吴小帅
(山东建筑大学 法学院,山东济南 250101)
在“数字中国”的发展浪潮中,多样化的生物识别技术已被广泛应用,(1)早在2010年,国际电信联盟(ITU-T)就发布了《生物识别技术与标准》的技术检测报告,分析了通过强大的信息和通信技术使生物识别技术作为一种认证主要形式的可能性。生物识别技术广泛应用于甄别(如刑事调查)、政府职能(如60多个国家发放的电子护照中包含生物信息)以及商业领域。人脸、指纹、声纹、虹膜、DNA、静脉模式、按键模式、步态甚至心率、掌部血管分布等都已经成为重要的个人身份信息。与之相伴,个人生物信息在社会生活和公共服务中被滥用的事件层出不穷。(2)例如,2018年11月28日中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》中显示,多达91款App存在过度收集用户个人信息的问题,10款App涉嫌过度收集个人生物识别信息。2020年5月15日工业和信息化部组织第三方检测机构对手机应用软件进行检查,发现包括当当、好医生、e代驾在内的16种常用APP存在“私自收集个人信息”“超范围收集个人信息”“私自共享给第三方”等问题。司法实践中,涉及侵犯个人生物识别信息安全的案件也屡有发生。(3)例如,2018年,被告人梅某以“指纹模型”作为作弊工具进行高考作弊,被济南市历城区人民法院以组织考试作弊罪定罪;2019年10月,原告郭某因不同意杭州野生动物世界办理年卡时进行人脸识别而提起侵权诉讼,被称为“中国人脸识别第一案”;2019年12月,被告人贺某等三人被深圳南山区人民法院以实施以生殖为目的的人类胚胎基因编辑和生殖医疗活动为由判定构成非法行医罪,被称为全国首例“基因编辑婴儿”案。随着个人生物识别信息在科研、医疗、金融、司法等方面的广泛使用,相关侵权和犯罪行为的种类、数量和危害性也同步增加,侵害个人生物识别信息的方式更加复杂多样化,生物识别技术已经出现黑色产业链条,并呈现出团队发展的特点,法律监管技术的难度更高,给个人信息安全、生命财产安全、社会治理安全甚至国家安全、政权稳定带来了巨大挑战。个人生物识别信息已经迎来需要法律深入介入的时刻。如何通过立法规制个人生物识别信息的使用范围和标准,构建个人生物识别信息的法律体系,在保障技术发展的同时又能保护个人信息,是理论研究和实务操作中亟待解决的重要问题。
对于个人生物识别信息的法律属性,我国目前相关立法中无明确界定。理论上生物信息属于个人信息的组成部分,而我国现阶段涉及个人信息保护的法律渊源基本上来自对隐私权的保护。2017 年《民法总则》中(第11条)规定了自然人的个人信息受法律保护,但并未明确提出“个人信息权”的法律概念,也未将“生物信息”作为特殊的个人信息加以特别说明。2021年1月1日起实施的《民法典》将“个人信息”与“隐私权”并列作为“人格权编”的内容,仅在第1034条对个人信息范围的列举中,提到了“生物识别信息”。学界有人主张将“个人信息(数据)”作为一项独立的人格权而对待,(4)有学者认为传统意义上的隐私权和一般人格权无法涵盖民事主体的信息利益,信息权是新兴的人格权,具有具体人格权的法律地位。参见王丽莎: 《信息权的独立人格权地位及内容》,载《国家检察官学院学报》2016年第3期。有人则不主张将“个人信息权”作为一项独立的个人权利而对待。(5)有学者认为从数据主体角度看,基于个人信息的实质利益可以纳入民法的形式化权利体系,基于个人信息的权利属于一般人格权。参见徐卓斌:《个人信息的民法保护路径》,载《人民法院报》2018年9月 12日。个人隐私与个人信息在概念和范围上有很大不同,隐私权在属性上更是一种人身权,生物信息权则同时涵括人格权、国家安全、数据经济的发展等内容权属,两者的法律定位和价值选择不尽相同。个人生物识别信息具有信息和物质的双重属性,兼具人格性和财产性。尽管对个人生物信息的定义有诸多争议,但基本共识是:个人生物识别信息是指能够单一或者组合之后识别特定个人的一切生物数据或信息,其识别性较之一般个人信息更加明确和唯一,属于敏感信息的范畴。
