此頁面上的內容需要較新版本的 Adobe Flash Player。

獲取 Adobe Flash Player

高級搜索
請輸入檢索內容:

當前位置: 首頁 >> 學術資源 >> 行政法學 >> 正文

商希雪:生物特征識別信息商業應用的中國立場與制度進路——鑒于歐美法律模式的比較評價

| 時間: 2021-06-21 10:33:36 | 文章來源: 《江西社會科學》2020年第2期

生物特征識別信息商業應用的中國立場與制度進路——鑒于歐美法律模式的比較評價


商希雪

(中國政法大學刑事司法學院講師)


摘要:針對生物特征識別信息的唯一識別作用及其經濟價值,法律應合理平衡公民數據安全與生物技術產業發展、公共管理效益、個人生活便利之間的多方利益沖突,并同時促進生物識別技術的創新發展。由此,在個人信息分級分類保護制度建設中,生物特征識別信息有其專門的規則構建路徑,包括規范文件形式、文本整體框架、具體規制對象、技術保護要求、技術工具監管等方面。關于生物特征識別信息的收集與應用的具體規則設計,我國制度建構進路應圍繞四個維度探討:一是法律規范體系的結構化安排;二是規制框架的樣本參照方案;三是立法內容的多維規制層面,涉及企業安全責任、市場交易規范、信息主體權利等方面;四是提前的司法救濟模式。

關鍵詞:生物特征信息;生物識別;人臉識別;生物特征識別數據;生物特征識別信息


鑒于個人生物特征識別信息的不可變更性與主體唯一性,生物特征識別信息一旦被泄露或冒用,可能會對信息主體造成難以彌補或永久性的傷害與損失。因此,相對于其他個人信息的泄露風險,生物特征識別信息的泄露明顯呈現高危性。并且生物特征識別信息的安全極度依賴技術保障,而目前生物特征識別技術的發展階段尚不夠成熟,其更新速度與趨勢也難以預測。因此,在各項互聯網認證技術中,對生物特征識別信息的識別技術存在相當的不安全與不穩定性。生物特征信息經生物識別技術認定后,被識別主體可直接處分與合法控制該身份下的人身與財產權益,與密碼控制模式相比,生物特征識別信息一旦被盜用則不可通過重新設置而更改,因此必須對其進行高度保護。對比歐美已有的生物信息法律制度,我國對于生物特征識別信息的制度建設尚不完善,需及時跟進生物特征識別信息商業應用的規范設置。


一、美國生物特征識別信息立法規制與發展態勢分析


美國是世界上最早頒布生物特征隱私保護法律的國家,但各州呈分散式立法狀態。自2009年伊利諾斯州首次出臺《生物特征信息隱私法》,其他州如德克薩斯州與華盛頓州也相繼出臺了專門的法律。而佛羅里達州與加利弗尼亞州,盡管在勞動法中已經規定生物特征識別信息的使用與保護要求,目前仍在醞釀出臺專門的生物識別信息保護法。

(一)美國各州的立法規定比較

在美國,目前還沒有統一與全面的聯邦法律規范生物特征數據的收集和使用。除了伊利諾斯州、德克薩斯州和華盛頓州,其他所有州均允許雇主或企業收集和分析生物特征信息,而不需要向雇傭人員或消費者披露或發出任何通知。作為世界上首部生物特征信息隱私保護法律,2008年伊利諾斯州立法機構通過了《伊利諾斯生物特征信息隱私法》(Illinois Biometric Information Privacy Act,簡稱BIPA)。需要注意,在法律適用與權利行使方式上,伊利諾斯州是目前唯一一個允許公民個人對于違反《生物特征信息隱私法》的行為提出私人司法訴訟的州。但是,盡管伊利諾斯州在2008年就通過了BIPA法案,但直到2015年才發生針對企業違反該法律而提起的5例集體訴訟,在此之前,該法尚未得到現實適用。由此看到,盡管這項法律制定于十多年前,鑒于如今生物識別技術的發展與應用,該法目前仍具有普遍適用的潛力。因此,如果企業在伊利諾斯州經營與生物識別有關的業務,則有必要繼續關注該法的適用及變化。德克薩斯州于2009年頒布了《生物特征信息隱私法》,2017年6月,華盛頓州成為第三個通過生物特征信息隱私法的州。阿拉斯加、康涅狄格和新罕布什爾等其他一些州也提出了頒布生物識別信息法的計劃。加州在2018年底頒布的《加利福尼亞州消費者隱私法》(The California Consumer Privacy Act,簡稱CCPA)也明確涉及生物特征數據的特殊保護規定。各州立法規定的差異有四個方面。

1.生物信息權利行使路徑。德克薩斯州和華盛頓州通過的生物特征數據保護法律與BIPA相似,但并不完全相同。如根據德克薩斯州的法律要求,在私營主體開始收集生物特征識別標識符(biometric identifiers)之前,必須得到個人的知情同意,但是并不需要書面同意。此外,與BIPA不同的是,只有德克薩斯州的司法部長才能執行與適用德克薩斯州的生物特征識別信息隱私法,因為該法律沒有提供公民私人訴訟的途徑。由此看出,華盛頓州與德克薩斯州沒有在其法律中提供行使私人權利的方式,而伊利諾斯州法律提供了權利救濟的路徑,即,公民個人可自行向法院提起司法訴訟,主張依據該法所享有的生物特征識別信息權利。由此看出,在公民生物特征識別信息的權利化認識上,各州立法存在不同的態度。

