童云峰,汪焱梁
(1. 东南大学 法学院,江苏 南京 211189;2. 山东大学 法学院,山东 青岛 266237)
从最初的指纹识别到如今的虹膜、基因、声纹识别等,生物识别技术不断升级和推广,一方面推动身份识别方式的优化,另一方面使生物识别信息面临诸多风险,在实践中引发巨大争议。生物识别信息以人的身体为根据,一旦遭受侵害会造成比一般信息泄露更严重的后果。但长期以来,在实践中缺乏有效的监管和法律规制导致生物数据存在安全漏洞,加上生物识别信息潜藏着巨大的商业价值,信息泄露和身份盗窃的风险也随之增加[1]。运动员的公众性及其附带的体育商机使其生物识别信息更具利用价值,遭受侵害的可能性更大,其遭遇的风险也呈现泛在化。
随着数据分析在体育行业的流行,体育联盟和运动队开始利用可穿戴技术收集运动员生物识别信息,在美国国家橄榄球联盟(National Football League,NFL)、美国职业棒球大联盟(Major League Baseball,MLB)、美国国家篮球协会(National Basketball Association, NBA)中,球员可能会佩戴可穿戴设备,相应的健康识别信息也因此被收集[2]。一些运动员利用运动器材中的传感器技术,获取比赛中的实时数据,从而有针对性地改善自己的运动技能。运动员生物识别信息日益商品化,可以作为梦幻体育(Fantasy Sports)游戏订阅、体育博彩信息和3D打印商品的标的,体育联盟也希望从中获得巨大利益。运动员生物识别信息的利益性使其被侵犯的事件日益多发。例如,2005年美国职业篮球运动员库里被公牛队强迫进行基因测试,以确定其因心脏猝死的可能性,库里拒绝参加并向法院提起诉讼;国际田径联合会(International Association of Athletics Federations,IAAF)曾规定,任何睾丸激素水平高于正常女性的运动员,其女性或双性人的身份必须得到法律的承认,且必须将体内的睾酮标准降到5 nmol/L以下,才能继续参加400 m跑、800 m跑、1 500 m跑、400 m跨栏、4×400 m接力跑等女子项目的比赛,这迫使女性运动员不得不接受基因检测以验证身份[3]。2015年日本东京奥运指定培养运动员信息泄露事件、2019年中国漳平(永福)樱花国际马拉松赛运动员信息泄露事件等证实运动员的个人信息(包含生物识别信息)泄露已成为国际、国内体育比赛的隐患,运动员生物识别信息保护应得到充分关注。
在国外,生物识别信息因其敏感性而受隐私法的高度保护,运动员对其生物识别信息的使用也有更大的控制权,这在信息商品化时代更为明显,可防止运动员的数据权益受到侵害[4]。我国法律对运动员生物识别信息的规制呈现如下特征:①《中华人民共和国民法典》(以下简称《民法典》)和《中华人民共和国刑法》(以下简称《刑法》)等基本法律未对生物识别信息特别规制,仅有抽象概括;②《中华人民共和国体育法》(以下简称《体育法》)未对运动员生物识别信息有所指涉。同时,目前国外对运动员生物识别信息保护的研究较为丰富,而我国对此及其相应的体育法益价值的研究相对较少。由此引发多重思考:运动员生物识别信息是否需要特殊保护?在现有法律特别规范阙如的背景下,能否对运动员生物识别信息予以特殊保护?应当如何构建运动员生物识别信息的法律保护体系?本文以上述问题为中心,分析运动员生物识别信息保护不足的现状和原因,以法益维度和时间维度为坐标轴,在既有法律体系下构建运动员生物识别信息的保护模式,以期优化我国的运动员生物识别信息保护。
运动员生物识别信息由运动员、生物特征和数据三部分组成,对其准确把握需要考察生物识别领域的使用定义、体育行业中的惯用术语、法律和法院使用的定义以及合同语言中使用的定义[5]。正因运动员生物识别信息综合了生物、体育和法律等多重因素,使其保护在我国面临诸多困境,就法律领域而言,主要包含以下两方面原因。
生物识别信息涉及人身、财产、隐私等多种权利,对其保护不能单纯依靠传统的财产权、隐私权等保护模式,这已成为多数学者的共识。法律因其稳定性而固有滞后性,一旦遭遇飞速发展的数据技术,无论多么合宜的规制手段都可能偏离预期方向[6]。新技术的迭代更新与法律的稳定性之间多有龃龉,导致法律并不能及时回应社会需求。
国外生物识别信息的保护早已启动,目前立法模式主要有两种:①专门立法模式,以美国伊利诺伊州《生物识别信息隐私法案》(Biometric Information Privacy Act,BIPA)为例,该法列举了生物识别信息的主要类型,即视网膜或虹膜扫描,指纹、声纹或手、脸几何扫描等。②综合立法模式,即将不同种类、级别、性质的个人信息纳入统一的个人信息保护法,以欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR)为例,该法将生物识别信息定义为“对自然人身体、生理或行为进行一定数据处理所得的能识别特定自然人的信息,如面部图像或指纹数据”。
我国直接指涉生物识别信息的规范较少,且呈现软法先行的态势[7],如2020年版《信息安全技术 个人信息安全规范》(以下简称《规范》)和《公共安全人脸识别应用图像技术要求》等。一方面,《规范》只强调生物识别信息属于敏感个人信息,列举了生物识别信息(包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等),并未明确生物识别信息的内涵。另一方面,软法并无法律强制力,也容易受到学界“法外”或“非法”的指摘。在实践中,多需以硬法为依托才能实现软法治理的目的。
