【前沿案例评析】“Face ID”和“Touch ID”功能构成对用户个人生物信息的侵权吗?评巴内特等诉苹果案
编者按
自上世纪末开始,生物医学取得许多重大成果,人体的指纹、虹膜、面部特征、等个人生物信息的获取、采集、存储和应用也越发便利。但同时,生物隐私信息安全问题也引发了一系列争议。2021年4月9日,浙江省杭州市中级人民法院就郭兵与杭州野生动物世界有限公司服务合同纠纷二审案件,依法公开宣判。这起案件被称为中国“人脸识别第一案”。在美国,生物隐私信息的保护完善过程中也出现了一系列典型的案例。本公众号新开设网络与信息法学前沿案例评析专栏,第一期拟推送2021年立案、2022年12月判决的巴内特等诉苹果案。本篇评析对本案中所涉的法律规则及其裁判思路进行解读,以期能为我国生物隐私信息保护带来借鉴。
【案件索引】
Barrett v. Apple Inc., 5:20-cv-04812-EJD (N.D. Cal. Jun. 13, 2022)
Barnett v. Apple Inc., 2022 Ill. App. 220187 (Ill. App. Ct. 2022)
【关键词】
面部识别信息;指纹识别信息;生物特征标识符
案件提要
与电话号码、电子邮件或其他信息不同,指纹、面部特征识别信息等生物特征识别信息是无法更改的,因此对于个人的隐私安全至关重要。基于此考量,美国伊利诺伊州于2008年通过了《生物信息识别隐私法》(BIPA),为公司处理消费者的生物特征信息制定了标准。在美国所有的生物特征隐私法中,BIPA对消费者的保护力度最强。该法不仅要求公司在收集和存储可识别个人身份的生物数据之前,需要通知和同意,还禁止任何公司出售或以其他方式从消费者的生物特征信息中获利。对消费者而言,最为现实的一点是,该法是同类法律中唯一一项允许消费者将违法公司告上法庭来保护消费者的法律。
巴内特等诉苹果案即围绕BIPA展开。与其他大量在BIPA下进行集体诉讼案件不同的是,本案中被告被罕见地判决了胜诉。本案中,原告巴内特等人,认为苹果公司通过手机、平板电脑等设备收集其指纹和面部识别信息的行为违反了BIPA,向法院起诉。法院最终认为苹果公司的设备没有存储用户的生物特征信息,这些信息存在于苹果众多用户的设备之中。因此,苹果公司的行为并不违反BIPA。这一判决使得BIPA的适用范围和适用边界更加清晰,同时也为企业正确处理用户生物隐私问题提供了合规参考。
案件要旨
伊利诺伊州第一区上诉法院
原告:大卫·巴内特、埃塞尔·伯尔、迈克尔·亨德森等人
被告:美国苹果公司
2019年至2021年间,原告大卫·巴内特、埃塞尔·伯尔、迈克尔·亨德森购买了苹果公司产品,并在使用产品时按照提示进行了指纹解锁和面部解锁设置。原告称在此过程中苹果公司没有任何关于保留和销毁个人生物特征数据的书面政策,苹果公司也未在获得信息之前取得其书面同意。原告认为被告苹果公司违反了BIPA法案,故于2021年6月向伊利诺伊州库克县巡回法庭提起诉讼。2022年1月,初审法院以原告未能提出诉讼请求为由,驳回原告起诉。
2022年2月,原告提出上诉。伊利诺伊州第一区上诉法院认为,苹果公司没有在单独的设备上收集或存储原告的个人生物信息,隐私数据存储在用户的设备中;且信息收集和使用的控制权在用户手中。基于以上理由,法院认为本案即便在原告指控均为事实的情况下,仍然不能认定被告苹果公司占有、捕获或收集了原告的生物识别信息。2022年12月,美国伊利诺伊州第一区上诉法院确认了原审法院的驳回决定,维持原判。
【核心争议点】
被告行为是否属于BIPA下对原告生物特征识别信息的“占有”“捕获”和“收集”行为。
裁判论证过程
1
被告苹果公司并不“占有(in possession of)”原告的生物信息。
原告指控被告苹果公司违反了BIPA 第15(a)条。第15(a)条全文如下:“占有(possession)生物识别标识符或生物识别信息的私人实体,应在满足收集或获取此类标识符或信息的最初目的或个人与私人实体最后一次互动后3年内,以较早发生者为准,制定书面政策规定永久销毁生物识别标识符和生物识别信息的保留时间表和准则,并向公众公开,制定。若没有管辖法院签发的有效逮捕令或传票,占有生物识别器或生物识别信息的私人实体必须遵守其制定的保留时间表和销毁准则。”苹果公司则称其“不‘占有’”用户的生物识别信息。但法条对于“占有”一词并为给出明确界定。
