或较短时间的人脸录入方式将识别到的人脸信息存储于后台数据库中。也即,人脸识别的第一步是采集人脸图像汇聚成人脸数据库,第二步是对已经收集到的图像在信息主体授权场景中进行使用。无论哪一步骤均需信息主体的明确授权,但囿于信息主体和信息处理者地位不对等,信息处理者借助设备技术及算法黑箱等优势,使得信息主体的人脸信息未经同意就被非法采集和擅自扩张场景进行传输,以上作为非法处理行为客体的人脸信息均应当视为私密信息。

(3)合理隐私期待理论与场景化隐私理论支持私密性观点 在通常情况下,人们是不会在人脸与隐私泄露方面做过多的联想。“虽然人脸自身并不是隐私,但人脸携带着重要的个人信息是毫无疑问的”[23]。人脸信息私密性与否要综合考信息主体的主观意愿和社会公众对该信息的认可程度。美国著名的“合理隐私期待理论”对隐私中的私密定义为“非明知且非自愿进行暴露的信息”,且这种私密应当符合社会一般人的期待[24]。合理隐私期待理论打破了美国以往对隐私权保护所采取的“所有权规则”的藩篱,将当事人内心主观状态与社会客观隐私观念综合考量以实现隐私权与公权力间的平衡[25]。在合理隐私期待理论的涵摄下人脸信息私密性的认定将更游刃有余。首先,信息处理者在信息主体不知情的情形下利用非接触式的人脸识别设备进行人脸信息的采集属于私密信息定义构成要件中的“非明知”;其次,信息处理者在采集到人脸信息后进行的传输、对比、识别、存储等系列处理行为均未经过信息主体的同意,属于私密信息定义构成要件中的“非自愿”。除此之外,合理隐私期待理论还主张对某种隐私应当受到保护的主观期待需与一般公众的社会观念相符,大数据时代个人信息遭受侵犯的现象日益增加,人们的权利意识逐渐觉醒,加强对个人信息保护的呼声愈演愈烈,个体的权益主张已然融入到了数字时代加强信息保护的趋势洪流中,所谓的符合一般公众的社会观念在此时自不待言。

但在合理隐私期待理论的框架下私密信息在某种情形下不具备私密性,丧失了合理期待。该种情形被称为“第三方原则”,即如果一个人已经自愿向第三方披露了信息,那么这些已经披露的信息就缺乏“合理的隐私期待”[12]。第三方原则是通过对美国宪法第四修正案的解读产生的[26]。在该原则下,人脸信息处理者在征得信息主体同意后进行采集,但通过非法传输的途径擅自扩张利用场景,在新场景中的人脸信息私密性就难以认定。

此时,我们可以引入“场景化隐私”理论进行证明力上的补强。“场景化隐私理论”认为:我们所有的信息交往都是发生在一个给定的场景中的,判断隐私的标准因而是情景化的,对隐私受到破坏的合理判断标准在于场景的变化和破坏[12]。具体而言,该理论主张私密信息的私密性应当根据承诺公开的场景进行划分。如在朋友圈面向特定主体公开的私密信息,他人未经同意进行转发,在转发的新场景中该私密信息对新的受众仍具有私密性。人脸信息主体不仅有权对该信息是否公开进行决断,也有权决定在多大范围、何种场景中进行公开,超过公开范围的信息仍具有私密性,在遭受损害时信息主体仍可以选择隐私权保护。以此推之,信息处理者在人脸信息主体未同意授权的情形下擅自进行的信息传输行为也属于不当扩张了信息主体授权同意的公开场景,新场景中的人脸信息也具备私密性。

综上,在“隐私合理期待理论”和“场景化隐私理论”的视阈下,我们可以对未经信息主体同意而采集到的人脸信息和擅自传输到新场景中的人脸信息的私密性进行证成,并进一步得出结论:人脸信息并非天然具有公开性,其私密性和公开性是共存的,部分人脸信息具备私密性,在该种人脸信息遭受侵害时,信息主体的合法权益应当受到位阶更高的隐私权保护而非敏感信息保护或个人信息权益保护。

四、法律为体,技术为用:人脸信息的分阶段保护

1.非法采集信息侵犯隐私,价值理性统御技术应用

人脸信息并不等同于人脸,人脸信息是人脸的数字化表达,其本质上是一段数字化编码。在人脸图像信息的采集阶段,凡人脸信息处理者未经人脸信息权益主体同意利用人脸识别技术对其人脸信息进行采集,此时采集到的人脸信息应当视为私密信息,是信息主体的个人隐私,该行为也应当视为对信息主体隐私权的侵犯,进而应当采用隐私权的强保护。

