从谷歌案件看生物识别数据合规：法律与企业实践的碰撞

作者：章煦春、劳嘉馨

引言

    在数字经济时代，数据隐私与合规性正面临前所未有的挑战。随着信息技术的迅猛发展，科技巨头对海量个人数据的掌控能力与公众隐私权保护之间的张力日益凸显。2022年，谷歌公司因涉嫌在数据收集和隐私保护方面存在系统性违规行为，遭到德克萨斯州政府提起具有里程碑意义的诉讼。这场持续两年的法律博弈近期以谷歌支付13.75亿美元达成和解，再次将科技企业的数据治理问题推向风口浪尖。

    随着数字化技术的广泛应用，企业如何处理敏感的个人数据，特别是生物识别数据，已成为法律监管和公众舆论的主要议题。本文将以德克萨斯州政府对谷歌公司提起的诉讼案件为案例，探讨生物识别数据的合规问题，分析企业如何在创新与数据隐私保护之间找到平衡，并进一步审视该案件对未来合规策略的启示。

一、案件概述

    2022年1月，美国德克萨斯州、印第安纳州、华盛顿州及华盛顿哥伦比亚特区的总检察长联合对谷歌提起了一项具有广泛影响的诉讼。起诉书指控，谷歌在安卓操作系统及其核心应用程序中实施了系统性数据收集策略——即便用户主动关闭“位置历史记录”功能，该公司仍通过Wi-Fi信号、蓝牙信标及搜索关键词等间接手段推算用户实时地理位置，并将这些数据用于精准广告投放，从而获取巨额商业利益。

    同年5月，德克萨斯州检方进一步补充起诉内容，指出谷歌Chrome浏览器的“无痕模式”（Incognito）存在误导性设计。尽管该模式宣称“不会保存您的浏览记录”，但谷歌仍持续收集用户的搜索查询、访问网址及Cookie数据，使得所谓的“隐私保护”功能实质上沦为营销话术。

    同年10月，德克萨斯州总检察长肯·帕克斯顿（Ken Paxton）再次向法院提交修订诉状，新增指控谷歌旗下智能家居设备（如Nest音箱）和Google Photos服务涉嫌违规处理生物识别数据。诉状称，这些产品在未经用户充分知情并明确同意的情况下，擅自采集和分析声纹特征、面部几何信息等敏感生物数据，并将其用于算法训练及商业用途，涉嫌违反州生物识别隐私法规。

二、谷歌案件中的数据合规问题

    谷歌因数据收集和处理行为面临法律挑战，凸显了科技巨头在用户隐私保护与合规方面的典型问题。

1.谷歌的数据收集行为分析

    谷歌通过其服务（如Google Maps、YouTube等）收集了大量的用户数据。尽管谷歌的隐私政策声明中提到会收集用户数据并进行利用，但在实际操作中，谷歌未能确保用户在数据收集方面的透明度和明确同意。德克萨斯州政府指出，尽管用户关闭了“位置历史记录”功能，但谷歌仍通过其地图服务等收集了大量位置信息。这表明谷歌的数据收集行为在某些情况下没有得到用户的明确同意。

2.违反合规的法律后果

    政府认为谷歌未能遵守《生物识别隐私法》和《消费者保护法》相关规定，尤其是在收集和使用生物识别数据时，未能获得用户的明确授权。根据这些法律，未经授权的生物识别数据收集和处理行为不仅侵犯了用户的隐私权，也可能导致企业面临重大法律风险。

3.谷歌的回应与合规改进

    在该案件中，谷歌最终与德克萨斯州达成了和解协议，支付了13.75亿美元的赔偿金。这笔资金将用于支持数据隐私保护项目以及为受影响的消费者提供补偿。谷歌表示，该和解主要解决的是公司已经对其产品政策进行调整后的历史遗留问题。谷歌承认，某些历史操作确实未能完全符合数据隐私法律的要求，并表示对解决这些问题表示满意。

三、生物识别数据合规的法律框架

    德克萨斯州的《生物识别隐私法》是该州针对生物识别数据保护的核心立法，其严格规定凸显了此类数据的特殊法律地位。该法明确要求企业在收集、存储或使用生物识别数据（如面部特征、声纹、指纹等）前，必须通过书面或电子形式获得用户的明确授权，并详细公开数据的使用目的和存储期限。同时，企业需实施合理的安全保护措施，并禁止未经同意的商业用途，这一法规框架为判定谷歌行为的违法性提供了法律依据。

    谷歌案件的特殊性在于，其数据收集行为不仅涉及常规个人信息，更因违规处理生物识别数据而引发重大法律争议。与传统数据相比，生物识别数据具有唯一性、不可更改性和高度敏感性的特征：指纹或面部信息一旦泄露，用户无法像修改密码一样重置身份标识，可能造成永久性的隐私侵害。这种不可逆的风险，正是德克萨斯州立法对生物识别数据实施特殊保护的深层逻辑，也解释了为何谷歌案件会成为数据合规领域的标志性事件。

