霍亞寧

(湘潭大學(xué)，湖南 湘潭 411110 )

引言

在信息化時(shí)代，生物識(shí)別技術(shù)作為一種新型技術(shù)在云計(jì)算、人工智能等領(lǐng)域方興未艾，由于其具有高效性、安全性等特征，逐漸在公共服務(wù)、商業(yè)領(lǐng)域獲得了青睞，但是也帶來(lái)了一系列風(fēng)險(xiǎn)，生物信息因?yàn)榫哂懈叨鹊娜松韺傩?，在公益、商業(yè)領(lǐng)域如果不被合法、合理地使用，就會(huì)產(chǎn)生與個(gè)人隱私權(quán)相關(guān)的安全保障問(wèn)題。例如，運(yùn)用深度偽造技術(shù)制作難辨真?zhèn)蔚膭?dòng)態(tài)人臉畫(huà)面和聲音，換臉軟件引發(fā)的隱私和安全風(fēng)險(xiǎn)等問(wèn)題均引起人們對(duì)生物識(shí)別信息采集使用可能侵犯其隱私權(quán)、肖像權(quán)、名譽(yù)權(quán)以及自由權(quán)等的擔(dān)憂(yōu)。[1]因此就需要法律制度來(lái)進(jìn)行規(guī)范。

一、個(gè)人生物識(shí)別信息的基礎(chǔ)理論

(一)生物識(shí)別信息的內(nèi)涵

個(gè)人生物識(shí)別信息起源于現(xiàn)代生物技術(shù)的發(fā)展，它是一種通過(guò)利用人體的生理屬性，比如指紋、人臉、虹膜等，然后搭配相應(yīng)的技術(shù)手段來(lái)準(zhǔn)確定位和識(shí)別特定的自然人。但是縱覽我國(guó)現(xiàn)行的法律、法規(guī)，關(guān)于個(gè)人生物識(shí)別信息的定義沒(méi)有被明確且系統(tǒng)的闡述，只是散落在各種技術(shù)性規(guī)范標(biāo)準(zhǔn)內(nèi)，比如《中華人民共和國(guó)出境入境管理法》以及2020年施行的《信息安全技術(shù)個(gè)人信息安全規(guī)范》等，簡(jiǎn)單地把它歸類(lèi)為個(gè)人敏感信息，沒(méi)有對(duì)其內(nèi)涵以及外延進(jìn)行闡述。鑒于西方國(guó)家在相關(guān)領(lǐng)域研究的先進(jìn)性，因此可以在借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》關(guān)于生物識(shí)別信息相關(guān)概念的基礎(chǔ)上，把它定義為在現(xiàn)代生物科技的支持下，對(duì)個(gè)人的面容、指紋、虹膜、靜脈、聲紋等生物信息以及相關(guān)行為特征來(lái)識(shí)別并確定個(gè)人身份信息的一種特殊的個(gè)人信息。[2]

(二)生物識(shí)別信息的特征

由于個(gè)人生物識(shí)別信息包括自然人的身體、生理及行為特征三個(gè)層面,直接反映自然人獨(dú)一無(wú)二與不可替代性的身體本質(zhì)特征，導(dǎo)致它具備了不同于一般個(gè)人信息的顯著特征。[3]第一是專(zhuān)屬性，即信息主體是唯一的，一個(gè)人的生物識(shí)別信息有且只有一個(gè)相應(yīng)的主體。第二是穩(wěn)定性，即生物識(shí)別信息是伴隨信息主體與生俱來(lái)的，不會(huì)受制于外在的因素。第三是關(guān)聯(lián)性，即生物識(shí)別信息和其他個(gè)人信息是共存的，生物識(shí)別信息技術(shù)在使用過(guò)程中需要其他個(gè)人信息的輔助來(lái)達(dá)到鑒定自然人的目的，[4]并且由于關(guān)聯(lián)性特征的存在，雖然使得個(gè)人生物識(shí)別信息更加精細(xì)化，但這也給法律層面的規(guī)制帶來(lái)了更大的挑戰(zhàn)。

