1.信息平台控制权的增持:收集过程存在“黑箱” 促成“虚假同意”机制
《民法典》1995《数据保护指令》的要求,应当遵循“使用限制原则”,但具体执行中,平台方对信息收集的目的往往通过含糊、宽泛的说明让解释具有合理性。“人脸识别第一案”中动物园被起诉方以“指纹识别被取消,未进行人脸识别不得入园”为由让消费者“虚假”同意人脸生物信息数据的收集,但如果没有人脸显然个人信息主体也可以入园,例如可通过身份证进行校对名字人脸的方式。进行人脸识别进动物园这一行为除能帮助提高园区运营效率之外,并未给消费者带来实质性的社会利益,也就是说,服务平台方凭借着技术和信息的双重优势减少自然人岗位实现“节流”,最终将能占尽生物识别信息处理活动中的所有剩余利益,而用户却要面临不可预知的人脸识别信息泄露风险,造成人身安全威胁和财产损失。例如就有新闻报道“不法分子非法获取者用他人面部数据制作3D模型或物理面具,进而伪造篡改其在线身份或冒充刷脸。”[ 在张富、余杭飞、史良浩等侵犯公民个人信息罪一案中,被告通过使用软件将相关公民头像照片制作成公民3D 头像,从而通过了支付宝人脸识别认证。参见浙江省衢州市中级人民法院( 2019) 浙08 刑终333 号刑事裁定书。]同时,当人脸信息数据被园方收集后,其背后存在隐蔽的数据“黑箱”,何种用途是可以收集个人脸数据信息的,存储期限是多长?由谁存储和管理这些用户人脸信息?这都由服务平台方自行决定,呈现出“数据中心主义”的现状。信息使用者提供服务未真正征求生物识别信息主体的意愿,“通知—同意”机制早已如同虚设,取而代之的是“非同意不可使用”的俘获同意机制诱使用户匆忙决策。[ 江海洋.论大数据时代侵犯公民个人信息罪之告知同意原则[J].湖北社会科学,2020,(9)]
2.信息主体隐私倦怠的形成:在线隐私素养不足 缺乏信息维权动力
2020年10月,一项涉及2万多人的调查研究——《人脸识别应用公众调研报告(2020)》显示,有九成以上的受访者使用过人脸识别,有六成受访者认为人脸识别技术有滥用趋势,还有三成受访者称,已经因为人脸信息被泄露和滥用而遭受到隐私或财产损失。有学者通过定量研究证实了数字原住民的在线隐私素养会正向推动他们隐私顾虑的形成。同时,具有隐私顾虑的同伴能够促进用户的隐私顾虑的形成,隐私倦怠则会因具有隐私倦怠的同伴而获得。“人脸识别第一案”中原告郭某是法学博士,具备专业的法律知识来维护自己的人脸生物信息使用权,换言之郭某具备专业的在线隐私素养来保护个人生物识别信息安全。但有学者指出,作为用户有超过50%的人曾遭遇过数据泄露,但多数人对隐私保护不采取任何行动,将保护隐私的希望寄托在政府和企业身上。对多数数字原住民而言明显存在在线隐私素养不足的问题,缺乏足够的涉及隐私保护的知识技来使自己利用法律途径进行维权。同时,郭某提到曾动员身边同学朋友起诉,但最终没有说服一个人。数据主体会因同伴有隐私倦怠而获得隐私倦怠,这二者都加剧了个人生物信息主体的隐私倦怠,成为“全景式监狱”下“裸露的人”。
“人脸识别第一案”从一审开始到终审结束时间长达两年左右,说明面临类似侵害个人信息权益的问题进行维权要投入大量的时间成本、财力和物力。即便作为普通数据主体勇于走在维护自身信息权益的路上,但由于每个数据收集装置背后都是一个“黑箱”,难以举证服务平台方使用个人信息数据对数据个体所造成的损害。原告法律博士郭某多年从事法律教学研究,具备一定的法律基础,即便如此,郭某通过诉讼维权都具有一定的挑战性,维权成功后在经济赔偿方面也只是小金额,服务平台方违法成本“低廉”,处罚震慑作用亟待加强。因此现实中更多看到的是一个个类似“郭兵”的信息主体在面临个人信息权益受损时选择放弃维权成为“沉默的大多数”,缺乏维权动力。
3.法律部门规制监管的滞后性:援引法规法出多门 信息收集容易“出圈”
中国电子信息产业发展研究院网络安全所所长刘权直言:“相比日新月异、快速更迭的人工智能、大数据等信息技术,我国监管制度滞后于技术及应用场景的发展。”目前我国法律体系中没有专门针对生物识别信息的保护和规范立法,对个人生物识别信息的保护散见于不同层级法律规范中。现行可以援引的法律规范中关于生物信息保护的内容非常限且法出多门,例如“人脸识别第一案”中涉及生物识别信息保护的就有《民法典》( 第1034-1039条) 、《信息安全技术个人信息安全规范》、《消费者权益保护法》第二十九条第一款、《中华人民共和国网络安全法》第四十一条第一款的规定等。可见生物识别信息保护散见于不同法规,并以部门规章及规范性文件居多,法律阶位低震慑作用还需加强。其中根据《信息安全技术个人信息安全规范》(GB/T35273-2017)的规定,指纹信息属于个人生物识别信息,该类信息属于个人敏感信息,一旦泄露、非法提供或者滥用将极易危害包括原告在内的消费者人身和财产安全。需要进一步指出的是《个人信息安全规范》中将个人信息分为敏感信息和一般信息,这也是区分法律保护力度的标准。然而其中对于划分标准的确定并不十分明确。
