生物識別技術作為人工智能的一個重要分支,是最早在人類生活落地應用的技術之一,現已觸達至日常生活各個領域。2014年以來,伴隨深度學習技術取得重大突破,生物識別技術再次得以飛速發展,應用空間不斷拓展,與此同時也催生出隱私泄露、財產詐騙等安全風險。當前,全球主要經濟體積極開展治理行動,從數據保護和應用合規等角度為生物識別應用明確界限,治理規則日臻完善。
觀察一:宏觀上,平衡生物識別技術發展與安全成為治理的重要議題
各國在為生物識別劃定“紅線”的同時,也竭力在安全與發展的天平上作出平衡。歐盟在保障人權的基礎上,附條件地允許了生物識別技術在刑事領域應用。針對公共場所的生物識別應用經歷了從“原則禁止”到“全面禁止”,再回歸“原則禁止”的曲折歷程,體現歐盟在平衡各方利益中的考量。2021年10月,歐洲議會通過決議禁止出于執法目的處理生物識別數據的任何做法。2024年3月,歐盟《人工智能法》回歸2021年4月《人工智能法(草案)》中的規定,并對例外情形進行細微調整,一是明確了可使用生物識別進行追蹤的受害者類型,包括綁架、販賣人口和性剝削以及失蹤人群;二是將可用于定位和識別涉嫌刑事犯罪人員的刑期上調至四年。美國在寬松監管的整體思路下,通過賦予私人訴權推動企業合規。作為最早對生物識別進行規制的國家,美國雖有多個州提出相關法案,但真正通過的寥寥無幾。據顯示,2023年美國有超十個州推出了以生物識別為重點的立法提案,然而無一正式成為立法。截至目前,美國僅有伊利諾伊州、德克薩斯州、華盛頓州3個州正式頒布針對生物識別信息隱私的法案。根據伊利諾伊州《生物信息隱私法案》,受害者可以對違規行為提起集體訴訟獲得補償。我國總體上形成較為完善的治理體系,旨在推動產業高質量發展。目前,我國已發布《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)《人臉識別技術應用安全管理規定(試行)(征求意見稿)》(以下簡稱《規定》)《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》等相關文件,面向人臉識別技術應用形成了較為完善的治理體系。與此同時,我國也將促發展理念貫穿于治理之中,旨在推動產業高質量發展。2019年工信部發布《關于促進網絡安全產業發展的指導意見(征求意見稿)》,表示國家支持構建基于人臉識別等識別技術的網絡身份認證體系。《個人信息保護法》中開宗明義地指出國家“促進個人信息合理利用”。
觀察二:微觀上,各國生物識別基礎概念逐漸明晰,各國治理理念各有側重
全球主要經濟體基本明確生物識別信息的定義。作為一項脫胎于個人信息的技術,生物識別自誕生伊始便與個人信息保護息息相關。歐盟與我國從數據角度將生物識別信息劃分為“特殊敏感類數據”,旨在針對性地加強治理舉措。我國《個人信息保護法》第28條明確了生物識別信息屬于“敏感個人信息”,歐盟《通用數據保護條例》第9條第1款將生物識別數據劃分為“特殊類別的個人數據”,并為處理生物識別數據列舉了特定情形。美國提出“生物標識符”概念,通過明晰技術概念實現對技術的精準管理。“生物標識符”突出數據的生物屬性,包括視網膜或虹膜掃描、指紋、聲紋或手或臉部幾何形狀面部特征的掃描,并排除書寫樣板、手寫簽名、照片等。新加坡個人數據保護委員會在指南中將生物識別數據定義為生物識別樣本或生物數據模板,以幫助組織負責任地收集、使用或披露個人的生物識別數據。前者為與個人的生理、生物或行為特征相關的數據,包括面部圖像、指紋和語音記錄。后者是從算法應用于生物識別樣本中得出的二進制表示,被視為匿名數據。與此同時,各國針對生物識別治理理念各有側重。西方國家對于執法機關使用遠程面部識別普遍采取謹慎態度,如歐盟、英國均對執法領域的遠程面部識別做出嚴格限定,美國民權委員會在最新提出的證詞中也表示禁止非法使用遠程面部識別。我國側重針對賓館、銀行、車站、機場等經營場所應用進行規制,如將規制節點前移,原則上禁止在公共場所安裝圖像采集、個人身份識別設備,明確安裝上述設備應僅限于“維護公共安全所必需”。針對經營場所的人臉驗證技術應用提出需基于當事人“自愿、知情、自主”等具體要求。
觀察三:比較看,中歐生物識別應用治理措施多點趨同
雖然中歐立法結構和基本概念存在差異,但具體治理方案具有一定的相似性。一是數據保護方面,采取“以禁止為原則,以同意為例外”的處理原則。如歐盟《通用數據保護條例》規定原則上禁止處理生物識別信息,除非獲得信息主體的明確同意。此外,歐盟《人工智能法》禁止將生物數據用于工作和教育領域的情感識別,以及生物分類等。我國《個人信息保護法》指出只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。二是應用原則方面,“必要性”成為合規的基本原則之一。我國《規定》第4條重申《個人信息保護法》對于敏感個人信息處理的前提,明確指出實現相同目的或者達到同等業務要求,存在其他非生物特征識別技術方案的,應當優先選擇非生物特征識別技術方案,凸顯必要性要求。歐盟《人工智能法》針對實時遠程生物識別系統的使用多次強調“嚴格必要”,以避免對個人的基本權利與自由造成嚴重影響。三是合規措施方面,風險管理、影響評估成為重要途徑。我國《個人信息保護法》要求對處理敏感個人信息的行為進行個人信息保護影響評估,《規定》還提出了應用備案、風險評估、合格認證等要求,歐盟《人工智能法》則提出風險評估、個人權益影響評估、符合CE認證等,可以看出兩者在總體思路上諸多相似之處。
歷史的車輪滾滾向前,云計算、大數據、大模型等新興技術為生物識別開創更廣闊的平臺,生物識別技術與人類日常生活加速融合是大勢所趨,確保生物特征識別安全合規應用是促進技術穩健發展的“壓艙石”。未來,生物識別治理規范將更加成熟,推動智能時代的再一次革新。
