摘要:针对生物特征识别信息的唯一识别作用及其经济价值,法律应合理平衡公民数据安全与生物技术产业发展、公共管理效益、个人生活便利之间的多方利益冲突,并同时促进生物识别技术的创新发展。由此,在个人信息分级分类保护制度建设中,生物特征识别信息有其专门的规则构建路径,包括规范文件形式、文本整体框架、具体规制对象、技术保护要求、技术工具监管等方面。关于生物特征识别信息的收集与应用的具体规则设计,我国制度建构进路应围绕四个维度探讨:一是法律规范体系的结构化安排;二是规制框架的样本参照方案;三是立法内容的多维规制层面,涉及企业安全责任、市场交易规范、信息主体权利等方面;四是提前的司法救济模式。
关键词:生物特征信息;生物识别;人脸识别;生物特征识别数据;生物特征识别信息
鉴于个人生物特征识别信息的不可变更性与主体唯一性,生物特征识别信息一旦被泄露或冒用,可能会对信息主体造成难以弥补或永久性的伤害与损失。因此,相对于其他个人信息的泄露风险,生物特征识别信息的泄露明显呈现高危性。并且生物特征识别信息的安全极度依赖技术保障,而目前生物特征识别技术的发展阶段尚不够成熟,其更新速度与趋势也难以预测。因此,在各项互联网认证技术中,对生物特征识别信息的识别技术存在相当的不安全与不稳定性。生物特征信息经生物识别技术认定后,被识别主体可直接处分与合法控制该身份下的人身与财产权益,与密码控制模式相比,生物特征识别信息一旦被盗用则不可通过重新设置而更改,因此必须对其进行高度保护。对比欧美已有的生物信息法律制度,我国对于生物特征识别信息的制度建设尚不完善,需及时跟进生物特征识别信息商业应用的规范设置。
一、美国生物特征识别信息立法规制与发展态势分析
美国是世界上最早颁布生物特征隐私保护法律的国家,但各州呈分散式立法状态。自2009年伊利诺斯州首次出台《生物特征信息隐私法》,其他州如德克萨斯州与华盛顿州也相继出台了专门的法律。而佛罗里达州与加利弗尼亚州,尽管在劳动法中已经规定生物特征识别信息的使用与保护要求,目前仍在酝酿出台专门的生物识别信息保护法。
(一)美国各州的立法规定比较
在美国,目前还没有统一与全面的联邦法律规范生物特征数据的收集和使用。除了伊利诺斯州、德克萨斯州和华盛顿州,其他所有州均允许雇主或企业收集和分析生物特征信息,而不需要向雇佣人员或消费者披露或发出任何通知。作为世界上首部生物特征信息隐私保护法律,2008年伊利诺斯州立法机构通过了《伊利诺斯生物特征信息隐私法》(Illinois Biometric Information Privacy Act,简称BIPA)。需要注意,在法律适用与权利行使方式上,伊利诺斯州是目前唯一一个允许公民个人对于违反《生物特征信息隐私法》的行为提出私人司法诉讼的州。但是,尽管伊利诺斯州在2008年就通过了BIPA法案,但直到2015年才发生针对企业违反该法律而提起的5例集体诉讼,在此之前,该法尚未得到现实适用。由此看到,尽管这项法律制定于十多年前,鉴于如今生物识别技术的发展与应用,该法目前仍具有普遍适用的潜力。因此,如果企业在伊利诺斯州经营与生物识别有关的业务,则有必要继续关注该法的适用及变化。德克萨斯州于2009年颁布了《生物特征信息隐私法》,2017年6月,华盛顿州成为第三个通过生物特征信息隐私法的州。阿拉斯加、康涅狄格和新罕布什尔等其他一些州也提出了颁布生物识别信息法的计划。加州在2018年底颁布的《加利福尼亚州消费者隐私法》(The California Consumer Privacy Act,简称CCPA)也明确涉及生物特征数据的特殊保护规定。各州立法规定的差异有四个方面。
1.生物信息权利行使路径。德克萨斯州和华盛顿州通过的生物特征数据保护法律与BIPA相似,但并不完全相同。如根据德克萨斯州的法律要求,在私营主体开始收集生物特征识别标识符(biometric identifiers)之前,必须得到个人的知情同意,但是并不需要书面同意。此外,与BIPA不同的是,只有德克萨斯州的司法部长才能执行与适用德克萨斯州的生物特征识别信息隐私法,因为该法律没有提供公民私人诉讼的途径。由此看出,华盛顿州与德克萨斯州没有在其法律中提供行使私人权利的方式,而伊利诺斯州法律提供了权利救济的路径,即,公民个人可自行向法院提起司法诉讼,主张依据该法所享有的生物特征识别信息权利。由此看出,在公民生物特征识别信息的权利化认识上,各州立法存在不同的态度。
