人脸识别技术的法律规制研究初探(DPO社群成员观点)
人脸识别技术为社会带来效益提升同时,也隐含着因技术滥用对公民权益的风险与威胁。如何对技术失范问题加以规制成为使用人脸识别技术的亟待解决的问题。本文将从三个维度,即现阶段法律发展情况、人脸识别技术的机遇与风险、以及规制方式进行分析,从而为国内的人脸识别技术的规制提供借鉴。
一、现阶段法律发展情况
国际层面对人脸识别技术的规制主要通过数据保护法律法规进行的,其中最具代表性的是美国和欧盟,以下将结合具体法规对两种模式的特点进行分析。
(一)美国模式
美国在联邦层面没有统一的法律规制人脸识别数据的收集和使用,而是通过各州的独立立法进行管理。目前共有六个州或城市制定了与生物识别数据相关的法案,分别为伊利诺伊州、华盛顿州、德克萨斯州和俄勒冈州和新汉普郡以及加利福尼亚州旧金山市。【笔者注:在文章付印之后,美国马萨诸塞州的萨默维尔市议会投票禁止当地警方和市政部门使用面部识别软件,还禁止在刑事调查或法律诉讼中使用面部识别软件系统产生的数据或证据。相关情况见人脸识别技术禁令再来!美国又一城市禁止面部识别软件】
其中,伊利诺伊州颁布的《生物信息隐私法案》(Biometric Information Privacy Act, 简称“BIPA”)非常具有参考意义。该法案于2008年颁布,是美国境内第一部旨在规范“生物标识符和信息的收集,使用,保护,处理,存储,保留和销毁”的法律。
根据BIPA的定义,“生物标识符”(biometric identifier)包括对“脸部结构”的扫描,但明确排除了照片。与“生物标识符”相关的术语是“生物信息”(biometric information),该等信息是指“通过用以识别特定自然人的生物标识符所获取的信息”。与欧盟保护模式不同(下文详述),BIPA的规制的范围并不在于能否使用生物识别数据,而在于使用生物数据的方式,具体体现在以下三个方面:
初次收集某自然人的生物标识符或生物识别信息时,须告知该自然人其生物数据被收集的情况、收集目的、数据的保留时间,并获得该自然人的书面授权。Facebook的“面部印记”功能遭到起诉便是因为Facebook未经用户同意便收集了面部结构数据,进而违反了BIPA。
企业须制定书面政策设定生物识别数据的保留时间表,且当收集数据的目的已达到或距信息主体与企业最后一次联络已满三年时(以先发生者为准),应当摧毁该数据。
生物识别数据不得出售,且除非获得相关自然人的同意或如法律规定的特定例外情况不得对他人披露。
(二)欧盟模式
欧盟保护人脸识别数据的核心法律是《通用数据保护法规》(General Data Protection Regulation, 简称“GDPR”)。根据GDPR第4(14)条的定义,生物识别数据明确包括面部图像,且与BIPA相同,GDPR对面部识别数据和照片进行了区分。GDPR叙文第51条指出,“处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理,使其能够识别或认证特定自然人时,照片才被认为是生物识别数据”。GDPR并未提及视频影像,例如被监控摄像头收集的视频影像,但应当类推适用相同的原则进行处理。即如果使用“特定技术手段”来识别或认证特定自然人,则通过照片或视频收集的任何图像均构成生物识别数据。
GDPR第9条规定,生物特征数据属于个人数据的“特殊类别”,除非某些特殊情况外,不得处理该等数据。人脸识别技术的商业应用可适用的唯一例外是“数据主体已明确表示同意”,同意须“自由给予、明确、具体、不含混”,数据主体任何形式的被动同意均不符合GDPR的规定。
此外,GDPR第9(4)条允许欧盟各成员国规定在特定情况下不适用GDPR中对处理生物识别的数据的限制。例如,荷兰规定了为完成认证或安全需要时可以处理生物识别数据。克罗地亚的新数据保护法对生物识别数据的限制排除适用监控安全系统。
(三)小结
美国和欧盟对人脸识别数据的保护模式代表两种不同规制路径。第一种是欧盟采用的在整体上严格限制生物识别数据的使用,但同时赋予了欧盟成员国一定的自由裁量权,允许成员国规定在特定情况下不适用对生物识别数据的限制;第二种是美国采用的较为自由的方式,即不在联邦层面限制面部识别数据的使用,赋予各州各领域极大的规制权限。
二、面部识别技术的机遇与风险
(一)面部识别技术的机遇
人脸识别作为一项新技术,其应用领域多样,利用得当将为政府、企业和个人均带来新的机遇或便利。
对于政府而言,政府作为保障公民安全和打击犯罪的主要力量,人脸识别技术的一方面有利于增强公共安全和监控警情,通过在公共场所使用人脸识别技术有助于警方建立人像库,从而为抓捕犯人、打击犯罪以及追踪、监控恐怖主义活动提供帮助;另一方面有利于寻找失踪人口,特别是儿童。例如,2018年印度新德里警方利用人脸识别技术,在4天内发现了近3000名失踪儿童,人脸识别技术的在此方面的推动是极具突破性的。
对于企业而言,人脸识别技术将为其产品和服务的研发和推广过程中激发新的机遇。例如在医疗和技术的革新方面,研究人员使用人脸识别软件成功诊断出存在于非洲人、亚洲人和拉丁美洲人的一种罕见遗传疾病;此外,澳大利亚国民银行利用人脸识别技术设计了一个方案,可以让客户凭借人脸识别和个人密码从自动取款机中取款。
