文| 程莹 信通院互联网法律研究中心研究员

崔赫 信通院互联网法律研究中心实习生

2021年4月21日,欧盟公布“Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) And Amending Certain Union Legislative Acts”草案(《建立人工智能统一框架及修订相关联盟法案的草案》,以下简称《草案》)。作为欧盟有史以来首部关于人工智能的法律框架,《草案》不仅是对欧洲数据战略(European Strategy for Data)的展开落地,也是对新兴数字技术进行风险规制、获取公众广泛信任的积极尝试,体现了欧盟试图抢占全球人工智能治理领先地位的深远意图。其中,《草案》提出远程生物识别系统的概念及规制方案,引发国际社会广泛关注。研究欧盟《草案》的相关规定,有助于把握欧盟对人脸识别等新兴技术的规制态度,对我国下一步人脸识别等相关立法具有一定启发意义。

一、欧盟《草案》对生物识别系统的应用规制

生物识别信息作为个人信息范畴内最具有个殊性、强识别性、难变更性和不可替代性的稀缺性存在,能否成为自动化执行系统的采集与利用对象,长久以来都聚集着大量的关注与争议。此前,欧盟2018年5月25日出台的《通用数据保护条例》(GDPR)已对此有所限制,GDPR对生物数据的处理,遵循“原则禁止、特殊例外”的原则。数据控制者可援引“数据主体的同意”作为处理个人生物数据的例外,但该同意必须是“自由给予、明确、具体、不含混”的。

1.围绕生物特征数据形成规制对象集群

《草案》明确了“生物特征数据”(biometric data)概念,以识别性为内涵基准,以面部图像和指纹数据为外延举例,同时拓展出了“远程生物识别系统”(remote biometric identification system)、“生物识别分类系统”(biometric categorisation system)乃至“情感识别系统”(emotion recognition system)的应用场景。

在远程生物识别系统的应用场景中,还有“实时”(real-time)远程生物识别系统与“非实时”(post)远程生物识别系统,“实时”强调生物数据采集、对比和识别的低迟延性,有消息称,后者或将成为规制框架上的漏洞,或可表明在捕获目标图像后使用面部识别软件是被允许的。

2.基于风险治理路径禁用生物特征识别系统

整体上讲,《草案》基于场景风险的治理路径,将人工智能的应用场景分为“低、有限、高、不可接受”四个风险等级,等级越高的应用场景受到的限制越严格。考虑到对自然人进行远程生物识别的人工智能系统,因在技术上的不准确性,所可能导致有偏见的结果和歧视性影响,《草案》将远程生物识别系统均归入高风险(high-risk)等级。

根据《草案》界定,“远程生物识别系统”是通过将自然人的“生物特征数据”与参考数据库(reference database)的生物特征数据进行比较,从而识别(identify)自然人的系统,并且该人工智能系统的使用者事先不知道该人是否会出现或被识别。对此,《草案》在“禁用人工智能”的四大场景中明确,禁止执法部门在公共场所使用“实时”(real-time)远程生物特征识别系统,除非用于寻找失踪儿童等潜在受害者、防范重大威胁或恐怖袭击、甄别犯罪分子等例外情况,若非紧急情况,还需得到使用该系统的成员国的司法机构或独立行政机构,结合对相关情形的判断,对每次(each individual)使用予以授权。

作为欧盟机构的独立数据保护机构、欧洲数据保护委员会(EDPB)的常设秘书处,欧洲数据保护专员公署(EDPS)表示认可《草案》基于风险管理的路径,随时准备履行其作为欧盟人工智能监管者(AI regulator for the EU public administration)的新角色。同时,表达了对在公共空间停用远程生物识别系统(moratorium on the use of remote biometric identification systems)之吁请未被欧盟采纳的遗憾。

二、美国对生物识别信息的保护思路

美国是世界上最早颁布生物特征隐私保护法律的国家,但目前还没有统一与全面的联邦法律规范生物特征数据的收集和使用。作为世界上首部生物特征信息隐私保护法律,2008年伊利诺斯州立法机构通过了《伊利诺斯生物特征信息隐私法》,得克萨斯州于2009年颁布了《生物特征信息隐私法》,2017年,华盛顿州成为第三个通过生物特征信息隐私法的州。阿拉斯加、康涅狄格和新罕布什尔等其他一些州也提出了颁布生物识别信息法的计划。2020年1月生效的《加利福尼亚州消费者隐私法》规定了生物信息属于一类个人信息,但是没有专门针对生物特征识别信息收集与使用的规定条款。2021年4月,佛罗里达州众议院通过《佛罗里达隐私保护法》,规定了企业在处理和收集个人数据方面的广泛义务,为消费者提供了数据主体权利,并建立了数据保留和儿童隐私的要求。

