文 | 刘洋 【1】FACEBOOK 人脸识别集体诉讼将告一段落 【2】Six Flags 案:要造成实质损害才能追究责任? 【3】Clearview AI 案:你的脸是最公开的东西! 【4】最新:加拿大将 Clearview 公司行为定性为 " 大规模监视 " 【5】人脸信息为何如此重要? 【6】最严隐私保护法的要点 【7】结语:技术与法律的较量 日前,美国伊利诺伊州 Facebook 用户在隐私诉讼中取得重大胜利。 近 160 万 Facebook 用户每人将从 Facebook 公司获得 350 美元的和解金,总额高达 5.5 亿美元。 Facebook 曾经同意以 5.5 亿美元和解该诉讼,但美国地方法官拒绝了该交易。随后,Facebook 同意将和解协议增加到 6.5 亿美元,法院在去年 8 月初步批准。 此次和解信息在加利福尼亚州联邦法院举行的确认听证会上披露。这意味着,长达 5 年多的 Facebook 人脸识别技术集体诉讼将迎来终结。但可以确定的是,这只是本案的终结,而不是隐私诉讼的终章。 【1】Facebook 未经许可创建面部模板(face template)遭遇集体诉讼 2015 年 4 月,芝加哥律师杰伊 · 埃德森(Jay Edelson)代表原告卡洛 · 利卡塔(Carlo Licata)向库克县巡回法院提起了初审诉讼,指控社交媒体巨头 Facebook 违反伊利诺伊州《生物识别信息隐私法案》(Biometric Information Privacy Act,BIPA),未经用户允许擅自使用面部标记功能。 后来此案管辖权移至芝加哥联邦法院,又移至加利福尼亚联邦法院,并在此获得集体诉讼地位。 Facebook 的照片标签服务 " 标签建议 " ( tag suggestion ) ,可以创建面部模板(face template),通过技术分析人脸的细节,比如他们的眼睛、鼻子和其他特征之间的距离,该功能可以识别用户的面部。 依据伊利诺伊州《生物识别信息隐私法案》,企业在收集有关 " 面部几何形状 " 等敏感信息之前,必须先征得用户的书面许可。若发生侵权,每例最高可索赔 5000 美元。
2012 年,欧洲监管机构对 Facebook 征求用户许可的制度提出质疑后,Facebook 停用了 " 标签建议 " 技术。2018 年,Facebook 重新将人脸识别作为欧洲用户的一种选择。2019 年,作为与 FTC 就侵犯隐私问题达成的 50 亿美元罚款和和解协议的一部分,Facebook 同意就其人脸识别软件提供 " 明确的告知 ",并在将它用于他们没有同意的新用途之前获得人们的许可。
据此前报道,此案中,Facebook 认为用户没有受到任何具体伤害。第九巡回法庭的小组成员指出,无形伤害仍然可以是具体的,认为 Facebook 的技术 " 侵犯了个人的私事和具体利益 "," 标签建议 " 功能使技术能够分析上传照片中人脸的细节:他们的眼睛、鼻子和其他特征之间的距离。 法院认为: (1)一旦创建了人的脸部模板,Facebook 便可以使用它来识别每天上传到 Facebook 的其他数亿张照片中的那个人,并确定该人何时在场 , 在特定位置。 (2)保留了用户面部模板的数据库,Facebook 将这些模板存储在俄勒冈州、爱荷华州、德克萨斯州和加利福尼亚州等州的服务器上。虽然 Facebook 辩称其生物识别数据的收集发生在伊利诺伊州以外,且不在隐私法的管辖范围之内,但专家组认为该法旨在保护伊利诺伊州人民,即使某些相关活动发生在该州以外。
【2】Six Flags 案:要造成实质损害才能追究责任?
