美国联邦隐私保护立法草案研究(四):“生物识别信息”
编者按:
目前,我国的个人信息保护立法工作正在进行之中。相对于欧盟《通用数据保护条例》(GDPR),国内对美国联邦目前的隐私保护立法尝试,以及已出现的多个版本隐私保护法律文本草案,研究很不充分【部分草案的翻译,见:美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品),以及第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论】。本系列文章试图进一步填补这一空白。
遵循本公号一贯的风格,本系列文章将避免理论化的介绍,分专题对各个法律文本中的概念和制度设计开展分析研究,核心目的在于为我国各个层级的立法和监管提供借鉴。本系列已发表的文章:
在过去的一年中,人脸识别在国内外的关注度非常之高。不仅在国外,国内对此的专项立法很可能是大概率事件。因此,本篇特别关注美国联邦隐私保护立法中关于“生物识别信息”的定义和保护规定。照旧逐一展开分析。
‘‘Consumer Data Privacy and Security Act of 2020’’
在本法案中,生物识别信息是指——通过特定的技术,就个人的身体、生物、心理、基因、行为方面的特征开展处理后所得到的能够识别个人的信息。(The term ‘‘biometric information’’ means information, resulting from specific technical processing related to the physical, biological, physiological, genetic, or behavioral characteristics of an individual, that identifies the individual.)
在本法案中,生物识别信息被归为个人敏感信息中的一种。对于个人敏感信息,本法案提出的保护规则有:
年度内收集或处理少于10万人的个人敏感信息,可以被认为是小企业(small business);
收集或处理个人敏感信息需要明示同意(express affirmative consent);
完成处理目的后,企业应对个人敏感信息做删除或去标识化处理,并应要求其使用的服务提供者也对个人敏感信息做删除或去标识化处理;
如果隐私政策发生实质变化,在个人重新给与明示同意前,不应处理个人敏感信息;
如果年度收集或处理超过100万人的个人敏感信息,企业应当任命隐私保护官;
如果年度收集或处理超过100万人的个人敏感信息,企业应当在收集或处理个人敏感信息前,或实质性地改变对个人敏感信息的处理前,评估所涉及的个人敏感信息的性质和数量,以及该收集或处理行为可能对个人带来的损害(即隐私影响评估PIA的要求)。
在该法案中,“处理”的定义包含了:分析、组织、结构化、保存、使用、披露、传输、共享、转移、售卖、许可等除收集外所有的动作。
在该法案中,对于小企业的优待,主要体现在实现个人数据主体权利方面。
‘‘Online Privacy Act of 2019’’
本法案没有对生物识别信息给出定义,但专门就基因信息做出了详细规定。第209节规定如下:
受管辖的实体不得收集、处理、持有、披露基因信息,除非出于以下目的:
1、为个人提供医疗服务或医学检测,可以收集、处理、持有、披露该个人的基因信息;
2、与基因信息的医学利用、过往利用或人群利用相关的研究和服务,涉及到披露基因信息的,应当同时满足以下三个条件:
披露的对象仅限于由【该法建立的隐私保护机构的】主任所认定的适格的研究机构;
与所披露的基因信息一同披露的其他额外的个人信息,应当局限于为取得目标收益最窄的可能范围之内;
受管辖的实体在披露时应当通过合同限定可以与所披露的基因信息结合处理的个人信息类型。
3、【该法建立的隐私保护机构的】主任通过制定规则所明确的目的;在制定规则中,应当综合考虑潜在的隐私损害和收集、处理、持有、披露基因的潜在收益;
4、为遵循联邦犯罪调查的要求或命令。
该法中,基因信息的定义为——任何个人的下列信息:1)该个人的基因测试结果;2)该个人的家庭成员的基因测试结果;3)该个人的家庭成员的疾病或紊乱的临床表现。但不包括性别、年龄这两项信息。
(a) IN GENERAL.—A covered entity may not collect, process, maintain, or disclose genetic information for any purpose other than—
(1) providing medical treatment or testing to the individual whose genetic information is being collected, processed, maintained, or disclosed;
(2) research and services related to medical, historical, or population uses of genetic information, if, in the case of disclosure of genetic information—
(A) such genetic information is only disclosed to qualified research entities, as determined by the Director;
(B) additional personal information disclosed with such genetic information is limited to the narrowest possible scope likely to yield the intended benefit; and
(C) the covered entity limits, through contractual obligations, additional types of personal information that can be processed with the disclosed genetic information and personal information.
