人臉識別60年：歐盟通用數(shù)據(jù)保護條例真的算“史上最嚴”嗎

2018年5月，歐盟《通用數(shù)據(jù)保護條例》（GDPR）正式生效。此后，法國對Google開出了高達5千萬歐元的罰單，認為其服務(wù)條款不夠透明，違背了取得用戶“有效同意”的原則。瑞典數(shù)據(jù)監(jiān)管機構(gòu)也依據(jù)該條例對一所高中開出罰單，認為使用人臉識別記錄出勤違背了“必要性原則”。

據(jù)統(tǒng)計，截至2020年1月，歐盟各國數(shù)據(jù)監(jiān)管機構(gòu)接到的違規(guī)舉報超過16萬件，而各國開出的罰單總金額達1.14億歐元。

GDPR被譽為“史上最嚴格數(shù)據(jù)保護法”，也影響了其后多國的數(shù)據(jù)立法，包括中國剛剛出臺的《個人信息保護法（草案）》。但面對更為敏感的生物識別數(shù)據(jù)，比如人臉數(shù)據(jù)，GDPR仍存在局限性。比如，它未能覆蓋“數(shù)據(jù)生命全周期”，原始數(shù)據(jù)采集過程中的風(fēng)險性就被大大低估了。

本文節(jié)選自紐約大學(xué)AI Now研究中心報告“Regulating Biometrics：Global Approaches and Urgent Questions”（生物識別技術(shù)監(jiān)管：全球舉措及關(guān)鍵問題）的第四章。為便于理解，我們對原文進行了必要的補充和修改。

2004年，歐盟頒布了一項法律，要求各成員國在公民的護照和旅行文件中存儲面部圖像和指紋信息。大約同時，歐盟建立了一個大型數(shù)據(jù)庫，涵蓋申根地區(qū)所有尋求庇護者和申請簽證者的生物識別數(shù)據(jù)。

不久，生物識別的應(yīng)用在公共部門和私人企業(yè)得到了進一步擴張，用于控制人流、公司的電子門禁，以及校園監(jiān)控。技術(shù)的優(yōu)越性得到了歐洲委員會的承認，但后者提醒，生物識別數(shù)據(jù)應(yīng)被視為“敏感”信息，它包含個人的健康狀況、種族等敏感信息，能識別人的身份，能輕易與其他信息扣連，且不可更改。

面對上述風(fēng)險，法律層面的監(jiān)管一度“缺位”，無論是一般意義上的數(shù)據(jù)保護法，還是大多數(shù)國家的立法，都未有專門針對生物識別數(shù)據(jù)使用和處理的具體規(guī)定。技術(shù)開發(fā)和應(yīng)用的同時，法律相對滯后。

為彌補其間差距，一些國家的數(shù)據(jù)保護監(jiān)管機構(gòu)開始制定生物識別數(shù)據(jù)的使用框架。比如，強調(diào)數(shù)據(jù)的敏感性、數(shù)據(jù)庫維護的風(fēng)險性，以及 “功能潛變”（編者注：function creep，即出于某一特定目的采集的數(shù)據(jù)被用于其他目的）的可能性，還包括使用目的和手段之間是否相稱（編者注：proportionality，相稱性原則，即需考察為達成某一目的，是否有必要采用生物識別技術(shù)）。然而，這些法案在實際操作時留下了諸多不確定空間。

2016年，歐盟推出了《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，下文簡稱GDPR)，適用于各成員國，涵蓋了生物識別數(shù)據(jù)在公共和私人領(lǐng)域的應(yīng)用。此外，歐盟還通過了《數(shù)據(jù)保護執(zhí)法指令》（Data Protection Law Enforcement Directive，下文簡稱DP LED），專門針對執(zhí)法部門，當(dāng)執(zhí)法者需為預(yù)防、監(jiān)控、調(diào)查或起訴犯罪行為使用個人數(shù)據(jù)時，需遵守該指令。

DLA Piper律師事務(wù)所統(tǒng)計了2018年5月至2020年1月期間，各國數(shù)據(jù)監(jiān)管機構(gòu)依據(jù)GDPR所做出的判罰，其中，荷蘭、德國、英國位列數(shù)據(jù)泄露案件數(shù)的前三位。圖片來源：DLA Piper統(tǒng)計報告。