然而,对于生物识别信息的法律保护,以刑法和民法及其司法解释为主的既有硬法体系并无积极回应。例如:《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息解释》)仅提及了“健康生理信息”,这与生物识别信息不能完全等同,实际上,生物识别信息包括行为特征和生理特征两方面的信息,而只有生理特征才有可能被解释为健康生理信息的范畴;《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《人脸识别解释》)明确了侵犯人脸识别信息的诸多法律责任,然而人脸识别信息仅是生物识别信息中的一种,该规定并不能直接适用于所有生物识别信息;《民法典》只在第1034条关于公民个人信息的定义中简单列举了生物识别信息。此外,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)虽然指出生物识别信息属于敏感个人信息,却未过多涉及其特殊保护的规则。概言之,一般公民生物识别信息的内涵尚不明确,而自身具有特殊性的运动员生物识别信息的内涵更是如此。因此,需要先厘清运动员生物识别信息的内涵,才能进一步实现法规范的周延涵摄。
宏观上,运动员生物识别信息是基于运动员的生物特征所形成的能够识别运动员个人及其身份的数据信息。微观上,可从4个方面具体界定运动员生物识别信息:①从生物识别领域看,生物特征是独特的生理(如解剖)特征,包括指纹、血管图案、虹膜图案或其他在没有外力影响情况下不变或不可改变的特征;行为特征是一个人心理构成的反映,如随时间变化的言语模式或特征。②从体育行业惯用术语角度看,体育行业比较注重体育信息、实时数据和统计数据,运动员生物识别信息属于体育信息,既包含实时数据也包含非实时数据,且被包含在统计数据的定义中,成为体育组织或企业衡量运动员身体状况的重要依据。③从法律和法院使用的定义角度看,运动员生物识别信息属于人格要素范畴,而其具有的商业价值是其人格要素或信息本身所赋予的竞争资源的外化。人格要素的商业化利用受到财产法的制约,但并未因此改变生物识别信息这一人格要素的内在属性。④从合同语言中使用的定义角度看,运动员生物识别信息可以成为合同的标的,运动员对其享有许可、转让的权利。
运动员生物识别信息未被妥善保护,既有生物识别信息保护的共性原因,也有运动员这一特殊群体的个性情由。
(1)体育法律并未涉及运动员生物识别信息保护。《体育法》通过规定“在体育事业中作出贡献的组织和个人,给予奖励”以及“国家对优秀运动员在就业或者升学方面给予优待”,认可运动员获得奖励和优待等财产性权利,对与运动员关系更为紧密的肖像权、隐私权等人身性权利却并未涉及。然而在体育实践中,体育团队越来越多地以收集运动员生物识别信息的方式确定哪些运动员可以参加或何时参加比赛,一旦滥用数据会招致诸多风险,运动员可能会被运动队除名或影响收入[8]。因《体育法》直接规制阙如,运动员生物识别信息失去了可兹保护的依据。
(2)承载于运动员之上的体育法益未被有效识别。“法益是在以个人及其自由发展为目标进行建设的社会整体制度范围之内, 有益于个人及其自由发展的, 或者是有益于这个制度本身功能的一种现实或者目标设定。 ”[9]体育法益是在体育自治的框架内构建的,体育自治源于参与体育运动的成员对于自己部分权利的让渡。同时,体育赛事规则及技术的专业性也要求体育领域自治,这是促进体育发展的题中之义,但体育法益的构建绝非完全依赖体育自治,而是需要体育自治与体育法治通力合作。《民法典》第1176条的规定即为例证,该条将“自甘风险”作为参与文体活动的免责事由。体育活动的游戏规则不宜完全考量司法因素,遵循体育自治的原则并参照体育法治的要求,对于体育竞技的发展以及体育活动的展开极具裨益。然而,在现有研究和法律规定中对于体育法益的构建鲜有涉及,这是运动员生物识别信息保护的一大缺憾。体育法益实际上包含个人法益和集体法益两个维度,前者保护体育比赛中个人的权益,后者保护体育比赛的秩序和正当性。保护集体法益的根本目标仍是保护个人法益,对于体育法益的忽视或误解会导致运动员个人法益保障不恰,这是运动员生物识别信息保护失衡的一大原因。
(3)我国运动员的身份范围处于模糊状态。国务院1991年《禁止使用童工规定》将运动员界定为专门从事某项体育运动和参加比赛的人员,但该规定已被废止,2002年《禁止使用童工规定》已无这一界定。《运动员技术等级管理办法》第3条规定,“本办法所称运动员,是指参加总局颁布的各项目《运动员技术等级标准》中规定比赛的正式参赛人员”;第4条规定,“等级称号分为:国际级运动健将、运动健将、一级运动员、二级运动员、三级运动员”,但该办法并未直接界定运动员的范围,而是再度引证其他规范。我国体育领域的基本法《体育法》也未对运动员的范围予以界定。由此引发的问题是,具有何种特征的人才能被称为运动员,进而得到法律的特殊保护?从广义上理解,凡是经常参加体育运动的人均可称为运动员,但这显然并非法律的规范表述。从狭义上理解,只有以运动为主要收入来源的才是(职业)运动员,业余运动员不是法律规范上的“运动员”。
