顔認識技術の応用リスクと法的規制

顔認識技術は、顔の特徴に基づいて人物を識別する高度な認識技術です。非感度、利便性、正確性から広く利用されているが、近年は法的問題も発生しており、法律で適切に規制する方法についてはさらに検討する価値がある。

個人のプライバシーと情報セキュリティに関する懸念

まず、個人のプライバシーが脅かされます。顔認識技術で使用される顔情報は、個人固有の生体認証情報であり、システムが健全でない場合は国民のプライバシーが容易に脅かされる可能性があります。例えば、2019年2月、深センの「AI+Security」社は、顔認識データベースの保護が不十分だったためにデータ漏洩に見舞われ、250万人以上の顔情報に制限なくアクセスされる事態に陥りました。同年9月、顔を変えるアプリ「ZAO」は、ユーザーに対し、顔写真を全世界で完全に無料かつ取り消し不能な形で「ZAO」とその関連会社に提供する権利を許諾することに同意するよう要求した。これは明らかにユーザーの個人プライバシーを侵害する疑いがあり、最終的に工業情報化部から召喚され、是正を要求された。 IHSの調査レポートによると、2021年までに世界中で10億台以上の監視カメラが設置され、運用され、そのうち50％以上が中国に設置されることになるという。関連データベースの保護が不十分であること、さまざまなアプリによる過剰な情報収集、そして顔認識デバイスがほぼどこにでもあることから、顔認識技術と個人のプライバシーの間に緊張が生じています。

2つ目は、個人情報の漏洩です。我が国は、民法第4章「個人の権利」の規定や「サイバーセキュリティ法」、関連する司法解釈に基づき、「プライバシーと個人情報」の二重保護という立法理念を堅持しています。顔認識情報はプライバシーに関わるだけでなく、特定の自然人の身元を個別に識別したり、その活動を反映できる国民の個人情報でもあります。顔情報は一度大量に流出すると、顔の置き換えが難しいため、一生流出したままとなり、たとえ本人が法的手段で権利を守ったとしても、元の状態に戻すことは困難です。したがって、政府機関であれ商業組織であれ、顔情報の収集、保管、使用の過程で法律や法規で規定されている「適法、正当、必要」および「通知同意」の原則を遵守しなかった場合、国民の個人情報を侵害したことに対する相応の法的責任を負う可能性があります。例えば、2020年5月、江蘇省宿遷市のフィットネスセンターは、会員の顔情報を違法に収集したとして、宿遷市公安局宿嶼支局から期限内の是正を命じられ、警告を受けた。近年、顔情報を違法に入手、販売、または他人に提供することで国民の個人情報を侵害したとして、多くの人が刑事責任を問われています。

第三に、安全上のリスクがあります。現在、顔認識技術は、公共安全（犯罪識別、国境管理）、場所の入退出（施設アクセス制御、財産サービス）、情報処理（アカウント認証、ファイル復号化）などの分野で広く使用されていますが、顔認識技術の応用は完璧ではありません。例えば、2017年の「3.15」ガラでは、司会者が技術者の協力を得て、観客の自撮り写真だけを使ってその場で「顔を変える」ことで「顔認識ログイン」認証システムを破った。 2018年8月、唐被告は3D顔アニメーションを作成して顔認識認証システムを突破し、被害者の口座の財産を移転させた。顔認識技術を使用する組織の技術的条件と管理レベルは大きく異なり、一部の犯罪者は顔認識技術の背後にあるシステムとアルゴリズムを回避、妨害、または攻撃するためのハッキングツールを開発し、それによって窃盗、詐欺、住居侵入などの下流の犯罪を引き起こし、被害者のデータセキュリティ、財産の安全、さらには個人の安全を危険にさらします。

アプリケーションシナリオを区別するための科学的基準を実装する

個人情報分野における業界標準は技術的側面と制度的側面の両方を持ち、科学的な標準を策定するとともに、それを効果的に実施し、最終的に業界全体で一般的に遵守されるコンセンサスを形成する必要があります。我が国の最新の国家標準 GB/T35273-2020「情報セキュリティ技術個人情報セキュリティ仕様」は、GB/T35273-2017 バージョンに代わるもので、収集、保管、共有、開示などのさまざまなリンクにおける顔認識技術の応用に関する標準を提案しています。標準の実施を確実にするために、中央および地方レベルの監督機関と監督事項をさらに明確にし、国家および地方の中国サイバースペース管理局の主導的役割を強調し、さまざまな監督機関の窓口指導における潜在的な恣意性と曖昧さを回避する必要があります。階層的な分類システムを採用して、顔認識技術のソフトウェアとハ​​ードウェアの専門認証を行い、顔認識の安全性と正確性を確保します。既存の標準に対して実行可能で反復可能な承認ルールと検証手順を設定するための「テストと評価」メカニズムを確立します。同時に、国家情報セキュリティ標準化技術委員会のウェブサイトや中国国家知識インフラ標準ライブラリなどの情報源を統合し、顔認識技術分野におけるさまざまな主体のコンプライアンス業務を導くための統一標準情報開示プラットフォームの構築を推進します。

