蔡士林,王厅烁
(中国矿业大学 科技与安全法律研究中心,江苏 221116)
生物识别信息是指通过运用科学技术手段对人的身体特征进行数字化后得到的信息[1]。生物识别信息的内容分为身体特征和行为特征两类,身体特征如人脸、指静脉、指纹、掌静脉、视网膜、虹膜、人体气味和DNA 等;而行为特征如签名、语音、行走步态等。生物识别信息保护问题,不仅是一个新技术或新市场问题,同样是一个全新的哲学、伦理学和法律话题。2020 年我国《民法典》人格权编中确立了民事法律制度对于包括生物识别信息在内的个人信息权益保护,《个人信息保护法》更是从公私法混合视角出发提供生物识别信息保护的新方案[2]。司法实践中,“罗森巴赫诉六旗游乐园案”打响了美国保卫生物识别信息的第一枪,而“郭兵诉杭州野生动物园案”则开启了我国保护生物识别信息的新纪元。但是理论与实践的隔阂并未因此得到缓解,相反随着生物识别信息在金融、医疗和司法等领域的开疆拓土,相关侵犯个人信息、财产甚至国家安全的犯罪频繁发生,法益受损的深度和广度也同步递增。
生物识别信息作为全新的ID 密匙已经突破传统的法律保护界限和原则,必须探索新的法律规制路径[3],而这里的核心命题是生物识别信息的独立性问题。对此学界主要有两种观点:主流观点认为,生物识别信息属于敏感信息,与一般信息共同构成个人信息的全部内容①;另一种少数人的观点认为,生物识别信息虽隶属于个人信息,但又不同于一般信息与敏感信息,应当“自立门户”[4]。笔者赞同第二种说法,拟从法理学角度论证生物识别信息相对独立性的观点,并进一步探究该理论可能对刑法保护模式的冲击与适应性应对。
包括当代的信息革命,人类历史上经历过五次与信息和信息处理技术相关的洗礼,包括语言的产生、文字的创造、造纸和印刷术的发明、电报电话和电视的发明等[6]。而如果以“信息”为线索,按照时间纹理向前推演可以将这段历史划分为三个阶段:工业时代、信息时代和数字时代。因为每个阶段对于信息样貌描述、感知和类型化处理都有显著的历史特征和政治色彩。对于信息进化史的考察利于学界更好观测信息技术变迁与法律制度安排的关系,正如有学者所言:“研究任何理论问题都需要历史的、实证的资料作为依据”②。
一直以来“信息”都被认为是不言自明的概念,然而学界却莫衷一是。香农认为,信息可以使不确定性减少或消除的知识;维纳强调,信息是我们对外界进行调节并使我们的调节为外界所了解时而与外界交换的东西[6]。应当说,信息是经过整理且有用的数据,反映事物的动向、情况和状态,连接着物质与意识,属于数据的高级形态。原始社会和农业社会是早期人类文明的雏形,在此时间场域内,信息意识尚未传导至社会发展的各阶层。任何冠之以“信息”之名的行为实际上都只是简单的主体、客体或内容的描述。例如“军事信息”、“商业信息”等仅是对消息的收集但并未加工处理,故而此时的“信息”可以替换为“消息”。概言之,工业时代之前不存在真正意义上的“信息”。第一次工业革命和第二次工业革命造就了生产力的辉煌史,而与此同时加速了商业垄断和资本的高度集中,这也反向推进信息的流通和使用。倘若前两次工业革命带来的仅是信息形式和流通手段,那么第三次工业革命则极大地丰富了信息的类型。第三次工业革命出现的原子技术和生物技术等为信息的分类和丰富提供了可能。需要说明的是,此阶段新技术成为各国发展的风向标,因此信息的繁荣也仅局限于技术领域。
20 世纪40 年代以来,现代信息科学技术的产生与发展,以及与之同时产生的生物技术、空间开发技术等形成了一批高技术群与高新技术产业,在人类历史上引发了一场极为深刻的生产力革命。1946 年电子计算机的发明揭开了现代信息技术革命的序幕。在信息时代,信息是比物质和能源更为重要的资源,信息的产生、发布、使用和整合成为经济活动的纽带,并对全社会的政治生活、文化生活都产生了重要的影响[7]。发达的资本主义国家在此阶段抓住信息技术完成了由工业经济向信息经济的转型。它的整体特征表现为:第一,信息处理技术颠覆性的变革。电子计算机“埃尼阿克”的出现标志着计算机代替人脑劳动,能够进行快速的信息加工处理,并且有信息储存和控制功能。第二,劳动力结构发生变化。信息技术的繁盛加速了传统体力劳动为主群体的瓦解。第三,信息产业崛起。信息产业成为一个独立的经济部门,并和物质一起成为经济活动中的重要战略资源。当信息成为社会发展主导性或支配性资源时,法律受众对于自身信息支配或控制意愿便更加强烈,此种社会背景下“个人信息”诉求成为时代的必然选择。
