美国人脸识别技术的法律规范研究综述 | 拼凑式(Patchwork)的范式
编者按:
本公号曾发表的人脸识别系列文章:
本篇文章作者为杨丹。
美国人脸识别的法律规范—拼凑式(Patchwork)的范式[1]
法律拼凑的概念源于美国关于“民主实验室(Laboratories of democracy)”的学说,该学说源于New State Ice Co v. Liebmann, 1932[2])一案,该案的大法官Brandeis认为,由某个州的公民来选择,让这个州作为实验室,去尝试新的社会和经济模式,同时也不会对其他地区构成威胁。
民主实验室的学说在联邦制的框架内塑造了美国各州的自治权,这些州被用作社会“实验室”,以类似于科学方法的方式制定和检验法律和政策。该学说根植于《美国宪法》第十修正案[3],该修正案规定:“宪法中未明确授予联邦政府、也未禁止各州行使的权力,保留给各州或人民行使”。
如果某一项政策在某个州取得了成功,则可以通过国会法案将其扩展到国家。也有人认为,法律负担的分散可以导致一种力量的平衡,从而迫使各行业在立法过程中进行合作[4],并采取更加平衡和负责的做法。这些政策实验在美国的技术法规领域中越来越多地用于在没有联邦法规的情况下制定开放的互联网法律[5]。
这种设计上的法律分裂有其优点,并且可以为美国和欧洲立法者当前有关使用生物识别数据和人脸识别技术的研究提供有趣的启示。不同于欧洲自下而上和自上而下的监管动态,两者各有优缺点。
联邦法律
规范人脸识别技术的商业用途的首次尝试是联邦贸易委员会(FTC)和美国商务部国家电信与信息管理局(NTIA)分别于2012年和2016年发布的非约束性准则[6]。前述两份文件都没有为生物识别信息和人脸识别技术提供有价值的定义。这些文件主要解决了识别之前的收集和分析,通知和同意的问题。
2020年2月12日,两位参议员宣布了名为《人脸识别的道德使用法案》(Ethical Use of Facial Recognition Act)的立法,旨在保护消费者的隐私免遭“迅速发展的人脸识别技术和数据收集活动带来的过度监视和过度监管”的风险[7]。《人脸识别的道德使用法案》将暂停所有联邦政府对人脸识别技术的使用,直到国会明确通过关于数据的特定用途的立法,以保护美国人的隐私权。该法案还将禁止联邦资金用于州或地方政府投资或购买人脸识别技术[8]。
同时,美国国会仍在讨论出于执法目的的人脸识别技术部署和使用问题,去年11月通过《人脸识别技术保证法案》(Facial Recognition Technology Warrant Act,2019-2020)[9]将迫使执法部门在使用人脸识别技术进行监视前,应当根据涉嫌犯罪的内容获取逮捕证,特殊情况可以考虑豁免。该法案要求人脸识别技术在执法领域的使用,获批期限最长为30天,同时应当最小程度的获取,保留和披露涉及的个人信息。该法案还将对法官的决定权进行监督,要求法官向美国法院行政办公室报备每项申请的审批结果。
各州法律
由于没有任何联邦政府对人脸识别技术的商业用途进行规范,过去几年来,越来越多的州开始启动立法程序来处理生物识别数据。
伊利诺伊州和德克萨斯州是第一个考虑该问题的国家。随后是加利福尼亚,华盛顿,科罗拉多州和阿肯色州(见下图)。在今年年初,华盛顿州和加利福尼亚州进一步出台了旨在规范生物识别信息使用或向个人授予新权利的法案。
在纽约,佛罗里达州,亚利桑那州,马萨诸塞州,密歇根州,新泽西州,夏威夷州,新罕布什尔州,宾夕法尼亚州,弗吉尼亚州,威斯康星州,马里兰州,佛蒙特州,内布拉斯加州,明尼苏达州,特拉华州,阿拉斯加,蒙大拿州,俄勒冈州等地已就此事展开立法辩论。虽然部分法案并未得到通过,但这种前赴后继的立法体现了各州间趋于在此问题上制定明确的框架来保护个人隐私的趋势。
BIPA和CCPA中的生物识别信息
伊利诺伊州于2008年通过了第一项关于人脸识别技术的使用的具有约束力的法律文件。BIPA 受到欧盟数据保护制度的启发,要求私人实体制定书面政策,提供事先通知并征得个人的书面同意,通过事先建立关于此类信息以及对生物识别符的保留期限和披露条件的限制的合理的标准,以保护该类信息。最重要的是,它是在州一级为个人提供诉权的少数法律文书之一,当私人实体违反本法规定时,原告可以申请违约金和律师费等赔偿。自2008年生效以来,该法已成为众多诉讼和判例法的基础。
2020年5月,美国公民自由联盟(American Civil Liberties Union, ACLU)等组织对Clearview 提起诉讼[10],指控其违反了《伊利诺伊州生物识别信息隐私法》(BIPA),侵犯了伊利诺伊州居民的隐私权。请求法院命令Clearview 销毁其所拥有的违反BIPA规定收集和存储的所有生物识别信息(法律另有规定的除外);同时要求Clearview在获取其生物识别标识之前,应当书面通知所有人并获得所有人的书面同意,并书面告知收集,存储和使用他们的生物识别信息的特定目的;要求建立一个公开的书面政策,统一明确存储期限等规范指南。
Clearview AI涉诉事件
2020/1 | 纽约时报披露了人脸识别科技公司Clearview AI从各大主流网站抓取了 30 亿张图像数据,创建了一个可以用来秘密跟踪和远程监视的工具,为美国私人企业,富豪和执法机构提供服务,使用该系统,只需上传某个人的面部照片,就可以查看他/她在网上的公开照片,包括照片的链接地址(如下图)[11]。 |
2020/2 | 弗吉尼亚州居民Roberson对Clearview提起诉讼,指控该公司违反了《弗吉尼亚州法典》和《弗吉尼亚州计算机犯罪法》(VCCA),该法律赋予人们对自己对姓名和图像进行商业使用的控制权。[12] |
