日前,美國加州的一名聯邦法官裁定3名伊利諾伊州男子可以繼續他們針對Facebook的集體訴訟。原告認為,Facebook的面部識別系統軟件侵犯了用戶的隱私權。之前,Adam Pezen、Carlo Licata、Nimesh Patel三人于2015年分別針對Facebook的侵權提起訴訟。三起案件于去年夏天移交到加州北區法院(Northern District of California court)合并審理。
原告方在訴訟中稱,根據《伊利諾伊州生物特征信息隱私法》(Illinois Biometric Information Privacy Act)的要求,Facebook在基于上傳照片的臉部特征創建或存儲用戶臉部模板時需要征得用戶同意。
生物識別技術是指通過計算機與光學、聲學、生物傳感器等技術手段相結合,利用人體固有的生理特性(如指紋、臉象、虹膜等)和行為特征(如筆跡、聲音、步態等)來進行個人身份的識別與鑒定。
在2008年施行的《伊利諾伊州生物特征信息隱私法》認為,“盡管美國很少的州規定了生物特征數據的采集、應用和保存,但很多公眾在希望保護自己的生物數據時卻無法可依。”
美對生物識別立法仍慎重
近年來,生物識別技術在商業及安全檢查領域的應用日漸頻繁,它簡化了金融交易和安全檢查的手續。伊利諾伊州的立法者稱,眾多跨國公司在芝加哥以及伊利諾伊州的其他城市展開了生物識別技術的推廣應用,商店、加油站、學校食堂等都在試用指紋掃描支付等新興技術。
但生物特征數據的特殊性在于,它是每個人唯一、獨特且不可更改的標識。在結合了金融支付等技術后,生物特征數據的保護顯得尤為重要。鑒于此,《伊利諾伊州生物特征信息隱私法》從主體資格及法律程序角度規定了生物數據的保留、采集、披露、銷毀,此外還規定了相應的救濟手段。
上述案件中,原告認為,依據《伊利諾伊州生物特征信息隱私法》,私人實體公司(private entity)無權收集用戶的生物數據,除非它取得了授權代表的書面授權。而Facebook顯然沒有取得用戶的授權。
在法庭辯論中,Facebook認為用戶可以選擇關掉照片臉部識別功能,這樣他們在其他賬戶的照片中就不會被自動識別。不過,關掉該功能也會刪除用戶個人臉部模板中的數據。
Facebook辯稱,該訴訟應當根據公司所在地加利福尼亞州的法律提起。加州沒有與《伊利諾伊州生物特征信息隱私法》類似的法律或政策。然而聯邦法官James Donato拒絕了Facebook對于適用加州法律審理的要求。法官在意見書中稱,如果批準Facebook的要求,《伊利諾伊州生物特征信息隱私法》就形同虛設。
盡管依照《伊利諾伊州生物特征信息隱私法》對Facebook不利,北京大學知識產權學院訪問教授孫遠釗仍認為,Facebook敗訴的幾率依舊很小。“網民以民事侵權起訴Fackbook,如果無法證明自己受到損害,只是猜測將來某一天對方可能會做什么侵犯我的權益,這是不能作為勝訴依據的。法律的局限性在于,除非等到具體行為果真發生,否則很難勝訴。”
孫遠釗認為,本案的意義不在于勝負,而在于關于生物特征數據的立法討論。盡管伊利諾伊州8年前就出臺了相關法律,但美國各州關于該領域的立法依舊處于“摸索階段”。“美國的市場環境不希望法律走得太快,法律走在市場前面,有時會扼殺創新。對有關科技的立法問題,首先映入眼簾的就是技術中立原則。”
“技術中立原則”確立于上世紀70年代的環球影視和迪士尼訴索尼公司侵權案。原告認為索尼生產的錄像機可以用作翻錄電影并售賣的侵權行為,所以索尼公司需要對其錄像機購買者的侵權行為負責。美國最高法院認為索尼錄像機具有廣泛的、非侵權商業用途,即使索尼公司知道其設備可能被用于侵權,也不能推定其故意幫助他人侵權并構成“幫助侵權”。“技術中立原則”的初衷在于新興技術免受法律的“錯殺”。
“技術本身并不能確定有違法的地方,關鍵在于技術從事怎樣的應用。在技術的行為模式弄清楚之前,美國法律界對技術本身的立法會比較慎重。”孫遠釗對21世紀經濟報道記者說。
我國生物識別立法還處“空白”
在我國,隨著智能家居及移動互聯網興起,具備生物數據識別的終端設備及應用軟件越來越多。面部識別、指紋解鎖的應用更是常見,但中國關于生物識別領域的立法同樣“空白”。
“生物特征數據類型很多,比如指紋、臉紋、DNA等等。總的來講,國內沒有統一的規定,只有個別領域比如DNA檢測和鑒定方面需要具備相關資質。”知名IT與知識產權律師趙占領對記者說。
關于基因檢測的產品,國內有《醫療器械監督管理條例》、《醫療器械注冊管理辦法》、《體外診斷試劑注冊管理辦法》等相關規定,但上述規定是出于對醫療器械進行管理,而非數據保護。
在個人信息方面,《全國人大常委會關于加強網絡信息保護的決定》及《電信和互聯網用戶個人信息保護規定》都有涉及,但上述公民網絡信息范圍僅包括用戶姓名、出生日期、身份證件號碼、賬號和密碼等“能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息”。
由于沒有統一的標準,具體應用中,企業對于生物特征數據的操作方式也不一致。以智能手機收集的指紋信息為例,手機中國聯盟秘書長王艷輝介紹,大多數高端手機指紋數據都保存在名為TEE的安全操作系統中,而TEE系統則存儲在ARM內核的TrustZone里,獨立運行。
TrustZone是手機處理器的一部分。“蘋果、三星、華為手機等都是如此。微信、支付寶要支持指紋支付也要求支持TEE。TrustZone的安全級別最高,病毒目前很難訪問。部分低端手機則保存在手機flash里。”王艷輝說。
對于企業收集用戶生物特征數據的行為,記者采訪的法律人士均表示,企業應明確征得用戶同意才可進行。“收集環節必須經過用戶同意,而且這種同意不僅僅是通過注冊賬號時用戶協議的默認勾選方式,還應該單獨明確地提示給用戶,讓用戶做出同意與否的主動選擇。”趙占領對記者說。
對此,孫遠釗認為,對企業的規制包括公法的規制和私法的規制,前者指法律,后者指企業和消費者簽訂的協議。“協議內容在不違背政策法律的前提下效力大過民事法律,所以用戶要重視這種協議的約定。”
不過,對于生物特征數據的立法問題,兩位學者的觀點并不一致。趙占領認為,生物特征數據不僅涉及個人隱私,還涉及到倫理、遺傳資源保護、生物安全等一系列復雜的問題,“因此更有必要專門做出具體規定,從收集的門檻,收集和使用方式的限制以及存儲和具體的安全等級要求等方面進行規定”。
孫遠釗則傾向采用“輕度規制”的方式進行市場管理。“要保持適度的彈性和寬松,讓科技的商業形態有發展空間。在規制嚴格的歐洲很難出現Uber和Airbnb等企業形態,但它們都出現在美國。”
京公網安備 11010502049343號