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息[8]。2021 年我国实施的《民法典》将“个人信息”和“隐私权”并列归入“人格权编”的内容,且规定“生物识别信息”属于个人信息。随着信息产业与信息经济的兴盛,公民的一切行为都逐渐转化为计算机符号汇入数据洪流之中,因此个人信息的重要性不言而喻。为了实现信息产业发展和个人权益保护的兼容,需要预先解决个人信息的法律定性,这关系到后续的法律走向和制度安排。因此下文坚持马克思主义哲学的立场,将个人信息置于特定历史时期中予以考察。
1.个人信息的法律定性问题
一切围绕个人信息展开的命题和破题逻辑都需要首先回应的便是:个人信息是否为一项独立的权利?如果答案是肯定的,那它是一个什么属性的权利?多数学者认为:“传统意义上的隐私权和一般人格权无法涵盖民事主体的信息利益,信息权是新兴的人格权,具有具体人格权的法律地位”[9]。也有学者认为:“从数据主体角度看,基于信息的实质利益可以纳入民法的形式化权利体系,基于个人信息的权利属于一般人格权”[10]。笔者认为,个人信息是一项独立的权利,主要从以下两个层面予以展开。
何为权利,不仅是萦绕在人类发展史上的痼疾,更是信息时代的“哥德巴赫猜想”。著名法哲学家康德将权利描述为,任何人的有意识的行为,按照一条普遍的自由法则,确实能够和其他人的有意识行为相协调[11]。人之所以拥有权利,是因为他是一个人格者、一个整体、是他自己和他自己行动的主人,并因此不是一个达致某个目的的手段,而是一个目的,一个必须被当作目的本身予以对待的目的[12]。应当说,权利的逻辑结构由必要性原则、目的性和自由性原则所组成。理由如下:第一,道德上行为必要性是推进权利的形成和法定化的动力源,而这本身就是必要性的体现;第二,权利的行使过程必须按目标有序进行,失序的状态与法律的精神相悖;第三,法律受众之间互相给予自由的空间和时间才可能促成自由的最大化。
就必要性层面而言,信息革命号角的响起不仅意味着人与社会时刻经历着改变和塑造,更注定个体自身将孕育出一种新的有机生命体——个人信息。个人信息成为基本权利的客体,主要源于信息技术应用对于个人权益保护的冲击[13]。早在20 世纪后期,以威斯丁和米勒为代表的美国学者便提出将个人信息纳入信息隐私权之中,进而使信息主体享有控制权。一方面,计算机技术的迭代式发展撕裂了传统人格权的保护结构,个人信息保护成为权利体系中的独立单元。另一方面,只有基本权利层面确立个人信息保护的地位,包括《个人信息保护法》在内的规范才有进一步展开和丰富的关键性依据。就目的性角度而言,保护个人信息目的在于保证民众的信息自主权[14]。对于信息收集、储存、使用、流转等环节同意以及控制的差异性已经成为信息时代人与人之间天然的数字藩篱,而要打破此种境遇就需要将个人信息设定为权利新类型。从自由性的立场出发,个人信息成为公民隐私最后的领地,因此个人信息的流通和共享都要满足大众的合理预期。著名的“公平信息实践”理论也倡导赋予个人信息自我管理、自我控制和自我收益的权利。个人信息权的成立实际上为信息主体构建了法律上的“防火墙”。
2.个人信息权蕴含的法益内容