歐盟如何監(jiān)管生物識別數(shù)據(jù)？

GDPR和DP LED首次對生物識別數(shù)據(jù)作出定義:“與自然人的身體、生理或行為特征相關(guān)、經(jīng)特定技術(shù)處理而產(chǎn)生的個人數(shù)據(jù)，這些個人數(shù)據(jù)可用于確認該自然人的獨特身份，如面部圖像或皮膚（指紋）數(shù)據(jù)�！�

值得注意的是，對“特定技術(shù)處理”（specific technical processing）的強調(diào)排除了那些存儲和保留在數(shù)據(jù)庫中的“原始”數(shù)據(jù)，如視頻監(jiān)控拍到的人臉或錄音，以及用戶發(fā)布在網(wǎng)站、社交媒體上的原始信息。

此外，GDPR提及，“照片處理不應(yīng)被系統(tǒng)地視為處理特殊類別的個人數(shù)據(jù)……”私人的視頻片段也不被視作生物識別數(shù)據(jù)，除非它經(jīng)過特殊技術(shù)處理，可以識別出個人。

雖然GDPR規(guī)定，禁止“以唯一識別為目的進行生物特征數(shù)據(jù)處理”，但這項禁令仍存在許多例外。比如數(shù)據(jù)“明顯公開”，或“出于重大公共利益的目的”。這些“例外情況”大量存在，模糊不清，實際上，GDPR允許了很多場景下生物識別數(shù)據(jù)的處理和技術(shù)應(yīng)用。作為一個基礎(chǔ)性框架，GDPR也提及，各個成員國可以引入進一步的法規(guī)或禁令。

而DP LED則對執(zhí)法機關(guān)使用生物識別數(shù)據(jù)提出了限制，只有在以下三種情況下執(zhí)法機關(guān)可以使用生物識別數(shù)據(jù)：獲得了法律授權(quán)、保護關(guān)鍵利益，或處理已被數(shù)據(jù)主體公開的數(shù)據(jù)。

當(dāng)新技術(shù)的應(yīng)用“可能導(dǎo)致高風(fēng)險”時，或大規(guī)模處理特定類型的個人數(shù)據(jù)時， GDPR和DP LED要求啟動“數(shù)據(jù)保護影響評估”（Data Protection Impact Assessments， DPIA）。此外，當(dāng)公共部門系統(tǒng)性監(jiān)控某個可公開進入的區(qū)域時，同樣需要啟用這種評估。

“數(shù)據(jù)保護影響評估”是一個綜合性評估，包括數(shù)據(jù)處理的風(fēng)險性、必要性，以及目的與手段是否相符。某些情況下，當(dāng)私人機構(gòu)或公共部門想要使用生物識別技術(shù)時，他們需要事先向當(dāng)?shù)鼗虮緡�的�?shù)據(jù)監(jiān)管部門咨詢，獲得許可。

英國信息委員會辦公室（Information Commission Office）列出的“數(shù)據(jù)保護影響評估”的基本步驟，其中包括向有關(guān)部門咨詢、評估必要性、評估手段與目的是否相符、風(fēng)險評估、考慮降低風(fēng)險的手段等。ICO表示，該評估應(yīng)先于技術(shù)的應(yīng)用。圖片來源：ICO官網(wǎng)

此外，生物識別數(shù)據(jù)的處理和技術(shù)應(yīng)用需尊重公民的基本人權(quán)和自由，當(dāng)隱私權(quán)或個人數(shù)據(jù)保護權(quán)受到侵害時，與人權(quán)相關(guān)的法律框架也會被啟用。

以下各節(jié)概述從這些監(jiān)管嘗試中獲得的主要經(jīng)驗教訓(xùn)，討論了它們的有效性，并重點介紹了未來監(jiān)管應(yīng)吸取的經(jīng)驗。

模糊的定義：原始數(shù)據(jù)在采集階段的風(fēng)險性被大大低估

GDPR和DP LED中，生物識別數(shù)據(jù)被定義為“經(jīng)過特定技術(shù)處理”的數(shù)據(jù)，（編者注：由于過多強調(diào)數(shù)據(jù)的處理環(huán)節(jié)）。在采集和存儲環(huán)節(jié)，除了獲得用戶同意、滿足必要性等原則之外，相較于其他一般意義上的個人數(shù)據(jù)，生物識別數(shù)據(jù)并不享有更高級別的保護。