(3) a purpose specified by the Director by regulation, taking into account the potential privacy harms and potential benefits of such collection, processing, maintenance, or disclosure; or
(4) to comply with a Federal criminal investigation request or order.
(b) GENETIC INFORMATION DEFINED.—In this section, the term ‘‘genetic information’’ has the meaning given such term in section 201 of the Genetic Information Nondiscrimination Act of 2008 (42 U.S.C. 2000ff).
(c) SERVICE PROVIDERS SAFE HARBOR.—A service provider shall not be held liable for a violation of this section if such service provider is acting at the direction of and on behalf of a covered entity and has a reasonable belief that is the covered entity’s directions are in compliance with this section.
‘‘DATA Privacy Act’’
在本法案中,没有对生物识别信息进行定义,但是将“与个人的健康、生理、心理、生物识别、性方面、基因信息相关的信息”圈入了个人敏感信息范围之内。
‘‘Privacy Bill of Rights Act’
该法案没有对生物识别信息进行定义。但对生物识别信息提出了如下的安全保护要求:
联邦贸易委员会在制定规则时,应当禁止受管辖的实体将个人信息用于不合理的目的,具体包括:
售卖、租借、交易,或者通过其他方式从个人的生物识别信息获利;
在没有获得个人的明确同意时,共享、再次共享或者散发个人的生物识别信息,除非:1)该散发是基于联邦、州或城市法令所要求;2)有法院颁发的搜查令或传票所要求。
在雇佣、金融、医保、信用、保险、住房、教育领域,处理个人信息使得特定个人因其生物识别信息导致歧视性待遇。
‘‘Consumer Online Privacy Rights Act’
在该法案中,生物识别信息具有如下定义:通过测量或通过特定的技术,就个人的身体、生物、心理、基因、行为方面的特征(包括指纹、声纹、虹膜或视网膜扫描、面部扫描或模板、脱氧核糖核酸(DNA)信息、步态)开展处理所得到的的信息。
当书写样本、签名、照片、录音、人口统计数据或身体特征,例如身高,体重,头发颜色或眼睛颜色,等数据不用于识别个人唯一的生物、身体、心理特征时,不纳入生物识别信息的范围之内。
(A) IN GENERAL.—The term ‘‘biometric information’’ means any covered data generated from the measurement or specific technological processing of an individual’s biological, physical, or physiological characteristics, including—
(i) fingerprints;
(ii) voice prints;
(iii) iris or retina scans;
(iv) facial scans or templates;
(v) deoxyribonucleic acid (DNA) information; and
(vi) gait.
(B) EXCLUSIONS.—Such term does not include writing samples, written signatures, photographs, voice recordings, demographic data, or physical characteristics such as height,weight, hair color, or eye color, provided that such data is not used for the purpose of identifying an individual’s unique biological, physical, or physiological characteristics.
