2018年5月，歐盟《通用數(shù)據(jù)保護條例》（GDPR）正式生效。此后，法國對Google開出了高達5千萬歐元的罰單，認為其服務條款不夠透明，違背了取得用戶“有效同意”的原則。瑞典數(shù)據(jù)監(jiān)管機構也依據(jù)該條例對一所高中開出罰單，認為使用人臉識別記錄出勤違背了“必要性原則”。

據(jù)統(tǒng)計，截至2020年1月，歐盟各國數(shù)據(jù)監(jiān)管機構接到的違規(guī)舉報超過16萬件，而各國開出的罰單總金額達1.14億歐元。

GDPR被譽為“史上最嚴格數(shù)據(jù)保護法”，也影響了其后多國的數(shù)據(jù)立法，包括中國剛剛出臺的《個人信息保護法（草案）》。但面對更為敏感的生物識別數(shù)據(jù)，比如人臉數(shù)據(jù)，GDPR仍存在局限性。比如，它未能覆蓋“數(shù)據(jù)生命全周期”，原始數(shù)據(jù)采集過程中的風險性就被大大低估了。

本文節(jié)選自紐約大學AI Now研究中心報告“Regulating Biometrics：Global Approaches and Urgent Questions”（生物識別技術監(jiān)管：全球舉措及關鍵問題）的第四章。為便于理解，我們對原文進行了必要的補充和修改。

2004年，歐盟頒布了一項法律，要求各成員國在公民的護照和旅行文件中存儲面部圖像和指紋信息。大約同時，歐盟建立了一個大型數(shù)據(jù)庫，涵蓋申根地區(qū)所有尋求庇護者和申請簽證者的生物識別數(shù)據(jù)。

不久，生物識別的應用在公共部門和私人企業(yè)得到了進一步擴張，用于控制人流、公司的電子門禁，以及校園監(jiān)控。技術的優(yōu)越性得到了歐洲委員會的承認，但后者提醒，生物識別數(shù)據(jù)應被視為“敏感”信息，它包含個人的健康狀況、種族等敏感信息，能識別人的身份，能輕易與其他信息扣連，且不可更改。

面對上述風險，法律層面的監(jiān)管一度“缺位”，無論是一般意義上的數(shù)據(jù)保護法，還是大多數(shù)國家的立法，都未有專門針對生物識別數(shù)據(jù)使用和處理的具體規(guī)定。技術開發(fā)和應用的同時，法律相對滯后。

為彌補其間差距，一些國家的數(shù)據(jù)保護監(jiān)管機構開始制定生物識別數(shù)據(jù)的使用框架。比如，強調數(shù)據(jù)的敏感性、數(shù)據(jù)庫維護的風險性，以及 “功能潛變”（編者注：function creep，即出于某一特定目的采集的數(shù)據(jù)被用于其他目的）的可能性，還包括使用目的和手段之間是否相稱（編者注：proportionality，相稱性原則，即需考察為達成某一目的，是否有必要采用生物識別技術）。然而，這些法案在實際操作時留下了諸多不確定空間。

2016年，歐盟推出了《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，下文簡稱GDPR)，適用于各成員國，涵蓋了生物識別數(shù)據(jù)在公共和私人領域的應用。此外，歐盟還通過了《數(shù)據(jù)保護執(zhí)法指令》（Data Protection Law Enforcement Directive，下文簡稱DP LED），專門針對執(zhí)法部門，當執(zhí)法者需為預防、監(jiān)控、調查或起訴犯罪行為使用個人數(shù)據(jù)時，需遵守該指令。

DLA Piper律師事務所統(tǒng)計了2018年5月至2020年1月期間，各國數(shù)據(jù)監(jiān)管機構依據(jù)GDPR所做出的判罰，其中，荷蘭、德國、英國位列數(shù)據(jù)泄露案件數(shù)的前三位。圖片來源：DLA Piper統(tǒng)計報告。

歐盟如何監(jiān)管生物識別數(shù)據(jù)？

GDPR和DP LED首次對生物識別數(shù)據(jù)作出定義:“與自然人的身體、生理或行為特征相關、經(jīng)特定技術處理而產生的個人數(shù)據(jù)，這些個人數(shù)據(jù)可用于確認該自然人的獨特身份，如面部圖像或皮膚（指紋）數(shù)據(jù)?！?

