美國(guó)人臉識(shí)別的法律規(guī)范—拼湊式（Patchwork）的范式[1]

　　法律拼湊的概念源于美國(guó)關(guān)于“民主實(shí)驗(yàn)室（Laboratories of democracy）”的學(xué)說(shuō)，該學(xué)說(shuō)源于New State Ice Co v. Liebmann, 1932[2]）一案，該案的大法官Brandeis認(rèn)為，由某個(gè)州的公民來(lái)選擇，讓這個(gè)州作為實(shí)驗(yàn)室，去嘗試新的社會(huì)和經(jīng)濟(jì)模式，同時(shí)也不會(huì)對(duì)其他地區(qū)構(gòu)成威脅。

　　民主實(shí)驗(yàn)室的學(xué)說(shuō)在聯(lián)邦制的框架內(nèi)塑造了美國(guó)各州的自治權(quán)，這些州被用作社會(huì)“實(shí)驗(yàn)室”，以類(lèi)似于科學(xué)方法的方式制定和檢驗(yàn)法律和政策。該學(xué)說(shuō)根植于《美國(guó)憲法》第十修正案[3]，該修正案規(guī)定：“憲法中未明確授予聯(lián)邦政府、也未禁止各州行使的權(quán)力，保留給各州或人民行使”。

　　如果某一項(xiàng)政策在某個(gè)州取得了成功，則可以通過(guò)國(guó)會(huì)法案將其擴(kuò)展到國(guó)家。也有人認(rèn)為，法律負(fù)擔(dān)的分散可以導(dǎo)致一種力量的平衡，從而迫使各行業(yè)在立法過(guò)程中進(jìn)行合作[4]，并采取更加平衡和負(fù)責(zé)的做法。這些政策實(shí)驗(yàn)在美國(guó)的技術(shù)法規(guī)領(lǐng)域中越來(lái)越多地用于在沒(méi)有聯(lián)邦法規(guī)的情況下制定開(kāi)放的互聯(lián)網(wǎng)法律[5]。

　　這種設(shè)計(jì)上的法律分裂有其優(yōu)點(diǎn)，并且可以為美國(guó)和歐洲立法者當(dāng)前有關(guān)使用生物識(shí)別數(shù)據(jù)和人臉識(shí)別技術(shù)的研究提供有趣的啟示。不同于歐洲自下而上和自上而下的監(jiān)管動(dòng)態(tài)，兩者各有優(yōu)缺點(diǎn)。

　　聯(lián)邦法律

　　規(guī)范人臉識(shí)別技術(shù)的商業(yè)用途的首次嘗試是聯(lián)邦貿(mào)易委員會(huì)（FTC）和美國(guó)商務(wù)部國(guó)家電信與信息管理局（NTIA）分別于2012年和2016年發(fā)布的非約束性準(zhǔn)則[6]。前述兩份文件都沒(méi)有為生物識(shí)別信息和人臉識(shí)別技術(shù)提供有價(jià)值的定義。這些文件主要解決了識(shí)別之前的收集和分析，通知和同意的問(wèn)題。

　　2020年2月12日，兩位參議員宣布了名為《人臉識(shí)別的道德使用法案》（Ethical Use of Facial Recognition Act）的立法，旨在保護(hù)消費(fèi)者的隱私免遭“迅速發(fā)展的人臉識(shí)別技術(shù)和數(shù)據(jù)收集活動(dòng)帶來(lái)的過(guò)度監(jiān)視和過(guò)度監(jiān)管”的風(fēng)險(xiǎn)[7]?！度四樧R(shí)別的道德使用法案》將暫停所有聯(lián)邦政府對(duì)人臉識(shí)別技術(shù)的使用，直到國(guó)會(huì)明確通過(guò)關(guān)于數(shù)據(jù)的特定用途的立法，以保護(hù)美國(guó)人的隱私權(quán)。該法案還將禁止聯(lián)邦資金用于州或地方政府投資或購(gòu)買(mǎi)人臉識(shí)別技術(shù)[8]。

　　同時(shí)，美國(guó)國(guó)會(huì)仍在討論出于執(zhí)法目的的人臉識(shí)別技術(shù)部署和使用問(wèn)題，去年11月通過(guò)《人臉識(shí)別技術(shù)保證法案》（Facial Recognition Technology Warrant Act，2019-2020）[9]將迫使執(zhí)法部門(mén)在使用人臉識(shí)別技術(shù)進(jìn)行監(jiān)視前，應(yīng)當(dāng)根據(jù)涉嫌犯罪的內(nèi)容獲取逮捕證，特殊情況可以考慮豁免。該法案要求人臉識(shí)別技術(shù)在執(zhí)法領(lǐng)域的使用，獲批期限最長(zhǎng)為30天，同時(shí)應(yīng)當(dāng)最小程度的獲取，保留和披露涉及的個(gè)人信息。該法案還將對(duì)法官的決定權(quán)進(jìn)行監(jiān)督，要求法官向美國(guó)法院行政辦公室報(bào)備每項(xiàng)申請(qǐng)的審批結(jié)果。