(三)生物識(shí)別信息的法律屬性

個(gè)人生物識(shí)別信息是依靠技術(shù)手段對(duì)人的特征進(jìn)行程序化處理后得到的數(shù)據(jù)信息，并且生物識(shí)別信息的可辨識(shí)性是依附于信息主體固有的生理特征的，因此具備了強(qiáng)烈的人身屬性，所以有的學(xué)者認(rèn)為可以把生物識(shí)別信息歸納為人格權(quán)；但另一方面，由于現(xiàn)代科技的發(fā)展使得基因信息和生物技術(shù)獲得了巨大的經(jīng)濟(jì)效益，因此有觀點(diǎn)認(rèn)為生物識(shí)別信息既然具備了經(jīng)濟(jì)效益的屬性，從衡平信息主體和信息實(shí)際利用者的關(guān)系出發(fā)，就應(yīng)把它歸納為財(cái)產(chǎn)權(quán)的范疇。鑒于上述兩者側(cè)重點(diǎn)的差異性，以及從保護(hù)數(shù)據(jù)主體的利益最大化出發(fā)，應(yīng)該承認(rèn)生物識(shí)別信息的雙重法律屬性。

二、生物識(shí)別信息法律規(guī)范的價(jià)值追求

(一)保護(hù)信息主體的人格尊嚴(yán)與自由

生物識(shí)別信息相比一般的個(gè)人信息具備了更高的可辨識(shí)性，導(dǎo)致其承載了信息主體更多的隱私、尊嚴(yán)價(jià)值。由于生物識(shí)別技術(shù)已經(jīng)運(yùn)用到社會(huì)諸多領(lǐng)域，信息數(shù)據(jù)的收集、使用者可以利用相關(guān)的技術(shù)探測(cè)到信息主體的隱私，甚至可以通過(guò)算法技術(shù)預(yù)測(cè)信息主體的行為習(xí)慣以及個(gè)人喜好，最終達(dá)到精準(zhǔn)推送服務(wù)或商品的效果。雖然生物識(shí)別技術(shù)帶來(lái)了便利，但卻是以犧牲信息主體的隱私權(quán)以及自由選擇權(quán)為代價(jià)的，并且數(shù)據(jù)實(shí)際使用者如果濫用收集到的生物信息，將會(huì)極大損害社會(huì)公眾對(duì)新技術(shù)的信心，引發(fā)社會(huì)信任與安全問(wèn)題。由此可見(jiàn)，對(duì)生物識(shí)別信息技術(shù)進(jìn)行法律層面的規(guī)制，不僅能規(guī)范數(shù)據(jù)使用者的行為，而且可以保護(hù)信息主體的人格權(quán)與自由。

(二)有益于維護(hù)公共秩序和優(yōu)化政府服務(wù)

個(gè)人生物識(shí)別信息由于其安全性與專(zhuān)屬唯一性等特點(diǎn)，使得它在鑒定和識(shí)別特定的自然人方面具備了高效性、準(zhǔn)確性等優(yōu)勢(shì)。特別是在政府提倡數(shù)字化服務(wù)的時(shí)代，個(gè)人生物信息具有了服務(wù)社會(huì)治理的價(jià)值。首先就是在維護(hù)公共秩序方面，人臉、指紋、DNA等個(gè)人生物信息的規(guī)范化行使可以幫助行政機(jī)關(guān)、司法機(jī)關(guān)在社會(huì)治安、犯罪偵查等領(lǐng)域迅速鎖定違法犯罪人員，從而減少社會(huì)的公共損失，達(dá)到維護(hù)公共秩序的目的。其次就是在優(yōu)化政府服務(wù)方面，節(jié)約了人力識(shí)別的成本，提高了在政府管理活動(dòng)中與身份認(rèn)證有關(guān)的服務(wù)的運(yùn)行效率。例如國(guó)務(wù)院在養(yǎng)老保障領(lǐng)域提倡利用生物識(shí)別技術(shù)，以便老年人的養(yǎng)老補(bǔ)貼等政府服務(wù)可以進(jìn)行遠(yuǎn)程申報(bào)和核準(zhǔn)。

三、個(gè)人生物識(shí)別信息的法律困境

(一)缺乏規(guī)范生物識(shí)別信息的法律依據(jù)

