生物识别信息的立法保护问题研究

摘要：当前，生物识别信息技术在给人们生活带来便利的同时，也带来了一系列潜在风险，其中，生物识别信息引发的个人信息安全问题备受关注。为了更好地发挥生物识别信息的作用，同时又不侵害个人的合法权益，必然需要通过法律手段来规范生物识别信息的使用。本文在阐释生物识别信息概念及其特征的基础上，对我国生物识别信息立法保护现状及存在的不足进行了探究，并提出了完善我国生物识别信息立法保护的建议对策。

关键词：生物识别；信息；立法保护；隐私权；信息安全

引言

近年来，随着我国信息化和智能化进程的不断加快，以人脸、指纹、声纹、虹膜和 DNA为代表的生物特征识别技术得到了快速发展，被广泛应用于政府管理、医疗卫生、治安防控、金融交易等领域。生物识别技术的兴起为人类生活和社会管理带来了极大的便利，但随之而来的侵权、违法犯罪行为也与日俱增。生物识别信息的非法采集、交易和滥用现象层出不穷，同时侵犯其行为的手段也越来越复杂多样，已经形成了一条黑色的产业链条，这不仅严重侵犯了公民的信息和数据权利，还会扰乱社会管理秩序，甚至危害国家安全。当前，我国对生物识别信息的立法价值取向不清晰，监管力度不足，而个人生物识别信息已处于需要法律深度介入的阶段，如何完善个人生物识别信息法律体系，明确其使用标准和范围，对于推动生物识别技术健康发展、保障个人信息数据不受侵权具有重要意义。

一、生物识别信息立法保护

（一）生物识别信息概念

在现行法律、国家标准中，对于生物识别信息未作出明确的定义，从理论上而言，生物识别信息属于个人信息范畴，而我国现阶段对于个人信息保护的法律主要集中在对于个人隐私权的保护，2017年《民法总则》（第11条）虽然对“自然人个人信息”进行了明确规定，但在立法上并没有明确提出“生物信息”这一概念，也没有对其进行专门的规定。2021年1月1日起施行的《民法典》第1034条第2款规定：“个人信息，是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。学界有主张将“个人信息（数据）”视为独立人格权，也有主张不应将其视为独立人格权。从概念到范围，个人隐私都与个人信息有着很大的区别，个人隐私是一种人身权利，而个人信息权则是一种财产性内容，包括人格权、国家安全和数据经济，二者在法律地位和价值选择上有很大区别。目前对“个人生物识别信息”的定义存在较大争议，但普遍认为，个人生物识别信息可单独或组合用于识别特定人的全部生物数据或信息，与一般的个人信息相比，其可识别性更强、更独特[1]。

（二）生物识别信息特征

现代的生物识别信息不再像以前人们使用的密码那样容易被遗忘或破解，并且生物识别信息难以窃取或转移，所以在大部分人看来，生物识别信息通过将人体固有特征与其相结合，使现实生活中许多领域的操作变得更加便利和可靠，成为一种值得信赖的大众身份识别方法。

生物识别信息具有以下几个主要特点：（1）普遍性，生物识别信息主要利用生物主体的生理特性，这是每一个公民都具有的特点；（2）主体唯一性，每个人的生物特征都不尽相同。例如，通过指纹信息的不同，能够直接对人们的身份进行识别；（3）不可变更性，每个人的生理资料都固定不变，不会因为年龄和生活环境的改变而改变；（4）生物识别信息数据采集方便，生物特征识别信息具有独立性，样本易于采集，便于建立生物特征信息数据库，实用性强；（5）生物识别信息辨识准确性高，即生物特征识别的精确性和速度性；（6）可接受性强，在应用生物特征信息时，其识别与认证过程不会受到人的排斥，人们具有较强的可接受性与协作性；（7）生物识别信息本身真实性高，一般通过生物特征识别身份信息的方法基本上可以避免假冒特征的欺骗性[2]。

二、我国个人生物识别信息保护立法现状及主要问题

（一）我国个人生物识别信息保护立法现状

目前，我国法律体系中尚未对生物特征信息保护和规制问题进行专门的立法。个人生物特征信息保护分散在不同的法律规范中，既有实体法的规定，也有程序法的规定。具体而言：

（1）在个别法律条文中对个人生物特征信息进行了规定和保护，如《居民身份证法》中的第306条、《民法典》中的第1034—1039条、《刑法》中的第286条、《消费者权益保护法》中的第14条等，其中《居民身份证法》明确规定了“指纹信息”，而《网络安全法》专门规定了“网络信息安全”，呈现出立法比较分散的情形，不够统一完整，这些内容都是我国不同法律条文中对个人生物信息的规范与保护。

（2）关于个人生物信息规范性文件的规定。例如，《全国人大关于加强网络信息保护的决定》（2012年）中提出：“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则”。《信息安全技术公共及商用服务信息系统个人信息保护指南》对利用信息系统处理个人信息的活动给出了明确规范与技术指导，诸如此类的文件还有很多，《涉及人的生物医学研究伦理审查办法》《儿童个人信息网络保护规定》等，这些条款对个人生物信息的收集、使用等环节给出了规范性指引[3]。

（二）我国生物识别信息立法保护主要问题

1.生物识别信息立法保护比较分散

尽管我国在网络迅速崛起的十几年前就已经开始保护网络空间中的个人信息，但相比于快速发展的现代化技术，如大数据、云平台而言，依然进展比较缓慢。从我国生物识别信息立法的概况来看，在涉及个人生物识别信息的保护问题时，已有法律政策和文件分布比较零散且缺乏针对性，总体而言，尚未形成一个完整的个人生物信息保护体系，从而导致涉及个人生物信息的案件往往存在无法可依、执法行为不规范、执行部门相互推诿及追责、索赔困难等一系列问题[4]。

2.生物识别信息缺乏刑法特殊保护

目前，生物识别信息的应用正呈现出逐年递增的趋势，伴随而来的是大量个人生物信息被不正当收集和利用，从而使公民的人身安全和财产安全面临极大威胁。在《民法典》中虽然将生物识别信息与一般个人信息的概念做了区分，同时也强调了要加强对生物识别信息的保护，但是，我国刑法对此却鲜有涉及，只是简单地将其视为一般的个人信息侵权行为，没有考虑到个人信息的特殊性，对其进行无区别的规制和处置，不利于个人生物特征信息的保护。从整体来看，现行法律和法规并未突破对一般个人信息保护的范围和力度。

3.生物识别信息监管力度不足

近年来，我国《个人信息保护法》虽然加大了对生物信息保护的力度，但在具体监管上还存在诸多问题。目前，我国尚无专门的个人生物信息管理机构对其进行监管，而是由多个部门的个人信息管理部门联合实施。这样容易出现“九龙治水”的局面，并且在实际操作过程中容易出现信息阻塞，互相推诿的现象[5]。

三、完善我国生物识别信息立法保护的对策

（一）健全生物识别信息法律保护体系

1.明确个人生物识别信息保护的核心概念

一个概念的明确性会直接影响到法律逻辑的确立和具体规定的实施，美国伊利诺伊州2008年的《生物识别信息隐私法》作为美国首部此类法律，明确区分了“生物识别标识”与“生物识别信息”，并严格界定了生物识别信息的各内涵和保护范围，涵盖了视网膜扫描、指纹、声纹及面部和手掌几何形态的扫描。而其不包括书写样本、签名、照片、用于合法科学测试或筛查的人类生物样本、人口统计数据、关于对身高、体重、发色等身体特征的描述。鉴于我国当前立法在此领域概念界定不明晰、不统一的现状，我国立法中应借鉴《生物识别信息隐私法》，对个人生物识别信息概念进行统一界定和严格规定，明确生物识别的基本内涵、保护权利和保护范围，并将生物识别信息列为敏感个人信息，对敏感个人信息进行加强保护[6]。

2.对个人生物识别信息的采集、处理等方式进行立法保护

对生物识别信息的非法采集和处理风险主要体现在以下几点：（1）我国社会出现的肆意采集个人生物识别信息、采集方式安全性差的普遍现象；（2）在现实生活中，对于法律上的知情同意请求往往只是一种纯粹的事实性的理解，这实际上剥夺了信息主体的同意权，从而在很大程度上削弱了同意机制对于信息主体的微薄保护；（3）鉴于生物识别信息的唯一性、易收集性等特征，一旦被不法分子收集和传播，将可能造成不可估量的损失。因此，针对这些潜在风险应通过立法条文加以规整，对所有需要采集个人生物识别信息的主体，必须采用具有专门信息安全保护处理能力的芯片来获取信息，并使用特定的加密算法对数据进行保护存储，避免出现个人生物识别信息泄露和滥用现象的发生。同时刑法的保护机制还应包括对个人生物信息的采集，不仅要遵守合法、合理、必要的原则，还要对采集、使用的规则进行公开，对采集、使用的目的、模式和范围进行明确，并征得被收集者的同意；如因处理目的、处理方式及处理对象发生变化，应再次征得个人同意。此外，立法机关在立法选择或立法努力的朝向上，还应采取“原则禁止，例外允许”的原则，并对个人生物识别信息采集的主体建立准入机制，从行业主体角度进行规范。可以通过仿照第三方电子支付拍照的发放模式，由权威部门对需要生物识别信息采集的主体进行综合评价后，对于具有资质的主体进行授权，而对于未经授权的主体则不得私自进行采集，一旦出现私自采集，就应受到相应的处罚。除了准入机制的审查之外，还应完善行业的逐出机制，提高违法成本[7]。

3.健全与完善生物识别信息保护机制

目前，我国个人生物识别信息应用尚处于起步阶段，存在认识不一、立法人员欠缺成熟理论与实践的问题，导致现阶段建立有效生物识别保护机制难度大，需通过探索和实践不断优化。鉴于各地生物特征识别技术应用不平衡，建立保护机制应因地制宜，以有效促进地方监管和完善保护措施的实施。因此，立法机关可以采用“实验性立法模式”，因地而异，在中央进行框架立法的前提下，赋予地方更多的自主立法权限，通过权力下放形成多层次的政策结构，不断探索个人生物识别信息应用保护机制的制定，同时通过定期开展绩效评价，不断予以修正，这样通过地方立法对个人生物特征信息进行保护和监督，既有利于各地区之间的竞争和学习，也可以为国家生物特征信息的立法保护提供更多的借鉴。

（二）加强生物识别信息的刑法特殊保护

生物识别信息保护，仅仅依靠单一的民法或行政法难以实现其多元化的价值目标，还需要以刑法作为坚强后盾，以抵抗生物识别技术带来的安全风险。因此，刑法作为社会治理的重要措施，应充分发挥其法益保护的机能，深入融合到生物识别信息的立法保护中。因此，如前文所述，由于前立法的不足，我国刑法应结合生物识别信息的特殊性，对个人信息犯罪产业链的源头与尾端，采取“两头保护”保护的模式，防止生物识别信息被非法收集和滥用，从而达到被保护效果。与此同时，建立“公民个人信息—身份信息—生物特征”分级递进式的保障机制，填补“合法获取+非法使用”在我国刑事诉讼中的不足，实现对传统的“身份窃取”的有效监管，并提升其刑事化的扩散效应[8]。

（三）加强生物识别信息的法律协同监管

将生物特征识别技术应用于社会管理，不仅是一个部门内的管理问题，更是关系到不同部门甚至不同地区对已知个人信息进行管理的问题。针对当前分散监管、权责不统一的现状，我国应依据职权法定原则，在参考国外优秀做法的基础上，通过立法设置一个全国性的生物识别信息监督体系，并在网信部门的统筹协调下，构建一个包括多个监督部门在内的协作监督体系，从而实现从中央到地方的纵向统一监督，加强监督与管理责任。同时，为了弥补生物识别信息相关专业知识的不足，监管机构可以采取聘请专家学者、法律顾问、政府雇员等多种形式，实现专业化知识结构的法律监管，这样有助于提升监管措施的有效性和科学性。

结语

在科技化、智能化、信息化时代，生物识别信息的独特性与可用性，提升了对个人信息的深度挖掘与利用。但是，由于种种原因，信息安全方面存在诸多问题，迫切需要加强法律保护。对个人生物识别信息的保护和利用，既要符合国家发展规划，又要推动经济发展与科技进步，还要兼顾自然人与信息处理者之间的利益关系。因此，为了保护生物识别信息的安全性和隐私权，必须完善我国生物识别信息立法保护措施。

参考文献：

[1]付微明.生物识别信息法律保护问题研究[D].中国政法大学，2020.

[2]罗斌 李卓雄.个人生物识别信息民事法律保护比较研究：我国“人脸识别第一案”的启示[J].当代传播，2021，（1）：77-81.

[3]许静文.人脸识别技术与安全风险治理问题研究[J].甘肃政法大学学报，2020，（06）：135-146.

[4]闫晓丽.美国对人脸识别技术的法律规制及启示[J].信息安全与通信保密，2020，（11）：94-101.

[5]邢会强.人脸识别的法律规制[J].比较法研究，2020，（5）：51-63.

[6]林凌，贺小石.人脸识别的法律规制路径[J].法学杂志，2020，41（07）：68-75.

[7]付微明.个人生物识别信息的法律保护模式与中国选择[J].华东政法大学学报，2019，22（06）：78-88.

[8]京东法律研究院.欧盟数据宪章：《一般数据保护条例》GDPR评述及实务指引[M].北京：法律出版社，2018.

（责任编辑：袁丽娜）