2020年2月14日,美国加利福尼亚州众议院通过了第2261号关于人脸识别技术(Facial Recognition Technology)的法案,即《加州人脸识别技术法案》[1]。虽然笔者此前也阅读并分析过美国一些州的人脸识别法案(或与人脸识别技术相关的州法案),但当阅读完这部《加州人脸识别技术法案》(以下简称“《法案》”)时,还是眼前一亮,其中不乏可圈可点之处值得介绍与评析。
该法案主要对州内私营主体(Private Sector)与公共主体(Agency)分别应如何使用人脸识别技术问题做出了规定。原则上,《法案》并不禁止私营主体与公共主体运用人脸识别技术,主旨希望能在保障公民隐私及自由与发挥人脸识别技术的公共服务优势方面寻求平衡。相比于美国其他州或城市的立法,例如伊利诺伊州《生物识别信息隐私法案》、加州旧金山市颁布的《停止秘密监控条例》等(相关内容请参见《以案观法|从Facebook 5.5亿美元的和解来看人脸识别的未来》、《政府你该如何收脸?》),《法案》在私营主体使用人脸识别技术的态度上,与其他州或城市的立法较为一致,但在对待公共主体使用人脸识别技术的态度显得更为友好。
一、私营主体如何使用人脸识别技术
(一)数据控制者的义务
首先,根据《法案》第1798.310(d)条,数据控制者在公共场所使用人脸识别技术,需要以显著且符合实际特定场景的方式向个人信息主体发出通知,告知个人信息主体包括但不限于以下信息:(1)人脸识别技术的使用目的;(2)其可获取的通知、条款或政策的网站链接;以及(3)如何行使其主体权利等。根据《法案》第1798.310(e)条进一步规定,除非出于安保或安全的目的(security or safety purpose),如果控制者将个人信息主体的个人肖像或面部样板登记入人脸识别信息图库中,则需要取得个人信息主体的同意。稍存遗憾的是,《法案》并未提及在非公共场所使用人脸识别技术是否需要通知个人信息主体,或是征得个人信息主体的同意。
上述所述的出于对安保或安全目的的考虑,数据控制者可以不获得个人信息主体同意,即收集并将其登记入人脸识别信息图库中(此处不等同于不需要向个人信息主体发出通知)。但是这里需要个人信息主体注意的是,并非在任何情况下数据控制者都可以自称为了安保或者安全目的而豁免同意,而只有符合《法案》第1798.310(e)条规定的下述几条时,才可不事先征得个人同意,将人脸图像或面部样板登记为一种人脸识别服务:(1)数据控制者根据某一特定事件,合理怀疑该个人参与了犯罪活动;(2)人脸识别服务的数据库仅为安保或安全目的而识别、核实或持续追踪个人,并与数据控制者所维护的任何其他数据库分开存储;(3)数据控制者每年至少两次对第(2)点中所述的数据库进行审查,并在符合下列任何一项标准时需予以及时删除面部样板:A)数据控制者对面部样板所描绘的个人是否曾参与犯罪活动已不存在合理怀疑;B)面部样板已保存3年以上;(4)数据控制者应建立内部程序,使个人信息主体可实现纠正或质疑数据控制者出于安保或安全目的决定将个人信息主体人脸图像登记在人脸识别信息图库中的行为。
其次,《法案》并未对数据控制者在使用、存储、委托处理或共享、删除人脸信息过程中应当遵守的义务做出强制性的规定。但是,《法案》第1798.310(i)条则对于公开披露做出规定,即,除因个人信息主体同意或其他正当事由(如法庭命令、传票等),控制者不得故意向执法机构披露使用人脸识别技术过程中获取的人脸信息。笔者认为,此条规定是非常值得赞赏的,因为在实践中往往公权力可能凭借自身地位,在对私营主体施加压力后,很容易就能获取个人信息主体的人脸信息。尽管在本段开头笔者介绍了《法案》未对数据控制者在人脸信息使用、存储、委托处理或共享、删除等方面进行规定,由于《法案》与《加州消费者隐私法案》(California Consumer Privacy Act,以下简称“《CCPA》”)等同属众议院颁布的法案,对于同一事项两者皆可行使管辖权,因此,企业对于《法案》中未规定的事项,仍可以引用CCPA等相关规定进行规制,而不会对数据控制者就其对人脸数据的一些主要处理行为留下法律空白。笔者猜测,也许这就是立法者独具匠心的安排之处。