值得注意的是，對“特定技術處理”（specific technical processing）的強調排除了那些存儲和保留在數(shù)據(jù)庫中的“原始”數(shù)據(jù)，如視頻監(jiān)控拍到的人臉或錄音，以及用戶發(fā)布在網(wǎng)站、社交媒體上的原始信息。

此外，GDPR提及，“照片處理不應被系統(tǒng)地視為處理特殊類別的個人數(shù)據(jù)……”私人的視頻片段也不被視作生物識別數(shù)據(jù)，除非它經(jīng)過特殊技術處理，可以識別出個人。

雖然GDPR規(guī)定，禁止“以唯一識別為目的進行生物特征數(shù)據(jù)處理”，但這項禁令仍存在許多例外。比如數(shù)據(jù)“明顯公開”，或“出于重大公共利益的目的”。這些“例外情況”大量存在，模糊不清，實際上，GDPR允許了很多場景下生物識別數(shù)據(jù)的處理和技術應用。作為一個基礎性框架，GDPR也提及，各個成員國可以引入進一步的法規(guī)或禁令。

而DP LED則對執(zhí)法機關使用生物識別數(shù)據(jù)提出了限制，只有在以下三種情況下執(zhí)法機關可以使用生物識別數(shù)據(jù)：獲得了法律授權、保護關鍵利益，或處理已被數(shù)據(jù)主體公開的數(shù)據(jù)。

當新技術的應用“可能導致高風險”時，或大規(guī)模處理特定類型的個人數(shù)據(jù)時， GDPR和DP LED要求啟動“數(shù)據(jù)保護影響評估”（Data Protection Impact Assessments， DPIA）。此外，當公共部門系統(tǒng)性監(jiān)控某個可公開進入的區(qū)域時，同樣需要啟用這種評估。

“數(shù)據(jù)保護影響評估”是一個綜合性評估，包括數(shù)據(jù)處理的風險性、必要性，以及目的與手段是否相符。某些情況下，當私人機構或公共部門想要使用生物識別技術時，他們需要事先向當?shù)鼗虮緡臄?shù)據(jù)監(jiān)管部門咨詢，獲得許可。

英國信息委員會辦公室（Information Commission Office）列出的“數(shù)據(jù)保護影響評估”的基本步驟，其中包括向有關部門咨詢、評估必要性、評估手段與目的是否相符、風險評估、考慮降低風險的手段等。ICO表示，該評估應先于技術的應用。圖片來源：ICO官網(wǎng)

此外，生物識別數(shù)據(jù)的處理和技術應用需尊重公民的基本人權和自由，當隱私權或個人數(shù)據(jù)保護權受到侵害時，與人權相關的法律框架也會被啟用。

以下各節(jié)概述從這些監(jiān)管嘗試中獲得的主要經(jīng)驗教訓，討論了它們的有效性，并重點介紹了未來監(jiān)管應吸取的經(jīng)驗。

模糊的定義：原始數(shù)據(jù)在采集階段的風險性被大大低估

GDPR和DP LED中，生物識別數(shù)據(jù)被定義為“經(jīng)過特定技術處理”的數(shù)據(jù)，（編者注：由于過多強調數(shù)據(jù)的處理環(huán)節(jié)）。在采集和存儲環(huán)節(jié)，除了獲得用戶同意、滿足必要性等原則之外，相較于其他一般意義上的個人數(shù)據(jù)，生物識別數(shù)據(jù)并不享有更高級別的保護。

