宋祎晨

〔西南政法大學(xué) 民商法學(xué)院,重慶 401120〕

一、問題之提出

生物識(shí)別信息，是指通過技術(shù)手段將人體生理或行為特征數(shù)字化后得到的信息，包括指紋、人臉、步態(tài)、語音等。隨著以大數(shù)據(jù)和深度學(xué)習(xí)為代表的新技術(shù)的發(fā)展，生物識(shí)別技術(shù)的應(yīng)用越來越普遍，從手機(jī)指紋解鎖，到健康軟件的步態(tài)分析，再到公共安全領(lǐng)域的人臉識(shí)別，生物識(shí)別系統(tǒng)已經(jīng)將人全方位刻畫在了一個(gè)“數(shù)字生態(tài)”線性立體空間中[1]。與此同時(shí)，生物識(shí)別所引發(fā)的侵權(quán)風(fēng)險(xiǎn)也在不斷涌現(xiàn)，例如大量生物識(shí)別信息在黑市上被非法買賣，生物識(shí)別信息被各個(gè)平臺(tái)、機(jī)構(gòu)隨意收集極易產(chǎn)生泄露風(fēng)險(xiǎn)等等。目前，我國現(xiàn)有的生物識(shí)別信息保護(hù)規(guī)范數(shù)量較少，僅有《個(gè)人信息保護(hù)法》和《信息安全技術(shù) 個(gè)人信息安全規(guī)范》中少量的原則性規(guī)定，不足以充分保障信息主體的權(quán)利。筆者擬通過對(duì)生物識(shí)別信息的法律性質(zhì)和特點(diǎn)進(jìn)行梳理，并在總結(jié)現(xiàn)階段易發(fā)生的安全風(fēng)險(xiǎn)的基礎(chǔ)上提出相應(yīng)的法律規(guī)制建議，以期對(duì)相關(guān)制度建設(shè)提供指引。

二、生物識(shí)別信息的法律性質(zhì)及其特征

1.生物識(shí)別信息的法律性質(zhì)：包含財(cái)產(chǎn)利益的人格權(quán)客體

(1)生物識(shí)別信息反映人格屬性。人格又稱權(quán)利能力，是指人之成為人的一種法律資格，為每個(gè)自然人所享有，這一概念的出現(xiàn)使得人從不平等的階級(jí)身份中得到解放，獲得了法律上的同等評(píng)價(jià)。隨著社會(huì)的變遷，人格權(quán)保護(hù)范圍也在不斷增加，由最初的生命、身體、健康、自由等寥寥法益不斷擴(kuò)展到更多類型(1)例如，德國吸取了“俾斯麥遺容偷拍案”的不足，在1907年制定的《藝術(shù)著作權(quán)法》中明確對(duì)肖像的保護(hù)；美國紐約州議會(huì)于1903年修訂《紐約州權(quán)利法案》增加對(duì)隱私的保護(hù)；1999年中國臺(tái)灣通過民法修正案，將貞操作為獨(dú)立的人格法益。。這種擴(kuò)展體現(xiàn)了人們觀念上的變化，人格權(quán)不僅意味著身體上的健康，也包含精神上的尊重。

生物識(shí)別信息雖然出現(xiàn)較晚，但其天然表征著自然人的人格屬性。人臉、虹膜、指紋、步態(tài)等生物識(shí)別信息不僅能用來辨識(shí)身份，還可以從中分析得到信息主體的健康狀況，與自然人人身緊密相關(guān)。生物識(shí)別信息一旦暴露，信息主體生理狀況和活動(dòng)情況都將被他人洞悉，不但隱私權(quán)會(huì)受到侵犯，行動(dòng)自由也將受到妨礙。

(2)生物識(shí)別信息包含財(cái)產(chǎn)利益。傳統(tǒng)意義上講，人格權(quán)和財(cái)產(chǎn)權(quán)系截然不同的兩種權(quán)利，人格權(quán)所保護(hù)的人格利益本身不應(yīng)當(dāng)具有財(cái)產(chǎn)價(jià)值。但生物識(shí)別信息有其特殊性，它完全是技術(shù)變革的產(chǎn)物，是由于生物信息采集傳感器的發(fā)明、特征提取方法的進(jìn)步、深度學(xué)習(xí)的出現(xiàn)而產(chǎn)生的，這就意味著它有著與傳統(tǒng)人格權(quán)客體不同的內(nèi)在特征，而這些內(nèi)在特征成為了蘊(yùn)含財(cái)產(chǎn)利益的根源。

