Cismag:美国对人脸识别技术的法律规制及启示
时间:2021-12-09 点击:
次 来源:信息安全与通信保密杂志社 作者:Cismag - 小 + 大
1 美国联邦层面立法 2 美国州或地方政府层面立法 3 对我国立法规制人脸识别技术的启示 4 结 语人脸识别是根据人的脸部特征自动识别或验证个人身份的一种生物识别技术。出于对人脸识别技术可能侵犯隐私、自由等基本权利的担忧,及因技术不成熟可能导致的歧视风险, 美国对人脸识别技术应用采取了谨慎态度。目前,美国还没有专门的联邦层面立法,一些州如华盛顿州、加利福尼亚州出台法律对人脸识别技术应用进行规范。这些立法提出了严格限制人脸识别数据的收集和使用、对基于人脸识别作出的重大决定进行人工审查、测试人脸识别技术的准确性等措施,对我国规范人脸识别技术应用是很好的借鉴。
美国联邦层面尚没有制定专门的法律规制人脸识别技术使用。2019—2020 年美国参众两院提出了多项人脸识别法案,最典型的有三项, 分别是《道德使用人脸识别法案》(2020 年)、《商业人脸识别隐私法案》(2019 年)、《人脸识别技术授权法案》(2019 年)。
《道德使用人脸识别法案》[1](Ethical Use of Facial 5 Recognition Act,S. 3284) 由参议员Jeff Merkley 于 2020 年 2 月 12 日提出, 已经提交参议院国土安全和政府事务委员会审议。法案要求暂时禁止美国政府机构使用人脸识别技术,直到国会委员会形成政府使用准则和限制条件,以防止人脸识别技术侵犯公民隐私权、自由权等基本权利。具体内容包括:一是禁止政府机构使用人脸识别技术。在国会委员会发布人脸识别技术使用指南之前, 美国政府机构不得安装任何与人脸识别技术相连接的摄像机,不得在未经授权的情况下获取或使用通过人脸识别技术获得的个人信息,不得在没有逮捕令的情况下使用人脸识别技术来识别特定个人。除非法律另有规定,美国联邦和地方政府机构不得使用美国联邦基金投资人脸识别软件、购买人脸识别技术服务或者获取图像以用于人脸识别系统。二是提供人脸识别技术侵害权利的司法救济。任何人如果认为美国政府机构违反规定使用人脸识别技术使自己遭受侵害的,均可向相应的美国地方法院提起民事诉讼,以获取禁止令或者宣告性救济。三是成立国会委员会负责制定人脸识别技术使用规则。委员会由 13 人组成,负责制定规则,管理和限定人脸识别技术的使用。该规则应涉及以下方面内容 :(1)在未经许可的情况下,人脸识别技术是否可以在私人或公共场所适当使用;(2)商业化使用人脸识别技术的情形和限制是什么,个人对于其数据所享有的权利是什么;(3)在何种情形下,政府官员可以未经许可使用人脸识别技术;(4)考虑个人对于保护隐私或匿名的合理期望,应采用何种规则来控制通过人脸识别技术对于人脸图像的获取;(5)在何种情形下,个人能够选择退出或选择使用人脸识别技术;(6)需要采取什么保障措施以防止人脸识别技术的滥用;(7)当人脸识别技术被滥用时有哪些适当的救济措施;(8)个人应享有哪些与人脸识别技术所产生的数据及他们肖像的使用相关的权利。《商业人脸识别隐私法案》(Commercial Facial Recognition Privacy Act of 2019,S. 847)由参议员 Roy Blunt 于 2019 年 3 月 14 日提出,已经提交给参议院贸易、科学和交通委员会。法案主要规范商业使用人脸识别技术,要求在使用前获得个人的同意,在未经同意情况下禁止将人脸识别数据共享给非关联第三方。法案较多借鉴欧盟《通用数据保护条例》提出了人脸识别隐私保护要求,对技术的限制较少,获得了多数科技企业的支持。具体内容包括:一是要求收集人脸识别数据获得明确同意。控制者(指单独或与其他机构联合决定数据处理目的和方式的商业机构)使用人脸识别技术收集人脸识别数据,应当获得个人的明确同意。