田 麗，畢 昆

（北京大學(xué)，北京100871）

0 引 言

2020年12月，一則名為“為保護(hù)個(gè)人信息，戴著頭盔去看房”的短視頻出現(xiàn)于各大平臺(tái)。男子在視頻中稱，戴頭盔是為了避免在售樓大廳被人臉識(shí)別系統(tǒng)“無感抓拍”后被房地產(chǎn)公司按購房類型、購房資質(zhì)“看人下菜”，受到區(qū)別對(duì)待。在日常生活中采取這種極端手段保護(hù)個(gè)人權(quán)益的案例只是個(gè)案，生物識(shí)別信息的主體——公民在實(shí)際面臨采集和授權(quán)的時(shí)候往往并沒有選擇權(quán)。在個(gè)人隱私和數(shù)據(jù)保護(hù)成為焦點(diǎn)的當(dāng)下，以《中華人民共和國網(wǎng)絡(luò)安全法》為代表的法律法規(guī)及政府配套措施相繼出臺(tái)，行業(yè)自律和平臺(tái)自治行動(dòng)也紛紛展開，網(wǎng)絡(luò)技術(shù)向準(zhǔn)確性、安全性和合法性方向不斷邁進(jìn)。然而，生物識(shí)別信息中出現(xiàn)的過度采集、保存不當(dāng)、權(quán)限濫用和非法交易等問題仍十分嚴(yán)重，生物識(shí)別信息治理仍處于空白局面，亟待加強(qiáng)保護(hù)與管理措施。

當(dāng)前，生物信息識(shí)別技術(shù)在產(chǎn)業(yè)應(yīng)用和技術(shù)水平上不斷發(fā)展，網(wǎng)絡(luò)平臺(tái)憑借其便捷性和高效性，成為了新的公共基礎(chǔ)設(shè)施。全方位、全時(shí)段、全屬性的生物識(shí)別技術(shù)為網(wǎng)絡(luò)平臺(tái)提供了巨大的利益空間，公民在使用公共服務(wù)中隱私權(quán)、財(cái)產(chǎn)權(quán)等遭受威脅，政府的公共權(quán)力讓渡邊界也同時(shí)變得模糊。平臺(tái)在這一問題中難辭其咎，不論是搭載生物識(shí)別信息相關(guān)功能的平臺(tái)運(yùn)營者，還是進(jìn)行生物識(shí)別信息后臺(tái)處理、授權(quán)存儲(chǔ)或轉(zhuǎn)移的第三方機(jī)構(gòu)平臺(tái)，都需要彌補(bǔ)管理漏洞，樹立治理意識(shí)，明確治理責(zé)任。

既有研究中，對(duì)于網(wǎng)絡(luò)平臺(tái)的生物識(shí)別信息保護(hù)內(nèi)容呈現(xiàn)出三大特征。一是集中論述其現(xiàn)象及危害，二是討論其適用的法律及其邊界，三是集中關(guān)注生物識(shí)別信息中的人臉識(shí)別信息，整體缺乏對(duì)于生物識(shí)別信息的系統(tǒng)性、規(guī)范性研究以及從平臺(tái)視角研究發(fā)展動(dòng)因與治理措施的論述。本文從厘清生物識(shí)別信息的概念、風(fēng)險(xiǎn)和發(fā)展動(dòng)因出發(fā)，分析平臺(tái)在生物識(shí)別信息保護(hù)問題中擁有的功能和屬性，進(jìn)而提出相應(yīng)的對(duì)策。

1 生物識(shí)別信息的內(nèi)涵與特性

1.1 生物識(shí)別信息概念

生物識(shí)別信息常被簡稱為生物信息，歐盟將其定義為“通過對(duì)自然人的身體、生理或行為特征有關(guān)的特定技術(shù)處理產(chǎn)生的能夠識(shí)別該自然人的唯一特征的個(gè)人數(shù)據(jù)”，美國則將其定義為“個(gè)人生理、生物或行為上的特征”和“具有個(gè)人生物識(shí)別標(biāo)識(shí)符的信息”[1]。一般而言，生物識(shí)別信息包含但不限于面部圖像、指紋數(shù)據(jù)、聲紋信息、虹膜信息、步態(tài)信息、基因信息等。分類方面，按照生物特征，生物識(shí)別信息可被分為生理特征信息（如指紋、人臉、虹膜等）和行為特征信息（步態(tài)、聲音等）[2]；按照使用場(chǎng)景，可被分為公共服務(wù)類（如證件簽發(fā)錄入指紋）、刑事訴訟類（如犯罪嫌疑人人臉信息）和商業(yè)應(yīng)用類（如金融業(yè)務(wù)使用虹膜解鎖）信息。