2.对待生物特征识别信息商业应用的态度。华盛顿州的生物特征识别信息法于2017年5月16日签署生效,《华盛顿州议会1493号法案》(2017 Washington House Bill 1493)适用于个人和非政府实体(主要指企业),规范上述主体在收集、存储和使用生物特征信息行为方式。在华盛顿州,任何主体都被禁止“未经事先通知、征得同意或提供防止随后将生物识别信息用于商业目的的机制,就将生物识别信息登记到数据库中用于商业目的”。《德克萨斯州买卖与交易法案》也是适用于为“商业目的”使用生物特征信息的任何主体,但该法并不解释“商业目的”的明确含义。因此,在生物特征识别信息的商业适用上,各州生物特征识别信息法律原则上是限制与规范而非禁止,且规定内容本身并不具体,生物特征识别信息商业使用仍存在合法空间。
3.对待面部识别应用的态度。华盛顿州的生物特征识别信息隐私法仅适用于被“登记”或收录于商业数据库的生物标识符,并被定义为“(正在)获取个体的生物特征标识符,将其转换为不能重构为原始输出图像的参照模板,并将其存储在与特定个体的生物特征标识符匹配的数据库中”。对于生物特征数据的定义,该法明确排除了“物理或数字照片、视频或音频记录或由此产生的数据”。因此华盛顿法规排除了面部识别技术,社交网络和照片存储网站可使用该技术为用户的数码照片贴标签。《德克萨斯州买卖与交易法案》也不包括面部几何形状,亦未将面部识特征别信息的商业使用纳入生物识别信息法律的规制范围。
4.对待生物信息公共管理使用的态度。2019年2月21日,佛罗里达州立法机构提出《佛罗里达州生物特征信息隐私法》(Florida Biomtric Information Privacy Act),旨在对私营主体使用、收集和保存生物标识符(biometric identifiers)和生物信息(biometric information)提出要求和限制。与以往三部法律不同的是,该法案确立了私营主体的范围。根据该法案,“私人实体”(private entity)是指任何个人、合伙、公司、有限责任公司、协会或其他团体。但是,该类主体并不包括:州或地方政府机构或任何州法院,法院书记员、法官或审判员。由此推断,该法适用对象仅限于行使公权力之外的私营个人或组织,保留了国家机关对公民生物特征识别信息进行公共使用的法律空间。伊利诺斯州、德克萨斯州和华盛顿州的法律规定,在私人企业收集生物特征识别信息之前必须发出特定形式的通知以征得主体的自愿同意,但在国家机关收集生物特征数据上则没有限制。由此看出,尽管目前美国社会对于生物识别信息的公共使用持续发出反对声音,但是美国各州最新的专门立法所表现出的态度则并非如此,事实上,美国某些州立法对于生物特征识别信息的公共管理使用仍持肯定与积极态度。需要注意,鉴于面部识别技术自身存在的缺陷与公众的不满,目前美国一些城市在立法上明确持禁止态度。
(二)美国制度模式评价与立法发展态势分析
美国某些州已颁布的生物特征识别信息立法主要侧重于规范劳动雇佣中私营主体在员工管理中对员工生物特征识别信息的保存与使用,并禁止通过利用生物特征识别信息获利。即主要针对作为雇主身份的企业所要求的生物特征识别信息使用规范,但对于最新的商业使用如电子支付、智能解锁、金融服务等尚无针对性规定。无论是对于国家机关还是企业对生物特征识别信息的使用,尤其是人脸识别,美国立法机构与民众整体上呈观望甚至排斥态度。主要表现为三个方面:第一,在政治敏感度上,由于目前生物识别技术还不能达到百分百准确性,例如人脸识别技术对不同种族的准确率差异巨大,违背了美国社会的主流政治倾向,不被社会大众所接纳。第二,在数据安全性方面,由于人脸识别技术建立于数据代码基础,因此生物特征数据库的泄露风险可能导致身份冒用等情况发生。第三,在隐私保护上,美国社会公众对于“被监控”表示反感和忧虑。由此,在该社会背景下,美国的立法动态则表现为:一是在生物特征识别信息公共应用方面,美国社会所面临的是公众对隐私保护的呼吁以及被“国家监控”的警惕。在最近的关于生物特征识别信息的州立法中,2019年2月21日,佛罗里达州立法机构提出《生物特征信息隐私法》。从文件名称上可以看出,生物特征识别信息保护的立法定位和考量的是保护公民隐私权。然而,该法仅针对私人主体提出生物特征识别信息收集与使用的规范,理论上说明公权力机关有着更加广泛与自由的生物特征识别信息使用空间。二是在商业应用上,于2020年1月生效的《加利福尼亚州消费者隐私法》规定了生物信息(biometric information)属于一类个人信息(personal information),因此商事交易中消费者的生物识别信息保护适用一般信息保护相关规则,例如主体同意制度等,但是没有专门针对生物特征识别信息收集与使用的规定条款。美国国会目前在审议《人脸识别商业应用中隐私保护法案》(S.847 – Commercial Facial Recognition Privacy Act of 2019),该法案旨在禁止某些私主体在未得到用户同意的情况下使用面部识别技术识别或追踪用户个人活动。但根据Skopos实验室的调查,制定几率仅为3%。综上,整体审视美国现有的生物特征识别信息立法体系,基于公民对于隐私较为敏感的社会环境,立法文件名称均有隐私的用词,似乎在显示生物特征识别信息保护均涉及隐私问题。但是个人信息可分为隐私信息与一般信息两类,在法律适用上存在一定差异。
