2018年5月，歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效。此后，法國對(duì)Google開出了高達(dá)5千萬歐元的罰單，認(rèn)為其服務(wù)條款不夠透明，違背了取得用戶“有效同意”的原則。瑞典數(shù)據(jù)監(jiān)管機(jī)構(gòu)也依據(jù)該條例對(duì)一所高中開出罰單，認(rèn)為使用人臉識(shí)別記錄出勤違背了“必要性原則”。

據(jù)統(tǒng)計(jì)，截至2020年1月，歐盟各國數(shù)據(jù)監(jiān)管機(jī)構(gòu)接到的違規(guī)舉報(bào)超過16萬件，而各國開出的罰單總金額達(dá)1.14億歐元。

GDPR被譽(yù)為“史上最嚴(yán)格數(shù)據(jù)保護(hù)法”，也影響了其后多國的數(shù)據(jù)立法，包括中國剛剛出臺(tái)的《個(gè)人信息保護(hù)法(草案)》。但面對(duì)更為敏感的生物識(shí)別數(shù)據(jù)，比如人臉數(shù)據(jù)，GDPR仍存在局限性。比如，它未能覆蓋“數(shù)據(jù)生命全周期”，原始數(shù)據(jù)采集過程中的風(fēng)險(xiǎn)性就被大大低估了。

本文節(jié)選自紐約大學(xué)AI Now研究中心報(bào)告“Regulating Biometrics：Global Approaches and Urgent Questions”(生物識(shí)別技術(shù)監(jiān)管：全球舉措及關(guān)鍵問題)的第四章。為便于理解，我們對(duì)原文進(jìn)行了必要的補(bǔ)充和修改。

2004年，歐盟頒布了一項(xiàng)法律，要求各成員國在公民的護(hù)照和旅行文件中存儲(chǔ)面部圖像和指紋信息。大約同時(shí)，歐盟建立了一個(gè)大型數(shù)據(jù)庫，涵蓋申根地區(qū)所有尋求庇護(hù)者和申請(qǐng)簽證者的生物識(shí)別數(shù)據(jù)。

不久，生物識(shí)別的應(yīng)用在公共部門和私人企業(yè)得到了進(jìn)一步擴(kuò)張，用于控制人流、公司的電子門禁，以及校園監(jiān)控。技術(shù)的優(yōu)越性得到了歐洲委員會(huì)的承認(rèn)，但后者提醒，生物識(shí)別數(shù)據(jù)應(yīng)被視為“敏感”信息，它包含個(gè)人的健康狀況、種族等敏感信息，能識(shí)別人的身份，能輕易與其他信息扣連，且不可更改。

面對(duì)上述風(fēng)險(xiǎn)，法律層面的監(jiān)管一度“缺位”，無論是一般意義上的數(shù)據(jù)保護(hù)法，還是大多數(shù)國家的立法，都未有專門針對(duì)生物識(shí)別數(shù)據(jù)使用和處理的具體規(guī)定。技術(shù)開發(fā)和應(yīng)用的同時(shí)，法律相對(duì)滯后。

為彌補(bǔ)其間差距，一些國家的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)開始制定生物識(shí)別數(shù)據(jù)的使用框架。比如，強(qiáng)調(diào)數(shù)據(jù)的敏感性、數(shù)據(jù)庫維護(hù)的風(fēng)險(xiǎn)性，以及 “功能潛變”(編者注：function creep，即出于某一特定目的采集的數(shù)據(jù)被用于其他目的)的可能性，還包括使用目的和手段之間是否相稱(編者注：proportionality，相稱性原則，即需考察為達(dá)成某一目的，是否有必要采用生物識(shí)別技術(shù))。然而，這些法案在實(shí)際操作時(shí)留下了諸多不確定空間。