2.對待生物特征識別信息商業應用的態度。華盛頓州的生物特征識別信息法于2017年5月16日簽署生效,《華盛頓州議會1493號法案》(2017 Washington House Bill 1493)適用于個人和非政府實體(主要指企業),規范上述主體在收集、存儲和使用生物特征信息行為方式。在華盛頓州,任何主體都被禁止“未經事先通知、征得同意或提供防止隨后將生物識別信息用于商業目的的機制,就將生物識別信息登記到數據庫中用于商業目的”?!兜驴怂_斯州買賣與交易法案》也是適用于為“商業目的”使用生物特征信息的任何主體,但該法并不解釋“商業目的”的明確含義。因此,在生物特征識別信息的商業適用上,各州生物特征識別信息法律原則上是限制與規范而非禁止,且規定內容本身并不具體,生物特征識別信息商業使用仍存在合法空間。

3.對待面部識別應用的態度。華盛頓州的生物特征識別信息隱私法僅適用于被“登記”或收錄于商業數據庫的生物標識符,并被定義為“(正在)獲取個體的生物特征標識符,將其轉換為不能重構為原始輸出圖像的參照模板,并將其存儲在與特定個體的生物特征標識符匹配的數據庫中”。對于生物特征數據的定義,該法明確排除了“物理或數字照片、視頻或音頻記錄或由此產生的數據”。因此華盛頓法規排除了面部識別技術,社交網絡和照片存儲網站可使用該技術為用戶的數碼照片貼標簽?!兜驴怂_斯州買賣與交易法案》也不包括面部幾何形狀,亦未將面部識特征別信息的商業使用納入生物識別信息法律的規制范圍。

4.對待生物信息公共管理使用的態度。2019年2月21日,佛羅里達州立法機構提出《佛羅里達州生物特征信息隱私法》(Florida Biomtric Information Privacy Act),旨在對私營主體使用、收集和保存生物標識符(biometric identifiers)和生物信息(biometric information)提出要求和限制。與以往三部法律不同的是,該法案確立了私營主體的范圍。根據該法案,“私人實體”(private entity)是指任何個人、合伙、公司、有限責任公司、協會或其他團體。但是,該類主體并不包括:州或地方政府機構或任何州法院,法院書記員、法官或審判員。由此推斷,該法適用對象僅限于行使公權力之外的私營個人或組織,保留了國家機關對公民生物特征識別信息進行公共使用的法律空間。伊利諾斯州、德克薩斯州和華盛頓州的法律規定,在私人企業收集生物特征識別信息之前必須發出特定形式的通知以征得主體的自愿同意,但在國家機關收集生物特征數據上則沒有限制。由此看出,盡管目前美國社會對于生物識別信息的公共使用持續發出反對聲音,但是美國各州最新的專門立法所表現出的態度則并非如此,事實上,美國某些州立法對于生物特征識別信息的公共管理使用仍持肯定與積極態度。需要注意,鑒于面部識別技術自身存在的缺陷與公眾的不滿,目前美國一些城市在立法上明確持禁止態度。

(二)美國制度模式評價與立法發展態勢分析

美國某些州已頒布的生物特征識別信息立法主要側重于規范勞動雇傭中私營主體在員工管理中對員工生物特征識別信息的保存與使用,并禁止通過利用生物特征識別信息獲利。即主要針對作為雇主身份的企業所要求的生物特征識別信息使用規范,但對于最新的商業使用如電子支付、智能解鎖、金融服務等尚無針對性規定。無論是對于國家機關還是企業對生物特征識別信息的使用,尤其是人臉識別,美國立法機構與民眾整體上呈觀望甚至排斥態度。主要表現為三個方面:第一,在政治敏感度上,由于目前生物識別技術還不能達到百分百準確性,例如人臉識別技術對不同種族的準確率差異巨大,違背了美國社會的主流政治傾向,不被社會大眾所接納。第二,在數據安全性方面,由于人臉識別技術建立于數據代碼基礎,因此生物特征數據庫的泄露風險可能導致身份冒用等情況發生。第三,在隱私保護上,美國社會公眾對于“被監控”表示反感和憂慮。由此,在該社會背景下,美國的立法動態則表現為:一是在生物特征識別信息公共應用方面,美國社會所面臨的是公眾對隱私保護的呼吁以及被“國家監控”的警惕。在最近的關于生物特征識別信息的州立法中,2019年2月21日,佛羅里達州立法機構提出《生物特征信息隱私法》。從文件名稱上可以看出,生物特征識別信息保護的立法定位和考量的是保護公民隱私權。然而,該法僅針對私人主體提出生物特征識別信息收集與使用的規范,理論上說明公權力機關有著更加廣泛與自由的生物特征識別信息使用空間。二是在商業應用上,于2020年1月生效的《加利福尼亞州消費者隱私法》規定了生物信息(biometric information)屬于一類個人信息(personal information),因此商事交易中消費者的生物識別信息保護適用一般信息保護相關規則,例如主體同意制度等,但是沒有專門針對生物特征識別信息收集與使用的規定條款。美國國會目前在審議《人臉識別商業應用中隱私保護法案》(S.847 - Commercial Facial Recognition Privacy Act of 2019),該法案旨在禁止某些私主體在未得到用戶同意的情況下使用面部識別技術識別或追蹤用戶個人活動。但根據Skopos實驗室的調查,制定幾率僅為3%。綜上,整體審視美國現有的生物特征識別信息立法體系,基于公民對于隱私較為敏感的社會環境,立法文件名稱均有隱私的用詞,似乎在顯示生物特征識別信息保護均涉及隱私問題。但是個人信息可分為隱私信息與一般信息兩類,在法律適用上存在一定差異。