自从伊利诺伊州《生物识别信息隐私法案》在 2008 年颁布以来,它一直让推销语音助手、监控摄像头、照片标签等技术公司头痛不已,因为他们的产品或者技术可能会在人们不知情或不同意的情况下收集生物特征细节。 许多公司认为,如果不能证明遭受了经济损失等具体伤害,人们就不应该因违反消费者隐私法而提起诉讼。Facebook 也曾提出过此类抗辩。 2019 年 1 月 25 日,伊利诺伊州最高法院对 Rosenbach 诉 Six Flags Entertainment Corporation 等案(Rosenbach v. Six Flags Entertainment Corporation)进行了审理。在该案中,伊利诺伊州最高法院明确了判断损害的标准。 伊利诺伊州最高法院在该案中指出,个人在引用《生物识别信息隐私法》第 15(b)条寻求赔偿的时候,无需提出造成了实际损失。相反,当指出违反该法案时,个人 " 无须提出或证明其他后果。违规本身足以支持个人或客户的法定诉讼理由。"(" [ n ] o additional consequences need be pleaded or proved. The violation, in itself, is sufficient to support the individual ’ s or customer ’ s statutory cause of action.") 法院认为,"any person aggrieved by a violation of [ the ] Act shall have a right of action"。 伊利诺伊州最高法院解释了与伊利诺伊州法律有关的 "aggrieved"(受害,委屈)的含义,认为当个人的权利受到侵犯、损害、剥夺或受到不利影响时,就是 " 被侵害 "。因此,BIPA 确认了个人 " 对生物识别符和生物特征信息的隐私权和控制权 ",如果私人实体违反了 BIPA 第 15 条规定的职责,则该行为 " 构成侵犯、损害或剥夺 "。 伊利诺伊州最高法院指出,该法的目的是在问题发生之前 " 避免 " 这些问题,因为一旦某人的生物特征得不到保护,其隐私将 " 消失殆尽 "(vanishes into thin air)。 这一裁决对企业的影响是深远的。提起集体诉讼的原告能够主张违法行为,而不考虑任何实际损害。鉴于该法允许对每宗过失违法行为索赔 1000 美元,对每宗故意或鲁莽的违法行为索赔 5000 美元。 根据伊利诺伊州最高法院的裁定,雇主应制定符合第 15(b)条规定标准的政策(见本文第六部分介绍)。此外,员工手册应包含最新、清晰且明确的《生物识别信息隐私法》要求。 伊利诺伊州最高法院在 " 六旗 " 中的裁定使得侵犯一个人的生物特征隐私本身就可能构成伤害,这确实最大考虑到了消费者的利益,方便消费者能够寻求隐私保护。 在法院看来,追究违反 BIPA 的责任,无需额外伤害,否则," 将与 BIPA 的预防和威慑目的背道而驰。" 但这也让不少企业面临苦不堪言的集体诉讼。目前,共涉及 200 余起案件,从 Facebook、Google 和 Snapchat 等科技巨头,到零售商 Roundy's 和洲际酒店(InterContinental Hotels)旗下的 Kimpton 连锁酒店都遭遇涉及生物识别技术的指控。
【3】明视案(Clearview AI):你的脸是最公开的东西!
在人脸识别技术领域,有一家公司大名鼎鼎,但也臭名昭著。 明视公司(Clearview AI)是美国纽约一家科技公司,创始人叫 Hoan Ton-That,来自澳大利亚。明视公司获得了一些投资人的支持,其中包括大名鼎鼎的硅谷风投大佬彼得 · 蒂尔(Facebook 早期投资人)。 Clearview AI 的人脸识别系统被 600 多家执法机构使用,帮助美国警方在数据库中识别犯罪嫌疑人。在一起数据泄露事件中显示,该公司的客户名单中还包括百思买和梅西百货等公司。 《纽约时报》报道,Clearview AI 公司从 Facebook、YouTube、Venmo 等网站上搜集了超过 30 亿张照片,这个数据超过了联邦调查局所掌握的数据。 该公司因未经同意擅自识别照片人物的身份,擅自使用他人的生物特征信息,已经遭到消费者集体诉讼。 