根据Merriam-Webster在线词典,“占有(possession)”是“拥有或控制的行为”。原告引用了People诉Ward案,在该案中,美国最高法院同样认定“占有”是“占有或控制或由自己支配的行为或条件”。原告为支撑自身观点,又称在Ward案中,美国最高法院承认关于“‘占有’一词的法律概念是多种多样的”。然而在Ward案中,法院认为立法者在将“占有(possession)”一词写进法条时,没有意图脱离“占有”一词普通和流行语义的意图。本案中,伊利诺伊州上诉法院得出了同样的结论,认为不应脱离“占有”一词普通和流行的语义,即“控制”层面的含义。
原告辩称苹果公司“占有”他们的信息因为苹果软件收集、分析他们的信息。这种说法将产品和公司等同起来。从根本上说,原告称用户使用苹果的可选软件,从而信息被收集、分析,且储存在用户自己的设备上,用户从而将其信息的控制权交给了苹果公司。
根据原告提供的事实,苹果公司实际上的目的似乎是将信息的控制权交给用户,因为这些功能是可选的而非强制的,而且用户需要进行一系列步骤才能设置这项功能。用户控制设备及其软件,且用户掌握其信息的捕获和收集的控制权,用户的个人生物信息仅仅储存在用户自身的设备上,且在任何时候用户都可以删除个人信息。没有证据表明苹果公司将用户个人生物信息储存在单独的服务器上,或是苹果公司曾阻止用户删除其个人信息。法院进一步论述,即便苹果公司有能力远程更新设备,没有证据表明更新对于争议中的功能有影响,而申诉必须基于事实而非可能性。考虑到以上事实,伊利诺伊州第一区上诉法院认为,不能认定苹果公司占有原告的生物信息。
2
原告引用的Zaluda案和Hazlitt案明显区别于本案,不具有说服力。
和初审法院一样,伊利诺伊州第一区上诉法院同样认为原告引用的Zaluda案和Hazlitt案不具有说服力。目前两案都只经过了初审,还未上诉,因此最终的判决结果仍未知。此外,上诉法院认为本案与Zaluda案和 Hazlitt案在事实上有所区别。
Zaluda案中,原告声称其苹果设备产生了声纹,且声纹发送到了苹果公司的服务器和第三方服务器上。但本案中原告并未指控其生物识别信息被发送到苹果公司的服务器或任何第三方服务器,而是明确指出信息存储在用户自身的设备上。
Hazlitt案中,原告称苹果公司将其面部信息存储在苹果公司的数据库中,且用户无权删除被收集的信息或禁用其设备上的功能。但在本案中,用户的个人生物信息储存在用户的个人设备上,且用户占有对个人生物信息的收集和使用的控制权。
基于以上原因,伊利诺伊州第一区上诉法院同意初审法院的决定,认为本案与Zaluda案和Hazlitt案很容易区分,不具有说服力。
3
被告苹果公司没有“收集”和“捕获”原告生物信息,原告引用的Ronquillo案不具有说服力。
原告称苹果公司“收集”和“捕获”了用户的生物信息(指纹和面部信息),和“占有”一样,法条本身并未定义“收集”和“捕获”二词。上诉法院因此根据词典和判例法进行解释。
根据Merriam-Webster在线词典,对于“捕获”,有一种解释为:“永久保存在文件中(比如电脑文件)”。显然,这个解释适用于本案。
法院还讨论了“收集”的含义。法院认为原告引用的Mosby案没有说服力。首先,就信息被捕获或记录在永久文件上而言,本案中永久文件存在于用户自身的设备上,而不是像Mosby案中的存在于被告的设备上;其次,本案中的信息并不是像Mosby案中“从许多人那里收集或积累到一个地方”,而是在许多不同的和特定的地方,即苹果公司众多用户的数百万台设备上。
为了支持自身的观点,原告又引用了Ronquillo案。Ronquillo案目前也未结案,且作为一个未公布的联邦地区法院案件,它在伊利诺伊州法院没有约束力或先例权威。此外,Ronquillo案在事实上与本案明显有所区别。在Ronquillo案中,原告的信息单独储存在不受其控制的设备上,且原告无法删除已经创建了模板的信息。但在本案中生物识别功能完全是用户可选的,用户信息也只储存在原告的设备上,并且用户可以随时删除这些信息。基于以上原因,Ronquillo案与本案事实有所区别,不具有说服力。最后,即使Ronquillo案是有说服力的,也无法支撑原告“苹果公司捕获和收集其信息”的观点。因为本案中苹果公司不“占有”用户个人信息,而根据BIPA第15(b)条,“捕获和收集信息”需要以“‘占有’信息”作为前置步骤。