论证个人信息应当逐渐成为独立的个人信息权并在立法中予以确认可以帮助我们从宏观上理解个人信息的概貌,但却无法真正把握其本质。通过个人信息蕴含法益的解密不仅利于学理上关于该权利的分层,而且益于司法实践中相关疑难案件的审理。有学者认为,个人信息权本质上仍然是一种隐私权[15];也有学者认为,个人信息权的财产属性已经替代隐私权成为主导型的法益内容[16];还有学者认为,个人信息权是一种超越隐私权的权利,它是兼有精神性权利与物质性权利的综合权利[17]。笔者赞成第二种观点。信息时代,个人信息本身充满了张力和弹性,它不仅是个人生存的数字符号或代码,贯穿整个生命周期,还是一项数字财产有交易的可能性,更是公民科技时代自由权利的新风向标,因此可以称之为新型的综合性权利。
人工智能是目前人类已知文明发展的“小高峰”,它是人本质力量的强有力呈现,加速智能文明的到来。人工智能时代为人的解放和自由发展提供了新的答案,但也带来了诸多不确定性的风险[18],例如包括人脸识别、深度伪造等在内的一系列生物信息识别技术。作为信息主体的唯一代码,生物识别信息成为法学界的宠儿,引发了世界范围内的热议,并形成了以欧盟为代表的“紧凑型”和美国为代表的“分散型”立法模式。
欧盟通过“紧凑型”立法保证司法辖区内的信息流通,2018 年颁行的《一般数据保护条例》(GDPR)将数据分为:个人数据和敏感数据。个人数据定义为“与已识别或可识别的自然人有关的任何资料;可识别的人是指可以直接或间接被识别的人,特别是通过参考识别号码或与其身体、生理、心理、经济、文化或社会身份相关的一个或多个因素”[19]。个人数据包括姓名和地址、身份证号、位置数据,甚至网络数据,比如IP 地址等。GDPR 将敏感个人数据列为“特殊类别的个人数据”,包括健康和遗传数据、种族数据、政治数据、性取向数据和生物特征数据。GDPR 创新之处在于,它将生物特征数据作为一个单独的实体来监管,而非试图将其纳入一个不考虑生物特征数据敏感性的现有隐私方案中[20]。
美国采取“分散型”立法模式,联邦政府层面并无统一立法,而州层面在不同领域对生物识别信息做了系统性规定,甚至呈现出“百家争鸣”之象。伊利诺斯州颁行的《生物识别信息隐私法》(BIPA)是第一个关于生物特征隐私的州法,也是此领域美国最为严格的立法。BIPA 要求数据控制者或处理者承担繁重的法定义务,例如规定企业收集个人生物识别信息必须向员工发出通知并获得书面同意,同时提供关于收集、存储和使用生物识别信息具体目的和期限的书面通知。2009 年,德克萨斯州通过了《捕获或使用生物特征识别法》(CUBI)。与BIPA 不同,CUBI在“同意”的形式以及信息披露上都做了较为缓和的处理,例如个人口头同意,公司就可以为商业目的而获取生物识别信息。又如要求企业合理谨慎地“存储、传输和保护”生物识别信息,而非绝对禁止。
生物识别信息属于个人信息的特殊组成部分,这一点在学界和实务界基本达成共识,而其相对独立性的证成尚待考证。本文认为,在法理上完全有能力也有必要对其进行证成,基本法理理由如下:
通说认为,以个人信息与个人是否具有直接关联性,将个人信息分为敏感信息与非敏感信息(简称“关联性说”)[21]。有学者认为:“传统个人信息的保护理论完全立足于静态的观测,此举不仅与个人信息的利益形态不相符,而且无法满足不同利益主体对信息的多元化诉求,因此应当以信息生命周期理论为依据将个人信息分为:个人私密信息、个人事实信息和个人预测信息”(简称“信息生命周期论”)[22]。有学者主张:“以个人信息可识别性作为个人信息保护的法律标准,可将其分为基于描述的个人信息和基于度量的个人信息”(简称“可识别性论”)[23]。有学者认为,以个人信息的形成为标准,将个人信息分为四类:志愿者信息、政府强制采集的个人信息、测量信息、推测信息(简称“形成说”)[24]。还有学者认为,个人信息可以按照状态和性质予以分类,即公开信息与非公开信息、隐私信息与一般信息(简称“混合分类说”)[25]。笔者认为无论上述任何一种分类标准皆为证明生物识别信息相对独立性的理由。