公共の利益に基づいて顔認識技術が使用される「公共」のシナリオでは、「比例性の原則」と「必要最小限の原則」を遵守する必要があります。 「比例性の原則」は、社会ガバナンスの実践者に対し、「明確な法的規定がなければ何もできない」という概念に従って、社会ガバナンスの目標の実現と相手方の正当な権利と利益との間のバランスを追求することを求めています。そのためには、顔認識分野における公共の利益の含意と範囲を明確にする必要がある。公共の利益とは、多くの場合、「社会の不特定多数の人々が享受する利益」を指します。顔認識技術の応用場面に基づいて、公共の利益は公共の安全、公共の秩序、公共の財産などの具体的な種類に分類できます。公共の利益の名の下に顔情報が恣意的に収集および使用されることを避けるために、具体的な場面を設定する必要があります。同時に、事前監督の性質を持つ聴聞制度を推進し、顔認識技術の応用の必要性、効率、リスクを評価し、さまざまな状況に基づいて顔認識技術の応用に関する報告、提出、または承認システムを確立する必要がある。 「必要最小限の原則」では、顔認識技術の応用には明確な主体リストと資格条件が必要であり、収集頻度と量は目的を達成するために必要な最小限の値を満たし、無謀な拡大と無秩序な収集を回避することが求められています。許可されたアクセスと保存期間に関しては、許可された人物に対する最低限のアクセス制御戦略を確立する必要があり、法律や規制、情報主体によって別途許可されない限り、顔情報は公共の利益が達成された後、一定期間内に削除または匿名化される必要があります。

「商業」のシナリオでは、上記の原則を遵守することに加えて、国民の「選択する権利」と「同意する権利」も真に実施されなければなりません。選択権の観点から、顔情報の匿名化は安定性が高く困難であるため、商業組織はプライバシー保護のシナリオ理論を活用して、さまざまなシナリオに応じた身元認識メカニズムを確立する必要があります。顔認証が必要な特別なシナリオでは、パスワード、指紋、顔などの多要素認証管理システムを採用し、情報主体が自主的に選択できるようにする必要があります。正確な身元を確認する必要がない一般的なシナリオでは、パスワードや指紋など、顔認証以外の検証方法を採用して、情報源からの顔情報の収集を減らす必要があります。同意権に関しては、法定の許可や監督官庁の承認を除き、商業組織が強制的に顔情報を収集し、その他の方法で商品やサービスの提供を拒否した場合、情報主体は民法第496条、第497条の標準条項の規定を引用して契約の無効を主張し、監督官庁に報告することができる。監督官庁は商業組織の顔情報を収集する根拠を客観的に評価し、顔認識技術を不適切に適用する組織を「信用ブラックリスト」に載せ、違反の程度に応じて罰金や市場禁止を科し、情報管理者が情報主体の意に反して顔情報を一括収集しないようにすることができる。

デジタル経済に適した法的環境を構築する

情報データが重要な生産手段となっているデジタル経済時代において、顔情報は個人、産業、社会の共通の利益に関わっています。まず、「データセキュリティ法」と「個人情報保護法」に代表される特別な立法保護モデルを選択し、削除、匿名化、非識別化など、混同しやすい概念を明確にし、顔認識に関連する40以上の部門規制、100近くの地方規制と規範文書を統合し、顔認識規制の法的レベルを高める必要があります。第二に、民法第1034条及び第1035条は生体情報（顔情報を含む）の個人情報属性を規定しているが、特別な保護に関する規定はない。顔情報とプライバシー権、人格権、アイデンティティ権との関係をさらに明確にし、「プライバシーポリシー」や「ユーザー契約」の「通知・同意」ルールを強化して、デフォルト同意、誘導同意、強制同意などの現象を回避し、顔情報の侵害によって生じた「損害」の特定、立証責任、賠償基準を明確にする必要があります。第三に、情報の秩序ある流れを促進するために、異なる法的規範における異なる主体の権利と義務を調整する必要があります。情報主体は顔情報の照会、訂正、削除、撤回などの権利を有するが、情報管理者は「オンライン実名制」を履行し、「犯罪証拠」を保存する義務も負う。この場合、義務の履行と情報主体の権利の間に緊張関係が生じる可能性がある。法的義務、国家安全保障、公衆衛生、訴訟手続きに関わる特別な状況において、さまざまな主体の権利と義務を分配するための計画は、デジタル経済にとって運用が容易で、権利と責任が明確な法的環境を作り出すように設計されるべきである。

特に、顔情報が関わる犯罪に対しては、刑法による抑止力を積極的に発揮しなければなりません。私の国の刑法と司法解釈では、個人情報に対する機密保護のアプローチを採用していますが、顔情報の機密性や有罪判決と量刑の基準は明確に定義されていません。現在、財産情報、居場所情報、信用情報、通信内容などを含む第一類の犯罪件数は50件以上、健康・生理情報、宿泊情報などを含む第二類の犯罪件数は500件以上、その他の情報を含む第三類の犯罪件数は5,000件以上となっている。顔情報は、第 1 カテゴリの情報には属さず、第 2 カテゴリの健康および生理学的情報とも異なりますが、第 3 カテゴリの他の情報よりも明らかに重要です。顔情報の有罪・量刑基準は司法解釈の「その他の重大な情状」条項で定めることになっており、第一類情報の50項目を有罪の基準とし、その10倍以上になると「特に重大な情状」となる。同時に、顔情報のブラックとグレーの産業チェーンには、国民の個人情報を侵害する犯罪のほか、顔認識クラッキングソフトウェアの提供、顔認識「写真活性化」ツールの教育と販売、顔認識ネットワーク詐欺や窃盗の幇助なども含まれます。コンピューター情報システムに侵入して違法に制御するためのプログラムとツールの提供、犯罪手法の教育、情報ネットワーク犯罪活動の幇助、詐欺と窃盗、適用可能な共犯者の原則などの犯罪を合理的に利用し、効果的な取り締まりを通じて刑法の予防効果を達成する必要があります。