个人 Zellmer 根据伊利诺伊州《生物识别信息隐私法》(Biometric Information Privacy Act, BIPA)起诉 Facebook 公司(现更名为 Meta)侵犯其个人隐私权一案。该案件与由同一法院多年主持审理的第 15-cv-3747-JD 号“In re Facebook 生物识别信息隐私权诉讼案”(In re Facebook)在事实和法律方面存在重叠。后一案件最终以 Facebook 向伊利诺伊州用户支付 6.5 亿美元和解。两案的主要区别在于 Zellmer 从未注册过 Facebook 账户,也从未使用过 Facebook 的服务,这导致两案走向完全不同的结果。下面将对 Zellmer 案进行详细分析。
案件背景
2010 年,Facebook 推出了一项名为标签建议的功能。如果用户启用标签建议,Facebook“会分析该用户的 Facebook 好友是否在该用户上传的照片中”,如果匹配,Facebook 会建议用户“标记”他的好友。标签建议功能分四个步骤进行。第一步是检测阶段。Facebook 分析照片以确定其中是否包含人脸。如果 Facebook 检测到人脸,它会生成一张人脸的裁剪图像。此阶段不会执行任何其他操作。下一步是对齐阶段。Facebook 会获取任何一张裁剪过的脸部图像,并通过居中、向前移动和缩放来对其进行标准化。Facebook 并不总是能够成功地标准化照片中检测到的脸部。但如果对齐成功,Facebook 就会进入最重要的第三步——表现阶段。
Facebook 将创建“人脸签名”。人脸签名是一串数字,代表一张特定的人脸图像。这些数字既不显示面部特征,也不显示五官之间的距离,它们只是在之前阶段创建的对齐人脸裁剪图的抽象数字表示。所有人包括 Facebook 都不能对构成特定人脸签名的数字进行逆向工程以得出有关某人的面部信息。最后一步是分类阶段,该阶段在创建人脸签名后立即进行。Facebook 将人脸签名与已启用人脸识别并与上传 Facebook 创建人脸签名的照片的用户有联系的用户的人脸模板进行比较,不对非用户进行比较。无论比较结果是否匹配,都会立即删除人脸签名。
Zellmer 的照片被他的朋友上传到了 Facebook,由于他的朋友开启了标签建议功能,Zellmer 的照片被扫描并进行匹配。Zellmer 的非用户身份使得 Facebook 并未能对他进行标记。但事后 Zellmer 起诉了 Facebook 公司,认为 Facebook 的标签建议功能侵犯了他的隐私权,并根据 BIPA 提出了两项诉讼请求。首先,他根据第 15(a) 条指控 Facebook “拥有” 生物识别数据,但没有公布令人满意的“保留时间表”。其次,他根据第 15(b) 条指控 Facebook “收集” 或“捕获” 未经适当同意的生物特征数据。
地方法院就 Zellmer 以第 15(b) 条为由提出的诉讼请求做出了即决判决,认定该法定条款不保护非用户的隐私权益,且 BIPA 的立法原旨是“不应给企业带来特别的负担”。地方法院驳回了根据第 15(a) 条提出的诉讼请求的简易判决申请,认为存在需要通过普通审判程序解决的事实争议。
法律分析
BIPA 第 15(a) 条:掌握生物识别标识符或生物识别信息的私人实体必须制定并公开一项书面政策,该政策应建立一个保留时间表和指南,用于在满足收集或获取此类标识符或信息的初衷目的后,或者在个体与私人实体最后一次互动后的 3 年内(以先实现的时间为准)永久销毁生物识别标识符和生物识别信息。除非有管辖权的法院发出的有效搜查令或传票,掌握生物识别标识符或生物识别信息的私人实体必须遵守其确定的保留时间表和销毁指南。
BIPA 第 15(b) 条:任何私人实体不得收集、获取、购买、通过交易接收或以其他方式获得个人的或客户的生物识别标识符或生物识别信息,除非它首先
(1) 以书面形式告知被收集者或其法定授权代表,正在收集或存储生物识别标识符或生物识别信息;
(2) 以书面形式告知被收集者或其法定授权代表,收集、存储和使用生物识别标识符或生物识别信息的具体目的和期限;