基于此,个人生物识别信息具有不同于一般个人信息的显著特征。第一,个人数据的唯一性。传统个人信息如密码可以随时修改,泄露后也可更改,而个人生物识别信息具有唯一性,一旦泄露无法通过修改的方式弥补,届时凡是与生物信息认证相关的所有活动都将永远退出,因此具有更大的风险和不确定性。具有唯一性的生物信息一旦被非法利用,还会导致大量深层信息被挖掘和曝光。第二,程序的识别性。传统意义上的个人信息并不需要经过计算机算法的鉴定与识别,而生物识别信息必须经过计算机的相关生物识别程序的识别才能生成相关信息。例如人脸识别需要依靠识别程序对被检测的人脸进行计算,确定出“代表人脸特定图像的数字串”,然后人脸签名在所存储的用户的“人脸模板”数据库中运行,查找匹配项,形成确定的数字身份。第三,信息的可复制性。随着信息网络技术的快速发展,个人生物识别信息可以在技术的支持下被模仿、复制甚至更改。如一般的人脸识别技术在进行活体采集时规定动作较少(眨眼、摇头等动作),这些动作均可以通过录像或电脑模拟的方式做出,以达到规避验证进入信息系统的效果;使用模仿生物识别特征的复制品如声音信息可借助声纹模拟器进行物理复制,模拟出的声音足以以假乱真,成为电信网络诈骗的“利器”,即使用模仿生物识别特征的复制品可以绕过专业复杂的生物特征识别系统。(6)参见2019年7月《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》第4.1条。第四,损害的不可逆性。由于个人生物识别信息属于敏感信息,其非法泄露和滥用会给信息主体造成不可逆转和难以消除的侵害。正由于此种特性,国外立法和司法判例中往往不苛求生物信息人遭到现实的损害才可寻求法律救济,而将可能发生的危险作为认定侵权或犯罪的条件。由于生物信息固有的独特性和持久性的特点,可以假定在应用中生物特征不可变,他们的攻击可以对个体产生永久性的后果。(7)同③。第五,信息的关联性。这里的关联性是指生物信息与其他个人信息之间具有很强的关联性。正如2019年6月国家质量监督检验检疫总局和全国信息安全标准化技术委员会公布的《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》(以下简称《生物特征识别信息的保护要求(征求意见稿)》)引言中提到,生物特征识别系统通常是将生物特征识别关联信息与其他个人信息绑定在一起,以鉴别个人。在这种情况下,需要绑定来确保包含生物信息记录的安全性。因此个人生物特征识别关联信息与其他个人信息和跨区共享的联系越来越多,关联性特征使个人生物信息的识别性更加精准复杂,也给技术合规和法律规制提出了更高的要求。
第一,侵犯个人隐私权。隐私权是个人信息承载的主要权利之一,而个人生物识别信息承载的是最为直接的个人隐私权内容。人脸、声纹、步态等大多数生物信息都可以通过隔空捕捉和网络爬取数据等方法绕过个人知情同意而取得,无需经信息所有人授权或超出用户明确许可的收集目的范围。在公共场所之中,信息所有人多数情况下并未明确获知自己被技术监控,也不会采取有效的防止措施(如戴口罩遮挡面部)来隐藏自己的生物特征,或者根本无法隐藏,这时就被认为是主观上就享有合理的隐私期待。(8)参见蒋洁:《人脸识别技术应用的侵权风险与控制策略》,载《图书与情报》2019年第5期。同时由于生物信息反应了人体的生理状况,透过生物信息数据可以分析出一个人的性别、年龄、健康状况、身体缺陷、情绪变化等,这些都属于个人隐私的重要内容。因此,个人生物识别信息的技术管理控制者应承担更多的保护隐私之义务,尤其在商业利用中不得强迫接受多项业务功能,个人信息产品或服务对于个人生物识别信息的收集不得违背信息主体的自主意愿,更不得在信息主体不知情或明示反对的情况下进行信息收集。若不能在信息采集这一初始阶段充分保障信息所有人的基本隐私权,个人生物信息就可能被滥用到不法领域,侵害到信息所有人的人格尊严。国外关于生物识别信息的立法中对于隐私权的保护格外引人关注,如美国佛罗里达州的立法机构于2019年2月提出了《生物特征信息隐私法》的草案中,对生物识别信息的主要定位即是隐私权。
第二,妨害个人平等权——生物歧视与不公。平等意味着相同对待和不受歧视,是公民享有的基本权利。生物识别的技术应用过程包含芯片、算法、移动终端、行业应用、安全解决方案等众多环节。技术的复杂导致泄露、滥用个人生物信息的形式也复杂多样,不正当竞争和歧视事件屡有发生,信息识别的过程充斥着傲慢与偏见。加之相关行业标准和法律规定匮乏,技术监管的难度较大,严重损害了用户应当享有的平等权益。如在美国佛罗里达州迈阿密市的智能化治安监控系统中,对于白种人的监控力度和范围较小,重点关注的对象是当地黑人群体和西班牙移民群体,这一做法涉嫌种族歧视,而这通过技术手段完全可以实现。(9)参见方陵生:《脸部识别系统:个人隐私终结者》,载《世界科学》2015年第3期。我国拥有超过14亿人口和56个民族,个人生物信息具有复杂性和多样性,在使用中可能出现对于生物遗传基因数据的滥用。诚然,技术是中立的,因此需要法律规范加以引导和规制。
第三,侵害个人财产权。个人生物信息无论在科技还是人文领域都有较高的经济价值和财产利益。在大数据背景下,个人生物信息的交易已经形成一定规模,各式各样的商业利用使得个人生物识别信息具有某些财产属性。实践中对个人生物信息的过度收集、滥用、非法交易等均可能导致主体财产权遭受侵害。个人生物信息较早应用在银行客户身份的人脸识别验证、出入境人脸识别以及刑事案件的身份核查中,然而实际生活中收集和使用个人生物信息十分随意,如去药店买药需要进行人脸识别(10)如广西省某药店在门口安装有具有人脸识别功能的摄像头,在会员进入药店的时候,摄像头自动拍照识别,电脑端自动识别出会员,调出会员的详细资料,在药店购买药品的记录,发送到店员手中移动端手机上,店员可以先询问顾客之前购买药品的效果。、在公厕取厕纸需要人脸识别(11)如广州部分景点公厕采用“人脸识别厕纸机”,市民只需要将脸部对准机器上人脸识别的显示屏,成功识别后,机器会提醒将手摆放在出纸口。感应到手在出纸口后,机器会缓缓“吐出”一段长为90厘米的厕纸。工作人员称个人数据机器一周自动删除一次,手动则随时删除,但不少人仍担心数据会造成隐私外泄。系统并不安全,如换了站姿或用打印的照片也可以取纸。参见郭展鹏:《广州:部分景点公厕采用“人脸识别厕纸机”》,载《信息时报》2019年10月20日。,而人脸数据的存储方式、管理方法、删除时间等问题却没有说明。不法分子在第一次获取信息后可能进行二次非法交易以获得财产利益。
目前我国的法律体系中没有专门针对生物识别信息的保护及规范立法。对个人生物识别信息的规制保护散见于不同层级的法律规范中,实体法和程序法兼而有之,多数以间接保护的方式规定。(12)我国《宪法》规定:“国家尊重和保障人权”“公民的人格尊严不受侵犯”“公民享有通信自由和通信秘密的权利”“公民住宅不受侵犯” 等;《民法通则》 在人身权编规定“公民的人格尊严受法律保护”;《刑法》规定“非法搜查他人身体、住宅,或者非法侵入他人住宅”“侵犯公民通信自由”等为犯罪行为;《民事诉讼法》规定“对涉及个人隐私的案件应当不公开审理”;《刑事诉讼法》规定“涉及个人隐私的案件不公开审理”。 此外,在《妇女权益保护法》《执业医师法》《邮政法》《商业银行法》《律师法》《档案法》等也有间接规定。具体而言:
一是法律在个别条文中涉及到个人生物识别信息的内容并加以保护。如《民法典》(第1034-1039条)、《刑法》(第286条)、《居民身份证法》(第306条)、《消费者权益保护法》(第14条)的相关规定。其中,《身份证法》中明确提到了指纹信息,《网络安全法》中专章对网络信息安全保护进行规定,内容均适用于个人生物信息的保护。
二是规范性文件中对于个人生物信息的规定。如2012年《全国人大关于加强网络信息保护的决定》,2013年《信息安全技术公共及商用服务信息系统个人信息保护指南》,2013年工业和信息化部颁布的《电信和互联网用户个人信息保护规定》,2016年12月国家卫生和计划生育委员会颁布实施的《涉及人的生物医学研究伦理审查办法》,2019年10月国家互联网信息办颁布的《儿童个人信息网络保护规定》等。
三是行政机关和特定行业规范中对于个人生物识别信息的规定。这些规定以不同方式对行政机关、事业单位以及各类网络服务提供者作出了义务性规定,要求它们在对公民个人信息收集、使用等活动中遵循合法、正当等一般原则。如公安机关对提供指纹等个人信息的规定、(13)《公安机关指纹信息工作规定》第4条规定,“未经县级以上公安机关负责人批准,不得向公安机关以外的单位或者个人提供指纹信息和其他相关信息”。安保服务的管理规定、(14)《保安服务管理条例》第37条规定,公安机关建立保安服务监督管理信息系统,记录保安从业单位、保安培训单位和保安员的相关信息,并对提取、留存的保安员指纹等生物信息予以保密。征信行业个人生物信息收集的规定(15)《征信业管理条例》第14条规定,禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。等,但这类规定的涵盖范围比较有限。目前对个人生物识别信息规定较全的是在2018年5月开始实施并在2019年进行修改的《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)。受制定主体和位阶的限制,《个人信息安全规范》多从技术层面规制信息采集使用的规范做法,而对于个人生物信息的隐私权、知情权等内容的保护缺乏制度上的规制。此外,还有一系列涉及公共安全领域生物识别的技术标准,(16)我国2018 年发布涉及公共安全领域生物特征识别标准,包括 GB/T 35742-2017《公共安全 指静脉识别应用 图像技术要求》、GB/T 35676-2017《公共安全 指静脉识别应用 算法识别性能评测方法》、GB/T 35736-2017《公共安全 指纹识别应用 图像技术要求》、GB/T 35735-2017《公共安全 指纹识别应用 采集设备通用技术要求》、GB/T 35678-2017《公共安全 人脸识别应用 图像技术要求》等。2019年1月,支付宝牵头制定编号为 ISO/IEC27553《移动设备生物特征识别身份认证安全要求》是我国基于生物识别身份认证领域首个 ISO国际标准。因此,生物信息安全的法律法规分散多样,体系尚未成型。
与生物信息安全密切相关的立法已经紧锣密鼓地开展并初见成果,《民法典》人格权编中将个人信息权属界定为人格权并加以明确保护,《生物安全法》的起草制定加快了构建国家生物安全法律法规体系和制度保障体系的步伐;2020年6月《数据安全法》提交十三届全国人大常委会第十二次会议审议;2020年10月《个人信息保护法(草案)》首次提请全国人大常委会审议。除了立法外,相关部门和机构也颁布实施了诸多个人信息保护的国家行业标准,规定了个人生物识别信息的收集和使用的具体标准。《生物特征识别信息的保护要求(征求意见稿)》较为细致地规定了生物特征识别信息的安全保护要求。2020 年3月6日《个人信息安全规范》进行了修改,2020年10月1日正式实施,细化与完善了个人生物识别信息在收集、存储和共享三个方面的保护要求,对于生物识别技术的合规使用具有重要的指引作用。
1.个人生物识别信息的法源位阶较低且内容分散。当前法律法规对于个人生物识别信息的保护并未突破一般个人信息的保护界限和力度。现行可以援引的法律规范中关于生物信息保护的内容非常有限且法出多门,如《信息安全技术个人信息安全规范》由全国信息标准化委员会制定,《生物特征识别信息的保护要求(征求意见稿)》由国家质量监督检验检疫总局和国家标准化管理委员会发布。尽管这两项规范涉及生物识别信息的内容较多,但层次较低,无法在较大程度上满足法律规制的目的。受立法权限范围限制,对于隐私权保护、知情同意、财产利益等涉及人的权利内容缺失,而这些恰恰是个人生物识别信息权利保护的重要内容。另外,我国目前没有关于个人生物识别信息的基本普通法,甚至没有正式出台个人信息保护法,相关条文分布零散,没有以法律为依据的下位法,各法之间相互衔接松散。因此,立足于调整基于个人生物识别信息而发生的社会关系的法律,建立有层次有系统的配套性法律体系已迫在眉睫。
2.个人生物识别信息的分类界定不明。《个人信息安全规范》将个人信息分为敏感信息和一般信息,这也是区分法律保护力度的标准。然而其中对于划分标准的确定并不十分明确,如其将个人生物识别信息定义为个人敏感信息,同时又将其列入个人信息(一般信息),则敏感信息和一般信息之间是并列关系还是种属包含关系规定不清。之后对信息利用的各个环节的规定主要是针对一般信息的界定,只在特殊地方专门标注了个人敏感信息的适用标准,此举应当是将敏感信息作为一般信息中的特殊内容进行规定的,这与理论上惯常将两者作为个人信息并列类型的认知相冲突。
3.个人生物识别信息保护范围较为狭窄。 现行法律对于多种个人生物识别信息保护的理念主要立足于隐私权之上的人格权保护,忽视了对于财产权益的保护。现有明确提出保护的主要限于指纹信息,而对于虹膜、人脸、声纹、步态等其他个人信息均未提及,而以笼统的“生物识别信息”代替。在保护的规则设计中,主要是原则性地规定了使用中的保密要求和收集中的禁止性要求,对于个人生物信息的完整性要求、可更新与可撤销的条件、生物识别信息受损之后的更改以及生物信息的废弃等问题均未作规定。针对生物识别信息的安全威胁和被滥用的风险规定阙如。《生物特征识别信息的保护要求(征求意见稿)》6.3中规定,“作为一种个人信息,生物特征信息的收集、转让、使用、存储和处置受各种个人信息保护的法律和法规管辖。生物特征识别技术的所有部署应该是按照所有适用的法律法规执行”,可见生物识别信息技术方面的细化部署需要高位阶的法律法规作为前提和指引,否则单纯技术性规定不足以全面将保护措施落地。
4.个人生物识别信息财产权利保护边界不清。既有法律规定对于侵犯个人生物信息的责任规定较为笼统,实践中缺乏操作性的细化标准,因此一般侵犯个人生物识别信息的行为都会参照《侵权行为法》(2021年之后参照《民法典》第七编)的相关规定处理,其中责任的承担方式之一即是财产赔偿。然而由于个人生物识别信息一般被当作具有人格权属的物品,其财产价值不好估算,故信息主体通过侵权责任而获得赔偿的难度很大。生物识别信息属于个人信息的一种,可以按照关于个人信息授权和同意的规定而产生的经济利益,而法律未明确承认生物识别信息的财产权益。随着计算机信息技术的不断发展,物质的载体不断丰富,财产的范围不断扩大,信息的财产化将有助于反映和控制信息传播的复杂过程。(17)参见金华、陈平凡:《云计算法律问题研究》,法律出版社2012年版,第292页。
5.个人生物识别信息主体的权利救济缺乏相应法律机制。现行法律针对侵犯个人生物识别信息行为一般均有责任条款规定,但违法行为人法律责任的主要表现为行政责任,刑事责任发挥作用有限。《刑法》第287条侵犯公民个人信息罪的规定具体定罪量刑标准不明确,一些法律适用问题存在争议。之后最高人民法院和最高人民检察院相继出台关于第287条的司法解释,明确了侵犯公民个人信息罪的定罪量刑标准和刑事政策问题,但依然粗疏笼统。《网络安全法》中对于侵犯网络信息安全的责任,主要包括有关主管部门责令改正、警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚措施。可见,大部分侵害个人生物识别信息的行为均以行政责任为制裁方式,惩治力度不够,政府和相关机构的责权利界分不清,行政处罚与刑法之间衔接不畅,不足以遏制违法行为的发生,法律保护边界和处罚依据亟需厘清。
现行立法的缺失、混乱、不明等问题直接导致了窃取、滥用或泄露个人生物识别信息的行为无法得到法律的及时有效规制,不仅不利于个人生物信息安全的保护,也限制了生物信息产业的发展。当前亟需加快完善关于生物识别信息保护与利用之法律制度进程。
个人生物识别信息所承载的人格利益价值、商业价值和社会价值之间的衡平是立法面临的价值选择。人格利益体现了生物信息主体的个人尊严,商业价值反映了作为理性经济人的正常选择,社会价值彰显了社会整体利益的需求。三种价值的冲突不仅因为不同主体追求利益的天然差异,也源于外在规制体系的不完善。“数据生态圈”的动态平衡需要法律和制度的引领和保障,而制度的设计离不开立法原则的价值指引。
第一,私法与公法双重保护原则。个人生物信息立法的目的之一是为了实现生物信息的有序共享,有序意味着使用个人生物信息必须有度,不得侵犯个人隐私,共享意味着一定程度和范围内为了社会秩序和公共安全而使用个人生物信息。因此,在个人生物信息的保护上,应当从私法和公法两方面同时保护、共同作用。私法保护主要倾向于个人生物信息作为财产属性的商业利用价值和财产收益,公法保护则主要侧重于政府和公共机构对个人生物信息收集和使用的限制问题。有学者提出“对个人信息进行分场景化保护”的观点,即“在体现私主体利益的场景下,宜通过私法逻辑保护个人信息,而在体现公共利益的场景下,……应采用公法框架规制个人信息的共享使用中的法律风险,……实现了个人信息保护从自主支配到有序共享的逻辑转换”。(18)参见刘艳红:《公共空间运用大规模监控的法理逻辑及限度——基于个人信息有序共享之视角》,载《法学论坛》2020年第2期。
第二,狭义的比例原则。比例原则是行政法中的重要原则,后逐渐扩展成为经济法、民法领域的原则。通说认为,比例原则包含适当性原则、必要性原则和狭义比例原则三个子原则。狭义比例原则又称作相称性原则或均衡原则,其精髓在于对手段与目的之间关联进行动态考量。目的正当是手段正当化的前提,手段正当又能保证目的正当化的实现。个人生物识别信息在风险时代、数字时代的运用显然需要实现多元价值和利益的衡平,以最终寻求手段与目的价值取向上的趋近。个人生物识别信息随着数据科技的高速发展渐趋复杂,数据信息的占有、共享、转让等产生的法律关系层出不穷,狭义比例性原则强调利益之间的衡量,能为抽象法律原则发挥作用提供标准。
第三,预防与救济并重的原则。在个人生物信息立法中,不仅应当重点涵盖个人信息应用及保护的内容,而且应当注重预防措施的规定。预防理念应当贯穿于个人生物识别信息立法的始终,预防措施是立法的重要组成部分。如在个人生物识别信息的收集方面明确地规定信息收集的合法性、合目的性,即从信息产生初始就进行预防,之后在信息的使用、存储、删除及监管方面的规定也要体现预防的理念。同时,个人生物识别信息的立法也需要规定健全的责任承担方式和救济措施,做到预防和救济并重。