正因如此，生物識別數(shù)據(jù)在采集環(huán)節(jié)的風險性被大大低估了。一些理應受到保護的敏感數(shù)據(jù)由于尚未被處理編者注：即尚不符合GDPR對生物識別數(shù)據(jù)的定義），而無法被保護。這一點尤為關鍵，特別在執(zhí)法部門使用時，透明度受限，數(shù)據(jù)可能在不通知有關個人或公眾的情況下使用。這是GDPR和DP LED法律文本中的漏洞，公司和政府可以收集大型圖像數(shù)據(jù)庫，這些數(shù)據(jù)以后可能用于執(zhí)法目的。

2020年，Clearview AI公司引發(fā)了巨大爭議，通過一張人臉信息就可以識別出其身份和電子足跡，這也讓更多人意識到現(xiàn)有法律框架的局限。圖片來源：Clearview AI官網(wǎng)。

這也與歐洲人權法院的判例法相違背，后者一再強調，從數(shù)據(jù)庫中捕獲、收集和儲存人類特征信息的做法妨礙了個人私生活被尊重的權利。此前，英國人Gaughran就將英國政府告上歐洲人權法庭，（編者注：2008年Gaughran因酒駕被捕，在警局留下了照片、指紋和DNA信息。其DNA樣本在2015年被銷毀，但其DNA資料、指紋信息和照片仍被無限期保留在警方記錄中。Gaughran將英國告上法庭，要求警方銷毀個人數(shù)據(jù)或退還給自己。）歐洲人權法院將人臉識別和面部特征比對等技術考慮在內，最終判決“保留申請人的DNA檔案、指紋和照片等構成了對他私生活的干擾?！?

更恰當?shù)亩x應能為人類特征數(shù)據(jù)提供法律保護，這些數(shù)據(jù)可用于身份識別目的，或可供自動化識別過程，

法規(guī)還應對數(shù)據(jù)的存儲提出限制

。我們嘗試提出另一種生物識別數(shù)據(jù)的定義：所有滿足以下條件的個人數(shù)據(jù)：(a)直接或間接與人類獨特的生物或行為特征有關的數(shù)據(jù)；(b)可使用或可通過自動化手段使用的數(shù)據(jù)；(c)可用于身份識別、身份驗證或驗證自然人主張的數(shù)據(jù)。”

生物識別“禁令”的模糊性

現(xiàn)有的法律未能對不同的生物識別系統(tǒng)進行區(qū)分，也未能對不同的數(shù)據(jù)處理方式設置針對性規(guī)范。例如，雖然GDPR的第9.1條列出了一些禁止使用和處理的規(guī)定，但它并沒有區(qū)分“一對一” 的“驗證”（編者注：1：1，比如通過電子門禁時，確認進入者身份）和“一對多”的“識別”。

目前，歐洲委員會和許多國家的數(shù)據(jù)監(jiān)管部門表示，驗證比識別的風險性小，因為驗證不需要數(shù)據(jù)庫。

一對多的身份識別存在額外的風險，包括在數(shù)據(jù)庫中大規(guī)模收集和存儲生物識別信息、基于概率的匹配（這引起了人們對準確性和誤報的擔憂），以及對隱私監(jiān)視的擔憂。但GDPR和DP LED并未區(qū)分這兩種功能，這也造成了技術開發(fā)者的顧慮，對于希望投資生物識別驗證技術和隱私增強方法的公司來說，這些操作存在法律上的不確定性。

恰當?shù)谋O(jiān)管應該更積極地區(qū)分不同處理方式的風險性差異，禁止那些構成真正風險的技術，鼓勵那些有可能提供真正隱私和安全保護的功能。

什么是“例外情況”？

最后，法律中含糊的“例外情況”也存在漏洞，為一些高風險的技術使用方式打開了大門。

GDPR對“例外”的定義極為寬泛，允許基于“重大公共利益”進行生物識別數(shù)據(jù)處理（編者注：由于未對“重大公共利益”進行具體界定，它會成為一個寬泛的“筐”）。

由于對“例外”情況的界定籠統(tǒng)寬泛，目前尚不清楚其是否可作為授權公共部門或私人機構部署人臉識別技術的法律依據(jù)（例如，在大型體育場活動中）。GDPR和DP LED無法回答這些問題的，還需要制定更針對性的法律。