查看原文
其他

人脸识别技术的法律规制研究初探(DPO社群成员观点)

洪延青 网安寻路人 2020-02-26

人脸识别技术为社会带来效益提升同时,也隐含着因技术滥用对公民权益的风险与威胁。如何对技术失范问题加以规制成为使用人脸识别技术的亟待解决的问题。本文将从三个维度,即现阶段法律发展情况、人脸识别技术的机遇与风险、以及规制方式进行分析,从而为国内的人脸识别技术的规制提供借鉴。



一、现阶段法律发展情况


国际层面对人脸识别技术的规制主要通过数据保护法律法规进行的,其中最具代表性的是美国和欧盟,以下将结合具体法规对两种模式的特点进行分析。


(一)美国模式


美国在联邦层面没有统一的法律规制人脸识别数据的收集和使用,而是通过各州的独立立法进行管理。目前共有六个州或城市制定了与生物识别数据相关的法案,分别为伊利诺伊州、华盛顿州、德克萨斯州和俄勒冈州和新汉普郡以及加利福尼亚州旧金山市。【笔者注:在文章付印之后,美国马萨诸塞州的萨默维尔市议会投票禁止当地警方和市政部门使用面部识别软件,还禁止在刑事调查或法律诉讼中使用面部识别软件系统产生的数据或证据。相关情况见人脸识别技术禁令再来!美国又一城市禁止面部识别软件


其中,伊利诺伊州颁布的《生物信息隐私法案》(Biometric Information Privacy Act, 简称“BIPA”)非常具有参考意义。该法案于2008年颁布,是美国境内第一部旨在规范“生物标识符和信息的收集,使用,保护,处理,存储,保留和销毁”的法律。


根据BIPA的定义,“生物标识符”(biometric identifier)包括对“脸部结构”的扫描,但明确排除了照片。与“生物标识符”相关的术语是“生物信息”(biometric information),该等信息是指“通过用以识别特定自然人的生物标识符所获取的信息”。与欧盟保护模式不同(下文详述),BIPA的规制的范围并不在于能否使用生物识别数据,而在于使用生物数据的方式,具体体现在以下三个方面:


  1. 初次收集某自然人的生物标识符或生物识别信息时,须告知该自然人其生物数据被收集的情况、收集目的、数据的保留时间,并获得该自然人的书面授权。Facebook的“面部印记”功能遭到起诉便是因为Facebook未经用户同意便收集了面部结构数据,进而违反了BIPA。

  2. 企业须制定书面政策设定生物识别数据的保留时间表,且当收集数据的目的已达到或距信息主体与企业最后一次联络已满三年时(以先发生者为准),应当摧毁该数据。

  3. 生物识别数据不得出售,且除非获得相关自然人的同意或如法律规定的特定例外情况不得对他人披露。


(二)欧盟模式


欧盟保护人脸识别数据的核心法律是《通用数据保护法规》(General Data Protection Regulation, 简称“GDPR”)。根据GDPR第4(14)条的定义,生物识别数据明确包括面部图像,且与BIPA相同,GDPR对面部识别数据和照片进行了区分。GDPR叙文第51条指出,“处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理,使其能够识别或认证特定自然人时,照片才被认为是生物识别数据”。GDPR并未提及视频影像,例如被监控摄像头收集的视频影像,但应当类推适用相同的原则进行处理。即如果使用“特定技术手段”来识别或认证特定自然人,则通过照片或视频收集的任何图像均构成生物识别数据。


GDPR第9条规定,生物特征数据属于个人数据的“特殊类别”,除非某些特殊情况外,不得处理该等数据。人脸识别技术的商业应用可适用的唯一例外是“数据主体已明确表示同意”,同意须“自由给予、明确、具体、不含混”,数据主体任何形式的被动同意均不符合GDPR的规定。


此外,GDPR第9(4)条允许欧盟各成员国规定在特定情况下不适用GDPR中对处理生物识别的数据的限制。例如,荷兰规定了为完成认证或安全需要时可以处理生物识别数据。克罗地亚的新数据保护法对生物识别数据的限制排除适用监控安全系统。


