《人脸识别法律制度域外比较与借鉴.docx》由会员分享,可在线阅读,更多相关《人脸识别法律制度域外比较与借鉴.docx(3页珍藏版)》请在优知文库上搜索。
1、三用Il法律制三域外上瞅与借鉴一、引言人脸识别技术源于20世纪中叶,并于20世纪末21世纪初开始广泛普及。如今,人脸识别技术正在改革传统的身份识别方式,通过与大数据和物联网联动,应用于公司打卡、地铁安检、小区安保、医疗机构、快捷支付等不同的场景当中。但同时,人脸识别技术的广泛运用也对公民个人信息的安全产生了威胁。在我国的法律规范中,主要通过民法典中人格权编来进行一般性保护,通过个人信息保护法进行相对更重点的特别保护,但对于实际人脸信息的保护远远不够,同时,对人脸识别的具体保护制度规定的也不够完善,而这一点在部分国外法律中是有经脸可循的。二、美、欧、加等域外国家人脸识别技术立法情况及其比较(一)
2、美国1 .立法背景美国国会议员于2022年提出了面部识别法,该法案将限制和禁止执法部门使用FRT(FacialRecognitionTechnology).”根据美国国家标准与技术研究所(NlST)的一项研究,FRT中使用的算法错误地识别了非裔美国人和亚洲人的脸比自脸多10到100倍,算法偏见问题十分突出。为此,纽约颁布的新法案要求纽约市内使用算法来帮助招聘决策的企业在这些算法与有偏见的决策相关联的情况下承担责任。2022年最新拟议的面部识别法对美国50个州中的每一个州的执法机构制定新的规定,要求执法人员在任何调查中使用面部识别之前,必须获得法官授权的逮捕令。2 .主要法条对比分析内容(1)关
3、于被采集人脸信息者的被遗忘权:我国个人信息保护法(以下简称个保法)第47条只有一般的要求删除的规定,无特殊规定。美国规定与面部识别一起使用的逮捕照片数据库,在每六个月该数据库的保管人应从该数据库中删除每个人的所有照片。除此之外,美国的相关规定则是针对特殊人群所设置特殊规定:对于未满18周岁;已被无罪释放;在撤销或驳回指控后被释放、被指控的罪行被宣告无罪的人员要进行删除,这也在一定程度上更有利于个人信息的保护。(2)有关人脸识别中敏感信息和算法岐视的规定:个保法第28条只规定了生物识别信息、宗教信仰按照敏感个人信息保护处理。美国对于人脸算法歧视的种类相关规定较多,并且为防止根据人脸识别信息识别其
4、他敏感个人信息进行了规定。如种族、民旗、国籍、宗教、残疾、性别等。(3)有关人脸信息的报告审计义务的规定:个保法第54条只简单规定了审计义务而没有具体规定审计的具体期限和内容。美国在对人脸信息的报告审计义务进行了详细规定。如报告义务规定授权面部识别的法官应向国家机构报告授权的命令、数量、授权是否根据规定发出。(4)对当事人的通知:个保法第57条规定在个人信息泄露、篡改、丢失的情形下通知信息拥有者。美国则规定只要使用了相关人脸信息就需要将使用的相关信息通知信息主体。(5)准确性偏差测试:我国暂时没有规定无准确性偏差测试内容。美国则对准确性偏差测试进行规定:调查或执法人员不得使用面部识别系统或从中
5、获取的信息,除非该系统每年提交给美国国家标准与技术研究院的基准面部识别测试,供执法部门确定。3 .美国法案关于人脸识别各阶段出现问题的解决方式(1)采集阶段:2020年国家生物识别信息隐私法案(以下简称隐私法案)规定私人实体收集人脸信息应制定并向公众提供书面声明,书面声明需要规定永久销毁人脸信息的时间表和准则。这使相关公众能更好地行使自己的知情选择权,避免出现知情同意原则被架空的情况。2019年面部识别技术授权法案还规定,如果信息采集存在瑕疵,被采集人均可以采取行动压制通过使用面部识别技术直接获得的信息。这使得用户可以通过抗辩对瑕疵收集到的信息进行行动压制,有效解决采集瑕疵的问题。(2)运输阶