它主要體現(xiàn)三個(gè)特征，第一，生物識(shí)別信息具有可控性?？煽匦允秦?cái)產(chǎn)權(quán)客體最基本的特點(diǎn)，傳統(tǒng)的人格權(quán)客體之所以不被認(rèn)為具有財(cái)產(chǎn)利益就是因?yàn)槿狈煽匦?。但生物識(shí)別信息是以數(shù)字化的方式記錄的，用“0和1”的二進(jìn)制比特形式保存于信息收集者龐大的數(shù)據(jù)庫之中，可以形成穩(wěn)定的占有關(guān)系，也可以被加工、使用、轉(zhuǎn)移，從而具備可控性。

生物識(shí)別信息具有商品屬性。商品屬性體現(xiàn)在生物識(shí)別信息同時(shí)具有使用價(jià)值和交換價(jià)值。于前者，其所具有的唯一性、強(qiáng)識(shí)別性、人身專屬性使其在身份識(shí)別領(lǐng)域有著廣闊的應(yīng)用空間，能夠彌補(bǔ)傳統(tǒng)識(shí)別方法帶來的效率低、易被竊取、易被遺忘的弊端。于后者，雖然法律并沒有允許個(gè)人信息的自由買賣，但是一些灰色產(chǎn)業(yè)的需求使得生物識(shí)別信息地下黑市交易頻繁。

生物識(shí)別信息具有稀缺性。香農(nóng)的信息論指出，信息的基本價(jià)值在于消除不確定性。大數(shù)據(jù)改因果關(guān)系預(yù)測為相關(guān)性預(yù)測，通過相關(guān)性發(fā)現(xiàn)事物背后的規(guī)律。生物識(shí)別的原理也是如此，系統(tǒng)需要大量且豐富的待識(shí)別主體的生物樣本用于識(shí)別訓(xùn)練以提高算法的精度。這意味著雖然生物識(shí)別信息天然存在，但是信息處理者必須在付出了大量成本，建設(shè)一套系統(tǒng)完善、保障充分的信息收集處理系統(tǒng)并獲得用戶信賴后，才能累積到規(guī)?；纳镒R(shí)別信息，從而產(chǎn)生識(shí)別價(jià)值[2]。

(3)生物識(shí)別信息是人格權(quán)客體。生物識(shí)別信息是人格權(quán)客體，這是由其上位概念——個(gè)人信息的權(quán)利屬性所決定的。按照學(xué)界通說，人格權(quán)益由人格權(quán)和人格利益共同構(gòu)成[3]。針對(duì)個(gè)人信息權(quán)利或利益屬性，學(xué)界一直存在爭論，《民法典》直接稱為個(gè)人信息是對(duì)爭論的回避而非一錘定音。筆者認(rèn)為，個(gè)人信息應(yīng)當(dāng)是一項(xiàng)人格權(quán)利。

梁慧星教授明確指出，人格權(quán)有著“在先性”的特征，它的存在先于法律規(guī)定，不因法律規(guī)定或者不規(guī)定、承認(rèn)或者不承認(rèn)而受影響[4]。此外，也有學(xué)者提到，姓名、肖像作為個(gè)人信息的組成部分被確認(rèn)為具體人格權(quán)，而其他與之同等重要甚至更為重要的信息，例如生物識(shí)別信息、行蹤軌跡信息等，僅被當(dāng)作一般人格利益對(duì)待顯然不合邏輯[5]。根據(jù)德國學(xué)者拉倫茨和卡納里斯的觀點(diǎn)，權(quán)利包含的三大基本特征“歸屬效能”“排除效能”“社會(huì)典型公開性”是其與利益區(qū)分的根本所在[6]。個(gè)人信息無疑滿足這三項(xiàng)基本特征，就“歸屬和排除效能”而言，雖然立法者在人格權(quán)請求權(quán)能否適用于個(gè)人信息上持有謹(jǐn)慎態(tài)度，但是信息主體的控制地位并沒有此而降低。相反，《個(gè)人信息保護(hù)法》中規(guī)定的知情權(quán)、同意權(quán)、查閱權(quán)、復(fù)制權(quán)、刪除權(quán)貫穿個(gè)人信息處理的始終，實(shí)際上已經(jīng)賦予了自然人對(duì)其個(gè)人信息的排他控制[7]。就“社會(huì)典型公開性”而言，個(gè)人信息應(yīng)當(dāng)受到保護(hù)早已成為社會(huì)共識(shí)，建立個(gè)人信息權(quán)利保護(hù)框架并沒有超出一般人的預(yù)期。