2020/2 | Clearview向Fox News证实,有人获得了其所有客户的列表、客户使用的账户数量以及客户进行的搜索数量。据CNN,该入侵者没有获得客户的任何搜索记录。 |
2020/2 | 加拿大隐私机构表示,已对 Clearview 展开调查,以确定该公司使用人脸识别技术是否符合加拿大隐私法。 |
2020/3 | 司法部长Donovan对Clearview 提起诉讼,指控其违反了《佛蒙特州消费者保护法》和《Data Broker Law》。纽约州还提出了一项初步禁令的动议,要求法院下令Clearview 立即停止收集或存储佛蒙特州人的照片和面部识别数据。[13] |
2020/3 | 加州居民代表Burke对Clearview 提起集体诉讼,指控该公司采集生物特征数据违反《加州消费者隐私保护法》(CCPA)。[14] |
2020/5 | 美国公民自由联盟(American Civil Liberties Union, ACLU)等组织对Clearview 提起诉讼,指控其违反了《伊利诺伊州生物识别信息隐私法》(BIPA),侵犯了伊利诺伊州居民的隐私权。 |
2020/7 | 英国信息专员办公室(UK Information Commissioner's Office, ICO)和澳大利亚信息专员办公室(Office of the Australian Information Commissioner, OAIC)宣布对Clearview和今年2月发生的数据泄露事件进行联合调查。 |
2020/8 | 美国国土安全部(The US Department of Homeland Security, DHS)与Clearview签署了标的224000美元的合同,允许移民和海关执法局(Immigration and Customs Enforcement, ICE)使用Clearview的人脸识别技术。[15] |
2020 | Clearview聘请《第一修正案》律师Floyd Abrams,与涉及Clearview AI的案件有关的《第一修正案》具有潜在的突破性意义。Floyd Abrams 表示:有可能就21世纪隐私权声明与第一修正案答辩之间的相互关系做出重大决定,潜在的法律问题有一天可能会提交最高法院。 |
本图来自黑镜第二季第四集
虽然目前尚未获得该案的判决结果,但2019年1月伊利诺伊州最高法院对Six Flags公司的裁定同样具有借鉴意义[16]–法院提出生物特征识别信息具有不可逆性,保护程序至关重要,并指出私人诉权是唯一可用的执行机制。法院裁定“即使没有证据证明原告的实际损害,侵犯行为本身(即未征得个人同意)也足以支持个人或客户的法定诉讼理由”。
然而,严苛的联邦法律要求原告提起事实损害赔偿,事实损害必须是具体的,实际发生和迫在眉睫的,排除推测性或假设性伤害。在某些情况下,这一立场为BIPA的诉讼提供了支持依据,如Heard v. Becton, Dickinson& Co案和Hunter v.Automated Health Systems案。如果联邦法院对诉讼拥有管辖权,则判决结果可能不利于隐私主体。
2018年的加利福尼亚州通过了CCPA 向消费者授予了一些可诉诸的权利。
伊利诺伊州生物识别信息隐私法(BIPA) | 加州消费者隐私保护法(CCPA) | |
定义 | 生物识别信息– 任何信息,无论如何捕获,转换,存储或共享,都基于用于识别个人的个人生物识别码。生物特征信息不包括源自生物特征标识符定义下排除的项目或程序的信息
保密和敏感信息– 可用于唯一标识个人或个人帐户或财产的个人信息。 | 生物识别信息– 一个人的生理,生物学或行为特征,包括一个人的DNA,可以单独使用或彼此结合使用,或与其他可识别数据结合使用,以确定个人身份。
CCPA远远超出了GDPR对生物识别信息的定义。 |
附带 信息 清单 | 生物特征信息– · 视网膜或虹膜扫描 · 指纹,手扫描 · 声纹 · 面部几何
保密和敏感信息: · 遗传标记,遗传检测信息 · 唯一的标识号,用于查找帐户或资产 · 帐号 · PIN码,密码 · 驾驶执照或社会安全号码 | 生物识别信息– · 虹膜,视网膜,指纹,面部,手,手掌,静脉图案或语音记录的图像,可以从中提取标识符模板,例如面部指纹,细节模板或声纹。 · 包含识别信息的击键模式或节奏,步态模式或节奏以及睡眠,健康或运动数据。 |
排除 信息 示例 |
· 撰写样本和书面签名 · 照片 · 用于有效的科学短信或筛查的人类生物样本以及捐赠的器官或组织 |
没有提供 |
可诉讼 的权利 | 私人实体有关生物识别信息的义务– · 保留 · 收藏 · 披露 · 破坏
诉权– · 赔偿依据为–因违反规定对私人实体疏忽,蓄意或罔顾后果的行为。 · 合理的律师费和其他费用。 | 个人权利– · 有权知道正在收集什么个人信息并进行访问 · 有权知道将其出售给谁的权利,并选择退出这些销售 · 平等的服务和价格的权利(无歧视)
诉权– · 由于企业违反执行和维护安全程序和惯例的义务而导致未经授权的访问,盗窃或泄露。 · 赔偿损失。 |
各州人脸识别禁令
旧金山,加利福尼亚州人脸识别禁令 | |
2019/5 | 旧金山成为美国第一个禁止包括警察局在内的城市机构使用人脸识别技术的城市。 |
马萨诸塞州萨默维尔人脸识别禁令 | |
2019/6 | 马萨诸塞州萨默维尔市议会一致投票通过,禁止包括警察局在内的城市机构使用人脸识别技术。 |
奥克兰,加利福尼亚州人脸识别禁令 | |
2019/7 | 加利福尼亚州奥克兰市议会一致投票通过,禁止包括警察局在内的城市机构使用人脸识别技术。奥克兰法令还包括对举报人的保护和对保密协议的禁止。 |