控制者在获取用户同意时,应当向用户提供处理者(指代表控制者处理人脸识别数据的机构) 如何收集、存储和使用人脸识别数据的说明, 包括:(1)处理者收集和共享人脸识别数据的合理可预见的目的或示例;(2)处理者对数据进行保留和取消数据标识的做法;(3)如果控制者提供查看、纠正或删除人脸识别信息的能力,则处理者应完成这类操作。在人脸识别技术已经使用的情况下,控制者应当最大限度地以适当方式向个人提供该技术已经使用的通知, 便于个人查找控制者使用该技术更多信息,并以个人易于理解的方式,提供人脸识别技术功能和使用限制的相关文档。二是对人脸识别数据的处理提出限制性要求。控制者不得使用人脸识别技术歧视违反联邦或州法律的个人,不得将人脸识别数据用于约定之外的其它目的,不得在未获得个人同意的情况下将人脸识别数据与非关联第三方共享。当人脸识别技术不是提供服务的必要条件时, 控制者不得要求个人以放弃隐私权利作为使用服务的条件,不得在个人拒绝同意时终止或拒绝个人使用服务。如果控制者和处理者基于人脸识别技术做出关于个人的最终决定,且该决定可能会对个人造成合理可预见的实质性伤害, 或对个人而言是意料之外的,或具有冒犯性的, 则控制者和处理者应当在做出最终决定前进行人工审查。三是明确可使用人脸识别技术的例外情形。例外情形包括:(1)使用人脸识别技术进行个人文件管理或照片、视频分类或存储;(2)用于识别新闻媒体的公众人物;(3)识别版权材料中的公众人物以供剧院上映;(4)在可能造成个人死亡或严重人身伤害迫在眉睫的危险等紧急情况下使用;(5)使用人脸识别数据以前确定个人是否已给予同意,在个人未给予同意后立即永久销毁人脸识别数据。四是要求对人脸识别技术的准确性进行独立第三方测试。使用人脸识别技术的实体,应当提供一个应用程序编程接口,使至少一名合法从事独立测试的第三方能够对人脸识别技术的准确性和偏见进行合理测试。《人脸识别技术授权法 案》[5](Facial Recognition Technology Warrant Act of 2019,S. 2878) 由参议员 Christopher A. Coons 于 2019 年11 月 14 日提出,已经提交给参议院司法委员会。法案旨在限制联邦调查局、移民与海关执法局等机构通过人脸识别技术开展持续监视,明确只有在取得法院命令等情况下才能将人脸识别技术用于持续监视。具体内容包括:一是规定了将人脸识别技术用于持续监视的条件。持续监视是指利用人脸识别技术在公共场所跟踪被识别个人的身体运动超过 72 小时, 无论是实时的还是使用该技术进行历史记录。政府机构及其雇员不得使用人脸识别技术在公共场所对个人或群体进行持续监视,除非:(1) 支持执法机构的活动;(2)取得了法院的命令, 确因紧急情况无法获得法院命令的,应在使用人脸识别技术进行持续监视 48 小时后申请法院命令。授权监视时间不能超过 30 天,必要时可延期,最多不得超过 30 天。二是对通过持续监视获取的证据的使用进行限制。任何持续监视的受害者,在审判、听证、诉讼过程中,可以基于下述理由对利用人脸识别技术直接获取的信息,或由此直接获得证据, 提出不得在诉讼中使用的申请:(1)信息是非法获得的;(2)授权获取信息的法院发出命令的理由不充分;(3)与法院命令授权使用的目的不相符。申请应当在审判、听证或诉讼前提出, 除非没有机会提出申请或个人未意识到申请的理由。如果申请被批准,则使用人脸识别技术获取的信息或由此直接获得的证据,将被认为是违反本节规定而获得的。三是要求对人脸识别进行人工审查和测试。政府机构要对使用人脸识别技术得出的结论进行人工审查,并与美国技术和标准研究院(NIST) 协商建立人脸识别系统测试程序,定期对系统性能进行独立测试,测试跨亚群使用的人脸识别系统的错误率,审查人脸识别系统相关测试, 并采取行动提高系统的准确率。在联邦立法缺位的情况下,美国地方政府已经开始对人脸识别技术使用进行规范。旧金山市、奥克兰市、萨默维尔市等城市立法禁止政府机构在公共场所使用人脸识别技术。伊利诺伊州、华盛顿州、加利福尼亚州、德克萨斯州等州通过法律,规范人脸等生物识别信息的收集和使用 [6]。一些州如华盛顿州和加利福尼亚州还引入了专门的人脸识别立法。
