随着现代社会朝向陌生化和高度流动性转变,人脸的社会性意义开始受到削弱,人脸代表的对稳定小规模社群成员的认证意义,也被国家和单位组织提供的大规模认证职能所替代。新的国族和社会身份取代了传统身份,并通过“证件”“证明”这类现代治理工具得以维系,最终通过法律加以确认,国家和社会的认证权力由此展开。在此过程中,身份法律制度逐渐兴起。例如,以《居民身份证法》为代表的国家认证制度,规定了作为“每个公民唯一的、终身不变的身份代码”“由公安机关按照公民身份号码国家标准编制”的身份证号码(第3条),及其发放、使用与查验方式。通过这一制度,居民获得了有效公民身份,并能真正成为负责任的法律主体。
大规模刷脸的背后,也反映了新型数字基础设施的构建。从法律治理和服务角度来看,在公共领域布置的公共视频监控终端,已成为智慧城市设施的重要组成部分,延伸到城市管理的诸多方面;从私人服务角度来看,以第三方支付为代表的刷脸应用,将不同的单位和组织连在一起,提供统一的支付系统(连带一般性的信息管理系统)服务。人机社会规范、新型基础设施与社会网络机制(如声誉评分、同侪合作、网络记忆、表情识别等)共同运作,辅助作为正式制度的法律正常运行,帮助降低流动性社会的交易总成本,有效应对社会失范现象,使得整个数字环境的可信程度大大增加,从而顺利地将传统的线下成员身份资格之间的了解和信任,转变为经由机器自动执行的线上信任,最终促成了人类社会性的架构变化和重塑。通过大规模刷脸实践,社会成员获得了继身份证之后新的可信身份证明和通用身份标识符(新冠肺炎疫情期间则增加了作为健康码的二维码)。因此,抛开技术应用的外壳,数字时代的刷脸仍持续体现出强烈的身份法律制度属性。刷脸技术的使用,首先需要服从于制度的目标,即流动性的社会和法律治理。
(二)刷脸如何嵌入国家治理:从区隔到联通
从社会治理和法律治理的模式来看,上文提及的从传统社会到现代流动性社会的转型,也部分体现了从封闭网格(grid)到开放网络(network)的变化。在网格化社会中,流动性程度较低,社会成员在每一个网格中具有可辨识的不同社会地位和相对固定的社会身份,社会通过官僚制组织和具有外在强制力的成文法律规范进行治理。为确保本网格的安全,且使社会成员享有相应的权利、履行义务,需要由外在组织赋予固定不变的身份,并给予具有法律效力的证明文件。于是,不同层次的身份认证就变得不可或缺,各类证件的使用成为常态。而从查验身份证件到人脸识别的转换,仅折射出通用身份标识符形态的变化,实质上没有区别。在这一阶段,个人信息的收集和使用,主要被用于网格内的区隔认证(若超出则无效,价值效用会降低),并可以动员群众参与治理,大规模个体的行为痕迹对网格化治理的意义不大,只是被用于个别情形中的事后证据收集与事实认定,从而通过法律和单位组织的次级成文规范进行惩罚,形成潜在威慑。
下表将网络和网格中的刷脸及其特征进行了对比,能够进一步凸显不同场景技术-法律制度的治理意义:
网络社会中无处不在的摄像头代表了“权力的眼睛”,可能会给社会主体带来压迫感,但问题不在于技术本身,而是由于大规模流动性导致稳定的社会秩序和社会关系难以短期形成均衡,从而很难让传统熟人社会中的各种机制和不成文规范再次发生作用并降低风险。因此,刷脸不过是嵌入当代社会治理过程的技术-法律制度形态。它是为了应对流动性而存在的,是总体安全和信任的一部分,而不单纯是一种中立技术。只有深入理解这一技术-法律制度是如何在不同场景下得到内化和使用,才能更好地评估其成本和收益。
二、刷脸与认证权力的集中化
(一)当认证权力遇见刷脸