6、段:对最终用户造成可赖见的重大财务损害、可能对散终用户高度冒犯的事项进行审查,至少一个合法从事独立测试的第三方能够对面部识别技术的准确性和偏差进行测试。通过第三方对存储的人脸信息进行严密的监督与检查,在一定程度上缓解了存储单位安全技术力量薄弱、数据安全得不到保障的问题。(3)使用阶段:规定人股信息使用需为了支持司法活动,密申请法院命令并按照命令内容使用,期限不得超过30天。通过司法授权的方式使人脸信息的使用受到严格限制,期限限制的方式同时解决了知情同意动态实现的问题。(4)救济阶段:美国对于违反保护人脸信息也制定了一定处罚,如按照每次违约金一千美金或者被害人实际损失较高者定,并且对于故意或者罔
7、顾后果的给予5000美元的惩罚性赔偿金。通过较高额的赔偿金的设置使被侵权人得到法律救济的同时便得潜在的侵权人望而却步。(二)欧盟1 .立法背景在对人脸识别规制方面,欧盟现在没有专门性的法律,欧望针对人脸识别的法律规制主要有三个核心文件,即通用数据保护条例(GDPR)人脸识别指南人工智能法案,但欧盟对于人脸识别信息的保护在相关法律规定上较为严格。2 .主要法条对比分析内容将欧盟通用数据保护条例(GDPR)与我国个人信息保护法对比之后发现两者之间有相似之处,也存在许多差别,可以供我国借鉴学习。(1)适用范围:欧盟在适用上排除了个人、家庭使用以及为了刑事犯罪和预防公共危害两种情形。我国个保法则适用于
8、上述两种情形。(2)处理原则(举证责任):欧盟采用“问责举证”原则来处理个人信息。而我国规定在几种特殊情形下由信息处理者承担举证责任外,其他情形采用“谁主张谁举证”原则。(3)涉及犯罪的个人信息处理:欧盟规定了处理涉及犯罪的个人信息处理的被允许的条件。我国无相关规定。(4)不需要识别的信息:欧盟规定了不需要识别即可不依条例迸行需要个人信息识别的一些法定义务。我国无相关规定。(5)无需告知的处理:欧盟没有对无需告知的处理的相关规定。我国法律法规规定紧急情况下无密事前告知,但须事后告知。(6)处理活动记录:欧盟对处理活动中所涉及的主体和事项有相应的记录要求。而我国仅要求公开和向履行个人信息保护职责
9、的部门移送个人信息保护负责人的相关信息,并为处理情况进行记录。(7)监管机构设立规则及其独立性:欧盟对设立相应的个人信息的监管机构有相应的法律规定,同时,也确认了其城管机构的独立性地位。我国法律有规定履行个人信息保护职责的部门,但我国尚未建立一个专门、独立的个人信息保护监管机构。(三)加拿大加拿大国内尚未颁布规范面部识别技术的重要立法。随着关于面部识别软件的对话继续成为全球争论的焦点,加拿大政府官员已成立最新的监管机构,呼吁制定立法,以限制全国各地使用面部识别。1下议院道德委员会呼吁联邦政府对使用面部识别技术进行限制和颁布法律,包括暂停警方不受限制地使用面部识别技术。除此之外,有议员还表示如果
10、发现警方未经适当授权使用面部识别技术,应该面临“明确的处罚一些议员坯要求披露在不侵犯公民个人隐私权的情况下使用面部识别技术的情况。人脸识别技术相关的潜在危害导致许多人建议以更有效和高效的方式监管此类技术。2除了面部识别技术对加拿大个人隐私造成的担忧外,算法偏见是议员们强调的另一个讨论话题。对于各类相机进行实验的相关研究人员发现,人脸识别技术错误地识别了三分之一以上的深色皮肤女性,但白人男性准确率为99%。例如2015年,谷歌图片软件的自动标记功能,误将两名黑人标记为“大猩猩;2016年,徼软的首个聊天机器人Tay上线,由于事先没有为它植入规则,希里它在与人互动中产生自己的愿里与想法,结果Tay