再次,《法案》赋予了个人信息主体多样的权利[2],例如,其有权包括:(1)要求数据控制者确认其人脸信息是否登记进了人脸识别信息图库;(2)质疑数据控制者做出基于安保或安全目的将其人脸信息登记入人脸识别信息图库的决定;(3)要求数据控制者删除登记入人脸识别信息图库的其个人人脸信息;以及(4)将其登记入人脸识别信息图库的人脸信息予以撤回同意等权利。并且,数据控制者在收到个人信息主体的上述权利主张后,一般需要在30日内及时回复,除非在个人信息主体的请求较为复杂的情况下,可延长至60日,且该延长处理通知及延长处理的原因需在收到个人信息主体主张的30日内发出[3]。
此外,《法案》还充分考虑到人脸识别技术目前还存在识别部分亚种群(subpopulations)[4](例如有色人种、儿童等)人脸错误率高的缺陷,因此提出了相应的解决方案。例如,第1798.310(g)和(h)条要求数据控制者对其人脸识别技术的运作表现进行测试、对从事人脸识别技术业务的人员进行培训等。另外,为避免通过人脸识别技术进行的决策有可能存在不合理性的弊端,《法案》第1798.310(f)条规定,当通过使用人脸识别技术作出决策时,如果该决策可能会对个人信息主体产生法律效力或其他相似重大影响的(如升学、就业机会等),数据控制者应采取人工复审的干预机制,以确保当决策出现偏差时能够及时被纠正。笔者认为,这也是这部法案比较精彩的一处,通过人工再次审核加适当干预方式,避免因当前技术上的缺陷对个人信息主体产生重大不利影响,并因此进行提前阻却,实质是对人权保护的一种体现。
(二)数据处理者的义务
除了规定了数据控制者的相关义务 ,值得关注的是,《法案》还对数据处理者使用人脸识别技术的义务进行了规定。笔者理解,数据处理者的义务大致可分为以下两类:
第一类是,单独由数据处理者完成的义务。例如《法案》第1798.310(b)条规定,数据处理者应提供使用人脸识别技术的相关文档,其中应包括通过平实的语言解释人脸识别技术的功能和限制的信息,以及包括根据《法案》能够对人脸识别技术进行测试的相关信息。又例如,《法案》第1798.310(c)条规定,数据处理者需要在与数据控制者签署的合同中,禁止数据控制者通过使用人脸识别技术实施违反联邦或州法律规定下的非法歧视行为。这虽然看似是数据处理者的一项义务,但其实也是保护人权、保护数据处理者利益的一项规定;第1798.310(a)条规定,数据处理者需要制定并实施针对人脸识别技术缺陷的调整计划等,这其实与数据控制者有义务对人脸识别技术的缺陷进行矫正的思路如出一辙 。
第二类是,由数据处理者配合控制者完成的义务。例如第1798.310(a)条规定,数据处理者需要提供包含接口或其他技术能力的应用程序,以便数据控制者或第三方对人脸识别技术进行合法、独立和合理的测试,以确保技术的准确性以及对于亚种群不产生不公平的对待。这项规定也完美的映称了前述介绍的数据控制者对人脸识别技术在特定情况下有安排测试的义务;另外,第1798.320(c)条还规定了数据处理者应当协助数据控制者响应个人信息主体的权利主张等。
《法案》对数据处理者义务的明确规定,在其他各州或城市的立法中均较为少见。实践中,数据处理者所承担的义务通常都由数据控制者通过与其签署合同的方式进行约定,而非由法律直接规定。《法案》通过直接规定数据处理者的独立义务和对数据控制者的配合义务两大维度,浓浓地呈现出了加州对于人权与个人信息主体权利保护的倚重,这在《CCPA》中也体现着同样的精神。同时,《法案》亦要求数据处理者承担监督人脸识别技术合规使用的义务,例如要求数据处理者主动在合同中约束数据控制者的行为等,不再将数据处理者仅视为传统意义上数据控制者的附属角色进行对待。当然,对于数据处理者苛以较重的责任,是否将给数据处理者造成过重的义务和负担,是否因此会影响数据处理活动的正常开展,还有待实践中的进一步观察。
二、公共主体如何使用人脸识别技术
不同于其他州或城市严格禁止公共主体使用人脸识别技术,例如加州旧金山市《停止秘密监控条例》禁止任何公共部门通过面部识别技术获取、识别、保存、访问任何面部识别信息;马萨诸塞州萨默维尔市《众议院第1538号/参议院第1358号法案》宣称,未经法律明确授权,政府不得使用生物识别监控技术获取、访问、识别任何个人生物信息(包括人脸信息)。[5]《法案》对公共主体使用面部识别技术的态度则较为宽松。除非发生例外情形[6] ,如因宗教、政治、社会活动另有要求,或者存在其他受法律保护的特殊个人特征外,根据《法案》第1798.335条,公共主体可以制定并公开“问责报告”(accountability report),即要求公共主体对其使用人脸识别技术的情况向公众进行充分披露,以此来保确公共主体使用人脸识别技术的行为可被公众监督,从而约束公主体的自我行为并达到合法合规。