2020 年 3 月 12 日,华盛顿州参众两院通过了第 6280 号关于人脸识别的法案 ,3月 31日 华盛顿州州长签署通过,2021 年 7 月 1 日起正式生效。该法旨在规范州和地方政府使用人脸识别服务,防止以危害民主自由、威胁公民自由的方式使用人脸识别服务。该法没有禁止政府机构使用人脸识别服务,但建立了问责、人工审查、测试等机制来规范人脸识别服务使用, 并对政府机构使用提出了诸多限制性要求。具体内容 包括:一是建立使用人脸识别服务的问责机制。州或地方政府使用人脸识别技术,应当向立法机关提交意向通知,说明使用该技术的目的, 并编制问责报告,报告应说明:(1)人脸识别服务提供商和版本名称;(2)该服务的功能及限制;(3)该服务如何生成、收集和处理数据;(4)使用人脸识别服务的目的,人脸识别服务是最终决定系统还是辅助决定系统,人脸识别服务的预期收益;(5)使用和数据管理政策, 包括为减少额外数据采集所采取的措施、如何保存收集的数据、数据安全措施、对使用人员的培训、人脸识别技术的错误率及潜在影响、人脸识别服务对公民权利或自由的潜在影响等。问责报告定稿前,应当经公众评议。二是建立人脸识别服务的人工审查和测试机制。使用人脸识别服务的州或地方政府机构做出对个人产生法律效力或具有类似重大影响的决定,必须确保该等决定遵守有意义的人工审查要求。该等决定包括:导致提供或拒绝提供金融和贷款服务、住房、保险、教育入学、刑事司法、就业机会、医疗服务或获得基本生活必需品(如食物和水)、或影响个人公民权利的决定。有意义的人工审查是指由政府机构中经过培训的一人或多人进行的审查或监管。部署人脸识别服务的州或地方政府机构必须要求人脸识别服务提供商提供其人脸识别服务的应用程序编程接口或其他技术能力,并对人脸识别服务进行合法、独立、合理的测试,以确定不同亚群之间的准确性和不公平的性能差异。三是对州或地方政府使用人脸识别服务提出限制性要求。州或地方政府不得使用人脸识别服务进行持续监视、开展实时或近乎实时的识别、启动持续跟踪,除非:获得逮捕证、存在紧急情况、获得法院命令。州或地方政府不得基于以下事由对个人使用人脸识别服务:个人的宗教、政治或社会观点或活动;参与某一非犯罪组织或合法活动;个人的种族、公民身份、出生地、年龄、残疾、性别、性别认同、性取向或其他受法律保护的特征。对个人使用人脸识别服务,绝不允许创建个人画像。州或地方政府不得使用人脸识别服务生成记录,不得将人脸识别服务的结果作为确定刑事调查盖然性调查的唯一依据。四是设立人脸识别工作组。工作组的职责包括:(1)就使用人脸识别服务对公民权利和自由、隐私和安全,对弱势群体的歧视所造成的潜在滥用、威胁及其他潜在伤害提出建议;(2)研究人脸识别服务的质量、准确性和有效性, 包括但不限于针对不同亚群体的质量、准确性和有效性;(3)就法律的充分性和有效性提出建议。2020 年 2 月 14 日,加利福尼亚州众议院通过了第 2261 号关于人脸识别技术的法案。该法在加州民法典隐私保护部分增加人脸识别章节,内容上主要涉及人脸识别信息的收集和处理、政府机构使用人脸识别服务的限制性要求。该法诸多内容与华盛顿州《人脸识别服务法》一致,体现了相同的立法思路。具体内容 包括:一是收集人脸识别信息应当征得个人同意。在公共场所部署人脸识别服务的自然人或法人(不包括政府机构),应以显著且符合特定使用场景的方式,向个人发出通知,告知关于部署目的、个人如何获得人脸识别服务、个人的权利义务等。在收集个人图像或面部模板前, 应当取得个人的同意,除非基于安保或安全目的:(1)根据某一特定事件,合理怀疑个人从事了犯罪活动;(2)仅为安保或安全目的而识别、核实或持续追踪个人,且存储人脸识别信息的数据库与其他数据库分离;(3)每年至少两次对人脸识别数据库中人脸信息进行审查, 当对个人从事犯罪活动的合理怀疑已不存在或者面部模板已保存3 年以上时,应删除面部模板;(4)建立程序,允许个人对纳入数据库的人脸识别信息进行纠正或挑战。二是建立人脸识别服务的人工审查和测试机制。