2004年,歐盟頒布了一項法律,要求各成員國在公民的護照和旅行文件中存儲面部圖像和指紋信息。大約同時,歐盟建立了一個大型資料庫,涵蓋申根地區所有尋求庇護者和申請籤證者的生物識別數據。
不久,生物識別的應用在公共部門和私人企業得到了進一步擴張,用於控制人流、公司的電子門禁,以及校園監控。技術的優越性得到了歐洲委員會的承認,但後者提醒,生物識別數據應被視為「敏感」信息,它包含個人的健康狀況、種族等敏感信息,能識別人的身份,能輕易與其他信息扣連,且不可更改。
面對上述風險,法律層面的監管一度「缺位」,無論是一般意義上的數據保護法,還是大多數國家的立法,都未有專門針對生物識別數據使用和處理的具體規定。技術開發和應用的同時,法律相對滯後。
為彌補其間差距,一些國家的數據保護監管機構開始制定生物識別數據的使用框架。比如,強調數據的敏感性、資料庫維護的風險性,以及 「功能潛變」
(編者註:function creep,即出於某一特定目的採集的數據被用於其他目的)的可能性,還包括使用目的和手段之間是否相稱
(編者註:proportionality,相稱性原則,即需考察為達成某一目的,是否有必要採用生物識別技術)。然而,這些法案在實際操作時留下了諸多不確定空間。
2016年,歐盟推出了《通用數據保護條例》(General Data Protection Regulation,下文簡稱GDPR),適用於各成員國,涵蓋了生物識別數據在公共和私人領域的應用。此外,歐盟還通過了《數據保護執法指令》(Data Protection Law Enforcement Directive,下文簡稱DP LED),專門針對執法部門,當執法者需為預防、監控、調查或起訴犯罪行為使用個人數據時,需遵守該指令。
DLA Piper律師事務所統計了2018年5月至2020年1月期間,各國數據監管機構依據GDPR所做出的判罰,其中,荷蘭、德國、英國位列數據洩露案件數的前三位。圖片來源:DLA Piper統計報告。
歐盟如何監管生物識別數據?GDPR和DP LED首次對生物識別數據作出定義:「與自然人的身體、生理或行為特徵相關、經特定技術處理而產生的個人數據,這些個人數據可用於確認該自然人的獨特身份,如面部圖像或皮膚(指紋)數據。」
值得注意的是,
對「特定技術處理」(specific technical processing)的強調排除了那些存儲和保留在資料庫中的「原始」數據,如視頻監控拍到的人臉或錄音,以及用戶發布在網站、社交媒體上的原始信息。此外,GDPR提及,「照片處理不應被系統地視為處理特殊類別的個人數據……」私人的視頻片段也不被視作生物識別數據,除非它經過特殊技術處理,可以識別出個人。
雖然GDPR規定,禁止「以唯一識別為目的進行生物特徵數據處理」,但這項禁令仍存在許多例外。比如數據「明顯公開」,或「出於重大公共利益的目的」
。這些「例外情況」大量存在,模糊不清,實際上,GDPR允許了很多場景下生物識別數據的處理和技術應用。作為一個基礎性框架,GDPR也提及,各個成員國可以引入進一步的法規或禁令。
而DP LED則對執法機關使用生物識別數據提出了限制,只有在以下三種情況下執法機關可以使用生物識別數據:獲得了法律授權、保護關鍵利益,或處理已被數據主體公開的數據。
當新技術的應用「可能導致高風險」時,或大規模處理特定類型的個人數據時, GDPR和DP LED要求啟動
「數據保護影響評估」(Data Protection Impact Assessments, DPIA)。此外,當公共部門系統性監控某個可公開進入的區域時,同樣需要啟用這種評估。
「數據保護影響評估」是一個綜合性評估,包括數據處理的風險性、必要性,以及目的與手段是否相符。某些情況下,當私人機構或公共部門想要使用生物識別技術時,他們需要事先向當地或本國的數據監管部門諮詢,獲得許可。
英國信息委員會辦公室(Information Commission Office)列出的「數據保護影響評估」的基本步驟,其中包括向有關部門諮詢、評估必要性、評估手段與目的是否相符、風險評估、考慮降低風險的手段等。ICO表示,該評估應先於技術的應用。圖片來源:ICO官網
此外,生物識別數據的處理和技術應用需尊重公民的基本人權和自由,當隱私權或個人數據保護權受到侵害時,與人權相關的法律框架也會被啟用。