針對(duì)個(gè)人信息的權(quán)利屬性，域外國家大都形成了自己的制度設(shè)計(jì)。美國在《加州消費(fèi)者隱私權(quán)法案》(CCPA)中建立了信息控制權(quán)制度。歐盟也在《通用數(shù)據(jù)保護(hù)條例》(GDPR)立法理由第7條指出“自然人應(yīng)當(dāng)能夠控制其個(gè)人數(shù)據(jù)”。此外，德國聯(lián)邦法院在“人口普查案”中創(chuàng)設(shè)了信息自主權(quán)(2)德國聯(lián)邦法院在該案判決書中寫道“在自動(dòng)化數(shù)據(jù)處理的現(xiàn)代化條件下，人格的自由發(fā)展取決于個(gè)人有權(quán)對(duì)抗個(gè)人資料被無限制收集、儲(chǔ)存、使用與傳輸。”。雖然各國對(duì)于個(gè)人信息權(quán)的范圍有著不同的界定，但是核心理念都是一致的：個(gè)人信息應(yīng)牢牢掌握在信息主體自己的手中。我國在這點(diǎn)上與上述國家也并無差別。基于此，生物識(shí)別信息應(yīng)當(dāng)是個(gè)人信息權(quán)的客體。

2.生物識(shí)別信息的特征

生物識(shí)別信息有著其他個(gè)人信息不具備的顯著特征，包括以下幾點(diǎn)。

(1)人身性。生物識(shí)別信息直接反映著人的生理或行為特征，人身屬性極為強(qiáng)烈。一般的個(gè)人信息以人的社會(huì)性為基礎(chǔ)，例如身份證號(hào)、郵箱地址等，這些信息是自然人在參與社會(huì)交往中后天形成的，與人身關(guān)系并不密切。而生物識(shí)別信息反映著自然人身體的本質(zhì)屬性，諸如指紋、虹膜等信息更是與生俱來，與人身不可分割[8]。正是因?yàn)樯镒R(shí)別信息有著強(qiáng)烈的人身屬性，非法處理會(huì)對(duì)人格尊嚴(yán)造成更為嚴(yán)重的侵害，因此我國《個(gè)人信息保護(hù)法》將生物識(shí)別信息列為敏感個(gè)人信息范疇，規(guī)定了較一般信息更嚴(yán)格的處理規(guī)則。

(2)唯一性。生物識(shí)別信息是對(duì)自然人生物特征的記錄，而自然人的生物特征是獨(dú)一無二的，每個(gè)人的生物特征都與其他人不同。一方面，這種唯一性為生物辨識(shí)技術(shù)的應(yīng)用提供巨大幫助，增強(qiáng)了身份識(shí)別的可靠性。另一方面，生物識(shí)別信息不可更改，一旦發(fā)生信息泄露，信息主體無法采取像重置密碼之類的手段修補(bǔ)，凡是與生物信息認(rèn)證相關(guān)的活動(dòng)都將永遠(yuǎn)退出，因此具有更大的風(fēng)險(xiǎn)和不確定性[9]。

(3)強(qiáng)識(shí)別性。識(shí)別性是個(gè)人信息的基本屬性，而生物識(shí)別信息在這點(diǎn)上尤為突出，生理特征信息諸如人臉、指紋、虹膜、基因信息等都能夠直接識(shí)別自然人。此外，隨著技術(shù)的進(jìn)步，之前被認(rèn)為不具有識(shí)別性的行為特征信息如今也可以起到間接識(shí)別的作用。例如，將步態(tài)采集傳感器和陀螺儀進(jìn)行結(jié)合，就能夠成功對(duì)行人室內(nèi)行走軌跡進(jìn)行重構(gòu)，從而確定其身份(3)該技術(shù)被稱為行人航跡推算定位(Pedestrain Dead Reckoning,PDR)，是慣行室內(nèi)導(dǎo)航技術(shù)的一種。。

三、生物識(shí)別信息的安全風(fēng)險(xiǎn)

生物識(shí)別信息的處理包括收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等環(huán)節(jié)，每個(gè)環(huán)節(jié)的不規(guī)范處理活動(dòng)都極易使信息主體權(quán)利受到侵害。以下，筆者總結(jié)了生物識(shí)別信息在不同處理環(huán)節(jié)中幾種較為常見的安全風(fēng)險(xiǎn)，以供參考。

