试论生物识别技术服务通用规则的法律规制

程昌春，杨振锐

(1.福建师范大学法学院，福建 福州 350108；2.福建师范大学马克思主义学院，福建 福州 350108)

电子科学技术提升了信息处理主体收集、存储、共享和处理图像及信息的能力，人脸识别技术就是这类科技发展的最新产物。[1]人脸识别技术作为生物识别技术中的一种，能够便捷地在众多情形下认证自然人身份，并逐步应用于社会生活的各个领域，如安防、支付系统、交通、App个人身份绑定等。[2]人脸识别技术相较于传统的自然人身份认证方式，具有信息捕捉的便利性及信息比对的高效性等优势，在效率至上的社会环境中，人脸识别技术受到追捧，同时也促进了对生物识别技术的研究。本文集中探讨支付系统中人脸识别技术应用的规制。支付系统的人脸识别技术不仅涉及个人的人脸信息收集，也与个人的财产安全密切相关。在社会管理效率提升的同时，也伴随着数据被盗、个人信息被侵犯的风险。[2]

我国尚未制定专门的法律体系以保障生物识别技术涉及的自然人信息，市场对于生物识别技术的广泛应用诱发了一系列法律问题，这就要求生物信息技术的信息处理主体应当建立商业自治规则，合理合法地保障自然人的生物信息安全。支付宝App在将生物识别技术应用于支付系统时，率先制定了生物识别技术服务通用规则以保障自然人的个人信息权利。但该通用规则作为自然人使用支付宝人脸识别技术必须同意的前置条款，内容过于粗糙，条款过于稀疏，难以起到真正的保护作用，应当逐步完善。当然，除支付宝以外，其他的信息处理主体利用生物识别技术收集、使用、处理生物信息的情形也随处可见，本文以支付宝生物识别技术为例，展开对类似生物识别技术通用规则的完善。

一、生物识别技术通用规则的应用

生物识别技术在当今社会的各领域得到广泛应用。以人脸识别技术为例，其属于生物识别技术中的一种。2013年7月，芬兰创业公司Uniqul推出了第一款刷脸支付系统，这是人脸识别技术应用于支付领域的开端。[3]此后，英国、美国及日本等国家也开始推行人脸识别支付系统。中国也在生物识别技术的发展潮流中不断深化对人脸识别技术的研究，并将其应用于多个领域，而不仅仅局限于支付系统。

(一)支付宝生物识别技术

支付宝生物识别技术包含指纹支付和手机刷脸支付两种方式，以支付宝刷脸支付为例，延展到对个人生物信息的保障与规制。2015年，支付宝在德国汉诺威展上对刷脸支付技术进行了相关展示之后，支付宝不断扩展刷脸支付的应用领域。如2017年，支付宝在国内进行首次商用试点，在肯德基的概念餐厅KPRO上线刷脸支付，后续又扩展到商场、超市、餐厅及品牌零售等多种场景。支付宝主要采取三维人脸识别技术，为提高活体检测的正确率，还采取硬件系统和软件系统相结合的方式来辨别面部信息采集的真实性，避免照片、视频合成及其他软件虚拟面部信息蒙混过关。

(二)生物识别技术服务通用规则

生物识别服务通用规则是自然人使用人脸识别技术前必须同意的条款，其由信息处理主体一方单独制定，具有格式条款的性质。生物识别服务通用规则是指为重复使用而由支付平台经营者一方预先拟定，并在缔结合同时向相对人提出的条款，具有事先拟定、重复使用、不可协商以及定型化的法律特征。[4]格式条款具有典型的不可协商性，限制了信息主体与信息处理主体平等对话的机会。[5]以支付宝的《生物识别服务通用规则》(以下简称《通用规则》)为例，传统的消费合同需要交易双方协商一致产生，但支付宝的《通用规则》并未经过双方协商一致，而是由支付宝单方面制定。用户在是否使用刷脸支付方式时，只有拒绝或接受条款两种选择，没有与支付宝平台协商的余地，如若拒绝接受条款，则无法使用刷脸支付的功能。

二、生物识别技术服务通用规则的意义

(一)生物识别技术服务通用规则具有时代性

生物识别技术服务通用规则是信息时代的产物，具有鲜明的时代性。信息时代的来临，社会对生活的效率和便捷性要求逐步提高，生物识别技术的普及和广泛应用就是对时代需求的回应。生物识别技术是以搜集自然人生物信息为技术核心，在运用过程中能够快速核验自然身份的科技手段。[6]由于自然人生物信息具备不可逆的特征，因此，要求生物信息处理主体应当严格运用生物识别技术，妥善使用自然人生物信息。生物识别技术通用规则在生物识别技术飞速发展的环境下应运而生，这是生物信息处理主体对自我行为的约束方式，也是保障生物信息主体信息安全的途径，更是响应科技信息时代号召的产物。

(二)生物识别技术服务通用规则具有实践性

生物识别技术服务通用规则是生物信息处理主体与生物信息主体签订的合同，对双方都具有法律约束力，具有实践性。在个人信息法律保障制度尚未健全的情况下，生物识别技术的飞速发展容易诱发一系列问题，不利于保障信息主体的信息安全。生物识别技术服务通用规则的广泛应用有助于提高信息处理的责任意识和风险意识，有助于信息处理主体对信息主体尽到更加严格的保护义务。同时，当信息安全受到侵犯时，信息主体也能依据信息服务通用规则寻求法律救济。此类通用规则能够被切实地运用到生活中。

(三)支付宝生物识别服务通用规则具有示范性

支付宝《通用规则》规定了对个人信息使用的基本规则，保障了个人的知情同意权，确定了可能使用支付宝平台收集人脸信息的基本场景。越来越多的实地场景为了实现无接触、无介质化的智慧服务，纷纷将人脸识别技术嵌入门禁、借阅、物品存放、远程预约以及内部考勤和管理系统。[7]《通用规则》是一种开端和向导，引导其他信息处理主体在收集、使用和处理类似于人脸信息这种敏感信息时，应当在保障信息主体知情同意权的情况下，采取书面协议等形式，确保生物识别技术的合法使用。《通用规则》可以保障生物识别技术的安全使用，不断完善的《通用规则》还增加了信息处理主体的安保义务，保障合理、合法的收集、使用和处理个人的生物信息，不得滥用、任意贩卖、删除个人信息。支付宝《通用规则》的制定和完善具有示范作用，其他收集、利用、处理个人生物信息的主体也应当制定类似条款，以保护个人生物识别信息的安全使用。

三、生物识别技术通用规则的不足

(一)信息主体难以参与规则制定

《通用规则》是信息处理主体与信息相对人之间订立的合同，由支付宝平台一方单独制定，信息主体若想使用刷脸支付或指纹支付的功能，只能同意合同条款的内容。该类型的通则限制了信息主体就生物识别技术规则与平台进行平等协商的机会。在支付宝《通用规则》的开篇写明，如若生物信息被采集主体对规则有疑问，可以与支付宝平台即信息处理平台联系，信息处理主体可以提供说明和解释。此处虽然为使用者提供了与支付宝平台沟通的可能性，但仅表达了单方面的解释和说明义务，平台使用者依旧不能参与条款的制定与条款的更改，同时也没有提供咨询的具体方式，增加了使用者与平台协商的难度。

(二)支付宝生物识别技术服务通用规则条款的欠缺

第一，《通用规则》支付宝刷脸验证服务1.1写明，为了便于信息主体在支付宝客户端及不同商家更好地使用刷脸支付功能，支付宝采取1对1人脸信息比对方式来验证信息主体的身份信息，主体在使用支付宝刷脸支付功能的过程中，需要同意支付宝对人脸信息进行必要的使用和处理。此条款体现了知情同意原则，保障了人脸信息主体的知情权和同意权，同时也说明了对人脸信息的使用方式。但此条款及后文均没有清晰地阐释对人脸识别收集的最终处理和归属路径。

第二，《通用规则》支付宝刷脸验证服务1.2、1.3、1.4、1.5、1.6、1.7等条款中，细化了支付宝平台可能使用人脸信息的具体场景，但对具体的操作描述过于模糊。例如，支付宝验证服务规则1.4中只说明在必要时对人脸信息与有法律法规允许或政府机关授权的机构保存的人脸信息进行比对验证，并没有对其中的必要性进行界定，必要性的外延过于模糊，不利于人脸信息安全保护。

第三，《通用规则》支付宝刷脸验证服务1.8规定，努力在现有技术能力基础之上保障刷脸验证服务有效、正常运行，并将尽力提升刷脸验证身份结果的准确性等内容。该条款说明刷脸技术水平还不够完善，在无法验证时可以选择重新验证或者联系客服，在支付宝平台认为可能存在风险时可以暂停提供刷脸验证服务，但关于可能存在风险并没有具体的界定。在人脸信息主体没有参与条款制定的前提下，该通用服务规则对人脸信息的保护力度仍需不断提高。

第四，《通用规则》还规定了支付宝平台的生物识别技术与手机或其他设备厂商提供的生物识别功能的关系，警示生物识别信息主体对自己信息须加强保护、提高关注度。但条款未就相关设备与支付宝的生物识别技术作出清晰的界定和划分，对于设备与支付宝平台的生物识别信息也没有给出具体的处理路径。

(三)生物识别技术服务通用规则法律规制不足

1.生物识别技术运用的国外立法保护

欧盟已于2016年4月14日通过的《通用数据保护条例》(General Data Protection Regulations, GDPR)，并于2018年5月25日开始强制执行。GDPR主要适用于欧盟组织内部有关组织对个人信息的收集、利用、储存和处理。其第4条第11款主要阐释了数据处理者搜集和处理个人数据应当取得数据主体的同意，这是保护个人数据的前提。荷兰《个人数据保护法》(Personal Data Protection Act，DPA)也规定，处理个人数据必须取得数据主体的同意。[8]欧盟议会批准通过《统一数据保护条例》中对合法性原则的规定，并立即生效。[9]《美国联邦贸易委员会正当信息通则》对选择或同意原则予以明确规定，消费者拥有两种类型的选择或同意机制可供选择。[10]国际社会将同意视作信息处理活动的合法性原则，同时也肯定在信息处理活动中还存在其他合法性基础。[11]GDPR除规定数据主体的个人知情同意权之外，还规定了数据主体访问请求、拒绝权、修正权、删除权、数据便携权等保护数据主体数据安全的权利，以更加完整地保护数据主体的数据安全。

2.生物识别技术运用的国内立法不足

目前，我国《民法典》人格权编和《网络安全法》均未区分敏感信息与一般信息，生物识别技术下的人脸信息只能作为一般个人信息进行保护。《民法典》人格权编1 034条第2款将个人信息与隐私权共同规定在一章中，不利于明确包含面部特征信息在内的生物识别信息的特殊保护地位。[12]2020年10月21日，《个人信息保护草案》公布并公开征求意见，该草案是我国第一部针对个人信息进行系统保护的法律(草案)。《个人信息保护草案》总则第3条规定了该法的适用范围和适用对象，第4条对个人信息的内涵及个人信息的处理进行了清晰的界定；第2章规定了处理个人信息的规则，其中包含知情同意原则等一般规定，种族、民族、宗教信仰、个人生物特征等敏感个人信息的处理规则以及国家机关处理个人信息的特别规定。2020年8月20日，第十三届全国人大常委会第十三次会议表决通过《个人信息保护法》，并从2021 年11月1日开始施行。该法不仅涵盖了前述草案对个人生物信息保护的内容，还强调不得过度收集个人信息，不得非法买卖、提供或者公开他人的个人信息，在公共场所安装图像采集设备应设置提示标等。《个人信息保护法》的出台，强化了对个人生物信息的实体保护，但就生物识别技术服务通用规则对生物识别信息使用、的规制。

(四)生物识别服务通用规则的司法救济不足

《个人信息保护法》的出台，落实了对个人生物信息的实体保护，强化了个人信息收集时信息主体的知情同意原则，并强调不得过度收集个人信息。此法注重对个人信息的实体保护，为生物识别服务通用规则的条款制定提供法律指引，导致个人信息受到侵犯时生物识别服务通用规则往往作为使用某项服务必须同意的前置规则，这就要求在不断强化个人信息保护法的时代，不仅应当将《个人信息保护法》落到实处，也应当强化司法救济，做到全方位、宽领域地保护个人生物信息安全。

四、生物识别技术服务通用规则的完善

(一)提高对生物识别信息的保护

目前，生物识别个人信息在我国作为一般信息予以保护，不同于欧美国家将其明确界定为个人敏感信息。我国《民法典》将其与个人信息规定放在一起，可知我国的生物识别生物信息只能适用一般个人信息的保护规则。而无论是欧盟的《通用数据保护条例》，还是美国各州的相关法案，对于个人生物识别信息的共同规则是“禁止处理、明示同意、法定必要”[13]。禁止处理，指原则上禁止信息主体以外的他人利用生物识别技术识别及处理个人生物识别信息；明示同意，指经生物信息主体明确以书面形式表示同意，信息处理主体可在特定的范围内处理此类信息，即在明示同意的范围内处理生物信息；法定必要，即法律规定的信息处理主体在特定条件下可以处理信息主体的信息而无须经生物识别信息主体同意，通常包括社会公共利益等条件。上述三大规则，是以禁止处理为原则，以明示同意、法定必要为例外。美国伊利诺伊州的《生物识别信息隐私法案》还赋予生物识别信息主体以知情权、同意权、信息自决权三大权利，以及三大禁止规范即：禁止未经生物识别信息主体同意而收集、储存、使用、披露或以其他方式传播生物信息主体的生物识别信息；禁止购买、通过贸易接收、出售、租赁、交易个人生物识别信息；禁止信息主体的生物识别信息中获取利益。[14]

信息处理主体的生物识别服务通用规则可以在借鉴欧美法律规定基础上，细化对规则的制定和完善，在保证知情同意原则的前提下，保障信息主体对自己生物信息的收集、使用以及最终处理的方式，完善规则的内容。同时，信息处理主体应提升信息保护意识。在人脸识别的过程中，人脸信息相当于传统形式下的密码，一旦泄露便会对信息主体的人身安全及财产安全造成威胁。因此，需要明确对生物信息采集的过程、使用与最终处理规则，不仅要防止人脸信息被泄露，更要防止恶意扩张生物识别信息的使用目的。

(二)确保与现行法律有效衔接

从支付宝《通用规则》的内容可以看出，在制定通用规则的过程中，信息处理主体未尽到充分保障生物信息安全的义务。就人脸识别技术而言，无论何种个人信息处理主体在制定和执行《通用规则》过程中，均应当充分保障生物信息安全，以防止损害信息主体的人身和财产安全。信息处理主体在制定规则在法律规制进程中，应当明确可采集自然人生物信息的应用场景、使用范围、保管责任、违规处罚标准等，避免商家随意越界采集、使用个人信息，有效规制商家对生物信息的合理保障，敦促商家妥善保管用户个人生物信息，并对信息泄露行为有效追责。[15]据《个人信息保护法》第四条和第五条规定可知，人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开、删除等内容。同时，信息收集主体在处理人脸信息时应当遵循合法、正当、必要和诚实信用原则。那么，信息处理主体所制定的生物识别技术服务通用规则的条款应当严格遵循《个人信息保护法》的新规定，做到在《个人信息保护法》的基本内容上有效规制生物识别技术服务通用规则的内容，对人脸信息所涉及的各个环节和可能性予以明晰，保障人脸信息的流动及归属合法、正当。

(三)细化生物识别技术服务通用规则的内容

目前，同类型的生物识别服务通用规则都比较简略，条款规定也模棱两可，难以凸显对生物信息主体信息安全的保护。从《个人信息保护》的条款内容可知，人脸识别技术收集的人脸信息属于个人敏感信息。个人敏感信息事关信息主体多方面的利益，处理主体应当更加谨慎，必须在现行法的基础上，广泛借鉴别国法律与相应法律条款，细化生物识别服务通用规则，完善人脸识别应用的调整规则、健全行业自律机制、勾勒企业合规方案，大幅降低侵权风险，有序推动产业发展。[16]当然，不同的信息处理主体在收集、使用和处理生物信息时的技术要求和使用程度各不相同，应在充分考虑自身技术条件、使用程度的基础上，制定最有利于保护生物信息安全的生物通用规则，以达到维护社会信息安全的目的。

(四)强化生物识别服务通用规则的司法救济

《通用规则》作为个人信息处理主体制定的条款，现有内容的模糊性会增强信息的不安全性，而《通用规则》中的法律责任划分也尚待明确，即使是在个人信息受损的情形下，也难以获得足够的证据支持，寻求司法救济。虽然《个人信息保护法》第60条规定了国家机关对个人信息的保护和监督义务，且《个人信息保护法》第70条也规定众多个人信息遭受信息处理主体侵害时，检察院、法定消费者组织以及国家网信办可以依法提请诉讼，但在实践中由于《通用规则》的事前规避性会增大原告的举证难度，受到损害的个人信息主体也难以依据《通用规则》的条款获得法院支持。根据前文对支付宝《通用规则》条款的剖析，可以发现《通用规则》的内容本身没有对双方法律责任的划分。另外，在此基础上查询了其他日常通用App的通用规则，事实上各类App都较少涉及个人信息受损后的司法救济指引和法律责任划分。那么，在《个人信息保护法》出台的大背景下，如何强化个人信息保护的司法救济及通用规则中的法律责任划分，不仅是个人信息处理主体应当予以完善的内容，也是国家司法机关在诉讼过程中的证据认定环节应当予以考量的要点。

支付宝《生物识别技术通用规则》只是人脸识别技术应用规范的一个探索样本，其他类似主体应在现有基础上遵循法律和社会的要求，不断完善规则内容；已经收集自然人生物信息但尚未制定相关规则的企业、单位等信息处理主体，应当尽快制定生物识别保护规则。在不断完善法律强制力保障的前提下，继续加强和完善信息处理主体的保障义务，提高生物信息主体的自我保护意识，为信息处理主体和信息主体提供正确的法律指引，确保生物识别技术信息处理的安全应用。