以下各節概述從這些監管嘗試中獲得的主要經驗教訓,討論了它們的有效性,並重點介紹了未來監管應吸取的經驗。
模糊的定義:原始數據在採集階段的風險性被大大低估GDPR和DP LED中,生物識別數據被定義為「經過特定技術處理」的數據,
(編者註:由於過多強調數據的處理環節)在採集和存儲環節,除了獲得用戶同意、滿足必要性等原則之外,相較於其他一般意義上的個人數據,生物識別數據並不享有更高級別的保護。
正因如此,生物識別數據在採集環節的風險性被大大低估了。一些理應受到保護的敏感數據由於尚未被處理
(編者註:即尚不符合GDPR對生物識別數據的定義),而無法被保護。這一點尤為關鍵,特別在執法部門使用時,透明度受限,數據可能在不通知有關個人或公眾的情況下使用。這是GDPR和DP LED法律文本中的漏洞,公司和政府可以收集大型圖像資料庫,這些數據以後可能用於執法目的。
(編者註:2020年初爆發的Clearview AI公司曝出醜聞,該公司從各大主流網站和社交媒體平臺抓取了30億張圖片,並向至少600家美國執法機構提供了人臉識別技術,通過其系統,只需上傳某個人的面部照片,就可以查看他/她在網上發布的公開照片,及照片地址連結。)2020年,Clearview AI公司引發了巨大爭議,通過一張人臉信息就可以識別出其身份和電子足跡,這也讓更多人意識到現有法律框架的局限。圖片來源:Clearview AI官網。
這也與歐洲人權法院的判例法相違背,後者一再強調,從資料庫中捕獲、收集和儲存人類特徵信息的做法妨礙了個人私生活被尊重的權利。此前,英國人Gaughran就將英國政府告上歐洲人權法庭,
(編者註:2008年Gaughran因酒駕被捕,在警局留下了照片、指紋和DNA信息。其DNA樣本在2015年被銷毀,但其DNA資料、指紋信息和照片仍被無限期保留在警方記錄中。Gaughran將英國告上法庭,要求警方銷毀個人數據或退還給自己。)歐洲人權法院將人臉識別和面部特徵比對等技術考慮在內,最終判決「保留申請人的DNA檔案、指紋和照片等構成了對他私生活的幹擾。」
更恰當的定義應能為人類特徵數據提供法律保護,這些數據可用於身份識別目的,或可供自動化識別過程,
法規還應對數據的存儲提出限制。我們嘗試提出另一種生物識別數據的定義:所有滿足以下條件的個人數據:(a)直接或間接與人類獨特的生物或行為特徵有關的數據;(b)可使用或可通過自動化手段使用的數據;(c)可用於身份識別、身份驗證或驗證自然人主張的數據。」
生物識別「禁令」的模糊性現有的法律未能對不同的生物識別系統進行區分,也未能對不同的數據處理方式設置針對性規範。例如,雖然GDPR的第9.1條列出了一些禁止使用和處理的規定,但它並沒有區分「一對一」 的「驗證」
(編者註:1:1,比如通過電子門禁時,確認進入者身份)和「一對多」的「識別」
(編者註:1:N,將未知人員的生物特徵樣本與資料庫中的上萬個模板進行比較,確認未知者身份,比如張學友演唱會應用了人臉識別技術來識別逃犯 )。
目前,歐洲委員會和許多國家的數據監管部門表示,驗證比識別的風險性小,因為驗證不需要資料庫。
一對多的身份識別存在額外的風險,包括在資料庫中大規模收集和存儲生物識別信息、基於概率的匹配(這引起了人們對準確性和誤報的擔憂),以及對隱私監視的擔憂。但GDPR和DP LED並未區分這兩種功能,這也造成了技術開發者的顧慮,對於希望投資生物識別驗證技術和隱私增強方法的公司來說,這些操作存在法律上的不確定性。
恰當的監管應該更積極地區分不同處理方式的風險性差異,禁止那些構成真正風險的技術,鼓勵那些有可能提供真正隱私和安全保護的功能。什麼是「例外情況」?最後,法律中含糊的「例外情況」也存在漏洞,為一些高風險的技術使用方式打開了大門。
GDPR對「例外」的定義極為寬泛,允許基於「重大公共利益」進行生物識別數據處理
(編者註:由於未對「重大公共利益」進行具體界定,它會成為一個寬泛的「筐」)。
由於對「例外」情況的界定籠統寬泛,目前尚不清楚其是否可作為授權公共部門或私人機構部署人臉識別技術的法律依據(例如,在大型體育場活動中)。GDPR和DP LED無法回答這些問題的,還需要制定更針對性的法律。
(作者Els Kindt是比利時魯汶大學信息與智慧財產權法中心的博士後研究員。本系列經紐約大學AI Now研究中心授權翻譯發布,更多內容可閱讀官網的報告全文。)製圖:白浪
(本文來自澎湃新聞,更多原創資訊請下載「澎湃新聞」APP)