目前，我國對(duì)生物識(shí)別信息從屬的個(gè)人信息保護(hù)領(lǐng)域較為關(guān)注，但暫時(shí)對(duì)生物識(shí)別信息沒有單獨(dú)、統(tǒng)一的權(quán)威定義。《中華人民共和國民法總則》規(guī)定了自然人的個(gè)人信息受法律保護(hù)，《中華人民共和國民法典》將“個(gè)人信息”與“隱私權(quán)”并列作為“人格權(quán)編”的內(nèi)容并在個(gè)人信息范圍列舉中提及了“生物識(shí)別信息”[3]?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》將生物信息稱為“生物識(shí)別信息”，認(rèn)為其具有天然性、永久性和不可更改性的特點(diǎn)。在行業(yè)規(guī)范中，我國對(duì)于個(gè)人生物特征識(shí)別領(lǐng)域暫時(shí)沒有明確的相關(guān)文件，但對(duì)個(gè)人信息安全的應(yīng)用給出了保護(hù)指南，如《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》等。

1.2 生物識(shí)別信息的特殊性

生物識(shí)別信息具有極強(qiáng)的特殊屬性。首先，生物識(shí)別信息是活體數(shù)據(jù)，是自然人存在時(shí)體現(xiàn)出的原始生物特性，其本身具有可識(shí)別性、主體唯一性、高度穩(wěn)定性、不可變更性和不可替代性的特點(diǎn)。

不同于需要自然人進(jìn)行意愿填報(bào)的身份、住址等個(gè)人隱私信息，生物識(shí)別信息具有“無感識(shí)別”的隱蔽性特點(diǎn)。由于生物識(shí)別信息與特定自然人的相關(guān)屬性相關(guān)聯(lián)，極易影響與特定自然人相關(guān)的社會(huì)評(píng)價(jià)、身份名譽(yù)等人格權(quán)益，一旦被替換、冒用或?yàn)E用，將對(duì)自然人本身造成不可逆轉(zhuǎn)的影響。此外，生物識(shí)別信息不同于一般字符串信息，在識(shí)別程序上需要通過生物識(shí)別測(cè)算程序，具有識(shí)別鑒定特殊性。

1.3 生物識(shí)別信息的發(fā)展動(dòng)因

其一是技術(shù)動(dòng)因。生物識(shí)別技術(shù)在安全性能上的優(yōu)點(diǎn)使其在國家安全和軍事需求下不斷發(fā)展。生物識(shí)別技術(shù)經(jīng)歷了結(jié)構(gòu)特征識(shí)別階段、統(tǒng)計(jì)特征識(shí)別階段和大數(shù)據(jù)復(fù)雜模型識(shí)別階段，逐漸在圖像和聲音采集、形態(tài)檢測(cè)、精確匹配、特征提取、識(shí)別認(rèn)證、識(shí)別輸出等領(lǐng)域取得進(jìn)步。21世紀(jì)后，生物識(shí)別技術(shù)在增強(qiáng)現(xiàn)實(shí)技術(shù)（AR）的發(fā)展下有了進(jìn)一步突破。通過對(duì)接在線數(shù)據(jù)庫，自然人的生物特性與其在網(wǎng)絡(luò)空間的行動(dòng)軌跡緊密關(guān)聯(lián)，可以實(shí)現(xiàn)動(dòng)態(tài)捕捉、識(shí)別、輸出等功能，敏感信息在數(shù)據(jù)矩陣助力下規(guī)模積累，使“識(shí)別生物識(shí)別信息”飛躍為“預(yù)測(cè)個(gè)人可預(yù)測(cè)信息”成為可能[4]。

其二是商業(yè)動(dòng)因。生物信息識(shí)別技術(shù)使身份認(rèn)證變得規(guī)?；⒏咝?，為商業(yè)應(yīng)用打下基礎(chǔ)。網(wǎng)絡(luò)平臺(tái)本身對(duì)用戶數(shù)據(jù)天然具有收集需求，通過與生物識(shí)別技術(shù)的有效結(jié)合，商業(yè)平臺(tái)的信息共享、智能算法推薦、定向識(shí)別等目標(biāo)得以實(shí)現(xiàn)。當(dāng)前國內(nèi)幾大互聯(lián)網(wǎng)公司均已在自身平臺(tái)上搭載了生物識(shí)別技術(shù)，與生物識(shí)別技術(shù)相關(guān)的產(chǎn)品的市場(chǎng)份額也逐年遞增，醫(yī)療、金融、教育、消費(fèi)等領(lǐng)域都開始運(yùn)用生物識(shí)別技術(shù)進(jìn)行身份認(rèn)定和指令操作。硬件設(shè)備（如攝像頭等）的普及也使得用戶在線下消費(fèi)時(shí)成為被辨識(shí)捕捉驗(yàn)證的對(duì)象，人機(jī)直接接觸的方法為商業(yè)營銷節(jié)省了許多人工成本。

1.4 生物識(shí)別信息的潛在風(fēng)險(xiǎn)

由于生物識(shí)別信息屬于個(gè)人隱私信息，其泄露、濫用和非法交易會(huì)導(dǎo)致公民隱私權(quán)、平等權(quán)和財(cái)產(chǎn)權(quán)受到侵害。由于自然人的生物特性具有不可更改的特質(zhì)，這種信息一旦被盜用將無法更改或注銷，對(duì)自然人的侵害也將伴隨一生。

從國家層面來看，生物識(shí)別信息安全在國家安全中占有核心地位，生物識(shí)別信息被用于政治競(jìng)爭(zhēng)將對(duì)社會(huì)穩(wěn)定和國家戰(zhàn)略安全形成巨大威脅。在疫情持續(xù)存在的形勢(shì)下，生物識(shí)別信息亦面臨著耦合風(fēng)險(xiǎn)——基因信息可能被用于生物戰(zhàn)武器的開發(fā)。

此外，個(gè)人生物識(shí)別信息在技術(shù)上并未完全成熟，存在應(yīng)用風(fēng)險(xiǎn)。生物識(shí)別信息可能通過復(fù)刻生物動(dòng)作破解系統(tǒng)，造成財(cái)產(chǎn)損失；生物信息通常同步關(guān)聯(lián)其他個(gè)人信息數(shù)據(jù)，如若使用不合理，在未來可能產(chǎn)生影響主體理性判斷、消解社會(huì)公共信任的不良后果。

2 平臺(tái)視角下的生物識(shí)別信息風(fēng)險(xiǎn)

在網(wǎng)絡(luò)平臺(tái)成為基礎(chǔ)設(shè)施和提供公共服務(wù)的當(dāng)下，網(wǎng)絡(luò)平臺(tái)利用政府讓渡的公權(quán)力在生物識(shí)別信息的各個(gè)環(huán)節(jié)中產(chǎn)生了過度采集、保存不當(dāng)、權(quán)限濫用和違法交易等問題。

2.1 過度采集

生物識(shí)別信息采集需要符合合法公開原則、目的限制原則、最小數(shù)據(jù)原則和數(shù)據(jù)安全原則，尊重用戶的隱私權(quán)和知情權(quán)。但在實(shí)現(xiàn)過程中，平臺(tái)軟件往往會(huì)對(duì)生物識(shí)別信息進(jìn)行過度采集。

一是公共場(chǎng)合的非法無感識(shí)別。生物識(shí)別信息可以在人機(jī)之間直接交互，這種無須主體主觀意識(shí)授權(quán)、非接觸性的特點(diǎn)極大地增加了自然人在公共場(chǎng)合時(shí)的生物安全風(fēng)險(xiǎn)。目前，生物識(shí)別信息的收集在多數(shù)情況下成為一種“非法的必然”。2020年央視“3·15”晚會(huì)曝光個(gè)別商家在消費(fèi)場(chǎng)景中使用人臉識(shí)別攝像頭，通過拍攝用戶的人臉照片、進(jìn)行人臉識(shí)別，收集顧客的訪問時(shí)間和路徑，并與消費(fèi)金額進(jìn)行匹配，以便后續(xù)擬定針對(duì)不同客戶的接待標(biāo)準(zhǔn)及報(bào)價(jià)基準(zhǔn)[5]。生物信息的無感采集存在“出現(xiàn)即采集，采集即授權(quán)，授權(quán)即合理”的強(qiáng)盜邏輯，不符合維護(hù)公共安全的價(jià)值利益。

二是平臺(tái)協(xié)議強(qiáng)迫性采集同意。收集個(gè)人信息必須滿足“單獨(dú)告知”及“取得明示同意”的雙重要求。但是，在收集過程中，平臺(tái)往往通過注冊(cè)協(xié)議等形式對(duì)用戶信息進(jìn)行先期采集，再進(jìn)行強(qiáng)迫性修改或變更。據(jù)調(diào)查顯示，微信平臺(tái)上的16款健康碼小程序存在未設(shè)置用戶協(xié)議和隱私政策直接進(jìn)入信息填報(bào)注冊(cè)頁面的問題[6]。平臺(tái)協(xié)議強(qiáng)迫性采集同意的問題在于，若信息主體不同意生物識(shí)別信息被收集，就無法享有公共服務(wù)。一些平臺(tái)甚至在服務(wù)協(xié)議中使用“向第三方傳輸生物識(shí)別信息以進(jìn)行身份認(rèn)證”等條款，但第三方的資質(zhì)、數(shù)量、傳輸過程均是未知。

2.2 保存不當(dāng)

盡管《中華人民共和國網(wǎng)絡(luò)安全法》要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中國境內(nèi)的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)，其他配套法律也對(duì)數(shù)據(jù)保存做出明確規(guī)定，但當(dāng)前生物識(shí)別信息仍然存在保存不當(dāng)問題。

一是保存安全級(jí)別混亂。信息安全保護(hù)等級(jí)分為用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問驗(yàn)證保護(hù)級(jí)五級(jí)，不同等級(jí)的網(wǎng)絡(luò)運(yùn)營者負(fù)有不同安全保護(hù)義務(wù)。但現(xiàn)行生物識(shí)別信息保存種類體制中，并沒有按照網(wǎng)絡(luò)安全等級(jí)保護(hù)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)管理等層次執(zhí)行，存在管理漏洞。2020年12月，成都一位“新冠”確診病例孫女的活動(dòng)軌跡圖、人臉照片等信息在網(wǎng)絡(luò)上瘋傳，并遭到網(wǎng)友人身攻擊和謾罵。由于平臺(tái)缺乏對(duì)生物識(shí)別信息的分級(jí)保護(hù)，缺乏硬件和軟件的分級(jí)建設(shè)，導(dǎo)致公民個(gè)人權(quán)利受到侵害。

二是保存周期和保存量不明，銷毀和作廢保護(hù)制度缺失。個(gè)人信息主體具有刪除、撤回授權(quán)、注銷賬戶、獲取個(gè)人信息副本的權(quán)利，但這無法遏制生物識(shí)別信息保存周期不明確甚至被非法存儲(chǔ)占有的問題。2019年，換臉應(yīng)用程序ZAO由于其協(xié)議中存在存儲(chǔ)個(gè)人面部生物識(shí)別特征信息，以及用戶無法刪除信息或注銷賬號(hào)等高風(fēng)險(xiǎn)條款，而被叫停整改。由于授權(quán)主體在生物識(shí)別信息存儲(chǔ)和銷毀上存在制度缺陷、缺乏資質(zhì)保障的問題，生物識(shí)別信息的原始數(shù)據(jù)可能未被刪除，其相關(guān)分析成果亦有可能被用于非法用途。

2.3 權(quán)限濫用

生物識(shí)別信息的使用應(yīng)建立在明確特定使用目的這一基礎(chǔ)上，并同時(shí)符合目的限制、誠實(shí)信用和公開透明的要求[7]。當(dāng)前，生物識(shí)別信息仍存在權(quán)限濫用問題。

超越目的限制的權(quán)限授用。2018年中國消費(fèi)者協(xié)會(huì)發(fā)布《100款A(yù)pp個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》，報(bào)告顯示10款A(yù)pp對(duì)可識(shí)別生物信息的使用權(quán)限未能向用戶明確告知，涉嫌濫用個(gè)人生物識(shí)別信息[8]。以拍照軟件為例，用戶的攝像鏡頭拍攝到的指紋可通過照片被識(shí)別提取還原，利用光學(xué)技術(shù)和人工智能畫質(zhì)增強(qiáng)技術(shù)實(shí)現(xiàn)指紋細(xì)節(jié)刻畫，使生物識(shí)別信息在用戶登陸時(shí)授權(quán)后被隨意濫用。

權(quán)限關(guān)聯(lián)和共享使用。單一平臺(tái)的數(shù)據(jù)使用權(quán)限往往會(huì)超過協(xié)議內(nèi)容，依托平臺(tái)背后的產(chǎn)品體系，生物識(shí)別信息向整個(gè)產(chǎn)品系統(tǒng)和產(chǎn)業(yè)鏈擴(kuò)散。以互聯(lián)網(wǎng)金融平臺(tái)為例，由于這些平臺(tái)多使用生物識(shí)別信息進(jìn)行支付操作，平臺(tái)可以定向識(shí)別并在支付消費(fèi)場(chǎng)景中營銷金融產(chǎn)品，如第三方支付公司對(duì)網(wǎng)絡(luò)購物附加投資理財(cái)功能等，對(duì)資本管理市場(chǎng)帶來沖擊。

2.4 非法交易

我國的數(shù)據(jù)信息交易平臺(tái)在設(shè)計(jì)、運(yùn)營、定價(jià)、準(zhǔn)入等體制機(jī)制上尚未完善，也未出臺(tái)針對(duì)數(shù)據(jù)交易和應(yīng)用的專門性法律法規(guī)。這與數(shù)據(jù)產(chǎn)業(yè)商業(yè)化的加速擴(kuò)張形成了張力。近年來，中國生物識(shí)別市場(chǎng)規(guī)模從2016年的127億元增長至2019年的224億元，年均復(fù)合增長率為20.6%，預(yù)計(jì)2021年將達(dá)326億元[9]。與此同時(shí)，地下非法交易也發(fā)展壯大起來。

當(dāng)前生物識(shí)別信息的非法交易的主要形式為批量售賣。有調(diào)查發(fā)現(xiàn)5000張人臉照片僅售價(jià)10元，賣家甚至可提供同一人臉部各角度的多張照片[10]。這種以技術(shù)手段幫助無資質(zhì)人群完成實(shí)名認(rèn)證以獲取利益的模式催生了大量的“人臉產(chǎn)業(yè)”。在實(shí)際執(zhí)法過程中，由于人工智能應(yīng)用范圍的限制和生物識(shí)別信息非法收集的力度較小等原因，難以做到違法必究。這些違法或灰色行為受到的懲罰和代價(jià)常常較小，國內(nèi)的平臺(tái)在強(qiáng)大的利益驅(qū)動(dòng)下往往更易知法犯法。

3 生物識(shí)別信息平臺(tái)治理的必要性

治理生物識(shí)別信息在采集、保存和開發(fā)利用過程中出現(xiàn)的亂象，必須牢牢把握住平臺(tái)這一中心。這既是由平臺(tái)在生物識(shí)別信息利用過程中的多重角色決定的，也是由平臺(tái)自身的基本特性形成的。平臺(tái)是生物識(shí)別技術(shù)的推動(dòng)者、利益的獲得者和信息轉(zhuǎn)存的中介者，這就決定了治理生物識(shí)別信息問題必須以平臺(tái)作為抓手。然而，互聯(lián)網(wǎng)平臺(tái)在治理問題上并非天然向善。平臺(tái)在發(fā)展過程中形成的基本特性成為了生物識(shí)別信息平臺(tái)治理的結(jié)構(gòu)性障礙。

3.1 互聯(lián)網(wǎng)平臺(tái)的基礎(chǔ)設(shè)施屬性

生物識(shí)別信息平臺(tái)治理難點(diǎn)首先在于平臺(tái)的基礎(chǔ)設(shè)施屬性。網(wǎng)絡(luò)平臺(tái)將資本和技術(shù)優(yōu)勢(shì)轉(zhuǎn)化為用戶和數(shù)據(jù)優(yōu)勢(shì)，使其在本質(zhì)上具備能力并開始承擔(dān)公共服務(wù)，繼而對(duì)傳統(tǒng)政府提供的公共服務(wù)領(lǐng)域滲透擴(kuò)張。究其原因，除了互聯(lián)網(wǎng)平臺(tái)的主動(dòng)“圈地”，還在于政府和公共部門為了提高公共服務(wù)的便利性和效率的目的下將部分公權(quán)力讓渡給了網(wǎng)絡(luò)平臺(tái)。

然而，生物識(shí)別信息的市場(chǎng)化運(yùn)作存在著巨大的社會(huì)風(fēng)險(xiǎn)和權(quán)力瑕疵?；ヂ?lián)網(wǎng)平臺(tái)的基礎(chǔ)設(shè)施屬性使其更易隱蔽地獲取數(shù)據(jù)，但公民接受生物識(shí)別信息的采集并不意味著公民個(gè)體喪失了數(shù)據(jù)所有權(quán)和數(shù)據(jù)使用知情權(quán)，更不意味著公共部門能夠隨意地將其轉(zhuǎn)授權(quán)給網(wǎng)絡(luò)平臺(tái)或者商業(yè)部門。在權(quán)力讓渡成為必然時(shí)，政府部門也需要扮演好監(jiān)管者的角色。

3.2 互聯(lián)網(wǎng)平臺(tái)的產(chǎn)業(yè)生態(tài)屬性

生物識(shí)別信息平臺(tái)治理難點(diǎn)還在于平臺(tái)的產(chǎn)業(yè)生態(tài)屬性?！蛾P(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》強(qiáng)調(diào)“加快培育數(shù)據(jù)要素市場(chǎng)”，凸顯數(shù)據(jù)信息在產(chǎn)業(yè)發(fā)展、經(jīng)濟(jì)轉(zhuǎn)型和社會(huì)治理中的重要地位?；ヂ?lián)網(wǎng)平臺(tái)在數(shù)據(jù)信息的市場(chǎng)利用方面具有得天獨(dú)厚的優(yōu)勢(shì)，但這種便利也為互聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)治理帶來隱憂。為了在產(chǎn)業(yè)鏈中占據(jù)主導(dǎo)地位，處于同一互聯(lián)網(wǎng)生態(tài)系或者產(chǎn)業(yè)上下游的平臺(tái)往往將其獲得的數(shù)據(jù)作為資源開放共享甚至進(jìn)行數(shù)據(jù)交易。谷歌推出的Buzz服務(wù)與Gmail郵箱信息高度綁定，F(xiàn)acebook用戶信息向第三方平臺(tái)開放都曾引發(fā)過關(guān)于數(shù)據(jù)共享和隱私權(quán)保護(hù)問題的法律糾紛。

互聯(lián)網(wǎng)平臺(tái)為實(shí)現(xiàn)產(chǎn)業(yè)存續(xù)發(fā)展，往往將授權(quán)過程前置到用戶使用協(xié)議或者隱私政策條款中，后續(xù)進(jìn)行二次使用時(shí)不會(huì)再次征詢用戶的授權(quán)或提供取消授權(quán)、刪除相關(guān)信息的選項(xiàng)，規(guī)避責(zé)任。平臺(tái)通常會(huì)通過集成海量大數(shù)據(jù)資源的方式進(jìn)行交易，但當(dāng)前法律判定存在的技術(shù)和制度困難又使用戶在維權(quán)時(shí)很難獲得有效的司法救濟(jì)。

3.3 互聯(lián)網(wǎng)平臺(tái)的企業(yè)屬性

生物識(shí)別信息平臺(tái)治理難點(diǎn)還在于平臺(tái)的企業(yè)屬性成為生物識(shí)別信息利用的原生動(dòng)力。企業(yè)在逐利本質(zhì)下必然充分利用手中的各項(xiàng)生產(chǎn)要素，這就成為互聯(lián)網(wǎng)平臺(tái)對(duì)于用戶數(shù)據(jù)“物盡其用”的原生動(dòng)力。臉書曾因非法對(duì)用戶上傳的圖像和照片進(jìn)行人臉識(shí)別而面臨集體訴訟，該案件以臉書關(guān)閉該項(xiàng)功能并刪除大量用戶數(shù)據(jù)告終。亞馬遜、谷歌、IBM和微軟等公司都自主研發(fā)了人臉識(shí)別軟件，并將其廣泛應(yīng)用于金融服務(wù)，根據(jù)用戶的生物特征信息，推測(cè)其投資狀況并推送個(gè)性化金融廣告。

對(duì)生物識(shí)別信息商業(yè)化的治理不能僅僅依靠行業(yè)的自律，建立健全治理體系更為重要。實(shí)現(xiàn)生物數(shù)據(jù)的有效治理，關(guān)鍵是要?jiǎng)?chuàng)造一個(gè)良好、公平的治理生態(tài)，為數(shù)據(jù)收集、保存、交換和使用過程中的“最小限度”建立公平、規(guī)范的保護(hù)措施。

4 破局：以平臺(tái)為中心的治理理念和思想

平臺(tái)在生物識(shí)別信息的發(fā)展過程中扮演的重要角色和平臺(tái)自身屬性所造成的結(jié)構(gòu)性問題，都決定了平臺(tái)在生物識(shí)別信息治理中的關(guān)鍵地位。平臺(tái)作為貫通生物識(shí)別信息采集、存儲(chǔ)、使用等各個(gè)環(huán)節(jié)的重要抓手，管住它就是管住數(shù)據(jù)，平臺(tái)的有效治理才是生物識(shí)別信息的安全保障。

