2019年9月4日，英格兰和威尔士高等法院行政庭就R (Bridges) v CCSWP and SSHD一案作出判决，肯定了南威尔士警方使用人脸识别技术的合法性。对此，原告称将提起上诉。据报道，这是世界首例关于使用自动人脸识别技术合法性的案件。虽然本案是针对公权力机关的司法审查之诉，判决也有其欧洲和普通法背景，但在人脸识别技术广泛运用时代下，判决本身和其涉及的利益平衡、隐私和数据保护问题，所引发的思考是跨部门、跨地域的。

南威尔士警方自2017年起开始试点使用自动人脸识别技术（Automated Facial Recognition technology），本案中争议的使用方式叫做“AFR Locate”，即对从闭路电视中获取的公众人脸进行实时处理，抽取面部生物识别信息，并将该信息与监视名单上的人的面部生物识别信息进行对比。若匹配未成功，抽取的面部生物识别数据和相关人员的照片不会被存储；与成功匹配相关的数据则最多会被保留24个小时；闭路电视记录根据相关标准保存31天。

原告Edward Bridges就南威尔士警方使用AFR Locate整体以及两次自己在场的试点情况提起诉讼。诉讼请求主要涉及三方面：违反《欧洲人权公约》；违反数据保护立法；未尽公共部门平等职责。

针对原告三个方面的诉讼请求，法院进行说理和判决。

1、违反《欧洲人权公约》

原告认为，南威尔士警方使用AFR Locate违反了《欧洲人权公约》第8条的规定。

《欧洲人权公约》第8条规定：

1. 人人有权享有使自己的私人和家庭生活、家庭和通信得到尊重的权利。

2. 公共机构不得干预上述权利的行使，但是，依照法律规定的干预以及基于在民主社会中为了国家安全、公共安全或者国家的经济福利的利益考虑，为了防止混乱或者犯罪，为了保护健康或者道德，为了保护他人的权利与自由而有必要进行干预的，不受此限。

结合原告的诉讼请求，法院按照以下三步进行分析：（1）南威尔士警方的行为是否对第8条第1款规定的权利进行了干预；（2）南威尔士警方使用AFR是否为“依照法律规定”；（3）南威尔士警方使用AFR是否满足判例法确立的合比例标准。

（1）是否对第8条第1款规定的权利进行了干预？

法院综合判例分析，认为答案是“是”。

尽管第1款的覆盖范围很广，但判例已经确立了防止滥用这一条款的三重保障：一是指控的对个人自治的威胁或攻击必须有一定程度的严重性，二是原告必须有“合理的隐私期待”，三是第一款的覆盖范围可能被第二款证明合理的情况大大削减。

在这样的背景下，法院仍认为南威尔士警方的行为构成了对第1款规定的权利的干预。AFR技术抽取了个体的唯一信息和标识符，使得这一个体在很多场合都能被精确识别，AFR产生的生物识别数据是重要的个人信息。面部识别信息具有“内在隐私（个人）性”（intrinsically private）的特征，即使这种生物识别数据是从“在公开场合显示的”人脸特征中获得的，也不能改变这一事实。而且，也不论是否保存这种数据，只要一开始进行了收集，就能触发这一条款。

（2）南威尔士警方使用AFR是否为“依照法律规定”？

依照《欧洲人权公约》第8条第2款，这种干预必须是依照法律规定的。原告对于这一点的两个主张是，（a）使用AFR Locate没有法律依据（legal basis），南威尔士警方没有权力部署AFR Locate；（b）对第8条第1款所规定的权利的干预并未受制于足够的法律框架（legal framework），因此警方的使用没有可预见性、可预测性，更不具备合法性，无法满足第8条第2款。

a. 使用AFRLocate是否有法律依据？

法院认为，本案中，警察的普通法权力已足以使南威尔士警方和国务大臣使用该设备：普通法下，警察负有预防和侦查犯罪的义务，这一义务对应着采取措施防止犯罪的权力；警方的一般权力包括了为预防和侦查犯罪而使用、保留、披露个体的图像；警察可能为预防和侦查犯罪等目的而合理使用个体的照片，照片可能是任何人的。