认证制度是国家的核心法律制度之一,通过为公民创设唯一的权威身份、颁发身份证件,并通过这一证件对人口、税收、公共服务等方面的统计调查,国家能够实现有效治理。随着单位和社会组织的兴起,不同的组织、协会也会相应地对其成员围绕各自颁发的社会身份进行认证,认证权力也更加泛化。在互联网时代,作为生物特征识别之一的人脸识别技术逐渐推动一场“身份认证的革命”。公共服务场所(例如机场、火车站、宾馆)通过刷脸确认需要使用交通、住宿服务的旅客,某个企业用刷脸让员工打卡进入其办公区域,支付宝通过刷脸确定用户有权进行大额资金转账,它们的目标都在于确保享有特定资质的主体以真实的给定身份(公民、消费者、员工等)进行活动,享有权利,接受服务。人脸具有普遍性、真实性和唯一性的特点,可以作为成本较低的一种生物信息标识符。作为人的自然属性,人脸并非一种天然的社会身份信息,对于传统的社会组织来说,可以将其和代表身份资质的身份证件结合起来使用。而对于那些并不强调身份特征的、为大量流动性用户提供服务的组织而言(例如互联网平台),刷脸技术会更受欢迎。
传统身份证件在认证过程中的功能,包括:(1)对外展示特定身份信息,既可出示给第三人查验,也能体现颁发者的不同权力等级和效力差别(例如国家颁发的身份证不能等同于校园卡);(2)对内作为一种资质证明,在不同领域行使特定权利义务的凭证,很可能是一串数字编号,甚至可以机读。相应地,通过刷脸进行的身份认证,能够直接通过实时对比认证对象和后台数据库基础信息,无疑降低了认证主体和被认证对象的成本。对前者而言,省去了人力和传统证件的对比查验过程;对后者而言,免去了身份证件丢失补办的麻烦。这意味着刷脸使证件的对外展示部分消失了,人脸从而成为一种替代各类证件的、能适用于各类不同场景的通用身份标识符,从外部看不出不同的社会身份(无论是公共关系还是私人关系),但成员的资质信息本身嵌入在背后的数据库和计算过程当中,从而实现了信息与物理载体的真正分离。从表面上看,此过程似乎是由数字系统取代了物理证件,即人(脸)+物理证件→人(脸)+数字系统,但实质上是数字系统背后的数据库比对过程替代了人和物理证件之间的匹配关系(持有身份证件、目测相貌比对),从而更加精准。
刷脸认证的逻辑过程涉及两类人脸数据,一类是基于在先法律关系所收集的人脸照片,另一类是实时生成的人脸数据文件。第一步是收集人像照片形成基础人脸数据库,这是由在先的特定法律关系决定的(由权威来证明你是谁,授予身份,是否做到知情同意),第二步是对已经收集到的图像进行使用(也需要告知),先是对真实人脸的实时拍照生成新的人脸数据文件,再用这个数据文件与事先收集的照片进行比对,即相当于使用一个基础人脸数据库,能否联通到更多数据库获取信息,还要看是否明确告知被认证的个体。
(二)刷脸认证的两种思路
然而,如果刷脸技术取代不同的账号信息,被相当广泛地在公共领域和私人领域当中使用,那么有可能会造成如下后果:公共和私人用于认证身份的基础信息标识符被混同。除非人脸数据文件因算法和技术水平不同而有差异,但就其表现在外的实际过程而言并没有差别,进而取消了一切票据和证书所代表的时空、法律和社会意义。早期的互联网治理实践也表明,基础身份信息(身份证仅表明公民的政治身份)不应当被广泛用于各类社会服务,而应当仅限于公共权力机关提供的公共服务或重大交易场景(例如参与交通、金融、医疗、教育、购置车房等),否则的话,如果连普通交易场景都要查验身份的话,那么一旦泄露,便可能直接影响当事人的重大人身和财产安全,也会淡化基础身份的价值。如果放在网格模式下,那么这种担忧更容易理解,它代表了一种“分散认证”思路,即不同身份证件应当被用于区隔领域单独使用,而不会发生混同,目的是确保符合资质的人有资格从事某些活动,并防止他人盗用资质和相应的资源。尽管证件化的社会生活一直在不断扩张,人们拥有的各种代表社会身份的证件/证明也越来越多,但分散认证思路及其实践在互联网产生之前的物理空间中一直运转良好。