世界各国对生物识别信息保护有专门立法保护模式和综合立法保护模式两种。(19)参见付微明:《个人生物识别信息的法律保护模式与中国选择》,载《华东政法大学学报》2016年第6期。前者是通过专项立法对个人生物识别信息权利进行法律保护的模式,典型代表是美国多个州颁布的生物识别信息隐私法案。(20)最为典型的是2008年美国伊利诺伊州颁布的《生物信息隐私法案》(Biometric Information Privacy Act,简称“BIPA”,这是美国境内首部规制生物识别技术的法案。该法案对具体的三种利用生物信息的类型进行了规制:一是初始收集个人生物信息时,需告知信息主体被收集的生物信息内容、收集后的利用方式、目的以及该生物信息的保留时间,且规定未经信息主体的书面授权不得收集相关生物信息;二是信息收集者应制定书面的隐私政策以便设定生物信息保留时间,若收集者与信息主体相联系的时间已满三年,或未满三年但收集信息的目的已达成,则收集者需销毁该数据;三是未经信息主体同意或法定情形,不得出售、透露个人生物信息。后者是将不同种类的个人信息纳入统一的个人信息保护法之下(其中生物识别信息往往作为个人敏感信息的一类),将行政、民事以及刑事法律的保护措施集为一法的立法模式。(21)同②。如欧盟《通用数据保护条例》(GDPR)、印度2018年《个人数据保护法案(草案)》、巴西2020年2月生效的《通用数据保护法》等。
借鉴国外立法例和我国的立法情况,有学者认为可制定专门性的个人生物识别信息保护法。(22)同②。专门立法可以在短时间内建立一套全面的个人生物信息保护框架,针对性强。涉及个人生物信息的保护和利用具有重大的现实意义及较高的技术要求,仅靠相关行政法规规章难以规制实践中的法律难题,因此应当制定高位阶的个人生物识别信息单行法。在立法层级上,许多国家均制定了具有较高法律效力的个人信息保护法,有效地规制了个人信息在利用和开发中可能存在的法律问题,基于个人生物识别信息的特殊性,针对当下越来越多的生物信息侵权案件的发生,建议制定一部单行法,用较高的位阶来提高法律效力,对侵害个人生物识别信息的行为方式、权利义务、法律责任等内容进行更全面的规定。也有学者认为,考虑到现实数据技术和理论的发展以及总体立法状况,个人生物识别信息所涉及的诸多理论问题尚未完全厘清,目前出台专门的法律还为时过早。(23)参见商希雪:《生物特征识别信息商业应用的中国立场与制度进路——鉴于欧美法律模式的比较评价》,载《江西社会科学》2020年第2期。
笔者认为,由于个人生物信息保护随着信息技术的发展而出现全新的问题,将来也会随着5G等技术的全面推广而出现新的表现方式,因此具有较强的不稳定性,人们对于生物识别信息的诸多内容目前还没有统一的认识,因此专门立法的难度大、阻力多。况且专门立法所涉的主体繁多、内容庞杂,不同主管部门和权利主体之间存在利益冲突与协调问题,这也是一般专门立法固有的缺陷,难以避免。因此,较为稳妥可行的立法模式为首先制定《个人信息保护法》,然后将个人生物识别信息作为其中的专章加以规定。作为一种敏感的个人信息,最全面有效的保护是制定个人信息保护的相关法律法规。(24)参见刘越:《论生物识别信息的财产权保护》,载《法商研究》2016年第6期。2017年3月的《个人信息保护法(草案)》第4至9条中,分别规定了合法原则、知情同意原则、目的明确原则、限制利用原则、完整正确原则、安全原则等个人信息处理和利用的基本原则,并将个人信息权的表现形式规定为信息决定权、保密权、访问权、更正权、可携权、封锁权、删除权、被遗忘权等具体的个人信息权利。然而《个人信息保护法(草案)》并没有专门针对个人生物信息进行特别保护和说明,在草案下一步修改中应当增加关于个人生物信息的专门性规定,这样不仅可以对个人生物信息有更明确和有针对性的保护,而且能够维护立法的统一和稳定,避免了就个人生物信息制定专门的、综合性立法所需要的立法成本。同时现有的《生物特征识别信息的保护要求(征求意见稿)》已经以国家标准的方式关注到个人生物识别信息的内容,个人生物识别信息相对于一般个人信息(包括个人敏感信息)有其特殊保护与处理规则,专业化立法框架可以参照目前国际和国内的行业标准指南,以此为技术标准出台更高层级的行政性文件和行业规范,为个人生物识别信息的保护提供专门化的制度保障,待各项立法时机成熟后再出台专门的法律法规。
大数据时代个人信息传播的深度和广度前所未有,个人信息泄露及滥用的复杂性、危险性和危害性加重,风险社会中法律的自由与安全价值在一定程度上形成了更加紧张的关系。在个人生物识别信息的开发与利用过程中,法律应当创建个体利益与社会利益之间的平衡机制。(25)参见李爱君:《论数据权利归属与取得》,载《西北工业大学学报(社会科学版)》2020年第1期。在民法、行政法和刑事法领域中,对于权利保护内容的选择、公权力与私权利界线的划分、入罪出罪门槛的界定等制度规则设计,都应当秉持保护和利用、自由与安全的利益平衡原则,划分个人生物信息的权利主体、使用者、研发者、管理者等不同利益主体的责权利。
由于个人生物识别信息更多地具有人格权的属性,因此《民法典》中关于人格权规定的内容是保护个人生物识别信息的主要民事法规范。在《民法典》人格权编涉及到对贞操权、人体组织器官遗体买卖、人体试验条件、个体基因的利用等敏感权利的立法规制,其中大多涉及到个人生物信息的内容或是其载体形式。由于个人生物识别信息具有更强的人身属性,侵权行为中的财产给付和赔偿数额较难认定,因此对个人生物信息无法进行有效保护。在个人生物识别信息的民法保护中,虽然人格权的保护方式有其正当性,但生物识别信息同时承载着财产利益,而财产利益在传统的人格权中往往难以得到保护。进入大数据时代以来,由于个人生物识别信息具有唯一性和超强的识别性,其财产价值不断被发掘出来,因此民法中应当引入对于个人生物识别信息的财产权保护功能。
将财产权纳入生物识别信息的保护框架,不仅能够促进个人生物识别信息技术的发展,亦能更好地维护国家利益和个人利益。从权利的保护方式看,侵害人格权通常不能适用财产损害中的完全赔偿原则,而财产权受侵害则可以获得完全赔偿,这对于保护生物信息权利人更加有利。同时,强化民法中的财产权保护还可以激励生物信息系统的研发与安全提升,促进生物信息保护技术的发展。个人生物信息的财产保护主要通过知识产权保护的方式实现,个人生物信息的财产利益可被视为知识产权的客体。需要指出的是,由于个人利益和公共利益之间可能出现矛盾,法律应当对个人生物信息的人格利益和财产利益的合理化使用提供明晰的界线。建议民法典的人格权编在将来完善时能细化个人生物识别信息的保护内容及侵权责任,将财产利益的取得、流转、使用以及人格利益的范围、保护方式等加以明确规定,不足部分可以通过制定单行法的方式进行弥补,形成了民法典与单行法的互动互补机制,使得法律规定灵活并完善,增强在适用中的可操作性。
由于行政法领域各部门立法名目繁多,部门利益和行业保护倾向明显,立法缺陷不一而足。但这些行政法规范在立法理念和具体内容设置上存在一些共性缺陷,影响了个人生物识别信息的使用和保护,需要修正或完善。应当合理划定行政公权力与个人生物识别信息权的边界,严格规范政府行为,明晰相关主体在个人信息处理行为中的权力以及责任范围。对于政府机关,公民提供给其的个人生物信息的真实性以及准确性更高,因此行政法规中对于个人生物识别信息使用的审核规定应当更加严格,行政机关使用目的和手段需具有必要性及适当性,符合比例原则。
第一,行政机关对个人生物信息数据实行限制性共享。实践中发生的大量侵犯个人生物信息的案件是由于大数据公司通过各种非法手段获取个人信息并打通数据,进行关联和深度挖掘处理然后直接买卖的,被害人难以控制他人采集自己的生物信息。因此对于不可再生的生物识别信息,无论公权力机关还是企业出于正当的职务需求使用还是商业企业需要使用,都必须高度克制和谨慎。对于一款有危害个人生物识别信息安全危险的APP软件,如果其没有其他显著的实质性非侵权用途和价值,则这款软件是非法的、不可推广使用的。由于个人生物信息的技术类别不同,共享的限制性程度也应当有差别体现。如人脸识别的便利性最高、安全级别也较高,指纹识别的便利性次于人脸识别,安全级别也稍逊,虹膜识别的便利性较低,但安全性非常高。行政法规及行业规范应当区别对待,制定细则。
第二,加强行政机关对生物识别信息的监管立法。监管机构对个人生物信息实体数据处理行为有审查权、许可权、调查权、检查权以及纠纷调处权等权力,便于实行个人生物识别信息的全流程管理。政府可统一建立生物信息认证库,为有生物信息识别需要的企业进行技术服务。目前在“智慧城市”“智慧小区”“智慧校园”等的建设中,电子身份(生物信息)代替传统身份证进行身份的验证,用阿里云、腾讯云、区块链技术等进行生物信息的技术保护十分必要。区块链技术作为一项新技术在民生使用中遇到了新的挑战,不仅受制于基础设施、网络技术等各种技术难题,还受制于相关科技产业立法和行政监管的滞后,因此尤其需要强化对于大数据、云计算、区块链技术等的监管立法。