1.收集環(huán)節(jié)

(1)收集生物識(shí)別信息未取得信息主體同意。取得個(gè)人的同意是個(gè)人信息處理最基本的原則，然而生物識(shí)別信息的收集往往是在信息主體無感知的情況下發(fā)生的，導(dǎo)致這一原則出現(xiàn)失靈。在商場、車站、酒店等經(jīng)營場所，攝像設(shè)備以統(tǒng)計(jì)客流和體溫檢測為目的被廣泛安裝，在消費(fèi)者不知情的情況下人臉信息已經(jīng)泄露。此外，技術(shù)的發(fā)展使得原本私密的場所也被“入侵”，特斯拉公司CEO馬斯克在社交媒體上就承認(rèn)，特斯拉車內(nèi)安裝的用于疲勞駕駛提醒等功能的攝像頭會(huì)將數(shù)據(jù)上傳企業(yè)云端，而這并未提前告知用戶。

(2)通過強(qiáng)迫、捆綁方式收集生物識(shí)別信息。這體現(xiàn)在商家強(qiáng)制將服務(wù)與收集生物識(shí)別信息捆綁，用戶拒絕提供信息就無法使用服務(wù)。最為典型的是被稱為“國內(nèi)人臉識(shí)別第一案”的“年卡入園案”，某野生動(dòng)物園強(qiáng)行將入園方式由指紋識(shí)別調(diào)整為人臉識(shí)別，用戶拒絕并起訴至法院。由于案件發(fā)生時(shí)，《個(gè)人信息保護(hù)法》尚未生效，法院認(rèn)為動(dòng)物園收集信息的行為并不違反法律強(qiáng)制性規(guī)定，僅構(gòu)成違約。在《個(gè)人信息保護(hù)法》生效后，動(dòng)物園的行為明顯違反收集個(gè)人信息的必要性原則，存在多種替代入園方案的情形下，動(dòng)物園不得將生物識(shí)別信息認(rèn)證作為入園的唯一選擇。

2.儲(chǔ)存環(huán)節(jié)

(1)儲(chǔ)存原始生物識(shí)別信息。生物識(shí)別需要將傳感器收集到的數(shù)據(jù)經(jīng)過特征提取后形成生物特征參考儲(chǔ)存于生物特征數(shù)據(jù)庫中，并與身份信息數(shù)據(jù)庫中的人物身份建立一一對(duì)應(yīng)的關(guān)系。由于兩個(gè)數(shù)據(jù)庫物理上是分離的，同時(shí)運(yùn)用了不同的密鑰，因而即便生物特征數(shù)據(jù)庫發(fā)生了泄露或被入侵，第三人也無法僅從生物特征中得知主體的身份。但這一切建立在信息處理者在特征提取后刪除了原始數(shù)據(jù)的基礎(chǔ)之上，倘若未刪除原始數(shù)據(jù)，第三人可以直接從中獲得信息主體原始生物信息，獲知信息主體的真實(shí)身份，侵犯其合法權(quán)益。

(2)未與自然人身份信息分別儲(chǔ)存。未將自然人身份信息和生物識(shí)別信息分別儲(chǔ)存是目前生物識(shí)別領(lǐng)域常見的問題之一。由于生物識(shí)別信息常用于確認(rèn)用戶身份，因而系統(tǒng)通常將其與自然人身份信息綁定以辨識(shí)個(gè)人。通常來說，個(gè)人信息處理者應(yīng)當(dāng)將身份信息和生物識(shí)別信息分別儲(chǔ)存以減輕信息泄露時(shí)對(duì)信息主體的影響。但是目前尚無相關(guān)法律法規(guī)要求信息處理者必須采取上述辦法(4)目前，僅有《生物特征識(shí)別信息的保護(hù)要求(征求意見稿)》對(duì)此作出規(guī)定，“有關(guān)組織應(yīng)將所收集的生物特征識(shí)別信息與主體的其他個(gè)人信息進(jìn)行邏輯或物理分離，以減少組合信息受損對(duì)個(gè)人信息的安全影響?！?，信息處理者為了方便往往將兩種信息儲(chǔ)存在同一數(shù)據(jù)庫中，或即使建立兩個(gè)數(shù)據(jù)庫但未分別加密。這種行為大大增加了身份信息和生物識(shí)別信息同時(shí)被竊取的風(fēng)險(xiǎn)，帶來更大的個(gè)人信息侵權(quán)影響。

