俞飞

（ 图片来源：图虫创意）

“9·11”事件后，各国个人生物信息识别技术发展大提速。指纹、人脸、掌纹、虹膜、视网膜、DNA、静脉、声音、步态识别层出不穷，2020年全球生物信息识别产业规模将达233亿美元。

支持者眼中，个人生物信息技术大潮若决江河，沛然莫之能御。亚马逊、苹果、脸书、谷歌和微软纷纷申请人脸识别专利。美国海关和出入境保护局对外国人进行指纹识别和拍照，国土安全部12月初提议将人脸识别扩展至美国公民。反对者警告：生物信息识别技术一旦泄露，“一失万无”;敏感信息难以修改，恶意攻击和骚扰的风险伴随终生。

美国公民自由联盟声明：“政府坚持大规模部署这种强大的监控技术，引起了我们对隐私的深切关注。更重要的是，这项技术缺乏国会授权和足够的保障措施。政府过去的安全失误，以及该技术在有效性、偏见性和社会影响等方面尚未解决的问题更加剧了我们的担忧。”令人啼笑皆非的是，去年亚马逊人脸识别系统Rekognition用2.5万张罪犯照片和535张美国国会议员照片进行比对，结果系统将多达28名议员识别成罪犯，错误百出，让政客大为光火。

支持者与反对者各执一词，争议不断。美国伊利诺伊州率先立法规制，欧盟出台《通用数据保护指令》保护个人隐私。人脸识别惹祸，脸书面临350亿美元天价索赔。印度公民身份证项目立意良善，实践中却教训惨痛。

美国州立法先行 ？判例出炉

迄今为止，美国联邦和大多数州，并未立法保护个人生物信息。《纽约时报》警示：“由于大多数州没有保护个人生物信息的法律，任何人都可以使用人脸识别技术在公共场所合法地跟踪你。这太可怕了！”

2008年伊利諾伊州立法机构成为第一个颁布个人生物信息保护法的州——《生物特征信息隐私法》（BIPA）。通过“规范生物特征信息的收集、使用、保护、处理、存储、保留和销毁”来保护伊利诺伊州居民的“福利、安全和保障”。

“鉴于生物识别标识的使用越来越多，州议会认识到，与其他独特标识不同，生物识别是生物学上独一无二的，即使受到损害也不能改变。”为了消除公民的担忧，BIPA要求获得个人生物特征信息的公司首先获得客户或客户代理人的书面许可，告知生物识别信息被收集、存储和使用的特定用途。 BIPA规范公司收集生物识别信息，涵盖指纹、视网膜、虹膜、声纹以及人脸识别。

值得称道的是，BIPA赋予个人起诉的权利，原告律师费用由败诉公司承担;公司每次过失违法行为赔偿1000美元，每次故意违法行为赔偿5000美元。

2015年以来依据BIPA提出的官司超过两百余起。2019年1月伊利诺伊州最高法院在罗森巴赫诉六旗公司案中，判决六旗公司败诉，成为全美个人生物信息保护的经典案例。原告史黛西·罗森巴赫的儿子亚历山大·罗森巴赫14岁。被告六旗娱乐公司是一家在伊利诺伊州古尔尼经营游乐园的公司。原告为儿子在线购买了六旗游乐园季票，游乐园在其儿子入园时扫描并储存了他的指纹。该游乐园在2014年推出指纹扫描政策。母亲提起诉讼，认为该公园没有获得母亲书面同意，扫描了未成年人的指纹，也没有适当披露公司在收集、使用和保留指纹数据方面的商业行为。被告提交了一份驳回申请的动议，原告并非“受损害的一方”，她也未能提出“实际损害”的证据。动议被法院否决。被告上诉。上诉法院裁决，推翻一审判决，支持六旗公司。母亲不服，在电子隐私信息中心、美国公民自由联盟、民主与技术中心以及电子前沿基金会（EFF）等组织的帮助下，诉至州最高法院。2019年1月伊利诺伊州最高法院经过审理，撤销了上诉法院的裁决，7位法官一致裁定六旗公司违反了BIPA，将案件发回第九巡回法院进一步审理。

法官认为，“在得出相反的结论时，上诉法院单独将违法行为定性为仅仅是技术性的。然而，这种定性误解了本州立法机构力图通过这项立法与之斗争的损害的性质。该法案赋予个人和客户控制其生物特征信息的权利，要求他们在收集之前发出通知，并给予他们拒绝同意的权利。这些程序性保护在我们的数字世界中尤为重要，因为现在的技术允许大规模收集和存储个人独特的生物识别标识——如果被破坏或滥用，这些标识是不能改变的。”“当一个私人实体未能遵守法定程序时，就像被告在这里所做的那样，个人维护（他或她的）生物特征隐私的权利就会消失得无影无踪。州立法机关想要阻止的确切的伤害就在那时实现了。这不仅仅是技术上的。这种伤害是真实而重要的。”