对于公众而言,之于上述人脸识别技术对于政府和企业在提高各自职能方面的促进,公民的人身安全和财产安全也将因此而获益。
(二)人脸识别技术带来的风险
这项技术带来显著的社会效益的同时,侵犯了公民的隐私权、民主自由和人权,并激发歧视问题。
不少西方学者认为:人脸识别技术的应用可能侵犯公民隐私权、以及民主自由和人权。民主依赖于公民集会、公开讨论其观点,而这项权利的完满行使则要求人们自由行动而不受政府监督。然而,当无处不在的摄像头与强大计算能力和云存储相结合时,人脸识别技术能够帮助政府实现对每个地方的每一个人24小时不间断地监视,程度之深之广均为前所未有。这种被监视的状态一步阻遏公民发表言论或参与公开抗议等民主活动,并从根本上改变公民在公共场合的存在方式。
此外,人脸识别技术可能导致歧视问题。目前的技术并不能保证人脸识别的准确性,数据识别结果的不准确将导致应用时产生偏见,进而引发歧视问题。麻省理工一工作组研究表明,人脸识别技术对非白人个体识别的准确率要低于白人个体,即意味着非白人个体更容易被打上“嫌疑人”标记。这种准确性上的差异将种族区分内置于技术本身,使得执法机关在判断某一犯罪或违法行为的犯罪嫌疑人身份时将种族特征列入考虑因素,从而对非白人群体造成歧视。
三、人脸识别技术的规制
人脸识别技术尚处发展初期,但其蕴含的风险可见一斑。如果不立即采取行动,很可能在该技术普及时加剧更多的社会问题,到那时进行规制将更加困难。为享受该技术带来的好处的同时降低对公民权利的风险,需要政府强制划定一条支撑良性市场竞争的责任底线,要求使用这项技术的企业或部门必须遵纪守法,同时企业也应在该底线的基础上制定政策进行自我规范。
(一)政府层面
本文第一节展示了现有的两种规制方式,即从使用数据源头严格监管的欧盟模式和赋予自由的美国模式。除这两种模式之外,两种模式的中间道路也值得考虑,即限制措施放置在处理人脸识别数据的方式上,同时对处理人脸识别数据的重要方面和基本原则进行统筹规制,如要求处理人脸识别数据的透明性、技术通过准确性和无偏见检验,并获取用户同意,从而保证企业人脸识别数据处理大方向上的正确性。具体应当采取何种规制方式,我国政府应当根据本国国情制定相适应的法律法规。
(二)行业自律
尽管从政府层面规制人脸识别技术更为有力,企业不应完全坐等政府采取行动。本文建议相关企业在使用并制定人脸识别技术和数据的相关政策时应当充分考虑以下七个原则:用户同意;数据合规使用;透明性;数据安全保护措施;隐私设计;准确性和用户权利和问责制度。遵从上述七个原则不仅为收集、使用人脸识别数据提供保护,还可以赢得用户的信任。
用户同意
企业使用人脸识别技术进行验证或识别特定用户和/或向第三人披露人时均应当获得用户的事先同意。“同意”的应当明确且肯定,且符合当地数据监管机构要求的标准和行业习惯做法。
数据合规使用
企业应考虑收集人脸识别数据是否必要,在使用数据时应权衡隐私风险与消费者的可得利益,并向消费者提供减轻或避免风险的选择。
企业应充分考虑信息所对应的的特殊群体(考虑因素包括年龄、社会地位、弱势程度),如儿童。在该群体的人脸识别数据时应提供额外的数据安全保护、更高透明性或更多的选择。此外,企业需注意当地法律是否为特殊群体有额外的要求。
企业业务范围可能发生改变,企业应时刻注意提供给用户的信息是否与收集、使用人脸识别数据相一致,如有重大变更应及时通知用户并获得新的同意。
透明性
企业应制定并发布《隐私政策》,以清晰、明确、易懂的方式告知其使用人脸识别系统以及人脸识别数据收集目的、是否会被分享、数据分享的第三方清单、数据保留期、删除和去标识化手段、报告问题的途径、发生重大变更的措施、拒绝的方式等。
设计或研发人脸识别技术的企业应建议使用其技术的第三方告知消费者该技术的使用,促进人脸识别技术使用的透明性和隐私合规。
数据安全保护措施
企业应依据当地法律规定、所涉人脸识别数据的敏感性、规模和使用环境,选择最适当的安全保护措施。除上述特别保护外,其他措施包括数据加密、病毒防护、访问控制、员工培训等。
隐私保护设计
隐私保护设计应嵌入人脸识别产品和服务的设计和架构全阶段,并将该理念应用于公司实践中,包括任命人员负责监督隐私问题、培训员工隐私知识并定期进行隐私审查。
准确性和用户权利
企业应当采取措施来确保人脸识别数据的准确性,并充分测试其系统以识别并消除缺陷,避免产生错误标记,特别是人脸识别数据涉及种族、年龄和性别方面的区分。
同时,企业应制定并发布相关政策,告知数据主体审查其个人数据的方法,数据有误时如何进行反馈修改。在可能的情况下,企业在收到执法请求时应通知相关自然人,告知将向政府相关部门披露。
问责制度
企业在使用人脸识别技术时应当保持政策、程序和措施的透明性,为对人脸识别数据提供充分的责任保障,应定期进行对人脸识别数据进行审计,对处理人脸识别数据的员工进行培训;设立内部隐私机构来评估、批准涉及人脸识别数据的新应用或服务;保证第三方服务提供者、商业伙伴在使用人脸识别技术或处理数据时符合本研究中提及的七大处理原则,一旦发现第三方企业违反要求,则拒绝其访问人脸识别数据。
本文发表于《中国信息安全》2019年8月期
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点