二、欧盟生物特征识别信息立法规制与发展态势分析
欧盟历来对于个人信息的法律保护要求非常严格,相关立法活动也一直走在世界前沿。然而对于公民生物特征信息的保护,目前欧盟尚无专门的生物特征识别信息立法。有关的法律保护主要体现在GDPR相关规定中,整体立法倾向为:一方面鼓励生物特征识别技术的创新,另一方面保障组织收集与保存生物特征识别数据的安全,并尽量实现两者利益之间的平衡。
(一)欧盟的法律适用阐释
1.现有立法规定。在生物特征识别信息的公共使用上,Regulation (EU) 2018/1725规定了欧盟的机构、组织、办公室和代理处在处理个人数据时的规则,包括数据保护与自由流动。第76款第1条规定,在欧盟机构、办公室或机构的法定职权范围内,确有工作必要并在适当保障信息主体权利和自由情况下可以处理公民生物特征识别信息。欧盟《第2252/2004号关于成员国签发护照和旅行证件的安全特征和生物特征标准的理事会条例》对于生物特征识别信息在边境管制中的使用也做出了专门规范,并在相关案例(Michael Schwarz v. Stadt Bochum)的司法判决中表示,法律适用必须严格区分出于法律义务(基于公共目的)收集和储存的生物特征数据与为合同目的(基于主体同意)收集和储存的生物特征数据,并确认生物特征识别信息的公共管理使用是必要、正当、合理的,且优先于个人权利保护。同时,值得注意,该案原告诉求性质为个人数据权利保护问题,而非隐私权保护纠纷。并且欧盟法院(CJEU)也认为,以指纹为代表的生物特征信息应视为公民的宪法性权利,需受到特别的法律保护。由此,GDPR对于生物特征识别信息的关注更多出于对公民个人信息权利的保护考虑,并且重点在于规范生物识别软件公司的数据处理行为。根据GDPR第9条规定,个人生物特征识别数据属于特殊种类的个人数据(个人敏感数据),适用区别于一般个人信息的特殊保护规定。GDPR第9条第1款又强调生物特征数据禁止用于个人身份的识别。因此,原则上GDPR禁止为了识别特定自然人对基因数据与生物特征识别数据做出相关的数据处理。但是,GDPR第9条第2款亦统一规定了可以处理个人敏感数据的例外情形。那么,作为一类个人敏感数据,生物特征识别信息在什么情况下可用于身份识别?主要包括以下情形:(1)信息主体的明示同意;(2)数据处理是为了数据控制者履行义务或行使权利,或者为了利益相关方在劳动和社会保障法中的权利行使;(3)即使未经主体同意的情况下,为保护信息主体或其他自然人的重大利益;(4)数据处理涉及的是个人先前已公开的私人数据;(5)为维护公共利益目的;(6)为了提出、行使或辩护法律主张;(7)为了预防医学或职业医学有关的所有事宜,例如为评估雇员的精神状况、协助医生的医疗诊断、获得健康或社会照料服务等。因此,当处理生物特征识别信息是为上述目的时,其处理行为是被GDPR所允许的。法律实践中,对于开发生物特征识别软件的公司,以及使用生物特征识别软件进行员工管理的公司,均需对照GDPR做出合规处理。
2.经济发展考量。事实上,GDPR特别关注了生物特征识别技术,并清楚地认识到这项技术的巨大市场潜力。虽然GDPR对使用生物特征识别数据规定了原则性禁止,但并不意味着在GDPR体系下生物特征识别技术被完全禁止。在取得信息主体同意的情况下,或者在某些情况下为了特定合法目的确实有必要且恰当使用生物特征识别信息时,是被GDPR所允许的。据此推断,GDPR没有禁止生物特征识别数据的商业使用,但GDPR也确实强调了在处理生物特征认别数据前必须谨慎。例如,GDPR允许成员国在国内立法中提出额外的条件或限制,尤其是对于遗传数据、健康相关数据和生物特征认别数据的处理。当然,GDPR并未针对生物特征识别信息做出专门或额外的规定,对于生物特征识别信息的保护要求和措施与其他个人敏感信息相同。在欧盟国的国内层面,由于欧盟成员国未能就生物特征识别数据的使用达成明确的共识,关于生物特征识别数据使用的法律要求在成员国之间仍然存在差异。
(二)欧盟制度模式评价与立法发展态势分析