综上可知,基于原告指控的事实并假设这些事实是真实的,上诉法院不能认定苹果公司占有、捕获或收集了原告的生物识别信息。由此,上诉法院确认了初审法院的驳回决定,维持原判。
审理结果
1. 伊利诺伊州库克县巡回法庭2022年1月驳回原告起诉
2. 伊利诺伊州第一区上诉法院2022年12月驳回原告上诉
【相关法条】
Illinois Biometric Information Privacy Act 740 ILCS 14/15 (West 2020). Section 15(a)
占有生物特征标识符或生物特征信息的私人实体必须制定书面政策,当收集或获取生物识别码或信息的初始目的得到满足或在个人与私人实体最后一次互动后3年内(以先发生者为准),建立永久销毁生物识别码和生物识别信息的保留计划和指南。如果没有具有管辖权的法院发出的有效逮捕令或传票,占有生物特征标识符或生物特征信息的私人实体必须遵守其既定的保存时间表和销毁指南。
Illinois Biometric Information Privacy Act 740 ILCS 14/15 (West 2020). Section 15(b)
(b)任何私人实体不得收集、捕获、购买、通过交易接收或以其他方式获取个人或客户的生物特征识别码或生物特征信息,除非其在之前已经:
(1) 以书面形式通知受试者或受试者的合法授权代表正在收集或存储生物特征标识符或生物特征信息;
(2) 以书面形式告知受试者或受试者的合法授权代表收集、存储和使用生物特征标识符或生物特征信息的具体目的和期限;及
(3) 收到由受试者或受试者的合法授权代表签署的生物特征标识符或生物特征信息的书面许可。
Illinois Biometric Information Privacy Act 740 ILCS 14/15 (West 2020). Section 20
任何因违反本法案而受到损害的人有权在州巡回法院提起诉讼,或在联邦地区法院对违法方提起补充诉讼。胜诉方可就以下种类的违法行为要求赔偿:
(1) 针对疏忽违反本法案规定的私人实体,1000美元的违约赔偿金或实际损害赔偿金,以较大者为准;
(2) 针对故意或罔顾后果地违反本法案规定的私人实体,5000美元的违约赔偿金或实际损害赔偿金,以较大者为准;
(3) 合理的律师费和费用,包括专家证人费和其他诉讼费用;以及
(4) 州或联邦法院认为适当的其他救济,包括禁令。
【案例评析】
(一)本案对BIPA适用范围的限缩及其意义
本案的核心焦点在于,被告行为是否属于BIPA下对原告生物特征识别信息的“占有”“捕获”和“收集”行为。在本案中,讨论的被告行为主要是,通过制造和销售使用“Face ID”和“Touch ID”的iPhone和iPad,捕获、收集并占有原告的指纹和面部几何形状。原告依据BIPA第15(a)条和第15(b)条主张被告侵权行为的成立。如前文【裁判论证过程】所述,上诉法院通过对“占有”“捕获”和“收集”三个词语的解释,明确了这三个词语的核心要点。上诉法院认为,“占有”应展现控制性,“捕获”应展现永久保存性,至于“收集”,法院未明确界定其内涵,但指出其应该以占有为前提。这一过程中,法院对占有生物特征标识符或生物特征信息(统称为“生物信息”)的私人实体(下称“相关企业”)的行为进行了严格的界定,并为这三个行为进行了排序。这种解释从原告角度出发,以数据控制权作为核心来界定被告行为性质,实质上对BIPA下侵权行为的范围进行了限缩。
而本案对BIPA下侵权行为的限缩还包括信息存储位置的认定。本案中,法院还结合Hazlitt v.Apple Inc.案与Zaluda v. Apple Inc.案明确了信息存储位置与BIPA适用的关系:当生物信息存储在相关企业处时,相关企业可能涉嫌违反BIPA;而当生物信息存储在用户处时,则无前述风险。这涉及到数据云存储和数据网络传输的问题。对于互联网企业而言,其往往需要进行数据从用户本地设备上传至企业数据库,这也会引发BIPA的适用问题。
