个人生物识别信息权益的法律保护研究

2021-01-29 21:36
上海商业 2021年5期
关键词:程序性侵权人因果关系

朱 徐 何 菲

作者单位:浙江农林大学文法学院

大数据时代下,得益于互联网和人工智能技术的迅速发展,生物识别技术的应用场景不断扩展。与此同时,个人生物识别信息安全问题不断受到挑战。如何规制个人生物识别信息侵权现象,有效加强生物识别信息保护,以满足在大数据时代下人们对身份识别便捷性需求到安全性需求的转变,成为一个亟待解决的问题。

一、 个人生物识别信息权益之侵害现状及其原因

(一) 个人生物识别信息权益遭害现象尘嚣日上

生物识别信息作为用以现代身份识别的数学化信息,直接从人类本体中采集,体现人的行为特征和生理特征,并以二进制形式转化为生物标识符存储于计算机中。技术对数据的解码能力不断提升,大大降低了侵权成本。此外,网络服务提供领域成为生物识别信息侵权高发地,网络服务提供者对用户个人生物识别信息进行不正当收集、存储等侵权行为屡见不鲜。如“换脸App”ZAO所设置的用户协议条款要求拥有对用户上传或发布内容的完全免费、不可撤销、永久、可转授权和可再授权的权利,完全超出了“正当、必要”的范围。不仅如此,人工智能深度算法的进步如深度伪造,让最低成本地滥用他人的生物识别信息,进而盗用他人的身份成为现实。技术的高超性与便利性、侵权的低廉性、行为的隐蔽性等都推动了生物识别信息侵权现象的高发性。

(二) 个人生物识别信息权益遭害现象频发的原因

1.个人生物识别信息之侵权因果关系认定复杂

生物识别信息的采集、传输、存储、使用、销毁等诸多环节所涉及到技术的复杂程度,难以为一般个人生物识别信息所有者掌握,因此很难缕清生物识别信息侵权事件中的因果关系。尤其是复杂、不透明的算法黑箱的存在,使信息主体更加无从得知生物识别信息在这个算法黑箱中是如何被获取和使用的。不仅如此,生物识别信息的采集、传输等多个环节的执行者往往是多个信息执行者的行为,当侵权行为出现时,这些信息执行者与生物识别信息侵权的行为是否存在因果关系,也很难为被侵权人所知。生物识别信息侵权行为与损害结果之间因果关系认定的复杂,直接导致了被侵权人难以对实施侵权行为的行为者进行有效的追责。

2.个人生物识别信息之侵权损害事实难以认定

个人生物识别信息侵权案件不同于传统的侵权案件,对损害事实和损害程度的判断存在困难。当信息主体的生物对识别信息被侵权时,侵权损害结果的表现形式并不一定是有形的损害性,具体表现为对人身权或财产权的损害性,也可能是无形的损害性,具体表现为程序性违法的损害性。对于前者来说,在当事人无法充分举证所受损害的情况下,法院往往依据事实推定损害事实,而对损害程度的认定标准没有统一的标准。对于后者而言,程序性违法的表现形式为消极履行或不履行程序性义务,如告知义务、安全保障义务等。而程序性违法的侵权行为往往缺乏实际损害事实,这无疑加大了个人生物识别信息侵权损害事实的认定难度。在当前民事诉讼救济模式下,由于生物识别信息侵权案件的损害事实难以认定的问题存在,很难充分保障被侵权者的民事救济权利,也很难有效保护信息主体的生物识别信息。