本文涉及的运动员限于从事某项体育运动,经过严格、系统和科学的训练,技术达到一定水平(一般是三级运动员以上水平),以运动为主要收入来源的正式参赛人员。首先,这一限定符合《运动员技术等级管理办法》的基本要求;其次,只有在这一限定范围内的运动员生物识别信息才会涉及重大体育法益,才需要特殊保护,除此之外的运动员生物识别信息按照一般公民的生物识别信息保护即可;最后,此范围内的职业运动员自身具有较强的商业价值,其生物识别信息涉及公开权(right of publicity),急需法律特殊保护。
运动员生物识别信息既归运动员个人所有又属于体育领域,同时具有个人性和公共性特征,故而相较于一般个人信息更需特殊保护。在当前我国法律体系并无直接指涉的背景下,需借助传统法益体系并以体育法益为方向,形塑运动员生物识别信息的法益格局。
运动员尤其是明星运动员易受到公众和媒体的高度关注,其公众性使其生物识别信息具有特殊性,需要法律强化保护。
(1)运动员的公众性使其生物识别信息更容易被侵犯。在信息商品化时代,获取运动员生物识别信息已不仅是为了满足好奇心或窥探隐私,更多地是通过非法使用而获利。职业体育联盟经常利用可穿戴技术获取运动员生物识别信息,而这些信息会成为梦幻体育游戏、体育博彩和体育运动预判的重要内容。运动员经常暴露在媒体镜头之下,其生物识别信息被多方关注且更容易被获取。运动员对自身生物识别信息无法绝对控制,会受到一定限制,这在《个人信息保护法》《人脸识别解释》等法律文件中均有迹可循。毋庸置疑,承认运动员生物识别信息受公共利益的限制对于社会发展和新闻报道确实有利,但为了避免与公共利益无关的信息被披露,对与公共利益无关的运动员生物识别信息的法律保护不能因其公众性而有所限缩,相反更应强化保护。
(2)运动员生物识别信息的特殊性决定了对其保护不能减弱。运动员的公众性使其隐私权的保护比一般人要弱,但生物识别信息与一般隐私不同,生物特征几乎不可能被伪造,而从人的身体中提取的信息是身份识别的独特标记[10],与个人具有排他的锁定关系,难以脱敏和清洗[11]。生物识别信息具有以下特殊性:①唯一性。识别的主体具有唯一性,生物识别信息专属于特定的自然人,不可转让;识别的内容具有唯一性,生物识别信息是对人体的生理或行为特征进行的识别,对于每一个自然人都是唯一、客观的。②不可更改性。生物特征可能是先天的,通常是不可变的,包括生理特征,如解剖特征或基因组序列等;生物特征也可能是行为的,反映了个人与环境之间的相互作用[12]。③敏感性。《个人信息保护法》第28条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。生物识别信息是敏感信息的典型代表,一旦遭到泄露、盗窃等侵犯,会造成永久持续、无法补救的严重后果,甚至可能产生严重的歧视。例如,美国全国大学体育协会(National Collegiate Athletic Association,NCAA)要求对运动员的镰状细胞特征进行检测,并宣称其目的是实现运动员利益最大化,然而该举措遭到较多运动员抵制,这不仅是因为信息可能会被泄露,更因为镰状细胞特征的检测结果可能会导致对非洲裔美国人的歧视,因为他们患这种疾病的风险最高[13]。上述属性决定了对运动员生物识别信息的保护只能强化不能减弱,然而不断发展的体育技术与法律保护之间存在明显的“剪刀差”,使得运动员生物识别信息并未得到妥善保护,因此美国学者辛雷姆(Wilfred Synrem)[14]强调,针对运动员的数据保护立法需求很大。
(3)生物识别信息关涉运动员的公开权。运动员的隐私权是运动员对自己私人生活、私密空间、私密活动和私密信息,抵御他人刺探、侵扰或泄露的权利;公开权从隐私权中发展而来,主要是因隐私权不足以应对个人身份被盗用的事实。美国第二巡回上诉法院法官Frank在1953年的Haelan v. Topps Chewing Gum案中明确提出公开权的概念[15]。美国《反不正当竞争法重述》将其定义为禁止未经同意使用一个人的姓名、肖像或其他身份标记进行交易,避免个人身份的商业价值被盗用[16]。即个人控制其身份的商业用途所固有的权利,它的损害判断标准以个人身份的商业价值是否受到商业损害来衡量。隐私权和公开权存在明显区别:前者是人格权,更是一种消极防御的权利,一旦被侵犯则需承担侵权责任;后者是一项财产权,也是一种积极使用的权利,若被侵犯既可能适用《民法典》侵权责任编也可能适用合同编等规则处理。虽然大多数美国法院认为公开权属于每一个人,但因仅有名人的信息才有较大商业价值,故往往只有名人才享有公开权[17]。
公开权是美国法律上的概念,我国法律虽未明确规定公开权的概念,却包含公开权的内容,如《民法典》第993条规定,“民事主体可以将自己的姓名、名称、肖像等许可他人使用,但是依照法律规定或者根据其性质不得许可的除外”,这实际上是公开权的一般规定。在此基础上,《民法典》第1035条进一步规定,征得自然人或其监护人同意,可以处理其个人信息。在我国,若信息处理者通过给予报酬获得运动员生物识别信息使用的授权,则被法律认可,而这正是运动员对自己生物识别信息享有公开权的体现,也说明运动员拥有处置个人生物识别信息并获取财产利益的权利。