在针对 Clearview AI 的诉讼中,原告认为,原告的生物特征信息已经落入了 Clearview AI 公司的手中,希望法庭确保原告的生物特征信息不被黑客盗取,或被进一步滥用。 原告诉称:" 原告请求 Clearview AI 公司和其他被告人赔偿已经造成的伤害,防止进一步损害,并消除 Clearview AI 公司在商业上滥用数百万公民的生物识别标识和信息给伊利诺伊州和美国各地公民带来的风险。" 原告请求法院对明视公司发出禁止令,禁止其出售伊利诺伊州居民的生物特征数据,判令该公司删除伊利诺伊州居民的数据,并对其作出惩罚性损害赔偿。 Clearview AI 还因为客户信息被黑客泄露,引起过美国国会的注意。 Clearview AI 律师托尔 · 埃克兰被《连线》评为 " 巨魔的律师 "。托尔 · 埃克兰在接受采访时曾表示 ," 普通法从未承认你的面部隐私权 "" 你的脸是最公开的东西 ". 因为数据泄露遭受批评,Clearview AI 回应是:" 安全性是 Clearview 的首要任务。不幸的是,数据泄露是 21 世纪生活的一部分,我们的服务器从未被访问过,我们修补了这个漏洞,并继续努力加强我们的安全。"
[ 4】加拿大:Clearview AI 让无数无罪的人进入警方视野,属于大规模监视行为
关于 Clearview AI 最新的重大调查,来自加拿大。
日前,加拿大隐私事务专员办公室对 Clearview AI 开展了调查后认为,该公司从互联网上收集数十亿人的图像,这是大规模监视行为,侵犯了加拿大人的隐私权。 加拿大隐私事务专员办公室、魁北克信息委员会、不列颠哥伦比亚省信息和隐私事务专员办公室和艾伯塔省信息和隐私事务专员办公室开展了联合调查,得出结论: 这家位于纽约的科技公司违反了联邦和省级隐私法。 加拿大隐私专员 Daniel Therrien 表示:"Clearview 所做的行为是大规模监视,这是非法的。数以百万计永远不会卷入犯罪的人不断地进入警察视野,这决不能接受。然而,该公司声称自己的目的是适当的,理由是联邦隐私法要求其做到业务需求与隐私权保持平衡。审查 C-11 法案的议员们不妨通过该法案传达明确的信息,即在商业目标与隐私保护之间存在冲突时,应以加拿大人的隐私权为准。" Clearview AI 的技术使执法和商业组织能够将未知人物的照片与公司数据库中超过 30 亿张图像(包括加拿大人和儿童的图像)进行匹配,以进行调查。加拿大调查专员发现,这给个人造成了重大损害风险,尤其是其中绝大多数人从未而且也不会卷入犯罪。 调查发现,Clearview 在未经个人知情或同意的情况下收集了高度敏感的生物特征信息。 魁北克省信息委员会主席黛安 · 波伊特拉斯(Diane Poitras)认为:"Clearview 未经行人同意或不知情而大量收集数以百万计的图像用于营销面部识别服务,这不符合魁北克的隐私或生物识别法。" Clearview 抗辩说: 加拿大隐私法不适用于其活动,因为该公司与加拿大没有 " 实际和实质联系 "; 由于信息是公开可用的,因此无需同意; 将图片放置或允许放置在被剪贴的网站上的个人并不存在实质性的隐私问题,可以证明侵犯了公司的表达自由; 鉴于 Clearview 的服务可为执法和国家安全带来巨大的潜在收益,而且个人不太可能遭受重大伤害。因此保护隐私权和 Clearview 的业务需求之间的平衡有利于该公司完全适当的目的; Clearview 不负责向执法机构或任何其他随后对被调查者进行评估错误的实体提供服务。 加拿大调查人员不同意这些论点。他们认为,Clearview 没有认识到未经明确同意从数十亿人那里大规模收集生物识别信息违反了对个人隐私的合理期望,在该公司看来,其商业利益大于隐私权。 他们认为,加拿大法律可以适用到 Clearview 公司,因为 Clearview 收集了加拿大人的图像,并积极向加拿大的执法机构推销其服务;加拿大皇家骑警已经成为其付费客户;Clearview 为全国的执法部门和其他组织创建了 48 个帐户。 调查还指出,Clearview 捕获个人的图像信息,并将其存储在生物特征数据库中,这对个人存在潜在风险。这些潜在的危害包括错误识别的风险以及潜在的数据泄露风险。 隐私权机构建议 Clearview 停止向加拿大客户提供面部识别服务;停止收集加拿大个人的图像;并删除加拿大以前收集的所有个人图像和面部生物特征图。
【5】人脸信息为何如此重要?
