论我国生物识别信息应用的监管路径*

湖北大学 冉汐，张子卓，张明洋，张雪琴

一、生物识别信息应用监管的必要性

（一）生物识别信息应用侵权现象严重

一般认为，生物识别信息是指能识别出个人身份与行为特征的生物信息[1]，包括自然人的指纹、声音、虹膜、面部识别特征、静脉等生物信息，属于个人信息中的敏感信息①，具有不可逆性、唯一性、直接识别性等特征[2]。由于其反映了自然人内部生理属性，且具有高度、直接识别性，因此，生物识别信息的人身性质极强[3]。亦有学者认为，经过分析处理后的生物识别信息在大数据应用中具有巨大的商业价值，其财产属性也日渐凸显。

除此之外，生物识别信息的应用使得“个人身份”在大数据背景下利用互联网得以匹配、核实，个人身份所携带的个人人格、隐私以及万物互联下其所具有的经济价值都有可能因生物识别信息的滥用而受到侵害，甚至对社会利益、国家安全造成损害。因此，无论是从生物识别信息极强的人身属性与财产属性的角度出发，还是为了维护社会公共利益和国家安全，对生物识别信息的应用全过程进行监管均十分有必要。我国目前生物识别信息应用侵权现象十分突出，如在中国消费者协会发布的一次APP测评报告中，就有一些应用软件涉嫌过度收集生物识别信息。“人脸识别第一案”从某种角度上说明了人脸信息作为重要的生物识别信息，十分容易被滥用。生物识别信息应用灰黑产业链已然形成，将会对生物识别信息应用监管与保护造成极大的挑战[4]。

（二）我国生物识别信息应用监管现状及不足

1.监管立法针对性不强

我国相关法律规定散见于《个人信息保护法》《数据安全法》等法律中。综观上述法律条文内容，可见其对生物识别信息的监管规定并无针对性。《个人信息保护法》将生物识别信息列为敏感个人信息，但在监管规定中仅对个人信息保护职责部门及相应监管职责作出较为宽泛的规定，并未具体针对生物识别信息提出特别监管部门及措施。在大数据时代，生物识别信息通常由通过分析后生成的数据发挥价值，鉴于生物识别信息与一般个人信息的敏感程度不同，与生物识别信息相关的数据应当与一般数据相区分，而《数据安全法》仅规定有关部门履行数据安全监管职责，并未提到特殊数据应如何保护、监管。因此，相关立法并没有突出生物识别信息的特殊性。

2.相关规范性文件对监管的震慑力不强

虽然我国相关立法对于生物识别信息应用监管未作出特别规定，但一些规范性文件却有较为丰富的规制内容。中国人民银行颁布的《个人金融信息保护技术规范》将个人信息按照性质不同划分了敏感程度，并且将生物识别信息归类为敏感程度最高的个人信息②。此外，该《规范》还设置了专门的个人金融信息保护组织架构，明确了该组织的职责。关于个人信息的规范性文件《信息安全技术 个人信息安全规范》将生物识别信息明确纳入个人敏感信息，并规定了生物识别信息专门的存储规则[5]。这些规范性文件相较于上述立法规定得更为详细，更具有可操作性和针对性，但其位阶相较于法律而言较低，仅能起到指导参考作用，依靠行业自律保障实施，并无强制力。

3.缺乏统一的监管机构

目前我国尚无统一的生物识别信息应用监管机构，而是由各部门对其监管范围内的个人信息进行监管。然而，生物识别信息作为一种重要的敏感个人信息，从收集到销毁的各环节中很可能涉及不同的领域，从而造成“九龙治水”的现象，同时还存在监管主体不明的情况，如前所述《数据安全法》中，规定“有关行政部门”作为监管主体，但难以确定具体监管的行政部门。最后，由于生物识别信息与高科技紧密结合，需要有专业知识和技能才能胜任监管职责。然而我国并未规定专职监管生物识别信息的部门，并未配备相应的生物识别信息技术专业化人才，因此我国的生物识别信息应用监管存在专业化不足的情况[6]。

4.监管存在滞后性

现有的生物识别信息应用监管措施多为传统的监管手段，以强制命令、鼓励引导和事后惩罚为主要形式，如行政处罚、约谈等，并没有相关准入许可的制度安排。因此，现阶段监管的回应性不足，缺乏事前的监管措施，往往在侵害事件发生后才启动监管，有一定的滞后性，并未做到生物识别信息全环节、全过程覆盖。而生物识别信息通常与现有的高科技相结合，有着技术上的复杂性和隐蔽性，侵害生物识别信息的行为往往难以预测和察觉[7]，因此在复杂的环境下，监管更应当具有主动性，并针对新事物的出现给予足够敏感的关注和预防。

二、我国生物识别信息应用监管的优化路径

针对上述问题，我国应从外部与内部两个维度完善生物识别信息监管体系。

（一）外部多层次监管体系的构建

1.对生物识别信息应用监管从法律层面进行专项立法

如前所述，我国对生物识别信息应用的监管路径选择并不明确，内容丰富，但未形成体系的规范性文件且位阶较低、震慑力与强制力较弱。因此，在宏观监管体系建构上，应由国家中央立法进行规定。从立法技术层面上看，生物识别技术将来的应用具有专业性、隐蔽性、复杂性以及不确定性，相应的监管策略仍待研究与调整，不宜进行详细规定，因此相关法律法规的制定须以原则性、框架性内容为主，在应对未来突发事件时起到兜底保护的作用。其次，应将生物识别信息立法提升到法律层面，提高其位阶与强制力，并借鉴、吸收、整合已有的规范性文件，对生物识别信息加以规制。

在专项立法的引领与协调之下，其他各专门法、单行法应具体设置应对生物识别信息应用监管的法律规则，处理好民法、刑法与行政法等相关法律法规之间的衔接关系，结合公法与私法，从立法层面构建完整的生物识别信息监管体系。

关于是否需要将生物识别信息的具体类别均拿出来专项立法，若将生物识别信息总体专门立法如何保证兼顾各类生物识别信息的特殊性，对此仍需进一步讨论。2021年7月27日，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》出台，并于2021年8月1日正式实施，说明我国已经注意到了生物识别信息中人脸信息的特殊性。因此，其他类型的生物识别信息保护或许可以参照人脸识别信息出台相应的司法解释，以回应现实需要，若对每一类生物识别信息均进行单独立法，则不仅过于具体，无法较好地应对生物识别信息商业应用未来发展状况，而且立法成本较高。因此，可根据司法实践情况配套出台相应的司法解释，搭配《个人信息保护法》中的框架性规定，对监管进行规制。

将生物识别信息作为一个整体进行单独立法，在《个人信息保护法》关于敏感信息保护的大框架下进行针对生物识别信息的细化规制有一定可行性。但如前文所述，应进行原则性、框架性立法。生物识别信息发展势头迅猛，未来随着与生物识别信息相关的科学技术日新月异的发展，具有极大的不确定性，生物识别信息侵权样态亦呈现出多样化趋势，其监管亦须在法律框架下因时而变，要求生物识别信息立法应当具备灵活性，适当赋予监管机构一定程度的自由裁量权，以应对生物识别信息未来灵活化的发展态势。同时，在生物识别信息整体立法的内部，亦须对生物识别信息的类型进行分级、分层规制，出台有针对性的监管措施。比如，相较于其他生物识别信息，人脸信息因收集的随意性以及不易察觉性，有更容易被滥用的风险，且信息主体的知情同意权不容易得到保障。指纹等信息需要信息主体配合才可完成收集，信息主体在收集的过程中至少知情[8]。因此，关于人脸识别信息的监管须关注如何规制在信息主体不知情的、被动的情形下被收集信息的行为，而关于指纹等其他生物识别信息的监管，则侧重于如何规制收集、处理者在与信息主体约定的范围内使用生物识别信息，保证其不被滥用。具体应当如何合理对生物识别信息进行评估、分级，有待进一步讨论。

2.明确单一的政府监管责任部门

针对前文提到的我国尚无统一的政府生物识别信息应用监管部门的情况，本文建议我国设立独立的生物识别信息应用监管委员会，统一监管责任部门。因此，应通过立法设置国家层面的生物识别信息应用监管机构，强调“生物识别信息管理”的独立性和专业性，增强行政监管和救济的针对性和实效性。同时在地方一级配备相应的生物识别信息监管部门，保证上级生物识别信息监管机构的指令可以得到较好的贯彻执行，形成上下级之间良好的互动。地方一级的生物识别信息监管机构需定期向上级汇报生物识别信息实时监管情况，以及在监管过程中遇到的新问题。

建立统一、专门的监管部门有利于形成监管合力，对生物识别信息监管进行统筹规划、全局部署，并且能更好地提升生物识别信息监管的专业化水平，凝聚专业技术力量，配备生物识别信息应用监管的专业化人才，提高监管的效率和科学性。现阶段我国生物识别信息技术尚在发展中，相应的生物识别信息应用实时监管技术也应随之开发。当然，各种类型的生物识别信息所需的监管手段和技术可能略有差别，在监管机构内部如何根据生物识别信息类型的不同进行部门与职能的划分尚待研究。

3.实行行业许可制度

当前我国个人生物识别信息滥用现象严重，其中重要的原因之一是我国尚未对参与生物识别信息各环节的企业或平台设置准入门槛，缺少事前监管环节，导致生物识别信息企业只经过简单的发布隐私公告程序就可以收集、使用个人生物识别信息，甚至在信息主体不知情的情况下收集生物识别信息，而不论是否具有收集、使用的必要以及是否具有相应的技术能力与信息保护能力等。鉴于国内生物识别信息应用准入门槛低、公民的知情同意权难以保障以及生物识别信息被泄露后难以维权的现状，该领域亟待国家公权力介入加以规制。国家对个人生物信息处理的规制必须从源头提高行业准入门槛，加强事前监管，实施行业许可制，改变生物识别信息的滥用现状。国家必须针对生物识别信息，从收集到利用、销毁等各环节制定标准，个人生物信息的各环节参与者均须经过考核，达到国家规定的标准后获得行业许可证，由国家相关部门颁发牌照后才可以从事个人生物信息的全环节处理活动。统一标准、提高准入门槛，不仅有利于国家对生物识别信息应用进行规范化管理，更有利于筛选出真正有技术和能力做好生物识别信息合理应用与保护的企业，净化生物识别信息应用的市场环境，促进生物识别信息应用产业的良性发展。

（二）生物识别信息企业内部监管体系的构建

增设生物识别信息保护专员岗位。我国《个人信息保护法》已设置了“守门人”条款：“提供重要的互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。”外部独立的个人信息监督机构的设置有利于保证监督效果，防止出现“既当裁判员又当运动员”的情况。为了凸显生物识别信息的特殊性，可以在该规定的基础上设置专门针对生物识别信息保护的岗位，即生物识别信息保护专员岗位，实时监督企业在生物识别信息全环节的合规情况。生物识别信息保护专员必须具备生物识别信息相关专业知识、具有一定工作经验，且独立于生物识别信息企业。此种设置方式有利于将生物识别信息保护的相关规定落到实处，且自成体系，对生物识别信息每一步监管的规定都较完善，理论上可以起到较好的监管效果。因此，我国可以加大生物识别信息技术相关的人才培养力度，以适应增设生物识别信息保护专员岗位的需要。

三、结语

技术的进步使个人生物识别信息得到广泛应用，在给我们日常生活带来方便的同时，其可能造成信息泄露的风险亦不容小觑。随着大数据和人工智能的发展，生物识别信息应用在国内的准入门槛低，不少营利性组织纷纷入局，造成生物识别信息滥用现状。生物识别信息具有难更改性和损失的不可逆性，一旦泄露便可能对终身造成影响，会给信息主体造成几乎无法挽救的伤害，因此对生物识别信息应用监管体系的构建已刻不容缓。我国可以从信息企业外部监管和内部监管两个维度构建生物识别信息应用多层次的监管体系。从外部监管层面而言，首先要对个人生物识别信息应用监管进行专项立法，二是明确单一的监管责任部门，三是实施行业许可制。从信息企业内部监管层面而言，可增设生物识别信息保护专员岗位。如今生物识别信息已引起许多学者的重视，生物识别信息应用监管体系的完善指日可待，但如何通过立法促进培养掌握专业化生物识别信息的人才、提升生物识别信息应用监管专业化水平，仍有待学界继续研究。

注释

①GB/T35273-2020.信息安全技术个人信息安全规范[S].

②JR/T0171-2020.个人金融信息保护技术规范[S].