简言之,基于对隐私权及宪法中更加根本的 “独处权” (right to be let alone)的尊重,美国各州对人脸数据采集和识别技术采取谨慎态度——尤其是当这种技术作为政府执法工具和监控工具的时候。对私人企业而言,各州大多不一概禁止人脸识别,只是强调了被采集者的知情同意权,或者赋予他们无需举证的诉权。近期的加利福尼亚州立法禁止政府执法机构使用人脸识别技术,但在私人应用领域,则一定程度上对技术的发展采取了鼓励态度。面部识别技术(Facial Recognization)是采用计算机程序分析人脸图像,并将其与其他人脸图像进行比较,以识别或验证图像中个人的身份。该技术可用于多种用途,例如在智能手机系统中识别手机用户,以解锁手机。再如简化酒店、租车行的登记手续。
不同场景下的面部识别技术,对网络和数据安全的要求是不同。比如,要达到解锁手机的目的,手机操作系统仅需要将摄像头所采集的数据储存在手机本地,每次收到解锁请求时,用这个人脸模版(template)去对比摄像头所抓取的人脸即可,而不需要将模版传送到系统提供商的网络服务器上。当使用场景变为入闸控制的时候(例如一间公司使用人脸识别技术控制办公楼的进入权限,或者一个银行使用面部识别远程确认手机银行的操作者身份),被采集的人脸数据就不能只保留在数据主体自己的设备上,而需要传送到服务器。在这种时候,服务器的保安程度,以及服务器控制者是否会将这些数据用于其它场景,就都会成为数据安全和隐私法上的问题。
一般而言,数据安全遵循“ 最小够用” 的原则。人脸识别系统(以及其它生物信息识别系统,例如指纹等)应当只被限制于必须使用的环境。例如,一间影剧院就没有必要使用人脸识别技术来代替检票系统,因为这会导致大规模、不特定人群的人脸数据收集,对影剧院所要达到的目的(防止逃票)而言,这种程度的数据采集,就明显超过了必要。站在影院运营者的角度,投资这种数据采集系统以及相应的数据安保系统(以避免数据泄露而带来的民事、行政责任),也是不经济的做法。同样的,一般的办公大楼,也没有必要在总出入口普遍地采用人脸识别技术来控制人流。因为这种安保方式,并不能防止获得入闸权限的人在办公大楼内部访问其不应访问的保密房间。更好的保安方式,是将部分确实需要更高级别防护的的房间中采取生物识别技术,而只采集和比对特定的有需要进入这些房间的人员数据。如果没有法律限制的话,各国政府的执法机关会是面部识别技术的一个重要用户群体。与其它技术相比,面部识别技术在监控(survilence)和执法(law enforcement)领域,有广阔的用途。它可以方便执法机关完成其监控行动,同时也可能被执法机构用于社会控制和行为规训。 在很多国家和地区,对面部识别技术侵害隐私权的担忧,已促使立法对其进行了规制。 在美国,日常生活中最主要的执法机构——警察——是由城市一级拨款和组建的。【注:美国“州”下面的行政区划是 “县”(也有翻译为 “郡” 的)。县下面一级,是 “城市” (City)】城市一级对面部识别的政策,有时候比州一级的政策还重要。美国的不少经济中心城市(如加利福尼亚州的旧金山、奥克兰,纽约布鲁克林、马萨诸塞州的萨默维尔等)都已经禁止市政机关使用面部识别技术。俄勒冈州波特兰市议会则更进一步,禁止公共和私营部门使用面部识别技术。在州一级,俄勒冈州,新罕布什尔州以及最近的加利福尼亚州三个州已经立法禁止在警察使用的执法摄像仪中使用面部识别技术。对面部识别技术的限制不仅限于公共部门。一些州已将生物识别信息(biometric data, 包括人脸信息、指纹信息等)纳入其现有的数据隐私法中,用于规范私营部门的行为。有的州还制定了专门针对生物识别信息的新法律。伊利诺伊州是全美第一个针对私营企业收集和处理生物识别信息作出法律规范的州。其于2008年通过的《生物识别信息隐私法》(BIPA)针对私人实体如何收集和使用个人生物识别数据,作出限制性的规定。例如BIPA要求企业在收集生物特征数据之前,获得数据主体的知情同意(informed consent),也即在了解了将如何使用这些数据之后,才作出的同意表示。
BIPA还禁止从生物识别数据中获利,禁止向他人披露所收集的生物识别数据,规定了企业的数据保护义务。此外,它还赋予了数据主体起诉数据收集者的权利——这些诉讼中,数据主体不必证明自己遭受了实际损害。在该法律生效后,伊利诺伊州出现了不少相关的集团诉讼案件。
德州的法律要求收集生物特征数据的个人或公司在获取生物特征标识,并获得个人同意之前,先通知个人。也即所谓“知情同意”。不过,德州的法律没有明确要求企业获得和保留“书面同意”的证据。
与伊利诺伊州的法律一样,德克萨斯州的法律禁止销售生物特征信息,并且对此类信息的存储方式作出了规定。
华盛顿州的生物识别隐私法规于2017年生效。类似德州法律,它没有明确规定以书面形式同意收集生物识别数据。此外,华盛顿州也没有像伊利诺伊州一样,专门创建一个(民事侵权诉讼)诉因。
此外,华盛顿州法律对特定的生物识别数据的收集和存储行为“豁免”了“知情同意”的要求。例如,如果收集信息的目的是为了所谓“保安目的”,那么这种收集行为就不需要获得被收集者的同意。所谓“保安目的“,包括防止入店行窃、防止欺诈和盗窃等等。
而且,华盛顿州法律还允许企业在特定情况下转让、出售其所收集的生物识别信息。
最近,加州通过了限制使用生物识别技术的法律(Bill No. 1215)。该法律在全州范围内禁止使用人脸识别作为执法工具。不过,在私人公司利用人脸识别方面,加州的法律适用范围比伊利诺伊州、德克萨斯州和华盛顿州的法律对企业更友好。
加州的面部识别法律只限制符合以下条件的公司(1)在加利福尼亚州经营业务;并且(2)年收入至少2500万美元、或者收集超过50,000个用户的数据,或一半以上的收入来源于对用户数据的使用。
加州法律将包括人脸图像在内的生物特征信息视为个人信息。因此,按照加州已经公布的CCPA,消费者有保护其个人信息的权利。例如,消费者有权获得有关收集和销售其个人信息的政策。默认状态下,在充分通知消费者后,企业可以“销售”消费者的个人信息。注意,这里的“销售”包括各种情况的披露,而不是直接卖个人数据才叫销售。另一方面,消费者可以禁止企业销售其个人数据(即所谓“选择退出” 机制)。
加州的立法草案中,有要求企业在收集面部识别信息的每个设备入口处张贴显眼的物理标识,说明这里有人脸识别设备。但这个条文没有能获得足够的支持而未能生效(不过,对于任何公共场所的摄像设备提出警示标识,则是已有法律中已经规定的)。
董皓律师是富杰律师事务所的合伙人,在知识产权、法律与科技、数据与隐私、公司治理和商业谈判等领域有18年的专业经验。此外,他还负责中国企业出海过程中的法务合规业务。
|