生物识别信息反映了公开权范围内的品质、活动、游戏信息和统计数据,因此一般被认为包含了运动员的公开权,违规收集则会侵犯运动员的公开权。例如,在Gionfriddo v. MLB案中,原告(运动员)起诉MLB在节目和网站中使用他的姓名和数据是未经允许的,侵犯了其公开权。美国加利福尼亚州上诉法院考虑了被告使用原告身份、在商业等方面使用原告姓名及相似利益、缺乏知情同意、造成伤害4个要素,同时注意到棒球爱好者对获得棒球有关数据有极大兴趣,经权衡认定上述使用行为并未侵犯其实质权利。然而这仅是针对姓名等普通信息,若为生物识别信息,则因具有极强的人身性,运动员对其享有实质竞争性利益,需要特别保护[18]。尤其在运动员生物识别信息日益商品化的背景下,需采取措施确保信息收集、利用的各方当事人利益得到均衡,为防止运动员生物识别信息权利被侵蚀,需赋予运动员对自身生物识别信息更大的控制权。
(4)运动员生物识别信息涉及体育法益。体育法益是以体育比赛管理秩序为基础,并以维护体育比赛活动中各项权利为目标的整体性法益。运动员公平比赛权、运动员比赛过程中的生命健康权、观众观看真实比赛权等都存在《宪法》和《体育法》上的依据。我国《宪法》第21条第2款规定,“国家发展体育事业,开展群众性的体育活动,增强人民体质”;《体育法》第5条规定,“国家对青年、少年、儿童的体育活动给予特别保障,增进青年、少年、儿童的身心健康”。侵犯运动员生物识别信息不仅侵犯了其个人权利,也会侵犯其体育法益。如:行为人盗换运动员的人脸识别信息,使运动员无法通过安检刷脸系统,导致延误比赛时间而被迫弃赛;体育团队通过非法途径获取对手运动员生物识别信息,了解其身体或训练状况以获取竞争优势,继而影响比赛结果。上述行为既侵犯了运动员的个人信息,也破坏了体育比赛秩序,更侵犯了运动员公平比赛权和观众观看真实比赛权。对侵犯体育法益这一要素,需要法律特别规制。
一言以蔽之,对于生物识别信息的保护不应因运动员具有公众性而有所降格。运动员因其公众性经常暴露在媒体镜头之下,其生物识别信息更容易被侵犯,而在运动员个人权利受到侵犯的同时也会侵犯体育法益,造成的损失也更为严重,需要更为特殊的保护。
从法益维度分析,运动员生物识别信息在不同场景下可能被归入个人信息、隐私权、知识产权和数据等法益的保护范畴。
(1)以个人信息法益保护为基础。生物识别技术使身体信息化,导致大量信息被挖掘,且这些信息高度敏感。生物识别信息在欧盟和日本被作为特殊种类的个人数据进行规制,美国则将其作为特殊敏感信息进行保护[19]。《民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 ”可见,《民法典》将生物识别信息纳入个人信息的保护范畴,是我国最先正面回应生物识别信息属性的法律。理论界也普遍认为,生物识别信息泄露会给信息主体带来重大伤害,应将其纳入敏感信息的保护范畴[20]。2021年颁布的《个人信息保护法》进一步明确规定“敏感个人信息包括生物识别信息”,这一属性界定与美国基本一致,深具现实意义。因此,运动员生物识别信息保护应以个人信息法益保护为基础,并适用有关敏感个人信息的特殊法律规定。
(2)以隐私权法益保护为切点。《民法典》第1034条第3款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。 ”因此,个人信息分为私密性个人信息和非私密性个人信息,个人信息与隐私权之间关系密切,其交叉部分即为私密性个人信息(图1)。私密性个人信息的界定主要参考其与自然人人格尊严和人格自由等人格利益结合的紧密程度[21],生物识别信息是以自然人的生理特性与行为特征为内容的信息,与信息主体具有极强的人身依附性,应为私密性个人信息的一部分。敏感个人信息和私密性个人信息存在交叉,属于个人信息不同区分标准下的产物,生物识别信息不仅是敏感信息,也是私密信息,对其保护具有特殊性。
图1 个人信息与隐私权的关系Figure 1 Relationship between personal information and privacy rights
在现有法律下,生物识别信息总体上适用个人信息保护的一般规则,若符合隐私的构成要件,则应优先适用隐私权保护,构建特定类型的补救制度以实现追索权[22]。保护运动员的隐私型生物识别信息,既是防止对其私人生活的入侵,也是保护其生物识别信息的商业价值。运动员生物识别信息甚至可能成为体育博彩的赌注,如在篮球比赛的最后一秒,某运动员有个投篮机会,那么他此时的心率是多少可能会成为赌徒们的竞猜目标[23]。正因运动员的隐私型生物识别信息具有商业和体育价值,运动员对其享有公开权[24]。公开权是隐私权和财产权交织的产物,即运动员有权控制其生物识别信息的商业用途,那些未经允许擅自公开的行为需要承担侵权责任。
(3)以知识产权法益保护为视角。数据已成为“互联网领域的新货币”,数据收集的增加在某种程度上可与价格的增加相比较[25]。生物识别信息是解锁人体密码的钥匙,携带大量与人身有关的数据,具有极高的商业价值。以俱乐部为主的管理者将运动员不为公众所知悉的生物识别信息(如人脸、声纹等)进行收集,并采取保密措施以获得市场竞争优势和商业利益。此时运动员生物识别信息符合商业秘密的构成要件,应作为商业秘密并纳入反不正当竞争法的保护范畴。例如,美国国会2016年通过了《保护商业机密法案》(Defend Trade Secrets Act,DTSA),帮助美国企业保护商业秘密。美国四大职业体育联盟拥有大量运动员生物识别信息,这些信息既受DTSA法案保护,也获得了联邦和州有关商业秘密特别法的保护[26]。此外,根据美国联邦法律,商业体育联盟理论上可以主张专利权、商标权和版权3项知识产权[27]。