问责报告是一份什么文件?笔者认为,可将其理解为与隐私政策有较大共性的一份文件。具体而言,《法案》第1798.335条要求公共主体充分告知个人信息主体的人脸信息将如何被收集、使用、存储、共享、删除的规则、公共主体所采取的数据安全措施、人员培训及管理制度,以及个人信息主体能够享有哪些权利主张和这些权利应如何被响应的流程等。特别地,问责报告还要求公共主体披露其所采取的人脸识别技术的测试程序、人脸识别技术对公民权利和自由的潜在影响和公共主体有可能采取的措施等内容。
但是,问责报告还是有别于隐私政策的。问责报告需要经过审议,并非公共主体可以直接制定和发布。根据《法案》第1798.335(e)(f)和(g)条规定,公共主体在签发问责报告前,需要审议个人信息主体在公众评议期内进过磋商会议中所提出问题;并且,该问责报告需要每两年更新一次,且每次更新也都需要经过公众评议和共同磋商程序;如果将人脸识别技术使用于当前问责报告披露目的以外的其他用途时,则需要征求公众意见并再次组织磋商后,更新问责报告。
此外,根据《法案》第1798.340条,公共主体需要就问责报告的执行情况编写年度报告并对外进行公布,并在年度报告公开发布的60日内组织公众会议进行讨论审查等。与直接禁止公共主体使用人脸识别技术相比,加州要求公共主体承担额外的披露和审查义务并且接受公众评议与监督,是其使用人脸识别技术的折中之举,也因此显得较有温度。当然,这种制度在很大程度上也能起到保护个人信息主体隐私的目的,对我国将来人脸立法中规制公共主体章节,具有较大的借鉴意义。
尽管笔者认为,《法案》对公共主体使用人脸识别技术在很大程度上持友好态度,但对于使用人脸信息和人脸识别符进行持续监视(Ongoing surveillance)的行为,原则上仍被禁止。[7]
什么是人脸识别符?根据1)美国伊利诺伊州《生物识别信息隐私法案》(“《BIPA》”)[8]指出,“生物标识符”(biometric identifier),指视网膜或虹膜扫描、指纹、声纹或手或脸部几何形状面部特征的扫描,不包括书写样板、手写签名、照片、用于有效的科学测试或筛查的人类生物样板、人口统计学数据、纹身描述或物理描述(例如身高、体重、头发颜色或眼睛颜色)。因此,《BIPA》的“人脸标识符”包括的是对“脸部结构”的扫描,但明确排除了照片;2)美国德克萨斯州《生物识别符的获取及使用》[9]认为“生物标识符”,是指视网膜或虹膜扫描、指纹、声纹或手或脸的几何结构记录;3)美国华盛顿州《生物识别符》[10]规定生物识别符是指通过自动测量方式所获得的个人的生物学特征(例如指纹、声纹、眼视网膜、虹膜或其他用于识别特定个体的独特生物学特征)而生成的数据,不包括物理或数字照片、视频记录、音频记录或由此产生的数据,也不包括根据1996年《健康保险携带和责任法案》规定的为卫生保健治疗、付款或操作而收集、使用或存储的信息。与“生物标识符”相关的术语是“生物信息”(biometric information),该等信息是指“通过用以识别特定自然人的生物标识符所获取的信息”[11]。
如上所见,人脸识别信息及人脸识别符(例如《法案》提及的面部样板)具有生物特征及唯一性,持续利用人脸识别信息或人脸识别符监视个人信息主体,将对个人信息主体造成一种极强的追踪,对个人隐私具有很大的侵扰性。因此,根据《法案》第1798.360条,仅允许为了少数必要的目的(如为刑事犯罪提供证据且已经获得司法机关的搜查令、或者合理确信有迫在眉睫的危险或人身伤害等),使用人脸识别技术持续监视个人信息主体的活动。
与私营主体部分的规定类似,《法案》也充分考虑到人脸识别技术对于部分亚种群人脸识别错误率高、人脸识别技术决策可能存在不合理性等问题,要求公共主体也需要对人脸识别技术服务的运作情况进行测试、对从事人脸识别业务的人员进行培训、并保证公共主体在人脸识别技术决策不合理时实施人工干预等措施。
三、《法案》的效力与适用