加利福尼亚州暂停在警察身体摄像机上部署人脸识别技术 | |
2019/10 | 加利福尼亚州颁布了一项三年禁令,禁止在警察摄像机中使用人脸识别技术。该法律将于2020年1月生效。 |
波士顿,马萨诸塞州禁止使用人脸识别技术 | |
2020/6 | 波士顿市议会一致投票通过,禁止使用人脸识别该技术,并禁止任何城市官员通过第三方进行人脸监视。 |
波特兰市,俄勒冈州人脸识别禁令 | |
2020/9 | 波特兰市议会通过了美国最严格的人脸识别禁令,禁止该技术的公共和私人使用。波士顿,旧金山和奥克兰等其他城市也通过了法律,禁止公共机构使用面部识别,但波特兰是第一个禁止私人使用的城市。 |
[1]https://www.avocats-mathias.com/donnees-personnelles/facial-recognition-usa
[2]https://www.law.cornell.edu/supremecourt/text/285/262#fn57_ref
[3] https://www.americanbar.org/groups/public_education/programs/constitution_day/constitution-text/amendments-1-through-10/
[4]https://wetmachine.com/tales-of-the-sausage-factory/mozilla-v-fcc-reaction-or-net-neutrality-telenovela-gets-renewed-for-at-least-two-more-seasons/
[5]https://www.wired.com/story/facial-recognition-laws-are-literally-all-over-the-map/
[6]https://www.ntia.doc.gov/files/ntia/publications/privacy_best_practices_recommendations_for_commercial_use_of_facial_recogntion.pdf
[7]https://www.merkley.senate.gov/news/press-releases/merkley-booker-introduce-legislation-to-prohibit-irresponsible-government-use-of-facial-recognition-technology-2020
[8]https://www.merkley.senate.gov/imo/media/doc/20.02.12%20Facial%20Recognition.pdf
[9]https://www.congress.gov/116/bills/s2878/BILLS-116s2878is.pdf
[10]https://www.aclu.org/legal-document/aclu-v-clearview-ai-complaint
[11]https://www.nytimes.com/2020/08/11/technology/clearview-floyd-abrams.html
[12]https://www.mediapost.com/publications/article/346620/clearview-ai-slammed-with-new-lawsuit-over-facepr.html
[13]https://ago.vermont.gov/blog/2020/03/10/attorney-general-donovan-sues-clearview-ai-for-violations-of-consumer-protection-act-and-data-broker-law/
[14]https://www.biometricupdate.com/202003/california-residents-file-class-action-against-clearview-ai-biometric-data-collection-citing-ccpa
[15]https://www.uxconnections.com/ice-strikes-a-deal-with-controversial-facial-recognition-firm-clearview-ai/
[16]https://courts.illinois.gov/Opinions/SupremeCourt/2019/123186.pdf
DPO社群成果
线下沙龙实录见:
美国联邦隐私保护立法草案研究
美国联邦隐私保护立法草案研究(一):“行为个性化”
美国联邦隐私保护立法草案研究(二):“个人敏感信息”
美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则
美国联邦隐私保护立法草案研究(四):“生物识别信息”
传染病疫情防控与个人信息保护系列文章
美国电信行业涉及外国参与的安全审查系列文章
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
美国的出口管制制度系列文章:
自动驾驶系列文章:
欧盟“技术主权”进展跟踪系列文章:
第29条工作组/EDPB关于GDPR的指导意见:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
数据跨境流动系列文章: