我们的身体,我们的数据
科技法律诊所客座临床助理教授Tiffany Li评论。
我们的身体,我们的数据
保护生物识别隐私。
2015年,美国人事管理办公室遭遇了美国政府迄今面临的最大网络安全漏洞之一。泄露的数据包括560万在联邦政府工作的人的原始指纹扫描。这意味着,对于560万美国人来说,有人掌握了他们的指纹数据,并可能将其用于潜在的邪恶目的。
指纹数据泄露是我们在生物识别隐私或与身体相关或由身体产生的数据安全方面面临的担忧的一个例子。该类别包括指纹、眼睛/视网膜数据、运动/步态数据、面部和面部指纹、DNA数据等。虽然隐私在今天是一个热议的话题,但生物识别隐私往往没有得到应有的关注。
生物识别数据在其他类型的数据中是独一无二的,因为它是与我们的身体密切相关的数据,延伸开来,与我们自己密切相关。在隐私和网络安全领域有一句俗语,“生物识别是用户名,而不是密码。”用户名是可识别的,通常是公开的,而密码应该是保密的,可更改的。你不能改变你的生物特征数据的大部分方面,而且你经常不能保密。至关重要的是,技术系统的建立要反映这种差异。例如,如今许多应用程序收集面部数据用于登录或用于照片或消息功能。这些应用程序通常没有为相当敏感的面部数据提供足够的保护。毕竟你只有一张脸。一旦你的面部数据被潜在的对手利用,它就永远在那里了。
生物识别技术对隐私的危害不仅限于应用程序和消费产品。面部识别现在是包括美国在内的世界各地执法监视项目的重要组成部分。有时这种情况与消费产品同时发生。(一个引人注目的例子是,亚马逊与美国执法部门建立了大量合作伙伴关系,共享其Ring视频门铃的数据。)虽然使用面部识别对公共安全可能有好处,但也有很大的潜在危害。在不自由的国家,面部识别也被用于监视持不同政见者,导致了毁灭性的后果。
危害范围从直接和常见的,如在刑事诉讼中可能滥用DNA数据,到范围更广、技术更先进的,如深度伪造——音频、照片和视频记录,虚假地描绘一个真实的人在做或说他们实际上没有做或说的事情。深度造假对我们的未来有着可怕的影响:想象一下,如果有一天我们不能相信任何对真相的报道或记录。然而,更直接的危害之一是使用深度伪造技术在未经同意的情况下制作个人(通常是名人和女性)的露骨图像和视频——丹妮尔·西特伦(Danielle Citron)教授曾就这个问题写过大量文章。
在实践层面上,生物特征隐私对于在技术、健康科学和其他可能收集或使用生物特征数据的行业中与客户打交道的律师来说是一个重要的主题。对于那些与健康或技术完全无关的客户打交道的律师来说,这一点也很重要。例如,经常出现的一个问题是雇主如何收集、使用或传输员工的生物特征数据。你可能听说过这样的案例:员工可以免费获得fitbit来换取健康积分,或者雇主提供DNA检测作为福利。如何收集和使用这些健康和保健项目的数据对于隐私法的遵守以及总体上考虑道德的企业行为都很重要。
在技术法律诊所(Technology Law Clinic),我是一名客座临床助理教授,我们经常与使用生物识别数据的客户打交道。我们的诊所在波士顿大学法学院和全国都是独一无二的,因为它是为数不多的客户也是学生的法律诊所之一——在我们的案例中,是波士顿大学和麻省理工学院的学生。这些学生客户带着澳门威尼斯人注册网站研究、创业和社会影响项目来找我们,其中一些项目包括与生物识别数据有关的问题。我们服务的客户管理着创新的、技术驱动的健康非营利组织和澳门威尼斯人注册网站研究项目,这些项目寻求创造有一天可能帮助全人类的科学进步。我们咨询过的其他客户也创造了有用的(并且有望盈利的)健康技术产品,包括由人工智能和机器学习驱动的复杂医疗技术产品。我们的诊所学生就生物识别隐私和其他技术法律问题向这些客户提供建议,这些问题通常涉及法律和法规中困难的、未解决的领域。
(某些)应用程序通常没有为相当敏感的面部数据提供足够的保护。毕竟你只有一张脸。一旦你的面部数据被潜在的对手利用,它就永远在那里了。
生物识别技术的隐私保护无疑是一个困难的、悬而未决的领域。在欧盟,《通用数据保护条例》(General Data Protection Regulation)(该地区最高的隐私法)将生物识别数据归类为特殊的受保护类别,需要更高级别的保护才能遵守。目前,只有少数几个州(伊利诺斯州、德克萨斯州、华盛顿州、加利福尼亚州)制定了有关生物识别隐私的法律。马萨诸塞州目前正在考虑一项法案。虽然HIPAA等法规包括生物识别数据,而《21世纪治愈法案》(21st Century Cures Act)等具体法律管辖健康和生物识别隐私(如基因隐私)的各个方面,但美国没有联邦隐私法,当然也没有联邦生物识别隐私法。
随着收集和使用生物特征数据技术的日益普及和突出,几乎可以肯定的是,我们将看到在州和联邦层面上对生物特征隐私法律和法规的更大推动。与此同时,这是一个科技公司可以在制定行业自律标准方面证明自己的领域。此外,虽然这些法律正在制定中,但这是公民社会和倡导团体就法律应该是什么样子以及如何执行进行权衡的理想时机。
在技术法律诊所,我们教学生评估生物识别隐私问题,牢记两个优先事项:保护隐私权和保护创新。这两个优先事项在任何当前和未来的生物识别隐私法律中都至关重要。我们需要更强有力、更完善的法律来保护生物识别隐私,趁现在还来得及。
“法律评论”是一个评论系列,提供来自波士顿大学法律系对各种法律问题的评论。所表达的观点仅代表作者的观点,并不代表波士顿大学法学院的观点。
