日前，美國加州的一名聯(lián)邦法官裁定3名伊利諾伊州男子可以繼續(xù)他們針對Facebook的集體訴訟。原告認為，F(xiàn)acebook的面部識別系統(tǒng)軟件侵犯了用戶的隱私權(quán)。之前，Adam Pezen、Carlo Licata、Nimesh Patel三人于2015年分別針對Facebook的侵權(quán)提起訴訟。三起案件于去年夏天移交到加州北區(qū)法院（Northern District of California court）合并審理。

原告方在訴訟中稱，根據(jù)《伊利諾伊州生物特征信息隱私法》（Illinois Biometric Information Privacy Act）的要求，F(xiàn)acebook在基于上傳照片的臉部特征創(chuàng)建或存儲用戶臉部模板時需要征得用戶同意。

生物識別技術(shù)是指通過計算機與光學(xué)、聲學(xué)、生物傳感器等技術(shù)手段相結(jié)合，利用人體固有的生理特性（如指紋、臉象、虹膜等）和行為特征（如筆跡、聲音、步態(tài)等）來進行個人身份的識別與鑒定。

在2008年施行的《伊利諾伊州生物特征信息隱私法》認為，“盡管美國很少的州規(guī)定了生物特征數(shù)據(jù)的采集、應(yīng)用和保存，但很多公眾在希望保護自己的生物數(shù)據(jù)時卻無法可依。”

美對生物識別立法仍慎重

近年來，生物識別技術(shù)在商業(yè)及安全檢查領(lǐng)域的應(yīng)用日漸頻繁，它簡化了金融交易和安全檢查的手續(xù)。伊利諾伊州的立法者稱，眾多跨國公司在芝加哥以及伊利諾伊州的其他城市展開了生物識別技術(shù)的推廣應(yīng)用，商店、加油站、學(xué)校食堂等都在試用指紋掃描支付等新興技術(shù)。

但生物特征數(shù)據(jù)的特殊性在于，它是每個人唯一、獨特且不可更改的標識。在結(jié)合了金融支付等技術(shù)后，生物特征數(shù)據(jù)的保護顯得尤為重要。鑒于此，《伊利諾伊州生物特征信息隱私法》從主體資格及法律程序角度規(guī)定了生物數(shù)據(jù)的保留、采集、披露、銷毀，此外還規(guī)定了相應(yīng)的救濟手段。

上述案件中，原告認為，依據(jù)《伊利諾伊州生物特征信息隱私法》，私人實體公司（private entity）無權(quán)收集用戶的生物數(shù)據(jù)，除非它取得了授權(quán)代表的書面授權(quán)。而Facebook顯然沒有取得用戶的授權(quán)。

在法庭辯論中，F(xiàn)acebook認為用戶可以選擇關(guān)掉照片臉部識別功能，這樣他們在其他賬戶的照片中就不會被自動識別。不過，關(guān)掉該功能也會刪除用戶個人臉部模板中的數(shù)據(jù)。

Facebook辯稱，該訴訟應(yīng)當根據(jù)公司所在地加利福尼亞州的法律提起。加州沒有與《伊利諾伊州生物特征信息隱私法》類似的法律或政策。然而聯(lián)邦法官James Donato拒絕了Facebook對于適用加州法律審理的要求。法官在意見書中稱，如果批準Facebook的要求，《伊利諾伊州生物特征信息隱私法》就形同虛設(shè)。

盡管依照《伊利諾伊州生物特征信息隱私法》對Facebook不利，北京大學(xué)知識產(chǎn)權(quán)學(xué)院訪問教授孫遠釗仍認為，F(xiàn)acebook敗訴的幾率依舊很小。“網(wǎng)民以民事侵權(quán)起訴Fackbook，如果無法證明自己受到損害，只是猜測將來某一天對方可能會做什么侵犯我的權(quán)益，這是不能作為勝訴依據(jù)的。法律的局限性在于，除非等到具體行為果真發(fā)生，否則很難勝訴。”

孫遠釗認為，本案的意義不在于勝負，而在于關(guān)于生物特征數(shù)據(jù)的立法討論。盡管伊利諾伊州8年前就出臺了相關(guān)法律，但美國各州關(guān)于該領(lǐng)域的立法依舊處于“摸索階段”。“美國的市場環(huán)境不希望法律走得太快，法律走在市場前面，有時會扼殺創(chuàng)新。對有關(guān)科技的立法問題，首先映入眼簾的就是技術(shù)中立原則。”

