美国人脸识别的法律规范—拼凑式（Patchwork）的范式[1]

　　法律拼凑的概念源于美国关于“民主实验室（Laboratories of democracy）”的学说，该学说源于New State Ice Co v. Liebmann, 1932[2]）一案，该案的大法官Brandeis认为，由某个州的公民来选择，让这个州作为实验室，去尝试新的社会和经济模式，同时也不会对其他地区构成威胁。

　　民主实验室的学说在联邦制的框架内塑造了美国各州的自治权，这些州被用作社会“实验室”，以类似于科学方法的方式制定和检验法律和政策。该学说根植于《美国宪法》第十修正案[3]，该修正案规定：“宪法中未明确授予联邦政府、也未禁止各州行使的权力，保留给各州或人民行使”。

　　如果某一项政策在某个州取得了成功，则可以通过国会法案将其扩展到国家。也有人认为，法律负担的分散可以导致一种力量的平衡，从而迫使各行业在立法过程中进行合作[4]，并采取更加平衡和负责的做法。这些政策实验在美国的技术法规领域中越来越多地用于在没有联邦法规的情况下制定开放的互联网法律[5]。

　　这种设计上的法律分裂有其优点，并且可以为美国和欧洲立法者当前有关使用生物识别数据和人脸识别技术的研究提供有趣的启示。不同于欧洲自下而上和自上而下的监管动态，两者各有优缺点。

　　联邦法律

　　规范人脸识别技术的商业用途的首次尝试是联邦贸易委员会（FTC）和美国商务部国家电信与信息管理局（NTIA）分别于2012年和2016年发布的非约束性准则[6]。前述两份文件都没有为生物识别信息和人脸识别技术提供有价值的定义。这些文件主要解决了识别之前的收集和分析，通知和同意的问题。

　　2020年2月12日，两位参议员宣布了名为《人脸识别的道德使用法案》（Ethical Use of Facial Recognition Act）的立法，旨在保护消费者的隐私免遭“迅速发展的人脸识别技术和数据收集活动带来的过度监视和过度监管”的风险[7]。《人脸识别的道德使用法案》将暂停所有联邦政府对人脸识别技术的使用，直到国会明确通过关于数据的特定用途的立法，以保护美国人的隐私权。该法案还将禁止联邦资金用于州或地方政府投资或购买人脸识别技术[8]。

　　同时，美国国会仍在讨论出于执法目的的人脸识别技术部署和使用问题，去年11月通过《人脸识别技术保证法案》（Facial Recognition Technology Warrant Act，2019-2020）[9]将迫使执法部门在使用人脸识别技术进行监视前，应当根据涉嫌犯罪的内容获取逮捕证，特殊情况可以考虑豁免。该法案要求人脸识别技术在执法领域的使用，获批期限最长为30天，同时应当最小程度的获取，保留和披露涉及的个人信息。该法案还将对法官的决定权进行监督，要求法官向美国法院行政办公室报备每项申请的审批结果。

　　各州法律

　　由于没有任何联邦政府对人脸识别技术的商业用途进行规范，过去几年来，越来越多的州开始启动立法程序来处理生物识别数据。

　　伊利诺伊州和德克萨斯州是第一个考虑该问题的国家。随后是加利福尼亚，华盛顿，科罗拉多州和阿肯色州（见下图）。在今年年初，华盛顿州和加利福尼亚州进一步出台了旨在规范生物识别信息使用或向个人授予新权利的法案。

　　在纽约，佛罗里达州，亚利桑那州，马萨诸塞州，密歇根州，新泽西州，夏威夷州，新罕布什尔州，宾夕法尼亚州，弗吉尼亚州，威斯康星州，马里兰州，佛蒙特州，内布拉斯加州，明尼苏达州，特拉华州，阿拉斯加，蒙大拿州，俄勒冈州等地已就此事展开立法辩论。虽然部分法案并未得到通过，但这种前赴后继的立法体现了各州间趋于在此问题上制定明确的框架来保护个人隐私的趋势。

　　BIPA和CCPA中的生物识别信息

　　伊利诺伊州于2008年通过了第一项关于人脸识别技术的使用的具有约束力的法律文件。BIPA 受到欧盟数据保护制度的启发，要求私人实体制定书面政策，提供事先通知并征得个人的书面同意，通过事先建立关于此类信息以及对生物识别符的保留期限和披露条件的限制的合理的标准，以保护该类信息。最重要的是，它是在州一级为个人提供诉权的少数法律文书之一，当私人实体违反本法规定时，原告可以申请违约金和律师费等赔偿。自2008年生效以来，该法已成为众多诉讼和判例法的基础。