現(xiàn)存涉及個(gè)人生物識(shí)別信息的規(guī)范相對(duì)缺乏且位階效力較低，例如全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)頒布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》，廣東省人大頒布的《廣東省社會(huì)信用條例》等，這些法規(guī)、標(biāo)準(zhǔn)雖然對(duì)個(gè)人生物識(shí)別信息作出了相關(guān)的規(guī)范，但是由于法律效力的層次較低，以及強(qiáng)制力不夠等問(wèn)題，導(dǎo)致個(gè)人生物識(shí)別信息不能得到恰當(dāng)?shù)囊?guī)范。另外對(duì)于隱私權(quán)保護(hù)、知情同意、財(cái)產(chǎn)利益等涉及人的權(quán)利內(nèi)容缺失，而這些恰恰是個(gè)人生物識(shí)別信息權(quán)利保護(hù)的重要內(nèi)容。[5]

(二)信息主體的救濟(jì)機(jī)制不完善

個(gè)人生物識(shí)別信息在被數(shù)據(jù)控制者進(jìn)行商業(yè)化收集、使用的過(guò)程中，一旦出現(xiàn)被違法使用的情況，就可能造成信息主體的隱私被泄露。雖然現(xiàn)行的法規(guī)對(duì)個(gè)人生物信息泄露的懲罰已有明文規(guī)定，但僅僅追究數(shù)據(jù)使用者的行政違法責(zé)任，很少追究數(shù)據(jù)使用者的刑事責(zé)任。出現(xiàn)個(gè)人生物信息被泄露給第三方的情形時(shí)，現(xiàn)有的規(guī)定也只是對(duì)信息主體民事方面的賠償，遠(yuǎn)不能達(dá)到對(duì)違法犯罪行為進(jìn)行震懾的效果。

(三)個(gè)人生物識(shí)別信息存在監(jiān)管風(fēng)險(xiǎn)

個(gè)人生物信息作為一種兼具財(cái)產(chǎn)權(quán)與人格權(quán)的信息資源，具有較高的經(jīng)濟(jì)利益價(jià)值，所以在商業(yè)領(lǐng)域信息收集方為了利益最大化，通常會(huì)私自建立數(shù)據(jù)庫(kù)去儲(chǔ)存主體的生物信息，然后分析主體的生物信息提供精準(zhǔn)營(yíng)銷(xiāo)。但是由于我國(guó)目前對(duì)數(shù)據(jù)庫(kù)安全的保護(hù)問(wèn)題并沒(méi)有明確的立法規(guī)范，導(dǎo)致總是會(huì)出現(xiàn)生物信息泄露卻沒(méi)有監(jiān)管主體為此負(fù)責(zé)的問(wèn)題。即使出現(xiàn)諸如有網(wǎng)信辦、公安部聯(lián)合執(zhí)法的專(zhuān)項(xiàng)整治活動(dòng)，但由于大數(shù)據(jù)技術(shù)發(fā)展的迅速，事后監(jiān)管的步伐總是跟不上生物信息泄露方式的多樣化，數(shù)據(jù)庫(kù)安全的問(wèn)題不僅給信息主體和收集方形成困境，也給監(jiān)管部門(mén)帶來(lái)了新的技術(shù)挑戰(zhàn)。