b. 使用AFRLocate是否有足够的法律框架？

根据判例，公约第8条第2款所称的“依照法律规定”的标准为：（1）该行为必须“有国内法依据”，必须符合法律原则；（2）法律框架必须已发布、可理解，必须存在发现其规定是什么的可能性；（3）该法律必须不会被任意解释，足够清晰明确地表明有权机关的裁量范围和实行方式；（4）若争议措施是自由裁量权，则不要求过于严格的制度，以避免对基本权利的不合理干预，但要求有保护措施，防止过宽的裁量导致任意性、防止对公约权利进行不成比例的干预；（5）规定措施适用的规则不一定是成文法，只要在法律框架内且有有效的执行方法即可；（6）合理可预测性不意味着所有可能的问题的答案都被编入法律。

法院认为，在分析相关法律框架需要什么条件时，应根据不同类型的生物识别信息本身的情况进行评估，而面部生物识别信息因作为人类唯一标识符而重要。法院认为，南威尔士警方采取的公开措施使其部署AFR不构成“隐蔽监视”，因此不适用《2000年规制调查权法》（Regulation of Investigatory Powers Act 2000）的相关部分。法院进一步确定，除了普通法之外，AFR Locate运行所仰赖的法律框架由三个元素或层次构成：（1）初始立法；（2）在初始立法下发布的二级立法文件，即实践准则；（3）南威尔士警方自己的政策。每种元素都提供法律上可执行的标准，三种元素在普通法的背景下一同考虑，得出使用AFR Locate有足够的法律框架的结论。具体而言，本案中的（1）初始立法为《数据保护法》；（2）二级立法文件为《监控摄像机实践准则》，系由内政部根据《2012年保护自由法》颁布；（3）南威尔士警方自己的政策包括南威尔士警方的标准操作流程、南威尔士警方的部署报告、南威尔士警方对于敏感处理程序的政策，尽管上述政策都并非最终版本，但加在一起，可以提供额外信息，告知如何、何时、何种情况下使用AFR Locate。

因此，法院认为，使用AFR Locate存在足够的法律框架。

（3）南威尔士警方使用AFR是否满足判例法确立的合比例标准？

欲证明《欧洲人权公约》第8条第1款所规定的权利的干预为正当，其必须满足Bank Mellat v Her Majesty's Treasury (No 2)案确立的合比例标准，即必须通过以下四步测试：

1. 措施的目标是否重要到足以证明对基本权利的限制是合理的；

2. 措施是否与目标有合理联系；

3. 是否能采取限制更少的措施，同时避免对目标作出不可接受的妥协；

4. 考虑这些情况及后果的严重性，是否可以达成个体权利和社群利益的平衡。

对于前两点，双方已经达成共识没有问题，因而法院主要对后两点进行分析。

法院认为，南威尔士警方被诉的两次使用行为并非不成比例。具体的事实有：警方部署AFR时进行了一系类措施告知公众，保持了部署的透明性；每次使用该技术都有时限、覆盖的范围有限；使用目的为识别符合警方利益的特定个体、并确实帮助找到了特定个体、被诉的两次使用都未导致误捕；除原告外没有人对自己受到的待遇提出异议；对于原告的权利限制仅限于对其生物识别信息近乎即时的算法处理及删除，而不涉及对原告信息的披露、存储；并未意图识别原告；原告并未被警察询问。

综上， 法院认为南威尔士警方使用AFR Locate并未违反《欧洲人权公约》第8条的规定。

2. 违反数据保护立法

原告认为，被告既违反了《1998年数据保护法》，也违反了《2018年数据保护法》。实际上，南威尔士警方的涉诉行为都发生在《2018年数据保护法》生效前，但各方都请求法院将事实视作发生在《2018年数据保护法》开始适用后，法院接受了该请求。在这一部分，法院分析了原告关于《1998年数据保护法》、《2018年数据保护法》第34条、《2018年数据保护法》第64条的诉讼请求。

