美國人臉識別的法律規(guī)范—拼湊式（Patchwork）的范式[1]

　　法律拼湊的概念源于美國關(guān)于“民主實驗室（Laboratories of democracy）”的學(xué)說，該學(xué)說源于New State Ice Co v. Liebmann, 1932[2]）一案，該案的大法官Brandeis認(rèn)為，由某個州的公民來選擇，讓這個州作為實驗室，去嘗試新的社會和經(jīng)濟(jì)模式，同時也不會對其他地區(qū)構(gòu)成威脅。

　　民主實驗室的學(xué)說在聯(lián)邦制的框架內(nèi)塑造了美國各州的自治權(quán)，這些州被用作社會“實驗室”，以類似于科學(xué)方法的方式制定和檢驗法律和政策。該學(xué)說根植于《美國憲法》第十修正案[3]，該修正案規(guī)定：“憲法中未明確授予聯(lián)邦政府、也未禁止各州行使的權(quán)力，保留給各州或人民行使”。

　　如果某一項政策在某個州取得了成功，則可以通過國會法案將其擴(kuò)展到國家。也有人認(rèn)為，法律負(fù)擔(dān)的分散可以導(dǎo)致一種力量的平衡，從而迫使各行業(yè)在立法過程中進(jìn)行合作[4]，并采取更加平衡和負(fù)責(zé)的做法。這些政策實驗在美國的技術(shù)法規(guī)領(lǐng)域中越來越多地用于在沒有聯(lián)邦法規(guī)的情況下制定開放的互聯(lián)網(wǎng)法律[5]。

　　這種設(shè)計上的法律分裂有其優(yōu)點，并且可以為美國和歐洲立法者當(dāng)前有關(guān)使用生物識別數(shù)據(jù)和人臉識別技術(shù)的研究提供有趣的啟示。不同于歐洲自下而上和自上而下的監(jiān)管動態(tài)，兩者各有優(yōu)缺點。

　　聯(lián)邦法律

　　規(guī)范人臉識別技術(shù)的商業(yè)用途的首次嘗試是聯(lián)邦貿(mào)易委員會（FTC）和美國商務(wù)部國家電信與信息管理局（NTIA）分別于2012年和2016年發(fā)布的非約束性準(zhǔn)則[6]。前述兩份文件都沒有為生物識別信息和人臉識別技術(shù)提供有價值的定義。這些文件主要解決了識別之前的收集和分析，通知和同意的問題。

　　2020年2月12日，兩位參議員宣布了名為《人臉識別的道德使用法案》（Ethical Use of Facial Recognition Act）的立法，旨在保護(hù)消費(fèi)者的隱私免遭“迅速發(fā)展的人臉識別技術(shù)和數(shù)據(jù)收集活動帶來的過度監(jiān)視和過度監(jiān)管”的風(fēng)險[7]?！度四樧R別的道德使用法案》將暫停所有聯(lián)邦政府對人臉識別技術(shù)的使用，直到國會明確通過關(guān)于數(shù)據(jù)的特定用途的立法，以保護(hù)美國人的隱私權(quán)。該法案還將禁止聯(lián)邦資金用于州或地方政府投資或購買人臉識別技術(shù)[8]。

　　同時，美國國會仍在討論出于執(zhí)法目的的人臉識別技術(shù)部署和使用問題，去年11月通過《人臉識別技術(shù)保證法案》（Facial Recognition Technology Warrant Act，2019-2020）[9]將迫使執(zhí)法部門在使用人臉識別技術(shù)進(jìn)行監(jiān)視前，應(yīng)當(dāng)根據(jù)涉嫌犯罪的內(nèi)容獲取逮捕證，特殊情況可以考慮豁免。該法案要求人臉識別技術(shù)在執(zhí)法領(lǐng)域的使用，獲批期限最長為30天，同時應(yīng)當(dāng)最小程度的獲取，保留和披露涉及的個人信息。該法案還將對法官的決定權(quán)進(jìn)行監(jiān)督，要求法官向美國法院行政辦公室報備每項申請的審批結(jié)果。

　　各州法律

　　由于沒有任何聯(lián)邦政府對人臉識別技術(shù)的商業(yè)用途進(jìn)行規(guī)范，過去幾年來，越來越多的州開始啟動立法程序來處理生物識別數(shù)據(jù)。

　　伊利諾伊州和德克薩斯州是第一個考慮該問題的國家。隨后是加利福尼亞，華盛頓，科羅拉多州和阿肯色州（見下圖）。在今年年初，華盛頓州和加利福尼亞州進(jìn)一步出臺了旨在規(guī)范生物識別信息使用或向個人授予新權(quán)利的法案。

　　在紐約，佛羅里達(dá)州，亞利桑那州，馬薩諸塞州，密歇根州，新澤西州，夏威夷州，新罕布什爾州，賓夕法尼亞州，弗吉尼亞州，威斯康星州，馬里蘭州，佛蒙特州，內(nèi)布拉斯加州，明尼蘇達(dá)州，特拉華州，阿拉斯加，蒙大拿州，俄勒岡州等地已就此事展開立法辯論。雖然部分法案并未得到通過，但這種前赴后繼的立法體現(xiàn)了各州間趨于在此問題上制定明確的框架來保護(hù)個人隱私的趨勢。

　　BIPA和CCPA中的生物識別信息

　　伊利諾伊州于2008年通過了第一項關(guān)于人臉識別技術(shù)的使用的具有約束力的法律文件。BIPA 受到歐盟數(shù)據(jù)保護(hù)制度的啟發(fā)，要求私人實體制定書面政策，提供事先通知并征得個人的書面同意，通過事先建立關(guān)于此類信息以及對生物識別符的保留期限和披露條件的限制的合理的標(biāo)準(zhǔn)，以保護(hù)該類信息。最重要的是，它是在州一級為個人提供訴權(quán)的少數(shù)法律文書之一，當(dāng)私人實體違反本法規(guī)定時，原告可以申請違約金和律師費(fèi)等賠償。自2008年生效以來，該法已成為眾多訴訟和判例法的基礎(chǔ)。

