【首发】美国《人脸识别道德使用法案》全文翻译与评价

【首发】美国《人脸识别道德使用法案》全文翻译与评价

原创 林鑫 王捷 出海互联网法律观察 昨天

美国《人脸识别道德使用法案》中译本由网络法实务圈 * 出海互联网法律观察 公益翻译小组出品。

【法案背景】

本次在参议院提出的《人脸识别道德使用法案(草案)》是继的《2019商业人脸识别法案》(2019年3月14日向参议院提交)，以及《2019人脸识别技术法案》(2019年11月14日向参议院提交)，美国在关于人脸识别技术使用与限制的立法进程中的又一法案。

旧金山一直是美国犯罪率较高城市之一，却成为美国第一个禁用人脸识别信息技术的城市。旧金山城市监督委员会于2019年通过颁布《反监控条例》(Anti-surveillance Ordinance)，其中关于禁用新技术监控的条例，明确禁止了政府及执法部门使用人脸识别技术，且其他机构买同类型监控也要取得监督委员会许可。

在中国，人脸识别技术已经被应用于城市治理和消费生活各种场景，但为何“刷脸”技术却会被美国人立法抵制呢?

我们再往前看多一眼，在2019年3月，美国颁布了一项法令，明确禁止企业在没有征得消费者的同意下使用并共享消费者的数据。又例如，美国的部分州，如伊利诺伊州在2008年颁布《生物信息隐私法案》规定了，在没有经过公民同意的情况下，政府部门不得使用和采集公民生物信息。

美国重视对人脸识别技术的限制使用，或许有多方面的原因。一方面，他们认为不恰当地使用人脸识别技术而带来的各种潜在不利影响，或可能会使不同的群体受到不公正的待遇，或会使人们不断的生活在政府、企业的监视中，影响并侵犯公民的隐私权和言论自由，另一方面，由于人脸识别技术对于非裔美国人、有色人种等群体的识别率不高，可能会产生各类种族歧视与冲突的问题(例如，麻省理工和多伦多大学的一项研究表明曾指出，亚马逊的人脸识别系统将深色皮肤的女性错认为男性，这种错误率高达31%。而浅色皮肤的女性被认错的概率只有7%)。

同时在美国，人脸识别数据库多为白人男性训练，有色人种、妇女、年轻人识别率较低，识别准确率与光线、角度、环境等也有关系，再一个随着人们年龄变化，人脸识别的精准度也有待提升，这会给照片和视频诈骗留下控件。因此在美国人脸识别技术的广泛许可不应该是一揽子许可，应立法监管使技术与法律道德能尽快咬合，这也是本法案的立法目的。

【法案的重点内容概述】

前面提及的2019年提交的《商业人脸识别隐私法案》，其主要的内容是关于对商业实体在人脸识别技术使用上的一些限制要求。例如，在没有获得用户的明确积极的同意下(非默认同意)，商业实体禁止通过人脸识别技术对终端用户进行技术辨认以及跟踪，也禁止通过人脸识别技术对终端用户进行不合法的区别对待等。

而本次《人脸识别道德使用法案》主要是对政府等执法机构的限制要求。明确要求政府机构在委员为颁布人脸识别技术使用指南之前，禁止安装任何与人脸识别相关的设备，禁止通过人脸识别技术获得个人信息，禁止执法机构在没有获得逮捕令的情况下，使用人脸识别技术来对特定个人进行识别(主要在第四节进行体现)。

第五节，主要是关于当个人认为政府机构违反相关规定使用人脸识别技术而受到权利侵害时候的具体救济措施，以及联邦拨款的限制要求。第六节则是关于成立国会委员会的相关规定。

【部分人脸识别案例与突出问题速览】

【欧盟】：瑞典数据保护局(DPA)就瑞典北部一所学校使用监控人脸识别技术，从而援引欧盟GDPR进行了处罚，原因主要学校就考勤问题完全有更保守的选择，其次因为数据的采集者和保管者信息不对称，有造成外发和泄露可能。

【美国】：对比国外最早应用人脸识别技术的巨头之一facebook曾为此遭受用户状告侵犯个人隐私，facebook抗辩过程中表示，他们一直披露他们的人脸识别技术，而且用户可以随时选择关闭，因此用户是没有遭受过具体侵权损害，但美国法院仍然认为，根据最高法院精神，该种伤害虽然是看不到，但是仍然存在。根据美国某人脸识别技术开发公司表示，人脸识别的数据均保存于本地服务器，本地服务器难以保证数据安全性，使用机构无法保证与执法机构及政府部门不共享人脸识别数据库数据，例如美国某安装人脸识别信息的学校会与治安官签订《谅解备忘录》，使得治安官随时可以进出数据库，这已超出识别的范畴，造成严重的隐私侵犯。

【中国】：人脸识别近年主要在国内集中于安防，例如海康威视和大华，他们本身已拥有全套安防软硬件产业供应链，人脸识别技术加持了的安防产业，从而增加了他们本来的优势，在智慧城市建设的不同场景之中可以派上用场，但人脸数据管理者则为数据存储器管理者，国内为三大运营商等，作为国企，与监管部门共享数据信息是惯例，但也发生运营商内部员工数据泄露等问题。

【从法案中引发的一些思考】

人脸识别一直是一个非常有趣且值得深入研究的问题。目前在我们国家关于人脸识别的法律规定可能仍然比较分散，包括政府等执法机构在使用人脸识别技术方面的规定与限制也是不够明确的。

一些常见的问题可能包括：

怎样确保人脸识别数据的采集方式合法合规，例如采集的时间、场合，以及限制?

2019年2月，国家信息安全标准化技术委员会面向全社会公开征求《信息安全技术个人信息安全规范(草案)》意见，全国信息安全标准化技术委员会也于2020年01月20日向全社会公开征求包含《信息安全技术 移动互联网应用(App)收集个人信息基本规范》在内多项规范意见，可见人脸识别等智能信息应用发展正当时，这或许为彼此的相互促进提供了有益参考与借鉴。而企业在人脸识别技术开发使用中，企业对人脸数据处理如何影响最小化?

数据的管理者、管理企业对于允许数据挺停留的节点，时间是否作出底线规范?

对于采集后的数据使用用什么保障不被滥用，以及滥用后有哪些适当的补救措施?以及证据的留存，跟刑法、民法及相关诉讼法规该如何衔接等等的问题，都值得我们继续深入研究与思考。

【特别鸣谢】：

再次衷心感谢出海互联网法律观察公益翻译组的每位成员的辛勤劳动——(按照姓名拼音，排名不分先后)

林 鑫 网络数据中心公司 法律顾问 系统集成网络、数据中心、大数据与人工智能等通信研究法律合规方向

廖 嘉 浙江理工大学法政学院 人脸识别第一案研究项目组成员人脸识别应用中的个人信息保护方向

王 捷 浙江垦丁律师事务所 个人信息与数据安全合规/资深出海法律顾问(广州)

曾 晨 西安交通大学 信息安全法律研究中心 网络安全与个人信息安全方向

朱 莎 浙江垦丁律师事务所 金融数据安全/资本市场跨境投资法律顾问

本文原创：林鑫 王捷 ，原文见维信公众号：出海互联网法律观察。

编辑：李辉