个人生物识别信息的法律保护原则

【摘 要】 在个人生物识别信息风险化的时代，要对生物识别信息提供区别于一般个人信息的专门保护，才能适应技术的迅猛发展。特别保护首先需要遵循区别于一般个人信息保护的基本原则，故本文在借鉴欧盟个人信息保护经验的基础上，结合中国国情，探讨个人生物信息识别信息保护的基本原则，旨在为防止个人生物识别信息的滥用提供原则基础。

【关键词】 个人生物识别信息 保护原则

由于人工智能技术的革新，生物识别技术在日常生活中出现的频率越来越高。生物识别技术出现在连锁便利店、手机支付app、住宅小區、企事业单位为生活提供便利的同时，也出现在信息买卖黑市中等待交易，利用深伪技术的诈骗也层出不穷。目前，我国对于数据安全问题，在不当获取和使用问题方面已发布了相关规范。但法律总会滞后于现实，在生物识别信息的采集、运用和共享方面的规制依然不够。规则的制定需要遵循一定的原则。在此，笔者分析欧盟现有关于生物识别信息法律保护的原则，在结合中国国情下，分析出切实可行的生物识别信息保护的一般法律原则。

一、个人生物识别信息的概念和特征

生物识别技术是指通过辨别人的生物或行为特征等生物识别信息如指纹、虹膜、人脸、掌纹等确定其身份的技术。目前，该技术已被广泛运用到如居民身份证、个人计算机、手机、安全门禁、零售店支付以及银行等领域。在国内外法律理论与实践中，生物识别信息属于一种个人信息，由个人信息保护法或者专门针对生物识别信息的特别法律文件提供保护。[1]

个人生物识别技术在使用维度相比普通的密码方式具有便捷性、卫生性、不可替代性和高度安全性等特征。但由此归集而成的信息具有唯一识别性和稳定性等优缺点并存的特点。正是因为这些特点，给生物识别信息的保护带来了诸多困难，信息一经采集几乎不需要二次更新便可永久使用，甚至不需许可就能收集。据此，在个人生物识别信息的各个环节都要遵循相应的原则。他山之石，可以攻玉，借鉴现行的域外经验，总结经验和缺点，可以更好的对我国生物识别的保护提供思路。

二、欧盟生物识别信息的保护原则

欧盟的数据保护经验，相比美国的技术壁垒型规则对于我国更有借鉴意义。欧盟在个人信息保护方面采用的是立法型规则，制定严格的使用限制和高额处罚，实现对个人信息的保护，对我国数据安全技术相对滞后的现状更有借鉴意义。欧盟gdpr设立了个人敏感信息的专门分类用以区分该信息的特殊性，明确规定生物识别信息属于个人敏感信息的子分类，适用特殊保护的标准，并且在一般数据保护合法、公平、透明、目的限制、数据最小化、存储限制、完整性、机密性、安全性原则的基础上建立以下特殊原则来强化对生物识别信息的专门保护：[2]

1.禁止处理原则，即包括自然人、法人、公共机构、行政机关或其他非法人组织在内的“控制者”“处理人”“第三方”在通常情况下无权“仅以识别自然人为目的”处理个人生物识别信息。

2.明示同意原则，即以上主体必须在自然人的明确表示同意下能在法定范围内进行数据的处理和使用。

3.法定必须原则，则是为明示同意原则留下了使用的窗口，其规定在公共利益、社会利益、工作职责的必须下，上述信息的控制者可以在不经信息主体的同意下使用其身份识别信息。

以上原则一定程度上兼顾了个人信息安全和公共利益保护的平衡，在此基础上继续探讨中国生物识别信息保护的一般原则会更加切实可行。

三、生物识别信息保护特殊原则

1.禁止收集原则，即与欧盟gdpr的禁止处理原则一致，在没有主管部门审批合格，具有相应收集资质的情况下相关个人、企事业单位、非法人组织无权进行声纹、指纹、面部信息的收集，更不谈保存。在收集的源头强化门槛限制，有助于对这类特殊信息的特别保护。

2.告知—同意原则，该原则是指在拥有收集资质的收集主体在收集信息主体生物识别信息时信息主体拥有的被告知权，并且在获得被告知主体明确同意的情况下才可以对生物识别信息进行收集。该原则的内涵为信息主体拥有是否同意该服务框架的平等选择权，而不会承受不接受该条款的不利影响。比如在“人脸识别第一案”中，该原则的内涵体现在郭先生不需要接受必须采取人脸识别的方式才能进入动物园的合同条款，而只接受验票入园。在这一原则下，信息主体选择给予授权是对收集主体的隐私条款的正向支持，该主体信息安全保护机制的认可，故会激励信息收集主体对隐私安全的强化以增强该主体特别是企业主体的核心竞争力。

3.禁止他用原则，即在信息收集主体收集了该生物识别信息后，依照签订的协议和授权许可的范围进行使用，禁止用于其他的使用类别，对于信息的传输共享也要遵循告知—同意原则。

4.信息的退出原则，即在信息主体不认可相关信息收集主体的使用方式和范围后，赋予信息主体的删除权，由于个人生物识别信息具有“一次收集，永久获益”的特点，该信息经过收集后几乎不需要更新。所以在信息的退出时，更需要把该退出数据库的权利赋予个人，明确个人的删除权，相关收集机构需要配合个人做到数据库的永久删除退出，对于已经传输给另一主体的信息，也要配合删除。

5.公共利益原则，即为了社会管理、公共利益、社会利益的需要，具有相应资质的行政机关或者其授权的组织可以不经信息主体的同意收集、使用和共享该信息。该原则是为了公共安全和社会利益的考量，是个人的信息权利和公共利益最大化的流动选择。

四、结语

生物识别信息的保护事关个人权利的保护，也是国家生物安全的保护课题。面对该重大问题的挑战，在厘清法律保护原则的基础上，更要配套完善的法律法规保护体系和完备的监管机制，才能保障生物识别信息的安全以及生物识别技术的法治化发展。

【注 释】

[1] 刘越.论生物识别信息的财产权保护[J].法商研究，2016，33（06）：73-82.

[2] 参见欧盟GDPR第9条第2款第（b）至（j）项。

【参考文献】

[1] 王德政.针对生物识别信息的刑法保护：现实境遇与完善路径——以四川“人脸识别案”为切入点[J/OL].重庆大学学报（社会科学版）：1-12[2020-06-21].http：//kns.cnki.net/kcms/detail/50.1023.c.20200407.1725.006.html.

[2] 付微明.个人生物识别信息民事权利诉讼救济问题研究[J].法学杂志，2020，41（03）：73-81.

作者简介：吴兰琦（1996—），女，汉族，湖南长沙，研究生在读，湘潭大学，研究方向法律（法学）