全球数治｜纽约出台治理生物识别数据地方性法规

这里是“全球数治”专栏周报，追踪近期全球数字治理动态。

7月9日，美国纽约市《生物识别信息隐私法案》（Biometric Privacy Act）正式生效，对数据安全、知情告知及私人诉权等做出了较为详实的规定。该法案要求私人实体收集生物识别数据之前必须发布和张贴正式通知，并明确禁止私人实体将这些数据用于交易牟利目的。同时，该法还设立了一项私人诉讼权，使受害方能够要求终止侵害行为并获得赔偿。该法案2018年在纽约市议会提出，经过多轮讨论，于2021年1月颁布，7月正式生效。法案主要聚焦于通过规范非公机构对生物识别数据的采集、储存、传输和使用，来确保其准确、安全和保护个人隐私。

“生物识别信息”具体是指个人的生理、生物或行为特征，包括个人的DNA，这些可以单独或组合使用，以建立个人身份。此类信息包括但不限于虹膜、视网膜、指纹、脸部、手掌、静脉图案、语音、步态等数据。与一般个人信息数据相比，生物识别信息具有唯一性、永久性和不可替代性的特点，且易于采集和抓取，用于身份验证更为方便。

然而，上述特点也可能带来潜在风险。在生物识别数据的收集、传输、处理和存储过程中，犯罪分子可以通过入侵网络或利用服务器漏洞来劫持和攻击有关数据。同时，由于生物特征数据采自于人体，一旦遭到泄露或滥用，某种程度上就意味着个人失去对自己身体的控制权，人身安全和财产安全可能受到严重威胁。此外，生物信息数据还可能被用于深度伪造，以达到特定商业或间谍目的的。因此，对生物识别信息予以专门的立法保护很有必要。

目前，美国已经有伊利诺伊州、得克萨斯州和华盛顿州三地颁布了关于生物隐私信息的监管法规。《国家生物识别隐私法》也已于2020年8月提交国会讨论，有可能成为美国联邦法律。与已有法规相比，纽约市的《生物识别信息隐私法案》的主要特点在于：第一、法案规制的对象仅限于“私人实体”，包括个人、企业、商业机构等，并不适用于立法机构、政府、法院等公共部门；第二、对需要保护的生物识别信息界定较全面。该法案中的“生物标识”将视网膜或虹膜扫描、指纹、声纹、手部或脸部几何结构的扫描图像等都包括在内，“生物特征信息”则是指基于生物标识符而收集、转换、存储或共享的任何信息；第三、重视信息披露和告知。法案规定，收集、保留或使用客户生物识别信息的商业机构必须发布正式通知披露相关活动，确保客户充分知情；第四、法案禁止私人实体通过出售、租赁、交易或者其他方式从生物识别信息中获利；第五、法案专门规定了一项私人诉讼权，以保障信息主体的权利。个人可以对商业机构的不合规行为提起索赔。同时，如果商业机构不依照法规解决问题，个人也可以提起诉讼。企业的每次违规行为都将受到500美元至5000美元不等的法定处罚。

应当看到，该法案规制的严格程度属于比较适中，原则上并不禁止私营主体运用生物识别技术，对公共主体则未加以具体规定，主旨还是希望能在保障公民隐私及自由与发挥人脸识别技术的公共服务优势方面寻求平衡。与之形成对比的是，今年6月，欧盟数据保护委员会（EDPB）和欧盟数据保护监督局（EDPS）发表联合意见，呼吁全面禁止在公共场所使用人工智能自动识别人脸、步态、指纹、DNA、声音和其他生物识别或行为信号。相较于欧盟“全面禁止”的倾向，美国的态度可能更趋于平衡和务实。

纽约市在生物识别信息保护方面的立法实践或可为相类似的超大城市在规范数据权属关系及用户知情同意方式，完善个人信息收集、传输、存储等数据管理规范，研究制定个人信息分级分类标准等方面建立健全相关法规体系提供参考，防止生物识别数据被滥采滥用。

