2018年5月,欧盟《通用数据保护条例》(GDPR)正式生效。此后,法国对Google开出了高达5千万欧元的罚单,认为其服务条款不够透明,违背了取得用户“有效同意”的原则。瑞典数据监管机构也依据该条例对一所高中开出罚单,认为使用人脸识别记录出勤违背了“必要性原则”。
据统计,截至2020年1月,欧盟各国数据监管机构接到的违规举报超过16万件,而各国开出的罚单总金额达1.14亿欧元。
GDPR被誉为“史上最严格数据保护法”,也影响了其后多国的数据立法,包括中国刚刚出台的《个人信息保护法(草案)》。但面对更为敏感的生物识别数据,比如人脸数据,GDPR仍存在局限性。比如,它未能覆盖“数据生命全周期”,原始数据采集过程中的风险性就被大大低估了。
本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics:Global Approaches and Urgent Questions”(生物识别技术监管:全球举措及关键问题)的第四章。为便于理解,我们对原文进行了必要的补充和修改。
2004年,欧盟颁布了一项法律,要求各成员国在公民的护照和旅行文件中存储面部图像和指纹信息。大约同时,欧盟建立了一个大型数据库,涵盖申根地区所有寻求庇护者和申请签证者的生物识别数据。
不久,生物识别的应用在公共部门和私人企业得到了进一步扩张,用于控制人流、公司的电子门禁,以及校园监控。技术的优越性得到了欧洲委员会的承认,但后者提醒,生物识别数据应被视为“敏感”信息,它包含个人的健康状况、种族等敏感信息,能识别人的身份,能轻易与其他信息扣连,且不可更改。
面对上述风险,法律层面的监管一度“缺位”,无论是一般意义上的数据保护法,还是大多数国家的立法,都未有专门针对生物识别数据使用和处理的具体规定。技术开发和应用的同时,法律相对滞后。
为弥补其间差距,一些国家的数据保护监管机构开始制定生物识别数据的使用框架。比如,强调数据的敏感性、数据库维护的风险性,以及 “功能潜变”(编者注:function creep,即出于某一特定目的采集的数据被用于其他目的)的可能性,还包括使用目的和手段之间是否相称(编者注:proportionality,相称性原则,即需考察为达成某一目的,是否有必要采用生物识别技术)。然而,这些法案在实际操作时留下了诸多不确定空间。
2016年,欧盟推出了《通用数据保护条例》(General Data Protection Regulation,下文简称GDPR),适用于各成员国,涵盖了生物识别数据在公共和私人领域的应用。此外,欧盟还通过了《数据保护执法指令》(Data Protection Law Enforcement Directive,下文简称DP LED),专门针对执法部门,当执法者需为预防、监控、调查或起诉犯罪行为使用个人数据时,需遵守该指令。
DLA Piper律师事务所统计了2018年5月至2020年1月期间,各国数据监管机构依据GDPR所做出的判罚,其中,荷兰、德国、英国位列数据泄露案件数的前三位。图片来源:DLA Piper统计报告。
欧盟如何监管生物识别数据?
GDPR和DP LED首次对生物识别数据作出定义:“与自然人的身体、生理或行为特征相关、经特定技术处理而产生的个人数据,这些个人数据可用于确认该自然人的独特身份,如面部图像或皮肤(指纹)数据。”
值得注意的是,对“特定技术处理”(specific technical processing)的强调排除了那些存储和保留在数据库中的“原始”数据,如视频监控拍到的人脸或录音,以及用户发布在网站、社交媒体上的原始信息。
此外,GDPR提及,“照片处理不应被系统地视为处理特殊类别的个人数据……”私人的视频片段也不被视作生物识别数据,除非它经过特殊技术处理,可以识别出个人。
虽然GDPR规定,禁止“以唯一识别为目的进行生物特征数据处理”,但这项禁令仍存在许多例外。比如数据“明显公开”,或“出于重大公共利益的目的”。这些“例外情况”大量存在,模糊不清,实际上,GDPR允许了很多场景下生物识别数据的处理和技术应用。作为一个基础性框架,GDPR也提及,各个成员国可以引入进一步的法规或禁令。
而DP LED则对执法机关使用生物识别数据提出了限制,只有在以下三种情况下执法机关可以使用生物识别数据:获得了法律授权、保护关键利益,或处理已被数据主体公开的数据。
当新技术的应用“可能导致高风险”时,或大规模处理特定类型的个人数据时, GDPR和DP LED要求启动“数据保护影响评估”(Data Protection Impact Assessments, DPIA)。此外,当公共部门系统性监控某个可公开进入的区域时,同样需要启用这种评估。