2016年，歐盟推出了《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，下文簡稱GDPR)，適用于各成員國，涵蓋了生物識(shí)別數(shù)據(jù)在公共和私人領(lǐng)域的應(yīng)用。此外，歐盟還通過了《數(shù)據(jù)保護(hù)執(zhí)法指令》(Data Protection Law Enforcement Directive，下文簡稱DP LED)，專門針對(duì)執(zhí)法部門，當(dāng)執(zhí)法者需為預(yù)防、監(jiān)控、調(diào)查或起訴犯罪行為使用個(gè)人數(shù)據(jù)時(shí)，需遵守該指令。

DLA Piper律師事務(wù)所統(tǒng)計(jì)了2018年5月至2020年1月期間，各國數(shù)據(jù)監(jiān)管機(jī)構(gòu)依據(jù)GDPR所做出的判罰，其中，荷蘭、德國、英國位列數(shù)據(jù)泄露案件數(shù)的前三位。圖片來源：DLA Piper統(tǒng)計(jì)報(bào)告。

歐盟如何監(jiān)管生物識(shí)別數(shù)據(jù)?

GDPR和DP LED首次對(duì)生物識(shí)別數(shù)據(jù)作出定義:“與自然人的身體、生理或行為特征相關(guān)、經(jīng)特定技術(shù)處理而產(chǎn)生的個(gè)人數(shù)據(jù)，這些個(gè)人數(shù)據(jù)可用于確認(rèn)該自然人的獨(dú)特身份，如面部圖像或皮膚(指紋)數(shù)據(jù)。”

值得注意的是，對(duì)“特定技術(shù)處理”(specific technical processing)的強(qiáng)調(diào)排除了那些存儲(chǔ)和保留在數(shù)據(jù)庫中的“原始”數(shù)據(jù)，如視頻監(jiān)控拍到的人臉或錄音，以及用戶發(fā)布在網(wǎng)站、社交媒體上的原始信息。

此外，GDPR提及，“照片處理不應(yīng)被系統(tǒng)地視為處理特殊類別的個(gè)人數(shù)據(jù)……”私人的視頻片段也不被視作生物識(shí)別數(shù)據(jù)，除非它經(jīng)過特殊技術(shù)處理，可以識(shí)別出個(gè)人。

雖然GDPR規(guī)定，禁止“以唯一識(shí)別為目的進(jìn)行生物特征數(shù)據(jù)處理”，但這項(xiàng)禁令仍存在許多例外。比如數(shù)據(jù)“明顯公開”，或“出于重大公共利益的目的”。這些“例外情況”大量存在，模糊不清，實(shí)際上，GDPR允許了很多場景下生物識(shí)別數(shù)據(jù)的處理和技術(shù)應(yīng)用。作為一個(gè)基礎(chǔ)性框架，GDPR也提及，各個(gè)成員國可以引入進(jìn)一步的法規(guī)或禁令。

而DP LED則對(duì)執(zhí)法機(jī)關(guān)使用生物識(shí)別數(shù)據(jù)提出了限制，只有在以下三種情況下執(zhí)法機(jī)關(guān)可以使用生物識(shí)別數(shù)據(jù)：獲得了法律授權(quán)、保護(hù)關(guān)鍵利益，或處理已被數(shù)據(jù)主體公開的數(shù)據(jù)。

當(dāng)新技術(shù)的應(yīng)用“可能導(dǎo)致高風(fēng)險(xiǎn)”時(shí)，或大規(guī)模處理特定類型的個(gè)人數(shù)據(jù)時(shí)， GDPR和DP LED要求啟動(dòng)“數(shù)據(jù)保護(hù)影響評(píng)估”(Data Protection Impact Assessments， DPIA)。此外，當(dāng)公共部門系統(tǒng)性監(jiān)控某個(gè)可公開進(jìn)入的區(qū)域時(shí)，同樣需要啟用這種評(píng)估。

