《人工智能法案》关于生物识别技术的治理
2024-06-21 15:06:59 | 来源:人民法院报 | 作者:苏可
 

  2024年5月21日,欧盟理事会正式批准了《人工智能法案》(以下简称《法案》)。《法案》为生物识别技术的应用划定了“红线”,明晰了生物识别技术禁用与豁免的范畴,竭力在安全与发展的双重向度上作出平衡。另一方面,《法案》确立了“公私共治”的生物识别技术应用治理格局,以风险管理、个人权利影响评估、合格认证等合规措施为依托,力图在促进该技术健康发展的基础上,实现对个人权益和生物数据安全的最大保护。

  生物识别的概念与生物数据的范畴。《法案》明确了“生物数据”的范畴。数据是搭建算法模型、推动人工智能系统运行的前提和基础,自然人的生物特征只有完成数据化,才具备应用和挖掘的可能。《法案》对生物数据的定义承继了《通用数据保护条例》的规定,即仍将其视作为通过对自然人的身体、生理或行为特征进行特定的技术处理所得到的个人数据,包括人脸图像与指纹数据。同时,《法案》进一步指出了眼球运动、体形、声音、步态、姿势、心率、血压、气味、击键特征等亦属于生物数据之范畴。

  《法案》对“生物识别”与“生物验证”进行了区分。“生物识别”是指自动识别人的身体、生理、行为或心理特征,通过将该自然人的生物数据与数据库中存储的个人生物数据进行比较,以确定其身份。而“生物验证”是指通过自动化和一对一验证的方式,将个人生物数据与之前提供的个人数据进行比较,以验证其身份。两者的区别在于,前者主要是通过数据比对的方式来确定个人身份,而不论个人是否同意;后者虽然也涉及身份的验证,但其主要目的是获得服务、解锁设备或安全进入场所。

  《法案》还进一步列举了应用生物识别技术的人工智能系统类型,主要有:(1)情感识别系统,旨在根据自然人的生物数据识别或推断人的情感或意图;(2)生物分类系统,即根据自然人生物数据将其归入到特定类别的人工智能系统;(3)远程生物识别系统,即在没有自然人主动参与的情形下,通过数据比对,远距离识别自然人身份。该系统又进一步划分为实时远程生物识别系统与事后远程生物识别系统,前者主要是在实时或无明显延迟的情形下运行的,后者则涵盖了除实时远程生物识别系统之外的所有远程生物识别系统。

  生物识别系统的风险类别。基于人工智能系统对个人和社会的可能影响,《法案》提出了一种“风险分级分类”的治理框架,将其划分为不可接受风险、高风险、有限风险和最小风险四类,每个风险类别适用不同程度的监管要求。

  《法案》附件三将生物识别系统纳入到第6条第2款所指称的高风险系统,其中包括远程生物识别系统、生物分类系统和情感识别系统。可见,欧盟已将除“生物验证”外的所有生物识别系统都纳入到了高风险类别当中。值得注意的是,生物识别系统若应用于《法案》第5条所规定的禁用情形中,则应归属于不可接受的风险类别。这一规定说明,生物识别系统的风险类别会随着应用场景的变化而影响其风险等级的评判,相应地,监管措施和力度亦会随之变化。

  生物识别系统的禁用范围。《法案》第5条列明了禁止使用有关生物识别系统的情形:第一,禁止通过互联网或闭路电视录像中无差别地抓取面部图像来创建或扩展面部识别数据库。第二,禁止在工作场所和教育机构领域推断自然人的情绪,但出于医疗或安全目的等实践除外。第三,禁止使用生物分类系统对自然人进行个体层面的分类,以推导或推测自然人的种族、政治观点、工会成员身份、宗教或哲学信仰、性生活或性取向。但这既不包括对合法获取的生物数据集进行标注或过滤的活动,也不包括执法领域中对生物数据进行分类的活动。第四,一般情况下,禁止为执法目的使用实时远程生物识别系统,同时严格禁止使用该生物识别系统对自然人进行风险评估。

  由此可见,欧盟在立法中极为重视对个人敏感信息和基本权利的保护,尽可能地避免个人隐私遭受侵犯。同时,《法案》也试图限制生物识别系统在敏感生物数据推测和分类方面的实践,以此减少个人可能面临的社会排斥以及歧视性待遇。