（1）《1998年数据保护法》

《1998年数据保护法》要求数据控制者必须遵守数据保护原则。第一条原则是：

第一，关于使用AFR Locate在多大程度上包括了对个人数据的处理，双方的分歧在于，除了监视名单上的人的数据，其他被拍下的人的数据是否是此法下的“个人数据”。《1998年数据保护法》下，“个人数据”指“关于一个或者的个体的数据，可以通过以下方式识别该个体：（a）以该数据，或（b）以该数据和数据控制者所持有，或可能持有的其他信息”。南威尔士警方认为，其并未尝试识别那些不在名单上的人，因此关于这些人的信息不是“个人数据”。

法院指出，有两条路径判断是否是“个人数据”，一是某数据与其他数据结合是否可以识别个人，即“间接识别”，二是某数据是否可以“个体化”到某个人。本案中，法院认为，采用第二条路径可以判断原告的图像是其个人数据。

第二，根据在上一诉讼请求部分的分析，法院认为南威尔士警方的处理满足了合法、公平；而各方同意生物识别数据是个人数据但并非敏感个人数据（《1998年数据保护法》没有“生物识别数据”的概念，此类数据也并未被涵盖在《1998年数据保护法》中“敏感个人数据”的定义内），且满足了附件2第6段（为数据控制者的合法利益所必要而处理，且不因干预数据主体的权利、自由或合法利益而不合理）的要求，也不排除其满足第3段（对于遵守合法义务所必要）、第5（d）段（行使公共职能、以公共利益行使所必要）。

因此，法院判定被告没有违反《1998年数据保护法》。

（2）《2018年数据保护法》第34条

《2018年数据保护法》第34条要求有权机关“必须能够证明遵守了此章”，而该章条款规定了数据保护原则。其中与本案有关的是第35条数据保护第一原则：“为任何执法目的处理个人数据必须合法和公平”。

第35条 数据保护第一原则

（1）数据保护第一原则是，为任何执法目的处理个人数据必须合法和公平。

（2）为任何执法目的处理个人数据，只有基于法律或在以下任意一种情况下才是合法的：

1. 数据主体同意以为此目的处理，或

2. 为履行有权机关为此目的执行的任务，必须进行这种处理。

（3）另外，当为任何执法目的进行的处理是敏感处理时，该处理只有在（4）（5）规定的情况下才被允许。

（4）……

（5）第二类情况是——

1. 该处理对执法目的来说是绝对必要的，

2. 该处理至少满足附件8中的条件之一，

3. 在进行处理时，控制者当场有合适的政策文件。

（6）……

（7）……

（8）本条中，“敏感处理”是指：

1. 处理揭露种族或民族、政治意见、宗教或哲学信仰或工会会员信息的个人数据；

2. 为识别唯一个体而处理基因数据，或生物识别数据；

3. 处理关乎健康信息的数据；

4. 处理关于个体的性生活或性取向的数据。

原告认为涉及“敏感处理”问题，且未能满足第35（5）条规定的允许处理的情况。

a. AFR是否包括了“为识别唯一个体目的”而处理公众的生物识别数据（敏感处理的定义）？

法院确认，公众的面部生物识别数据符合法条规定的“生物识别数据”的定义，而公众的生物识别信息被处理是为了进行对比，满足“为识别特定个体目的”。因此必须满足第35（2）条的要求（对于执法可以处理个人数据的条件规定）。

b. AFR Locate是否满足第35（5）条的条件（允许为执法目的进行敏感处理的情况）？

法院认为，就对执法目的来说“处理是绝对必要的”而言，基于原告对“绝对必要”的诉讼请求基于上述《欧洲人权公约》下的合比例诉讼请求，此前关于合比例的论证足以证明南威尔士警方的处理时绝对必要的。