GDPR和《2018/1725条例》共同提供了详细的公权力机关履职与自然人行权的规定,但两者均无专门针对生物特征识别信息的规范条款。在商业应用规制上主要适用GDPR,即企业在收集、使用生物识别信息时应遵循个人敏感信息保护制度,归属个人数据权利保护范畴,主要涉及个人信息自决权。例如,如果软件公司没有详细地解释其系统如何处理生物特征识别数据,或者软件公司没有在其软件系统中设置任何保护与处理生物特征识别数据的安全配置,均被认为违反GDPR,需承担相应法律责任。这点与美国佛罗里达州CCPA相似,但CCPA针对的是商事交易领域,保护对象为消费者群体,而GDPR则针对各类领域中的使用,包括公共管理领域。特别地,针对面部特征识别信息的保护与使用,欧盟目前正考虑出台面部识别信息的新规定。2019年11月,欧盟基本权利保护局(The European Union Agency for Fundamental Rights,简称FRA)发布了《面部识别技术:执法中的基本权利考虑》(Facial recognition technology: fundamental rights considerations in the context of law enforcement)。该报告概述和分析了在公共管理中使用面部特征识别技术可能对公民基本权利造成的挑战,并提出了当公共机关为执法目的部署面部识别系统时为避免侵犯人权应采取的实施步骤。由此看到,与美国相似,对于人脸识别信息的公共使用,面临公众被国家“监控”的忧虑,欧盟亦有同样的使用顾虑及立法考量。
三、比较视野下确立中国特色的法律制度建设立场:发展与监管并存的模式
2019年9月27日,工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》表示,国家支持构建基于人脸识别等识别技术的网络身份认证体系。受益于政府政策的支持,当前更多的企业与资本正大力投入人脸识别产业的开发中,人脸识别技术在商业应用中愈加普及。
(一)我国发展政策与欧美态度的比较分析
欧美法律模式有其各自的考量与特点。在美国,基于注重政治正确和公民积极表达隐私保护呼吁的社会氛围,人脸识别技术的公共管理应用面临极大阻力,对于商业使用则会更加困难。欧洲则已经在考虑对人脸识别等人工智能技术进行立法规制,限制公共机关与企业不加区分地使用人脸识别技术,同时也赋予信息主体明确的信息自决权。相较于欧美对待生物特征识别信息商业使用的谨慎甚至排斥态度,我国政府与民间对于生物识别技术的开发以及生物特征信息的商业使用较为积极。鉴于我国生物识别技术产业实况,规范层面应提供充分的制度保障,以促进生物识别技术的开发与创新发展。同时,我国也应学习欧美法律模式的审慎态度,进一步加强立法与监管体系的建设:一方面,为公民权利保护与救济提供制度保障,如多层次多方位的主体同意制度;另一方面,企业要设立预防机制,如事前的安保设置。综上,通过两方面的努力在公民隐私保护与企业技术创新之间做出最佳平衡。鉴于我国与欧美在社会背景与技术政策上的差异,对于我国生物识别信息的法律建设工作,欧美目前的法律规制体系以及立法态势中可被借鉴的制度成果是有限的,我国应立足于自身发展国情,探索与建设符合本土产业特色的生物特征识别信息法律制度。
(二)中欧美制度建构定位的比较分析
在生物特征识别信息的商业应用上,欧美均非绝对禁止态度。欧盟对于生物特征识别信息的保护侧重考量公民权利保护,并且其权利保护定位对应的是公民个人数据权利,而非隐私权保护定位。该立法定位反映出欧盟个人数据权利化的成熟化阶段,即,欧盟立法框架下公民的个人数据权利已经与隐私权相互分离,成为独立的宪法性权利与公民基本权利。对比来看,中美仍将个人信息权利保护与评价依附于隐私权等法律制度。在生物特征识别信息的制度设置上,欧美共性少、中美共性多,中美与欧盟的制度模式差异根源在于个人数据权利是否独立确权,即,隐私权与数据权利保护的制度定位。具体来说,三者法律模式定位为:(1)依据我国目前立法现状,体现的是个人信息安全的规制定位与趋势,同时兼顾隐私权、肖像权等人格权保护模式;(2)欧盟制度建设的是与隐私权相分离的个人数据权利体系,欧盟立法体系通过宪法性文件将数据权利作为公民基本权利确权,并主要通过个人主动积极地行使模式落实其个人信息自决权;(3)美国某些州的立法现状反映的是隐私权保护模式的侧重,同时兼顾个人数据安全制度。对比分析,中美欧社会对于生物识别技术发展与应用的认可度与接受度呈现差异的原因在于:基于不同的社会与文化背景,隐私理念与制度在不同国家存在各自的解读与定位,并非孰对孰错与孰优孰劣的问题。从技术创新与经济发展角度看,欧美或许也需要适当放松管制增加生物信息进入商业应用领域的机会,使生物识别技术服务于人类与社会。
(三)确定我国规制立场的思路