圖片二、歐盟生物特征識別信息立法規制與發展態勢分析


歐盟歷來對于個人信息的法律保護要求非常嚴格,相關立法活動也一直走在世界前沿。然而對于公民生物特征信息的保護,目前歐盟尚無專門的生物特征識別信息立法。有關的法律保護主要體現在GDPR相關規定中,整體立法傾向為:一方面鼓勵生物特征識別技術的創新,另一方面保障組織收集與保存生物特征識別數據的安全,并盡量實現兩者利益之間的平衡。

(一)歐盟的法律適用闡釋

1.現有立法規定。在生物特征識別信息的公共使用上,Regulation (EU) 2018/1725規定了歐盟的機構、組織、辦公室和代理處在處理個人數據時的規則,包括數據保護與自由流動。第76款第1條規定,在歐盟機構、辦公室或機構的法定職權范圍內,確有工作必要并在適當保障信息主體權利和自由情況下可以處理公民生物特征識別信息。歐盟《第2252/2004號關于成員國簽發護照和旅行證件的安全特征和生物特征標準的理事會條例》對于生物特征識別信息在邊境管制中的使用也做出了專門規范,并在相關案例(Michael Schwarz v. Stadt Bochum)的司法判決中表示,法律適用必須嚴格區分出于法律義務(基于公共目的)收集和儲存的生物特征數據與為合同目的(基于主體同意)收集和儲存的生物特征數據,并確認生物特征識別信息的公共管理使用是必要、正當、合理的,且優先于個人權利保護。同時,值得注意,該案原告訴求性質為個人數據權利保護問題,而非隱私權保護糾紛。并且歐盟法院(CJEU)也認為,以指紋為代表的生物特征信息應視為公民的憲法性權利,需受到特別的法律保護。由此,GDPR對于生物特征識別信息的關注更多出于對公民個人信息權利的保護考慮,并且重點在于規范生物識別軟件公司的數據處理行為。根據GDPR第9條規定,個人生物特征識別數據屬于特殊種類的個人數據(個人敏感數據),適用區別于一般個人信息的特殊保護規定。GDPR第9條第1款又強調生物特征數據禁止用于個人身份的識別。因此,原則上GDPR禁止為了識別特定自然人對基因數據與生物特征識別數據做出相關的數據處理。但是,GDPR第9條第2款亦統一規定了可以處理個人敏感數據的例外情形。那么,作為一類個人敏感數據,生物特征識別信息在什么情況下可用于身份識別?主要包括以下情形:(1)信息主體的明示同意;(2)數據處理是為了數據控制者履行義務或行使權利,或者為了利益相關方在勞動和社會保障法中的權利行使;(3)即使未經主體同意的情況下,為保護信息主體或其他自然人的重大利益;(4)數據處理涉及的是個人先前已公開的私人數據;(5)為維護公共利益目的;(6)為了提出、行使或辯護法律主張;(7)為了預防醫學或職業醫學有關的所有事宜,例如為評估雇員的精神狀況、協助醫生的醫療診斷、獲得健康或社會照料服務等。因此,當處理生物特征識別信息是為上述目的時,其處理行為是被GDPR所允許的。法律實踐中,對于開發生物特征識別軟件的公司,以及使用生物特征識別軟件進行員工管理的公司,均需對照GDPR做出合規處理。

2.經濟發展考量。事實上,GDPR特別關注了生物特征識別技術,并清楚地認識到這項技術的巨大市場潛力。雖然GDPR對使用生物特征識別數據規定了原則性禁止,但并不意味著在GDPR體系下生物特征識別技術被完全禁止。在取得信息主體同意的情況下,或者在某些情況下為了特定合法目的確實有必要且恰當使用生物特征識別信息時,是被GDPR所允許的。據此推斷,GDPR沒有禁止生物特征識別數據的商業使用,但GDPR也確實強調了在處理生物特征認別數據前必須謹慎。例如,GDPR允許成員國在國內立法中提出額外的條件或限制,尤其是對于遺傳數據、健康相關數據和生物特征認別數據的處理。當然,GDPR并未針對生物特征識別信息做出專門或額外的規定,對于生物特征識別信息的保護要求和措施與其他個人敏感信息相同。在歐盟國的國內層面,由于歐盟成員國未能就生物特征識別數據的使用達成明確的共識,關于生物特征識別數據使用的法律要求在成員國之間仍然存在差異。