(三)小结


美国和欧盟对人脸识别数据的保护模式代表两种不同规制路径。第一种是欧盟采用的在整体上严格限制生物识别数据的使用,但同时赋予了欧盟成员国一定的自由裁量权,允许成员国规定在特定情况下不适用对生物识别数据的限制;第二种是美国采用的较为自由的方式,即不在联邦层面限制面部识别数据的使用,赋予各州各领域极大的规制权限。


二、面部识别技术的机遇与风险


(一)面部识别技术的机遇


人脸识别作为一项新技术,其应用领域多样,利用得当将为政府、企业和个人均带来新的机遇或便利。


对于政府而言,政府作为保障公民安全和打击犯罪的主要力量,人脸识别技术的一方面有利于增强公共安全和监控警情,通过在公共场所使用人脸识别技术有助于警方建立人像库,从而为抓捕犯人、打击犯罪以及追踪、监控恐怖主义活动提供帮助;另一方面有利于寻找失踪人口,特别是儿童。例如,2018年印度新德里警方利用人脸识别技术,在4天内发现了近3000名失踪儿童,人脸识别技术的在此方面的推动是极具突破性的。


对于企业而言,人脸识别技术将为其产品和服务的研发和推广过程中激发新的机遇。例如在医疗和技术的革新方面,研究人员使用人脸识别软件成功诊断出存在于非洲人、亚洲人和拉丁美洲人的一种罕见遗传疾病;此外,澳大利亚国民银行利用人脸识别技术设计了一个方案,可以让客户凭借人脸识别和个人密码从自动取款机中取款。


对于公众而言,之于上述人脸识别技术对于政府和企业在提高各自职能方面的促进,公民的人身安全和财产安全也将因此而获益。


(二)人脸识别技术带来的风险


这项技术带来显著的社会效益的同时,侵犯了公民的隐私权、民主自由和人权,并激发歧视问题。


不少西方学者认为:人脸识别技术的应用可能侵犯公民隐私权、以及民主自由和人权。民主依赖于公民集会、公开讨论其观点,而这项权利的完满行使则要求人们自由行动而不受政府监督。然而,当无处不在的摄像头与强大计算能力和云存储相结合时,人脸识别技术能够帮助政府实现对每个地方的每一个人24小时不间断地监视,程度之深之广均为前所未有。这种被监视的状态一步阻遏公民发表言论或参与公开抗议等民主活动,并从根本上改变公民在公共场合的存在方式。


此外,人脸识别技术可能导致歧视问题。目前的技术并不能保证人脸识别的准确性,数据识别结果的不准确将导致应用时产生偏见,进而引发歧视问题。麻省理工一工作组研究表明,人脸识别技术对非白人个体识别的准确率要低于白人个体,即意味着非白人个体更容易被打上“嫌疑人”标记。这种准确性上的差异将种族区分内置于技术本身,使得执法机关在判断某一犯罪或违法行为的犯罪嫌疑人身份时将种族特征列入考虑因素,从而对非白人群体造成歧视。


三、人脸识别技术的规制


人脸识别技术尚处发展初期,但其蕴含的风险可见一斑。如果不立即采取行动,很可能在该技术普及时加剧更多的社会问题,到那时进行规制将更加困难。为享受该技术带来的好处的同时降低对公民权利的风险,需要政府强制划定一条支撑良性市场竞争的责任底线,要求使用这项技术的企业或部门必须遵纪守法,同时企业也应在该底线的基础上制定政策进行自我规范。


(一)政府层面


本文第一节展示了现有的两种规制方式,即从使用数据源头严格监管的欧盟模式和赋予自由的美国模式。除这两种模式之外,两种模式的中间道路也值得考虑,即限制措施放置在处理人脸识别数据的方式上,同时对处理人脸识别数据的重要方面和基本原则进行统筹规制,如要求处理人脸识别数据的透明性、技术通过准确性和无偏见检验,并获取用户同意,从而保证企业人脸识别数据处理大方向上的正确性。具体应当采取何种规制方式,我国政府应当根据本国国情制定相适应的法律法规。