第三,加强行政机关对商业应用领域的法律规制及救济。规范个人生物信息在企业商业行为中的使用,对企业利用互联网安全漏洞盗取个人生物信息或进行非法交易进行法律制裁。制定行业管理和企业运行负面清单,对生物信息产业进行有针对性地引导和监管,为生物信息相关产业发展提供公平竞争环境,避免社会伦理和安全风险。在司法救济方面,基于生物识别信息一旦受到侵害则结果难以弥补的特点,国外有判例对公民生物识别信息的保护采行为主义而非结果主义,(26)参见商希雪:《生物特征识别信息商业应用的中国立场与制度进路——鉴于欧美法律模式的比较评价》,载《江西社会科学》2020年第2期。侵权行为不以遭受实质损害为必要,只要发生了损害行为即可提起诉讼。
首先,从刑事立法的理念上看,刑法作为最为严厉的国家反应,所具有的保护法益和保障人权的双重机能尽管是不可偏废的一体两面,但经常处于矛盾之中。传统刑法重视“自由”的价值追求,风险刑法则侧重“安全”的价值取向。风险社会中,由于风险的不可控性大大增强,社会治理的手段也从事中、事后应对逐渐走向事前预防。(27)参见刘艳红:《公共空间运用大规模监控的法理逻辑及限度——基于个人信息有序共享之视角》,载《法学论坛》2020年第2期。刑事法律保护机制是个人生物识别信息权利保护的最后防线,在生物识别信息的刑事立法上,只有当隐私保护危害了公共安全时,才能够以保护公共安全为理由放弃隐私保护,即只有在隐私保护本身不正当的情况下,安全才能获得超越隐私的优位性。(28)同②。刑法保护也应当坚持自由与安全的价值衡平,在利益发生冲突且只能选择其一的状态下,不能以安全大于自由的标准一概而论,而应当从社会整体利益出发,进行法益大小的权衡。
其次,行政法与刑法内容的衔接和协调是确定罪名的关键。个人生物识别信息安全相关罪名分散规定在刑法分则各个章节中,其中《刑法》第285条规定的非法侵入和破坏计算机系统罪、第286条规定的拒不履行信息安全管理义务罪、第287条规定的侵犯公民个人信息罪是最主要的罪名。虽然没有明示个人生物识别信息的内容,但作为个人信息的组成部分,仍可以直接使用。这些罪名大部分都以空白罪状的方式表示,各种行政法规和行业性规范等作为前置性规范成为了入罪的前提判断,即行政违法性是刑事违法性的前提。(29)参见张勇:《妨害疫情防控行为的刑法适用之体系解释》,载《政治与法律》2020年第5期。因此,个人生物识别信息的罪名入罪的关键不在于法益类型的判断而是行政犯性质的确认。如《刑法修正案(九)》将侵犯公民个人信息罪的前置条件“违反国家规定”修改为“违反国家有关规定”,扩大了该罪的入罪边界,在社会风险增加和行政犯膨胀的当下,不宜过分强调入罪功能,而应当在个人信息的共享和保护之间寻求平衡。由于“国家有关规定”这一前置性规定中的行政法规范各有立法保护侧重,因此刑法中应当考虑立法保护目的,进行罪责刑相适应的判断。
再次,个人生物识别信息犯罪的主观违法性认识。由于侵犯生物识别信息犯罪为行政犯,因此行为的违法性认识一般是对行政法规的认识,而对于行政法规的违法性认识的程度、内容、证明标准与刑法上的违法性认识存在区别。作为犯罪构成要件的主观认识应当是对于刑法规定的认识,因此行为人仅具备行政法认识而不具备刑法认识是不能作为入罪的条件的。由于大数据背景下个人生物识别信息的技术与应用发展日新月异,个人或组织对于相关行为的违法性认识可能滞后于行政法规的专业化规定。(30)实践中饱受争议的“大学生掏鸟案”、“天津摆摊大妈气枪案”等案件,说明普通民众对于行政法中违法认识缺失,导致了刑法可罚性程度大打折扣。因此对于罪与非罪的确定,需要司法人员准确判断行为人的主观要件,而非将违法性认识作为僵化标准。
对个人生物识别信息的法律保护“既需公法保护,也需私法保护”的立法意识会逐渐增强,是跨学科的、综合性的法律问题。科技的发展给社会带来了全方位的冲击,对人们的认知水平、思维方式和伦理界线的改变持续存在,依靠科技解决科技问题和依靠法律规范科技发展同等重要,对个人生物信息权进行相关立法规划和研究任重道远,构建和完善符合中国实际的个人生物信息保护制度是新科技时代法律的重要使命。我国需要选择适应目前法律体系现状和社会现实的立法模式,并充分发挥现有各部门法的功能,构建层次分明、内外协调的个人生物识别信息安全保护的法律体系。