作为美国生物信息隐私保护领域最具代表性的法案,BIPA以对原告的倾斜保护趋向而闻名。正如伊利诺伊州最高法院在Rosenbach v. Six Flags案中所断言:“与生物识别标识符和信息得不到适当保护可能造成的实质性和不可逆转的损害相比,企业为满足法律要求可能产生的任何费用都可能微不足道。”[[1]]。但在本案中,这种倾斜却受到了一定的限缩,体现出对相关企业的保护。BIPA的诞生与发展,是个人隐私权与企业商业利益之间对抗的产物,进言之,其体现着人格安全与经济利益之间的平衡。在欧美就隐私盾的博弈之中,可以发现欧洲更侧重于隐私安全,而美国更强调经济利益。因此,美国国内对BIPA的质疑一直没有停止。伊利诺伊州SB3053法案强调应该在一些情境下限制BIPA的适用,这些情境包括:(1)如果生物识别信息“专门用于就业、人力资源、预防欺诈或安全目的”;(2)如果相关企业“不出售、租赁、交易或类似地从生物识别信息中获利”;或者(3)如果公司保护生物识别信息至少与保护其他敏感信息一样安全。[[2]]尽管该法案最终并未发生效力,但其仍意味着对个体隐私安全的绝对倾斜保护并非完全之策。
2022年12月,英国信息专员办公室(Information Commissioner’s Office)发布了第一份Tech Horizons年度报告。该报告探讨了未来两到五年内新兴科技将如何影响英国的数据保护框架,内容涵盖消费者健康科技、下一代物联网、沉浸式技术以及分布式金融。(本公众号已组织翻译,敬请期待)[[3]]其中也涉及到个人隐私与商业利益之间的博弈问题。在未来,随着中国互联网相关企业的勃兴与其他新兴科技的发展,生物信息相关的隐私保护显然会成为重要的议题。而在这样的背景下,如何既能保障公民的隐私安全、实现对公民人格尊严的充分尊重,又能兼顾相关企业的商业利益、促进中国经济的稳健发展,显然是值得深入探讨的话题。
(二)本案对中国相关领域的借鉴意义
数字经济时代,生物识别技术在商业领域迅速推广,数据安全和信息保护问题日益凸显,相关领域的诉讼层出不穷。在本案中,法院最终认定被告的行为不构成对原告生物信息的“占有”、“捕获”和“收集”,被告苹果公司胜诉。然而在同样涉及BIPA的ROGERS VS. BNSF案中,因法院认为被告在未获得原告的书面知情同意情况下,收集、捕获并通过交易或以其他方式获得了原告的生物识别码,不符合BIPA的要求,须向原告支付2亿美金的巨额罚款。在国内,近日北京互联网法院审结了APP强制收集用户画像侵权案,该案中被告涉案软件强制收集用户个人信息,构成侵权,法院判决被告涉案运营商停止侵权并赔偿原告维权支出。在美国,谷歌、脸书等大型互联网公司都曾因为类似诉讼支付数额巨大的赔偿金。由此,本案作为涉及BIPA案中少见的被告获胜的案例,对于大型企业信息收集的规则制定和合法实施具有重要的参考价值。
美国法对人格安全和经济利益保护二者平衡的追求,反映了生物识别信息具有高度的敏感性和一定的公共性的双重特征。目前我国法律对生物识别信息商业利用的规范仍然存在不足,在完善立法时,应充分考虑生物识别信息的双重属性,兼顾信息主体的隐私保护和正当的商业利用需求。具体而言,根据信息的敏感度不同,完善个人信息区分,生物识别信息的滥用造成的风险更大,需要在法律、行政法规中明确更为严格的保护规则。此外,考虑到生物识别技术在不同场景和数据处理环节中所承受的风险程度不同,要对具体场景下的规制进行区分,分级设置规制力度,从而充分实现生物识别信息的公共性和利用价值。在救济途径方面,BIPA采取私人诉讼模式,但考虑到现阶段我国国情和法律文化传统,可以通过赋予企业一定的信息处理自主权,引导企业健全发展企业内部信息保护的方法途径,从而实现企业对于用户个人信息的主动保护。与此同时,监管机构也应及时纠正企业违法违规行为,通过行政责任和刑事责任建构制度激励。同时,保留个人在生物识别信息侵权案中的诉讼权利,以实现对个人权利的充分保障。
参考文献:
[1]Rosenbach v. Six Flags Entertainment Corp., 2019 IL 123186 (Jan 25, 2019) ¶ 37
[2]]https://legiscan.com/IL/text/SB3053/id/1731625
[3]https://ico.org.uk/about-the-ico/research-and-reports/tech-horizons-report/
THE
END
【案例评析编辑】
张旭阳
对外经济贸易大学法学院19级本科生
唐雨晰
对外经济贸易大学外语学院19级本科生
最喜欢的一句话:生活原本沉闷,但跑起来就有风。
【编辑】宋佳钰 对外经济贸易大学法学院21级法律硕士
【指导教师】张欣 对外经济贸易大学数字经济与法律创新研究中心执行主任