人脸识别60年:欧盟通用数据保护条例真的“史上最严”?此后,法国对谷歌处以最高5000万欧元的罚款,认为其服务条款不够透明,违反了取得用户“有效同意”的原则。瑞典的数据监管机构也根据规定向一所高中开出了罚单,认为使用面部识别记录考勤违反了“必要性原则”。据统计,截至2020年1月,欧盟国家数据监管机构共收到超过16万份违规举报,各国开出的罚款总额达1.14亿欧元。GDPR号称“史上最严数据保护法”,也影响了很多国家的数据立法,包括中国刚刚出台的《个人信息保护法(草案)》。但面对更敏感的生物识别数据,比如人脸数据,GDPR仍然存在局限性。例如,未能覆盖“数据全生命周期”,原始数据采集过程中的风险被大大低估。本文节选自纽约大学AINow研究中心报告《规范生物识别:全球方法和紧迫问题》第四章。为了便于理解,我们对原文进行了必要的补充和修改。2004年,欧盟颁布了一项法律,要求成员国在公民的护照和旅行证件中存储面部图像和指纹。大约在同一时间,欧盟建立了一个涵盖申根地区所有寻求庇护者和签证申请人生物识别数据的大型数据库。不久,生物识别技术在公共部门和私营企业中的应用进一步扩大,用于控制人流、公司电子门禁和校园监控。技术的优越性已经得到欧盟委员会的认可,但后者提醒,生物识别数据应被视为“敏感”信息,其中包含个人健康状况、种族等敏感信息,可以识别人的身份,并且可以轻松共享与其他信息有关联,不可更改。面对上述风险,法律监管一度“缺位”。无论是一般意义上的数据保护法,还是大多数国家的立法,都没有专门针对生物识别数据的使用和处理作出具体规定。在技??术正在开发和应用的同时,法律相对滞后。为弥合差距,一些国家数据保护监管机构已开始制定使用生物识别数据的框架。例如,它强调数据的敏感性、数据库维护的风险、“功能蠕变”(编者注:功能蠕变,即为特定目的收集的数据被用于其他目的)的可能性,包括使用of目的与手段是否相称(编者注:proportionality,比例原则,即需要考察是否有必要使用生物识别技术来达到某种目的)。然而,这些法案在实践中留下了很大的不确定性空间。2016年,欧盟推出《通用数据保护条例》(GeneralDataProtectionRegulation,以下简称GDPR),适用于所有成员国,涵盖生物识别数据在公共和私人领域的应用。此外,欧盟还通过了《数据保护执法指令》(DataProtectionLawEnforcementDirective,以下简称DPLED),专门针对执法机构。当执法机构需要使用个人数据来预防、监控、调查或起诉犯罪行为时,他们需要遵守该指令。欧华律师事务所统计了2018年5月至2020年1月各国数据监管机构基于GDPR的处罚情况,其中荷兰、德国、英国在数据数量上排名前三违约案件。图片来源:DLAPiper统计报告。欧盟如何监管生物识别数据?GDPR和DPLED首次定义生物识别数据:“与自然人的身体、生理或行为相关的独特身份的个人数据,例如面部图像或皮肤(指纹)数据。”值得注意的是,强调“特定技术处理”不包括存储和保留在数据库中的“原始”数据,例如视频监控捕获的人脸或录音,以及用户在网站和社交媒体上发布的原始信息。此外,GDPR提到“照片的处理不应被系统地视为对特殊类别个人数据的处理......”私人视频片段也不被视为生物识别数据,除非它已经用允许个人的特殊技术进行处理已识别。虽然GDPR禁止“为唯一识别目的处理生物识别数据”,但此禁令有许多例外情况。例如,数据“明显披露”或“出于重大公共利益的目的””。这些“例外”大量存在,而且含糊不清。事实上,GDPR允许在许多场景中对生物识别数据进行处理和技术应用。作为基本框架,GDPR还提到个别成员国可以出台进一步的规定或禁令。DPLED对执法机构使用生物识别数据提出了限制。执法机关只能在以下三种情况下使用生物识别数据:获得合法授权、保护关键利益或处理数据主体已披露的数据。当新技术的应用“可能导致高风险”时,或者当某些类型的个人数据被大规模处理时,GDPR和DPLED要求启动“数据保护影响评估”(DataProtectionImpactAssessments,DPIA).