该法案对生物识别信息提出的保护要求主要有:
在住房、雇佣、信用、教育领域,不得处理或对外传输个人生物信息,使得特定个人遭受歧视性待遇或无法获得相应的机会;
在公共住房领域,不得处理或对外传输个人生物信息,导致将个人或特定个人集合被非法区隔、歧视,或或无法获得相应的机会;
如果在住房、雇佣、信用、教育、公共住房领域,通过算法决策开展广告推送、资格决定等,需要每年开展“算法影响评估”,以评估算法是否基于生物识别信息产生了歧视性的结果。
受管辖的实体可在没有个人的明示同意的情况下,并确保数据处理或对外传输是合理必要的、成比例的,并局限于以下目的:.......C)安全事件的发生和应对;提供安全环境,或维护产品或服务的安全性;D)保护免于恶意、欺骗、欺诈或非法的活动......如果将生物识别信息用于C)或D)目的,联邦贸易委员会应当制定规则,包含以下内容:
严格的数据处理限制,包括禁止处理生物识别信息,除非有合理的怀疑认为个人参与了犯罪活动;
严格的数据对外传输限制,包括禁止对外传输生物识别信息,除非为履行法律义务,或建立、行使或维护法律诉求;
严格的透明义务,包括以方便访问的形式披露特定的数据处理和对外传输活动。
‘‘Data Protection Act of 2020”
首先,“敏感的个人信息使用”包括了对生物识别信息的处理。而“敏感的个人信息使用”又在本法案中构成了“高风险的数据实践”。
再次,出于识别个人的目的而处理生物识别信息,本身也构成“高风险的数据实践”。
对于“高风险的数据实践”,本法案提出了如下的安全保护要求:
要求组织就高风险的数据实践,采取事前的影响评估和事后的结果审计;
检查高风险的数据实践带来的社会、伦理、经济和公民权利方面的影响,并负责提出救济措施;
就高风险的数据实践开展进一步的规则制定;
审查和批准新的高风险技术和应用,其中应对“敏感的个人信息使用”给与特别的关注和考量
2、对于“非常大型的组织”(very large covered entities,即年收入在2500万美元以上;年收入的50%以上来自于售卖个人信息;购买、接收、售卖、披露超过5万以上的个人、家庭或设备的个人信息),新建立的隐私保护机构有权要求其就高风险的数据实践,采取事前的影响评估和事后的结果审计
United States Consumer Data Privacy Act of 2019
本法案中,生物识别信息的定义如下:
(A)指个人(包括脱氧核糖核酸)的生理,生物学或行为特征,这些特征单独或相互结合使用,或与其他识别性数据结合使用,以建立个人身份;和
(B)包括-
(i)虹膜、视网膜、指纹、面部、手、手掌、静脉图案和语音记录的图像,可以从中提取出标识符模板,例如面部纹理、细节模板或声纹;和
(ii)包含识别性信息的击键模式或节奏、步态模式或节奏,以及睡眠、健康或运动数据。
(A) means the physiological, biological, or behavioral characteristics of an individual, including deoxyribonucleic acid, that are used, singly or in combination with each other or with other identifying data, to establish the identity of an individual; and
(B) includes—
(ii) keystroke patterns or rhythms, gait patterns or rhythms, and sleep, health, or exercise data that contain identifying information.
受管辖的实体不得出于以下目的处理生物识别信息——安全事件的发生和应对;提供安全环境,或维护产品或服务的安全性;保护免于恶意、欺骗、欺诈或非法的活动,除非:1)该处理是实时的,或者短期的,或者符合联邦贸易委员会将来会制定发布的规则;3)不会将生物识别信息对外传输,除非为履行法律义务,或建立、行使或维护法律诉求。
联邦贸易委员会应当就非实时,或者非短期的生物识别信息处理行为,制定隐私保护标准。
与此同时,在该法案中,生物识别信息属于个人敏感信息中的一种。因此本法案提出的个人敏感信息的保护要求也适用于生物识别信息,具体包括:
年度内处理或对外传输少于10万人或设备的个人敏感信息,可以被认为是大型数据持有者(large data holder);
对外传输或处理个人敏感信息,需要明示同意(express affirmative consent);
联邦贸易委员会可就组织如何获得处理个人敏感信息的明示同意以及如何向个人提供撤回同意的方法,制定指引;
组织应采取合理的行政、技术、物理的数据安全规程,以适应其所收集或处理的个人敏感信息的情况。
小 结
分析到现在,可得出如下初步的观察:
1、美国联邦隐私保护法律草案中,对生物识别信息提出了专门的定义。定义内核为:就个人的身体、生物、心理、基因、行为方面的特征开展处理后所得到的能够识别个人的信息。
2、生物识别信息普遍为被认为是个人敏感信息,或者属于敏感的个人信息使用,享有更高的保护水平。鉴于实际场景中,生物识别信息主要用来认证或识别的功能,因此这样的处理动作,都属于高风险动作。
3、各草案特别关注:不得基于生物识别信息而对个人造成歧视性待遇或者机会 剥夺的要求。
4、有两部法律对生物识别信息用于“安全事件的发生和应对;提供安全环境,或维护产品或服务的安全性;保护免于恶意、欺骗、欺诈或非法的活动”做出了特别的规定。这个非常有特点。
5、生物识别信息的流转被严格控制。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点