“关联性说”将敏感信息表述为,关涉个人隐私核心领域具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息,其余都属于非敏感信息。显然,该学说将“私密性”的等级作为区分标准。按照此种逻辑,个人信息可以分为:一般信息、敏感信息、超敏感信息(生物识别信息)。“私密性”本身就是主观性的要件,糅合了众多价值因素,所以判定的标准“仁者见仁智者见智”。例如财务信息,从个人财产保护角度而言的确具有高度隐秘性,但外在的经济交往(银行取款等)要求此类信息具有一定的开放性。而生物识别信息则不同于其他表征个人的信息,因为他有着超强的数字基因,诚如有学者所言:“生物识别信息不同于其他信息,它是流淌着个人信息的精髓,即便用最严格的法律予以保护也不为过”[26]。
“信息生命周期论”将焦点聚焦于个人信息的流通之上,旨在激活信息的交流和应用环节。该学说按照信息生成的周期阶段来分类,以此为逻辑起点,生物识别信息作为自然人与生俱来的基因密码,应当属于信息周期流通性最差的。因此个人信息可以分为:生物识别信息、事实信息和预测信息。“可识别性论”标准包括“被识别”与“可被识别”两层内涵,前者是指事实上已借由此种信息识别特定自然人,或者一般人能够不借助技术分析而直接识别出特定自然人,而“可被识别”实际上指向的是一种相对概率,即识别某种信息与特定人相关的相对可能性[27]。可度量性信息侧重于信息数值,可描述性信息强调信息中文字意义,而生物识别信息兼具信息中的文字和数值价值,例如掌纹和指纹等。按此立场,可将个人信息分为:可度量性信息、可描述性信息和生物识别信息。“形成说”将使用的主体作为区分标准,但是忽略了自己使用信息的情形,而这恰巧是个人信息的初衷。按此逻辑,个人信息应该被划分为:生物识别信息、志愿者信息、政府强制采集的个人信息、测量信息和推测信息。“混合分类说”实质是“关联性说”与“信息生命周期论”的混合或变异,逻辑内核并未改变,但无论从状态抑或性质出发生物识别信息都无法容纳于传统个人信息分类之中。即便该学说的支持者也开始质疑随着信息科技与数字经济的繁盛,任何一种分类都拘泥于特定利益。
生物识别信息应当包括哪些内容,是在具体历史中逐渐建构起来的。在信息学和法学领域对于“个人信息”和“生物识别信息”的关系有着截然不同的认知。个人信息的判定相对容易,因为它是将“人”作为权利主体展开论证,而人的主体性已经不证自明。信息文明的特征表现为以信息资源为基础,并呈现出网络化的文明,如果说其他个人信息还局限于描绘数字主体的蓝图,那么生物识别信息便成为建构主体和识别身份的有机骨骼。在信息学家的视野中,生物识别信息已经演化为个人身份验证的关键素材,尤其在人工智能时代的背景下这种特征更加凸显。上文提及的生物识别信息演进轨迹,其实也对其独立性做了有效的预测和证成,笔者认为可以将其归纳为三个要点。
1.工业革命时代,信息的轮廓初步形成。有别于农业文明所涌现的文字、印刷术等记载工具,工业时代将精力聚焦于新技术和机器的创制之上。工业时代不仅改变了信息的传播方式,而且提升了信息受体的体验感,例如20 世纪中期无线电广播和彩色电视节目风靡全球。但值得称赞的是,信息已经成为理论界和实务界研究的独立命题。但此时的信息依旧停留在初级阶段,所以不具备类型化的现实基础和理论期待。
2.信息革命时期,信息类型化成为趋势。电子计算机的出现优化了信息的储存和使用,各国都将高性能的计算机作为技术高地,因此信息样态也开始野蛮生长。如何在如此繁杂的信息堆中,剥离出属于个人信息成为人权的新议题。正如德沃金所言:“人权概念依赖于这样一种主张,即我们每个人作为人,不管种族、性别、宗教或年龄如何,都享有一些基本的,不可剥夺的权利——仅仅是由于我们属于人类这个群体”[28]。此种背景下,个人信息的独立成为技术更新与法律创新的共同需求。
3.人工智能时代,生物识别信息成为参考模板。人工智能时代的来临意味着技术和数据关系更加紧密,人逐渐成为数据输出的“机器”,而智能机器却显示出高超的智慧。笔者认为,既然生物识别信息渐已成为人的唯一代码,则其他的个人信息都可以参照其完成分类,而非当前本末倒置。或许有一天,智能机器人通过由人类负责的生物识别系统验证进入企业工作也不足为奇。简言之,生物识别信息应当成为个人信息分类的模板,其独立性结构也顺理成章。
毋庸置疑,不同历史时期,不同国别和民族之间所构建的“权利类型”存在差异性,但不可以此否定生物识别信息“相对独立性论”的合理性。法律上对权利的抽象并不是任意的、无限的,它也有其必要的理论与实践限度[29]。实际上,共生于个人信息这一综合“权利束”之下,不同类型的信息代表的利益诉求,即一般信息对应新型人格权,敏感信息对应隐私权,生物识别信息对应兼具精神和物质综合性权利。不夸张地说,生物识别信息最能体现个人信息权的内容和未来的演变趋势。同一体系之下,新权利的独立或过时权利的合并甚至消亡并不受制于法律技术用语或逻辑,而是法社会学对新生物合目的性或和功能性的观测。
诚如有学者强调:“对于法律学人来说,仅仅从概念或理念层面思考远不够,必须从实践层面以及可能的后果层面来思考,这才是务实的法律学术思考”[30]。马克思从人权本质出发,主张任何一种所谓人权都没有超出利己主义的人……封闭与自身、私人利益、私人任性的个人,而自由这一人权的实际应用就是私有财产这一人权[31]。个人信息范畴内,生物识别信息独立作为一个单元不仅符合人工智能时代技术实践的要求,而且“相对独立性论”所隐含的信息私有化理念顺应了数字生产要素的历史潮流。
遵循法律推理的形式逻辑和论证方法,在个人信息的域畛内将生物识别信息独立出来,乃是法律史上一种普遍性的法律推理思维方式。诚如有学者指出,当我们将法律制度作为一个整体予以考察时,就会发现人类有一种普遍性的法律见解:“政治整体性赋予社会或国家一种特别深奥的人格化和独立性”[32]。生物识别信息作为公民的数字化基因,逐渐承担起个人信息所有的法律功能,可以视为人格化的数字形态。根据自由主义的理念,生物识别信息是一种无限的、无法再被倍乘的值,即使用它来对抗其他个人信息也是正当的。早期研究个人信息的学者并没有过多涉及个人信息的分类,仅划定了“可识别性”的个人信息界限。不是它在逻辑上否定生物识别信息的独立性,而恰巧其所处的时代,生物识别信息的技术载体尚处于研发阶段,并未将生物识别信息置于不可忽视的社会事实状态,因此生物识别信息的特征以及角色定位还不是紧迫的法律问题。正如德沃金所言:“我们所熟知的社会并不是孤立抽象的存在,而是思想和语言实践的汇总,事物的独立性也需要根据实践作出调适”。可以说,以往可循的“权利独立性”例证,足以表明我们今天将生物识别信息做相对独立性处理并不存在法律方法上的障碍。
尽管生物识别信息“相对独立性论”的提出会对传统的个人信息刑法保护模式产生重大冲击,但该学说的理论价值和社会效果亦不容小觑。下面笔者尝试从刑法视角就“相对独立性论”将会引起的冲击和制度更新进行论述。
1.既存罪名遮蔽了信息的内在差异。作为公民个人信息保护的刑法表达,侵犯公民个人信息罪自诞生以来便备受瞩目。从《刑法修正案(七)》到《刑法修正案(九)》的修订反映出立法者对物联网时代背景的动态考量。立法者希冀借助侵犯公民个人信息罪实现对侵犯公民各类信息犯罪行为的总体关涉。应当说,此种模式延续了我国对新生犯罪类型“宜粗不宜细”的立法思维,为将来具体展开预留空间。实际上,《个人信息保护法》和《民法典》都对公民个人信息做了更为精准的划分,例如《个人信息保护法》将个人信息分为一般信息和敏感信息,并倡导个人信息处理者对个人信息实行分级分类管理。考虑到刑法谦抑性的品格,立法更新相对其他前置法较为缓慢。但近年来颁行的司法解释都表明个人信息分类在侵犯公民个人信息罪定罪和量刑中发挥着至关重要的作用。例如2017 年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5 条规定:“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为《刑法》第253 条之一规定的‘情节严重’:(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50 条以上的;(四)非法获取、出售……公民个人信息500条以上的”。2018 年最高人民检察院颁行的《检察机关办理侵犯公民个人信息案件指引》直接规定信息类型和数量应当成为“情节严重”或“情节特别严重”的审查要点。上述事实表明,司法实践对于个人信息的分类思想并未及时传导至侵犯公民个人信息罪之中。
2.诱发知情同意制度失控。所谓“知情同意”,即公民个人信息的收集或利用者应明确告知信息权利主体相关情况并征得其同意,也有学者称其为“告知同意”[33]。当前的个人信息保护制度仍然以“概括同意”模式为主,例如《个人信息保护法》将所有已识别或可识别的各种信息的处理表达为自愿、明确同意即可。生物识别相对独立性的提出不仅意味着个人信息的类型更加丰富与合理,同时也对知情同意制度的构建提出了更高的要求。
3.信息处理者监督义务提升。监督过失是指在业务与业务相关联的活动过程中没有履行或没有正确履行监督义务而使被监督者实施了过失行为,导致构成要件结果发生[34]。生物识别相对独立性的提出要求信息处理者对于信息的收集、存储、使用以及共享阶段监督作用增强,进而防止信息泄露造成法益的关联性侵害。为了保证生物识别信息的高效、合法与合理使用,在社会生活中便会形成监督人对被监督人的信赖和无审查全权委托的实态增强。基于生物识别信息的属性和信息管理者的角色考量,需要企业首先从内部构建新的法律管理模式。
1.增设“侵犯公民生物识别信息罪”
有学者主张,通过修改招摇撞骗罪的构成要件或者增设身份盗窃罪可以达致强化保护生物识别信息之目的[35]。这主要是考虑到生物识别信息潜在的商业价值,故而将刑法保护的重点集中在财产面之上。不可否认,生物识别信息所涉的财产性利益应当受到刑法的关注,但是由于生物识别信息本身所蕴含的人格利益等同样不容忽视。同时考虑到生物信息识别技术引发风险的弥散性特征以及我国刑法体系的逻辑自洽性,本文认为应当增设“侵犯公民生物识别信息罪”。
笔者认为,基于风险预防理念,同时以法益受侵害确定性为判断依据,可考虑将以下几类行为纳入侵犯公民生物识别信息罪的犯罪圈中。第一,探知生物识别信息。未经准许为自己或他人探知不属于自己的为防止被他人非法获得而作了特殊安全处理的生物识别信息。第二,截获生物识别信息。未经准许利用技术手段,为自己或他人从不公开的数据传递或从数据处理设备的电磁辐射中截获不属于自己的生物识别信息。第三,生物识别信息的窝藏。将不向公众开放的生物特征数据以违法行为使得他人得到、为自己或他人设法获取、转让给他人、传播或以其他方式使他人得到的。第四,探知和截获生物识别信息的预备。为探知和截获生物识别信息进行预备,为自己或他人获取、出售、转让他人,散布或者以其他方式公之于众。
2.重塑同意制度
有学者认为,传统个人信息保护制度是围绕知情同意为核心,但生物识别信息却属于例外。因为大数据时代,大量的隐私协议导致信息主体无暇阅读,生物识别技术的复杂性和同意时间的紧迫性也导致信息主体无法真正理解隐私风险而可能做出非理性的选择[36]。也有学者担心,知情同意是个人隐私权获得维系的最后防线,一旦退让我们的生活将被透明化和公开化[37]。大数据杀熟和生物识别信息的唯一性可以应当考虑重塑同意制度,即通过区分不同场景和关涉利益的性质提高同意制度的灵活性和韧性。
(1)对涉及利益的性质进行区隔进而决定同意规则。通过对知情和同意进行“柔韧化”处理,为当事人通过合同重新配置个人与国家、信息业者三者之间权利义务提供空间[38]。尽管《个人信息保护法》第29 条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”但它忽视了信息主体背后更为深刻的法益诉求。当生物识别信息所涉利益与国家和社会等超个人法益紧密联系时,应当依申请由审批机关决定是否同意使用;而当所涉利益仅与个人关联时,则应该强化知情同意制度,增加书面同意环节。
(2)对涉及的场景予以界分,提高技术与空间的匹配度。生物信息识别技术进入公共场合旨在感应动态的风险,以便做好防控工作。有学者认为,在公共场合个人隐私权遭到挤压,知情同意制度的设置成为一纸空文[39]。应当说,这是对知情同意制度的机械解读,公共场合下生物识别信息的收集和使用可以视为“推定同意”。笔者认为,此时的关注点应当转移到生物识别信息的储存和删除之上,设定明确的储存时间保证信息不会泄露和滥用。同理,当生物信息识别运用于私人领地,则应当遵循一般的知情同意制度,从而保障个人隐私权或信息权的行使。
3.要求企业制定内部合规计划
2021 年3 月北京国际大数据交易所成立发布会,提出凡是被政府部门、公共事业单位所掌握,且有市场商业需求的高价值敏感数据,均应通过交易所进行数据使用权的交易,这暗示包括生物识别信息商业化使用是数字经济发展的必然趋势。对于生物识别信息的处理者而言,企业需要强化内生的、主动地内部合规机制,预防违法犯罪。当然,对于企业使用生物识别信息不仅要依靠企业自身合规措施的制定,也要致力于国家配套的激励机制。合规管理制度自20 世纪90年代以来获得快速发展,甚至成为预防犯罪的措施之一。近日国家市场监管总局集中公布了34 家互联网平台企业《依法合规经营承诺》,也反映出企业希冀通过引入合规制度实现公司制度优化和升级的愿望。2021年6 月3 日最高人民检察院发布的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》进一步加快了企业合规制度在我国的“落户”。
对任何一个涉及违法或者犯罪的公司而言,是否存在一个良好的合规计划,始终是检察官决定是否提起公诉的首先考虑因素,也是合规计划有效性的基本前提[40]。针对生物识别信息而言,合规计划应当包括以下几个方面:(1)技术风险评估。司法机关需要调查生物信息识别技术研发单位如何识别、评估和定义风险。(2)必要的培训和沟通机制。网络运营者需要设置专门的信息安全管理负责人,并对负责人和关键岗位的技术人员进行安全背景审查,定期进行培训和考核。(3)匿名报告和保护机制。鼓励员工匿名方式举报违法违规行为,同时应当对举报人予以重点保护和奖励,营造不惧报复的企业氛围。(4)产品用户告知义务。生物信息识别技术研发者需要告知产品用户,概述保留计划以及个人生物识别信息将在何时被销毁,同时禁止利用员工的生物识别信息营利。(5)设置专门的信息合规官,负责审查生物识别信息的收集、使用和传输等。
数字时代的到来不仅意味着科技的迭代式发展,未来智能机器可能与人类共舞,而且倒逼一切科学研究的重点重新回归到人的身上。较之其他类型的个人信息而言,生物识别信息作为人的数字身份可以清晰地勾勒出个人特征,将信息效益最大化。生物识别信息的独立性地位注定传统的个人信息保护刑法模式日渐式微,罪名设置、知情同意制度以及信息处理者的监督义务等话题浮出水面。
注 释:
①张新宝教授认为:“以个人信息与个人是否具有直接相关性,将个人信息区分为敏感信息与非敏感信息。敏感信息是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息,如有关性生活、基因信息、生物识别信息、医疗记录、财务信息等个人信息。”张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015,(3):38-59.吴小帅认为:“生物识别信息天然地归属于个人信息,因此尽管没有明示个人生物识别信息的内容,但作为个人信息的组成部分,仍然可以使用侵犯公民个人信息罪。”吴小帅.大数据背景下个人生物识别信息安全的法律规制[J].法学论坛,2021,(2):152-160.
②历史法学的理论基础包括:历史主义、民族主义和实证主义。(美)庞德.法律史解释[M].北京:中国法制出版社,2002.26.