名称

生物识别信息定义

保护思路

Consumer Data

Privacy and Security Act of 2020

通过特定的技术,就个人的身体、生物、心理、基因、行为方面的特征开展处理后所得到的能够识别个人的信息。

依循个人敏感信息的保护规则:收集或处理个人敏感信息需要明示同意;完成处理目的后,企业应对个人敏感信息做删除或去标识化处理,并应要求其使用的服务提供者也对个人敏感信息做删除或去标识化处理;如果隐私政策发生实质变化,在个人重新给与明示同意前,不应处理个人敏感信息。

DATA Privacy Act

没有对生物识别信息进行定义,但是将“与个人的健康、生理、心理、生物识别、性方面、基因信息相关的信息”圈入了个人敏感信息范围之内。

依循个人敏感信息的保护规则:收集和披露个人敏感信息前,需要个人的自主选择同意

Privacy Bill of

Rights Act

没有对生物识别信息进行定义,但对生物识别信息提出了安全保护要求。

联邦贸易委员会在制定规则时,应当禁止受管辖的实体将个人信息用于不合理的目的,具体包括:售卖、租借、交易,或者通过其他方式从个人的生物识别信息获利;在没有获得个人的明确同意时,共享、再次共享或者散发个人的生物识别信息,除非:(1)该散发是基于联邦、州或城市法令所要求,或(2)有法院颁发的搜查令或传票所要求;在雇佣、金融、医保、信用、保险、住房、教育领域,处理个人信息使得特定个人因其生物识别信息导致歧视性待遇。

Consumer Online Privacy Rights Act

通过测量或特定的技术,就个人身体、生物、心理、基因、行为方面的特征(包括指纹、声纹、虹膜或视网膜扫描、面部扫描或模板、DNA信息、步态)开展处理所得到的的信息。当书写样本、签名、照片、录音、人口统计数据或身体特征,例如身高、体重、发色或眼睛颜色等数据不用于识别个人唯一的生物、身体、心理特征时,不纳入生物识别信息的范围之内。

在住房、雇佣、信用、教育领域,不得处理或对外传输个人生物信息,使得特定个人遭受歧视性待遇或无法获得相应的机会;在公共住房领域,不得处理或对外传输个人生物信息,导致将个人或特定个人集合被非法区隔、歧视,或或无法获得相应的机会;如果在住房、雇佣、信用、教育、公共住房领域,通过算法决策开展广告推送、资格决定等,需要每年开展“算法影响评估”,以评估算法是否基于生物识别信息产生了歧视性的结果;其他限于特定法定目的可在没有个人的明示同意的情况下,并确保数据处理或对外传输是合理必要的、成比例的。

Data Protection

Act of 2020

“敏感的个人信息使用”包括了对生物识别信息的处理。而“敏感的个人信息使用”又在本法案中构成了“高风险的数据实践”。出于识别个人的目的而处理生物识别信息,本身也构成“高风险的数据实践”。

依循高风险数据实践的规制思路:该法建立的新的隐私保护机构,就高风险的数据实践,具有如下职责:要求组织就高风险的数据实践,采取事前的影响评估和事后的结果审计;检查高风险的数据实践带来的社会、伦理、经济和公民权利方面的影响,并负责提出救济措施;就高风险的数据实践开展进一步的规则制定;审查和批准新的高风险技术和应用,其中应对“敏感的个人信息使用”给与特别的关注和考量;对于“非常大型的组织”,新建立的隐私保护机构有权要求其就高风险的数据实践,采取事前的影响评估和事后的结果审计。

1 美国联邦隐私保护立法中关于“生物识别信息”的界定及保护思路

纵观以上法案,可以发现在美国对生物特征信息的立法实践中,将生物特征信息的关键内涵界定为“就个人的身体、生物、心理、基因、行为方面的特征开展处理后所得到的能够识别个人的信息”,这部分信息被普遍认为是个人敏感信息,位于较高的保护位阶,其流转也被严格控制,但因美国“大隐私”的保护范式和避免种族歧视的政治考量,生物特征信息的规制场景主要被保守得侧重在商用场景中,生物特征识别信息的公共应用则勉强由公民隐私权的保护作为答解方案。

但这并不意味着美国对将人工智能应用在生物特征识别的行动,尤其是非商用场景下的布局限于停滞,2021年3月1日,美国人工智能国家安全委员会(NSCAI)发布最终报告,就美国如何赢得人工智能时代提出战略性建议。2021年3月8日,美国国会研究服务处发布《生物识别与全球安全》,表明了对生物识别技术在国防与军队建设中的应用重视。据称,美国防部正在探索弱光或遮挡条件下以及200米内激光识别身份的生物识别技术,其可用于秘密行动,在目标不知情或不同意的情况下完成身份识别。再如2021财年《国防授权法案》第5104条规定,国家人工智能咨询委员会负责向总统提供咨询,内容是“政府使用面部识别技术是否考虑到道德因素,以及这种使用是否应受到额外监督、控制和限制”。