对比欧美立法现状与我国当前规制缺失状态,笔者认为,立法建设在制度完善路径上应秉持以下思路:(1)立法建设需适应并促进生物识别信息商业应用的发展,推动与完善我国个人信息保护与利用法律体系。生物特征识别技术是人工智能落地最快和商业市场规模最大的主要方向之一,2019年1月,阿里巴巴达摩院发布《2019十大科技趋势》认为生物特征识别技术将于2019年进入大规模应用阶段。生物特征识别信息的唯一识别特性决定了其高度保护的必要性,相关法律制度建设应及时跟进。(2)立法建设响应国家的生物技术创新发展策略,让法律制度为技术革新及应用保驾护航。“新一代人工智能规划”等国家战略提出重点支持生物特征识别信息技术的发展,为这一产业领域提供了良好的政策环境。2019年6月,我国首次发布人工智能治理原则,其中包括尊重隐私、安全可控、共担责任等八项原则,如何将上述原则落实于具体的规则与制度建设中已是迫在眉睫,亟需推进立法工作。(3)立法建设为公民生物特征识别信息安全提供制度支撑,使产业发展与个人信息保护形成良性循环。生物特征识别信息商业创新应用也存在一定社会风险,例如视频合成技术可能导致信息安全、色情内容、政治博弈等社会问题,立法需合理平衡生物信息保护与产业经济发展间的利益冲突。
四、我国生物特征识别信息的立法缺失
目前我国立法体系尚无针对生物特征识别信息的保护及利用的专门规定。立法缺失问题一方面会导致泄露、窃取或滥用生物特征识别信息的行为更加猖獗,威胁公民生物信息安全;另一方面亦不利于生物特征识别信息产业规范发展。我国立法工作亟需加快完善关于生物特征识别信息保护与利用的法律制度。
在数据安全合规问题上,我国数据企业目前采纳的合规文件与安全措施包括:《信息安全管理要求ISO/IEC27001》《欧盟数据保护条例(GDPR)》、数据保护官制度、数据获取授权规则等。可以看到,ISO/IEC27001与GDPR属于国际规范标准,而数据保护官制度在我国尚无明确法律依据,仅数据获取授权存在现实的规范依据,包括几类规范体系:(1)法律与司法解释文件,《网络安全法》《电子商务法》《消费者权益保护法》《刑法》《民法总则》《民法典(草案)》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等;(2)行业规范文件,《互联网个人信息安全保护指南》《App违法违规收集使用个人信息行为认定方法》《网络交易监督管理办法(征求意见稿)》;(3)推荐性国家标准,《个人信息安全规范》。在上述所有规范性文件中,尽管对于个人信息的收集与使用提出了具体要求,除了《个人信息安全规范》《互联网个人信息安全保护指南》,其他文件均未直接明确提出对生物特征识别信息的专门规定。《民法典(草案)》第789条之一规定,从事与人体基因、人体胚胎等有关的医学和科研活动的,应当遵守法律、行政法规和国家有关规定,不得危害人体健康,不得违背伦理道德,不得损害公共利益。可以看到,该规定旨在保护被试验自然人的健康权,而非个人信息安全。《民法典(草案)》第799条规定任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权,第803条第2款提出对自然人声音的保护参照适用肖像权保护的有关规定。由此判断,对于人脸和声音等生物识别特征的法律保护,《民法典(草案)》将其纳入传统肖像权保护制度。整体来看,对于生物特征信息的收集与使用,目前我国法律规范体系尚无特殊的法律规定。
需要指出,我国亦存在针对生物特征识别信息的专门规范文件,包括《人类遗传资源管理条例》《人类遗传资源管理暂行办法》《生物特征识别信息的保护要求(征求意见稿)》《涉及人的生物医学研究伦理审查办法》等。但是,《人类遗传资源管理条例》《人类遗传资源管理暂行办法》仅针对遗传资源的有效保护和合理利用,且重点关注科研领域中对遗传资源的开发、利用与共享问题,也提及中外合作研究中的遗传资源的权属分配问题。然而,上述文件并未意识到遗传资源的商业经济价值,未对遗传资源的商业使用予以关注。对比而言,在规范生物特征信息适用场景的多元性上,德国2009年制定的《人类基因检测法》广泛针对医疗、保险、就业、血缘鉴定等不同使用场景分别对基因检测做出了规范。而我国《涉及人的生物医学研究伦理审查办法》则是针对生物医学研究背景下的基因信息保护作出的单一场景性规范。值得提出,遗传数据对于开展人类疾病预测、诊断、治疗与研究作用重大,是发展生物医药领域的核心竞争力之一。《人类遗传资源管理条例》第6条明确了国家支持合理利用人类遗传资源开展科学研究、发展生物医药产业与提高诊疗技术。随着精准医疗服务的迅猛发展,医学研究与医药开发领域对生物样本库的需求也日益迫切,越来越多的国际生物公司和医学研究人员都对生物样本数据提出了更多的业务需求。然而,在目前我国法律体系下,生物样本库的数据共享问题是生物样本数据使用中面临的最大法律挑战。《人类遗传资源管理条例》第12条第1款规定,采集我国人类遗传资源,应当事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利,征得人类遗传资源提供者的书面同意。该规定符合个人信息收集的一般法律要求,但未针对公民生物特征识别信息建立起与其敏感度和隐私性相适应的特殊保护制度。