四、個(gè)人生物識(shí)別信息的規(guī)范原則

(一)知情同意原則

知情同意原則在規(guī)范個(gè)人生物信息方面可以從形式與實(shí)質(zhì)兩方面同時(shí)入手，形式方面是指信息控制方在收集、利用主體信息時(shí)，必須以一對(duì)一的單獨(dú)告知方式，并且以書(shū)面的形式確保信息主體作出同意的意思表示。實(shí)質(zhì)層面的規(guī)制包括兩方面，首先是同意權(quán)方面，數(shù)據(jù)控制方在收集、利用信息的過(guò)程中必須確保信息主體是在意志自由的狀態(tài)下作出同意的意思表示，并且確保信息主體發(fā)現(xiàn)自己的信息受到不合理使用時(shí)有權(quán)刪除其生物信息。例如商家在收集人臉信息、指紋信息時(shí)不能用要挾欺詐、金錢(qián)誘惑的手段。其次就是知情權(quán)方面，數(shù)據(jù)控制方在收集主體的信息時(shí)必須履行充分的告知義務(wù)，確保信息主體是在完全知曉了數(shù)據(jù)控制方制定的各種隱私政策、商業(yè)規(guī)則的前提下上傳自己的生物信息。知情同意原則在規(guī)范化的過(guò)程中應(yīng)當(dāng)是一個(gè)動(dòng)態(tài)的長(zhǎng)效機(jī)制，數(shù)據(jù)實(shí)際利用者在改變?cè)紨?shù)據(jù)信息的每一個(gè)過(guò)程中都應(yīng)該履行自己的告知義務(wù)，信息主體同時(shí)可以根據(jù)不同的利用場(chǎng)景與風(fēng)險(xiǎn)對(duì)最初的同意作出修正。[6]

(二)程序正當(dāng)原則

程序正當(dāng)原則作為現(xiàn)代公法上的一項(xiàng)基本原則，指向的對(duì)象包括行政主體與行政相對(duì)人，當(dāng)行政主體作出的行為影響行政相對(duì)人的權(quán)益時(shí)，相對(duì)人可以通過(guò)相應(yīng)的陳述、申辯等途徑進(jìn)行救濟(jì)。當(dāng)信息的收集方變成政府主體時(shí)，就不可避免地涉及正當(dāng)程序問(wèn)題?，F(xiàn)代社會(huì)政府作為公民生物識(shí)別信息最大的持有者與利用者，生物信息的使用必須遵循必要的法定程序，并且就相應(yīng)的使用目的向公民作出公開(kāi)說(shuō)明。

(三)比例原則

比例原則的內(nèi)涵是行政主體施行相關(guān)的行政目的時(shí)，如果對(duì)行政相對(duì)人造成了損害，那這種損害應(yīng)該被限制在一個(gè)可控的范圍和限度內(nèi)，并確保損害結(jié)果與行政目標(biāo)之間存在適度的比例。比例原則作為行政法領(lǐng)域的帝王原則，不僅適用于行政公益領(lǐng)域，也可以類(lèi)推適用于私法領(lǐng)域。如果類(lèi)推到生物識(shí)別信息保護(hù)的法律規(guī)范領(lǐng)域，就要求信息收集、利用方在使用信息主體的生物識(shí)別信息時(shí)，必須按照預(yù)定的目的使用相關(guān)信息，即使在使用的過(guò)程中超出了原有的目的，并且給信息主體造成了不法結(jié)果，也必須盡可能地把損害結(jié)果與信息收集方的期待利益控制在一個(gè)適度的比例之間。生物識(shí)別信息技術(shù)在實(shí)際操作中雖然會(huì)帶來(lái)一定的信息泄露風(fēng)險(xiǎn)，但我們不應(yīng)該因噎廢食，而應(yīng)該設(shè)置合理且完善的規(guī)則去預(yù)防風(fēng)險(xiǎn)，貫徹到比例原則上，即在收集范圍與使用方式上進(jìn)行適度的裁量，第一在收集范圍層面，數(shù)據(jù)利用者在不同場(chǎng)景中收集個(gè)人生物識(shí)別信息，應(yīng)當(dāng)遵循最小且必要的要求。第二在使用方式方面，除非數(shù)據(jù)利用者已經(jīng)獲得信息主體的同意且提供了相應(yīng)的保障措施，否則應(yīng)禁止自動(dòng)化決策。

