解读世界首例警方使用人脸识别技术合法性判决二审判决(DPO社群成员观点)
编者按:
2020年8月11日,英格兰及威尔士上诉法院(下称“上诉法院”)推翻了高等法院(下称“原审法院”)此前对南威尔士警方使用自动面部识别技术(“AFR”)合法的判决,上诉法院认为这一使用是非法的,侵犯了人权。本篇文章将对此上诉判决作出分析。本篇作者为北京市安理律师事务所合伙人王新锐和何姗姗。
本公号曾发表的人脸识别系列文章:
英国两审法院对这一案件作出的不同判决体现了人脸识别技术极具争议性的特点,其涉及的法律依据、隐私和数据保护问题值得深思。具体而言,本案的参考价值至少体现在以下几个方面:(1)何为充分的人脸识别技术的法律框架;(2)如何对待算法歧视问题;以及(3)使用人脸识别技术的“严格必要”限度等。
一、事实与上诉理由
南威尔士警方自2017年起开始试点使用自动人脸识别技术,部署名为“AFR Locate”的系统,对从闭路电视中获取的公众人脸进行实时处理,抽取面部生物识别信息,并将该信息与监视名单上的人的面部生物识别信息进行对比。
在南威尔士警方2017年12月21日和2018年3月27日的两次试点中,一审原告Edward Bridges称其曾出现在试点摄像机附近,其图像被系统记录了下来。Edward Bridges于是向英格兰及威尔士高等法院提起司法审查之诉,理由是南威尔士警方的这两次试点行为以及持续进行的AFR试点行为违反《欧洲人权公约》第8条、《2018年数据保护法》以及《2010年平等法案》的规定。2019年9月4日,高等法院作出一审判决,驳回了Edward Bridges的全部诉讼请求。
对此,EdwardBridges不服一审判决,提起上诉,并提出了如下5点上诉理由:
理由一:原审法院认为南威尔士警方使用AFR Locate的行为对上诉人根据《欧洲人权公约》第8条第1款享有的“私人和家庭生活受到尊重”的权利之干预属于第8条第2款允许的必要干预,这一结论是错误的。
理由二:原审法院在审查南威尔士警方使用AFR的行为对权利的干预是否合比例时适用法律错误。
理由三:原审法院判决南威尔士警方的“数据保护影响评估”符合《2018年数据保护法》第64条的规定,是适用法律错误的结果。
理由四:原审法院拒绝认定南威尔士警方提供的政策文件是否符合《2018年数据保护法》第42条对“适当的政策文件”的要求是错误的。
理由五:原审法院关于南威尔士警方履行了“公共部门平等保护职责”的义务的结论错误。南威尔士警方的“平等影响评估”明显不充分,没有认识到基于性别或种族的间接歧视的风险。
上诉法院在判决中支持了上诉人提出的理由一、三、五,否定了理由二、四。
二、判决思路
针对上诉人的五点上诉理由,上诉法院进行说理和判决。
1、使用AFR Locate是否有足够的法律框架?
