欧盟AI立法进行时：呼吁禁止公共场所人脸识别 强调数据保护

联合意见还对数据保护做出了多处强调，建议将成员国的数据保护机构（DPA）指定为国家监督机构，提议给予EAIB更大的自主权等。

此意见对最终的人工智能法规将造成多大影响？欧盟严格立法的目的何在？对我国有何借鉴意义？多位专家告诉21世纪经济报道记者，法规有多方考量，联合意见或会促使法条的收紧，但对于欧盟立法的目的和借鉴意义上意见不一。

无论如何，在人工智能日益成为数字化转型的重要依托和生态环境的未来，研判并建构人工智能的法律治理框架和自主体系，都将成为各国的必由之路。

呼吁禁止公共场所人脸识别

同欧盟今年4月提出的人工智能法规草案（以下简称草案）一样，实时远程生物识别技术也成为了此次联合意见的关注焦点。

“作为实时远程生物识别技术的一种，欧盟此处讨论的人脸识别与我们狭义上认为的不同，它强调‘在公共场所监控’的概念，欧盟对这点尤其反感。” 对外经济贸易大学数字经济与法律创新研究中心执行主任许可向21世纪经济报道记者举例，在商店里安装摄像头进行人脸识别即属于此类。其危害在于个人不知情或无法明确表示同意的情况下，处于被监控状态。而如刷脸入小区、入校等近距离的人脸识别，则不在欧盟的限制范围内。

此前，草案全面禁止了欧盟境内无差别的大规模监控，仅有三种特殊情况可豁免：寻找失踪儿童，解除恐怖袭击的威胁，和在法律允许范围内追查特定的刑事犯罪嫌疑人。违反者将面临3000万欧元或年收入6%的行政罚款。但这些规定仍被指为该技术留出了余地，曾有39名欧洲议会议员为此联名上书抗议。

EDPB和EDPS在联合意见呼吁欧盟全面禁止在公共场所使用人工智能自动识别人类特征，包括人脸识别、步态、指纹、DNA、声音、点击及其他生物或行为信号。此外，联合意见还建议禁止据此将人们按照种族、性别、政治或性取向等进行分类或将其用于社会信用评分，禁止使用人工智能推断自然人的情绪等。

“如果我们想维护自由，创建一个以人为中心的人工智能法律框架，全面禁止在公共场所使用人脸识别是一个必要的起点。”EDPB主席Andrea Jelinek和EDPS主管Wojciech Wiewiórowski表示，在公共场所使用远程生物识别意味着人们再也无法匿名，而实时人脸识别等应用侵犯了人们的基本权利和自由，这要求监管机构立即采取预防措施。

无独有偶，英国ICO监管机构近日也关注着实时人脸识别技术。信息专员伊丽莎白·德纳姆在6月18日的一篇博客文章中表达了对人们在公共场所实时扫描和处理人脸的隐私风险，以及实时人脸识别与社交媒体或其他大数据结合的担忧。

“在ICO对实时人脸识别的6次调查中，其主要用途包括解决公共安全问题和定位人群以投放个性化广告，但实际上线的系统都没有完全符合数据保护法，这些系统已停止使用该项技术。”她谈到。

在美国，针对政府部门和校园的人脸识别禁令已经落地。自2019年5月旧金山出台法令，禁止警察和其他政府机构使用人脸识别技术始，萨默维尔、奥克兰、波士顿等多个城市，以及纽约州、弗吉尼亚州等，纷纷颁布了类似禁令。如亚马逊、微软、IBM等大公司也暂停了人脸识别业务。

强调数据保护

作为欧盟的数据监管机构，EDPB和EDPS在联合意见中对数据保护做出了多处强调。

例如，应明确现有的《通用数据保护条例》（GDPR）、《欧盟数据保护代表条例》（EUDPR）和《数据保护执法指令》（LED）等欧盟数据保护立法适用于人工智能法规草案范围内的任何个人数据处理。

人工智能法规草案将人工智能应用分为了不可接受、高、有限和低四个风险等级，并适用于不同的规制。联合意见表示支持该基于风险的分类方法，但“基本权利风险”应与欧盟数据保护框架保持一致，并建议评估和减轻自然人群体的社会风险。此外，遵守欧盟包括个人数据保护在内的法律义务，被视为拥有CE标志（欧盟安全认证标志）的产品进入欧洲市场的先决条件。

“人工智能这一项技术本身依托于数据。”许可表示，其中生物识别就是一项特殊的数据，叫敏感个人信息。

在北京师范大学网络法治国家中心执行主任吴沈括看来，欧盟数据保护立法一向是全覆盖的，联合意见不过是重申了这一立场。这不仅反映了欧盟对数据保护作为基本权利的重视，而且表明了欧盟面对未来数字治理，各机关间全力调整和协调的态度。

除法律条文外，EDPB和EDPS还希望给数据监管机构“扩权”。

针对草案第59条要求的指定国家主管部门以确保人工智能法规顺利实施，联合意见建议将成员国的数据保护机构（DPA）指定为国家监督机构。因为DPA已经在根据GDPR和LED进行执法，此举能够保证监管方式的统一及法律解释的一致性。

联合意见还对草案中指定欧盟委员会在欧洲人工智能委员会（EAIB）中发挥主导作用提出了质疑，认为这与建立不受任何政治影响的欧洲人工智能机构的需求相冲突，并提议给予EAIB更大的自主权，确保其能够独立自主地采取行动。

“这会带来三个层面上的影响：首先，现有的数据保护机关的执法态度、监管立场和执法工具的适用面将进一步扩大；与此相关的，在数据保护中相对严格的监管态度也会扩展到人工智能领域；第三，未来人工智能的治理规则，很大程度上会基于或围绕数据治理规则展开。”吴沈括说。

他指出，治理人工智能有三种可行的思路，一是管住算力，二是聚焦算法，三是关注数据，这三项是人工智能的基本构成要素。从联合意见来看，EDPB和EDPS是希望从数据保护角度影响人工智能的治理生态。

“从数据切入，既能充分发挥现有制度的优势，又有相对成熟的人力和机构配备支撑。并且，就影响力而言，管住数据就能够撼动全球的数字生态。这属于欧盟的强项。”吴沈括表示。

对人工智能法规有多大影响？

回顾欧盟人工智能立法的进程，此次EDPB和EDPS的联合意见可能仅是其中的一段小插曲。

早在2018年3月，有欧盟智库之称的欧洲政治战略中心就发布了题为《人工智能时代：确立以人为本的欧洲战略》的报告，解读了欧盟在人工智能领域的最新发展现状。同年4月，欧盟委员会发布一份政策文件《欧盟人工智能》提出了人工智能的欧盟道路。

2019年，欧盟人工智能高级专家小组制定了《可信人工智能指南》，并于2020年制定了《可信人工智能评估清单》。2020年2月，欧盟发布《人工智能白皮书》提出一系列人工智能研发和监管的政策措施，以及“可信赖的人工智能框架”。直到今年4月21日，欧盟提出了人工智能法规草案。

根据欧盟法律制定流程，人工智能法规的最终版本最早也得等到明年。那么，这份联合意见能够激起多大的水花？

许可表示，草案本身就是多方妥协后的产物。原本在去年年底透露出的相关消息中，实时远程生物识别就是要求禁止或在一定时间内禁止的。但当时受到了各方的阻力，最后草案后退了一步，没有完全禁止，但提出了很多限制条件，如进行评估、审慎地开展等。

吴沈括则认为，虽然起草人工智能法规的团队与欧盟数据保护法的团队不同，各自的考量也有差异。但作为欧盟数据保护的职能机关，EDPB和EDPS关注欧盟各项数据保护法规的执行，他们基于现行有效的法规提出的意见，对于面向未来的人工智能及其法规都有较大的影响。

他进一步分析，从人工智能发展的角度而言，需要一个相对宽松的监管环境，但欧盟现行的数据保护法制度较为严格，这就造成了一种欧盟内部的分歧和关系的紧张。“这也考验着欧盟的立法者，在现有的制度束缚之下，如何给人工智能发展提供或者留下必要的空间，体现了很高的立法智慧。”

上海交通大学数据法律研究中心执行主任何渊同样认可EDPB和EDPS的建议对人工智能法规产生的重要影响。“未来的法规将趋严。尤其是在公共场所使用远程人脸识别技术的‘例外情况’将会不断被收紧。政府若想通过此项技术提高管理效率，不太可能。”

但他也强调，趋严可能并不意味着完全禁止，而是要用愈加严格的程序约束，提高合规要求。

或为本国产业争取市场

数字经济时代，人工智能高速发展。据中国电子学会2020年预测，2022年全球人工智能市场将达到 1630 亿元。

2021年1月25日，美国科技创新智库“信息技术和创新基金会”（ITIF）发布题为《谁将赢得这场人工智能竞赛？中国、欧盟还是美国？》的2021年版报告，构建了人才、研究、应用、数据硬件等六大类指标，以百分制评分，系统分析了美国、中国和欧盟的人工智能能力。

报告发现，美国在人工智能总体领域仍然遥遥领先（44.6分），中国在一些重要领域与美国的差距持续缩小（32.0分），欧盟依然落后（23.3分）。

“欧盟的人工智能法规走在了世界前列，是第一次以全面、系统的立法方式进入人工智能的治理。”吴沈括评价，这一方面是为了维护公民的基本权利，另一方面也是在一定程度上延缓国际竞争企业的发展速度，为自己的人工智能产业发展争取时间和市场空间。

“欧盟在立法和执法层面积累了丰富的经验与案例，但市场地位劣于中国和美国，更没有技术、企业管理上的独立资源，法律手段成为唯一的选择。它能够发挥制度的溢出，对于包括中国美国在内的数据产业和生态造成影响。”吴沈括进一步分析。

何渊也表示，欧盟在人工智能领域的立法其实与当年制定GDPR思路一致，严格的监管法规能够让其占据道德的制高点，从而在与中国美国等的谈判中占有优势。

同时，相当于变相地给欧盟本地的小企业政府补贴。“因为，小企业受到监管的影响远没有大企业严重，外国大企进入欧盟市场要提高合规成本。”何渊说。

许可则表达了不同的意见。他认为，人工智能法规限制的范围非常窄，仅体现在远程监控上，而人脸识别等技术的应用远不止于此。

即使是远程监控也必须有底层数据的支撑，否则只能拍摄到人，无法获知个人的身份信息，所以该法规的限制对象更多的是政府，对企业的影响有限。

“人工智能与GDPR不同，它只能管本国企业，不具有跨国的管辖。数据的跨国管辖权有两个重要抓手，其一是数据不能流出欧盟境外，这就控制了数据本身；其二是如果想进入欧盟贸易，必须遵守GDPR。”许可解释，这其中存在布鲁塞尔效应，企业一般遵循一致性标准保护和管理数据，因此通过欧盟的管辖可以间接影响到欧盟以外的企业。

他指出，欧盟立法的核心在于宣扬、贯彻和维护自己的人工智能价值观，并不具有太强的经济目的。

对我国有何借鉴？

在我国，远程实时监控等人脸识别技术的滥用情况同样严峻，如频繁曝光的售楼处人脸识别、315晚会上的科勒卫浴等商户安装摄像偷取客户人脸识别信息等，有关立法已落地或提上日程。

如《个人信息保护法》草案第27条要求在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，并设置显著的提示标识。人脸识别国家标准征求意见稿也指出，在公共场合收集人脸识别数据时，应设置数据主体主动配合以防范人脸数据在不知情的时候被收集。

天津、南京、杭州、深圳等地也相继出售监管人脸识别。以深圳为例，《深圳经济特区公共安全视频图像信息系统管理条例（草案）》中严格限制了摄像头的安装。规定旅馆客房、医院病房、集体宿舍、公共浴室、卫生间、更衣室、哺乳室等可能泄露公民隐私的场所和区域，禁止安装系统。单位和个人安装公共安全视频图像信息系统应当仅限于满足自身安全防范需要。

对于我国而言，欧盟的立法有何借鉴意义？

许可表示，这启示我国更加严格地监管，将远程监控尽可能地放在窄的范围内。“我建议设置二维码，让人们知道人脸识别的目的、方法和内容，以及行使权利的方式、存储数据的时间，以提升个人信息的透明度。”

何渊则认为，欧盟在人工智能上的严格监管是基于其产业发展的选择，我国并非必须跟从。

“如今欧盟的立法有往一刀切的方向走了。即使欧盟在回顾当年GDPR的制定时，也意识到了问题，它们提出‘裁判永远不能赢得比赛’，希望还以运动员的身份参赛。”何渊说，“自由市场、加强监管”的模式更适合中国的发展，从合规而非严禁的角度出发，监督企业做好数据合规体系，完善公司治理体系，防范风险的发生。

吴沈括提出了三个可借鉴的方面。其一是欧盟针对具体场景的利益平衡规则设计；其二是对于监管机关的明确设定，用以改变我国九龙治水的监管格局；其三是特别强调典型执法案例的打造，不单单要注意条文上的规定，还要关注它在执法过程中，对法律条文的进一步解释。

“在人工智能日益成为数字化转型的重要依托和重要生态环境的时代大趋势下，尽早研判并建构人工智能的法律治理框架和自主体系，具有非常重要的时代意义，并且会成为获得了全球数字治理规则、战略制高点的一个重要抓手。我们有必要在人工智能立法的研究上使劲，两年之后，当数据作为日常的规则，我们可能很少再谈及个人信息保护或数据立法，而人工智能恰恰面临着更大的风险和威胁。”吴沈括说。