(二)行业自律


尽管从政府层面规制人脸识别技术更为有力,企业不应完全坐等政府采取行动。本文建议相关企业在使用并制定人脸识别技术和数据的相关政策时应当充分考虑以下七个原则:用户同意;数据合规使用透明性数据安全保护措施;隐私设计;准确性和用户权利和问责制度。遵从上述七个原则不仅为收集、使用人脸识别数据提供保护,还可以赢得用户的信任。


  • 用户同意


企业使用人脸识别技术进行验证或识别特定用户和/或向第三人披露人时均应当获得用户的事先同意。“同意”的应当明确且肯定,且符合当地数据监管机构要求的标准和行业习惯做法。


  • 数据合规使用


企业应考虑收集人脸识别数据是否必要,在使用数据时应权衡隐私风险与消费者的可得利益,并向消费者提供减轻或避免风险的选择。


企业应充分考虑信息所对应的的特殊群体(考虑因素包括年龄、社会地位、弱势程度),如儿童。在该群体的人脸识别数据时应提供额外的数据安全保护、更高透明性或更多的选择。此外,企业需注意当地法律是否为特殊群体有额外的要求。


企业业务范围可能发生改变,企业应时刻注意提供给用户的信息是否与收集、使用人脸识别数据相一致,如有重大变更应及时通知用户并获得新的同意。


  • 透明性


企业应制定并发布《隐私政策》,以清晰、明确、易懂的方式告知其使用人脸识别系统以及人脸识别数据收集目的、是否会被分享、数据分享的第三方清单、数据保留期、删除和去标识化手段、报告问题的途径、发生重大变更的措施、拒绝的方式等。


设计或研发人脸识别技术的企业应建议使用其技术的第三方告知消费者该技术的使用,促进人脸识别技术使用的透明性和隐私合规。


  • 数据安全保护措施


企业应依据当地法律规定、所涉人脸识别数据的敏感性、规模和使用环境,选择最适当的安全保护措施。除上述特别保护外,其他措施包括数据加密、病毒防护、访问控制、员工培训等。


  • 隐私保护设计


隐私保护设计应嵌入人脸识别产品和服务的设计和架构全阶段,并将该理念应用于公司实践中,包括任命人员负责监督隐私问题、培训员工隐私知识并定期进行隐私审查。


  • 准确性和用户权利


企业应当采取措施来确保人脸识别数据的准确性,并充分测试其系统以识别并消除缺陷,避免产生错误标记,特别是人脸识别数据涉及种族、年龄和性别方面的区分。


同时,企业应制定并发布相关政策,告知数据主体审查其个人数据的方法,数据有误时如何进行反馈修改。在可能的情况下,企业在收到执法请求时应通知相关自然人,告知将向政府相关部门披露。


  • 问责制度


企业在使用人脸识别技术时应当保持政策、程序和措施的透明性,为对人脸识别数据提供充分的责任保障,应定期进行对人脸识别数据进行审计,对处理人脸识别数据的员工进行培训;设立内部隐私机构来评估、批准涉及人脸识别数据的新应用或服务;保证第三方服务提供者、商业伙伴在使用人脸识别技术或处理数据时符合本研究中提及的七大处理原则,一旦发现第三方企业违反要求,则拒绝其访问人脸识别数据。


本文发表于《中国信息安全》2019年8月期




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告

  13. 【时评】ICO对英国航空和万豪国际开出巨额罚单,GDPR执法强硬时代来临!


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. 评价GDPR一周年:一些正负面观点

  40. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  41. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  42. 英法两国对 AdTech和广告类SDK的监管案例分析

  43. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)

  44. GDPR对用户画像的合规要求分析(DPO社群成员观点)

  45. IAPP新加坡会议上关于27701的Panel和PPT

  46. FTC vs Facebook:50亿美元和解令的来龙去脉(DPO社群成员观点)

 

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存