美國人臉識別的法律規范—拼湊式(Patchwork)的范式[1]
法律拼湊的概念源于美國關于“民主實驗室(Laboratories of democracy)”的學說,該學說源于New State Ice Co v. Liebmann, 1932[2])一案,該案的大法官Brandeis認為,由某個州的公民來選擇,讓這個州作為實驗室,去嘗試新的社會和經濟模式,同時也不會對其他地區構成威脅。
民主實驗室的學說在聯邦制的框架內塑造了美國各州的自治權,這些州被用作社會“實驗室”,以類似于科學方法的方式制定和檢驗法律和政策。該學說根植于《美國憲法》第十修正案[3],該修正案規定:“憲法中未明確授予聯邦政府、也未禁止各州行使的權力,保留給各州或人民行使”。
如果某一項政策在某個州取得了成功,則可以通過國會法案將其擴展到國家。也有人認為,法律負擔的分散可以導致一種力量的平衡,從而迫使各行業在立法過程中進行合作[4],并采取更加平衡和負責的做法。這些政策實驗在美國的技術法規領域中越來越多地用于在沒有聯邦法規的情況下制定開放的互聯網法律[5]。
這種設計上的法律分裂有其優點,并且可以為美國和歐洲立法者當前有關使用生物識別數據和人臉識別技術的研究提供有趣的啟示。不同于歐洲自下而上和自上而下的監管動態,兩者各有優缺點。
聯邦法律
規范人臉識別技術的商業用途的首次嘗試是聯邦貿易委員會(FTC)和美國商務部國家電信與信息管理局(NTIA)分別于2012年和2016年發布的非約束性準則[6]。前述兩份文件都沒有為生物識別信息和人臉識別技術提供有價值的定義。這些文件主要解決了識別之前的收集和分析,通知和同意的問題。
2020年2月12日,兩位參議員宣布了名為《人臉識別的道德使用法案》(Ethical Use of Facial Recognition Act)的立法,旨在保護消費者的隱私免遭“迅速發展的人臉識別技術和數據收集活動帶來的過度監視和過度監管”的風險[7]。《人臉識別的道德使用法案》將暫停所有聯邦政府對人臉識別技術的使用,直到國會明確通過關于數據的特定用途的立法,以保護美國人的隱私權。該法案還將禁止聯邦資金用于州或地方政府投資或購買人臉識別技術[8]。
同時,美國國會仍在討論出于執法目的的人臉識別技術部署和使用問題,去年11月通過《人臉識別技術保證法案》(Facial Recognition Technology Warrant Act,2019-2020)[9]將迫使執法部門在使用人臉識別技術進行監視前,應當根據涉嫌犯罪的內容獲取逮捕證,特殊情況可以考慮豁免。該法案要求人臉識別技術在執法領域的使用,獲批期限最長為30天,同時應當最小程度的獲取,保留和披露涉及的個人信息。該法案還將對法官的決定權進行監督,要求法官向美國法院行政辦公室報備每項申請的審批結果。
各州法律
由于沒有任何聯邦政府對人臉識別技術的商業用途進行規范,過去幾年來,越來越多的州開始啟動立法程序來處理生物識別數據。
伊利諾伊州和德克薩斯州是第一個考慮該問題的國家。隨后是加利福尼亞,華盛頓,科羅拉多州和阿肯色州(見下圖)。在今年年初,華盛頓州和加利福尼亞州進一步出臺了旨在規范生物識別信息使用或向個人授予新權利的法案。
在紐約,佛羅里達州,亞利桑那州,馬薩諸塞州,密歇根州,新澤西州,夏威夷州,新罕布什爾州,賓夕法尼亞州,弗吉尼亞州,威斯康星州,馬里蘭州,佛蒙特州,內布拉斯加州,明尼蘇達州,特拉華州,阿拉斯加,蒙大拿州,俄勒岡州等地已就此事展開立法辯論。雖然部分法案并未得到通過,但這種前赴后繼的立法體現了各州間趨于在此問題上制定明確的框架來保護個人隱私的趨勢。
BIPA和CCPA中的生物識別信息
伊利諾伊州于2008年通過了第一項關于人臉識別技術的使用的具有約束力的法律文件。BIPA 受到歐盟數據保護制度的啟發,要求私人實體制定書面政策,提供事先通知并征得個人的書面同意,通過事先建立關于此類信息以及對生物識別符的保留期限和披露條件的限制的合理的標準,以保護該類信息。最重要的是,它是在州一級為個人提供訴權的少數法律文書之一,當私人實體違反本法規定時,原告可以申請違約金和律師費等賠償。自2008年生效以來,該法已成為眾多訴訟和判例法的基礎。