“如果生物识别标识和信息没有得到适当的保护，企业为满足法律要求而可能产生的任何费用与可能造成的实质性和不可逆转的损害相比可能是微不足道的。公共福利、安全和保障将得到改善。这才是法律的目的。被告若等到个人所遭受的损害超出其法定权利的范围时，才可以寻求补救，这将与该法案预防和威慑的目的完全背道而驰。”法官语重心长地说。

判决一出，电子前沿基金会称这是一场事关隐私的重大胜利，“随着生物识别技术的收集、使用和共享变得越来越普遍、越来越具有侵入性，普通公民根据BIPA等法律提起诉讼以保护自己的隐私变得越来越重要”。

美国公民自由联盟强调：“今天的裁决保护了伊利诺伊州人民控制自己指纹、虹膜扫描和其他有关身体的重要信息的权利。这正是议会在制定BIPA时所考虑的。您的生物特征信息属于您，不应该留给那些希望收集您的详细信息用于广告和其他商业目的的公司。在BIPA颁布十多年后，我们不断听到新的公司收集、共享和滥用数百万人的个人信息的例子，这些人在不知情或未经同意的情况下被共享。伊利诺伊州法律的有力保护比以往任何时候都更为重要。”

伊利诺伊州商会表达不满：“我们担心，今天的决定将为未来的诉讼打开闸门，损害本州的营商环境。” ？一语成谶，大企业如脸书果然面临更大的挑战。

10月23日，涉嫌滥用人脸信息的集团诉讼案Patel v. Facebook有了新进展。多名脸书用户根据BIPA提起诉讼，认为脸书未经通知或同意收集其面部信息。美国北加州地方法院驳回了脸书提出的驳回和即决判决的动议，将多起案件合并为集团诉讼。脸书强调，原告除了指控脸书违反BIPA，却未列举出具体伤害，原告缺乏诉讼资格。原告辩称，他们指控脸书违反BIPA，具有诉讼资格。此案涉及700万用户，脸书面临故意违法，每个用户赔偿5000美元，总赔偿金额最高将达350亿美元。

？旧金山第九巡回法院表态：“脸书收集的人脸图像和相关技术，存在应用于视频监控的人脸比对甚至解锁手机的可能性。”伊利诺伊州的法律“保护原告的具体隐私利益”，违反法律“对这些隐私利益构成了实质性的损害风险”。法院引用了隐私权的普通法根源，并指出“最高法院已经认识到，技术进步可能会增加对个人隐私的不合理侵犯”。

9月，脸书宣布将提供可开启或关闭人脸识别功能的切换按钮。如果用户禁用人脸识别，公司就会停止在图像上自动标记该用户，同时停止建议其他人在图像上标记。BIPA初露锋芒，华盛顿州、得克萨斯州纷纷效仿，制定个人生物信息保护法案。

2020年1月生效的《加州消费者隐私法》（CCPA），参考欧盟GDPR，明确保护：“包括个体的DNA、虹膜、视网膜、静脉图案成像、录音图像、人脸、声纹，以及包含识别信息的击键模式、节奏、步态模式或节奏”等。2019年3月以来，美国两院有四部新法案限制个人生物信息识别技术。参院新法案《2019年商业面部识别隐私法》，禁止在未获得用户同意的情况下使用人脸识别技术和数据。新法案没有规定私人诉权，联邦贸易委员会或州检察长负责法律实施。即使新法案通过，也不会取代规范人脸识别技术更严格的州法（BIPA和CCPA）。

欧盟GDPR个人敏感数据严格保护

比起美国，欧盟对个人生物信息的保护更为严格细致。2018年5月史上最严的《通用数据保护法规》（GDPR）生效。

根据GDPR第4（14）条的定义，生物识别数据明确包括面部图像。第9条规定，生物特征数据属于个人数据的“特殊类别”，除某些特殊情况外，不得处理该等数据。人脸识别技术的商业应用可适用的唯一例外是“数据主体已明确表示同意”，同意须“自由给予、明确、具体、不含混”，数据主体任何形式的被动同意均不符合GDPR的规定。

依据第14条的规定，数据控制者在收集与数据主体相关的个人数据时，应当告知数据主体，包括数据控制者的身份与详细联系方式、数据保护官的详细联系方式、数据处理将涉及的个人数据的使用目的，以及处理个人数据的法律依据等。

整体上看， GDPR突出数据私权至上的原则， 极大地扩充数据主体的数据权利范围和保护机制， 对数据控制者和处理者使用个人数据进行了严格的限制， 加大了数据控制者和处理者对个人数据管理的法律责任，并对违反GDPR的行为，尤其是违反监管机构发布的命令，处罚严厉：违法者处以最高2000万欧元的罚款，或者最高前一年全球总营业额4%的罚款，两者取其高。