不仅如此,著作权法保护软件和程序,用于收集运动员生物识别信息的软件可能被数据公司以合同形式授权体育俱乐部使用,虽然数据公司存在版权诉求,但在美国,合同内容会将收集运动员生物识别信息的作品权利赋予俱乐部[28]。因此,如果运动员生物识别信息的管理者对信息以具有独创性的选择或编排进行了汇编,便有可能成为原创性汇编作品,应归入著作权法保护体系。基于此,著作权法中关于技术措施的规定可以将故意避开或破坏技术措施以获取运动员生物识别信息的行为纳入其规制范畴。
(4)以数据法益保护为兜底。《中华人民共和国数据安全法》(以下简称《数据安全法》)第4条规定:“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。 ”可见,数据在我国法律体系中已作为独立的法益受到保护。现行刑法中非法获取计算机信息系统数据罪与破坏计算机信息系统罪均属于数据类犯罪,以此对计算机信息系统数据进行保护。生物识别的背后是互联网二进制的运行逻辑,将人脸、指纹等生物识别信息转化为“0”与“1”的形态存在。数据以二进制代码的方式呈现信息内容,因此生物识别信息以数据的形式进行存储。但并非所有数据均属于前述罪名的规制范畴。从《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机解释》)第1条第1项的规定看,上述罪名的数据主要指以支付结算、证券交易、期货交易等网络金融服务为目的的身份认证信息[29],但也有学者[30]认为,本条的第5项“其他情节严重的情形”为数据产品的保护提供了依据。生物识别技术虽然是为了满足身份识别的需要应运而生,但运动员生物识别信息却并非总是以网络金融服务为目的,因此依据第5项规定,将其作为数据产品进行保护确有可行性。
(5)以构建体育法益保护模式为方向。体育法益的核心为体育的完整性[31]。现实生活中运动员生物识别信息可能是参加比赛的通行证,一旦被更改或泄露会影响赛事的正常进行。此外,体育法益的完整性要求平衡保护运动员、管理者等各主体之间的合法权益[32]。为直接保护体育法益的完整性,需对各式主体施加特定义务:①以俱乐部为主的信息控制者不得泄露、滥用运动员生物识别信息,同时还应采取相关保密措施保障信息安全;②社会媒体合法获取生物识别信息后应做脱敏和去识别化处理,进行其他任何牟利使用均应取得运动员的同意,否则须承担相应的法律责任;③社会公众获取或牟利使用运动员生物识别信息应征得其本人同意,且需对被获取的生物识别信息尽到保密和管理义务。《个人信息保护法》第26条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。 ”具体到体育领域,在体育比赛场所等公共场所获取运动员生物识别信息应遵守上述规范,在体育比赛期间,非基于比赛和公共安全之目的,任何人不得获取、公开、使用运动员生物识别信息。
总之,对于侵犯运动员生物识别信息的行为,轻者应以侵犯个人信息、隐私权、知识产权等事由承担民事责任,重者应以侵犯公民个人信息罪、侵犯商业秘密罪、非法获取计算机信息系统数据罪等事由承担刑事责任,并将侵害体育法益作为考量情节以从重处罚。
关于我国生物识别信息的保护方式有3种主张:①专项立法说,主张制定专门的法律以应时需[19];②步骤化说,主张先完善现有法律法规对生物识别信息进行综合保护,待时机成熟再制定专门法律[11];③规范解释说,主张通过解释现有规范的方式解决现存的生物识别信息保护问题[33]。笔者认为,完善立法是一个较长的进程,难以解决目前层出不穷的新问题,通过教义学方法论对既有规范进行解释以保护运动员生物识别信息无疑是当前的最优解。运动员生物识别信息的处理可分为3个阶段(图2),下文从时间维度展开阐论。
图2 生物识别信息处理的3个阶段Figure 2 Three stages of biometric information processing
在事前阶段(信息收集阶段),大规模收集运动员生物识别信息已成为世界各地足球比赛的常见做法,赛场周围遍布摄像头、指纹采集器等各种采集装置,悄无声息地获取运动员生物识别信息。信息收集主要包含三方主体,即运动员、球队、其他主体,而其他主体是法律规制的主要部分。为防止信息被非法采集继而侵犯法益,需要贯彻预防观,但为避免过度预防阻碍技术创新,相关主体须遵循特定原则,违反者将承担类型化的法律责任。
(1)以同意原则为前提。2012年全国人大常委会颁布的《关于加强网络信息保护的决定》规定,信息收集主体应明示收集、使用信息的目的、方式和范围,并经被收集者同意。显然,这是公民个人信息自决权的成文化。《个人信息保护法》规定,收集个人信息前,应向个人信息主体告知收集、使用个人信息的目的、方式和种类,以及保存期限等诸多事项,同时,生物识别信息是敏感个人信息,还应取得个人的单独同意。在美国,知情同意和知情决策是法学领域的核心权利,其与MLB的应用相结合,在大数据、基因组测试等应用中不断完善和丰富,收集者承担向运动员披露的义务[34]。在我国,因网络服务提供者的各种条款限制,知情同意权被扭曲为享用新型技术的强制性要件,如运动员只有通过指纹或脸部识别才能进入赛场。为此,应由非选择退出的模式转变为选择进入的同意模式,打破技术壁垒和技术霸凌,积极同意比推定同意更利于保护运动员生物识别信息[35]。概言之,生物识别信息的收集需要运动员知情同意,且收集者只能将数据用于向运动员披露[36]。