第二个条件要求满足《数据保护法》附件8中的至少一个条件，南威尔士警方所仰赖的是附件8中的第1段：

相关的法律原则是普通法防止和侦查犯罪的义务，而“必要性”问题同样在上述证明合比例时得到论证。因此，法院认为，也满足第35（5）条的第二个条件。

对于第三个条件，南威尔士警方依赖自己的2018年11月的政策文件《为执法目的进行的敏感处理政策》。法院认为，虽然该政策文件满足了《数据保护法》第42（2）条对此类政策文件的字面要求，但由于该文件的描述较为简短、缺乏细节，没有对相关政策进行系统性的认定和陈述，不像是面向公众的，其是否能够完全满足《数据保护法》的要求，可能被质疑。但是，《数据保护法》的条文规定本身具有一般性，法院建议信息官提供指导（注：信息官是英国负责信息权利保护的机构“信息官办公室”的负责人，《数据保护法》中关于为执法目的处理个人数据的规定等内容，由英国的信息官负责监督与实施），而信息官给出的意见是，“理想的情况下”，南威尔士警方的政策应该更加详细，法院表示同意，也同时指出，在当前节点，法院不必也不宜过多干预，来判定南威尔士警方的政策是否满足《数据保护法》第42（2）条的要求，而最好由信息官继续指导。

（3）《2018年数据保护法》第64条

《2018年数据保护法》第64条规定了当数据处理可能导致对个体权利和自由的风险时，控制者进行数据保护影响评估的义务和评估的具体内容。被告认为南威尔士警方的影响评估有缺陷。法庭判定，南威尔士警方的评估满足了《2018年数据保护法》第64条的要求。

3. 未尽公共部门平等职责

根据《2010年平等法案》（the Equality Act 2010）第149（1）条，公权力部门在行使职权时必须充分考虑以下三个因素：（a）消除歧视、骚扰、受害和其他《2010年平等法案》禁止的任何其他行为的需要；（b）推进有相关受保护的特征和没有相关受保护的特征的人之间的机会平等；（c）培养有相关受保护的特征和没有相关受保护的特征的人之间的良好关系。

原告认为，南威尔士警方未能在评估中考虑AFR Locate可能造成间接的性别、种族歧视，违法了《2010年平等法案》要求权力机关尽应有注意，消除歧视、促进良好关系的规定。

法院认为原告的观点有不现实之处。没有迹象表明，当2017年4月南威尔士警方开始对AFR Locate进行试点时，已经识别或应当识别该软件可能造成间接歧视；现在也没有确定的证据表明该软件会产生间接歧视的后果。法庭认为，南威尔士警方从2017年4月开始AFR Locate试点起已经尽到应有注意，其评估文件也能够证明一点。

综上，法院驳回了原告的所有诉讼请求。

判决书的介绍部分提到，“中心问题是英国的现行法律制度是否足以保证AFR在自由和文明的社会中被恰当和非任意地使用”，“AFR对隐私和数据保护的影响之争议位于这个案件的中心”。本案涉及看起来很难给出精确答案的利益平衡问题，同时，又至少能从中提炼一些可把握的合法要点。另外，法院对于面部识别特征数据的定位，以及法院传达的对法庭之外举措的进一步希冀，亦值得关注。

1、面部识别特征数据的特殊性

对于面部识别特征数据，至少有两点可以注意。一是法院重视面部特征数据的精确性和独一无二性，这与落入个人数据范围和保护私人生活相关；二是法院强调其与其他生物识别数据的不同，也由此指出了使用AFR Locate的特别法律框架。

在分析南威尔士警方使用AFR Locate是否违反《欧洲人权公约》第8条时，法院基于该生物特征数据的精确性与独一无二性，以及保护个人数据与尊重私人生活的关系，将其认定为公约第8条第1款私人生活的保护范围。

在分析使用AFR Locate是否有足够的法律框架时，法院强调，“在评价合适的法律框架需要什么条件时，应根据不同类型的生物识别信息本身的情况进行评估”，而“面部生物信息因作为人类唯一标识符而重要”，也不同于DNA等其他生物识别数据。由此出发，指出了运行AFR Locate在普通法之外的三层法律框架。