虚拟身份的匿名性,无疑带来了非法信息传播、诈骗等诸多网络犯罪问题,因此国家计划推行统一的真实身份认证,以便于识别追踪,于是就产生了“集中认证”思路。集中认证的理念是,面对互联网大规模服务去身份化的服务能力,为降低基础身份信息混同的风险,仍然需要使用某种超越各类传统身份信息的统一标识符,要么是线下二代身份证的映射(例如公安部第一研究所开发的二代身份证数字版CTID,甚至通过“一网通办”平台自建APP),要么重新创设赛博空间中的新基础身份(例如公安部第三研究所开发的eID)。
刷脸技术在嵌入上述两种认证思路的过程中变相推动了集中认证。这主要是因为大量私人服务越来越多地使用刷脸帮助消费者登入账户,待技术成熟后,进一步将其推广至线下诸多场景乃至传统组织。这反映了赛博空间覆盖物理空间的另一条路径,即表面上帮助单位和社会组织维持既有身份认证体系,但通过技术系统渗透其中,不断增强对其成员进行的行为识别和追踪,以技术便利换取(传统组织无法处理的)行为数据。由此,刷脸客观上促成了社会中认证主体数量的减少和认证权力的集中,人脸作为一种自然生物信息不会取代各类社会身份,但开发人脸识别技术的服务提供者试图将这一自然身份逐渐凌驾于多元社会身份之上,成为激活各类社会身份与活动的口令和钥匙。
三、行为识别与人脸数据的法律性质
(一)公共机关与人脸识别
这一行为若涉及访问犯罪数据库或任何其他执法数据库,则可被解释为一种在公共场所开展的基于公共安全的大规模执法/侦察行为,需要公众更加有效的认知和配合,而非对个体肖像权的侵犯。基于公共安全而设置的刷脸,超越了私法意义上个人信息使用的“知情同意”原则,但仍需要在形式上告知展示,这里涉及的更多的是对公民在公共场所行为信息的收集和处理,已经进入了公共数据的范畴。一般性的人脸识别摄像头,对普通人在公共场所的行为尚不构成足够的压力,缺乏针对性,而在机动车驾驶的特定场合以及行人过马路的十字路口,刷脸技术对特定违法行为的捕捉越来越容易,可以精准定位到个体,就会给当事人带来直接的压力与合规动力。
公共机关的刷脸识别行为,会改变传统技术装置下的公私权力关系。首先,它进一步延伸了自边沁(JeremyBentham)、福柯(MichelFoucault)以来的“全景敞视监狱”的监视逻辑,即通过无处不在的摄像头在社会中表明“权力眼睛”的存在,能够以有效提升发现违法行为之概率的方式,增加对潜在犯罪行为的威慑。在这种情况下,事后惩罚就开始变得没那么重要,普遍的事前威慑才是刷脸更加重要的社会功能。甚至身份识别本身不一定真实发生,只要大众相信有可能发生,就会有效地进行自我约束,从而遏制潜在的不法行为。
其次,人脸识别有能力无差别地适用于刑事违法行为和普通违法行为。原来因违法活动等级的差别而使得国家资源不得不投入到那些更重要的领域,而现在公共机关则可以无差别地监控在逃嫌疑人、交通肇事和普通的行人闯红灯行为,并自动分类实施处罚。如果从一般公共执法行为上升到刑事侦查行为,那么需要更进一步做好刑事程序合规,例如,(1)严格规范技术侦查措施事前审批程序;(2)特别是侦查过程中获得的人脸数据文件需要单独收集储存,获悉的秘密内容应当保密,获取的与案件无关的人脸数据应当及时销毁;(3)明确被识别个体对技术侦查措施的事后知情权以及求偿权等救济性权利;(4)完善通过技术侦查取得证据的使用规定,等等。