3.使用環(huán)節(jié)

(1)呈現(xiàn)攻擊對(duì)生物識(shí)別系統(tǒng)的安全造成威脅。呈現(xiàn)攻擊是指用戶使用工具進(jìn)行攻擊，意圖影響生物識(shí)別系統(tǒng)正常運(yùn)行的行為。呈現(xiàn)攻擊包括兩種行為方式，第一類是生物特征假冒者使其有意被生物識(shí)別系統(tǒng)認(rèn)作他人；第二類是生物特征隱匿者通過模仿未注冊個(gè)體的特性使其不被生物識(shí)別系統(tǒng)識(shí)別[10]。呈現(xiàn)攻擊檢測是化解呈現(xiàn)攻擊危險(xiǎn)最有效的手段，但受制于相關(guān)硬件及算法能力差異，不同產(chǎn)品抵抗呈現(xiàn)攻擊的能力參差不齊，使生物識(shí)別技術(shù)大規(guī)模應(yīng)用受到限制。

(2)傳感器數(shù)據(jù)缺乏權(quán)限保護(hù)。目前，越來越多的用戶依靠手機(jī)中的應(yīng)用程序或者智能手表、智能手環(huán)監(jiān)測自己的健康情況，這就給予了這些應(yīng)用和設(shè)備訪問手機(jī)內(nèi)置傳感器的權(quán)限。然而很多傳感器缺乏對(duì)應(yīng)的權(quán)限管理，例如陀螺儀、加速度計(jì)、接近傳感器等，應(yīng)用可以隨意訪問這些傳感器并獲得數(shù)據(jù)，組合分析后即可得出用戶的活動(dòng)情況。不僅如此，隨著技術(shù)的提升，一些生物識(shí)別傳感器甚至可以被用來進(jìn)行設(shè)計(jì)外的活動(dòng)。日前，來自浙江大學(xué)的研究人員就發(fā)現(xiàn)，通過其所特制的軟件可以通過收集手機(jī)加速度計(jì)的震動(dòng)頻率，還原揚(yáng)聲器播放的語音，從而實(shí)現(xiàn)對(duì)用戶的竊聽。

4.刪除環(huán)節(jié)

(1)未及時(shí)刪除生物識(shí)別信息。根據(jù)《個(gè)人信息保護(hù)法》47條的規(guī)定，信息處理者對(duì)于個(gè)人信息的保存有著一定期限，當(dāng)處理目的實(shí)現(xiàn)或者信息主體撤回同意等情形發(fā)生后，信息處理者應(yīng)當(dāng)及時(shí)刪除信息。但是諸多應(yīng)用軟件在隱私政策中未告知用戶儲(chǔ)存期限，事實(shí)上也并未按規(guī)定刪除信息。以支付寶《生物識(shí)別服務(wù)通用規(guī)則》為例，其中對(duì)于人臉信息的收集未有儲(chǔ)存期限的說明，而且即使用戶在設(shè)置里暫時(shí)關(guān)閉手機(jī)刷臉支付功能，再次開啟這一功能后無須將人臉信息重新錄入設(shè)備，這說明支付寶在該功能關(guān)閉后仍然保存著用戶的人臉信息。

(2)未保障用戶的刪除權(quán)。個(gè)人信息處理者除了應(yīng)當(dāng)主動(dòng)及時(shí)刪除信息外，當(dāng)發(fā)現(xiàn)個(gè)人信息處理者未按規(guī)定刪除的，個(gè)人有權(quán)請求其刪除。但絕大多數(shù)應(yīng)用軟件未能提供顯著、便捷的渠道使用戶能夠準(zhǔn)確知曉其個(gè)人信息狀態(tài)并提出刪除的請求，或是在隱私政策中未將這一權(quán)利告知用戶，或是流程過于復(fù)雜。

四、我國可以采取的法律規(guī)制手段

1.完善法律規(guī)范體系

(1)在《個(gè)人信息保護(hù)法》中對(duì)生物識(shí)別信息進(jìn)行專章規(guī)定。目前世界各國對(duì)于生物識(shí)別信息保護(hù)主要有兩種立法模式，專門立法保護(hù)模式和綜合立法保護(hù)模式。前者是指專門制定有關(guān)生物識(shí)別信息保護(hù)的法律，后者是指將生物識(shí)別信息的保護(hù)納入統(tǒng)一的個(gè)人信息保護(hù)法之中。

