新闻第35期 | 美国得克萨斯州起诉谷歌私自收集用户生物识别数据一案

作者｜黄铄媛 香港大学LLM

          曹哲远 华东政法大学本科

          任彦锦 中央财经大学硕士

          汤昊男 中国政法大学硕士

          曹炜嘉 圣路易斯华盛顿大学JSD

编辑｜Morry Mu 纽约大学本科

责编 | Izzy 美国西北大学LL.M.

一、何为生物识别数据

根据得克萨斯州消费者权益保护法，所谓生物识别数据（biometric identifier）指的是生物的虹膜、指纹、声纹或面部特征的记录。唯有通知并征得自然人的同意之后，组织和个人才能将个人的生物识别数据用于商业目的。在过去的十多年里，得克萨斯州一直致力保护得克萨斯州人民的生物识别信息，防止他们的隐私被在未经消费者“通知+同意”就被互联网公司“洗劫一空”。这些被保护的生物识别信息主要包括个人的立体面部信息和声音信息。

作为一项可以“测算和分析自然人身体和行为的工具”，生物识别信息可以准确地识别自然人。因此生物识别信息作为训练算法的基础被广泛地应用于人脸识别技术领域，该技术通过扫描用户上传的照片，与互联网公司之中的用户数据库信息进行对比，帮助社交平台准确发觉并向客户推广他们“可能认识的人”。目前，互联网公司在用户“理性无知”的情况下获得用户的同意，将人脸识别技术藏匿于用户的智能手机之中，在不知不觉之中收集用户甚至非用户的人脸识别信息。

（利用人工智能采集人脸识别信息，图源网络）

当然，生物识别数据的内涵广泛，其概念同样包括一个人的声音，乃至某人的演讲内容。通过分析特定数据点的声纹，高性能算法能够识别个人独特的语音和音调等。随着来自自然人的更多语音被捕获、分析并与来自同一个人的其他记录分组，内嵌于后台的人工智能在识别个体方面变得“更聪明”，并对声纹有更细致的理解。一般来说，像谷歌这样的大型科技公司，在声纹识别领域部署先进的人工智能，只是为特定用户定制产品的又一种方式。

但是高科技互联网公司在大力推进生物识别信息技术发展、为用户提供更为便利和广泛的社交平台的同时，却未能及时处理信息泄漏等因信息技术不成熟而造成的隐患。因此得克萨斯州通过了《生物特征标识符捕获或使用法》（Capture or Use of Biometric Identifier Act, CUBI），以保护每个人的生物识别信息的安全。该法案反映了得克萨斯州政府应对并解决用户敏感信息泄漏隐患的信心和决心。自从该法案通过后，包括检察官Paxton在内的各级政府人员一直努力地推进该法案的实施，他们认为如何使用个人数据的决定权应当归还于人民，而非一直掌握在大公司手中。因此根据得克萨斯州的消费者权益保护法，科技公司在收集个人信息之前不仅需要经过“通知+同意”的程序，此外，在获得个人信息之后必须“在合理的时间之内，但不迟于收集生物识别特征的目的到期之日的一周年”销毁这类信息。

目前，美国已经有伊利诺伊州、纽约和华盛顿州等地颁布了关于生物隐私信息的监管法规。在联邦层面，《国家生物识别隐私法》也已于2020年8月提交国会讨论，有可能成为美国联邦法律。

二、谷歌侵犯得州公民生物识别数据之行为分析

10月20日，得克萨斯州检察长办公室发布声明表示已对谷歌公司提起诉讼，指控谷歌至少自2015年以来，公然无视该州的CUBI，在未获得知情同意的情况下收集了数百万个得州居民的生物识别标识符，包括声纹和面部几何记录，并利用这些数据来改进其人工智能算法，为谷歌商业利益服务。

得克萨斯州于2009年提出了CUBI，禁止个人或公司在未经事先征得同意的情况下获取生物识别标识符或未经授权出售生物识别数据。伊利诺伊州和华盛顿州大约在同一时间通过了类似的生物识别隐私法律。伊利诺伊州的法律允许个人直接起诉公司，而得克萨斯州的法律则要求州必须代表消费者起诉公司。如果因违反CUBI而被定罪，谷歌将面临最高25,000美元的民事罚款。

诉状针对谷歌的三项具体工具提出了侵犯公民生物数据隐私：

诉状显示，本次提起的诉讼主要针对的是谷歌照片应用程序Google Photos、可以通过语音激活并应用于汽车、手机、平板电脑等智能装置上的谷歌助手Google Assistant和谷歌的Nest Hub Max摄像头。

1. Google Photos允许网络用户搜索他们为特定人拍摄的照片：Google Photos系统中的人脸分组（Face Grouping）功能会检测相册中所有照片上的每一张人脸并建立模型，甚至包括背景中的旁观者，再把同类或相似的人脸进行自动化分组归档。

