2018年5月，歐盟《通用數據保護條例》（GDPR）正式生效。此後，法國對Google開出了高達5千萬歐元的罰單，認為其服務條款不夠透明，違背了取得用戶“有效同意”的原則。瑞典數據監管機構也依據該條例對一所高中開出罰單，認為使用人臉識別記錄出勤違背了“必要性原則”。

據統計，截至2020年1月，歐盟各國數據監管機構接到的違規舉報超過16萬件，而各國開出的罰單總金額達1.14億歐元。

GDPR被譽為“史上最嚴格數據保護法”，也影響了其後多國的數據立法，包括中國剛剛出台的《個人信息保護法（草案）》。但面對更為敏感的生物識別數據，比如人臉數據，GDPR仍存在局限性。比如，它未能覆蓋“數據生命全週期”，原始數據採集過程中的風險性就被大大低估了。

本文節選自紐約大學AI Now研究中心報告“Regulating Biometrics：Global Approaches and Urgent Questions”（生物識別技術監管：全球舉措及關鍵問題）的第四章。為便於理解，我們對原文進行了必要的補充和修改。

2004年，歐盟頒布了一項法律，要求各成員國在公民的護照和旅行文件中存儲面部圖像和指紋信息。大約同時，歐盟建立了一個大型數據庫，涵蓋申根地區所有尋求庇護者和申請簽證者的生物識別數據。

不久，生物識別的應用在公共部門和私人企業得到了進一步擴張，用於控制人流、公司的電子門禁，以及校園監控。技術的優越性得到了歐洲委員會的承認，但後者提醒，生物識別數據應被視為“敏感”信息，它包含個人的健康狀況、種族等敏感信息，能識別人的身份，能輕易與其他信息扣連，且不可更改。

面對上述風險，法律層面的監管一度“缺位”，無論是一般意義上的數據保護法，還是大多數國家的立法，都未有專門針對生物識別數據使用和處理的具體規定。技術開發和應用的同時，法律相對滯後。

為彌補其間差距，一些國家的數據保護監管機構開始製定生物識別數據的使用框架。比如，強調數據的敏感性、數據庫維護的風險性，以及“功能潛變”（編者註：function creep，即出於某一特定目的採集的數據被用於其他目的）的可能性，還包括使用目的和手段之間是否相稱（編者註：proportionality，相稱性原則，即需考察為達成某一目的，是否有必要採用生物識別技術）。然而，這些法案在實際操作時留下了諸多不確定空間。

2016年，歐盟推出了《通用數據保護條例》(General Data Protection Regulation，下文簡稱GDPR)，適用於各成員國，涵蓋了生物識別數據在公共和私人領域的應用。此外，歐盟還通過了《數據保護執法指令》（Data Protection Law Enforcement Directive，下文簡稱DP LED），專門針對執法部門，當執法者需為預防、監控、調查或起訴犯罪行為使用個人數據時，需遵守該指令。

DLA Piper律師事務所統計了2018年5月至2020年1月期間，各國數據監管機構依據GDPR所做出的判罰，其中，荷蘭、德國、英國位列數據洩露案件數的前三位。圖片來源：DLA Piper統計報告。

歐盟如何監管生物識別數據？

GDPR和DP LED首次對生物識別數據作出定義:“與自然人的身體、生理或行為特徵相關、經特定技術處理而產生的個人數據，這些個人數據可用於確認該自然人的獨特身份，如面部圖像或皮膚（指紋）數據。”

值得注意的是，對“特定技術處理”（specific technical processing）的強調排除了那些存儲和保留在數據庫中的“原始”數據，如視頻監控拍到的人臉或錄音，以及用戶發佈在網站、社交媒體上的原始信息。

此外，GDPR提及，“照片處理不應被系統地視為處理特殊類別的個人數據……”私人的視頻片段也不被視作生物識別數據，除非它經過特殊技術處理，可以識別出個人。

雖然GDPR規定，禁止“以唯一識別為目的進行生物特徵數據處理”，但這項禁令仍存在許多例外。比如數據“明顯公開”，或“出於重大公共利益的目的”。這些“例外情況”大量存在，模糊不清，實際上，GDPR允許了很多場景下生物識別數據的處理和技術應用。作為一個基礎性框架，GDPR也提及，各個成員國可以引入進一步的法規或禁令。

而DP LED則對執法機關使用生物識別數據提出了限制，只有在以下三種情況下執法機關可以使用生物識別數據：獲得了法律授權、保護關鍵利益，或處理已被數據主體公開的數據。

當新技術的應用“可能導致高風險”時，或大規模處理特定類型的個人數據時， GDPR和DP LED要求啟動“數據保護影響評估”（Data Protection Impact Assessments， DPIA）。此外，當公共部門系統性監控某個可公開進入的區域時，同樣需要啟用這種評估。