五、我国生物特征识别信息商业应用的规制框架
(一)法律规范体系的结构安排
围绕生物特征识别信息的商业使用范围、分级分类制度、技术安全标准、主体同意模式、行业自律规范等内容,在规范体系中可做以下安排:(1)相关的一般法律,《侵权责任法》在高度危险责任一章中规定侵犯公民生物特征识别信息的责任承担方式,《消费者权益保护法》《电子商务法》增加获取生物特征识别信息的特殊授权规则、保护措施与安全责任;(2)个人信息保护的专门法律,即将出台的《个人信息保护法》《数据安全法》设置独立章节规定生物特征信息在获取、使用、披露、存储、跨境传输等事项上的特殊保护规则;(3)生物特征识别信息保护的专门法律,是否有必要出台专门的《生物特征信息隐私法》?笔者认为,考虑到目前我国的立法现状与理论进展,对于个人信息保护中的诸多理论问题如数据权属、权利模式、侵权救济、各方利益冲突等尚未完全厘清,目前出台《生物特征信息隐私保护法》还为时过早。2019年6月25日,信标委发布了《生物特征识别信息的保护要求(征求意见稿)》,体现出我国制度层面已经关注到公民生物特征识别信息迫切的保护需求。因此,要灵活参照国家标准中保护要求,以增强该国家标准的约束力与影响力。一方面,出台专门的行政性文件,例如可由国务院主导出台《生物特征识别技术管理暂行办法》;另一方面,出台专门的行业规范,例如可由工信部、网信办或国家市场监督管理总局主导出台《生物特征信息使用监督管理办法》,暂且为收集与使用生物特征识别信息的企业提供合规依据,为公民生物特征识别信息保护提供制度保障,避免生物特征识别信息产业完全的“野蛮生长”,待立法时机成熟后再出台专门与正式的立法文件。
(二)立法框架的样本参照方案
其一,在国际标准上,2011年6月,国际标准化组织(International Organization for Standardization,简称ISO)与国际电工委员会(International Electrotechnical Commission,简称IEC)联合颁布的《信息技术—安全技术—生物测定信息保护标准》(ISO/IEC 24745:2011 Information Technology — Security Techniques — Biometric Information Protection)为生物特征信息保护提供了技术指导,在存储和传输过程中需满足保密性、完整性和可更新/可撤销性等要求。此外,ISO/IEC 24745:2011为生物特征识别信息的安全、隐私合规管理和处理提出了要求及相应的指导。ISO/IEC 24745:2011具体规定了以下几方面内容:(1)分析生物特征和生物特征识别系统应用模型中固有的威胁及对策;(2)生物特征引用和身份引用之间安全绑定的安全要求;(3)生物特征系统应用模型具有不同的应用场景,包括各自场景下对生物特征识别信息的保存、参照与比对;(4)在生物特征识别信息处理过程中保护个人隐私的指南。
其二,在国内标准上,2019年《个人信息安全规范(修订草案)》(简称《安全规范》)明确指出“个人生物识别信息”属于个人敏感信息。根据《安全规范》中的相关规定,对于生物识别信息,在收集信息时的授权同意、隐私政策制定、传输与存储、访问控制措施、目的限制、共享与转让、公开披露、应急处置和报告、数据控制者的义务与责任、工作人员管理等事项的安排与设置上,均需适用个人敏感信息的特殊保护要求。另外,在明确提到生物识别信息的专门条款上,《安全规范》要求在存储个人生物识别信息时,应采用技术措施确保信息安全后再进行存储,例如将个人生物识别信息的原始信息和摘要分开存储,或仅存储摘要信息。同时,即使个人信息控制者经法律授权或具备合理事由确需公开披露个人信息时,也一律不应公开披露个人生物识别信息、基因信息。由此看出,相较于其他个人信息,生物识别信息与基因信息属于绝对不公开的范畴。除正文外,《安全规范》附录D在展示隐私政策模板时,举例说明在收集身份证、护照、驾照等法定证件信息和个人生物识别信息时,应专门提醒信息主体此次收集活动所涉及的信息,并说明处理目的、处理规则。