个人生物识别信息保护制度完善
——以人脸识别技术为例

湖南工商大学法学院 李玥

一、问题的提出

人脸识别属于现阶段辨别个人身份信息的一项新型技术。人脸识别技术以非接触性、主体唯一且不易复制为主要特征，它无须携带、易于采集、成本低廉，信息采集者利用普通摄像头等装置，运用面部识别的软件和相关算法，不需要接触就可以进行面部信息的抓取与存储。然而，新技术背后存在的问题也在日渐凸显。2019年一款换脸软件在朋友圈、微博等各大社交媒体平台迅速刷屏，用户只需要提供一张正脸照片，就可以实现与各种视频中的人物进行换脸。但是，在短短三天内这个APP就因种种问题被迫下架。2019年10月,出现了人脸识别这项技术无法有效区别取件者本人和个人照片，导致快递被他人利用照片取走的问题。2021年3·15晚会爆出，多家公司通过监控摄像头获取到店消费者的面部数据，进而对收集到的数据展开分析和处理。2021年4月9日，“国内人脸识别第一案”二审宣判，受到了各个阶层对这一项识别技术产生的问题的极度重视。这种生物识别技术通过和相应的技术进行结合起到作用，这也就改变了个人生物信息的不可复制性和不可变更性。人脸识别的非接触性也让个人信息侵权问题更容易发生。相对于其他个人信息，人脸识别技术应用下的存储、传输中存在严重的隐私侵权和安全风险，通过这项技术采集到的信息非常容易别他人利用，假如这类问题出现，就可能会对信息主体造成永久性伤害和难以弥补的损失。

二、我国个人生物识别信息保护立法现状

我国目前对于个人生物识别信息，相关法律提及到的有《身份证法》《刑法》《刑事诉讼法》《民法典》《消费者权益保护法》，以及《外国人入境管理条例》《保安服务管理条例》《征信业管理条例》等行政法规，此外还包含了部分效力不高的规章或一些规范性文件。按照《居民身份证法》《刑事诉讼法》《外国人入境管理条例》《公安机关办理行政案件管理规定》等法律规定，公安机关可以在身份证管理、出入境管理、办理行政案件、刑事案件内通过指纹等各种识别技术展开工作，如果泄露将承担行政处分、追究刑事责任。同时，采用确定相关主体所具有的权利义务和责任对其相关的识别数据展开保护。从《民法典》中可以了解到，对于个人数据如果进行处理的相关原则，以及相应的权利和义务内容的确立等；在刑事领域，采用确立侵害他人信息的刑事规定来对识别信息展开保护，其中比较有代表性的是在《刑法》中规定的与侵害他人信息罪相关的内容。还有就是确立相关识别数据在采集、分析以及使用等各个过程中的规定。相对集中在信息管理领域，《网路安全法》规定了网络运行者收集、使用个人信息的规则，网络运行者、网络监管人员以及其他组织和个人不得利用个人信息从而向他人进行非法交易或获取等内容。另外，我国立法也发现了生物识别数据和个人信息有一定的差别，从而对生物识别信息做出了相关的特殊规定。还应该要引起关注的是在2020年三月份发布的《信息安全技术个人信息安全规范》中，特别规定了对于识别信息的采集和保存，确定了不能保存初始图片信息。

结合上述表明，在我国虽然已经有了关于个人信息在生物识别这一块的相关规定，但是立法相对而言比较不集中，没有办法实现保护相关信息的目的，面临着以下问题：第一，独特属性未突出，针对性规定缺失。第二，立法理念不明确，表达不清晰。第三、实际内容不清晰，还没有建立其系统的保护。第五，保护的对象较为狭隘，适用主体较为单一。

三、我国个人生物识别信息保护完善建议

（一）确立个人生物识别信息保护的特殊法律原则

由于个人生物识别信息保护这也是一个较新的模块，因此对其的立法过程中，确定了特别的法律原则，由于其涉及到多重利益关系，尚无成熟的立法经验，如果过于冒进或者退缩都可能带来负面影响，所以要依靠立法原则来对引领其立法以及适用提供一定的帮助，并且还能够有利于解决法律漏洞，增加法律条文的弹性与包容性。在遵守法律规定的同时，依据识别信息的独特属性，还需要确立相应的特殊原则。应当注重“充分信息保护基础上的有限开发利用”的立法理念，参考各国经验，做出下述特殊原则：第一、禁止原则，处于保护信息安全的目的，除非法律允许，在原则上就不允许以识别面部为目的而进行的采集、保存、传输、分析、利用或者泄露相关信息。第二、明示同意原则，在不违法的前提下，对生物识别信息进行采集前，需要特别的向被收集者说明做出采集识别信息的相关目的以及方式和保存时长等，必须获得信息主体的明示同意。三是法定必需原则。只有在有法律明确规定的前提下，才能够无需获得被采集者的同意而对其识别信息进行处理。法定情况时，需进行风险评估，且应当符合“比例原则”的要求。综合来看，下述情形可考虑作为法定情形：为履行工作职责必需；为实现实质性的公共利益与维护公共安全必需；对于被采集者或其他公民的核心利益必需；协会、基金或其它非盈利组织已经采取了恰当的保护措施而进行的正当性活动必需；对于预防性医学或临床医学目的必需等。