“数据保护影响评估”是一个综合性评估,包括数据处理的风险性、必要性,以及目的与手段是否相符。某些情况下,当私人机构或公共部门想要使用生物识别技术时,他们需要事先向当地或本国的数据监管部门咨询,获得许可。
英国信息委员会办公室(Information Commission Office)列出的“数据保护影响评估”的基本步骤,其中包括向有关部门咨询、评估必要性、评估手段与目的是否相符、风险评估、考虑降低风险的手段等。ICO表示,该评估应先于技术的应用。图片来源:ICO官网
此外,生物识别数据的处理和技术应用需尊重公民的基本人权和自由,当隐私权或个人数据保护权受到侵害时,与人权相关的法律框架也会被启用。
以下各节概述从这些监管尝试中获得的主要经验教训,讨论了它们的有效性,并重点介绍了未来监管应吸取的经验。
模糊的定义:原始数据在采集阶段的风险性被大大低估
GDPR和DP LED中,生物识别数据被定义为“经过特定技术处理”的数据,(编者注:由于过多强调数据的处理环节)。在采集和存储环节,除了获得用户同意、满足必要性等原则之外,相较于其他一般意义上的个人数据,生物识别数据并不享有更高级别的保护。
正因如此,生物识别数据在采集环节的风险性被大大低估了。一些理应受到保护的敏感数据由于尚未被处理编者注:即尚不符合GDPR对生物识别数据的定义),而无法被保护。这一点尤为关键,特别在执法部门使用时,透明度受限,数据可能在不通知有关个人或公众的情况下使用。这是GDPR和DP LED法律文本中的漏洞,公司和政府可以收集大型图像数据库,这些数据以后可能用于执法目的。
2020年,Clearview AI公司引发了巨大争议,通过一张人脸信息就可以识别出其身份和电子足迹,这也让更多人意识到现有法律框架的局限。图片来源:Clearview AI官网。
这也与欧洲人权法院的判例法相违背,后者一再强调,从数据库中捕获、收集和储存人类特征信息的做法妨碍了个人私生活被尊重的权利。此前,英国人Gaughran就将英国政府告上欧洲人权法庭,(编者注:2008年Gaughran因酒驾被捕,在警局留下了照片、指纹和DNA信息。其DNA样本在2015年被销毁,但其DNA资料、指纹信息和照片仍被无限期保留在警方记录中。Gaughran将英国告上法庭,要求警方销毁个人数据或退还给自己。)欧洲人权法院将人脸识别和面部特征比对等技术考虑在内,最终判决“保留申请人的DNA档案、指纹和照片等构成了对他私生活的干扰。”
更恰当的定义应能为人类特征数据提供法律保护,这些数据可用于身份识别目的,或可供自动化识别过程,法规还应对数据的存储提出限制。我们尝试提出另一种生物识别数据的定义:所有满足以下条件的个人数据:(a)直接或间接与人类独特的生物或行为特征有关的数据;(b)可使用或可通过自动化手段使用的数据;(c)可用于身份识别、身份验证或验证自然人主张的数据。”
生物识别“禁令”的模糊性
现有的法律未能对不同的生物识别系统进行区分,也未能对不同的数据处理方式设置针对性规范。例如,虽然GDPR的第9.1条列出了一些禁止使用和处理的规定,但它并没有区分“一对一” 的“验证”(编者注:1:1,比如通过电子门禁时,确认进入者身份)和“一对多”的“识别”。
目前,欧洲委员会和许多国家的数据监管部门表示,验证比识别的风险性小,因为验证不需要数据库。
一对多的身份识别存在额外的风险,包括在数据库中大规模收集和存储生物识别信息、基于概率的匹配(这引起了人们对准确性和误报的担忧),以及对隐私监视的担忧。但GDPR和DP LED并未区分这两种功能,这也造成了技术开发者的顾虑,对于希望投资生物识别验证技术和隐私增强方法的公司来说,这些操作存在法律上的不确定性。
恰当的监管应该更积极地区分不同处理方式的风险性差异,禁止那些构成真正风险的技术,鼓励那些有可能提供真正隐私和安全保护的功能。
什么是“例外情况”?
最后,法律中含糊的“例外情况”也存在漏洞,为一些高风险的技术使用方式打开了大门。
GDPR对“例外”的定义极为宽泛,允许基于“重大公共利益”进行生物识别数据处理(编者注:由于未对“重大公共利益”进行具体界定,它会成为一个宽泛的“筐”)。
由于对“例外”情况的界定笼统宽泛,目前尚不清楚其是否可作为授权公共部门或私人机构部署人脸识别技术的法律依据(例如,在大型体育场活动中)。GDPR和DP LED无法回答这些问题的,还需要制定更针对性的法律。