　　各州法律

　　由于沒(méi)有任何聯(lián)邦政府對(duì)人臉識(shí)別技術(shù)的商業(yè)用途進(jìn)行規(guī)范，過(guò)去幾年來(lái)，越來(lái)越多的州開(kāi)始啟動(dòng)立法程序來(lái)處理生物識(shí)別數(shù)據(jù)。

　　伊利諾伊州和德克薩斯州是第一個(gè)考慮該問(wèn)題的國(guó)家。隨后是加利福尼亞，華盛頓，科羅拉多州和阿肯色州（見(jiàn)下圖）。在今年年初，華盛頓州和加利福尼亞州進(jìn)一步出臺(tái)了旨在規(guī)范生物識(shí)別信息使用或向個(gè)人授予新權(quán)利的法案。

　　在紐約，佛羅里達(dá)州，亞利桑那州，馬薩諸塞州，密歇根州，新澤西州，夏威夷州，新罕布什爾州，賓夕法尼亞州，弗吉尼亞州，威斯康星州，馬里蘭州，佛蒙特州，內(nèi)布拉斯加州，明尼蘇達(dá)州，特拉華州，阿拉斯加，蒙大拿州，俄勒岡州等地已就此事展開(kāi)立法辯論。雖然部分法案并未得到通過(guò)，但這種前赴后繼的立法體現(xiàn)了各州間趨于在此問(wèn)題上制定明確的框架來(lái)保護(hù)個(gè)人隱私的趨勢(shì)。

　　BIPA和CCPA中的生物識(shí)別信息

　　伊利諾伊州于2008年通過(guò)了第一項(xiàng)關(guān)于人臉識(shí)別技術(shù)的使用的具有約束力的法律文件。BIPA 受到歐盟數(shù)據(jù)保護(hù)制度的啟發(fā)，要求私人實(shí)體制定書(shū)面政策，提供事先通知并征得個(gè)人的書(shū)面同意，通過(guò)事先建立關(guān)于此類(lèi)信息以及對(duì)生物識(shí)別符的保留期限和披露條件的限制的合理的標(biāo)準(zhǔn)，以保護(hù)該類(lèi)信息。最重要的是，它是在州一級(jí)為個(gè)人提供訴權(quán)的少數(shù)法律文書(shū)之一，當(dāng)私人實(shí)體違反本法規(guī)定時(shí)，原告可以申請(qǐng)違約金和律師費(fèi)等賠償。自2008年生效以來(lái)，該法已成為眾多訴訟和判例法的基礎(chǔ)。

　　2020年5月，美國(guó)公民自由聯(lián)盟（American Civil Liberties Union, ACLU）等組織對(duì)Clearview 提起訴訟[10]，指控其違反了《伊利諾伊州生物識(shí)別信息隱私法》（BIPA），侵犯了伊利諾伊州居民的隱私權(quán)。請(qǐng)求法院命令Clearview 銷(xiāo)毀其所擁有的違反BIPA規(guī)定收集和存儲(chǔ)的所有生物識(shí)別信息（法律另有規(guī)定的除外）；同時(shí)要求Clearview在獲取其生物識(shí)別標(biāo)識(shí)之前，應(yīng)當(dāng)書(shū)面通知所有人并獲得所有人的書(shū)面同意，并書(shū)面告知收集，存儲(chǔ)和使用他們的生物識(shí)別信息的特定目的；要求建立一個(gè)公開(kāi)的書(shū)面政策，統(tǒng)一明確存儲(chǔ)期限等規(guī)范指南。

　　Clearview AI涉訴事件

　　2020/1

　　紐約時(shí)報(bào)披露了人臉識(shí)別科技公司Clearview AI從各大主流網(wǎng)站抓取了 30 億張圖像數(shù)據(jù)，創(chuàng)建了一個(gè)可以用來(lái)秘密跟蹤和遠(yuǎn)程監(jiān)視的工具，為美國(guó)私人企業(yè)，富豪和執(zhí)法機(jī)構(gòu)提供服務(wù)，使用該系統(tǒng)，只需上傳某個(gè)人的面部照片，就可以查看他/她在網(wǎng)上的公開(kāi)照片，包括照片的鏈接地址（如下圖）[11]。

