个人生物识别信息数据库的风险与法律保护

（广西师范大学法学院 广西 桂林 541006）

近年来，个人生物识别信息被广泛应用在移动支付、智能识别等领域，许多科技公司拥有自己的个人生物识别信息数据库，掌握着大量的个人生物识别信息资源。

不可否认，个人生物识别信息数据库使人类生活更加便捷，但从生物安全、人类信息安全和国家安全的角度考虑，个人生物识别信息数据库在缺乏法律保护的情况下，一旦出现数据库信息泄露或盗用的现象，将影响人一生的吃穿住行，对社会、国家造成不可估量的损失。因此，个人生物识别信息数据库建立、使用和管理过程中的风险及如何进行法律保护是本文探讨的问题，更是现实中亟待解决的重要问题。

一、个人生物识别信息数据库的概念

个人生物识别信息是指一种能够直接或间接地通过特定自然人的生理或行为特征，识别出特定自然人的信息，具体包括特定人的面部特征、指纹、声音、基因、虹膜等[1]。

与传统的身份信息不同，个人生物识别信息与传统的姓名、身份证号码等身份信息相比，具有不可变更性和特定性，潜在价值更高。大数据时代国家管理部门、科技公司、互联网企业等纷纷通过建立数据库的方式采集、管控和运用公民的个人生物识别信息。个人生物识别信息属于生物信息的一种，个人生物识别信息数据库可参照生物信息数据库进行定义。生物信息数据库是生物科学技术与信息技术结合的产物，是人类利用科学技术研发和储存生物信息的载体[2]。因此，个人生物识别信息数据库是指利用科学技术研发的、用于存储人类面容、声音、虹膜、指纹、DNA等可识别个人专属特征信息的载体。

二、个人生物识别信息数据库存在的风险

（一）建立过程存在的风险

1.未明确建库的标准，存在滥建的可能

个人生物识别信息数据库建立条件未明确主要表现在：第一，建立主体条件未明确。根据收集主体的划分，我们可以把个人生物识别信息数据库分为两种，即政府建立的数据库和社会组织机构建立的数据库。目前在个人生物识别信息数据库建立过程中，无论是政府主体还是社会主体都没有明确的资格条件限制。第二，建库目的不同。政府主体一般是基于保护公共利益的需要，例如公安部门的DNA数据库、犯罪嫌疑人指纹库等均是为了犯罪调查、取证破案。而社会主体可能基于盈利或公益救助的目的建库，如支付平台收集个人指纹和照片作为支付手段；如打拐组织收集个人识别生物信息是为了找到被拐卖的儿童。这些目的是否达到建立个人生物识别信息数据库的要求，我国尚未明确衡量标准。实际上，趋利使然，采集个人生物识别信息的数据库质量良莠不齐，滥建滥用情况时常发生。

2.收集公民信息存在侵权的可能

建立数据库的行为过程主要是收集和处理个人生物识别信息，极易发生违法收集信息行为，侵犯公民身体完整权。身体完整权是指自然人对其身体组织的完整性所享有的权利，他人不得违法侵犯[3]。我国《民法典》第一千零三条规定自然人享有身体权，自然人的身体完整和行动自由受法律保护。在构建个人生物识别信息数据库的过程中，不可避免要对公民的身体进行检查，如DNA数据库构建，可能会抽取公民的血液，采集公民的毛发提取公民基因信息，这些行为会不可避免地侵犯公民的身体权。

（二）使用过程存在的风险

1.不当使用数据库产生信息安全隐患

非法使用数据库可能会造成侵害行为。一般来说，一个数据库的建立需要技术和金钱的支持，所以数据库的建立者会是综合能力比较强的主体。基于商业用途建立的个人生物识别信息数据库必然会产生交易，买受数据库或者租用数据库的交易相对主体，也会成为使用的主体。由于个人生物识别信息数据库不同于其他一般的数据库，信息具有极强的特定性，使用者可以拿着任意公民的信息做非法事情。如果买受主体随意滥用数据库，可能就会造成公民信息贩卖、泄露等严重后果。

2.使用数据库信息易侵犯个人隐私权

杨立新教授认为，“隐私与他人立场无关，区别于公共利益和群体利益，隐私权的核心内容是对自己隐私依照自己的意志进行支配”[4]。目前，各国将个人生物识别信息广泛地运用于安防、边检、金融等领域，但由于个人生物识别信息数据库储存了大量的DNA数据、虹膜、指纹信息等，公民的隐私权随时面临被侵害的危险。“国内人脸识别第一案”中原告郭兵就是以侵犯隐私权为由向杭州野生动物园提起诉讼。杭州野生动物园将“指纹”识别入园升级为“人脸”识别入园，且未经原告同意擅自使用了原告年卡信息中的照片作为入园“刷脸”的对比照片，被告擅自收集个人敏感信息，未经同意将他人人脸识别信息储存并使用，侵犯了公民的隐私权。由此可见，个人生物识别信息数据库被建立的同时，也提高了公民隐私权被侵犯的可能性。