《欧洲人权公约》第8条第1款规定了人们享有私人、家庭生活及其通信得到尊重的权利。该条第2款规定,公共部门只能在“依照法律规定”且满足特定条件的情况下才能对上述权利进行干预。
因此,判断“理由一”是否成立,即判断南威尔士警方使用AFR Locate的行为是否为“依照法律规定”的关键在于使用AFR Locate是否有足够的法律框架。
针对审理过程中的各方意见,上诉法院首先提出本案有如下四个特点:(1)人脸识别技术是一项新兴技术;(2)它涉及对大规模公众的面部图像采集和数据信息处理,但其中大多数人不在警方的关注范围内;(3)面部识别信息是《2018年数据保护法》意义上的敏感个人信息,其敏感性是普通照片所不具备的;(4)面部识别信息以自动化的方式被处理。
基于这四个特点,针对原审法院提出AFR Locate所仰赖的现有三层法律框架,上诉法院作出了与原审法院相反的判断。上诉法院认为现有法律框架存在两大根本缺陷:第一,“谁”可以被放入监视名单这一问题并不明确;第二,如何决定在“何处”部署AFR也无清晰的标准。这两个问题目前都过于依赖警察的个人判断,现有政策并未充分规定警察如何实施自由决定权。
对此,上诉法院得出结论:原审法院认为现有的法律框架足以构成第8条第2款意义上的“法律”,这是错误的。
综上,上诉法院认为现有法律框架并不满足《欧洲人权公约》第8条第2款规定的“法律”,所以南威尔士警方采取对上诉人“家庭生活、家庭和通信”造成干预的措施并无法律依据。因此,上诉法院采纳了上诉人申述的“理由一”。
2、是否满足“合比例性”原则
上诉法院认为,严格来说,在已经认定对上诉人《欧洲人权公约》第8条的权利的干预不符合法律的规定的情况下,不必再讨论权利的干预是否合比例的问题。但鉴于上诉法院已经听取了关于理由二的完整的论证意见,上诉法院在判决中亦发表了看法。
原审法院在判决中列出了解决比例问题的四步测试。在二审中,争议焦点为第四步,即该种对权利的干预是否可以达成个体权利和社群利益的平衡。
上诉人认为,原审法院在评估“是否可以达成个体权利和社群利益的平衡”这一问题时,评估方法存在错误:一方面,在评估“利益”时,原审法院不仅需要考虑实际结果,也应考虑预期利益;另一方面,在评估“成本”时,不应仅考虑AFR的使用对上诉人的影响,也应该考虑AFR的使用对其他在场公众的基本权利的影响。
对此,上诉法院认为:
在“利益”评估方面,原审法院的评估方法不存在任何错误;
上诉人的诉讼请求是针对“南威尔士警方使用AFR的行为对上诉人造成的影响”,而不是对其他人的影响。
因此,上诉法院否决了“理由二”。
3、是否遵守了《2018年数据保护法》第64条的规定?
《2018年数据保护法》第64条规定了当数据处理可能导致对个体权利和自由的风险时,数据控制者的数据保护影响评估义务和评估的具体内容。
上诉人在“上诉理由”中认为南威尔士警方根据《2018年数据保护法》第64条的要求进行的“数据保护影响评估”存在两项缺陷:一是在《欧洲人权公约》第8条方面存在实质性法律错误;二是该评估没有涉及对不在监视名单中的个人的面部识别信息的收集和处理。
上诉法院认定,虽然南威尔士警方的“数据保护影响评估”提及了《欧洲人权公约》第8条,并且解释了AFR Locate的运行模式,披露了在试点时大量公众会受到影响,但该评估认为警方的行为不侵犯第8条的权利。然而,正如在理由一中论述的那样,上诉法院认为南威尔士警方使用AFR Locate没有满足第8条第2款规定的条件,是对第8条权利的干预,并且该干预不能被视为“依照法律规定”。
由于存在上述缺陷,《数据保护影响评估》没有能够恰当地评估对数据主体的权利和自由造成的风险,也没有能够提出解决这些风险的措施,违反了《2018年数据保护法》第64条第3款b项和c项的规定。
因此,上述法院采纳了“理由三”。
4、是否符合《2018年数据保护法》第42条的规定?
《2018年数据保护法》第35条的数据保护第一原则要求数据控制者出于执法目的进行个人信息处理时,其必须拥有适当的政策文件。对该“适当政策文件”的要求规定在《2018年数据保护法》第42条中。
上诉人认为,原审法院有义务就南威尔士警方使用AFR Locate所依据的《2018年11月政策文件》(November 2018 Policy Document)是否符合《2018年数据保护法》第42条作出判决,但其没有作出该项判决。
上诉法院认为:
上诉人主张的两项试点行为均发生在《2018年数据保护法》生效之前,因此,南威尔士警方不存在任何不遵守《2018年数据保护法》的行为。
《2018年数据保护法》第42条所要求的文件是需要不时进行审核和更新的,在原审法院审理之时,信息官尚未就第42条文件的内容发表过任何指导。
信息官向原审法院表示,南威尔士警方的政策文件包含足够的信息,足以满足第42(2)条的要求。信息官在本次上诉案件中也重申了这一观点。
因此,上诉法院认为,在原审法院本身不确定政策文件是否符合标准,而信息官向原审法院表达该政策文件满足了第42(2)条的要求(尽管理想情况下应该更加详细)的情况下,原审法院的判决正确。
5、是否履行了“公共部门平等保护职责”?