4.1 規(guī)范政府授權(quán)讓渡邊界，實(shí)現(xiàn)平臺(tái)治理權(quán)責(zé)統(tǒng)一

如圖1所示，生物識(shí)別信息的不可變更性和唯一識(shí)別性共同決定了其在數(shù)據(jù)信息中的特殊地位。對(duì)于生物識(shí)別信息必須加以高度保護(hù)，減少政府對(duì)于平臺(tái)的賦權(quán)，采取“原則禁止，例外允許”的原則，嚴(yán)格規(guī)范生物識(shí)別信息采集、保存和利用的場(chǎng)景與條件，加強(qiáng)平臺(tái)監(jiān)控、落實(shí)平臺(tái)責(zé)任，確保平臺(tái)治理的權(quán)責(zé)統(tǒng)一，避免公共權(quán)力的尋租與濫用。權(quán)力讓渡需要注意社會(huì)福利和公民權(quán)利的平衡，注意政府治理能力和治理權(quán)力的對(duì)稱。

圖1 平臺(tái)、政府和公民之間的關(guān)系模式

從公民維度看，公民對(duì)平臺(tái)有剛性需求，公民要想享受政府的治理成效、享受公共服務(wù)，就必須遵守平臺(tái)服務(wù)提供者設(shè)定的規(guī)則。不同于政府，網(wǎng)絡(luò)平臺(tái)同時(shí)兼具私有性和公共性。一旦網(wǎng)絡(luò)平臺(tái)在事實(shí)層面主導(dǎo)公共服務(wù)的具體形態(tài)，其在網(wǎng)絡(luò)空間實(shí)質(zhì)上成為了“第二政府”，但由于網(wǎng)絡(luò)平臺(tái)具有私有性質(zhì)和產(chǎn)業(yè)鏈性質(zhì)，平臺(tái)設(shè)計(jì)、數(shù)據(jù)運(yùn)營等重要環(huán)節(jié)實(shí)際上以經(jīng)濟(jì)利益和用戶流量為轉(zhuǎn)移，缺乏對(duì)于公共價(jià)值的思考和維護(hù)，公民個(gè)人和國家的權(quán)益難以保障。

因此，必須規(guī)范政府讓渡賦權(quán)邊界的尺度。而對(duì)于已授權(quán)的部分，則要完善平臺(tái)問責(zé)制度，實(shí)現(xiàn)權(quán)利與義務(wù)的統(tǒng)一。作為賦權(quán)主體，國家公權(quán)力和強(qiáng)制力是確保平臺(tái)承認(rèn)責(zé)任的基礎(chǔ)與保障。平臺(tái)作為權(quán)力的繼受者代理政府承擔(dān)公共服務(wù)，獲得公民授權(quán)的政府部門應(yīng)當(dāng)承擔(dān)起監(jiān)管平臺(tái)的義務(wù)；對(duì)于公民個(gè)體，應(yīng)當(dāng)建立配套措施保障其在生物識(shí)別信息遭到泄露時(shí)獲得救濟(jì)的權(quán)利；在社會(huì)層面，應(yīng)當(dāng)事先對(duì)平臺(tái)進(jìn)行社會(huì)監(jiān)督。社會(huì)對(duì)于平臺(tái)的監(jiān)督能夠一定程度上敦促平臺(tái)維護(hù)社會(huì)聲譽(yù)，進(jìn)而提升安全意識(shí)，激發(fā)其管理和自律的生動(dòng)力。

4.2 完善行業(yè)準(zhǔn)入與逐出標(biāo)準(zhǔn)，實(shí)現(xiàn)技術(shù)、制度和人員達(dá)標(biāo)

應(yīng)當(dāng)完善生物識(shí)別信息行業(yè)的準(zhǔn)入標(biāo)準(zhǔn)，從行業(yè)主體角度進(jìn)行規(guī)范。建議采用技術(shù)準(zhǔn)入與主體準(zhǔn)入雙達(dá)標(biāo)的標(biāo)準(zhǔn)，對(duì)行業(yè)主體進(jìn)行審查與規(guī)范。當(dāng)前我國采用的是多機(jī)構(gòu)混合分散監(jiān)管模式，容易造成監(jiān)管上的交叉與空白，建議成立專門機(jī)構(gòu)對(duì)行業(yè)主體的權(quán)力授予、過程監(jiān)管和服務(wù)支持全過程進(jìn)行宏觀把控與統(tǒng)一管理。