(二)歐盟制度模式評價與立法發展態勢分析

GDPR和《2018/1725條例》共同提供了詳細的公權力機關履職與自然人行權的規定,但兩者均無專門針對生物特征識別信息的規范條款。在商業應用規制上主要適用GDPR,即企業在收集、使用生物識別信息時應遵循個人敏感信息保護制度,歸屬個人數據權利保護范疇,主要涉及個人信息自決權。例如,如果軟件公司沒有詳細地解釋其系統如何處理生物特征識別數據,或者軟件公司沒有在其軟件系統中設置任何保護與處理生物特征識別數據的安全配置,均被認為違反GDPR,需承擔相應法律責任。這點與美國佛羅里達州CCPA相似,但CCPA針對的是商事交易領域,保護對象為消費者群體,而GDPR則針對各類領域中的使用,包括公共管理領域。特別地,針對面部特征識別信息的保護與使用,歐盟目前正考慮出臺面部識別信息的新規定。2019年11月,歐盟基本權利保護局(The European Union Agency for Fundamental Rights,簡稱FRA)發布了《面部識別技術:執法中的基本權利考慮》(Facial recognition technology: fundamental rights considerations in the context of law enforcement)。該報告概述和分析了在公共管理中使用面部特征識別技術可能對公民基本權利造成的挑戰,并提出了當公共機關為執法目的部署面部識別系統時為避免侵犯人權應采取的實施步驟。由此看到,與美國相似,對于人臉識別信息的公共使用,面臨公眾被國家“監控”的憂慮,歐盟亦有同樣的使用顧慮及立法考量。


圖片三、比較視野下確立中國特色的法律制度建設立場:發展與監管并存的模式


2019年9月27日,工信部發布的《關于促進網絡安全產業發展的指導意見(征求意見稿)》表示,國家支持構建基于人臉識別等識別技術的網絡身份認證體系。受益于政府政策的支持,當前更多的企業與資本正大力投入人臉識別產業的開發中,人臉識別技術在商業應用中愈加普及。

(一)我國發展政策與歐美態度的比較分析

歐美法律模式有其各自的考量與特點。在美國,基于注重政治正確和公民積極表達隱私保護呼吁的社會氛圍,人臉識別技術的公共管理應用面臨極大阻力,對于商業使用則會更加困難。歐洲則已經在考慮對人臉識別等人工智能技術進行立法規制,限制公共機關與企業不加區分地使用人臉識別技術,同時也賦予信息主體明確的信息自決權。相較于歐美對待生物特征識別信息商業使用的謹慎甚至排斥態度,我國政府與民間對于生物識別技術的開發以及生物特征信息的商業使用較為積極。鑒于我國生物識別技術產業實況,規范層面應提供充分的制度保障,以促進生物識別技術的開發與創新發展。同時,我國也應學習歐美法律模式的審慎態度,進一步加強立法與監管體系的建設:一方面,為公民權利保護與救濟提供制度保障,如多層次多方位的主體同意制度;另一方面,企業要設立預防機制,如事前的安保設置。綜上,通過兩方面的努力在公民隱私保護與企業技術創新之間做出最佳平衡。鑒于我國與歐美在社會背景與技術政策上的差異,對于我國生物識別信息的法律建設工作,歐美目前的法律規制體系以及立法態勢中可被借鑒的制度成果是有限的,我國應立足于自身發展國情,探索與建設符合本土產業特色的生物特征識別信息法律制度。

(二)中歐美制度建構定位的比較分析

在生物特征識別信息的商業應用上,歐美均非絕對禁止態度。歐盟對于生物特征識別信息的保護側重考量公民權利保護,并且其權利保護定位對應的是公民個人數據權利,而非隱私權保護定位。該立法定位反映出歐盟個人數據權利化的成熟化階段,即,歐盟立法框架下公民的個人數據權利已經與隱私權相互分離,成為獨立的憲法性權利與公民基本權利。對比來看,中美仍將個人信息權利保護與評價依附于隱私權等法律制度。在生物特征識別信息的制度設置上,歐美共性少、中美共性多,中美與歐盟的制度模式差異根源在于個人數據權利是否獨立確權,即,隱私權與數據權利保護的制度定位。具體來說,三者法律模式定位為:(1)依據我國目前立法現狀,體現的是個人信息安全的規制定位與趨勢,同時兼顧隱私權、肖像權等人格權保護模式;(2)歐盟制度建設的是與隱私權相分離的個人數據權利體系,歐盟立法體系通過憲法性文件將數據權利作為公民基本權利確權,并主要通過個人主動積極地行使模式落實其個人信息自決權;(3)美國某些州的立法現狀反映的是隱私權保護模式的側重,同時兼顧個人數據安全制度。對比分析,中美歐社會對于生物識別技術發展與應用的認可度與接受度呈現差異的原因在于:基于不同的社會與文化背景,隱私理念與制度在不同國家存在各自的解讀與定位,并非孰對孰錯與孰優孰劣的問題。從技術創新與經濟發展角度看,歐美或許也需要適當放松管制增加生物信息進入商業應用領域的機會,使生物識別技術服務于人類與社會。

(三)確定我國規制立場的思路

對比歐美立法現狀與我國當前規制缺失狀態,筆者認為,立法建設在制度完善路徑上應秉持以下思路:(1)立法建設需適應并促進生物識別信息商業應用的發展,推動與完善我國個人信息保護與利用法律體系。生物特征識別技術是人工智能落地最快和商業市場規模最大的主要方向之一,2019年1月,阿里巴巴達摩院發布《2019十大科技趨勢》認為生物特征識別技術將于2019年進入大規模應用階段。生物特征識別信息的唯一識別特性決定了其高度保護的必要性,相關法律制度建設應及時跟進。(2)立法建設響應國家的生物技術創新發展策略,讓法律制度為技術革新及應用保駕護航?!靶乱淮斯ぶ悄芤巹潯钡葒覒鹇蕴岢鲋攸c支持生物特征識別信息技術的發展,為這一產業領域提供了良好的政策環境。2019年6月,我國首次發布人工智能治理原則,其中包括尊重隱私、安全可控、共擔責任等八項原則,如何將上述原則落實于具體的規則與制度建設中已是迫在眉睫,亟需推進立法工作。(3)立法建設為公民生物特征識別信息安全提供制度支撐,使產業發展與個人信息保護形成良性循環。生物特征識別信息商業創新應用也存在一定社會風險,例如視頻合成技術可能導致信息安全、色情內容、政治博弈等社會問題,立法需合理平衡生物信息保護與產業經濟發展間的利益沖突。


圖片四、我國生物特征識別信息的立法缺失


目前我國立法體系尚無針對生物特征識別信息的保護及利用的專門規定。立法缺失問題一方面會導致泄露、竊取或濫用生物特征識別信息的行為更加猖獗,威脅公民生物信息安全;另一方面亦不利于生物特征識別信息產業規范發展。我國立法工作亟需加快完善關于生物特征識別信息保護與利用的法律制度。

在數據安全合規問題上,我國數據企業目前采納的合規文件與安全措施包括:《信息安全管理要求ISO/IEC27001》《歐盟數據保護條例(GDPR)》、數據保護官制度、數據獲取授權規則等??梢钥吹?,ISO/IEC27001與GDPR屬于國際規范標準,而數據保護官制度在我國尚無明確法律依據,僅數據獲取授權存在現實的規范依據,包括幾類規范體系:(1)法律與司法解釋文件,《網絡安全法》《電子商務法》《消費者權益保護法》《刑法》《民法總則》《民法典(草案)》《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等;(2)行業規范文件,《互聯網個人信息安全保護指南》《App違法違規收集使用個人信息行為認定方法》《網絡交易監督管理辦法(征求意見稿)》;(3)推薦性國家標準,《個人信息安全規范》。在上述所有規范性文件中,盡管對于個人信息的收集與使用提出了具體要求,除了《個人信息安全規范》《互聯網個人信息安全保護指南》,其他文件均未直接明確提出對生物特征識別信息的專門規定?!睹穹ǖ洌ú莅福返?89條之一規定,從事與人體基因、人體胚胎等有關的醫學和科研活動的,應當遵守法律、行政法規和國家有關規定,不得危害人體健康,不得違背倫理道德,不得損害公共利益??梢钥吹?,該規定旨在保護被試驗自然人的健康權,而非個人信息安全?!睹穹ǖ洌ú莅福返?99條規定任何組織或者個人不得以丑化、污損,或者利用信息技術手段偽造等方式侵害他人的肖像權,第803條第2款提出對自然人聲音的保護參照適用肖像權保護的有關規定。由此判斷,對于人臉和聲音等生物識別特征的法律保護,《民法典(草案)》將其納入傳統肖像權保護制度。整體來看,對于生物特征信息的收集與使用,目前我國法律規范體系尚無特殊的法律規定。

需要指出,我國亦存在針對生物特征識別信息的專門規范文件,包括《人類遺傳資源管理條例》《人類遺傳資源管理暫行辦法》《生物特征識別信息的保護要求(征求意見稿)》《涉及人的生物醫學研究倫理審查辦法》等。但是,《人類遺傳資源管理條例》《人類遺傳資源管理暫行辦法》僅針對遺傳資源的有效保護和合理利用,且重點關注科研領域中對遺傳資源的開發、利用與共享問題,也提及中外合作研究中的遺傳資源的權屬分配問題。然而,上述文件并未意識到遺傳資源的商業經濟價值,未對遺傳資源的商業使用予以關注。對比而言,在規范生物特征信息適用場景的多元性上,德國2009年制定的《人類基因檢測法》廣泛針對醫療、保險、就業、血緣鑒定等不同使用場景分別對基因檢測做出了規范。而我國《涉及人的生物醫學研究倫理審查辦法》則是針對生物醫學研究背景下的基因信息保護作出的單一場景性規范。值得提出,遺傳數據對于開展人類疾病預測、診斷、治療與研究作用重大,是發展生物醫藥領域的核心競爭力之一?!度祟愡z傳資源管理條例》第6條明確了國家支持合理利用人類遺傳資源開展科學研究、發展生物醫藥產業與提高診療技術。隨著精準醫療服務的迅猛發展,醫學研究與醫藥開發領域對生物樣本庫的需求也日益迫切,越來越多的國際生物公司和醫學研究人員都對生物樣本數據提出了更多的業務需求。然而,在目前我國法律體系下,生物樣本庫的數據共享問題是生物樣本數據使用中面臨的最大法律挑戰?!度祟愡z傳資源管理條例》第12條第1款規定,采集我國人類遺傳資源,應當事先告知人類遺傳資源提供者采集目的、采集用途、對健康可能產生的影響、個人隱私保護措施及其享有的自愿參與和隨時無條件退出的權利,征得人類遺傳資源提供者的書面同意。該規定符合個人信息收集的一般法律要求,但未針對公民生物特征識別信息建立起與其敏感度和隱私性相適應的特殊保護制度。


圖片五、我國生物特征識別信息商業應用的規制框架


(一)法律規范體系的結構安排

圍繞生物特征識別信息的商業使用范圍、分級分類制度、技術安全標準、主體同意模式、行業自律規范等內容,在規范體系中可做以下安排:(1)相關的一般法律,《侵權責任法》在高度危險責任一章中規定侵犯公民生物特征識別信息的責任承擔方式,《消費者權益保護法》《電子商務法》增加獲取生物特征識別信息的特殊授權規則、保護措施與安全責任;(2)個人信息保護的專門法律,即將出臺的《個人信息保護法》《數據安全法》設置獨立章節規定生物特征信息在獲取、使用、披露、存儲、跨境傳輸等事項上的特殊保護規則;(3)生物特征識別信息保護的專門法律,是否有必要出臺專門的《生物特征信息隱私法》?筆者認為,考慮到目前我國的立法現狀與理論進展,對于個人信息保護中的諸多理論問題如數據權屬、權利模式、侵權救濟、各方利益沖突等尚未完全厘清,目前出臺《生物特征信息隱私保護法》還為時過早。2019年6月25日,信標委發布了《生物特征識別信息的保護要求(征求意見稿)》,體現出我國制度層面已經關注到公民生物特征識別信息迫切的保護需求。因此,要靈活參照國家標準中保護要求,以增強該國家標準的約束力與影響力。一方面,出臺專門的行政性文件,例如可由國務院主導出臺《生物特征識別技術管理暫行辦法》;另一方面,出臺專門的行業規范,例如可由工信部、網信辦或國家市場監督管理總局主導出臺《生物特征信息使用監督管理辦法》,暫且為收集與使用生物特征識別信息的企業提供合規依據,為公民生物特征識別信息保護提供制度保障,避免生物特征識別信息產業完全的“野蠻生長”,待立法時機成熟后再出臺專門與正式的立法文件。

(二)立法框架的樣本參照方案

其一,在國際標準上,2011年6月,國際標準化組織(International Organization for Standardization,簡稱ISO)與國際電工委員會(International Electrotechnical Commission,簡稱IEC)聯合頒布的《信息技術—安全技術—生物測定信息保護標準》(ISO/IEC 24745:2011 Information Technology -- Security Techniques -- Biometric Information Protection)為生物特征信息保護提供了技術指導,在存儲和傳輸過程中需滿足保密性、完整性和可更新/可撤銷性等要求。此外,ISO/IEC 24745:2011為生物特征識別信息的安全、隱私合規管理和處理提出了要求及相應的指導。ISO/IEC 24745:2011具體規定了以下幾方面內容:(1)分析生物特征和生物特征識別系統應用模型中固有的威脅及對策;(2)生物特征引用和身份引用之間安全綁定的安全要求;(3)生物特征系統應用模型具有不同的應用場景,包括各自場景下對生物特征識別信息的保存、參照與比對;(4)在生物特征識別信息處理過程中保護個人隱私的指南。

其二,在國內標準上,2019年《個人信息安全規范(修訂草案)》(簡稱《安全規范》)明確指出“個人生物識別信息”屬于個人敏感信息。根據《安全規范》中的相關規定,對于生物識別信息,在收集信息時的授權同意、隱私政策制定、傳輸與存儲、訪問控制措施、目的限制、共享與轉讓、公開披露、應急處置和報告、數據控制者的義務與責任、工作人員管理等事項的安排與設置上,均需適用個人敏感信息的特殊保護要求。另外,在明確提到生物識別信息的專門條款上,《安全規范》要求在存儲個人生物識別信息時,應采用技術措施確保信息安全后再進行存儲,例如將個人生物識別信息的原始信息和摘要分開存儲,或僅存儲摘要信息。同時,即使個人信息控制者經法律授權或具備合理事由確需公開披露個人信息時,也一律不應公開披露個人生物識別信息、基因信息。由此看出,相較于其他個人信息,生物識別信息與基因信息屬于絕對不公開的范疇。除正文外,《安全規范》附錄D在展示隱私政策模板時,舉例說明在收集身份證、護照、駕照等法定證件信息和個人生物識別信息時,應專門提醒信息主體此次收集活動所涉及的信息,并說明處理目的、處理規則。除此之外,《生物特征識別信息的保護要求(征求意見稿)》規定了生物識別信息的安全保護要求,包括生物特征識別系統的威脅和對策、生物特征信息和身份主體之間綁定的安全要求、應用模型以及個人信息保護要求與指南等。雖然《生物特征識別信息的保護要求》提供了可落地操作的技術標準與應用模型,但現有監管體系不應簡單地適用與其他個人信息同樣的主體授權同意機制,在機制設置上更應考慮對收集必要性的干預,可明確列舉允許使用的情形和應滿足的條件,以限制或防止生物識別信息被肆意收集與濫用。此外,2019年4月10日,公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所聯合發布的《互聯網個人信息安全保護指南》建議僅存儲個人生物特征識別的摘要信息,即經過分析與處理后得到的結果,該規定與2017年版《個人信息安全規范》中對生物特征信息的規定是一致的。對于上述推薦性國家標準,在立法過程中均可有選擇性地納入法律規制中。

(三)立法內容的多維規制角度

相對于一般個人信息(包括個人敏感信息),在規則內容設計上,生物識別信息有其特殊保護與處理規則。國際與國內生物測定信息的行業標準指南提供了立法框架樣本,可作為生物識別信息規范文件的框架基礎。如何將行業保護標準納入法律規制框架?具體的保護標準是否需要變通?數據安全目的在于風險防范,即,刑法、民法、網絡安全法等相關信息安全規定本質上針對的是個人信息的濫用或泄露問題。例如,刑法所規定的侵犯公民信息罪(第253條之一)與非法侵入計算機罪(第285條)均可評價數據濫用與泄露行為。而個人信息保護則更多側重于個人的信息權利行使,例如《民法典(草案)》第六章相關條文。由此看出,數據安全與個人信息權利在法律規范目的上是不同的,這也意味著企業責任設置與公民權利賦能的立法側重。一方面,信息主體該如何做出授權表示以及如何實現絕對控制力?另一方面,對應的,數據企業的安全保障責任與信息使用規范又該如何設計?基于該思考,規制內容將重點圍繞上述兩類規范目的進行設計。

1.企業的數據保護責任:數據安全側重。BIPA要求企業應謹慎地收集必要的生物特征信息,并且保留時間不應該超過特定業務目的時限。對此,企業需要做出存儲、保護和共享生物特征信息的書面政策。該安排應是正式制定的,并采取管理、物理和技術保障措施來妥善保管生物識別數據。由此看出,BIPA僅寬泛地針對生物特征信息的保留、收集、披露和銷毀做出了原則性規定,但對生物特征信息的商業使用,僅提及了為完成金融轉賬可經信息主體授權后披露。BIPA未對生物特征信息的合理商業使用予以關注,整體上是以預防與禁令方式為生物信息提供保護機制,并重點服務于雇傭單位的員工管理場景。此外,目前已開發了許多保護隱私的生物特征方案(PPBSs),也為未來的隱私保護生物計量學研究提供了指導。在技術原理上,生物識別技術是基于計算機、物理學、生物統計學等科學原理,通過采集待識別個人的生理或行為特征,與其固有特征對比,以實現用戶身份識別。筆者認為,對于生物識別軟件的開發方與使用方,應設置各自的安全保障義務與責任:一是對于提供生物識別服務或開發生物識別技術的企業,當生物識別軟件上架APP商店時,應提供國內或國際認證標準,以證明軟件內置了必要的保障措施,會及時維護生物信息的安全存儲與處理。二是對于使用生物識別服務或收集、處理生物特征信息的企業,可選擇與提供生物識別服務的公司合作,以達到安全技術標準。需要注意,參照《加利福尼亞州勞動法》(The California Labor Code)規定,如果雇主企業通過第三方機構提供生物特征識別服務,必須確保第三方主體無法獲取與保留生物特征信息。

2.企業的信息使用規則:應用規范側重。一是生物特征識別信息的商業應用場景與個性化規范設置。目前生物識別特征被廣泛應用在商業盈利模式中。亞馬遜早在2016年就推出了人臉識別軟件Rekognition,類似的產品還有谷歌云Vision API、IBM Watson Visual Recognition和微軟的Face API。尤其在創新金融服務的開發上,金融數據技術結合人臉辨識、對象辨識與客戶金融數據來推測客戶潛在的意圖,進一步分析個人的投資喜好與信用評價等,最終推測出客戶未來的金融需求。金融業通過開發人臉辨識與自然語言理解技術,以增加風險管理、營銷、反洗錢等金融業務。例如,智能ATM人臉辨識技術可以通過使用者的年齡、性別、衣著打扮等推測用戶的特征,以推送定制化的廣告或金融服務。由此看到,生物特征信息在電子商務中的使用場景是多元的,相應的規范也有其專門性與特殊性。同時也應注意,對于生物特征信息商業使用的分場景監管模式可能會增加執法的復雜度。這是因為,當前數字化產業中,各行業之間加速融合,各類信息流也隨之匯聚,如手持身份證的面部拍照上傳,會同時涉及一般個人信息與生物識別信息。因此,筆者認為,在個人信息分類分級分場景的保護模式下,宜采取“就高不就低”的保護原則,在多級個人信息保護場景中,應遵循最高保護級別信息的法律收集、處理與使用要求。

二是人臉識別技術應用的特別關注。AI換臉可能會被用于盜刷支付,鑒于財產權益的敏感性,引起人們對面部識別應用的恐慌。然而,利益驅動下視頻合成技術的突破能力是難以預測的,信息技術的安全保障能力亦是不確定的。因此,真偽鑒別手段與視頻偽造技術的賽跑,始終是懸在面部識別技術商業應用頭上的“達摩克利斯之劍”。大型互聯網企業目前正增加投資以開發更有效識別假視頻的鑒別技術。但是,預防與打擊假視頻所帶來的社會風險僅憑技術手段是遠遠不夠的,必須要有法律制度的保障。深度偽造(Deepfakes)可制作肉眼難辨真偽的動態人臉畫面和聲音,AI換臉可以隨意替換視頻中人物角色的面部。隨著深度偽造技術發展,引發了社會公眾對可能侵犯其隱私權、肖像權、名譽權、榮譽權的擔憂。例如,數據企業濫用信息、并將所收集的用戶信息交由公開數據庫使用,嚴重違反了信息保護規定。相較于其他生物特征識別信息,人臉信息的盜用對于公民可能造成無形的榮譽或名譽損害。我國目前立法體系如何評價身份冒用行為與規制視頻合成技術?《民法典(草案)》對此作出規定:“任何組織或者個人不得以丑化、污損,或者利用信息技術手段偽造等方式侵害他人的肖像權。其他人格權的許可使用和自然人聲音的保護,參照適用本章的有關規定?!痹撘幎▽τ诒I用人臉或聲音問題做出了原則性規定,提供了侵權保護的法律救濟思路。參照BIPA中的規定,對于因違反該法的行為而受到損害的個人,過失侵權可獲得1000美元賠償,故意侵權則可以通過主張個人權利獲得5000美元賠償。借鑒該法律模式,我國在生物特征識別信息規則構建過程中,結合侵權責任的法律構成要件,提供更加細化的規定,包括過錯形式、因果認定、賠償標準、責任方式等。

3.用戶數據權利行使路徑:個人信息權利側重。一是信息獲取時多層授權機制與使用中主體絕對控制模式。整理2018版本《個人信息安全規范》中的有關規定,對生物識別信息的保護措施有:第一,收集生物識別特征時,應取得信息主體的明示同意;第二,收集生物識別信息前,應明確告知收集信息的功能、用途、必要性以及不同意的后果等事項;第三,存儲個人生物識別信息時,應采用技術措施處理后再進行存儲,例如僅存儲個人生物識別信息的摘要;第四,(絕對)不得公開披露個人生物識別信息。前兩條屬于對于個人敏感信息的一般保護規則,后兩條則是專門針對生物識別信息的特別規定。在保護規則的制定上,立法應側重體現對于生物識別信息的特殊保護要求。筆者認為,在向用戶征求明示授權同意時,應向信息主體告知生物識別信息的收集目的、處理方式、使用范圍、再度披露規則等,還要求信息主體通過書面聲明做出同意表示,并且在后續的二次使用中,仍需再次征求用戶的明確(二次)授權。根據《網絡交易監督管理辦法(征求意見稿)》第22條第2款規定,網絡交易經營者收集、使用消費者個人信息的,應當逐次征求消費者同意,不得采取一次性授權方式獲得消費者同意,不得因消費者不同意收集與該網絡交易活動無關的個人信息而拒絕向其銷售商品或者提供服務。但是,此處的權利行使具有請求權性質,權利實現往往需要數據控制者的作為方能實現。筆者認為應在技術上設置即時生效的控制機制,尤其在網絡交易中,對于消費者的生物特征識別信息如身份證照片、指紋、人臉信息等,用戶可以隨時行使更正、刪除和注銷的權利,并且無需任何前置條件即可當場實現與即時生效,即時型權利行使方式將很大程度保障用戶生物信息安全。

二是生物特征識別信息權利的司法救濟模式。Rosenbach v. Six Flags Entertainment Corp.一案中,伊利諾斯州最高法院推翻了上訴法院的判決,認為公民根據《伊利諾斯生物特征信息隱私法》有資格成為“受損害的”人,并可根據該法案要求違約金和禁令救濟,即使原告尚未受到實際傷害或不利影響,而只是被侵犯了本人根據該法案所應享有的公民權利。由此推斷,法院在該案中確立的司法保護規則為:即使公民生物識別信息未遭受實質損害,信息主體仍有權尋求司法救濟。相較于一般個人信息侵權,生物特征識別信息的司法保護標準顯然更高。之所以生物特征識別信息的司法訴訟要求較低,是為保證生物特征識別信息主體可及時主張權利,以對將來可能遭受的損失做出提前預防。畢竟一旦遭受現實損害,損害后果將難以彌補。


版權所有:法治政府研究院北京市海淀區西土城路25號郵編:100088

站長統計 聯系我們

麻豆画精品