（三）监管过程存在的风险

监督主体不明确极易导致监管缺失。目前我国没有专门立法对个人生物识别信息数据库进行保护，更无明确监管主体。一般来说，在法律没有明文规定的情况下，由政府相关部门进行监管。如“中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展App违法违规收集使用个人信息专项治理行动，向需要整改的主体提出整改意见[5]”。但是数据库的持有者进行短暂的整改后，仍旧会出现故伎重演的可能。偶尔专项整改活动，力度并不够强，无法从根源上遏制信息泄露问题。另外，由于大数据科技的发达，使得个人生物识别信息泄露的方式变得多样，对监管技术提出了更高要求。2019年2月，我国一个研发人脸识别技术的企业发生了个人生物识别信息泄露事件，数据库被侵入后超过250万的数据信息被不法分子获取。即使该企业和安防机构合作也没有办法避免信息泄露情况发生，数据库的监管成了困扰拥有个人生物识别信息数据库企业的难题。

三、个人生物识别信息数据库的法律保护

（一）建立过程中加强法律法规的指引

我国目前没有关于构建个人生物识别信息数据库的相关立法。在缺乏统一标准的情况下，对数据库中涉及公民基本权利等问题基本由机构自治，这显然不利于保护公民权利。为此，笔者提出以下建议：

1.明确建库条件的衡量标准

从建立数据库的源头进行严格的条件限制，对政府主体和社会主体适用不同的标准。第一，政府主体基于保护公共利益的目的建立个人生物识别信息数据库。对于“公共利益”的理解，可以依照政府的职能来进行具体的确定。如在重大传染病防控中，政府部门为了抗疫工作利用人脸识别、指纹等来追踪个人身份，以便确定感染源等。建立数据库时收集个人信息必须告知建库目的，在特别情况下公民可以对自己信息的披露使用进行保留申请。第二，社会主体建立的数据库可能是用于商业也可能是用于公益，对于主体资格的限制也需要区别对待。对出于商业用途建立的数据库，应该审查其目的是否符合商业主体的经营管理范围，在信息收集时平台应尽到明显告知的提示义务。对出于公益目的的商业主体，对公益组织的服务年限及服务质量要有一定标准要求。

2.加强对公民基本权利保护

个人生物信息识别数据库和普通数据库相比，涉及公民的基本权利。各国法律公认提取公民信息是对公民基本权利进行限制和剥夺；因此，应当以法律授权为前提。如1984年英国《数据保护法》规定：“不允许以欺骗手段从数据主体处取得信息，取得个人信息必须征得有关个人的同意；只有为特定的和合法的目的，才能持有个人数据”。当前，我国常采用的做法是先试点，再立法[6]37。我国国情较为复杂，且处于社会转型期，这样的试点立法方式克服了传统僵化的模式，但并不是所有的制度都适用此模式。我国应当尽快出台相应的法律法规，对个人生物识别信息数据库的构建程序、样本的提取、储存方式、使用方法、样本的销毁、监督机制等做出详细的规定。

（二）使用过程中明确合理限制的条件

关于个人生物识别信息数据库的使用问题，除了与建立者一样进行目的审查外，还应该具有一定的条件限制。第一，政府建立的个人生物识别信息数据库的使用者应该限于政府部门，但是学者基于研究可申请使用。例如，英国Biobank机构内外的研究者都可以申请使用数据库，因为样本和资料是公共财产[7]30。第二，对于社会组织机构基于商业用途建立的数据库，可以有严格的禁止性规定，比如一些伦理性的禁止性规定。中国人工智能学会伦理道德专业委员会也曾计划针对不同行业首先设置一系列伦理规范，如智能驾驶规范、数据伦理规范、智慧医疗伦理规范等[6]42；然后再由数据库的建立者和使用者来协商具体的适用范围、途径和期限。此处可以适用合同法的相关规定，并且在使用期限届满或者目的达成后，建立者及时切断数据连接，使用者进行数据销毁[8]。

（三）监管过程中设立管理主体和模式

我国没有确立分散管理原则，一是没有成立相应的机构对个人生物识别信息数据库进行监督和管理；二是数据库系统内部未建立完善的管理措施，极易导致个人生物识别信息泄露。因此，应该借鉴国外成功经验，推行分散管理原则，确定多个机关对个人生物识别信息数据库构建、运用及后续销毁工作分别进行监管，各司其职，互相监督。例如，可以借鉴英国模式，分设三个机构分别对数据库的建置流程、运作情况、销毁进行监督管理；或参照加拿大的做法，设置国家个人生物识别信息数据库对该类型数据库进行统一管制。

此外，由于个人生物识别信息数据库的特殊性，需要进行一些特殊条件的审查，可以设想结合伦理审查相关部门及其他信息监管部门来进行审查监管，例如通过成立国家DNA资料库咨询委员会对该数据库的运行有效性和安全性进行监管，并定期向有关部门提供建议[7]30，除了外部监督外，应该由个人生物识别信息数据库的建立者和使用者进行自我监督，双管齐下。