2020年5月,美國公民自由聯盟(American Civil Liberties Union, ACLU)等組織對Clearview 提起訴訟[10],指控其違反了《伊利諾伊州生物識別信息隱私法》(BIPA),侵犯了伊利諾伊州居民的隱私權。請求法院命令Clearview 銷毀其所擁有的違反BIPA規定收集和存儲的所有生物識別信息(法律另有規定的除外);同時要求Clearview在獲取其生物識別標識之前,應當書面通知所有人并獲得所有人的書面同意,并書面告知收集,存儲和使用他們的生物識別信息的特定目的;要求建立一個公開的書面政策,統一明確存儲期限等規范指南。
Clearview AI涉訴事件
2020/1
紐約時報披露了人臉識別科技公司Clearview AI從各大主流網站抓取了 30 億張圖像數據,創建了一個可以用來秘密跟蹤和遠程監視的工具,為美國私人企業,富豪和執法機構提供服務,使用該系統,只需上傳某個人的面部照片,就可以查看他/她在網上的公開照片,包括照片的鏈接地址(如下圖)[11]。
2020/2
弗吉尼亞州居民Roberson對Clearview提起訴訟,指控該公司違反了《弗吉尼亞州法典》和《弗吉尼亞州計算機犯罪法》(VCCA),該法律賦予人們對自己對姓名和圖像進行商業使用的控制權。[12]
2020/2
Clearview向Fox News證實,有人獲得了其所有客戶的列表、客戶使用的賬戶數量以及客戶進行的搜索數量。據CNN,該入侵者沒有獲得客戶的任何搜索記錄。
2020/2
加拿大隱私機構表示,已對 Clearview 展開調查,以確定該公司使用人臉識別技術是否符合加拿大隱私法。
2020/3
司法部長Donovan對Clearview 提起訴訟,指控其違反了《佛蒙特州消費者保護法》和《Data Broker Law》。紐約州還提出了一項初步禁令的動議,要求法院下令Clearview 立即停止收集或存儲佛蒙特州人的照片和面部識別數據。[13]
2020/3
加州居民代表Burke對Clearview 提起集體訴訟,指控該公司采集生物特征數據違反《加州消費者隱私保護法》(CCPA)。[14]
2020/5
美國公民自由聯盟(American Civil Liberties Union, ACLU)等組織對Clearview 提起訴訟,指控其違反了《伊利諾伊州生物識別信息隱私法》(BIPA),侵犯了伊利諾伊州居民的隱私權。
2020/7
英國信息專員辦公室(UK Information Commissioner's Office, ICO)和澳大利亞信息專員辦公室(Office of the Australian Information Commissioner, OAIC)宣布對Clearview和今年2月發生的數據泄露事件進行聯合調查。
2020/8
美國國土安全部(The US Department of Homeland Security, DHS)與Clearview簽署了標的224000美元的合同,允許移民和海關執法局(Immigration and Customs Enforcement, ICE)使用Clearview的人臉識別技術。[15]
2020
Clearview聘請《第一修正案》律師Floyd Abrams,與涉及Clearview AI的案件有關的《第一修正案》具有潛在的突破性意義。Floyd Abrams 表示:有可能就21世紀隱私權聲明與第一修正案答辯之間的相互關系做出重大決定,潛在的法律問題有一天可能會提交最高法院。
本圖來自黑鏡第二季第四集
雖然目前尚未獲得該案的判決結果,但2019年1月伊利諾伊州最高法院對Six Flags公司的裁定同樣具有借鑒意義[16]–法院提出生物特征識別信息具有不可逆性,保護程序至關重要,并指出私人訴權是唯一可用的執行機制。法院裁定“即使沒有證據證明原告的實際損害,侵犯行為本身(即未征得個人同意)也足以支持個人或客戶的法定訴訟理由”。
然而,嚴苛的聯邦法律要求原告提起事實損害賠償,事實損害必須是具體的,實際發生和迫在眉睫的,排除推測性或假設性傷害。在某些情況下,這一立場為BIPA的訴訟提供了支持依據,如Heard v. Becton, Dickinson& Co案和Hunter v.Automated Health Systems案。如果聯邦法院對訴訟擁有管轄權,則判決結果可能不利于隱私主體。
2018年的加利福尼亞州通過了CCPA 向消費者授予了一些可訴諸的權利。