　　2020年5月，美国公民自由联盟（American Civil Liberties Union, ACLU）等组织对Clearview 提起诉讼[10]，指控其违反了《伊利诺伊州生物识别信息隐私法》（BIPA），侵犯了伊利诺伊州居民的隐私权。请求法院命令Clearview 销毁其所拥有的违反BIPA规定收集和存储的所有生物识别信息（法律另有规定的除外）；同时要求Clearview在获取其生物识别标识之前，应当书面通知所有人并获得所有人的书面同意，并书面告知收集，存储和使用他们的生物识别信息的特定目的；要求建立一个公开的书面政策，统一明确存储期限等规范指南。

　　Clearview AI涉诉事件

　　2020/1

　　纽约时报披露了人脸识别科技公司Clearview AI从各大主流网站抓取了 30 亿张图像数据，创建了一个可以用来秘密跟踪和远程监视的工具，为美国私人企业，富豪和执法机构提供服务，使用该系统，只需上传某个人的面部照片，就可以查看他/她在网上的公开照片，包括照片的链接地址（如下图）[11]。

　　2020/2

　　弗吉尼亚州居民Roberson对Clearview提起诉讼，指控该公司违反了《弗吉尼亚州法典》和《弗吉尼亚州计算机犯罪法》（VCCA），该法律赋予人们对自己对姓名和图像进行商业使用的控制权。[12]

　　2020/2

　　Clearview向Fox News证实，有人获得了其所有客户的列表、客户使用的账户数量以及客户进行的搜索数量。据CNN，该入侵者没有获得客户的任何搜索记录。

　　2020/2

　　加拿大隐私机构表示，已对 Clearview 展开调查，以确定该公司使用人脸识别技术是否符合加拿大隐私法。

　　2020/3

　　司法部长Donovan对Clearview 提起诉讼，指控其违反了《佛蒙特州消费者保护法》和《Data Broker  Law》。纽约州还提出了一项初步禁令的动议，要求法院下令Clearview 立即停止收集或存储佛蒙特州人的照片和面部识别数据。[13]

　　2020/3

　　加州居民代表Burke对Clearview 提起集体诉讼，指控该公司采集生物特征数据违反《加州消费者隐私保护法》（CCPA）。[14]

　　2020/5

　　美国公民自由联盟（American Civil Liberties Union, ACLU）等组织对Clearview 提起诉讼，指控其违反了《伊利诺伊州生物识别信息隐私法》（BIPA），侵犯了伊利诺伊州居民的隐私权。

　　2020/7

　　英国信息专员办公室（UK Information Commissioner's  Office, ICO）和澳大利亚信息专员办公室（Office of  the Australian Information Commissioner, OAIC）宣布对Clearview和今年2月发生的数据泄露事件进行联合调查。

　　2020/8

　　美国国土安全部（The US Department of Homeland  Security, DHS）与Clearview签署了标的224000美元的合同，允许移民和海关执法局（Immigration  and Customs Enforcement, ICE）使用Clearview的人脸识别技术。[15]

　　2020

　　Clearview聘请《第一修正案》律师Floyd Abrams，与涉及Clearview AI的案件有关的《第一修正案》具有潜在的突破性意义。Floyd Abrams  表示：有可能就21世纪隐私权声明与第一修正案答辩之间的相互关系做出重大决定，潜在的法律问题有一天可能会提交最高法院。

　　本图来自黑镜第二季第四集

　　虽然目前尚未获得该案的判决结果，但2019年1月伊利诺伊州最高法院对Six Flags公司的裁定同样具有借鉴意义[16]–法院提出生物特征识别信息具有不可逆性，保护程序至关重要，并指出私人诉权是唯一可用的执行机制。法院裁定“即使没有证据证明原告的实际损害，侵犯行为本身（即未征得个人同意）也足以支持个人或客户的法定诉讼理由”。

　　然而，严苛的联邦法律要求原告提起事实损害赔偿，事实损害必须是具体的，实际发生和迫在眉睫的，排除推测性或假设性伤害。在某些情况下，这一立场为BIPA的诉讼提供了支持依据，如Heard v. Becton, Dickinson& Co案和Hunter v.Automated Health Systems案。如果联邦法院对诉讼拥有管辖权，则判决结果可能不利于隐私主体。

　　2018年的加利福尼亚州通过了CCPA 向消费者授予了一些可诉诸的权利。