11、一上线聊天就被网民们“教坏二成了一个集反犹太人、性别歧视、种族歧视于L身的“不良少女,如果不加控制,人类国有的偏见将会转移到创建的软件程序中。3(四)小结:域外立法考虑因素的分析归纳来看,各国人脸识别立法规制主要考虑因素有以下几个方面:第一,人脸识别技术涉及大面积的隐私泄露,数据保护问题受到各国广泛关注。第二,算法偏见与歧视问题显现,大量的算法程序都夹杂着歧视与偏见,而这将侵害着公民的基本人权。第三,人脸识别技术极大影响着互联网与公众场所下的公民的匿名权、加密权的行使,关乎着公民的民主政治参与能否良好实现。第四,执法人员在执行公务中使用人脸识别技术,可能违反无罪推定”原则,损害公民基本权利。三
12、、域外人脸识别法律制度对我国的借鉴意义1 .对人脸信息处理活动进行记录以及定期公开通过对欧置通用数据保护条例(GDPR)进行对比分析可以发现欧置比较注重对处理活动中所涉及的主体和事项制定相应的专门记录要求,而我国仅要求公开向履行个人信息保护职责的部门移送个人信息保护负责人的相关信息,这在一定程度上存在着处理活动不透明、处理信息缺乏公示的情况。我国可以加强对个人信息处理者进行事前个人信息保护影响评估机制的建立,并对信息处理情况进行记录和在一定程度上定期公开,这样也有助于对数据处理主体的监督与评价。2 .数据库亟需定期删除我国个保法在第47条进行了个人信息删除的一般表述与规定,但在删除期限上还有待
13、进行一些细则的补充说明,可以考虑设定固定期限(如6个月)作为国家标准,也在一定程度上可以促进各行业人脸识别信息处理的合规化。此外,在美国的法案中可以看到专门性的关于将殊人群的被遗忘权的规定,例如未成年人、被宣告无罪的人等特殊群体的人脸信息在被收集后可以更加注重定期删除的操作,有助于特殊群体权益的保护。3 .设立独立的专门性的监管机构在我国,履行个人信息保护职责的部门主要是国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门。而落实到基层,考虑到政府部门管理事务的庞杂,如果各省、自治区、直辖市以及设区的市人民政府没有建立专门进行个人信息监督管理的部门和机构,可能会导致主体资任不明确,人脸
14、信息主体权利难以得到救济现象。而随着网络化和信息化的加剧,人脸识别技术的广泛应用,信息传播的速度与范围是十分迅速的,造成的损害也是难以估量的。0此,有必要进一步明确各层级人民政府设立人脸信息监督的专门部门和机构,明确监管机构独立的地位,才能对社会技术变革带来的不利影响进行有力的防范与应对,从而切实有效地保护信息主体的人脸信息权益。4 .设立恁罚性赔偿金问题在我国,对于侵犯人脸信息的案件多采用赔礼道歉、删除信息等方式,基本不采取损害赔偿的方式。但这种救济措施在一定程度上不能对当事人进行充分救济和制止加害人在未来做出类似的加害行为。而根据域外赔偿金设立有值得借鉴之处,比如违反人脸信息采集的相关规范
15、采集人脸按照每次违约金一千美金或者受害人实际损失较高者定。对于故意迨反或者罔顾后果的给予5000美金的惩罚性赔偿金。我国可以结合实际情况设立相关惩罚性赔偿金。5 .适当对采集主体进行专门限制性规定我国法律对于收集人脸信息的主体没有进行特别规定,基于人脸信息采集后对于被采集者影响较大并且社会影响面较大,所以采集时应该较为谨慎,限制其采桀主体和采集程序。参考域外有关法律规定,一般人脸信息使用需要支持司法活动并且需要申请法院命令,并按照法院涵盖的内容使用,并且该命令授权持续监视时问不能超过30天。6 .对于识别准确性进行实时监测我国法律没有对于人脸识别准确性若出现偏差应该采取何种措施的具体规定,从域外法律规定来看需要至少一个从事独立性测试的第三方能够对人脸识别技术的准确性和偏差进行合理的测试,并在测试不通过时暂时停止使用相关数据库。这对于人脸识别的准确性具有重大意义,我国法律可以对此加以借鉴。