生物識別技術(shù)法律規(guī)制的域外經(jīng)驗

生物識別技術(shù)是一種利用人體生理特征進(jìn)行身份驗證的技術(shù)。該技術(shù)因其準(zhǔn)確性和便捷性，已被廣泛應(yīng)用于個人身份識別、訪問控制和安全認(rèn)證等領(lǐng)域，推動了相關(guān)產(chǎn)業(yè)的創(chuàng)新發(fā)展。然而，由于人類面部特征、虹膜、指紋、聲紋等信息能夠精準(zhǔn)識別到個人，其屬于具有高度敏感性的個人信息，一旦泄露將引發(fā)個人隱私乃至人身、財產(chǎn)安全方面的危險。基于平衡技術(shù)發(fā)展、保護(hù)個人信息以及維護(hù)社會公共安全的考慮，近年來多個國家和地區(qū)出臺了相應(yīng)的治理規(guī)范和措施，以促進(jìn)生物識別技術(shù)研發(fā)和應(yīng)用的規(guī)范化。

歐盟：突出特殊數(shù)據(jù)保護(hù)和識別技術(shù)規(guī)制

歐盟高度重視個人數(shù)據(jù)安全，通過制定統(tǒng)一立法實現(xiàn)歐盟境內(nèi)個人數(shù)據(jù)的高水平保護(hù)。除了對個人數(shù)據(jù)本身保護(hù)的強(qiáng)調(diào)以外，歐盟還在特定場景中對生物識別技術(shù)的開發(fā)和使用進(jìn)行系統(tǒng)和嚴(yán)格的規(guī)制。

2018年5月，被譽(yù)為“史上最嚴(yán)”數(shù)據(jù)保護(hù)立法的歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效。首先，GDPR將個人生物識別數(shù)據(jù)歸入“特殊類別數(shù)據(jù)”，并對此類數(shù)據(jù)的處理設(shè)定了嚴(yán)格條件。根據(jù)GDPR規(guī)定，用于識別自然人的基因數(shù)據(jù)、生物識別數(shù)據(jù)、健康數(shù)據(jù)原則上應(yīng)被禁止處理，僅在符合個人明確同意、涉及雇傭關(guān)系和社會安全事務(wù)所必須、實現(xiàn)重大公共利益所必須、公共健康領(lǐng)域所必要、涉訴訟等司法原因、為保護(hù)數(shù)據(jù)主體重大利益、非營利性數(shù)據(jù)處理等條件之一時，數(shù)據(jù)控制者方可進(jìn)行數(shù)據(jù)處理。其次，GDPR針對大規(guī)模處理特殊類別數(shù)據(jù)提出了更高要求。GDPR要求數(shù)據(jù)控制者在處理大規(guī)模數(shù)據(jù)之前，必須進(jìn)行數(shù)據(jù)保護(hù)影響評估，應(yīng)指定一名數(shù)據(jù)保護(hù)官對企業(yè)等組織的數(shù)據(jù)合規(guī)工作進(jìn)行監(jiān)督和提供咨詢意見。歐盟上述規(guī)定為個人生物識別數(shù)據(jù)等特殊類別數(shù)據(jù)的處理活動提供了全面的立法保障。

隨著新一代人工智能技術(shù)的快速發(fā)展和廣泛應(yīng)用，生物識別技術(shù)在人工智能模型中的使用愈加復(fù)雜多元，其中對生物識別技術(shù)的濫用風(fēng)險也值得警惕。歐盟于2024年3月通過了《人工智能法案》，其基于風(fēng)險分類方法將人工智能安全風(fēng)險劃分為不可接受的風(fēng)險、高風(fēng)險、有限風(fēng)險、最小風(fēng)險4類，據(jù)此實行分類分級監(jiān)管。例如，在公共空間通過自動化處理個人生物數(shù)據(jù)用以實時識別或驗證自然人身份的技術(shù)，被歸為“不可接受的風(fēng)險”，僅在個別情形中可以使用。又如，通過分析個人面部表情、語音語調(diào)、身體語言等生物特征來推斷其情感狀態(tài)的生物鑒別技術(shù)，被歸為“高風(fēng)險人工智能”，對該技術(shù)的使用須滿足建立風(fēng)險管理系統(tǒng)、編制相關(guān)技術(shù)文件、保存使用日志等一系列要求，以減少可能造成的社會歧視和偏見。在此背景下，“AI+生物識別技術(shù)”引發(fā)的社會信任危機(jī)和倫理風(fēng)險得以有效控制，有助于打造更加負(fù)責(zé)任的人工智能。