　　2020年5月，美國公民自由聯(lián)盟（American Civil Liberties Union, ACLU）等組織對Clearview 提起訴訟[10]，指控其違反了《伊利諾伊州生物識別信息隱私法》（BIPA），侵犯了伊利諾伊州居民的隱私權(quán)。請求法院命令Clearview 銷毀其所擁有的違反BIPA規(guī)定收集和存儲的所有生物識別信息（法律另有規(guī)定的除外）；同時要求Clearview在獲取其生物識別標(biāo)識之前，應(yīng)當(dāng)書面通知所有人并獲得所有人的書面同意，并書面告知收集，存儲和使用他們的生物識別信息的特定目的；要求建立一個公開的書面政策，統(tǒng)一明確存儲期限等規(guī)范指南。

　　Clearview AI涉訴事件

　　2020/1

　　紐約時報披露了人臉識別科技公司Clearview AI從各大主流網(wǎng)站抓取了 30 億張圖像數(shù)據(jù)，創(chuàng)建了一個可以用來秘密跟蹤和遠(yuǎn)程監(jiān)視的工具，為美國私人企業(yè)，富豪和執(zhí)法機(jī)構(gòu)提供服務(wù)，使用該系統(tǒng)，只需上傳某個人的面部照片，就可以查看他/她在網(wǎng)上的公開照片，包括照片的鏈接地址（如下圖）[11]。

　　2020/2

　　弗吉尼亞州居民Roberson對Clearview提起訴訟，指控該公司違反了《弗吉尼亞州法典》和《弗吉尼亞州計算機(jī)犯罪法》（VCCA），該法律賦予人們對自己對姓名和圖像進(jìn)行商業(yè)使用的控制權(quán)。[12]

　　2020/2

　　Clearview向Fox News證實，有人獲得了其所有客戶的列表、客戶使用的賬戶數(shù)量以及客戶進(jìn)行的搜索數(shù)量。據(jù)CNN，該入侵者沒有獲得客戶的任何搜索記錄。

　　2020/2

　　加拿大隱私機(jī)構(gòu)表示，已對 Clearview 展開調(diào)查，以確定該公司使用人臉識別技術(shù)是否符合加拿大隱私法。

　　2020/3

　　司法部長Donovan對Clearview 提起訴訟，指控其違反了《佛蒙特州消費(fèi)者保護(hù)法》和《Data Broker  Law》。紐約州還提出了一項初步禁令的動議，要求法院下令Clearview 立即停止收集或存儲佛蒙特州人的照片和面部識別數(shù)據(jù)。[13]

　　2020/3

　　加州居民代表Burke對Clearview 提起集體訴訟，指控該公司采集生物特征數(shù)據(jù)違反《加州消費(fèi)者隱私保護(hù)法》（CCPA）。[14]

　　2020/5

　　美國公民自由聯(lián)盟（American Civil Liberties Union, ACLU）等組織對Clearview 提起訴訟，指控其違反了《伊利諾伊州生物識別信息隱私法》（BIPA），侵犯了伊利諾伊州居民的隱私權(quán)。

　　2020/7

　　英國信息專員辦公室（UK Information Commissioner's  Office, ICO）和澳大利亞信息專員辦公室（Office of  the Australian Information Commissioner, OAIC）宣布對Clearview和今年2月發(fā)生的數(shù)據(jù)泄露事件進(jìn)行聯(lián)合調(diào)查。

　　2020/8

　　美國國土安全部（The US Department of Homeland  Security, DHS）與Clearview簽署了標(biāo)的224000美元的合同，允許移民和海關(guān)執(zhí)法局（Immigration  and Customs Enforcement, ICE）使用Clearview的人臉識別技術(shù)。[15]

　　2020

　　Clearview聘請《第一修正案》律師Floyd Abrams，與涉及Clearview AI的案件有關(guān)的《第一修正案》具有潛在的突破性意義。Floyd Abrams  表示：有可能就21世紀(jì)隱私權(quán)聲明與第一修正案答辯之間的相互關(guān)系做出重大決定，潛在的法律問題有一天可能會提交最高法院。

　　本圖來自黑鏡第二季第四集

　　雖然目前尚未獲得該案的判決結(jié)果，但2019年1月伊利諾伊州最高法院對Six Flags公司的裁定同樣具有借鑒意義[16]–法院提出生物特征識別信息具有不可逆性，保護(hù)程序至關(guān)重要，并指出私人訴權(quán)是唯一可用的執(zhí)行機(jī)制。法院裁定“即使沒有證據(jù)證明原告的實際損害，侵犯行為本身（即未征得個人同意）也足以支持個人或客戶的法定訴訟理由”。

　　然而，嚴(yán)苛的聯(lián)邦法律要求原告提起事實損害賠償，事實損害必須是具體的，實際發(fā)生和迫在眉睫的，排除推測性或假設(shè)性傷害。在某些情況下，這一立場為BIPA的訴訟提供了支持依據(jù)，如Heard v. Becton, Dickinson& Co案和Hunter v.Automated Health Systems案。如果聯(lián)邦法院對訴訟擁有管轄權(quán)，則判決結(jié)果可能不利于隱私主體。

　　2018年的加利福尼亞州通過了CCPA 向消費(fèi)者授予了一些可訴諸的權(quán)利。