规则

美国财政部长耶伦呼吁尽快制定稳定币监管规则

7月19日，美国财政部长珍妮特·耶伦在一份声明中表示，美国政府应尽快为迅速增长的稳定币建立一个监管框架。她认为，稳定币是试图将其价值与美元等传统货币挂钩的加密货币。美联储主席杰罗姆·鲍威尔也曾在上周举行的国会听证会上表示，当前稳定币正在以令人难以置信的速度增长，对其缺乏适当监管是一个亟须关注的问题。（来源：路透社）

欧洲议会对《数据治理法》（DGA）草案进行讨论

7月16日，欧洲议会的工业、研发和能源委员会讨论了关于《数据治理法》（DGA）的报告，这是欧盟委员会去年提出的数据战略的一个重要组成部分，旨在确定对个人、产业等领域数据的治理规则。欧洲议会的最终投票预计将在今年9月的全体会议上进行。（来源：欧洲议会官网）

深圳市人大常委会发布关于《深圳经济特区人工智能产业促进条例（草案）》公开征求意见的公告

7月14日，深圳市人大常委会发布关于《深圳经济特区人工智能产业促进条例（草案）》公开征求意见的公告。这是中国人工智能领域的首部地方性法规。《草案》从基础研究与技术开发、产业基础设施建设、应用场景拓展等方面提出了促进人工智能产业发展的相关措施。此外，《草案》还明确了深圳人工智能产业的治理原则和规定，确立多元主体协调共治的治理机制，设立人工智能伦理委员会，并明确规定禁止侵犯个人隐私和个人信息保护、损害国家安全和社会公共利益、算法歧视等一系列行为。（来源：深圳市人大官网）

政策

美国参议院推进中小学和政府供应链网络安全立法

7月16日，美国参议院国土安全与政府事务委员会批准了《K-12网络安全法案》和《供应链安全培训法案》两项法案，希望借此改善K-12（即中小学）教育机构的网络安全水平，并通过培训引导联邦政府雇员更好地保护现有供应链。（来源：Meritalk）

美国对关键基础管道所有者发布新网络安全要求

7月20日，美国国土安全部宣布对运输危险液体和天然气的关键基础管道的所有者和运营商紧急实施新的网络安全要求和入侵保护措施。国土安全部表示，TSA指定的重要运输管道都应采取必要措施，制定防止勒索软件攻击和其他对信息技术和运营技术系统的网络攻击的应急预案，并进行网络安全架构审查。（来源：路透社）

菲律宾国家隐私委员会（NPC）提出东盟跨境数据传输工具新倡议

7月7日，菲律宾国家隐私委员会（NPC）发布了关于东盟数据管理和跨境转移标准统一工具的首份指导文件，这一举措将帮助菲律宾企业在东盟快速发展的数字经济中获得更多收益，进而提升菲律宾数字竞争力。东盟经济区企业可以在具有法律约束力的合同中自愿采用这些标准，以确保客户数据在不同司法管辖区转移时得到保护。（来源：NPC官网）

监管

抖音、迅雷、虎牙直播等APP因存在侵害用户权益行为被工信部通报

7月19日，中国工信部官网发布《关于侵害用户权益行为的App通报》，这是2021年第6批关于侵害用户权益行为的App通报。通报称，截至目前，尚有71款App未完成整改，包括抖音极速版、虎牙直播、迅雷、蜻蜓FM、下厨房等。此外，辽宁、浙江、广东、四川、宁夏回族自治区通信管理局检查发现仍有74款App未完成整改。这些App应在7月26日前完成整改落实工作。逾期不整改的，工信部将依法依规组织开展相关处置工作。（来源：新华网）

产业

中国人民银行首次发布数字人民币白皮书

7月16日，中国人民银行首次对外发布数字人民币白皮书。根据白皮书披露，截至今年6月末，数字人民币试点场景已超132万个，覆盖生活缴费、餐饮服务、交通出行、购物消费、政务服务等领域。开立个人钱包2,087万余个、对公钱包351万余个，累计交易笔数7,075万余笔、金额约345亿元人民币。未来，数字人民币还将在提高场景覆盖面、建立多层次网络防护体系等方面加大工作力度。（来源：人民网）