美國：聯(lián)邦或州級專項立法

美國是較早通過專門立法進(jìn)行生物識別技術(shù)治理的國家。在尚無聯(lián)邦立法的背景下，美國各州便通過立法防止技術(shù)濫用、保護(hù)個人對其生物識別信息享有的合法權(quán)益，為規(guī)范此類技術(shù)的研發(fā)與應(yīng)用作出有益探索。在此基礎(chǔ)上，美國在吸收地方立法的經(jīng)驗基礎(chǔ)上推動聯(lián)邦層面立法，使生物識別技術(shù)治理邁向更高水準(zhǔn)。

2008年伊利諾伊州便出臺《生物識別信息隱私法》（BIPA），這也是美國第一部全面規(guī)范生物識別信息使用的州級法律，其要求作為信息持有者、處理者的企業(yè)等私營實體采取嚴(yán)格的保護(hù)措施，確保生物識別信息安全。企業(yè)須履行重要文件披露義務(wù)。BIPA要求持有生物識別信息的企業(yè)必須制定書面政策，向社會公開信息的留存時間表并在信息收集目的實現(xiàn)后或者與信息主體最后一次互動后的3年內(nèi)永久銷毀相關(guān)信息文件。企業(yè)應(yīng)采取有效措施維護(hù)生物識別信息安全。BIPA規(guī)定了企業(yè)在獲取個人生物識別信息時應(yīng)履行“告知—同意”義務(wù)并不得從個人或客戶的生物識別信息中獲利，原則上也不得傳播這些信息。企業(yè)對生物識別信息的保護(hù)應(yīng)達(dá)到行業(yè)合理標(biāo)準(zhǔn)，保護(hù)措施應(yīng)與其他機(jī)密和敏感信息相當(dāng)。受害者有權(quán)向法院提起訴訟并享有損害賠償?shù)确删葷?jì)。該州法院在2019年“Rosenbach v.Six Flags”一案判決中指出，只要企業(yè)違反了BIPA規(guī)定，即使個人未遭受實際損害，仍有權(quán)提起訴訟。該案擴(kuò)大了BIPA的適用范圍，個人尋求法律救濟(jì)的門檻也大為降低。在BIPA出臺以后，美國得克薩斯、華盛頓、加利福尼亞等州也先后制定了相關(guān)法規(guī)，為生物識別信息的法律保護(hù)積累了豐富的立法經(jīng)驗。

基于平衡技術(shù)發(fā)展、保護(hù)個人信息以及維護(hù)社會公共安全的考慮，近年來多個國家和地區(qū)出臺了相應(yīng)的治理規(guī)范和措施，以促進(jìn)生物識別技術(shù)研發(fā)和應(yīng)用的規(guī)范化。