五、生物識(shí)別信息的法律規(guī)范措施

(一)構(gòu)建以個(gè)人信息保護(hù)法為主的嚴(yán)格立法機(jī)制

我國(guó)的個(gè)人信息保護(hù)法正處于審議與完善的階段，把保護(hù)個(gè)人生物識(shí)別信息的相關(guān)措施納入法治軌道，使得個(gè)人生物識(shí)別信息的保護(hù)真正做到有法可依。具體的措施可以從四個(gè)方面入手，首先明確界定個(gè)人生物識(shí)別信息的收集以及利用的構(gòu)成要件，保證數(shù)據(jù)實(shí)際控制者在收集、利用個(gè)人生物信息時(shí)的合法性與正當(dāng)性。其次就是把知情同意機(jī)制納入法律條文中，明確數(shù)據(jù)利用者必須告知信息主體在收集信息時(shí)的范圍與目的。再次就是明確數(shù)據(jù)利用者承擔(dān)信息處理匿名化的義務(wù)，即信息控制者利用個(gè)人生物信息時(shí)必須事先進(jìn)行技術(shù)上的匿名化處理，并且基于個(gè)人生物信息保護(hù)的動(dòng)態(tài)長(zhǎng)效機(jī)制，信息實(shí)際利用者必須在科學(xué)的周期內(nèi)進(jìn)行匿名信息的評(píng)估，確保個(gè)人生物信息的安全性。最后就是為了避免大數(shù)據(jù)殺熟和算法歧視造成的不公平，在法律條文中應(yīng)明確規(guī)定信息利用者必須保證算法的透明度，并且賦予信息主體在面對(duì)生物信息被程序自動(dòng)化處理且損害其權(quán)益時(shí)的拒絕權(quán)。

(二)完善個(gè)人生物識(shí)別信息的多元化法律保護(hù)體系

1.構(gòu)建行政法層面的法律規(guī)范機(jī)制

行政法領(lǐng)域的生物信息保護(hù)主要從政府監(jiān)管、行政訴訟等方面入手，通過(guò)規(guī)范信息主體與信息使用者雙方的權(quán)利義務(wù)，進(jìn)而達(dá)到保護(hù)個(gè)人生物信息的效果。相應(yīng)的措施包括以下幾個(gè)方面：首先就是建立相應(yīng)的數(shù)據(jù)信息監(jiān)管機(jī)構(gòu)，并且賦予機(jī)構(gòu)相應(yīng)的職責(zé)。具體包括賦予監(jiān)管機(jī)構(gòu)相應(yīng)的調(diào)查權(quán)、許可權(quán)；制定保護(hù)個(gè)人生物識(shí)別信息的具體實(shí)施細(xì)則；受理信息主體的相關(guān)申訴以及提供相應(yīng)的救濟(jì)途徑；并且在合適的時(shí)機(jī)建立統(tǒng)一的生物信息認(rèn)證庫(kù)，以便于行政機(jī)關(guān)可以實(shí)施全程監(jiān)管以及提供相應(yīng)的服務(wù)。其次就是為了防止數(shù)據(jù)監(jiān)管機(jī)構(gòu)濫用公權(quán)力，還需要發(fā)揮行政訴訟的作用。即當(dāng)信息主體認(rèn)為監(jiān)管機(jī)構(gòu)的監(jiān)管損害了其合法權(quán)益，或者監(jiān)管機(jī)構(gòu)懈怠自己的義務(wù)時(shí)，信息主體可以提起復(fù)議或者行政訴訟，從而維護(hù)信息主體的權(quán)利。

