#運動法 #人臉辨識 #個資 #GDPR
FC Metz案是歐洲個人資料保護法(GDPR) 執行歷史中,關於公共場所大規模生物識別監控的指標性案例。
法國國家資訊自由委員會(CNIL)對體育場館使用人臉辨識技術一直抱持極度嚴謹且近乎「禁止」的態度。
一、梅斯足球俱樂部(FC Metz)案
最著名的案例發生在 2020 年。當時法國足球隊 梅斯(FC Metz) 計畫在聖西姆福里安球場(Stade Saint-Symphorien)試點人臉辨識系統。
- 計畫內容:該俱樂部希望在球場入口安裝人臉辨識攝影機,用於識別被列入「禁止入場黑名單」的激進球迷(Hooligans)。
- CNIL 的裁定:CNIL 明確告知該計畫違反 GDPR。
- 違法理由:
- 缺乏明確法律依據:在法國法律中,私人機構(如足球俱樂部)並沒有法律授權去處理涉及刑事禁令的生物識別數據。
- 比例原則失衡:為了抓捕少數違規者,而對所有入場的數萬名普通球迷進行生物識別掃描,被認為是過度入侵隱私,不符合比例原則。
- 同意的無效性:CNIL 認為,球迷為了觀賽「被迫」接受掃描,這種情況下的「同意」並非真正自由選擇的同意。
二、法國個資保護機關CNIL 的一貫立場:生物識別的紅線
CNIL 多次強調,在體育賽事或公共場館使用人臉辨識,必須滿足極其苛刻的條件:
- 敏感數據的特殊保護:根據 GDPR 第 9 條,人臉圖像屬於「生物識別數據」,原則上禁止處理,除非有極高的公共利益或法律明確授權。
- 社會接受度與風險:CNIL 認為這種技術會造成「自動化監控」的社會壓力,侵害個人在公共空間的匿名權。
- 替代方案:如果目的是為了安保,應該優先使用人工查驗證件、金屬探測器等侵入性較低的手段,而非直接動用人臉辨識。
三、唯一的例外:2024 巴黎奧運
為了應對 2024 巴黎奧運的維安壓力,法國政府通過了特別法案,允許在奧運期間使用「智慧監控系統」(Algorithmic Video Surveillance, VSA)。
- 這套系統被允許用來分析「異常行為」(如無人認領的行李、人群異常湧動、火災),但 CNIL 仍嚴格禁止在該系統中直接使用人臉辨識。
- 也就是說,AI 可以告訴警察「那個人在跑」,但不能告訴警察「那是誰」。
四、案件資訊補充
關於法國梅斯足球俱樂部(FC Metz)的人臉辨識案,該案件並非以傳統法院「案號」的形式呈現,而是由法國個人資料監管機構 CNIL(國家資訊自由委員會) 發布的行政警告(Warning)。
這份決議的相關資訊如下:
- 決議日期:2021年2月18日(針對 2020 年的實驗行為)
- 處分類型:Avertissement(警告)
- 公告名稱:Reconnaissance faciale et interdiction commerciale de stade : la CNIL adresse un avertissement à un club sportif(人臉辨識與體育場商業禁令:CNIL 向一家運動俱樂部發出警告)
註:CNIL 在官方公告中依據慣例通常不直接點名,僅稱「一家足球俱樂部」(Un club sportif),但包括路透社(Reuters)及法國各大主流媒體(如 L’Équipe)隨後均證實該俱樂部即為 FC Metz。
文獻中會將此案標註為:CNIL, “Reconnaissance faciale et interdiction commerciale de stade”, Warning of 18 February 2021.
(本文使用AI工具,大部分由AI生成,過程有人類提示)