2020年8月，美國《國家生物識別信息隱私法》（NBIPA）出臺，從聯(lián)邦層面正式建立起規(guī)范生物識別技術(shù)的法律框架。該法在吸收伊利諾伊州BIPA核心內(nèi)容的基礎(chǔ)上，豐富了生物識別信息保護(hù)的內(nèi)涵。其一，生物識別信息的收集更為嚴(yán)格。NBIPA規(guī)定了企業(yè)收集相關(guān)信息，應(yīng)以為信息主體提供服務(wù)為必要，或者須存在其他有效業(yè)務(wù)目的。其二，生物識別信息的披露需遵循更高的透明度要求。NBIPA要求企業(yè)在披露信息前，須從信息主體處獲得一份書面許可，包括擬披露的信息、披露信息的原因以及信息接受者。其三，對個人知情權(quán)的規(guī)定更加細(xì)致。如果信息主體提出要求，企業(yè)應(yīng)向其免費(fèi)披露前12個月內(nèi)收集的與此人有關(guān)的任何信息，進(jìn)而確保人們對信息處理過程的必要了解，減少因信息不對稱引起的疑慮和不信任，助力生物識別技術(shù)向善發(fā)展。

新加坡：以軟法引導(dǎo)企業(yè)

在規(guī)范生物識別數(shù)據(jù)使用的法治實踐中，新加坡的做法也具前瞻性和落地性，其在嚴(yán)格實施《個人數(shù)據(jù)保護(hù)法》（PDPA）等法律法規(guī)的同時，通過發(fā)布一系列更具實操性和可讀性的指南文件，引導(dǎo)幫助數(shù)字平臺企業(yè)等數(shù)據(jù)處理者更好地開展合規(guī)工作，從而規(guī)避侵犯用戶個人信息的風(fēng)險。

新加坡個人數(shù)據(jù)保護(hù)委員會和新加坡安全協(xié)會于2022年5月發(fā)布了《在安全應(yīng)用中負(fù)責(zé)任使用生物識別數(shù)據(jù)指南》，指導(dǎo)各類企業(yè)和組織機(jī)構(gòu)履行PDPA規(guī)定的義務(wù)。該指南一是梳理了生物識別數(shù)據(jù)使用帶來的三種獨特風(fēng)險，即身份欺騙、識別錯誤、生物識別模板的系統(tǒng)性風(fēng)險，針對組織機(jī)構(gòu)如何應(yīng)對這些風(fēng)險提出了建議舉措；二是通過圖表、舉例說明等形式，對PDPA法定義務(wù)如何適用于生物識別數(shù)據(jù)領(lǐng)域作出深入淺出的解讀；三是在附錄中提供了組織機(jī)構(gòu)部署監(jiān)控攝像頭、訪問控制系統(tǒng)的實用指南，幫助企業(yè)在生物識別技術(shù)應(yīng)用實操中符合相關(guān)法定要求。此外，2024年3月新加坡個人數(shù)據(jù)保護(hù)委員會發(fā)布了《關(guān)于在人工智能推薦和決策系統(tǒng)中使用個人數(shù)據(jù)的咨詢指南》。該指南雖并非針對生物識別數(shù)據(jù)處理的專門指引，但其部分內(nèi)容也為人工智能系統(tǒng)中的生物識別數(shù)據(jù)處理提供了合規(guī)建議。例如，該文件指出，在人工智能系統(tǒng)開發(fā)過程中，如果必須使用人臉圖像等原始個人數(shù)據(jù)且無法進(jìn)行匿名化處理，建議組織機(jī)構(gòu)進(jìn)行數(shù)據(jù)保護(hù)影響評估且數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不應(yīng)低于個人數(shù)據(jù)處理系統(tǒng)的通常保護(hù)標(biāo)準(zhǔn)。綜上，新加坡在制定實施法律規(guī)范的同時，又通過合規(guī)指南文件等軟法措施引導(dǎo)生物識別技術(shù)的規(guī)范化應(yīng)用，在產(chǎn)業(yè)技術(shù)治理中彰顯出了較強(qiáng)的彈性和靈活性。

〔王鐳系華東政法大學(xué)智能法學(xué)科特聘副研究員、碩士生導(dǎo)師，互聯(lián)網(wǎng)法治研究院（杭州）研究員，上海市法學(xué)會網(wǎng)絡(luò)治理與數(shù)據(jù)信息法學(xué)會研究會副秘書長〕

編輯：沈析宇" " 175556274@qq.com