（二）采用个人生物识别信息的综合立法模式

对个人生物识别信息的保护在进行立法的过程中所利用到的、和调节范围相关的法律形式也被成为立法模式。这一模式对于达成信息保护的目的有着非常重要的影响，是立法过程中最应该处理的关键问题。这一立法模式的选择需要在结合其出现原因，发展历程以及实际困难的前提，再基于我国的立法习惯，实际需要和法制演变现阶段的情况等做出中和的判断，在对于大众的发展以及个人的保护之间找到最佳的平衡。从我国信息立法的传统与发展趋势看，都是通过综合立法这一模式，和专门立法模式进行比较，它更有助于解决中国分散立法存在的问题：一是综合立法模式层级清晰体系完整。对于生物识别信息采取的立法保护也是归纳在了个人信息保护的系统之中，通过综合立法可以在更加清楚个人信息保护的情况下，确立对于识别信息的保护，进而实现个人信息保护法律体系的完整性。二是保护方法和措施较为系统。一方面综合立法模式不局限于单一领域，对识别信息的保护有着更高的适用性。并且保护方法与保护措施更为全面，包括行政法保护、民事救济以及刑事制裁等领域。三是综合立法模式有利于法律适用。个人生物识别信息在体系上不仅要符合一般个人信息在各个环境的基本理念和规则，也需要遵循其特殊的规则。综合立法模式有助于实现一般个人信息与特殊个人生物识别信息的体系协调，避免分散立法引发的体系违反，便于法律适用。

（三）设置多元化保护机制

为实现保护的充分性，需要从刑事、行政等多个方面一起打造相关的保护体系。和民事以及刑事相比较，行政在保护机制方面有着预防、高效便捷等优势。在行政保护机制方面，首先应当设置独立的监管机构。伊利诺伊州设有“生物识别信息隐私调查委员会”，印度设有“数据保护局”，为解决分散化、多头化的监管机构带来的监管难题，我国应当明确网信办的独立监管地位，并在其内部设置“生物识别信息监管处”，实现统一监管。同时划清相关监管部门之间的机构职责，达到各个部分共同监督管理的目的，其次确定相关机构的职权。同时监管机构应当根据不同应用场景的风险设置不同的监管方式，通过风险预防为依据，在对识别信息在各个阶段进行结合，通过行政处罚、行政许可等强制性监管方式与行政约谈等非强制性监管方式的结合，达到让其生命周期处于一种动态的监管之中。最后，个人生物识别信息的保护需要专业能力与技术能力作支撑，因此应当配置具有行政专长的复合型监管人才，并通过聘请专家、顾问等方式弥补监管机构专业技术能力的不足，提升监管效能。

在民事保护机制方面，其关键就是打造侵害赔偿的体系。所以在进行立法时需要规定识别信息在各个环节、不同信息处理主体的法律责任，结合“隐私风险”确定差异化的法律责任体系。这类侵权通常都是“程序性违法”，在收集、使用个人生物识别信息之前没有履行告知义务、取得确定的同意、泄露相关信息而导致的损害一般也比较难以确定，因此最重要的问题是应该怎么样明确其他程序性权利被侵害的结果。对此可以借鉴域外国家的经验，也就是不但要确立过错责任原则，同时也需要进行举证责任倒置，以化解程序性违法行为的损害赔偿难题。

刑事保护机制通常被认为是这几种保护方法中最后的一道关卡，一般依靠规定对应的刑罚来做出保护。美国在1989年间确定了身份盗窃这一刑罚，其中牵扯到有意转移或者利用识别信息从事非法活动的举动，之后在2003年发布了《身份盗窃处罚增强法》；在韩国，《个人数据保护法》内“非法处理唯一标识罪”。根据我国的相关语意，根据法律保留以及罪刑法定原则，刑事处罚只能由刑法规定，所以在损害识别信息到了严重地步时，能够根据“指引条款”，规定“侵犯公民个人生物识别信息情节严重，构成犯罪的，依据《刑法》第253条侵犯公民个人信息罪追究刑事责任”。