  生物识别系统在执法领域中的禁用豁免。《法案》在执法领域中确立了“原则禁止﹢例外豁免”的模式。其中,实时远程生物识别系统的应用豁免包括以下情形:(1)寻找绑架、贩卖人口以及性剥削等犯罪的受害者,包括寻找失踪人员;(2)防止对自然人的生命或人身安全构成具体、实质性和紧迫的威胁,或防止真正存在及真正可预见的恐怖袭击威胁;(3)确定《法案》附件二所列刑事犯罪行为人或犯罪嫌疑人的位置或身份,同时这些刑事犯罪行为在有关会员国可被判处监禁或拘留,且最长期限至少为四年。而事后远程生物识别系统在一般情况下同样被禁止普遍用于执法领域,不过,在与刑事犯罪、刑事诉讼、真实存在或可预见的犯罪威胁或寻找特定失踪人员等情况相关联时,该系统仍可获得应用部署。但总体而言,司法机关和有关行政机关均不得仅依据远程生物识别系统的输出结果对个人作出法律上不利的决定。

  鉴于生物识别系统潜在的风险性与侵益性,该系统在执法当中的应用必须遵循“严格必要”原则。其一,生物识别系统的使用必须服务于重大公共利益,且其重要性必须大于可能的风险。其二,生物识别系统的应用在可预见的程度上应当是必要且成比例的,如果采取其他方案或技术措施也能达至相同目的,则应优先选择其他非生物识别的措施。其三,对生物识别系统的使用必须限制在严格必要的最低限度,并且应具备法律规定的适当的保障措施及条件,不得损害自然人数据主体的权利和自由。总之,生物识别系统的应用需始终以合法、相称和严格必要的方式进行。

  生物识别系统应用的合规措施。为进一步控制生物识别系统应用过程中的风险,《法案》提出了一系列的合规要求:

  一是要强化风险控制能力。要求应建立、实施、记录和维护与高风险生物识别系统有关的风险管理系统,分析和评估生物识别系统在预期用途或滥用、误用条件下产生的预期风险,以此来确定和减轻该系统对自然人健康、安全和基本权利的相关风险。

  二是要明确高风险人工智能系统部署者义务。该义务包括确保人工监督、留存系统日志、告知系统部署影响、向执法机关提交年度报告等。

  三是要做好基本权利的影响评估。要求生物识别系统在提供服务前必须对基本权利产生的可能影响进行评估,包括说明预期目的下该系统的使用过程,系统使用的期限和频率,系统适用所影响的自然人和群体的类别以及可能产生的具体损害风险等等,并建立内部管理和投诉机制。

  四是明确提出透明度要求。生物识别系统的开发和使用方式应允许适当的可追溯性和可解释性,同时要保障公民个人的知情权,避免其在不知情的状态下使用该系统。

  五是要通过合格性评估。生物识别系统投入市场和提供服务前,应向主管机关提供该系统开发过程的描述,以及关于系统检测、运作和控制的描述等相关必要信息。

  六是要符合欧盟安全合格认证。为表明符合欧盟法律要求,生物识别系统作为高风险类别应加贴欧盟安全合格认证标志,以便该系统产品能够在欧盟市场自由流通。

  除上述要求外,生物识别系统还应尽可能地满足技术稳健性与准确性的要求。

  《法案》对全球生物识别治理的潜在影响。欧盟对于生物识别系统的开发应用采取严格管控的态度,推出的治理规则具有一定的开创性和预见性,《法案》将对全球生物识别治理产生影响。

  其一,在规则建构方面,《法案》能够为其他国家和地区的生物识别立法提供有益参考。在此过程中,欧盟可基于其庞大的内部市场及制度框架影响全球监管标准的制定,全球生物识别治理规则也会在相关问题的处理上体现出一定的趋同性。

  其二,在权利保护方面,《法案》致力于维护个人隐私及生物信息安全,保障个人在公共领域中的匿名选择自由等权益,并尝试将道德伦理与人文关怀等价值要素融入其中。这些举措有利于引导全球生物识别治理实践回归以人为中心的轨道,避免过度的技术狂欢。

  其三,在合规措施方面,《法案》为欧盟本土以及希望进入欧盟市场的其他国家的生物识别系统产品提供了相对明确的标准,让系统开发者、部署者等相关主体避免了规则不明的风险。同时,生物识别技术安全合规地应用是保障该技术稳健发展的“压舱石”,《法案》的出台会促使世界各国更加审慎地对待有关生物识别的监管措施。

  其四,在技术路线方面,基于《法案》的高标准与严格性,相关主体在开发和部署生物识别技术时应更加注重隐私、安全和风险预防,而这可能推动更为安全的、以隐私保护为中心的技术创新,并重构公民对生物识别等新兴技术的信任。

  尽管欧盟在生物识别立法当中走在发展前沿,但这并不意味着其他国家要亦步亦趋地进行规则移植与对接,而是要在平衡安全和发展的基础上,确立规则层面的最优解。

  (作者单位:中南财经政法大学法学院)

责任编辑:张婧