三、我国布局生物识别信息的保护体系

2020年6月15日,杭州市富阳区人民法院公开审理郭兵诉杭州市野生动物园服务合同纠纷案。2021年4月9日,杭州中院二审判决人脸识别店堂告示对郭兵不发生效力,野生动物世界应当删除郭兵的面部特征信息和指纹识别信息,二审法院在判决中强调了生物识别信息作为敏感个人信息应当引起重视和受到保护。早在2017年,城市公共交通路口设置人脸识别查处违反交通规则人员的做法就引发了关于公共秩序和个人隐私权如何进行价值平衡的讨论。2020年底,天津市人民代表大会表决通过了《天津市社会信用条例》,其第16条禁止社会信用信息提供单位采集生物识别等信息。

《中华人民共和国网络安全法》将生物识别信息列入个人信息目录,规制互联网企业处理生物识别信息的行为以保护网络空间的安全性,《民法典》人格权编确立了我国民事法律制度对个人信息权益的保护,肯定“生物识别信息”受保护的法律地位。《中华人民共和国生物安全法》首次将生物安全提升到整体国家安全的高度,属于生物安全组成部分的“生物识别信息”安全,已经上升到国家安全、公共安全、公共卫生安全的重大层面。

已经提请审议的《个人信息保护法(草案)》和2021年4月23日发布的《信息安全技术人脸识别数据安全要求》国家标准(征求意见稿)并进而相承,要求收集人脸识别数据时应征得数据主体明示同意、机构场所应同时提供非人脸识别的身份识别方式等。此外,国标还规定人脸识别数据不应用于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等,剑指无感抓拍人脸背后的精准营销。2021年4月26日发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》亦将个人生物特征归入敏感个人信息,规定对其处理活动应当对用户进行单独告知并取得同意。

生物识别信息,因其极强的个人识别性而让我们对其产生了隐私期待,产生了对其成为处理客体之安全性的风险担忧。随着万物互联时代的全面到来,信息采集设备对生活环境的全景嵌入,无接触的远程生物识别系统正吸引着愈发多的关注与警惕。生物识别信息不仅涉及个人的隐私利益、信息利益,也关涉国家整体安全,承载着公共利益,甚至挑战着人作为主体能否被客体化分析的伦理价值。

经过对《草案》对生物识别系统的治理观察,并以美国相关立法实践的统观为观照,不难发现,以保护隐私权为基准的传统个人信息保护理论和私权治理范式,并不能充分答解生物识别信息处理及其保护的现实利益冲突与理论困境。结合欧盟《草案》与美国立法实践,得到如下启示。

一、审慎平衡效率与信息隐私保护的关系。《草案》的一大亮点,即是在原则上将远程生物识别系统归入高风险等级,配置以强监管要求。尽管该禁用项存在可用于寻找失踪儿童等潜在受害者、防范重大威胁或恐怖袭击、甄别犯罪分子等例外情形,但其事实上指明了该项技术应用在公共空间中的伦理导向,以及多重利益冲突时的价值取向,体现了在生物信息采集、人工智能识别等技术高速发展的进程中,对公民隐私权益乃至生物识别信息所承载的公共价值的认可、正视与保护。

二、调整对生物识别信息的私法保护范式。生物识别信息是具有高敏感度的个人信息,其根源于个人的指向性曾经由私法的保护范式予以调整,即通过强化处理者义务的方式实现信息源发者的权利,或是设置“知情同意”机制来传导信息利益的自决,但是随着数字巨头乃至“信息利维坦”的形成,持续性的不对称信息关系正在削弱着私法保护范式的效用,亟需公权介入治理,探索形成数字时代对生物识别信息保护的公法保障。这在我国已有初步实践,比如已提请审议的《个人信息保护法(草案)》即从公私法混合的角度对个人信息进行全方位保护。

三、探索兼顾技术创新与秩序维护的善治新路。时至今日,“技术中立”“把技术带来的问题交由技术解决”等论调已然式微,需要法律法规、国家标准等规范制定上的勤勉努力,避免形成人为的规范漏洞。比如,《草案》进行了对“情感识别系统”等新兴场景的规范尝试,引入了“监管沙盒”的创新促进机制,这些既是法律规范对人工智能技术及其应用发展的及时跟进,也开拓着对治理机制创新的实践探索。

总体来看,欧盟与美国的利益平衡思路均有局限,前者通过平衡个人与企业的利益关系,着力打造欧洲的单一数据市场,不可避免会形成对人格和尊严以及自由权利的让渡,后者通过平衡个人与国家的利益关系,满足个人不被政府侵入私域的需求,但难以为个人对抗强势企业提供有力的权利工具。这启示我们,不仅要细化“匿名化”处理后信息的风险管理体系,为信息流通利用供给必要“原料”,平衡企业经济利益与个人的关系;也要平衡国家管理秩序与个人的关系,就国家机关处理个人信息提供规范依据;同时还要平衡国家与企业的关系,比如明确企业跨境提供个人信息的前置条件,避免资本逻辑侵害公益。

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。