二、 域外个人生物识别信息保护立法例及其借鉴

(一)美国专项立法保护个人生物识别信息

美国目前在联邦层面没有统一的法律对个人生物识别信息保护进行规制,对生物识别信息的专门立法仅存在于州的层面。其中伊利诺伊州2008年通过的《生物识别信息隐私法》(BIPA),是唯一允许个人就违法行为造成的损害提起诉讼的法律。BIPA授权个人就私人企业对个人生物识别信息数据的侵权行为提起民事诉讼进行救济,并规定了私人企业向受害者支付的金钱赔偿标准,已成为美国个人生物识别信息民事侵权救济保护的重要法律依据,但就法律责任的认定存有争议。由于生物识别信息的侵权事件往往表现为侵权行为的同类型化,因而在美国多数生物识别信息侵权案件中,如Facebook集体诉讼、谷歌面部识别案等为使全体人员的权益能够得到普遍的保护,被侵权人选择集团诉讼而非个人诉讼进行民事权利的救济。此外,侵权行为以程序性违法为主,对被侵权人的损害往往是无形的,不能为一般侵权要件之实际损害所包容,被侵权人也很难就侵权人所实施的程序性违法行为对自身造成的损害进行举证。在美国司法实践中,信息主体以BIPA为据进行个人生物识别信息民事侵权救济、要求损害赔偿时,因缺乏实际损害或不能举证证明对自身是否产生实际损害而被联邦法院驳回诉讼,如不同法院对六旗案是否应当受理的认定。BIPA虽然为个人生物识别信息的侵权提供了一定的民事赔偿救济途径,但仍不能摆脱传统民事侵权要件的束缚,解决生物识别信息程序性违法侵权行为的民事损害赔偿权利救济问题。

(二)欧盟对个人生物识别信息采取统一立法保护

2016年通过的《一般数据保护条例》(GDPR),将多种类型的个人信息包括生物识别信息纳入到统一的个人信息保护之下,适用于一部集行政、民事和刑事法律保护措施为一体的法律。GDPR明确“个人数据保护权”是自然人的基本权利和自由,认定生物特征数据属于“特殊类别的个人数据”,对生物识别信息处理的适用范围进行了严格的限制。同时,GDPR规定信息主体有权依照该法提起诉讼即进行司法救济,但信息主体获取司法救济存在前置程序——向数据监管机构进行申诉。在索赔权和赔偿责任范围中,GDPR规定信息主体有权从数据的控制者或加工者处获得因其违反该法规实施的侵权行为而使信息主体遭受损害的赔偿,不论该损害是物质性的还是非物质性的。但GDPR以行政法律保护方式为主,对民事救济规定较少,生物识别信息数据主体的民事诉讼救济的实现缺少法律上足够的支撑。此外,GDPR缺乏对民事损害赔偿中的“损害”规定相关的认定标准,涉及主观的侵权程度感受很难量化为统一的客观标准,这使得在司法实践中对生物识别信息的侵权而产生的“无形损害”这一赔偿金额不能统一,以致不能很好地保护个人生物识别信息权利。

三、 构建我国个人生物识别信息法律保护制度之设想

我国法律虽然对生物识别信息进行了原则性的保护,将其统括为敏感个人信息保护范畴之内,但目前尚未针对生物识别信息的民事侵权行为进行相关法律规定。因此,在民事侵权上,我国应当构建完善的个人生物识别信息侵权规则,以充分保障信息主体的生物识别信息民事救济权利的实现。

(一)建立分级式个人生物识别信息保护体系

生物识别信息高度的人身属性,注定了生物识别信息具有其不同于一般个人信息的特殊性,而不同的生物识别信息也存在着不同之处。生物识别信息更改难易度不同:大部分反映人体生理特征的生物识别信息的更改以目前科技水平来说是非常困难的,如指纹、基因信息等,面部信息虽然可以通过整容改变,但脸部大部分特征仍会被机器识别;而步态等反映人体行为特征的生物识别信息则可通过人力改变。生物识别信息采集难易度不同:面部信息的采集只需摄像头即可,且具有极大的隐蔽性;而基因信息的采集相对困难,需要专业的操作技术和设备,为一般人所不能具备。生物识别信息侵权的后果程度不同:基因信息泄露较面部信息泄露的损害后果更严重,代表个人遗传密码的基因信息泄露,将深刻影响自己乃至后代。生物识别信息较一般个人信息的特殊性与生物识别信息内部的差异性决定了对个人生物识别信息需要进行分级式保护。对生物识别信息的规制可以通过同一与差异相结合的规制原理来进行:一方面,应当看到不同生物识别信息的共同之处,对其进行统一的原则性规制;另一方面,更应当看到这些生物识别信息中的差异性与特殊性,根据它们的特性进行专门化规制,做到分级式保护。