“數(shù)據(jù)保護(hù)影響評(píng)估”是一個(gè)綜合性評(píng)估，包括數(shù)據(jù)處理的風(fēng)險(xiǎn)性、必要性，以及目的與手段是否相符。某些情況下，當(dāng)私人機(jī)構(gòu)或公共部門想要使用生物識(shí)別技術(shù)時(shí)，他們需要事先向當(dāng)?shù)鼗虮緡臄?shù)據(jù)監(jiān)管部門咨詢，獲得許可。

英國信息委員會(huì)辦公室(Information Commission Office)列出的“數(shù)據(jù)保護(hù)影響評(píng)估”的基本步驟，其中包括向有關(guān)部門咨詢、評(píng)估必要性、評(píng)估手段與目的是否相符、風(fēng)險(xiǎn)評(píng)估、考慮降低風(fēng)險(xiǎn)的手段等。ICO表示，該評(píng)估應(yīng)先于技術(shù)的應(yīng)用。圖片來源：ICO官網(wǎng)

此外，生物識(shí)別數(shù)據(jù)的處理和技術(shù)應(yīng)用需尊重公民的基本人權(quán)和自由，當(dāng)隱私權(quán)或個(gè)人數(shù)據(jù)保護(hù)權(quán)受到侵害時(shí)，與人權(quán)相關(guān)的法律框架也會(huì)被啟用。

以下各節(jié)概述從這些監(jiān)管嘗試中獲得的主要經(jīng)驗(yàn)教訓(xùn)，討論了它們的有效性，并重點(diǎn)介紹了未來監(jiān)管應(yīng)吸取的經(jīng)驗(yàn)。

模糊的定義：原始數(shù)據(jù)在采集階段的風(fēng)險(xiǎn)性被大大低估

GDPR和DP LED中，生物識(shí)別數(shù)據(jù)被定義為“經(jīng)過特定技術(shù)處理”的數(shù)據(jù)，(編者注：由于過多強(qiáng)調(diào)數(shù)據(jù)的處理環(huán)節(jié))。在采集和存儲(chǔ)環(huán)節(jié)，除了獲得用戶同意、滿足必要性等原則之外，相較于其他一般意義上的個(gè)人數(shù)據(jù)，生物識(shí)別數(shù)據(jù)并不享有更高級(jí)別的保護(hù)。

正因如此，生物識(shí)別數(shù)據(jù)在采集環(huán)節(jié)的風(fēng)險(xiǎn)性被大大低估了。一些理應(yīng)受到保護(hù)的敏感數(shù)據(jù)由于尚未被處理編者注：即尚不符合GDPR對(duì)生物識(shí)別數(shù)據(jù)的定義)，而無法被保護(hù)。這一點(diǎn)尤為關(guān)鍵，特別在執(zhí)法部門使用時(shí)，透明度受限，數(shù)據(jù)可能在不通知有關(guān)個(gè)人或公眾的情況下使用。這是GDPR和DP LED法律文本中的漏洞，公司和政府可以收集大型圖像數(shù)據(jù)庫，這些數(shù)據(jù)以后可能用于執(zhí)法目的。

[[356944]]

2020年，Clearview AI公司引發(fā)了巨大爭議，通過一張人臉信息就可以識(shí)別出其身份和電子足跡，這也讓更多人意識(shí)到現(xiàn)有法律框架的局限。圖片來源：Clearview AI官網(wǎng)。

這也與歐洲人權(quán)法院的判例法相違背，后者一再強(qiáng)調(diào)，從數(shù)據(jù)庫中捕獲、收集和儲(chǔ)存人類特征信息的做法妨礙了個(gè)人私生活被尊重的權(quán)利。此前，英國人Gaughran就將英國政府告上歐洲人權(quán)法庭，(編者注：2008年Gaughran因酒駕被捕，在警局留下了照片、指紋和DNA信息。其DNA樣本在2015年被銷毀，但其DNA資料、指紋信息和照片仍被無限期保留在警方記錄中。Gaughran將英國告上法庭，要求警方銷毀個(gè)人數(shù)據(jù)或退還給自己。)歐洲人權(quán)法院將人臉識(shí)別和面部特征比對(duì)等技術(shù)考慮在內(nèi)，最終判決“保留申請(qǐng)人的DNA檔案、指紋和照片等構(gòu)成了對(duì)他私生活的干擾。”