人脸识别技术的应用需要做到价值理性与工具理性的统一,如果仅将人脸识别技术视为追求经济利益、提升各方效率的工具而忽略其背后应当捍卫与守护的价值利益,那么其功用效果无疑会大打折扣,科技文化对人文精神也会造成很大的冲击,届时各种个人隐私、数据问题会层出不穷。人脸信息不仅属于普通数据,它关乎人格权与财产权,对人脸信息的保护应优先于数据流通的价值变现[27]。因此,在人脸识别技术的应用过程中应当以价值理性原则为指导,将人文精神、科技伦理贯穿于技术应用的全过程,不能盲目追求人脸信息的经济价值。部分国家的民众专门建立了“禁止人脸识别网站”,他们认为人脸识别数据库具有很强的脆弱性:一旦我们的生物特征信息被收集并存储在政府数据库中,它很容易成为身份窃贼或国家之间黑客攻击的目标[28]。

人脸信息的采集可分为接触式采集和无接触式采集,前者如各大应用软件当中的采集录入,后者如摄像头的自动抓拍(典型如交通违法抓拍,凭借对人脸图像的分析关联至信息主体后进行违法信息公示),前者需要信息主体的主动配合、明示授权才能进行人脸信息的采集,而后者则无此过程。在无接触式采集的人脸识别设备下,信息主体的人脸信息往往在毫不知情的情况下就被采集,其表示同意的机会被剥夺、隐私利益被侵犯。有鉴于此,有关部门、行业协会应当对人脸识别技术的准入准用进行事前审查及全面的安全评估,依据《民法典》《个人信息保护法》《信息安全技术个人信息安全影响评估指南》等法律法规、规范性文件,贯彻合法、正当、必要的审查原则,对类似无接触式采集等对信息主体潜在危害性大的采集方式进行重点防范。

同时,人脸识别技术应用应当遵循“非必要”原则以防止人脸识别技术的滥用,对人脸识别技术的应用场景进行适当限缩,安防场景中的人脸识别技术应用是为了维护国家安全与公共利益;交通场景中的人脸识别技术应用是为了提升交通运输效率;支付场景应用是为了减少支付风险,提高支付便捷度,类似以检验是否购票等不以识别身份特征为目的的应用场景应当受到规制,如应用则需加大对技术运行和数据后台的监管审查力度。

2.擅自扩张场景侵犯隐私,技术应用监管强化安全

人脸信息的所有权、使用权、管理权涉及生产者、处理者、应用者及监管者多个主体,其中人脸信息处理是实现合理利用的关键[29]。人脸信息的建模存储是人脸信息采集的后一阶段,人脸识别技术的系统后台会对该人脸信息的特征进行检测提取并进行数据处理,经处理后进行数字化建模而后储存至后台数据库中。对比验证是指信息主体在使用人脸识别技术时,人脸识别设备对信息主体的面部特征进行实时采集和动态跟踪并同数据库中存储的人脸照片进行对比匹配进而快速确认信息主体的身份。本文认为,该阶段的人脸信息权利属性应当结合具体情况进行界定。

若在采集阶段即未经人脸信息权益主体同意,那该阶段的人脸信息属于私密信息,一切非法利用等处理行为均应视为对隐私权的侵犯;若前一阶段经人脸信息权益主体同意,该阶段也按照协议条款中载明的使用场景进行利用并未擅自扩张场景,此时的人脸信息应当视为个人信息,应当按照《民法典》中关于个人信息权益的规定或《个人信息保护法》中关于敏感信息的规定进行保护;若信息处理者在该阶段擅自扩张利用场景对人脸信息进行利用,那么在约定场景外的人脸信息在权利属性上应当属于私密信息,约定场景内的人脸信息仍属于个人信息。

实践中,信息处理者提供的隐私保护条款或类似许可协议饱受诟病:一是其内容冗长且未做到重点突出,致使信息主体无暇浏览或在浏览过程中无法抓住重点;二是其设置的提醒方式浮于表面,设置浏览时长、瞬时弹窗提醒等方式并未起到相应作用;三是条款协议用语专业化且晦涩难懂,部分条款涉及信息处理相关第三方的内容也并不明确,以上种种进一步加剧了信息处理者与信息主体之间地位不对等的现状。因此,规制擅自扩张场景侵犯隐私情形的第一要务是规范信息处理者提供的隐私保护条款,信息处理者应当将关涉信息主体权益的内容进行前置或采取类似突出方式并且以清晰易懂、简明扼要的语言将其身份、联系方式,人脸信息的处理目的、处理方式、存储方式、应用场景、信息主体行使权利的方式和损害赔偿等事项向信息主体告知。此外,一套可追踪、可溯源的技术体系对规制擅自扩张场景的情形尤为重要,能够为其提供可靠的事后救济途径,信息主体有权知晓谁在何时何地何种场景中利用了其信息、侵犯了其权益。