(二)生物识别信息之侵害方式之再分类

构建生物识别信息侵权规则的构建路径,就需要对生物识别信息的侵权形式进行细化分类,以更好地对生物识别信息的侵权进行救济。目前,生物识别信息的侵权行为主要有程序性侵权行为,表现为数据控制者或处理人的违反程序性义务的行为;未经信息主体授权的对生物识别信息进行侵入行为,如盗取、复制;二次创作、更改、技术模拟行为,如“深度伪造”(deepfake)技术、“3D面具”技术;不法交易行为,如人脸信息非法售卖等。科学技术的飞速发展,对生物识别信息的侵权行为也更加层出不穷,滞后性的法律所规制的侵权行为不能容纳所有侵权方式,故需将特定的侵权方式归类到一般的侵权形式类别中,以更好地实现信息主体的生物识别信息民事侵权救济。

(三)个人生物识别信息之侵权责任认定规则

生物识别信息作为现代社会中个人身份识别的重要标识,其所承载的权利不仅包括个人的隐私权、人格权和身份权,更影响着个人的财产安全,故需要充分保障信息主体的救济权利。

1.个人生物识别信息被侵害时无实际损害事实的认定

传统民事侵权要件中,责任的构成要件中都要求有损害事实,并要求损害事实具有客观性,即损害事实具有客观真实性和确定性。而在个人生物识别信息民事侵权案件中,就违法程序性义务的个人生物识别信息侵权行为,不能导致实际损害事实的发生,故此信息主体就此提出的民事诉讼救济会因缺乏损害而不能实现,这无疑加大了信息主体对个人生物识别信息侵权救济的难度。因此,个人生物识别信息民事侵权损害事实的认定要进行特殊规制。就个人生物识别信息民事侵权损害事实的认定中,尤其对程序性违法侵权行为的规制中,不能仅以缺乏损害而否定民事诉讼救济权利的实现,应当从保护信息主体的利益出发,保障权利人的民事诉讼救济权利的实现。

2.个人生物识别信息被侵害时举证责任承担方的认定

完善个人生物识别信息侵权案件的举证责任和责任承担机制,以降低生物识别信息侵权案件的诉讼成本、提高生物识别信息侵权案件的诉讼效率,有利于被侵权方通过民事诉讼机制进行有效的救济。故此,应当从利益平衡角度出发规制个人生物识别信息侵权的举证责任。不能为了保护信息主体的生物识别信息安全,而完全牺牲信息自由流通,损害网络服务者的运营环境。在不同类型的侵权案件中,应灵活采取不同的民事责任认定,并转移主张方的部分举证责任于被侵权人上,即只要求主张方提出初步的侵权证据。在明确侵权人侵权责任中赔偿损失的承担中,可借鉴美国BIPA的规定,以侵权人的主观过错分别规定法定的最低赔偿金。此外在索赔权和赔偿责任范围的规定上,我国可以借鉴GDPR的规定,即明确信息主体有权从数据的控制者或加工者处获得因其侵权行为而使本人遭受损害的赔偿,不论损害是否有形。

3.个人生物识别信息受侵害时因果关系的适用

对于个人生物识别信息民事侵权因果关系的适用上,应当防止消极道德危险的发生。有学者认为应当采用“条件说”来认定因果关系,即只要实施的行为与损害事实的发生存在条件关系时,便可以认定实施该行为的人为侵权人。虽然这种主张能够起到积极保护信息主体对生物识别信息侵权救济的权利,但在实际操作中可能会存在困难,难以解决“多因一果”问题,且该种主张对从事大数据信息处理或控制的行业过于严苛,不利于行业发展和信息自由流通。也有学者认为,传统的因果关系理论完全可以满足信息网络侵权案件中追责的需要,认为无需适用特殊的因果关系理论。但在个人生物识别信息民事侵权案件中,其所处的环境是虚拟的网络空间,且存在“算法黑箱”和“信息茧房”与他一般的侵权案件有其特殊性。因此在个人生物识别信息民事侵权因果关系的适用上,应当基于生物识别信息侵权行为类型的不同,采用不同的归责责任,在不同归责责任的生物识别信息侵权案件中适用不同且适合的因果关系理论,不能一概而论。

猜你喜欢
程序性侵权人因果关系
因果关系句中的时间顺序与“时体”体系
玩忽职守型渎职罪中严重不负责任与重大损害后果的因果关系
高空抛物,谁来担责?
为什么我们不会忘记怎样骑自行车
为什么我们不会忘记怎样骑自行车?
做完形填空题,需考虑的逻辑关系
浅析过失相抵原则的适用
知识产权侵权诉讼中侵权人账簿资料的审查与应用
找不到具体侵权人的高空坠物谁负责?
论刑法中提前的因果关系与延后的因果关系