提供人脸识别服务的自然人或法人,应提供应用程序,使第三方能够对人脸识别服务进行合法、独立、合理的测试,以确定技术的准确性及在不同亚群之间表现出的不公平的性能差异,如果测试结果发现存在不公平的性能差异,应制定并实施缓解计划。使用人脸识别服务做出对个人产生法律影响或类似重大影响的决定时,应确保这些决定接受了实质性的人工审查。三是建立政府机构使用人脸识别服务的问责机制。政府机构使用或拟使用人脸识别服务, 应编制问责报告,说明如下信息:(1)人脸识别服务提供商和版本名称;(2)该服务的功能及限制;(3)该服务输入、输出的数据类型,如何处理这些数据;(4)使用该服务的目的;(5)使用和数据管理政策;(6) 对该服务进行测试的程序;(7)该服务对公民权利和自由的影响;(8)机构接收反馈信息的程序。问责报告在人脸识别服务投入使用90 日前应向公众通报,并发布在官方网站上。机构应编写年度报告,披露使用人脸识别服务的程度、对遵守问责报告的评估情况、已知的违反问责报告的行为等。四是限制政府机构对人脸识别服务的使用。机构不得使用人脸识别服务持续监视,除非已获得搜查令,或者为防止或应对迫在眉睫的危险、可能造成人员死亡、严重身体伤害的紧急情况。机构不得基于以下事由对个人使用人脸识别服务:个人的宗教、政治或社会观点或活动;参与某一非犯罪组织或合法活动;个人的种族、公民身份、出生地、年龄、残疾、性别、性别认同、性取向或其他受法律保护的特征。机构不得使用人脸识别服务生成记录,除非获得法律授权, 或者合理怀疑该人已实施、正在实施或即将实施严重刑事犯罪。美国联邦立法及州立法主要从人脸识别数据收集和使用、商业使用人脸识别的情形和限制、防止人脸识别技术被政府滥用等方面,对人脸识别技术予以规范。美国立法中提出的人脸识别技术测试、人工审查、严格限定持续监视情形等都对我国是很好的借鉴。人脸等生物信息是敏感个人信息,其收集、使用、存储、传输在满足《民法典》《网络安全法》等法律规定的同时,应该有更严格的要求。例如,面部模板等信息收集应当取得个人的明确同意,保障个人对敏感个人信息的撤回同意、获取信息、信息修改等权利,禁止在未经同意情况下将敏感个人信息与非关联第三方共享等。建议在《个人信息保护法》制定过程中区分一般个人信息和敏感个人信息,对敏感个人信息的收集和处理的要求予以进一步明确。通过立法建立人脸识别技术应用监管框架, 主要涵盖三个方面:一是评估特定应用场景下使用人脸识别技术的必要性,并结合技术实现方式、数据收集和处理等方面,评估技术对隐私、自由等基本权利的影响。二是就技术准确性开展测试和评估,在部署人脸识别技术前,对人脸识别的错误率、图像质量等开展第三方独立测试,目前 NIST 已经启动了人脸识别供应商测试计划 ,协助政府机构和商业组织确定并以最好的方式部署人脸识别技术。三是在基于人脸识别做出对个人有重大影响的决定时,要求作出决定的一方对人脸识别服务给出的建议进行有意义的人工审查。为避免政府机构对人脸识别技术的滥用, 应通过立法,明确划定政府机构使用人脸识别服务的界限,哪些情形下可以使用、哪些情形下不可以使用。对政府可否使用的判定应以使用目的为主进行判定,且可使用的情形应当在法律中以列举方式明确列出,不得超出该范围使用。同时,对禁止政府机构使用人脸识别技术的情形也要在法律中明确列出。目前全球对人脸识别技术应用是否合法尚在争议中,许多问题还没有形成一致意见。例如, 商业化使用人脸识别技术的情形和限制是什么, 个人对于其数据所享有的权利是什么,在何种情形下政府官员可以未经许可使用人脸识别技术,需要采取什么保障措施以防止人脸识别技术的滥用等。对这些问题需要不断加强研究, 随着技术的成熟和应用不断得到解答。美国对人脸识别技术应用采取了谨慎态度。目前联邦层面和州层面立法主要规制三个方面:人脸识别数据收集和使用、商业使用人脸识别的情形和限制、防止人脸识别技术被政府滥用。借鉴美国在相关制度方面的探索,我国应严格敏感个人信息的收集和处理,建立人脸识别技术应用监管框架,并明确划定政府机构使用人脸识别的界限。
|