尽管 Clearview AI 理直气壮地说 " 人脸是最公开的东西 ",但以这种宣称来论证其合理性毫无疑问是奇谈怪论。 生物识别信息为何如此重要?或者说,人脸为什么重要?人脸识别为什么要被严格监管? 只要想一想:如果某一天你出门逛街时,对面头戴 " 增强现实 " 设备的陌生人高声喊出你的名字,知道你住在哪里;如果那名戴着人脸识别设备的人,是一名心怀不轨的不法之徒;如果街头布满了这样的监控摄像头,你每到一处都被认出来,去过哪里都记录在案。 你该怎么面对?因为,通过人脸识别技术实现上面的假设,已没有技术难度,只有道德、政策和法律上的障碍。 为什么人脸信息如此重要?对个人和对企业而言,这是同一个问题。 生物识别信息包含生物或物理特征,它对个人来说是永久性的。因为它是永久性的,所以一旦被泄露,可能被其他人利用去做信息主体才能做的事,比如去申领信用卡; 收集生物识别信息的公司,可以借助这些数据映射人脸,通过人脸识别帮助他人跟踪客户或员工; 当然,人脸识别也可以应用到市场营销或犯罪监控领域; 有了人脸识别技术,也可以在街上扫描路人并找出有关路人的详细信息,向其推送最精准的业务信息。 总之,人脸识别技术在计数、识别、认真、监控、伪造、窥探等方面都大有用武之地。这些能力确实很强大,但也很容易变成邪恶的帮凶。 随着人脸识别场景的增加,人们容易放松警惕,对在享受科技福利的同时放弃人脸信息变得习以为常。那些只在乌托邦、数字朋克电影里出现的情景,将会成为一种普遍现象,不再是疯狂的想象。
【6】最严隐私保护法的要点介绍
伊利诺伊州《生物识别信息隐私法案》确实让人闻风丧胆,常被称为最严隐私保护法。 前面提及的让科技公司头痛的条款是第 15 条(b),该条规定: 除非首先进行以下活动,否则任何私人实体不得通过贸易来收集、获取、购买、接收或以其他方式获得个人或客户的生物标识或生物识别信息: (1)以书面形式通知相对人或相对人的合法授权代表,正在收集或存储生物标识或生物识别信息; (2)将收集、存储和使用生物标识或生物识别信息的特定目的和期限以书面形式通知相对人或相对人的合法授权代表; (3)接收相对人的生物特征识别码或生物特征信息或受试者的合法授权代表签署的书面许可。 该法规定了五个基本概念: " 生物标识 "(Biometric Identifier),指视网膜或虹膜扫描,指纹,声纹,或手或脸的几何扫描; " 生物识别信息 "(Biometric Information),指基于个人生物标识而生成的任何信息,无论其如何被取得、转换、存储或共享; " 私人实体 "(Private Entity),指任何个人、合伙企业、公司、有限责任公司、协会或其他组织,不包括政府机构和司法机关及其职务人员; " 机密敏感信息 "(Confidential and sensitive information),指可用于唯一标识个人或个人的账户或财产的信息; " 书面发布 "(Written Release)指知情的书面同意书,或在雇佣的情况下由雇员执行的作为雇佣条件的同意书。 BIPA 明确了法律意义上的生物识别信息必须经过特定的技术处理才能生成,明确了国家机关、公共机关之外的 " 私人实体 " 与生物识别信息主体之间的权利义务关系。 根据 BIPA," 生物识别信息主体 "(Information Subject)拥有知情权、同意权、信息自决权三大权利,与此相对," 私人实体 " 应相应履行告知义务、安全保障义务、合法合规处理义务三大义务。 知情权、同意权、信息自决权与告知义务、安全保障义务、合法合规处理义务,让信息主体与私人实体有了平衡、抗衡的基础,可以实现社会经济利益与个人权利之间的平衡。 BIPA 还规定了三大禁止规范和三个豁免条款。 三个禁止规范是:禁止购买、通过贸易接收、出售、租赁、交易个人生物标识或信息;禁止从个人或客户的生物标识或信息中获利;禁止未经生物识别信息主体同意而收集、储存、使用、披露或以其它方式传播个人或客户的生物标识或信息。 三个豁免条款是:经生物识别信息主体或主体合法授权的代表请求或授权的金融交易的披露或再披露;州或联邦法律或市政条例要求披露或重新披露;根据有管辖权的法院签发的有效的令状或传票的披露或再披露。