此外,当公共部门系统地监控可公开访问的区域时,还需要启用此评估。“数据保护影响评估”是综合评估,包括数据处理的风险、必要性、目的和手段是否一致。在某些情况下,当私人机构或公共部门想要使用生物识别技术时,他们需要事先咨询当地或国家数据监管机构以获得许可。信息委员会办公室(InformationCommissionOffice)列出的“数据保护影响评估”的基本步骤包括与相关部门的磋商、必要性评估、评估手段是否符合目的、风险评估、考虑手段降低风险等。ICO表示,评估应该先于技术的应用。图片来源:ICO官网此外,生物识别数据的处理和技术应用必须尊重公民的基本人权和自由。当隐私权或个人数据保护受到侵犯时,与人权相关的法律框架也将被激活。以下各节概述了从这些监管尝试中吸取的主要经验教训,讨论了它们的有效性,并强调了未来监管应吸取的教训。模糊定义:原始数据在采集阶段的风险被大大低估。在GDPR和DPLED中,生物识别数据被定义为“通过特定技术处理”的数据(编者注:由于过于强调数据处理)。在收集和存储过程中,除了征得用户同意和满足必要性原则外,生物识别数据并不比一般意义上的其他个人数据享有更高级别的保护。正因为如此,生物识别数据收集的风险被大大低估了。一些应该保护的敏感数据因为没有经过处理而无法保护(编者按:即不符合GDPR对生物识别数据的定义)。这一点尤其重要,尤其是当执法部门使用时,透明度有限,数据可能会在不通知相关个人或公众的情况下使用。这是GDPR和DPLED法律文本中的一个漏洞,公司和政府可以收集大型图像数据库,这些数据库以后可以用于执法目的。2020年,ClearviewAI引发了巨大争议。它的身份和电子足迹可以通过人脸来识别,这也让更多人意识到现有法律框架的局限性。图片来源:明视AI官网。这也与欧洲人权法院的判例法相矛盾,后者一再强调从数据库中获取、收集和存储有关人类特征的信息会干扰尊重个人私生活的权利。此前,英国人高兰将英国政府起诉至欧洲人权法院,(编者按:2008年,高兰因酒后驾车被捕,并在警局留下照片、指纹和DNA信息,其DNA样本于2015年被销毁,但他的DNA数据、指纹信息和照片仍无限期保存在警方记录中。高兰将英国告上法庭,要求警方销毁个人数据或归还给他。)欧洲人权法院承认技术,如人脸识别和面部特征比对考虑到这一点,最终判断“保留申请人的DNA档案、指纹、照片等。允许身份识别过程自动化,法规也应该对数据的存储做出限制。我们有试图提出生物特征数据的替代定义:所有个人数据:(a)直接或间接与独特的生物特征相??关或数据的行为特征;(c)可用于识别、认证或验证自然人债权的数据。“生物识别”禁令的模糊性现行法律未能区分不同的生物识别系统,也未能针对不同的数据处理方式制定具体规定。例如,GDPR第9.1条虽然列出了一些禁止使用和处理,但并未区分“一对一”“验证”(编者按:1:1,如通过电子门禁时,确认进入者身份)和“一对多”“身份识别”目前,欧盟委员会和许多国家数据监管机构表示,验证比身份识别风险更小,因为验证不需要数据库。一对多身份识别会带来额外的风险,包括在数据库中大量收集和存储生物识别信息、基于概率的匹配(这会引起对准确性和误报的担忧)以及对隐私监视的担忧。但GDPR和DPLED并未区分这两种功能,这也引起了技术开发人员的担忧,对于希望投资生物特征验证技术和隐私增强方法的公司而言,这些操作存在法律不确定性。适当的监管应该更积极地区分不同的风险方法,禁止带来真正风险的技术,并鼓励有可能提供真正隐私和安全保护的功能。什么是“例外”?最后,法律模糊的“例外”中存在漏洞,这为使用该技术的一些冒险方式打开了大门。GDPR对“例外”的定义极其宽泛,允许基于“重大公共利益”处理生物识别数据(编者按:由于“重大公共利益”没有具体定义,因此成为一个宽泛的“篮子”)。由于“例外”的定义如此广泛,尚不清楚它是否可以作为授权公共或私人机构部署面部识别技术的法律依据(例如,在大型体育场馆活动中)。如果GDPR和DPLED无法回答这些问题,则需要制定更有针对性的法律。