10月17日，针对尼斯和马赛两所高中运用人脸识别技术监控学校入口，法国国家信息技术与自由委员会（CNIL）明确表达反对。“此措施违背了欧盟GDPR提倡的获取个人数据的比例性原则以及数据获取量的最小化原则。”

日前，法国内务部正式推行一款使用人脸识别技术的手机应用软件，成为第一个官方采用人脸识别技术的欧盟国家。11月15日CNIL发布报告，呼吁就人脸识别的话题进行积极的、前瞻性的全国大辩论。“如果人脸识别技术在法国使用的场合逐步累积，在公民日常生活中的扩散又悄无声息，法国民众有朝一日可能会忽然发现，他們生活的社会已经改变，而此改变并未预先经过他们的辩论。”

8月，英国《金融时报》报道：欧盟正在考虑对人脸识别进行严格限制。如果政府或者商业公司想要使用人脸识别技术，那么欧盟公民就有权知晓他（她）的人脸数据何时被使用。

印度Aadhaar隐患不断

2009 年印度政府推出面向所有国民的生物识别数据库项目Aadhaar（印度语“基础”），旨在将每个印度公民的指纹、照片和虹膜等生物信息纳入一系列政府服务的数据库，从上学、看病到银行金融服务都要和12位的ID绑定。

印度政府的初衷是希望通过建立一个基于生物识别数据的社会信用体系，让更多印度民众更好地享受社会福利，同时减少骗取福利的行为以及政府官员的贪污腐败。批评者抨击，Aadhaar威胁个人隐私。数以百万计的印度穷人指纹早已磨平，无法识别。2017 年印度民众抗议政府将公立学校为儿童提供的免费午餐与 Aadhaar 绑定。

个人隐私信息遭滥用，在印度屡见不鲜。210家政府机构公开福利受益人的全名、地址和Aadhaar号码;1.1亿用户的Aadhaar信息从电信公司外泄;超过1亿人的银行账户和Aadhaar细节信息通过特定的公开政府门户泄露;政府的电子医院数据库被入侵，Aadhaar机密信息遭访问。

律师古普塔担心，Aadhaar会让贱民和农民工永远蒙受耻辱，因为它可让未来的雇主、学校、银行查看其数据库信息，根据他们的社会经济地位来评判他们。印度的社会流动会变得更加困难。隐瞒怀孕、变性手术史、八年级考试没及格等个人隐私保护也会变得更加困难。

一纸诉状，他们将印度政府告上法院，印度政府则辩称印度宪法中并未明文规定公民隐私权。

“隐私确保人类能够保护自己的内心不受外界的有害侵扰，过上有尊严的生活。”2017年，印度最高法院作出判决：隐私权是公民的基本权利，印度政府大跌面子。2018年9月，最高法院对此案再次作出判决：Aadhaar项目并不违反宪法，但对如何使用超过10亿公民的个人信息应加以限制。

“Aadhaar利益远远超过任何风险。任何依靠政府服务的人，从提交纳税申报表到获得退休金或福利，都将依法要求提供Aadhaar号码。”法官一锤定音。

万万没想到，Aadhaar运行失误却让众多印度人无法正常地在社会生活，甚至会因此死亡。

推出 10 年，Aadhaar技术问题频发，如机器不够稳定，更重要的是印度互联网覆盖率不到 40%，生物识别的机器不支持离线工作，这让很多本来符合资格的民众抱怨领不到社会福利。“我们通常要将机器运到一两公里外的地方才有信号。”

2019年 5 月，印度男子马吉饿死在自己家的家门口。长期缺乏食物导致他营养不良，他和妻子本来是有权利领取养老金的，但Aadhaar 的机器无法识别夫妻二人的指纹。这样的事在印度每天都在发生。仅在贾坎德邦，至少有 13 起Aadhaar 故障无法领取补助致民众饿死的案例。不只是领取养老金和食物补助，在托儿所工作的德维因为验证问题 8 个月没拿到工资，甚至还有人无法识别指纹不能取出银行存款……

Aadhaar 推出后，贾坎德邦取消了100万张伪造的补助卡。非政府组织抽样调查了其中 135 张，发现只有 2 张是伪造的，3 张为身份重复。更多的人则是在不知情的情况下从补助名单中被剔除，据悉印度有 300 万人因此无法领取粮食配给。

讽刺的是 ，Aadhaar 一开始最希望帮助的弱势群体，最后却成了这项计划最大的受害者。经济学家蕾蒂卡痛斥：“这是一种令人难以置信的监控工具。 它没有带来什么好处，对福利体系也是毁灭性的。”

生物识别技术真的百分之百安全吗？是否会被滥用？印度公民身份证的教训，再一次敲响警钟，切勿坠入“技术万能论”的陷阱！