再次,刷脸背后的数据库接入与分析,无疑能扩大公共机关(特别是公安机关)的执法和取证能力,不仅可以迅速比对公共数据库,而且还能够将监控摄像头延伸设置在小区、商场、学校等组织,即它们拥有的录像或服务器在某些情况下能够连通至当地公安机关的监控平台,变成了公共空间(有争议的)延伸。这更需要做好程序上的知情展示和民众沟通参与。
(二)私人服务与人脸识别
越来越多的私人服务提供者使用摄像头和刷脸技术,这主要体现在支付领域和安全防护领域,也出现了不经告知的违法偷拍直播。在私人主体使用刷脸的场合,应当执行知情同意原则作为约束,明确展示说明摄像头和终端的功能。这意味着在一些无法对摄像头及其功能进行展示披露的场合,刷脸将无法合理地被使用。和其他个人信息一样,如果人脸数据不是该项提供的服务必须收集的话,那么用户有权拒绝以刷脸方式开通一个账户并积累其活动数据。
私人服务提供者基于默认的用户协议生成、获取和使用人脸数据文件,并可能主张这一文件因为企业投入技术劳动而创设,有权排他性地使用这些作为生产资料的数据(例如训练人工智能)。只要使用过程能精确识别和还原到特定主体,对同一人的行为进行追踪,那么对人脸数据文件的使用就可被认定为使用个人信息,从而需要遵守一系列个人信息保护规范,法律提供的可能救济包括知情权和删除权等。
私人服务提供者(特别是平台企业)通过刷脸帮助用户开启新账户以后,产生的行为数据就会在事前对用户未来的活动产生约束,这就回到了数字经济的生产过程。社会主体的在线身份不再是某个组织通过外在证件赋予的,而是使用服务的事前资质和事后活动的集合,数据集(及其不断挖掘的实践)构成了新的社会意义上的动态在线身份,为整个新经济的价值生产服务,人脸数据只是这一生产过程中的一环。应当看到,刷脸通过互联网应用大量普及,本身加速了数字经济的生产、交易和资源流动,即确保活动主体的唯一性和行为的连贯性,由此通过刷脸而积累活动数据,使得身份识别只有在网络在线场景下才具有更大价值。对网格化的传统组织机构而言,认证与识别过程相互分离,不会混合在一起;由于成员的社会身份是默认给定的,在必要时,单位或社会组织只需进一步追踪成员活动即可。但通过网络化平台和数字系统进行刷脸,认证和识别这两个环节就完全可以无缝融合在一起,以认证统摄识别,从而产生了诸如基础信息泄露等风险。下文将讨论此类风险大小和预防问题。
四、个人信息、刷脸风险与法律应对
(一)刷脸的风险与一般性规制
公众舆论和不少研究者往往会担心,一旦刷脸技术普及,则作为生物信息的人脸数据文件会遭到大规模泄露,使得作为通用标识符的身份信息被伪造和滥用,进而带来无法预估的损失。按照一般个人信息保护思路的讨论,人脸数据作为敏感个人信息,需要经过更为严格的程序处理,刷脸风险集中于采集、存储与数据分析三个环节。
(二)场景化规制的方法论反思
场景理论作为数字隐私保护的新型路径已得到了诸多讨论,甚至也可以扩展到对一般性技术(例如算法)进行规制的讨论。本文将推进这一理论的积极意义,即探索如何具体地发现和界定场景,从而理解某种特定技术在嵌入既有制度环境之后应如何应用的问题。单纯的个人信息保护与算法规制研究的惯常思路是,将算法与个人信息看成是基本上在真空中就可以运行无误的制度,处于核心地位;即使进入具体场景展开讨论,也只是自上而下地阐释基本原则和规则,进而消解了场景的特殊性和自主性。这种思路不太符合现实实践,未能看到这些问题的发生实际上依赖于技术设计、从属于需要该种技术的在先制度逻辑,也遮蔽了作为一种制度的技术本身运行的真实状况,从而难以合理地评估个人信息保护的程度,以及平衡效率导向的技术目标与场景中其他社会规范、大众认知与参与之间的关系。类似地,比例原则要求对个人信息的使用和收集须与其应用的政策目标相匹配,而这也要求我们进一步讨论如何在理论上建构场景及其制度逻辑。