2.構(gòu)建民法層面的法律規(guī)范機(jī)制

民法層面的生物信息保護(hù)主要是從權(quán)利保護(hù)、損害賠償?shù)确矫嫒胧?，通過(guò)劃分雙方的權(quán)利義務(wù)、設(shè)置相應(yīng)的賠償標(biāo)準(zhǔn)，進(jìn)而達(dá)到保護(hù)個(gè)人生物信息的效果。首先就是把個(gè)人生物信息作為一種財(cái)產(chǎn)性質(zhì)的權(quán)利進(jìn)行保護(hù)。主要是因?yàn)閭€(gè)人生物信息具有強(qiáng)烈的人格權(quán)屬性，但是基于人格權(quán)受到侵犯后救濟(jì)范圍有限、賠償數(shù)額認(rèn)定困難等原因的存在，個(gè)人生物信息僅依靠民法典中人格權(quán)的規(guī)定難以獲得保障，所以需要把財(cái)產(chǎn)權(quán)納入生物信息保護(hù)范疇，確?？梢允沟眯畔⒅黧w在受到損害后可以獲得足額賠償。因此具體措施包括在民法典以后修訂的過(guò)程中明確個(gè)人生物識(shí)別信息的保護(hù)內(nèi)容及侵權(quán)責(zé)任，并將財(cái)產(chǎn)利益的取得、流轉(zhuǎn)、使用等規(guī)則加以細(xì)致化，其不足的部分可以通過(guò)其他單行法的相關(guān)規(guī)定加以完善，以便在生物信息保護(hù)的過(guò)程中增強(qiáng)法律的靈活性。其次就是設(shè)置相應(yīng)的損害賠償標(biāo)準(zhǔn)以及明確舉證責(zé)任。當(dāng)數(shù)據(jù)實(shí)際控制者沒(méi)有經(jīng)過(guò)信息主體的同意而濫用或者違法使用其掌握的生物信息時(shí)，可以借鑒懲罰性賠償，從而最大限度地保護(hù)信息主體的利益。由于信息主體在面對(duì)數(shù)據(jù)控制者時(shí)不具有優(yōu)勢(shì)地位，在證明自己權(quán)益受損方面存在舉證困難等問(wèn)題，所以需要借鑒民事訴訟中舉證責(zé)任倒置的規(guī)定，從而減輕信息主體的舉證壓力，確保民法規(guī)范層面的可操作性。

3.構(gòu)建刑法層面的法律規(guī)范機(jī)制

刑法作為保護(hù)個(gè)人生物信息安全的最后屏障，具有規(guī)范上的嚴(yán)厲性，因此只有當(dāng)信息泄露給公共秩序造成了嚴(yán)重破壞，刑法才可以發(fā)揮其懲罰犯罪、保障人權(quán)的功能。所以刑法領(lǐng)域的生物信息保護(hù)主要可以從完善罪名、刑罰設(shè)置等方面入手。首先就是可以考慮增加“盜竊個(gè)人身份罪”以及“非法獲取、買(mǎi)賣(mài)個(gè)人生物識(shí)別信息罪”，明確把個(gè)人生物識(shí)別信息作為辨別身份的唯一基準(zhǔn)，將“盜竊生物識(shí)別信息”定義為“盜竊身份標(biāo)識(shí)罪”的一種表現(xiàn)形式，并且根據(jù)危害結(jié)果的大小設(shè)置不同的刑期。關(guān)于刑事違法性認(rèn)識(shí)方面，《刑法修正案九》中把侵犯?jìng)€(gè)人信息罪中的入罪條件改為違反國(guó)家有關(guān)規(guī)定，因此不僅導(dǎo)致侵犯?jìng)€(gè)人生物信息犯罪的性質(zhì)變成了行政犯，而且也導(dǎo)致了個(gè)人生物信息犯罪中的違法性認(rèn)識(shí)就是針對(duì)一般行政法規(guī)的認(rèn)識(shí)。[7]然而由于生物識(shí)別技術(shù)的快速發(fā)展，信息主體或信息實(shí)際控制者的違法性認(rèn)識(shí)可能滯后于行政法規(guī)的專(zhuān)業(yè)化規(guī)定，所以對(duì)于罪與非罪的界限，需要法院準(zhǔn)確判斷行為人的主觀要件，而非將違法性認(rèn)識(shí)作為僵化標(biāo)準(zhǔn)。

結(jié)語(yǔ)

個(gè)人生物識(shí)別信息的保護(hù)是一個(gè)綜合性問(wèn)題，它涉及的不僅僅是法律規(guī)制問(wèn)題，也涉及科學(xué)技術(shù)發(fā)展和經(jīng)濟(jì)發(fā)展的問(wèn)題。生物識(shí)別信息技術(shù)的應(yīng)用雖然推動(dòng)了相關(guān)行業(yè)的經(jīng)濟(jì)發(fā)展，但也帶來(lái)了個(gè)人隱私泄露的危險(xiǎn)，這就不僅要求必須準(zhǔn)確把握個(gè)人隱私自由與經(jīng)濟(jì)效益之間的動(dòng)態(tài)平衡， 確保取得利益最大化，而且需要政府、社會(huì)、個(gè)人三方的協(xié)作，共同構(gòu)建起一套全方位、多層次的個(gè)人生物信息保護(hù)制度。