除此之外,《生物特征识别信息的保护要求(征求意见稿)》规定了生物识别信息的安全保护要求,包括生物特征识别系统的威胁和对策、生物特征信息和身份主体之间绑定的安全要求、应用模型以及个人信息保护要求与指南等。虽然《生物特征识别信息的保护要求》提供了可落地操作的技术标准与应用模型,但现有监管体系不应简单地适用与其他个人信息同样的主体授权同意机制,在机制设置上更应考虑对收集必要性的干预,可明确列举允许使用的情形和应满足的条件,以限制或防止生物识别信息被肆意收集与滥用。此外,2019年4月10日,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布的《互联网个人信息安全保护指南》建议仅存储个人生物特征识别的摘要信息,即经过分析与处理后得到的结果,该规定与2017年版《个人信息安全规范》中对生物特征信息的规定是一致的。对于上述推荐性国家标准,在立法过程中均可有选择性地纳入法律规制中。
(三)立法内容的多维规制角度
相对于一般个人信息(包括个人敏感信息),在规则内容设计上,生物识别信息有其特殊保护与处理规则。国际与国内生物测定信息的行业标准指南提供了立法框架样本,可作为生物识别信息规范文件的框架基础。如何将行业保护标准纳入法律规制框架?具体的保护标准是否需要变通?数据安全目的在于风险防范,即,刑法、民法、网络安全法等相关信息安全规定本质上针对的是个人信息的滥用或泄露问题。例如,刑法所规定的侵犯公民信息罪(第253条之一)与非法侵入计算机罪(第285条)均可评价数据滥用与泄露行为。而个人信息保护则更多侧重于个人的信息权利行使,例如《民法典(草案)》第六章相关条文。由此看出,数据安全与个人信息权利在法律规范目的上是不同的,这也意味着企业责任设置与公民权利赋能的立法侧重。一方面,信息主体该如何做出授权表示以及如何实现绝对控制力?另一方面,对应的,数据企业的安全保障责任与信息使用规范又该如何设计?基于该思考,规制内容将重点围绕上述两类规范目的进行设计。
1.企业的数据保护责任:数据安全侧重。BIPA要求企业应谨慎地收集必要的生物特征信息,并且保留时间不应该超过特定业务目的时限。对此,企业需要做出存储、保护和共享生物特征信息的书面政策。该安排应是正式制定的,并采取管理、物理和技术保障措施来妥善保管生物识别数据。由此看出,BIPA仅宽泛地针对生物特征信息的保留、收集、披露和销毁做出了原则性规定,但对生物特征信息的商业使用,仅提及了为完成金融转账可经信息主体授权后披露。BIPA未对生物特征信息的合理商业使用予以关注,整体上是以预防与禁令方式为生物信息提供保护机制,并重点服务于雇佣单位的员工管理场景。此外,目前已开发了许多保护隐私的生物特征方案(PPBSs),也为未来的隐私保护生物计量学研究提供了指导。在技术原理上,生物识别技术是基于计算机、物理学、生物统计学等科学原理,通过采集待识别个人的生理或行为特征,与其固有特征对比,以实现用户身份识别。笔者认为,对于生物识别软件的开发方与使用方,应设置各自的安全保障义务与责任:一是对于提供生物识别服务或开发生物识别技术的企业,当生物识别软件上架APP商店时,应提供国内或国际认证标准,以证明软件内置了必要的保障措施,会及时维护生物信息的安全存储与处理。二是对于使用生物识别服务或收集、处理生物特征信息的企业,可选择与提供生物识别服务的公司合作,以达到安全技术标准。需要注意,参照《加利福尼亚州劳动法》(The California Labor Code)规定,如果雇主企业通过第三方机构提供生物特征识别服务,必须确保第三方主体无法获取与保留生物特征信息。
2.企业的信息使用规则:应用规范侧重。一是生物特征识别信息的商业应用场景与个性化规范设置。目前生物识别特征被广泛应用在商业盈利模式中。亚马逊早在2016年就推出了人脸识别软件Rekognition,类似的产品还有谷歌云Vision API、IBM Watson Visual Recognition和微软的Face API。尤其在创新金融服务的开发上,金融数据技术结合人脸辨识、对象辨识与客户金融数据来推测客户潜在的意图,进一步分析个人的投资喜好与信用评价等,最终推测出客户未来的金融需求。金融业通过开发人脸辨识与自然语言理解技术,以增加风险管理、营销、反洗钱等金融业务。例如,智能ATM人脸辨识技术可以通过使用者的年龄、性别、衣着打扮等推测用户的特征,以推送定制化的广告或金融服务。由此看到,生物特征信息在电子商务中的使用场景是多元的,相应的规范也有其专门性与特殊性。同时也应注意,对于生物特征信息商业使用的分场景监管模式可能会增加执法的复杂度。这是因为,当前数字化产业中,各行业之间加速融合,各类信息流也随之汇聚,如手持身份证的面部拍照上传,会同时涉及一般个人信息与生物识别信息。因此,笔者认为,在个人信息分类分级分场景的保护模式下,宜采取“就高不就低”的保护原则,在多级个人信息保护场景中,应遵循最高保护级别信息的法律收集、处理与使用要求。