监管主体的多元化和监管手段的多样化是回应监管理论的题中之义,我国应当构建针对人脸识别技术的政府监管、行业自律监管和第三方独立监管的监管体系。该体系中,政府监管起主导作用,政府主要负责对信息处理者采集、利用、存储、处理人脸信息进行合法性审核,明确可以收集人脸信息的法定条件与必要前提,并对信息处理的全过程进行监督;行业自律监管起辅助作用,其利用专业知识并结合法律规范,通过制定技术指引、明确应用标准、引导技术合规等方式可以有效降低政府监管成本,把好人脸识别技术应用的“专业关”;第三方独立监管起到再监督作用,具备专业资质的技术安全咨询与风险评估机构在监管上更具中立性与超然性,政府及行业协会应当聘请相关第三方对信息处理者应用人脸识别技术的安全性与合规程度进行独立监管,以筑牢技术安全红线。

3.过度识别分析侵犯隐私,隐私保护技术阻断分析

人脸信息的经济价值主要体现在识别分析阶段,分析是指人脸识别技术后台对储存于后台数据库中的人脸信息单独或与其他信息相结合进行的深度解读和关联分析。人脸识别技术问世至今,其作用早已不局限于对个体的身份特征进行识别,大数据背景下人工智能与人脸识别的结合运用能够做到在各种既存的数据库中搜索与该信息主体相匹配的信息,进而形成一个关于该信息主体的生活喜好、消费爱好等信息的精准画像,真正做到“未见其人,已知其貌”。有实验表明,在人脸识别信息上利用AR技术,能够做到实时识别并较为准确地预测该自然人的其他信息,甚至敏感信息[30]。由此可知,该阶段中的人脸信息承载的人格利益与财产利益相较于前两个阶段而言更大,潜在的现实危险性也更高,此时的人脸信息隐私属性更强,在受到侵害时应当适用隐私权保护。

技术的安全维护与设计研发同等重要,人脸识别技术安全性的提高会相应地减少信息主体隐私被侵犯的风险。一种采用差分隐私的人脸识别技术可以对人脸信息进行数据扰动,经过这一过程,存储在第三方数据库的人脸信息将不再是原始信息[31]。也即,在该技术的加持作用下,原始人脸信息的数据编码会被修正,即使遇到非法传输、过度识别等情形,信息处理者及第三方也无法根据该人脸信息特征识别匹配到人脸信息权益主体,此举无疑会大大提升人脸信息存储传输的安全性,降低人脸信息的识别性;为了防止信息处理者对人脸信息进行过度识别分析,隐私增强技术——数据的匿名化处理应运而生,其可以有效对抗人工智能加持下的人脸识别技术对人脸信息的过度分析,人脸信息在经过匿名化处理后可以使得第三方无法通过人脸信息直接识别出特定自然人;信息处理者收集个人信息后应立即进行去标识化处理,并采取技术和管理方面的措施将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人[32],去标识化后的人脸信息同其他信息关联的可能性将大大降低。

但随着科学技术的不断发展,二次识别的手段也会对匿名化处理技术产生冲击与挑战,如何做到安全升级和更新迭代将是隐私保护技术的又一大难题[33]。

五、结论与政策启示

信息技术与人工智能为人脸识别技术的发展注入了动力,人脸信息权益受损的现状伴随着这一过程也进一步加剧。《民法典》对私密信息适用隐私权保护进行了明确,但这一做法也给学界和实务界出了难题,即私密信息本质属性究竟是隐私还是个人信息?何种信息属于私密信息?本文从多个视角出发,结合司法案例、技术原理与学界观点得出以下结论:私密信息在本质上属于个人信息,但其兼具隐私利益。人脸信息的公开性与私密性并立共存,其私密信息属性应当以人脸信息特点为逻辑起点,以人脸识别技术运行过程为动态标准,以合理隐私期待学说与场景化隐私学说为理论工具进行厘清。人脸信息保护需要建立在人脸信息于人脸识别技术的特定运行过程中属于私密信息这一基础之上,进而阶段化考量应当适用何种保护路径。

本文尝试从以下几个维度为改善人脸信息受侵害现状提供理论助力:价值上,人文主义与科技伦理需贯穿科技应用的全周期,人脸识别技术更应如此。其应用与发展需以价值理性为指导原则,必须避免工具主义倾向,做到价值理性与工具理性的有机结合:无论是公共领域还是商业领域,都应当将人脸识别的经济利益和信息主体的权益保护等量齐观,切不可厚此薄彼、本末倒置将人脸信息权益保护置之一旁。技术上,政府、人脸识别技术厂商应当借助匿名化处理、差分隐私、去标识化等隐私保护技术加强对信息主体的保护力度,在加大对隐私保护技术创新支持与研发投入的同时坚持“非必要”原则对其应用场景进行限制。监管上,政府、相关行业协会、第三方机构要做到他律监管与自律监管的统合,以人脸信息传输安全、存储安全等为重点强化对人脸识别技术的全过程监管,重点防范可“随拍随采”的无接触式人脸识别设备进入市场、投入使用,杜绝“不同意即无法使用”的“强制同意”现象发生。告知上,应强化人脸信息处理者的告知义务,细化隐私保护协议的具体内容,明确必载事项及与人脸信息处理、信息主体权益相关的一切事项,让信息主体清楚了解自身人脸信息去向及相关法律后果。