1.生物识别数据的定义与法律保护

    生物识别数据是指通过技术手段对人体特征进行识别的数据，包括指纹、面部识别、虹膜扫描、声纹等。由于这些数据具有高度的个人特征，能够明确识别个体，因此被认为是最敏感的信息类别之一。生物识别数据的收集和处理如果不依法合规，可能对用户隐私权造成严重威胁。根据现行法律，企业在收集这些数据时，必须采取必要的保护措施，确保其安全性和隐私性。

2.生物识别数据的相关立法

    在美国，许多州已经制定了专门的生物识别数据隐私法，要求企业在收集这些数据前，必须获得用户的明确同意。例如，德克萨斯州的《生物识别隐私法》明确规定，企业在收集指纹、面部扫描和声纹等数据之前，必须通过书面或电子方式征得用户的同意。此外，企业还需要确保数据存储和使用过程中的安全性，包括数据加密和访问控制等措施。

    我国目前虽然没有专门针对生物识别数据的统一性法律，但已通过多部法律法规、国家标准和行业规定对生物识别数据的收集、使用和保护进行规范。《个人信息保护法》第28条中将生物识别信息列为敏感个人信息，要求处理时需取得单独同意，并告知必要性及对个人的影响。此外，我国针对面部识别这一典型生物识别技术制定了《人脸识别技术应用安全管理办法》，该《办法》将于2025年6月1日正式试行，规范应用人脸识别技术处理人脸信息的活动。

3.中国视角下的生物识别数据合规挑战与应对

    从近期发布的一系列涉数据类法律法规及政策性文件中，我们不难看出生物识别数据的保护呈现出“统筹规划、分类监管、技术治理”的鲜明特征。当前我国生物识别数据治理面临三大核心挑战：首先是立法体系的整合难题，现有规范分散于《个人信息保护法》《数据安全法》等法律法规中，缺乏系统性协调；其次是技术快速迭代带来的监管滞后性，如深度伪造、AI换脸等新技术不断突破现有法律边界；最后是执行层面的差异化问题，不同行业、不同地区对生物识别数据的保护标准存在不一致现象。针对这些挑战，我国采取了一系列创新性应对措施：在立法层面，通过“1+N”模式构建法律体系，即以《个人信息保护法》为核心，配套出台《人脸识别技术应用安全管理办法》等专门规定；在技术治理方面，建立生物识别数据安全评估制度，要求企业开展定期合规审计；在行业监管上，重点聚焦金融、医疗等高风险领域实施专项治理。值得注意的是，中国方案特别强调发展与安全的平衡，既严格保护个人隐私，又为技术创新预留合理空间。未来，随着数据要素市场化配置综合改革的推进，我国有望建立更加完善的生物识别数据流通利用机制，在保障安全的前提下释放数据价值，为全球数字治理贡献中国智慧和中国方案

四、未来展望与建议

1.数据隐私保护的未来趋势

    未来，数据隐私保护将继续成为各国法律的重要议题。随着科技的进步，尤其是在人工智能和生物识别技术的应用领域，相关的法律法规将不断完善，企业必须根据最新的法律要求进行调整。数据隐私技术的发展将会更注重数据的安全性和透明度，企业应积极引入创新的技术手段来加强数据保护。

2.对企业的合规建议

•建立合规文化：企业应从战略层面重视数据隐私保护，将合规文化融入到公司的核心价值观中。

•加强技术投资：企业应加大对数据安全技术的投入，提升数据加密、匿名化处理等技术手段的能力，确保数据的安全存储和使用。

•保持法律敏感性：企业应持续关注全球数据隐私保护的法律动向，确保在不同司法管辖区内的合规操作。

结语

    德克萨斯州政府诉谷歌案件揭示了数据隐私合规面临的严峻挑战，尤其是在生物识别数据的收集和使用方面。企业必须严格遵守相关法律法规，确保用户的隐私权得到有效保护。通过此次案件，谷歌已经认识到其在数据隐私保护方面存在的不足，并作出了相应的整改。对于其他企业来说，这一案件也为其提供了宝贵的合规经验，帮助他们在日益严格的法律环境中顺利运营。企业要在技术创新的同时，更要确保合法合规，避免因数据隐私问题带来的法律风险。

    对中国而言，这一案例具有特殊的启示意义。我国在构建数据治理体系过程中，既要吸收国际经验，更要立足国情，走出一条兼顾安全与发展、平衡创新与保护的特色道路。企业应当以本案为鉴，将数据合规纳入发展战略核心，通过技术创新与制度完善的双轮驱动，实现可持续发展。