(2)以比例原则为基准。比例原则包含三方面:①适当性原则,要求信息收集措施与实现目的相关联,多数情况下运动员生物识别信息只有在为满足比赛需要时才能被收集;②必要性原则,要求在多个可以实现信息收集目的的措施中,选择对运动员限制最小的;③均衡性原则,要求收集生物识别信息造成的损害应小于信息收集产生的利益[37]。这三方面之间的位阶关系依次递进,需要层层审视,从而防止在得到运动员的同意(包括概括同意)之后,肆意扩大被收集信息的范围。技术发展使运动员生物识别信息面临风险,为此既要保护运动员的信息安全,也要促进数据流动以实现体育事业的发展[38]。这就要求基于比例原则进行利益衡量,既要保障个人数据权益,也要促进数据合规运用,当二者冲突时需通过比例原则筛选出优先者,例如,通过人脸识别技术获取的逃犯脸部信息,应基于保护公共利益的目的,将之交予公安机关以用于侦查。
同意原则是判断生物识别信息收集合法性的前提,故可将收集行为分为有效同意型信息收集和非有效同意型信息收集,前者要求信息主体具有同意能力、同意须以自由意志且明确的方式做出[35],以下按照该分类对其法律责任的承担加以阐述。
(1)有效同意型信息收集行为可能承担的法律责任具有递进性。这种方式主要包括以俱乐部等为主的体育组织或管理机构,为管理的需要对信息进行的收集和以订立有效合同的方式进行的收集。
在民事责任方面,前者存在对运动员推定同意的信息收集,因此需要按照上述比例原则的要求进行检视,防止对运动员生物识别信息过度收集。根据《民法典》第1037条第2款的规定,对于违反比例原则的信息收集,运动员可以要求信息收集主体及时删除。信息收集主体所涉合同性质应界定为信息服务许可合同,因为运动员签订此类合同并非以获取金钱为目的,而是为了参赛或者将生物识别信息作为标的以换取某种便利或服务的对价。基于此,对违反约定的信息收集行为,应按照《民法典》合同编及相关规定承担违约责任。
在刑事责任方面,《个人信息解释》第4条规定,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第253条之一第3款规定的‘以其他方法非法获取公民个人信息’”。可见,服务提供者违反国家规定收集信息的行为构成侵犯公民个人信息罪。根据《中华人民共和国网络安全法》(以下简称《网络安全法》)第22条第3款规定,“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定”。因此,违背同意原则大量收集运动员生物识别信息的行为,属于违反国家规定(《网络安全法》)收集信息的情形,该当侵犯公民个人信息罪的构成要件。应当注意,根据《个人信息解释》关于侵犯公民个人信息罪“情节严重”和“情节特别严重”的规定,并不能直接推断出侵犯运动员生物识别信息的入罪标准。有学者[33]认为,兜底性的其他情形条款为解决生物识别信息问题提供了解释空间,符合生物识别信息保护的特点,笔者赞同该观点。为了凸显运动员生物识别信息的特殊性,适用兜底条款有利于降低入罪门槛,提高对运动员的保护力度。
(2)非有效同意型信息收集行为需分场景讨论法律责任。未经同意通过摄像头、“人肉搜索”等方式收集运动员生物识别信息的行为,可以依据《民法典》第111条、1034条、1038条追究民事侵权责任。就刑事责任而言,可从以下几点探讨。①根据《刑法》第253条之一的规定,通过窃取方式收集运动员生物识别信息应构成侵犯公民个人信息罪。同时,“以其他方法获取公民个人信息”作为兜底条款,在解释上应当与窃取行为具有手段上的相当性,欺骗行为显然符合要求,故而也构成侵犯公民个人信息罪。结合《个人信息解释》第4条的规定,可知“以其他方法获取公民个人信息”在解释上不仅包括手段上的相当性,还包括危害程度上的相当性。②非法获取计算机信息系统数据罪的行为客体是数据,目前我国刑法并未对“数据”进行明确规定。《数据安全法》第3条规定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。 ”结合《计算机解释》和当前数据产业现状,应当认定本罪的“数据”包括身份认证信息和数据产品[30]。如前所述,生物识别信息可以作为数据产品,故符合本罪的“数据”要求。因此,通过非法侵入计算机信息系统获取运动员生物识别信息的行为构成非法获取计算机信息系统数据罪。《计算机解释》第11条规定:“本解释所称计算机信息系统和计算机系统,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。 ”因此,该罪对各种非法侵入不同信息系统获取运动员生物识别信息的行为均有适用的余地。③信息收集者获取运动员生物识别信息通常是以后续使用为目的的。如通过窃取的运动员人脸信息诈骗“粉丝”等,如果后续行为构成其他犯罪,可适用牵连犯或吸收犯的原则从一重罪论处。
在事中阶段(信息存储、使用和处理阶段),体育运动队、可穿戴技术公司等数据控制者有义务确保运动员生物识别信息的安全。然而,数据黑客的存在和未授权的披露是职业体育的重要问题,如圣路易斯红雀队的前高管克里斯托弗·科雷亚(Christopher Correa)非法访问休斯顿太空人队运动员个人数据库[39]。事中阶段主要监管数据控制者,欧盟GDPR即采取广泛的监管制度,如要求数据控制者在意识到侵犯数据行为发生后72 h内披露信息泄露情况,并进行分析确保不再发生。因此,事中阶段应以监管论为重心,要求信息的存储方、使用方遵循合法、正当、必要的原则,并且对相关信息控制者的安全保障义务提出了更高的要求。