美國是采取專門立法保護(hù)的典型代表。以2020年提交參議院審議的《國家生物識(shí)別信息隱私法案》(NBIPA)為例。該法案主要有三大部分構(gòu)成，第一部分是生物識(shí)別信息的概念群，具體闡釋了“生物識(shí)別符”“私密和敏感信息”等概念；第二部分是處理規(guī)則，包括收集、保留、披露和銷毀；第三部分是有關(guān)私人提起民事訴訟的規(guī)定，包括訴訟主體、損害賠償金額等。采取專門立法保護(hù)的優(yōu)點(diǎn)在于可以形成一套完整的生物識(shí)別信息保護(hù)框架，有著特定的立法宗旨，專屬的法律概念，清晰的權(quán)利義務(wù)相對(duì)方，明確的保護(hù)規(guī)則以及解決具體問題的特殊方法，具有更強(qiáng)的針對(duì)性和操作性[11]。

綜合立法保護(hù)模式以歐盟為代表。歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)在第二章第9條規(guī)定了“特殊類型個(gè)人數(shù)據(jù)的處理”，生物識(shí)別數(shù)據(jù)屬于特殊類型個(gè)人數(shù)據(jù)，原則上禁止處理，但符合例如數(shù)據(jù)主體已經(jīng)公開、公共利益等九項(xiàng)特殊原因的，可以處理。綜合立法保護(hù)模式有著保護(hù)層級(jí)更為清晰，對(duì)個(gè)人信息的保護(hù)更為系統(tǒng)的優(yōu)點(diǎn)。

我國應(yīng)當(dāng)在《個(gè)人信息保護(hù)法》中專章規(guī)定生物識(shí)別信息的保護(hù)規(guī)則，這主要基于兩點(diǎn)考量。第一，目前不宜單獨(dú)制定生物識(shí)別信息保護(hù)法。生物識(shí)別信息是技術(shù)發(fā)展的產(chǎn)物，是在個(gè)人生物特征可以被數(shù)據(jù)化后產(chǎn)生的全新信息樣態(tài)，并且將隨著技術(shù)的發(fā)展呈現(xiàn)出新的特點(diǎn)，具有較強(qiáng)的不確定性。此外，對(duì)于生物識(shí)別信息的收集、應(yīng)用，以及信息主體與信息處理者之間的利益沖突與協(xié)調(diào)等諸多方面尚未形成社會(huì)共識(shí)，倉促制定恐不會(huì)產(chǎn)生良好效果。例如，美國伊利諾伊州雖然在2008年制定的《生物識(shí)別信息隱私法案》(BIPA)中允許私人提起針對(duì)信息處理者的民事訴訟，但直到2015年該州僅有5起集體訴訟發(fā)生，可見法律規(guī)定與現(xiàn)實(shí)之間存在不小的差距[12]。第二，生物識(shí)別信息有著不同于其他敏感個(gè)人信息的獨(dú)有特征，其人身屬性、識(shí)別性較之其他敏感個(gè)人信息更強(qiáng)，不宜一并規(guī)定之。因而我國的《個(gè)人信息保護(hù)法》應(yīng)當(dāng)在敏感個(gè)人信息處理規(guī)則后另辟一章“生物識(shí)別信息的特殊處理規(guī)則”，以對(duì)生物識(shí)別信息提供更嚴(yán)格保護(hù)，且為信息主體和信息處理者提供更為清晰的引導(dǎo)。

(2)對(duì)于不同的生物識(shí)別信息進(jìn)行分別立法。生物識(shí)別信息種類多樣，有著各自的特點(diǎn)和技術(shù)應(yīng)用，應(yīng)當(dāng)制定不同的規(guī)范。在技術(shù)應(yīng)用方面，除了身份辨識(shí)，人臉識(shí)別信息還可以用于人臉分析，例如人流量檢測或體溫檢測；步態(tài)識(shí)別信息可以用于臨床診斷、體育訓(xùn)練；聲紋識(shí)別信息則主要應(yīng)用于語音翻譯、智能語音交互系統(tǒng)。在特點(diǎn)上，人臉信息有著獨(dú)特的強(qiáng)社交屬性，一旦被非法披露，極易導(dǎo)致信息主體精神緊張甚至崩潰。