行業(yè)主體必須資質(zhì)達(dá)標(biāo)。一是技術(shù)達(dá)標(biāo)：行業(yè)主體必須具有符合國內(nèi)或者國際標(biāo)準(zhǔn)的技術(shù)資質(zhì)和足夠安全保密的算法來確保生物識(shí)別信息采集、存儲(chǔ)和使用全過程的安全，避免信息遭到攻擊和泄露，行業(yè)主體應(yīng)確保算法的透明度以實(shí)現(xiàn)對(duì)技術(shù)的合理審查，避免技術(shù)黑箱下的技術(shù)濫用；二是制度達(dá)標(biāo)：行業(yè)主體必須經(jīng)過專門機(jī)構(gòu)評(píng)估，只有具備相應(yīng)的風(fēng)險(xiǎn)管理能力和充分的應(yīng)急預(yù)案才能獲得相應(yīng)資質(zhì)和許可。同時(shí)，“嚴(yán)入”還應(yīng)與“嚴(yán)出”結(jié)合。除了準(zhǔn)入機(jī)制的審查之外，還應(yīng)完善行業(yè)的逐出機(jī)制，提高違法成本；三是人員達(dá)標(biāo)：無論是平臺(tái)還是個(gè)體從業(yè)人員，一旦曾經(jīng)參與生物識(shí)別信息的違法犯罪活動(dòng)，便應(yīng)永久排除其參與相關(guān)行業(yè)的資質(zhì)。在此基礎(chǔ)上，加大數(shù)據(jù)執(zhí)法力度，充分落實(shí)平臺(tái)責(zé)任，采用有關(guān)主管部門責(zé)令改正、警告、沒收違法所得、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等綜合性治理手段，多管齊下，營造清朗的網(wǎng)絡(luò)空間。

4.3 明確交易限制，嚴(yán)格遵守生物識(shí)別信息單次授權(quán)、定向授權(quán)

對(duì)于生物識(shí)別信息應(yīng)當(dāng)嚴(yán)格采取知情同意標(biāo)準(zhǔn)，落實(shí)單次授權(quán)、定向授權(quán)的授權(quán)方式，明確禁止平臺(tái)利用生物識(shí)別信息進(jìn)行交易。

我國應(yīng)當(dāng)結(jié)合平臺(tái)實(shí)踐，對(duì)當(dāng)前授權(quán)制度進(jìn)行完善。平臺(tái)對(duì)于用戶信息的采集，必須清晰、完整地告知用戶且獲得用戶的明確許可。更為重要的是，每次對(duì)于用戶生物識(shí)別信息的使用都應(yīng)當(dāng)單獨(dú)重新進(jìn)行授權(quán)，不得對(duì)于生物識(shí)別信息進(jìn)行轉(zhuǎn)授權(quán)，防止同一生態(tài)系、同一企業(yè)內(nèi)部數(shù)據(jù)“串聯(lián)”并攫取經(jīng)濟(jì)利益。

此外，由于市場(chǎng)主體的逐利的“先天不足”，行業(yè)還應(yīng)逐步實(shí)現(xiàn)“去平臺(tái)化”，擺脫對(duì)于市場(chǎng)主體的依賴。一方面，建議加大網(wǎng)絡(luò)平臺(tái)完善在生物識(shí)別信息采集、使用、保存和交易等方面的相關(guān)建設(shè)，加快網(wǎng)絡(luò)數(shù)據(jù)體系性制度設(shè)計(jì)、流程控制、監(jiān)管制度和責(zé)權(quán)制衡機(jī)制；另一方面，去平臺(tái)化并不表示取締平臺(tái)，而是強(qiáng)調(diào)多主體多平臺(tái)參與，加大公有資本在網(wǎng)絡(luò)平臺(tái)的構(gòu)建和運(yùn)營中的占比和權(quán)重，強(qiáng)化國有企業(yè)在網(wǎng)絡(luò)信息平臺(tái)的產(chǎn)業(yè)鏈條中的關(guān)鍵作用，呼喚政府這一治理主體的重新回歸。

5 結(jié) 語

生物識(shí)別信息嵌套于日常生活的當(dāng)下，平臺(tái)對(duì)公民私人權(quán)利的侵害和平臺(tái)與政府間不當(dāng)權(quán)力讓渡的問題必須引起重視。作為社會(huì)信息系統(tǒng)的重要組成部分，平臺(tái)對(duì)生物識(shí)別信息的采集、保存、使用和交易必須設(shè)定紅線，以切實(shí)保障國家和公民的切身利益。因此，需要理順公民、政府和平臺(tái)三者之間的責(zé)權(quán)關(guān)系，樹立以平臺(tái)為中心的治理理念和思想，完善行業(yè)標(biāo)準(zhǔn)、明確規(guī)則限制，不斷建立健全網(wǎng)絡(luò)綜合治理體系，為我國互聯(lián)網(wǎng)的長足發(fā)展樹立起一把“信息安全保護(hù)傘”。