正因如此，生物識別數(shù)據(jù)在采集環(huán)節(jié)的風(fēng)險性被大大低估了。一些理應(yīng)受到保護的敏感數(shù)據(jù)由于尚未被處理編者注：即尚不符合GDPR對生物識別數(shù)據(jù)的定義），而無法被保護。這一點尤為關(guān)鍵，特別在執(zhí)法部門使用時，透明度受限，數(shù)據(jù)可能在不通知有關(guān)個人或公眾的情況下使用。這是GDPR和DP LED法律文本中的漏洞，公司和政府可以收集大型圖像數(shù)據(jù)庫，這些數(shù)據(jù)以后可能用于執(zhí)法目的。

　　2020年，Clearview AI公司引發(fā)了巨大爭議，通過一張人臉信息就可以識別出其身份和電子足跡，這也讓更多人意識到現(xiàn)有法律框架的局限。圖片來源：Clearview AI官網(wǎng)。

這也與歐洲人權(quán)法院的判例法相違背，后者一再強調(diào)，從數(shù)據(jù)庫中捕獲、收集和儲存人類特征信息的做法妨礙了個人私生活被尊重的權(quán)利。此前，英國人Gaughran就將英國政府告上歐洲人權(quán)法庭，（編者注：2008年Gaughran因酒駕被捕，在警局留下了照片、指紋和DNA信息。其DNA樣本在2015年被銷毀，但其DNA資料、指紋信息和照片仍被無限期保留在警方記錄中。Gaughran將英國告上法庭，要求警方銷毀個人數(shù)據(jù)或退還給自己。）歐洲人權(quán)法院將人臉識別和面部特征比對等技術(shù)考慮在內(nèi)，最終判決“保留申請人的DNA檔案、指紋和照片等構(gòu)成了對他私生活的干擾�！�

更恰當(dāng)?shù)亩�義應(yīng)能為人類特征數(shù)據(jù)提供法律保護，這些數(shù)據(jù)可用于身份識別目的，或可供自動化識別過程，

法規(guī)還應(yīng)對數(shù)據(jù)的存儲提出限制

。我們嘗試提出另一種生物識別數(shù)據(jù)的定義：所有滿足以下條件的個人數(shù)據(jù)：(a)直接或間接與人類獨特的生物或行為特征有關(guān)的數(shù)據(jù)；(b)可使用或可通過自動化手段使用的數(shù)據(jù)；(c)可用于身份識別、身份驗證或驗證自然人主張的數(shù)據(jù)�！�

生物識別“禁令”的模糊性

現(xiàn)有的法律未能對不同的生物識別系統(tǒng)進行區(qū)分，也未能對不同的數(shù)據(jù)處理方式設(shè)置針對性規(guī)范。例如，雖然GDPR的第9.1條列出了一些禁止使用和處理的規(guī)定，但它并沒有區(qū)分“一對一” 的“驗證”（編者注：1：1，比如通過電子門禁時，確認進入者身份）和“一對多”的“識別”。

目前，歐洲委員會和許多國家的數(shù)據(jù)監(jiān)管部門表示，驗證比識別的風(fēng)險性小，因為驗證不需要數(shù)據(jù)庫。

一對多的身份識別存在額外的風(fēng)險，包括在數(shù)據(jù)庫中大規(guī)模收集和存儲生物識別信息、基于概率的匹配（這引起了人們對準(zhǔn)確性和誤報的擔(dān)憂），以及對隱私監(jiān)視的擔(dān)憂。但GDPR和DP LED并未區(qū)分這兩種功能，這也造成了技術(shù)開發(fā)者的顧慮，對于希望投資生物識別驗證技術(shù)和隱私增強方法的公司來說，這些操作存在法律上的不確定性。

恰當(dāng)?shù)谋O(jiān)管應(yīng)該更積極地區(qū)分不同處理方式的風(fēng)險性差異，禁止那些構(gòu)成真正風(fēng)險的技術(shù)，鼓勵那些有可能提供真正隱私和安全保護的功能。

什么是“例外情況”？

最后，法律中含糊的“例外情況”也存在漏洞，為一些高風(fēng)險的技術(shù)使用方式打開了大門。

GDPR對“例外”的定義極為寬泛，允許基于“重大公共利益”進行生物識別數(shù)據(jù)處理（編者注：由于未對“重大公共利益”進行具體界定，它會成為一個寬泛的“筐”）。

由于對“例外”情況的界定籠統(tǒng)寬泛，目前尚不清楚其是否可作為授權(quán)公共部門或私人機構(gòu)部署人臉識別技術(shù)的法律依據(jù)（例如，在大型體育場活動中）。GDPR和DP LED無法回答這些問題的，還需要制定更針對性的法律。

制圖：白浪