根据《法案》第1798.375条,《法案》取代并优先于州内其他地方实体(例如加州各市的立法机构等)在开发、使用或部署人脸识别技术服务方面通过的法律、法令、条例或同等文件。据此,我们理解,旧金山市《停止秘密监控条例》等下位阶条例中有关人脸识别技术的规范与《法案》如果存在矛盾规定的,将在《法案》颁布后失去效力(可理解为上位法优于下位法且后法优于前法);同时,作为人脸识别领域的特别法,《法案》还将优先于同等级其他隐私保护法案(例如《CCPA》等)进行适用(可理解为特别法优于一般法)。因此,这将意味着,《法案》在加州人脸识别技术的适用领域,具有极其重要的指导意义。
四、结语
在人脸识别技术蓬勃发展的当下,《法案》整体上持以包容的态度,意味着寻求司法和科技价值取向的平衡。《法案》的诸多创新之举,例如对数据处理者保护个人信息义务的创设、对公共主体使用人脸识别技术的问责报告及审议制度等,在接纳人脸识别技术的同时,尽可能地扩大了个人信息主体、数据控制者、数据处理者及公共主体的能动性,体现了多方协同共治的思路。
我国政府正在推动人脸识别技术广泛运用的道路上快步前进,从“天网计划”行动等开始,方兴未艾。但是,我国目前关于人脸识别技术的立法还不成熟,鉴于美国加州《法案》推出的背景与我国具有一定程度的相似性,有关其新兴立法的经验对我国具有非常大的参考价值,值得我们进一步研究与学习。笔者也将在后续继续分享相关研究心得与体会。
注释:
[1]http://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201920200AB2261,最后访问时间为2020年5月9日。
[2] 《法案》第1798.315条对此做出规定,并且规定了个人信息主体的权利行使的情况是除了数据控制者基于安保或安全目的直接获取个人信息以外的情况。
[3] 《法案》第1798.320 (d)条规定。
[4] 《法案》第1798.310 (a)条第(4)款:本条中的“亚种群”指由下列特征定义的人群:(A)种族;(B)肤色;(C)民族;(D)性别;(E)年龄;(F)残疾情况;(G)在测试数据集中描绘的,个体身上能够客观确定的或自我识别的任何其他受保护的特征。
[5] 加州旧金山市《停止秘密监控条例》第19B.2(d)条:尽管有本19B章的规定,任何部门获取、保存、访问或使用以下内容均属违法:1)任何面部识别技术; 2)通过面部识别技术获得的任何信息。部门疏忽或无意地接收、保存、访问或使用通过面部识别技术获得的任何信息不得违反本条款第(b)款规定,但前提是:(1)该部门未要求或主动获取、访问或使用上述通过面部识别技术得到的信息; (2)该部门在其年度监控报告中记录上述信息被获取、访问或使用的行为。
马萨诸塞州萨默维尔市《众议院第1538号/参议院第1358号法案》第14条:(b)宣布政府暂停使用生物识别监控技术。如果没有明确的法律授权,马萨诸塞州联邦或任何马萨诸塞州政府官员获取、拥有、访问或使用任何生物识别监控系统,或获取、拥有、访问或使用来自由其他主体运营的生物识别监控系统的信息均属违法行为。
[6] 《人脸识别法案》第1798.360(b)条,机构不得因下列情况对个人适用人脸识别服务:(1)个人的宗教、政治或社会观点或活动;(2)个人参与某一非犯罪组织或合法事件;(3)个人的实际或可察觉的种族、族裔、公民身份、出生地、年龄、残疾、性别、性别认同、性取向或其他受法律保护的特征。
[7] 加州暂未区分生物识别信息及生物识别符,根据CCPA的定义,两者统称生物识别信息。“生物识别信息”是指个人的生理、生物或行为特征,包括个人的脱氧核糖核酸(DNA),这些可以单独或组合使用或与其他识别数据一起使用,以建立个人身份。“生物识别信息”包括但不限于虹膜、视网膜、指纹、脸部、手掌、静脉图案和语音记录的图像,从这些图像中我们可以提取生物识别信息的样板(例如面部印记、细节样板或声纹),此外,生物识别信息还包括含有识别信息的点击模式或节奏、步态模式或节奏以及睡眠、健康或运动数据。
[8]http://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004&ChapterID=57,最后访问时间为2020年5月9日。
[9]https://statutes.capitol.texas.gov/Docs/BC/htm/BC.503.htm 最后访问时间为2020年5月9日。
[10]https://app.leg.wa.gov/RCW/default.aspx?cite=19.375,最后访问时间为2020年5月9日。
[11] 美国伊利诺伊州的《生物识别信息隐私法案》(“BIPA”)第十五条脚注部分。