贯彻监管论需要遵循目的性正当原则,即处理者对信息的处理要有明确正当的目的,在此范围内公平合理地收集个人信息,该原则已被《民法典》第1035条概括为合法、正当、必要性原则。《个人信息保护法》第5条在《民法典》第1035条的基础上增加了诚信原则。合法原则要求信息的存储、处理和使用过程应当依法进行;正当原则包括业务正当性和手段正当性两层意涵,前者是开展业务所必需的,要求对信息的存储、使用不得超出其业务范围,后者要求该目的符合社会惯例和公众认知[40];必要性原则要求尽可能少且合理地对运动员生物识别信息进行存储和使用,如《规范》要求,个人信息存储期限应为实现个人信息主体授权使用目的所必需的最短时间,且个人生物识别信息应与个人身份信息分开存储,原则上不应存储原始个人生物识别信息;诚信原则要求信息处理者不得侵犯公共利益和他人合法权益。上述4个原则从源头上对事中监管提出要求,体育领域的信息控制者须遵循上述原则。
《民法典》第1038条第2款和《网络安全法》第42条第2款均规定,信息控制者应采取技术措施和其他必要措施,确保其存储、处理和使用的生物识别信息安全,有防止信息泄露、毁损、丢失的义务,明确了信息控制者对运动员生物识别信息的监管职责,需要对信息存储、使用环节提供安全保障。《规范》要求,个人信息控制者要建立适当的数据安全能力。
在事中监管阶段,根据侵犯运动员生物识别信息行为方式的不同,可以分为程序性违法和实体性违法,以下分别论述其法律责任。
(1)信息控制者需承担程序性违法的法律责任。法律对信息控制者设置的监管义务包含了程序性义务,由此产生了大量程序性违法。例如,未按照合同约定或法律规定采取必要措施对运动员生物识别信息进行保护等。此种情境下,若有合同约定,信息控制者的法律责任按照合同约定处理即可;若无合同约定,关于其民事责任的承担需对生物识别信息的法律属性进行界定。我国现行法并未确认个人信息是一种具体的人格权,但生物识别信息是私密性信息,适用有关隐私权的规定,因此生物识别信息遭到侵犯后,运动员具有请求停止侵害、排除妨碍、消除危险等权利。
作为公众人物,运动员生物识别信息往往与自身的名誉、隐私等紧密结合,故而消除影响、恢复名誉、赔礼道歉等民事责任也有适用之必要。那么,信息控制者是否需要承担损害赔偿的责任?在生物识别信息存储、利用阶段发生的程序性违法行为,有别于人身损害等实体性违法行为,亦不同于会导致精神损害赔偿的侵犯名誉权和荣誉权行为[41],其往往并没有实际损害。损害赔偿旨在填补受害人的损失,补偿功能为其基本功能,“无损害则无赔偿”,所以程序性违法尚不足以产生损害赔偿的责任。同时,仅仅程序性违法也无刑法规制的必要。
(2)信息控制者需承担实体性违法的法律责任。实体性违法行为主要指借助运动员生物识别信息进行身份盗窃和敲诈、侮辱、诽谤等行为。对此运动员常受侵害,尤其是明星运动员往往具有“粉丝”受众,不法分子冒用其人脸等生物识别信息以获取“粉丝”信任,继而骗财或骗色等。
在民事责任方面,《个人信息保护法》第69条规定:“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。 ”因此,运动员生物识别信息因实体性违法造成财产损失的,可以主张损害赔偿请求权,并且可以考虑适用过错推定的归责原则,加重侵权人的举证责任。此外,生物识别信息本身具有唯一性和人身性,加之运动员本身具有公众性,一旦受到侵害,会给运动员造成精神损害,故而可以主张精神损害赔偿请求权。
在刑事责任方面,需要分场景讨论,利用运动员的脸部、基因等生物识别信息进行攻击、诋毁、侮辱等行为构成侮辱、诽谤罪,利用曝光运动员私密性生物识别信息相威胁索取财物的行为构成敲诈勒索罪。目前最频发的是利用运动员生物识别信息进行深度伪造以达到身份盗窃的目的,如利用运动员的人脸信息进行诈骗、盗窃等。对身份盗窃行为,《刑法修正案(十一)》只针对高等教育、公务员录用和就业安置等有限地规定了“冒名顶替罪”,但“这些与身份盗窃相关的犯罪根本不是什么新型犯罪,而是通过使用或者窃取身份信息‘升级’了的传统犯罪”[42]。实际上,多数身份盗窃案件通过规制其本身或其下游犯罪即可达到规制效果。首先,《刑法修正案(九)》增加了伪造身份证件或非法利用身份证件类犯罪,如伪造身份证件罪、使用虚假身份证件罪等;《刑法》第280条之一规定,身份证件包括居民身份证、护照、社会保障卡、驾驶证等依法能够证明身份的证件,生物识别信息也是身份证件信息的一种,这些规定能够规制身份盗窃等非法利用生物识别信息的行为。其次,通过复制、伪造的生物识别信息假冒运动员进行诈骗、盗窃银行卡余额的行为已构成诈骗罪或盗窃罪,通过冒用他人名义订立合同的行为构成合同诈骗罪,冒用持卡人的名义使用持卡人的信用卡继而骗取财物的行为构成信用卡诈骗罪等[11]。上述罪名基本可满足规制多数身份盗窃类案件的需求。
此外,非法出售生物识别信息的行为还可能构成非法经营罪。作为法定犯的非法经营罪以行政违法性为前提,非法出售生物识别信息的行为违反了《网络安全法》和《个人信息保护法》的规定,同时也扰乱了市场秩序,只要满足“情节严重”即可成立本罪。然而在多数情况下,单条生物识别信息的价值对一般公民而言并不大,但对运动员而言具有较大商业价值。因此,在非法经营罪“情节严重”的入罪门槛上,对运动员生物识别信息应适当降低。