“數據保護影響評估”是一個綜合性評估，包括數據處理的風險性、必要性，以及目的與手段是否相符。某些情況下，當私人機構或公共部門想要使用生物識別技術時，他們需要事先向當地或本國的數據監管部門諮詢，獲得許可。

英國信息委員會辦公室（Information Commission Office）列出的“數據保護影響評估”的基本步驟，其中包括向有關部門諮詢、評估必要性、評估手段與目的是否相符、風險評估、考慮降低風險的手段等。ICO表示，該評估應先於技術的應用。圖片來源：ICO官網

此外，生物識別數據的處理和技術應用需尊重公民的基本人權和自由，當隱私權或個人數據保護權受到侵害時，與人權相關的法律框架也會被啟用。

以下各節概述從這些監管嘗試中獲得的主要經驗教訓，討論了它們的有效性，並重點介紹了未來監管應吸取的經驗。

模糊的定義：原始數據在採集階段的風險性被大大低估

GDPR和DP LED中，生物識別數據被定義為“經過特定技術處理”的數據，（編者註：由於過多強調數據的處理環節）。在採集和存儲環節，除了獲得用戶同意、滿足必要性等原則之外，相較於其他一般意義上的個人數據，生物識別數據並不享有更高級別的保護。

正因如此，生物識別數據在採集環節的風險性被大大低估了。一些理應受到保護的敏感數據由於尚未被處理編者註：即尚不符合GDPR對生物識別數據的定義），而無法被保護。這一點尤為關鍵，特別在執法部門使用時，透明度受限，數據可能在不通知有關個人或公眾的情況下使用。這是GDPR和DP LED法律文本中的漏洞，公司和政府可以收集大型圖像數據庫，這些數據以後可能用於執法目的。

2020年，Clearview AI公司引發了巨大爭議，通過一張人臉信息就可以識別出其身份和電子足跡，這也讓更多人意識到現有法律框架的局限。圖片來源：Clearview AI官網。

這也與歐洲人權法院的判例法相違背，後者一再強調，從數據庫中捕獲、收集和儲存人類特徵信息的做法妨礙了個人私生活被尊重的權利。此前，英國人Gaughran就將英國政府告上歐洲人權法庭，（編者註：2008年Gaughran因酒駕被捕，在警局留下了照片、指紋和DNA信息。其DNA樣本在2015年被銷毀，但其DNA資料、指紋信息和照片仍被無限期保留在警方記錄中。Gaughran將英國告上法庭，要求警方銷毀個人數據或退還給自己。）歐洲人權法院將人臉識別和麵部特徵比對等技術考慮在內，最終判決“保留申請人的DNA檔案、指紋和照片等構成了對他私生活的干擾。”

更恰當的定義應能為人類特徵數據提供法律保護，這些數據可用於身份識別目的，或可供自動化識別過程，

法規還應對數據的存儲提出限制

。我們嘗試提出另一種生物識別數據的定義：所有滿足以下條件的個人數據：(a)直接或間接與人類獨特的生物或行為特徵有關的數據；(b)可使用或可通過自動化手段使用的數據；(c)可用於身份識別、身份驗證或驗證自然人主張的數據。”

生物識別“禁令”的模糊性

現有的法律未能對不同的生物識別系統進行區分，也未能對不同的數據處理方式設置針對性規範。例如，雖然GDPR的第9.1條列出了一些禁止使用和處理的規定，但它並沒有區分“一對一” 的“驗證”（編者註：1：1，比如通過電子門禁時，確認進入者身份）和“一對多”的“識別”。

目前，歐洲委員會和許多國家的數據監管部門表示，驗證比識別的風險性小，因為驗證不需要數據庫。

一對多的身份識別存在額外的風險，包括在數據庫中大規模收集和存儲生物識別信息、基於概率的匹配（這引起了人們對準確性和誤報的擔憂），以及對隱私監視的擔憂。但GDPR和DP LED並未區分這兩種功能，這也造成了技術開發者的顧慮，對於希望投資生物識別驗證技術和隱私增強方法的公司來說，這些操作存在法律上的不確定性。

恰當的監管應該更積極地區分不同處理方式的風險性差異，禁止那些構成真正風險的技術，鼓勵那些有可能提供真正隱私和安全保護的功能。

什麼是“例外情況”？

最後，法律中含糊的“例外情況”也存在漏洞，為一些高風險的技術使用方式打開了大門。

GDPR對“例外”的定義極為寬泛，允許基於“重大公共利益”進行生物識別數據處理（編者註：由於未對“重大公共利益”進行具體界定，它會成為一個寬泛的“筐”）。

由於對“例外”情況的界定籠統寬泛，目前尚不清楚其是否可作為授權公共部門或私人機構部署人臉識別技術的法律依據（例如，在大型體育場活動中）。GDPR和DP LED無法回答這些問題的，還需要製定更針對性的法律。

文／Els Kindt 朱怡