“技術(shù)中立原則”確立于上世紀70年代的環(huán)球影視和迪士尼訴索尼公司侵權(quán)案。原告認為索尼生產(chǎn)的錄像機可以用作翻錄電影并售賣的侵權(quán)行為，所以索尼公司需要對其錄像機購買者的侵權(quán)行為負責。美國最高法院認為索尼錄像機具有廣泛的、非侵權(quán)商業(yè)用途，即使索尼公司知道其設(shè)備可能被用于侵權(quán)，也不能推定其故意幫助他人侵權(quán)并構(gòu)成“幫助侵權(quán)”。“技術(shù)中立原則”的初衷在于新興技術(shù)免受法律的“錯殺”。

“技術(shù)本身并不能確定有違法的地方，關(guān)鍵在于技術(shù)從事怎樣的應(yīng)用。在技術(shù)的行為模式弄清楚之前，美國法律界對技術(shù)本身的立法會比較慎重。”孫遠釗對21世紀經(jīng)濟報道記者說。

我國生物識別立法還處“空白”

在我國，隨著智能家居及移動互聯(lián)網(wǎng)興起，具備生物數(shù)據(jù)識別的終端設(shè)備及應(yīng)用軟件越來越多。面部識別、指紋解鎖的應(yīng)用更是常見，但中國關(guān)于生物識別領(lǐng)域的立法同樣“空白”。

“生物特征數(shù)據(jù)類型很多，比如指紋、臉紋、DNA等等?？偟膩碇v，國內(nèi)沒有統(tǒng)一的規(guī)定，只有個別領(lǐng)域比如DNA檢測和鑒定方面需要具備相關(guān)資質(zhì)。”知名IT與知識產(chǎn)權(quán)律師趙占領(lǐng)對記者說。

關(guān)于基因檢測的產(chǎn)品，國內(nèi)有《醫(yī)療器械監(jiān)督管理條例》、《醫(yī)療器械注冊管理辦法》、《體外診斷試劑注冊管理辦法》等相關(guān)規(guī)定，但上述規(guī)定是出于對醫(yī)療器械進行管理，而非數(shù)據(jù)保護。

在個人信息方面，《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》及《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》都有涉及，但上述公民網(wǎng)絡(luò)信息范圍僅包括用戶姓名、出生日期、身份證件號碼、賬號和密碼等“能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點等信息”。

由于沒有統(tǒng)一的標準，具體應(yīng)用中，企業(yè)對于生物特征數(shù)據(jù)的操作方式也不一致。以智能手機收集的指紋信息為例，手機中國聯(lián)盟秘書長王艷輝介紹，大多數(shù)高端手機指紋數(shù)據(jù)都保存在名為TEE的安全操作系統(tǒng)中，而TEE系統(tǒng)則存儲在ARM內(nèi)核的TrustZone里，獨立運行。

TrustZone是手機處理器的一部分。“蘋果、三星、華為手機等都是如此。微信、支付寶要支持指紋支付也要求支持TEE。TrustZone的安全級別最高，病毒目前很難訪問。部分低端手機則保存在手機flash里。”王艷輝說。

對于企業(yè)收集用戶生物特征數(shù)據(jù)的行為，記者采訪的法律人士均表示，企業(yè)應(yīng)明確征得用戶同意才可進行。“收集環(huán)節(jié)必須經(jīng)過用戶同意，而且這種同意不僅僅是通過注冊賬號時用戶協(xié)議的默認勾選方式，還應(yīng)該單獨明確地提示給用戶，讓用戶做出同意與否的主動選擇。”趙占領(lǐng)對記者說。

對此，孫遠釗認為，對企業(yè)的規(guī)制包括公法的規(guī)制和私法的規(guī)制，前者指法律，后者指企業(yè)和消費者簽訂的協(xié)議。“協(xié)議內(nèi)容在不違背政策法律的前提下效力大過民事法律，所以用戶要重視這種協(xié)議的約定。”

不過，對于生物特征數(shù)據(jù)的立法問題，兩位學(xué)者的觀點并不一致。趙占領(lǐng)認為，生物特征數(shù)據(jù)不僅涉及個人隱私，還涉及到倫理、遺傳資源保護、生物安全等一系列復(fù)雜的問題，“因此更有必要專門做出具體規(guī)定，從收集的門檻，收集和使用方式的限制以及存儲和具體的安全等級要求等方面進行規(guī)定”。

孫遠釗則傾向采用“輕度規(guī)制”的方式進行市場管理。“要保持適度的彈性和寬松，讓科技的商業(yè)形態(tài)有發(fā)展空間。在規(guī)制嚴格的歐洲很難出現(xiàn)Uber和Airbnb等企業(yè)形態(tài)，但它們都出現(xiàn)在美國。”