事后阶段(信息泄露阶段)对运动员生物识别信息的保护只能通过救济的途径,而贯彻救济论需要遵循有损必救原则。任何损害不论是否造成损害后果,均是对个人尊严和价值的贬损,均需法律充分救济。有损必救原则要求对运动员生物识别信息的保护措施是完善且充分的,救济手段也应及时且有效,遵守时效规定。在配置救济机制时还需要考量作为救济对象的运动员生物识别信息的重要性、知名度、救济措施妥当性、是否兼顾双方利益等因素[43]。因此,在建构运动员生物识别信息救济机制的过程中,需要借助比例原则检视救济措施的妥当性。一方面,救济力度应当与信息价值大小相适应,还应参酌运动员自身的知名度,最大化维护当事人的权益;另一方面,救济手段应与法益保护的目的相适应。运动员生物识别信息包含个人法益和体育法益,充分考量法益保护的周延性既是对运动员群体的尊重,也是保障体育赛事正常进行的必然要求。
运动员生物识别信息泄露情形可以分为2种:过失泄露和故意泄露。以下对这2种情形的民事责任和刑事责任展开论述。
泄露运动员生物识别信息需要承担民事责任,过失泄露是俱乐部及运动员的注册单位等信息控制者疏于履行安全保障义务导致的损害,应当及时采取补救措施,告知自然人并向各级体育主管部门及时报告。至于补救措施,不仅包括《民法典》侵权责任编第1195条规定的关于防止网络侵权的删除、断开连接、屏蔽等措施,亦包括其他可以减少损害的合理措施。多数情况下信息控制者和运动员之间存在合同关系,泄露生物识别信息的行为违反合同义务,需要承担违约责任。故意泄露情形的民事责任与前述关于实体性违法的民事责任并无二致,此处不再赘述。
严重泄露运动员生物识别信息行为需要承担刑事责任,过失泄露违反了合同或法律规定的安全保障义务,但现行刑法并没有直接指涉过失泄露生物识别信息的罪名。若生物识别信息符合特殊要件,则可以其他罪名规制,若运动员生物识别信息已构成国家秘密或军事秘密,可以构成过失泄露国家秘密罪或过失泄露军事秘密罪。故意泄露的刑事责任目前刑法也没有直接指涉,若运动员生物识别信息属于商业秘密等其他法益要件,则可以其他罪名认定。对故意泄露一般性运动员生物识别信息的行为,可通过对寻衅滋事罪进行实质解释实现规制目的。运动员往往具有一定的社会影响力,其生物识别信息一旦发生大规模泄露,可能引发恐慌继而侵犯公共秩序型体育法益,可将此类行为解释为《刑法》第293条第1款第4项规定的“在公共场所起哄闹事,造成公共场所秩序严重混乱的”。
生物识别需要与计算机的二进制语言相结合才能精确识别自然人的身份,整个生物识别信息的处理过程均在互联网情境下进行,信息泄露也以互联网为媒介,因此问题关键是网络空间是否属于公共场所?对此主要有2种观点:①否定说,认为应以身体能否进入作为识别公共场所的标准,否定网络空间属于公共场所[44];②肯定说,将网络空间解释为公共场所是合理的扩大解释[45-46]。笔者赞同肯定说:一方面,2013年9月7日颁发的《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》第5条第2款规定,“编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,或者组织、指使人员在信息网络上散布,起哄闹事,造成公共秩序严重混乱的,依照刑法第293条第1款第(四)项的规定,以寻衅滋事罪定罪处罚”,可见,司法实践已肯定了网络空间的公共场所性质;另一方面,网络空间虽是虚拟的,但其服务器终端却与现实生活连接,是现实公共场所的延伸[46]。随着网络的普及,将网络空间视为公共场所已获多数认同,并未超出国民的预测可能性。运动员的公众性会使已泄露的信息得到更快、更大范围的传播,急需刑法及时救济以避免损害扩大,因此,将网络空间解释为公共场所继而适用寻衅滋事罪符合功能主义刑法观。
此外,运动员生物识别信息的控制者多为官方或半官方机构,如体育局和体育赛事联盟。如果信息泄露者利用职务之便故意或者过失实施不法行为,那么将会涉及职务类犯罪。具体而言,如果工作人员利用职务便利与他人勾结,以运动员生物识别信息作为权钱交易的客体,那么工作人员因其身份性质将构成受贿罪或非国家工作人员受贿罪,其他人则构成行贿罪(对非国家工作人员行贿罪)或受贿罪(非国家工作人员受贿罪)的共犯;如果国家工作人员滥用职权故意泄露运动员生物识别信息,则构成滥用职权罪;如果国家工作人员不履行或不正确履行其职责而导致信息泄露,则构成玩忽职守罪;如果国家工作人员既受贿又滥用职权或玩忽职守的,应当数罪并罚。
生物识别技术的诞生革新了体育事业也带来了风险,但不能由于文化和道德的原因而因噎废食,反对生物识别技术的发展与应用。当前运动员生物识别信息的保护面临诸多困境,这是所有新技术“普世化”的必经阶段,而妥帖的制度比技术本身更为重要,可以兼顾创新和保护[47]。在现有规范体系下,需立足于规范解释,扩展有关法律适用的外延,总体上把握形塑运动员生物识别信息法律保护体系的两大维度,使其精准规制侵犯运动员生物识别信息的行为。在后《民法典》时代,随着《人脸识别解释》的出台,司法解释将使生物识别信息的保护规范逐步具象化,这无疑也是优化运动员生物识别信息保护的可行之道。
作者贡献声明:
童云峰:选择论题,设计框架,撰写论文;
汪焱梁:研讨框架,修改论文。