　　2020/2

　　弗吉尼亞州居民Roberson對(duì)Clearview提起訴訟，指控該公司違反了《弗吉尼亞州法典》和《弗吉尼亞州計(jì)算機(jī)犯罪法》（VCCA），該法律賦予人們對(duì)自己對(duì)姓名和圖像進(jìn)行商業(yè)使用的控制權(quán)。[12]

　　2020/2

　　Clearview向Fox News證實(shí)，有人獲得了其所有客戶(hù)的列表、客戶(hù)使用的賬戶(hù)數(shù)量以及客戶(hù)進(jìn)行的搜索數(shù)量。據(jù)CNN，該入侵者沒(méi)有獲得客戶(hù)的任何搜索記錄。

　　2020/2

　　加拿大隱私機(jī)構(gòu)表示，已對(duì) Clearview 展開(kāi)調(diào)查，以確定該公司使用人臉識(shí)別技術(shù)是否符合加拿大隱私法。

　　2020/3

　　司法部長(zhǎng)Donovan對(duì)Clearview 提起訴訟，指控其違反了《佛蒙特州消費(fèi)者保護(hù)法》和《Data Broker  Law》。紐約州還提出了一項(xiàng)初步禁令的動(dòng)議，要求法院下令Clearview 立即停止收集或存儲(chǔ)佛蒙特州人的照片和面部識(shí)別數(shù)據(jù)。[13]

　　2020/3

　　加州居民代表Burke對(duì)Clearview 提起集體訴訟，指控該公司采集生物特征數(shù)據(jù)違反《加州消費(fèi)者隱私保護(hù)法》（CCPA）。[14]

　　2020/5

　　美國(guó)公民自由聯(lián)盟（American Civil Liberties Union, ACLU）等組織對(duì)Clearview 提起訴訟，指控其違反了《伊利諾伊州生物識(shí)別信息隱私法》（BIPA），侵犯了伊利諾伊州居民的隱私權(quán)。

　　2020/7

　　英國(guó)信息專(zhuān)員辦公室（UK Information Commissioner's  Office, ICO）和澳大利亞信息專(zhuān)員辦公室（Office of  the Australian Information Commissioner, OAIC）宣布對(duì)Clearview和今年2月發(fā)生的數(shù)據(jù)泄露事件進(jìn)行聯(lián)合調(diào)查。

　　2020/8

　　美國(guó)國(guó)土安全部（The US Department of Homeland  Security, DHS）與Clearview簽署了標(biāo)的224000美元的合同，允許移民和海關(guān)執(zhí)法局（Immigration  and Customs Enforcement, ICE）使用Clearview的人臉識(shí)別技術(shù)。[15]

　　2020

　　Clearview聘請(qǐng)《第一修正案》律師Floyd Abrams，與涉及Clearview AI的案件有關(guān)的《第一修正案》具有潛在的突破性意義。Floyd Abrams  表示：有可能就21世紀(jì)隱私權(quán)聲明與第一修正案答辯之間的相互關(guān)系做出重大決定，潛在的法律問(wèn)題有一天可能會(huì)提交最高法院。

　　本圖來(lái)自黑鏡第二季第四集

　　雖然目前尚未獲得該案的判決結(jié)果，但2019年1月伊利諾伊州最高法院對(duì)Six Flags公司的裁定同樣具有借鑒意義[16]–法院提出生物特征識(shí)別信息具有不可逆性，保護(hù)程序至關(guān)重要，并指出私人訴權(quán)是唯一可用的執(zhí)行機(jī)制。法院裁定“即使沒(méi)有證據(jù)證明原告的實(shí)際損害，侵犯行為本身（即未征得個(gè)人同意）也足以支持個(gè)人或客戶(hù)的法定訴訟理由”。

　　然而，嚴(yán)苛的聯(lián)邦法律要求原告提起事實(shí)損害賠償，事實(shí)損害必須是具體的，實(shí)際發(fā)生和迫在眉睫的，排除推測(cè)性或假設(shè)性傷害。在某些情況下，這一立場(chǎng)為BIPA的訴訟提供了支持依據(jù)，如Heard v. Becton, Dickinson& Co案和Hunter v.Automated Health Systems案。如果聯(lián)邦法院對(duì)訴訟擁有管轄權(quán)，則判決結(jié)果可能不利于隱私主體。

　　2018年的加利福尼亞州通過(guò)了CCPA 向消費(fèi)者授予了一些可訴諸的權(quán)利。