生物识别技术作为人工智能的一个重要分支,是最早在人类生活落地应用的技术之一,现已触达至日常生活各个领域。2014年以来,伴随深度学习技术取得重大突破,生物识别技术再次得以飞速发展,应用空间不断拓展,与此同时也催生出隐私泄露、财产诈骗等安全风险。当前,全球主要经济体积极开展治理行动,从数据保护和应用合规等角度为生物识别应用明确界限,治理规则日臻完善。
观察一:宏观上,平衡生物识别技术发展与安全成为治理的重要议题
各国在为生物识别划定“红线”的同时,也竭力在安全与发展的天平上作出平衡。欧盟在保障人权的基础上,附条件地允许了生物识别技术在刑事领域应用。针对公共场所的生物识别应用经历了从“原则禁止”到“全面禁止”,再回归“原则禁止”的曲折历程,体现欧盟在平衡各方利益中的考量。2021年10月,欧洲议会通过决议禁止出于执法目的处理生物识别数据的任何做法。2024年3月,欧盟《人工智能法》回归2021年4月《人工智能法(草案)》中的规定,并对例外情形进行细微调整,一是明确了可使用生物识别进行追踪的受害者类型,包括绑架、贩卖人口和性剥削以及失踪人群;二是将可用于定位和识别涉嫌刑事犯罪人员的刑期上调至四年。美国在宽松监管的整体思路下,通过赋予私人诉权推动企业合规。作为最早对生物识别进行规制的国家,美国虽有多个州提出相关法案,但真正通过的寥寥无几。据显示,2023年美国有超十个州推出了以生物识别为重点的立法提案,然而无一正式成为立法。截至目前,美国仅有伊利诺伊州、德克萨斯州、华盛顿州3个州正式颁布针对生物识别信息隐私的法案。根据伊利诺伊州《生物信息隐私法案》,受害者可以对违规行为提起集体诉讼获得补偿。我国总体上形成较为完善的治理体系,旨在推动产业高质量发展。目前,我国已发布《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《规定》)《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等相关文件,面向人脸识别技术应用形成了较为完善的治理体系。与此同时,我国也将促发展理念贯穿于治理之中,旨在推动产业高质量发展。2019年工信部发布《关于促进网络安全产业发展的指导意见(征求意见稿)》,表示国家支持构建基于人脸识别等识别技术的网络身份认证体系。《个人信息保护法》中开宗明义地指出国家“促进个人信息合理利用”。
观察二:微观上,各国生物识别基础概念逐渐明晰,各国治理理念各有侧重
全球主要经济体基本明确生物识别信息的定义。作为一项脱胎于个人信息的技术,生物识别自诞生伊始便与个人信息保护息息相关。欧盟与我国从数据角度将生物识别信息划分为“特殊敏感类数据”,旨在针对性地加强治理举措。我国《个人信息保护法》第28条明确了生物识别信息属于“敏感个人信息”,欧盟《通用数据保护条例》第9条第1款将生物识别数据划分为“特殊类别的个人数据”,并为处理生物识别数据列举了特定情形。美国提出“生物标识符”概念,通过明晰技术概念实现对技术的精准管理。“生物标识符”突出数据的生物属性,包括视网膜或虹膜扫描、指纹、声纹或手或脸部几何形状面部特征的扫描,并排除书写样板、手写签名、照片等。新加坡个人数据保护委员会在指南中将生物识别数据定义为生物识别样本或生物数据模板,以帮助组织负责任地收集、使用或披露个人的生物识别数据。前者为与个人的生理、生物或行为特征相关的数据,包括面部图像、指纹和语音记录。后者是从算法应用于生物识别样本中得出的二进制表示,被视为匿名数据。与此同时,各国针对生物识别治理理念各有侧重。西方国家对于执法机关使用远程面部识别普遍采取谨慎态度,如欧盟、英国均对执法领域的远程面部识别做出严格限定,美国民权委员会在最新提出的证词中也表示禁止非法使用远程面部识别。我国侧重针对宾馆、银行、车站、机场等经营场所应用进行规制,如将规制节点前移,原则上禁止在公共场所安装图像采集、个人身份识别设备,明确安装上述设备应仅限于“维护公共安全所必需”。针对经营场所的人脸验证技术应用提出需基于当事人“自愿、知情、自主”等具体要求。
观察三:比较看,中欧生物识别应用治理措施多点趋同
虽然中欧立法结构和基本概念存在差异,但具体治理方案具有一定的相似性。一是数据保护方面,采取“以禁止为原则,以同意为例外”的处理原则。如欧盟《通用数据保护条例》规定原则上禁止处理生物识别信息,除非获得信息主体的明确同意。此外,欧盟《人工智能法》禁止将生物数据用于工作和教育领域的情感识别,以及生物分类等。我国《个人信息保护法》指出只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。二是应用原则方面,“必要性”成为合规的基本原则之一。我国《规定》第4条重申《个人信息保护法》对于敏感个人信息处理的前提,明确指出实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案,凸显必要性要求。欧盟《人工智能法》针对实时远程生物识别系统的使用多次强调“严格必要”,以避免对个人的基本权利与自由造成严重影响。三是合规措施方面,风险管理、影响评估成为重要途径。我国《个人信息保护法》要求对处理敏感个人信息的行为进行个人信息保护影响评估,《规定》还提出了应用备案、风险评估、合格认证等要求,欧盟《人工智能法》则提出风险评估、个人权益影响评估、符合CE认证等,可以看出两者在总体思路上诸多相似之处。
历史的车轮滚滚向前,云计算、大数据、大模型等新兴技术为生物识别开创更广阔的平台,生物识别技术与人类日常生活加速融合是大势所趋,确保生物特征识别安全合规应用是促进技术稳健发展的“压舱石”。未来,生物识别治理规范将更加成熟,推动智能时代的再一次革新。