因此，我國未來應(yīng)當(dāng)對(duì)《個(gè)人信息保護(hù)法》的體例結(jié)構(gòu)進(jìn)行調(diào)整，生物識(shí)別信息的相關(guān)概念群以及通用的處理規(guī)則設(shè)專章規(guī)定，再針對(duì)不同的生物識(shí)別信息制定符合自身特點(diǎn)和技術(shù)應(yīng)用的法律法規(guī)，在立法上做到邏輯嚴(yán)密、內(nèi)容翔實(shí)。

2.構(gòu)建動(dòng)態(tài)同意規(guī)則

(1)知情同意原則不足以完全保障信息主體的自主權(quán)。在大數(shù)據(jù)時(shí)代，個(gè)人信息被收集和使用的頻率以及數(shù)量有了指數(shù)級(jí)的增長，這使得知情同意原則的適用陷入了困境，具體表現(xiàn)在：第一，同意的意思表示不真實(shí)，同意淪為形式。信息處理者的告知方式通常是應(yīng)用軟件的隱私政策，看似專業(yè)、全面的隱私政策往往語言繁瑣、篇幅冗長，信息主體在不了解告知內(nèi)容情況下做出的意思表示，其真實(shí)性有待考量[13]。第二，意思表示能力欠缺。信息主體對(duì)信息的控制能力取決于其是否對(duì)個(gè)人信息處理所帶來的利益和風(fēng)險(xiǎn)做到充分理解。在大數(shù)據(jù)時(shí)代，數(shù)字化的信息處理流程極為復(fù)雜，涉及對(duì)二進(jìn)制代碼和數(shù)字化模型的應(yīng)用，這使得對(duì)信息技術(shù)不甚了解的普通人難以理解信息處理會(huì)帶來怎樣的風(fēng)險(xiǎn)，實(shí)際上欠缺同意能力。因此，我們需要對(duì)知情同意原則進(jìn)行優(yōu)化。

(2)構(gòu)建動(dòng)態(tài)同意規(guī)則。動(dòng)態(tài)同意是指運(yùn)用現(xiàn)代網(wǎng)絡(luò)技術(shù)手段，在信息主體與信息處理者之間搭建一個(gè)交流平臺(tái)，使信息披露與知情同意成為一個(gè)持續(xù)、動(dòng)態(tài)、開放的過程[14]。在平臺(tái)上，信息處理者會(huì)實(shí)時(shí)更新信息的處理階段、進(jìn)度、是否被委托第三人處理以及可能遭遇的安全風(fēng)險(xiǎn)。信息主體可以隨時(shí)登陸平臺(tái)查看個(gè)人信息的情況，并根據(jù)告知的內(nèi)容決定給予或撤回同意。

動(dòng)態(tài)同意規(guī)則的核心是提高信息主體在信息處理活動(dòng)中的參與度，它有幾方面好處。第一，破除“同意即終身”的弊端。在以往的信息處理活動(dòng)中，信息主體的參與基本只在收集階段，至于收集后信息儲(chǔ)存在哪，是否被匿名化處理，處理目的實(shí)現(xiàn)后是否被刪除等，信息主體都無從知曉。動(dòng)態(tài)同意平臺(tái)的建立，使原本千頭萬緒的信息處理止于一端，實(shí)現(xiàn)了信息在各處理階段的全過程追蹤。第二，動(dòng)態(tài)同意規(guī)則下，信息披露程度和透明程度均有較大幅度提高，更能滿足生物識(shí)別信息等敏感個(gè)人信息的處理要求。第三，技術(shù)的發(fā)展使動(dòng)態(tài)同意平臺(tái)的建立具備可行性。動(dòng)態(tài)同意平臺(tái)只是一個(gè)信息發(fā)布的場所，它的建立并不復(fù)雜，在移動(dòng)互聯(lián)網(wǎng)高度發(fā)達(dá)的當(dāng)下，一個(gè)APP或是微信小程序就足以實(shí)現(xiàn)。

動(dòng)態(tài)同意規(guī)則雖然也有著弊端，例如信息主體反復(fù)給予或撤回同意會(huì)對(duì)信息利用效率產(chǎn)生影響。但在平衡個(gè)人信息的流通利用和信息主體權(quán)利保護(hù)方面，動(dòng)態(tài)同意規(guī)則無疑是當(dāng)下可以采取的最好選擇。