前文的讨论已经充分表明,刷脸技术是逐步嵌套进公共和私人的不同场景中得到应用的,不可能也没有必要凌驾于既有行为目标和规范之上,只有首先理解认证/识别中身份权力机制的演变,才能更好地界定场景,进而在问题集合中寻求个人信息/隐私问题的适当定位和解决方案。具体而言,第一步是要看到数字身份在社会转型中的重要意义,将其放置于网络/网格模式二分中进行讨论,这决定了不同场景中政策目标和实施效果的本质差异。第二步是将认证/识别设定为划分更为具体的场景的标准,鉴别出达成共识的某种法律关系,进而区分出公共机关与私人服务提供者的不同制度性约束,包括该行业/环境的使用目的与惯例等,理解技术如何进入既有制度设计,并成为制度的一部分。最后一步则是,在需要强化个体权利时,进一步讨论具体个人信息保护与算法监管的规则细节,根据成本—收益分析评估风险,形成解决方案和政策建议。
按照上述这一方法论思路,还可以稍作延伸,讨论刷脸在上文未涉及的其他热点领域的应用及其法律问题。它们都超出了单纯个人信息和算法的范畴,而是需要回溯至该场景的基本法律关系和原则共识。例如:
其一,教育与情感计算。在诸如学校课堂的教育领域,摄像头和人工智能可以帮助教师记录和分析学生的表现,潜在地提升考试分数,但这会把教育和学习过程完全变成像富士康工厂那样的机械生产流程,成为分数教育的一个缩影。问题还在于,人工智能无法精准判断人在特定场合的表情和行为(一些学生们之所以没有专注听老师讲课,很可能是因为已经学会了),故而总是存在着(机器性)权力无法深入和理解的特定社会空间。学生们自主学习的潜在能力可能会因此受到干扰和侵犯,所以应当对学校的类似活动进行法律限制。
其二,雇主监视。雇主会通过刷脸加强对雇员的监视,特别是在远程办公或灵活用工的情况下。这可能会造成劳动者在工作场所中进一步丧失隐私,强化了雇主对劳动过程的控制权力。在开放的灵活用工平台上,平台所有者通过刷脸对平台上数字劳动者加强控制力,其行为可以被解释为人身/经济从属性的一种司法标准,从而为数字劳动者争取权益。
其三,社会规范。违法行为(例如闯红灯)监控往往通过头像展示和嵌入社会信用的方式加以约束。这降低了公共机关的行政总成本,但必将增加个体合规成本,即对人机规范和机器执法方式的认知成本。例如,现有的道路规则及其标识变得越来越繁复,需要司机完全集中精力进行驾驶,稍有疏忽,就可能会被无处不在的刷脸捕捉到,进而被判定为违规,最终被扣分。现在这种认知负担已经从驾驶活动扩展到日常活动的许多方面。从这个意义上说,不能仅因为实施成本低就盲目使用刷脸技术和扩张权力对个体行为的约束空间,而是应看到个体认知成本的约束,将一部分底层社会行动空间继续交由个体熟悉的社会规范,否则普通人将会因无法认知大量规范而持续违规,威慑也难以起到作用。
结语
刷脸在名义上代表了一种普世的效率导向的技术应用,伴随着后台更多数据库的联通,公权力机关在公共安全方面能够无缝切换地在不同场所持续追踪违法者或嫌疑人,而提供私人服务的平台企业则可以推动更为高效的支付、交易和其他服务。特别是后者在某种程度上率先推动了认证权力在赛博空间中的泛化和集中,在帮助诸多线下主体加强认证过程的同时,表面上推进了一种打破既有传统组织边界的“去身份化”社会过程,但实质上是通过普及刷脸来获取更多传统场景下无法获得的行为数据,并重新界定和塑造流动的多元社会身份。由此,刷脸不单纯是一个社会身份查验过程,它也意味着身份认证和行为识别系统在社会范围内的重塑。中国的社会治理正经历着从网格模式(grid)向网络模式(network)转变的过程,认证/识别在这一过程中的功能有较大差异,从而带动作为个人信息的人脸在不同场景下产生不同的意义。