【7】结语:技术与法律的较量
对生物信息识别技术的态度,关乎我们如何看待新技术与法律的关系。 人脸识别技术,只是当今众多科学进展中的一个,但却因为其介入人类生活之深入,以及其流行时机的突如其来,让我们有时反应过激,有时又麻木不仁。由于商业利益、公共利益和个人权利纠缠不清,对人脸识别的法律规制讨论集中了理性与人性的艰难较量。 爱因斯坦曾这样评价人类进入科学时代后世界的一个根本特征:" 手段的完善和目标的混乱,似乎是——照我的见解——我们这时代的特征。" 隐私和数据问题,成为大数据时代最大挑战。新技术的深度应用,使得 " 全景敞视 " 数字监狱成为可能,让无数悲观主义者恐惧。在用户和技术之间不平等的较量中,用户隐私一不小心就成为了牺牲品。" 反正你没有隐私,那么就克服它 ",在技术至上主义者看来,新技术不是打开隐私问题潘多拉的盒子。 即使在法学界,观点也不统一。美国法学家波斯纳就指出,关于隐私问题的讨论常常掺杂着大量的伪善、口号、感情和松散的思维。他批评说,立法对个人隐私的重视,对商业和机构隐私的削弱,是政府对社会和经济生活进行荒谬干涉的又一个例子。 我无意在手段的完善和目标的混乱讨论中掺合太深。但在文章快要结束的时候,想就隐私问题的现实情况作一追问: 科技发展一定会伤害隐私吗? 历史上一个吊诡之处是:隐私权的拓展和强化,一直都离不开科技的发展。人类一方面抱怨自己的隐私正在消失,批评新技术的滥用和商业的罪恶,一方面又因为科技发展促进了隐私权理论和立法。 因媒体、技术、商业的发展,隐私作为一种新型权利从财产权保护中分离。100 多前," 隐私权之父 " 布兰代斯律师在《隐私权》一书中指出," 如今的新闻报刊和各类发明,侵害个人隐私,使人遭受精神上的痛苦与困扰,较之纯粹的身体上的伤害,有过之而无不及。损害的发生,并不局限于那些成为新闻业或其他行业的话题而遭受痛苦的侵害之上。这一点上,正如在其他商业部门一样,供给创造着需求 "。 隐私从近代开始得到法律重视,从财产权中分离出来。今天,其实又正面临着从隐私保护(尤其是与此相关数据保护、生物信息权益)的法律变革。 数字经济已成为中国经济增长的新引擎。只要人们还要仰仗技术、依赖技术,法律终究需要在信息自决、个人利益与公共利益、法定必需之间,划分界限和责任、厘定权利与义务,以达到一种相对稳定的平衡。 参考: Robert Channick:Nearly 1.6 million Illinois Facebook users to get about $350 each in privacy settlement,Chicago Tribune,Jan 14, 2021 Securitymagazine:Canadian authorities rule Clearview facial recognition technology illegal,February 5, 2021 付微明:《个人生物识别信息的法律保护模式与中国选择》 腾讯科技:《Clearview AI ——法律从未承认你的面部隐私权》 Ch.PP:《Facebook5.5 亿美元和解因人脸识别技术引发的用户集体诉讼》 作者简介 刘洋,中国政法大学法律硕士,北京大学传播学(新媒体专业)硕士。中关村网络安全与信息产业联盟互联网法治专委会副主委。专注于传媒法、网络法、网络安全与刑事法律实务。 合著《网络法案》(法律出版社),著有《读不孤》(人民日报出版社),《生命玉树——全国公安特警驰援玉树抗震救灾纪实》(公安局治安管理局内部印刷)。 曾任人民公安报编辑、副主任,人民公安报驻湖南记者站副站长(兼),曾借调在公安部直属机关党委工作。 本文仅代表作者目前所持的理论观点,不代表作者供职机构或其他相关机构的意见。本文仅为交流之用,所有内容不构成对任何个案的意见、建议或观点。作者和发布平台明示不对任何根据本文任何内容的作为或不作为所导致的后果承担责任。
|