3.建立以行政機(jī)關(guān)為主導(dǎo)的生物識(shí)別信息應(yīng)用審查制度

雖然《個(gè)人信息保護(hù)法》規(guī)定處理生物識(shí)別信息應(yīng)當(dāng)“具有特定的目的和充分的必要性”，但商家出于對(duì)高效管理的需求以及行業(yè)自律性的普遍缺乏導(dǎo)致必要性原則被虛置。此外，行政機(jī)關(guān)在生物識(shí)別信息的保護(hù)上一直采取著被動(dòng)的姿態(tài)，具體到執(zhí)法層面，通常是處理與個(gè)人信息保護(hù)有關(guān)的投訴和舉報(bào)，很少主動(dòng)對(duì)某行政轄區(qū)內(nèi)的生物識(shí)別信息應(yīng)用與合規(guī)情況進(jìn)行調(diào)查。應(yīng)用的泛濫和監(jiān)管的被動(dòng)性將生物識(shí)別信息置于一個(gè)極度危險(xiǎn)的層面。

為有效化解生物識(shí)別信息濫用導(dǎo)致的安全風(fēng)險(xiǎn)，行政機(jī)關(guān)應(yīng)當(dāng)化被動(dòng)監(jiān)管為主動(dòng)監(jiān)管。曾有學(xué)者基于刷臉支付提出建立貫穿支付流程的外部審查委員會(huì)評(píng)估人臉支付系統(tǒng)的安全性和必要性[15]。筆者認(rèn)為這一外部審查模式事實(shí)上可以廣泛應(yīng)用于生物識(shí)別領(lǐng)域。具體來講，由行政機(jī)關(guān)牽頭組建法律專家、信息技術(shù)工程師、消費(fèi)者等組成的審查機(jī)構(gòu)，生物識(shí)別系統(tǒng)在應(yīng)用前需要向?qū)彶闄C(jī)構(gòu)提出申請并獲得批準(zhǔn)，審查機(jī)構(gòu)主要審查以下四個(gè)方面：第一，生物識(shí)別系統(tǒng)的應(yīng)用是否有充分的必要性，是否提供除人臉識(shí)別以外的替代措施；第二，需要信息主體同意的隱私政策是否規(guī)范、用語是否簡潔，是否完全告知信息主體信息收集目的、處理方式、儲(chǔ)存期限、刪除方式等法定告知內(nèi)容；第三，信息處理者是否采取與生物識(shí)別信息種類相匹配的安全措施，例如是否加密儲(chǔ)存、算法的安全級(jí)別是否合適；第四，要求信息處理者簽署聲明，承諾收集來的信息不被用來實(shí)行交易上的差別對(duì)待，并定期組織人員進(jìn)行檢查。為減輕審查負(fù)擔(dān)并做到有的放矢，審查機(jī)構(gòu)可以根據(jù)場景理論，結(jié)合信息類型、應(yīng)用場景以及安全風(fēng)險(xiǎn)決定進(jìn)行形式審查或?qū)嵸|(zhì)審查。

五、結(jié)語

生物識(shí)別信息的保護(hù)是一項(xiàng)復(fù)雜的工程，不僅關(guān)涉信息主體和信息處理者，還需要國家公權(quán)力機(jī)關(guān)發(fā)揮引導(dǎo)作用。首先要完善生物識(shí)別信息保護(hù)立法，在《個(gè)人信息保護(hù)法》中專章規(guī)定生物識(shí)別信息的一般概念和通用的處理規(guī)則，之后針對(duì)技術(shù)應(yīng)用較為成熟的生物識(shí)別信息制定具體的法律規(guī)范；其次，國家應(yīng)當(dāng)支持和引導(dǎo)動(dòng)態(tài)同意平臺(tái)的建立，以使信息主體充分了解信息處理的階段狀態(tài)并作出同意或撤回同意的決定；最后，行政機(jī)關(guān)應(yīng)當(dāng)轉(zhuǎn)換被動(dòng)執(zhí)法為主動(dòng)執(zhí)法，牽頭建立生物識(shí)別技術(shù)應(yīng)用的審查機(jī)構(gòu)，將審查作為生物識(shí)別信息收集的前置性程序。短時(shí)間看，多元的規(guī)制手段會(huì)對(duì)生物識(shí)別產(chǎn)業(yè)的發(fā)展形成一定的阻遏，但這是將其納入法治化發(fā)展軌道的必要舉措，唯有如此才能形成信息主體、信息處理者、社會(huì)的三方共贏局面。