二是人脸识别技术应用的特别关注。AI换脸可能会被用于盗刷支付,鉴于财产权益的敏感性,引起人们对面部识别应用的恐慌。然而,利益驱动下视频合成技术的突破能力是难以预测的,信息技术的安全保障能力亦是不确定的。因此,真伪鉴别手段与视频伪造技术的赛跑,始终是悬在面部识别技术商业应用头上的“达摩克利斯之剑”。大型互联网企业目前正增加投资以开发更有效识别假视频的鉴别技术。但是,预防与打击假视频所带来的社会风险仅凭技术手段是远远不够的,必须要有法律制度的保障。深度伪造(Deepfakes)可制作肉眼难辨真伪的动态人脸画面和声音,AI换脸可以随意替换视频中人物角色的面部。随着深度伪造技术发展,引发了社会公众对可能侵犯其隐私权、肖像权、名誉权、荣誉权的担忧。例如,数据企业滥用信息、并将所收集的用户信息交由公开数据库使用,严重违反了信息保护规定。相较于其他生物特征识别信息,人脸信息的盗用对于公民可能造成无形的荣誉或名誉损害。我国目前立法体系如何评价身份冒用行为与规制视频合成技术?《民法典(草案)》对此作出规定:“任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权。其他人格权的许可使用和自然人声音的保护,参照适用本章的有关规定。”该规定对于盗用人脸或声音问题做出了原则性规定,提供了侵权保护的法律救济思路。参照BIPA中的规定,对于因违反该法的行为而受到损害的个人,过失侵权可获得1000美元赔偿,故意侵权则可以通过主张个人权利获得5000美元赔偿。借鉴该法律模式,我国在生物特征识别信息规则构建过程中,结合侵权责任的法律构成要件,提供更加细化的规定,包括过错形式、因果认定、赔偿标准、责任方式等。
3.用户数据权利行使路径:个人信息权利侧重。一是信息获取时多层授权机制与使用中主体绝对控制模式。整理2018版本《个人信息安全规范》中的有关规定,对生物识别信息的保护措施有:第一,收集生物识别特征时,应取得信息主体的明示同意;第二,收集生物识别信息前,应明确告知收集信息的功能、用途、必要性以及不同意的后果等事项;第三,存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要;第四,(绝对)不得公开披露个人生物识别信息。前两条属于对于个人敏感信息的一般保护规则,后两条则是专门针对生物识别信息的特别规定。在保护规则的制定上,立法应侧重体现对于生物识别信息的特殊保护要求。笔者认为,在向用户征求明示授权同意时,应向信息主体告知生物识别信息的收集目的、处理方式、使用范围、再度披露规则等,还要求信息主体通过书面声明做出同意表示,并且在后续的二次使用中,仍需再次征求用户的明确(二次)授权。根据《网络交易监督管理办法(征求意见稿)》第22条第2款规定,网络交易经营者收集、使用消费者个人信息的,应当逐次征求消费者同意,不得采取一次性授权方式获得消费者同意,不得因消费者不同意收集与该网络交易活动无关的个人信息而拒绝向其销售商品或者提供服务。但是,此处的权利行使具有请求权性质,权利实现往往需要数据控制者的作为方能实现。笔者认为应在技术上设置即时生效的控制机制,尤其在网络交易中,对于消费者的生物特征识别信息如身份证照片、指纹、人脸信息等,用户可以随时行使更正、删除和注销的权利,并且无需任何前置条件即可当场实现与即时生效,即时型权利行使方式将很大程度保障用户生物信息安全。
二是生物特征识别信息权利的司法救济模式。Rosenbach v. Six Flags Entertainment Corp.一案中,伊利诺斯州最高法院推翻了上诉法院的判决,认为公民根据《伊利诺斯生物特征信息隐私法》有资格成为“受损害的”人,并可根据该法案要求违约金和禁令救济,即使原告尚未受到实际伤害或不利影响,而只是被侵犯了本人根据该法案所应享有的公民权利。由此推断,法院在该案中确立的司法保护规则为:即使公民生物识别信息未遭受实质损害,信息主体仍有权寻求司法救济。相较于一般个人信息侵权,生物特征识别信息的司法保护标准显然更高。之所以生物特征识别信息的司法诉讼要求较低,是为保证生物特征识别信息主体可及时主张权利,以对将来可能遭受的损失做出提前预防。毕竟一旦遭受现实损害,损害后果将难以弥补。
作者商希雪(中国政法大学刑事司法学院讲师),摘自中国政法大学法治政府研究院http://fzzfyjy.cupl.edu.cn/info/1035/13075.htm