更恰當(dāng)?shù)亩x應(yīng)能為人類特征數(shù)據(jù)提供法律保護(hù)，這些數(shù)據(jù)可用于身份識(shí)別目的，或可供自動(dòng)化識(shí)別過程，法規(guī)還應(yīng)對(duì)數(shù)據(jù)的存儲(chǔ)提出限制。我們嘗試提出另一種生物識(shí)別數(shù)據(jù)的定義：所有滿足以下條件的個(gè)人數(shù)據(jù)：(a)直接或間接與人類獨(dú)特的生物或行為特征有關(guān)的數(shù)據(jù);(b)可使用或可通過自動(dòng)化手段使用的數(shù)據(jù);(c)可用于身份識(shí)別、身份驗(yàn)證或驗(yàn)證自然人主張的數(shù)據(jù)。”

生物識(shí)別“禁令”的模糊性

現(xiàn)有的法律未能對(duì)不同的生物識(shí)別系統(tǒng)進(jìn)行區(qū)分，也未能對(duì)不同的數(shù)據(jù)處理方式設(shè)置針對(duì)性規(guī)范。例如，雖然GDPR的第9.1條列出了一些禁止使用和處理的規(guī)定，但它并沒有區(qū)分“一對(duì)一” 的“驗(yàn)證”(編者注：1：1，比如通過電子門禁時(shí)，確認(rèn)進(jìn)入者身份)和“一對(duì)多”的“識(shí)別”。

目前，歐洲委員會(huì)和許多國家的數(shù)據(jù)監(jiān)管部門表示，驗(yàn)證比識(shí)別的風(fēng)險(xiǎn)性小，因?yàn)轵?yàn)證不需要數(shù)據(jù)庫。

一對(duì)多的身份識(shí)別存在額外的風(fēng)險(xiǎn)，包括在數(shù)據(jù)庫中大規(guī)模收集和存儲(chǔ)生物識(shí)別信息、基于概率的匹配(這引起了人們對(duì)準(zhǔn)確性和誤報(bào)的擔(dān)憂)，以及對(duì)隱私監(jiān)視的擔(dān)憂。但GDPR和DP LED并未區(qū)分這兩種功能，這也造成了技術(shù)開發(fā)者的顧慮，對(duì)于希望投資生物識(shí)別驗(yàn)證技術(shù)和隱私增強(qiáng)方法的公司來說，這些操作存在法律上的不確定性。

恰當(dāng)?shù)谋O(jiān)管應(yīng)該更積極地區(qū)分不同處理方式的風(fēng)險(xiǎn)性差異，禁止那些構(gòu)成真正風(fēng)險(xiǎn)的技術(shù)，鼓勵(lì)那些有可能提供真正隱私和安全保護(hù)的功能。

什么是“例外情況”?

最后，法律中含糊的“例外情況”也存在漏洞，為一些高風(fēng)險(xiǎn)的技術(shù)使用方式打開了大門。

GDPR對(duì)“例外”的定義極為寬泛，允許基于“重大公共利益”進(jìn)行生物識(shí)別數(shù)據(jù)處理(編者注：由于未對(duì)“重大公共利益”進(jìn)行具體界定，它會(huì)成為一個(gè)寬泛的“筐”)。

由于對(duì)“例外”情況的界定籠統(tǒng)寬泛，目前尚不清楚其是否可作為授權(quán)公共部門或私人機(jī)構(gòu)部署人臉識(shí)別技術(shù)的法律依據(jù)(例如，在大型體育場活動(dòng)中)。GDPR和DP LED無法回答這些問題的，還需要制定更針對(duì)性的法律。