根据《2010年平等法案》(the Equality Act 2010)第149(1)条,公权力部门在行使职权时必须满足“公共部门平等保护职责”(public sector equality duty)的要求,充分考虑消除歧视、骚扰、侵害和其他法案禁止的行为的需要,推进机会平等、促进良好关系。
上诉人认为,南威尔士警方违反了公共部门平等保护职责,因为他们从未就消除AFR Locate部署中可能引起的性别和种族歧视的必要性进行适当考虑。
首先,上诉法院认为,需厘清的要点是,上诉人并未声称南威尔士警方使用的AFR Locate确实具有歧视的效果。相反,上诉的基础是南威尔士警方违反了“应适当考虑消除歧视的需要”这一积极义务。
在二审中,上诉法院进一步论述了判例法所确立的遵守公共部门平等保护职责的相关原则,包括:(1)公共部门在考虑特定政策之前和当时,必须履行公共部门平等保护职责;(2)必须以严谨的态度和开放的心态,实质性地履行职责;(3)该职责是一项持续性的义务等。
基于上述原则,上诉法院认为,公共部门平等保护职责是一项“程序义务”(Duty ofProcess)。公法往往关注的是作出决定的过程,而不是该决定的实质内容。在本案中,该职责要求公共部门采取合理的步骤,调查一项拟议的决定或政策对种族和性别的潜在影响,确保公共部门不会无意中忽略了它应当考虑的信息。
在这一背景下,上诉法院审查了原审法院的驳回理由:
(1) 在使用AFR Locate时存在一个“人为故障保护”机制
针对AFR Locate的“人为故障保护”(human failsafe)机制,即自动化系统做出积极匹配后需要警员确认是否采取行动,上诉法院认为这一事实不足以说明已经尽到公共部门平等保护职责。首先,对公共部门平等保护职责来说,重要的是遵循程序,而非决定的内容;其次,人类也会犯错;最后,这一事实并没有解释理由五的核心问题——南威尔士警方没有去获取关于其使用的软件可能存在的偏见的信息。
(2)据警员Dominic Edgell的证言,他发现在种族或性别的统计数字上实际没有差异。
上诉法院认为,这不足以满足公共部门平等保护职责的要求。一方面,与监视清单不匹配的数据会被自动删除,因此Edgell警员处理数据时,并不知道被AFR技术捕获但立即被删除的人口总数的种族或性别特征数据,但上述数据对于评估软件是否存在歧视或偏见而言是必要的;另一方面,南威尔士警方不知道训练AFR Locate所采用的数据集中是否存在人口不平衡。
对上诉法院来说,但最重要的仍然是南威尔士警方从未试图直接或通过独立验证来确认,使用AFR Locate是否会因种族或性别而产生不可接受的偏见。此外,对公共部门平等保护职责的要求也不会因为部署AFR Locate只是试点活动而有所不同。
综上,上诉法院认为南威尔士警方并未尽其所能来履行公共部门平等保护职责。
三、启示
上诉法院在警方部署AFR Locate是否侵犯隐私、是否违反数据保护影评估义务和公共部门平等保护职责三个方面作出了与原审法院相反的判决。但该判决的目的并不在于足以阻止或禁止警方使用人脸识别技术,而是要求警方在应用此类技术时应当谨慎,应当通过法律限制警察部署人脸识别技术时的自由裁量权,并且充分评估、调查部署人脸识别技术的潜在影响。
1、部署人脸识别技术应当有充分的法律框架进行支撑
二审判决表明,虽然数据保护法为执法部门基于预防、调查、侦查犯罪等执法目的处理个人数据提供了依据,但尚需专门的法律或政策文件对警方的自由裁量权进行限制。
对于原审法院认为充分的法律框架,上诉法院认为其存在两大缺陷:第一,“谁”可以被放入监视名单这一问题并不明确;第二,决定在“何处”部署AFR也无清晰的标准。目前,这两个问题都依赖于警察的判断。
“充分的法律框架”应当为警方等公共部门部署人脸识别技术提供足够明确的指示,应当对警察如何实施自由裁量权,特别是如何确定被监视人员和如何确定AFR部署地点这两个问题做出充分的规定,而不能过于依赖警察的个人判断。