(3) 获得由被收集者或其法定授权代表签署的生物识别标识符或生物识别信息的书面授权书。
1. BIPA的立法原意
1.1 生物识别安全应用的广泛使用现状
生物识别技术通过分析和识别个人的生物特征(如指纹、面部、虹膜等)来验证身份。由于其独特性和难以伪造的特点,生物识别技术在安全应用中具有显著优势,并且其使用正变得越来越普遍。个人、学校、医院、企业和政府越来越多地使用生物识别安全应用程序。
虽然生物识别安全应用各不相同,但它们都能检测到生物识别信息,以区分注册和未注册的个人。这就不可避免地需要对未知个人进行扫描,而生物识别安全系统从未遇到过这些人,系统所有者无法向他们发出通知,也无法获得他们的书面同意。
1.2 BIPA 适用性
伊利诺斯州议会制定了 BIPA,议会鼓励生物识别技术的发展和使用,同时保护伊利诺伊州居民的隐私,特别是与金融账户相关的生物识别数据。这一法定意图反映在 BIPA 的文本和结构中,这表明它仅涵盖某些类型和生物识别数据的使用。具体来说,BIPA 不约束不用于识别个人的生物识别扫描,也不约束立即删除的数据的临时扫描。
BIPA 不适用于短暂扫描或即时删除的生物识别标识符或生物识别信息,它只适用于生物识别应用程序保留的信息。此处应当结合第 15 条的 “拥有” 等相关用语的定义来理解。
以 “拥有” 为例,BIPA 并没有定义在第 15(a) 条下 “拥有” 生物识别数据的含义。因此,该术语应按照其普通含义来理解。根据伊利诺伊州最高法院的说法,“拥有” 的普通含义是 “拥有或取得某人控制或支配之下的行为或状态”,或者是 “拥有或持有财产的事实” 或 “对财产的支配行使”。而本案中 Facebook 标签建议程序在识别用户后会立即删除扫描的生物识别数据,这种短暂扫描并未达到 BIPA 下 “拥有” 的程度,自然也不会达到 “收集、存储” 等更高级别,也就没有被出售、泄露的风险。
2. 法院在Zellmer 议案对 BIPA 的解读
2.1 BIPA 仅约束企业与用户之间的生物识别程序
BIPA 旨在应用于企业与客户之间的互动,即 BIPA 适用于个人与可能收集生物识别信息的实体之间至少存在最低程度的已知接触的情况,但 Zellmer 及相关非用户主体对 Facebook 来说是完全陌生的。并且议会并没有打算让 BIPA 管理所有的生物识别应用,BIPA 旨在通过对某些情况下某些类型的生物识别数据的某些使用实施量身定制的法规来实现这一目标,正对应伊利诺伊州最高法院关于 BIPA 不应给企业造成特殊负担的裁定。
2.2 Zellmer 的主张在实际情况中缺乏可操作性
Zellmer 在诉讼中提到,未经书面同意就进行面部识别可能违反 BIPA,但这一观点在实际应用中存在诸多问题。首先,要求 Facebook 识别并联系每一位非用户以获取同意是不现实的,这极大地增加了平台的运营成本,且平台联系非用户将需要获取其联系方式并与其照片匹配,侵犯了个人的隐私权。其次,按 Zellmer 主张的通过在伊利诺伊州的用户作为非用户的“合法授权代表”来确认同意的做法在实践中难以操作,且 BIPA 对于代理关系的框架并不明确。此外,要求用户在进行面部扫描前获得照片中每个人的书面许可,在公共场合拍摄的照片分享中几乎是不可能的,因为这要求用户对照片中的每个面孔进行严格的审查和同意获取,这将严重限制人们在社交媒体上分享日常生活照片的自由。因此,Zellmer 的解释在实际操作中存在难以克服的困难,如果采纳将会导致生物识别安全应用无法满足合法性要求。
2.3 无法识别特定个人的扫描结果不是“生物识别标识符”或“生物识别信息”
BIPA 对收集或存储某些类型的生物特征数据的私营实体进行监管,包括对收集此类数据实行知情同意制度,并要求公布保留时间表。根据文本,BIPA 只规范 “生物识别标识符” 和 “生物识别信息”。此二者仅限于可以用来识别特定个体的数据,即当一个生物识别系统扫描的数据不能用来识别数据所属的人——因为那个人没有在该系统中注册等原因——这些数据就不是 BIPA 规定的“生物识别标识符”或“生物识别信息”。具体原因如下:
从法律文本的解释原则来看,法院对法律条款的解释应该符合“常识”,并避免造成“荒谬、不方便或不公正的结果。其一,对法律术语的解释应从文义解释出发,BIPA 第 10 条定义的“生物识别标识符”是指视网膜或虹膜扫描、指纹、声纹或手或脸的几何形状扫描。该定义下列举的项目都是识别特定个人的手段,比如“声纹”在《布莱克法律词典》中的解释为“由机器形成的一种独特的,通过测量人类的声音以识别单个说话者的曲线和螺旋图案”。
其二,当采取文义解释尚有歧义时,可以采取“结合上下文”的体系解释方法。同一法条定义的“生物识别信息”是基于用以识别个人的生物特征标识符的任何信息,无论其如何被获取、转换、存储或共享。在“生物识别信息”的定义中增加了“用于识别个人”一词,由于 BIPA 将“生物特征标识符”和“生物特征信息”纳入相同的规定,合理的解释是两者应同时被理解为排除了不用于识别特定个体的生物特征数据。
这种对 BIPA 关键条款的理解在“整体阅读法规并考虑所有相关部分”时得到进一步证实。第 15(e) 条要求按照“其他机密和敏感信息”的处理标准处理生物识别标识符和生物识别信息。而 BIPA 第 10 条将“其他机密和敏感信息”定义为“可用于唯一识别个人或个人账户或财产的个人信息”。因此,只有当“生物识别标识符”和“生物识别信息”仅限于——就像“其他机密和敏感信息”——生物识别应用程序可以用来识别特定个体的数据时,BIPA 才能被视为一个“和谐的整体”。此外,从法典编排的体系来看,BIPA 将普通法中隐私权编入法典,该部分对隐私侵权的定义为,只有披露是“关于原告的可识别信息”才构成侵犯隐私。
其三,从立法目的进行解释,BIPA 第15(b)条规定的“同意”制度要求收集生物识别数据的企业告知个人收集的原因并获得个人的书面同意,立法机构不可能想要将这一知情同意要求适用于系统因无法识别而无法获得其同意的对象。
3. 法院未对 Zellmer 的第二项诉讼请求做出简易判决
Zellmer 与 Facebook 进行了复杂的争论,法院认为这涉及重要事实的典型争议,需要通过审判来解决。例如,Facebook 称,如果确定与现有脸部模板不匹配,就会删除脸部签名。Zellmer 反驳,Facebook 存储了生物识别信息以供日后使用。Zellmer 说,Facebook 面部识别技术的所有步骤以及由此产生的数据都构成了对面部几何形状的扫描。Facebook 称事实并非如此。此外,双方对面部签名能否识别非用户存在争议。Facebook 的一名工程师称,脸部签名对于识别未知人脸毫无用处,因为它们只能与 Facebook 现有的脸部模板一起使用。Zellmer 则否认这一说法。
综以上,法院驳回了对 Zellmer 的诉讼请求。
合规建议
正如本案法院所说,生物识别应用程序在社会上的利用范围越来越广,其为生活带来巨大便利化的同时也产生了大量的隐私安全问题。《伊利诺伊州生物识别信息隐私法》(BIPA)为生物识别信息的收集、存储和使用设定了明确的法律框架,但最重要的条件是企业只有在收集和使用“可识别特定个人”的生物识别数据时,才需要遵守 BIPA。
在应用生物识别系统时,企业可能面临的隐私合规风险包括未经(可识别的个人)同意收集数据、数据泄露、缺乏透明度以及数据保留期限问题。这些风险可能导致侵犯个人隐私、法律诉讼和声誉损害。为了应对这些风险,企业应采取一系列措施,包括在收集生物识别信息前获得数据主体的明确书面同意,制定并公开生物识别数据的收集、使用和保护政策,加强数据安全措施如加密和访问控制,制定并遵守生物识别数据的保留与销毁政策,以及在数据泄露时有应急计划以迅速响应并采取措施。此外,企业应仅收集实现业务目的所必需的数据,并限制数据的存储时间,以最小化潜在的隐私风险。通过这些综合措施,企业可以在有效利用生物识别技术的同时,确保个人隐私得到妥善保护,降低诉讼和声誉风险。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。
创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。