2. Nest摄像头，它可以在识别或未能识别门口的访客时发送警报：检察官指控称，Nest摄像头会记录、储存并分析每一个进入该相机视野的人脸。

3. 语音激活的谷歌助手可以学习识别多达六个用户的声音，为他们的问题提供个性化的答案。当用户开始使用Google Assistant时，Google会记录所听到的声音并进行分析，建立用户声音档案，用以优化Google Assistant针对用户声音的反应。诉状中指出，Google不仅记录了用户的声音，偶然经过、发出声音的朋友、孩子、客人等的声音都会被记录并分析。

此外，该诉讼特别批评了面部识别技术对女性和少数族裔的歧视；并且表示，由于生物数据的独特性，谷歌一旦进行了非法收集的行为，用户难以通过简单的删除或者替换来维护自己的权益。

谷歌公司发言人塞·卡斯塔涅达则表示将积极应诉，并主张照片服务的用户可以自主选择关闭生物特征收集功能，诉状中对他们产品的功能和运作模式的描述并不属实：例如，Google Photos通过对相似的脸进行分组，组织人物的照片的行为只对用户本身可见，并且用户可以轻松关闭此功能。谷歌也不会在Google Photos中使用照片或视频进行广告宣传。Nest Hub Max上的语音匹配和面部匹配功能在默认情况下都处于关闭状态，用户可以选择是否允许Google Assistant识别他们的声音或面部。谷歌表示将在法庭上就相关事实进行一定程度的澄清。

三、类案对比：得州起诉META公司一案——兼谈对我国的启示

在我国，个人可识别信息的保护日渐受到重视。如，《中华人民共和国民法典》第一千零三十四条规定了“生物识别信息”受法律保护，它符合个人信息的特征，是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。在第一千零三十五条规定了处理个人信息的原则“合法、正当、必要，不得过度处理”和四个合法性要件1.征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；2.公开处理信息的规则；3.明示处理信息的目的、方式和范围；4.不违反法律、行政法规的规定和双方的约定。

而在第一千零三十六条，还规定了处理个人信息的民事责任的豁免情形。这些规定共同构成了保护公民生物识别信息的法律基础。此外，国家市场监督管理总局、国家标准化管理委员会根据中华人民共和国国家标准公告（2020年第1号），制定了《信息安全技术个人信息安全规范》（Information security technology—Personal information security specification），该标准由全国信息安全标准化技术委员会（SAC/TC260）归口。该规定具体规定了市场主体处理生物识别信息的流程规范，也是行政机关监管市场主体和作出行政处罚的法律依据。

（《信息安全技术个人信息安全规范》目录，图源国家市场监督管理总局官网）

该规范强化了个人信息主体的权利，包括规定个人信息控制者应向个人信息主体提供查询个人信息的查询、更正、删除服务，有义务为个人信息主体注销账户、提供个人信息副本，响应个人信息主体的请求等。

我国也出现了类似判例，如2021年郭兵与杭州野生动物世界有限公司服务合同纠纷案，其二审判决书在原判决的基础上增判野生动物世界删除郭兵办理指纹年卡时提交的指纹识别信息。该案系因经营者使用人脸识别技术用于入园身份验证引发的服务合同纠纷，对生物识别信息的司法保护具有启发性意义。但是，我国在个人信息保护领域主要通过个人起诉，即私权利主体起诉的方式进行司法保护，这与美国判例主要采用检察官起诉的方式不同。个人起诉，一则诉讼成本太高，大部分遭受侵害的权利主体没有时间精力起诉，其在法律运用、证据收集、庭审参与等方面的能力也不及检察官；二则该份判决只针对原告和被诉企业生效，其是否能发生集团诉讼那样的既判力还存在很大争议，不利于对众多个人信息权利人的保护。因此，如借鉴美国判例，我国可以充分运用检察官公益诉讼制度，来强化对包括生物识别信息在内的个人信息的司法保护。

参考文献

1. Chapter 503.Biomeric Identifiers,Subtitle A.Identifying Information,Title 11.Personal Identity Information,Texas Business and Commerce Code,available at:https://statutes.capitol.texas.gov/Docs/BC/htm/BC.503.htm. 

2.Biometrics,Merriam-Webster(last Oct.28,2022),available at:https://www.merriam-webster.com/dictionary/biometrics. 

3.Plantiff’s Original Petition for Texas vs.Google LLC,available at:https://www.texasattorneygeneral.gov/sites/default/files/images/press/The%20State%20Of%20Texas's%20Petition%20(Google%20Biometrics).pdf 

4. 澎湃新闻：纽约出台治理生物识别数据地方性法规，载自：

https://m.thepaper.cn/wifiKey_detail.jsp?contid=13709694&from=wifiKey# 

5. 国标准信息公共服务平台，http://www.baidu.com/link?url=FwOaSSmqPVp9kwzQnUHApShQHuM1NazhdfWV9d0mkMzynlpaIWMu59V4NfctGw89&wd=&eqid=ebd35f89001089ee00000002635caddc 

6. 付微明：《生物识别信息法律保护问题研究》

7.https://statutes.capitol.texas.gov/Docs/BC/htm/BC.503.htm 

8.https://www.texasattorneygeneral.gov/sites/default/files/images/press/The%20State%20Of%20Texas's%20Petition%20(Google%20Biometrics).pdf