抛开欧洲人权和普通法的背景，在认可对面部特征数据作为生物识别数据进行保护时，其特殊性以及相应使用的守法框架，不失为一个思考方向。

2. 难把握的利益平衡与可把握的合法方向

法院需要在保护个人权利和侦查与预防犯罪的公共利益之间达到平衡，这一问题的答案很难是精确的，且不论法院作出何种选择，都难以让每一方信服。不过，在较难具体把握的“合比例”、“公平”等概念之外，仍然可能把握住一些具体、实在的合法方向。

对于违反《欧洲人权公约》第8条的诉讼请求，法院判定警方确实是干预了“私人和家庭生活、家庭和通信得到尊重的权利”，但这种干预是“依照法律规定”且合比例的，满足了《欧洲人权公约》第8条第2款不受限的条件。

对于违反《1998年数据保护法》和《2018年数据保护法》第34条的诉讼请求，法院并未将被拍到的普通公众的数据排除出个人数据、生物识别数据范围，但最终确认南威尔士警方的处理是合法、公平、必要的，而其中对于合法、公平、必要的判定很大程度上有赖于《欧洲人权公约》诉讼请求部分对其合比例的分析。

具体到《欧洲人权公约》诉讼请求部分，综合起来使法院确认南威尔士警方行为合法、合比例的事实有：有警察的普通法权力作为法律依据，有《数据保护法》、《监控摄像机实践准则》和南威尔士警方自己的一套政策结合作为法律框架，警方部署时进行了一系类措施告知公众以保持部署的透明性、每次使用该技术都有时限、覆盖的范围有限，使用目的为识别符合警方利益的特定个体、确实帮助找到了特定个体、被诉的两次使用都未导致误捕、除原告外没有人对自己受到的待遇有异议、对原告的生物识别信息进行了即时算法处理与删除而为涉及披露存储、并未意图识别原告、原告未被警察询问。

在有明确的相关立法，特别是数据保护方面的相关立法的情况下，严格遵守此类法律的明文规定和原则要求，显然是必要的。至少可以看到，南威尔士警方没有公然违反《数据保护法》等法律和文件的行为，且其行为一定程度上显示出对《数据保护法》等法律的原则的遵守，也未造成可见的严重后果。

3. 法庭之外的努力

南威尔士警方在其颁布的《<2018年数据保护法>第3部分下的为执法目的敏感处理政策》中规定了其应如何遵守《2018年数据保护法》规定的六项数据保护原则（合法与公平、数据最小化、准确性、存储限制、完整性和秘密性），但正如上文指出，规定较为简略，缺乏细节描述。在评价南威尔士警方的政策文件时，法院指出，由于《数据保护法》条文本身的一般性，且信息官的网页也并未提供法条原文之外的指导，法院建议信息官继续提供指导。

即使以“合法”为目标，法律条文的一般性和模糊性也难免导致对如何才能达到“合法”的疑惑。现实中，也难以由法院完全承担解释条文的责任。法庭之外，包括信息官的指导在内的多方面的努力，有利于指导公权力机关进行合规，也有利于公权力机关为自己的执法行动制定更明确的政策、给公众更明确的可预期性。

实际上，本判决作出后，原告在其推特上表示“这一邪恶的技术破坏了我们的隐私，我将继续和对其的非法使用作斗争，以保证我们的权利受到保护，保证我们不受政府不成比例的监督。”尽管原告称这一技术是“邪恶的”（sinister），从其言论中仍能看到，除了隐私和权利，其关切主要在于 “非法使用”和“不成比例”，而非直接否定这一技术的使用。而如何才是“合法”、“合比例”，仍待进一步的讨论和努力。（作者王新锐为北京市安理律师事务所高级合伙人，钱其沁为中国人民大学法学院硕士研究生。感谢上海海事大学法学院郑睿老师对本文提出了细致的修改意见）