2、公共部门应采取合理措施调查潜在的算法歧视问题
上诉法院在针对理由五“公共部门平等保护职责”进行说理时着重强调,虽然目前尚无明确证据表明该ALR Locate存在偏见的结果,但“公共部门平等保护职责”是一项积极义务、程序义务,公共部门有义务在制定政策或做出决定前去调查人脸识别技术的应用是否会在不同性别或种族的人群间产生偏见或歧视。
法院指出,南威尔士警方从未试图直接或通过独立验证来确定AFR Locate是否会因种族、性别等因素产生不可接受的偏见,因此其并未尽其所能履行“公共部门平等保护职责”。此外,人脸识别技术部署的试点或试验的性质也并不能减免公共部门的平等职责。
8月11日,南威尔士警方在官网上发布声明,表示警方不会继续上诉,并会与监视摄像机专员、内政部等各方合作,将上诉法院的判决纳入业务指导之中。
首席警官Matt Jakes在官方声明中强调:警方很乐于看到上诉法院并未认可有证据表明威尔士警方使用的人脸识别技术存在歧视,但介于人们日益加重的对人脸识别技术算法存在内在歧视的担忧,警方已经开展研究项目,致力于完善技术使用的公正性、透明性以及争取公众信任。
对于警方等公共部门来说,仅仅满足“实际上并未发生歧视”的要求并不足够,公共部门还需主动履行调查、评估、测试的义务,就人脸识别技术对不同性别和种族的潜在影响开展研究,并将这一过程与相应的结果记录、保存下来。
3、在“严格必要”的限度内部署使用人脸识别技术
英国信息保护局ICO曾在本案一审判决之后发布一份《关于执法部门在公共场合使用实时人脸识别技术的意见》(The use of live facial recognition technology by law enforcement inpublic places)。我们注意到,上诉法院在判决中的观点与该意见基本一致。
该意见表示基于执法目的对数据进行敏感处理前需满足该处理是“严格必要”的。根据《2018年数据保护法》,数据控制者应通过数据保护影响评估(DPIA)和合适的政策文件等形式来阐述使用实时人脸识别技术的目的以及该使用符合“严格必要”的要求。
针对本案,ICO 认为威尔士警方还可以在以下方面做出进一步努力:
强调、释明为何对公众权利侵犯性更弱的方案在该行动中不合适;
确保实时人脸识别技术针对的对象是特定的、被锁定的目标;
确保部署人脸识别技术的地点的选择是有明确原因或合理怀疑支撑的。
ICO表示,当实时人脸识别技术部署、使用符合下列三项条件时,其被认定为符合“严格必要”和“合比例”要求的可能性越大,其正当性基础也更强:
有明确目标(Targeted)
有相关情报指引(Intelligence led)
有时间限制(Time limited)
(刘文丽、王晶晶、余扬横波对本文亦有贡献。感谢英国斯旺西大学法学博士 、上海海事大学法学院郑睿副教授对本文提出了细致的修改意见)
DPO社群成果
线下沙龙实录见:
美国联邦隐私保护立法草案研究
美国联邦隐私保护立法草案研究(一):“行为个性化”
美国联邦隐私保护立法草案研究(二):“个人敏感信息”
美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则
美国联邦隐私保护立法草案研究(四):“生物识别信息”
传染病疫情防控与个人信息保护系列文章
美国电信行业涉及外国参与的安全审查系列文章
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
美国的出口管制制度系列文章:
自动驾驶系列文章:
欧盟“技术主权”进展跟踪系列文章:
第29条工作组/EDPB关于GDPR的指导意见:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
数据跨境流动系列文章: