日前,美国加州的一名联邦法官裁定3名伊利诺伊州男子可以继续他们针对Facebook的集体诉讼。原告认为,Facebook的面部识别系统软件侵犯了用户的隐私权。之前,Adam Pezen、Carlo Licata、Nimesh Patel三人于2015年分别针对Facebook的侵权提起诉讼。三起案件于去年夏天移交到加州北区法院(Northern District of California court)合并审理。
原告方在诉讼中称,根据《伊利诺伊州生物特征信息隐私法》(Illinois Biometric Information Privacy Act)的要求,Facebook在基于上传照片的脸部特征创建或存储用户脸部模板时需要征得用户同意。
生物识别技术是指通过计算机与光学、声学、生物传感器等技术手段相结合,利用人体固有的生理特性(如指纹、脸象、虹膜等)和行为特征(如笔迹、声音、步态等)来进行个人身份的识别与鉴定。
在2008年施行的《伊利诺伊州生物特征信息隐私法》认为,“尽管美国很少的州规定了生物特征数据的采集、应用和保存,但很多公众在希望保护自己的生物数据时却无法可依。”
美对生物识别立法仍慎重
近年来,生物识别技术在商业及安全检查领域的应用日渐频繁,它简化了金融交易和安全检查的手续。伊利诺伊州的立法者称,众多跨国公司在芝加哥以及伊利诺伊州的其他城市展开了生物识别技术的推广应用,商店、加油站、学校食堂等都在试用指纹扫描支付等新兴技术。
但生物特征数据的特殊性在于,它是每个人唯一、独特且不可更改的标识。在结合了金融支付等技术后,生物特征数据的保护显得尤为重要。鉴于此,《伊利诺伊州生物特征信息隐私法》从主体资格及法律程序角度规定了生物数据的保留、采集、披露、销毁,此外还规定了相应的救济手段。
上述案件中,原告认为,依据《伊利诺伊州生物特征信息隐私法》,私人实体公司(private entity)无权收集用户的生物数据,除非它取得了授权代表的书面授权。而Facebook显然没有取得用户的授权。
在法庭辩论中,Facebook认为用户可以选择关掉照片脸部识别功能,这样他们在其他账户的照片中就不会被自动识别。不过,关掉该功能也会删除用户个人脸部模板中的数据。
Facebook辩称,该诉讼应当根据公司所在地加利福尼亚州的法律提起。加州没有与《伊利诺伊州生物特征信息隐私法》类似的法律或政策。然而联邦法官James Donato拒绝了Facebook对于适用加州法律审理的要求。法官在意见书中称,如果批准Facebook的要求,《伊利诺伊州生物特征信息隐私法》就形同虚设。
尽管依照《伊利诺伊州生物特征信息隐私法》对Facebook不利,北京大学知识产权学院访问教授孙远钊仍认为,Facebook败诉的几率依旧很小。“网民以民事侵权起诉Fackbook,如果无法证明自己受到损害,只是猜测将来某一天对方可能会做什么侵犯我的权益,这是不能作为胜诉依据的。法律的局限性在于,除非等到具体行为果真发生,否则很难胜诉。”
孙远钊认为,本案的意义不在于胜负,而在于关于生物特征数据的立法讨论。尽管伊利诺伊州8年前就出台了相关法律,但美国各州关于该领域的立法依旧处于“摸索阶段”。“美国的市场环境不希望法律走得太快,法律走在市场前面,有时会扼杀创新。对有关科技的立法问题,首先映入眼帘的就是技术中立原则。”
“技术中立原则”确立于上世纪70年代的环球影视和迪士尼诉索尼公司侵权案。原告认为索尼生产的录像机可以用作翻录电影并售卖的侵权行为,所以索尼公司需要对其录像机购买者的侵权行为负责。美国最高法院认为索尼录像机具有广泛的、非侵权商业用途,即使索尼公司知道其设备可能被用于侵权,也不能推定其故意帮助他人侵权并构成“帮助侵权”。“技术中立原则”的初衷在于新兴技术免受法律的“错杀”。
“技术本身并不能确定有违法的地方,关键在于技术从事怎样的应用。在技术的行为模式弄清楚之前,美国法律界对技术本身的立法会比较慎重。”孙远钊对21世纪经济报道记者说。
我国生物识别立法还处“空白”
在我国,随着智能家居及移动互联网兴起,具备生物数据识别的终端设备及应用软件越来越多。面部识别、指纹解锁的应用更是常见,但中国关于生物识别领域的立法同样“空白”。
“生物特征数据类型很多,比如指纹、脸纹、DNA等等。总的来讲,国内没有统一的规定,只有个别领域比如DNA检测和鉴定方面需要具备相关资质。”知名IT与知识产权律师赵占领对记者说。
关于基因检测的产品,国内有《医疗器械监督管理条例》、《医疗器械注册管理办法》、《体外诊断试剂注册管理办法》等相关规定,但上述规定是出于对医疗器械进行管理,而非数据保护。
在个人信息方面,《全国人大常委会关于加强网络信息保护的决定》及《电信和互联网用户个人信息保护规定》都有涉及,但上述公民网络信息范围仅包括用户姓名、出生日期、身份证件号码、账号和密码等“能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。
由于没有统一的标准,具体应用中,企业对于生物特征数据的操作方式也不一致。以智能手机收集的指纹信息为例,手机中国联盟秘书长王艳辉介绍,大多数高端手机指纹数据都保存在名为TEE的安全操作系统中,而TEE系统则存储在ARM内核的TrustZone里,独立运行。
TrustZone是手机处理器的一部分。“苹果、三星、华为手机等都是如此。微信、支付宝要支持指纹支付也要求支持TEE。TrustZone的安全级别最高,病毒目前很难访问。部分低端手机则保存在手机flash里。”王艳辉说。
对于企业收集用户生物特征数据的行为,记者采访的法律人士均表示,企业应明确征得用户同意才可进行。“收集环节必须经过用户同意,而且这种同意不仅仅是通过注册账号时用户协议的默认勾选方式,还应该单独明确地提示给用户,让用户做出同意与否的主动选择。”赵占领对记者说。
对此,孙远钊认为,对企业的规制包括公法的规制和私法的规制,前者指法律,后者指企业和消费者签订的协议。“协议内容在不违背政策法律的前提下效力大过民事法律,所以用户要重视这种协议的约定。”
不过,对于生物特征数据的立法问题,两位学者的观点并不一致。赵占领认为,生物特征数据不仅涉及个人隐私,还涉及到伦理、遗传资源保护、生物安全等一系列复杂的问题,“因此更有必要专门做出具体规定,从收集的门槛,收集和使用方式的限制以及存储和具体的安全等级要求等方面进行规定”。
孙远钊则倾向采用“轻度规制”的方式进行市场管理。“要保持适度的弹性和宽松,让科技的商业形态有发展空间。在规制严格的欧洲很难出现Uber和Airbnb等企业形态,但它们都出现在美国。”