摘要:個人生物識別信息是個人信息的一種類型,是運用特定技術對人的身體、生理或行為特征進行數字化

處理后得到的一種信息。在大數據時代中,雖然人臉識別、指紋識別等個人生物識別信息的廣泛運用極大地提高了經濟效益和社會效益,但是在其收集、使用、存儲等過程中也面臨著巨大的風險與挑戰。當前,我國法律對個人生物識別信息的保護缺位,亟需在兩個層面構建起專門的法律保護體系:一是經由《民法典》確立對其保護的基本法依據,二是加快推進《個人信息保護法》的制定,為個人生物識別信息規定嚴密的保護措施。

關鍵詞:個人生物識別信息;法律屬性;風險與挑戰;法律保護

引言

隨著信息技術和生物科技的發展,個人生物識別信息被廣泛運用于人們的日常生活。指紋識別、人臉識別等識別技術給企業考勤、小區安保、日常出行與消費、疫情防控等各領域都帶來了極大的方便,但與此同時大數據背景下個人生物識別信息也面臨著很多風險與挑戰,如在信息收集、使用過程中,不正當行為頻發;在信息存儲過程中,一旦保護技術出現安全漏洞,個人生物識別信息泄露或被非法獲取,會造成嚴重的損害后果。因此,我國需要完善相關法律規范,建立起專門的法律保護體系,來更好地應對大數據背景下個人生物識別信息面臨的風險與挑戰,發揮出更大的經濟效益和社會效益。

  • 個人生物識別信息的概念和特征

(一)  個人信息

對于個人信息的概念,《網絡安全法》、《民法典》等相關法律都作出了明確規定。《民法典》第一千零三十四條第二款規定:“個人信息,是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”

簡而言之,個人信息是能夠單獨識別出特定自然人,或者能夠結合其他信息識別出特定自然人的一種信息,其具有可識別性特征。

(二)  個人生物識別信息

個人生物識別信息是運用現代生物識別技術對人的身體、生理或行為特征進行數字化處理后得到的一種信息。這種信息能準確識別出特定自然人身份且一般無法改變,因而具有高度的可識別性和不可替代性。具體來說,個人生物識別信息分為身體信息和行為信息。身體信息是個人先天的生理信息,包括面部圖像、指紋、手掌靜脈、視網膜、虹膜和 DNA 樣本等;行為信息是個人后天形成的行為信息,包括筆跡、打字節奏、步態和聲音等。[1]

隨著大數據的不斷發展,個人生物識別信息的使用范圍也不斷擴大。人臉信息通常會被使用在以下場合:辦理銀行、保險等金融業務時,驗證身份所必需的人臉識別環節;乘坐高鐵、火車出行時,進站須刷身份證同時進行人臉識別;乃至學信網、各種正規考試報名時,驗證身份都必須要求進行人臉識別驗證。指紋信息則會在下列場合使用:企業考勤用到的指紋打卡;智能手機以及指紋門鎖等使用的指紋解鎖;日常消費使用支付寶的指紋支付等等。

(三)  個人生物識別信息的特征和法律屬性

個人生物識別信息是一種特殊的個人信息,與一般個人信息相比,個人生物識別信息與自然人的身體屬性密切關聯而且不可替代,已經成為大數據時代下驗證自然人身份的重要信息。

1.特征

個人生物識別信息是每個人自出生時就擁有的,它們直接反映自然人獨一無二與不可替代的身體、生理或行為特征,具有強烈的人身屬性和高度的可識別性。大多數個人生物識別信息無法更改,如自然人的指紋、虹膜等,因此,個人生物識別信息還具有唯一性、不可替代性和終身性等特征。

正是因為個人生物識別信息具有更高的可識別性和獨特性,其能更加準確迅速地確認自然人身份和其他相關信息,所以一旦被泄露或者濫用,可能會造成更為嚴重的損害結果,或嚴重侵害信息主體的人格尊嚴與自由,或給信息主體帶來巨大的財產損失。例如,通過利用互聯網技術合成人臉信息、聲紋信息進行詐騙,這種詐騙方式能夠更加輕易地獲得受害人的信任,得手的可能性更大。

2. 法律屬性

個人信息權益是一種新型的綜合性民事權益,其中涉及到人格尊嚴與自由、人身安全與安寧、財產利益和諸多其他要素。個人生物識別信息作為個人信息的一種類型也同樣如此。

第一,基本人權屬性,既包括傳統人權在大數據時代下的數字化呈現及保護,還包括隨著科學技術發展而出現的新型數據信息權利及保護,其本質依舊是基本人權,是在科學技術和信息數據發展中作為人而應該享有的權利;[2]

第二,一般人格權屬性,生物識別信息是每個人都享有的獨特信息,其使用和保護都涉及到人格平等、獨立、自由、尊嚴的問題;

第三,隱私權屬性,由于生物識別信息在消費支付、交通通行等諸方面的重要性,大多數信息主體都不希望自己的信息被他人所知曉;

第四,財產權屬性,大數據時代下,個人生物識別信息敏感程度與商業利用價值較高,且極具脆弱性,一旦遭到泄露或破壞可能會給信息主體帶來巨大的財產損害。

大數據背景下個人生物識別信息面臨的風險與挑戰

互聯網信息數據和生物識別技術的日益發展,促進了個人生物識別信息的獲取、收集、存儲和共享等。正如上文提到的銀行、保險機構、支付平臺等主體為了追求高效率,普遍使用了人臉識別、指紋識別技術進行身份認證;在新冠疫情暴發后,許多公共場所通過人臉識別門禁系統采集個人生物識別信息實施防疫管控。很顯然在這些場合下,采集并使用個人生物識別信息具有合理性和必要性,不僅提升了身份認證的準確性,而且還極大地提高了效率,給人們的日常生活帶來便利,發揮了極大的社會效益。

但是,事物都具有兩面性。正因為個人生物識別信息高度的可識別性、唯一性,其屬于個人敏感信息,在很多場合或系統中留下自己的人臉信息、指紋信息存在著很大的安全隱患,社會公眾也對信息安全問題存在疑慮。社會生活中的很多事件表明,大數據背景下個人生物識別信息面臨著很大的風險與挑戰。

(一)信息收集過程

個人生物識別信息是通過特殊的生物識別技術收集起來,再經計算機程序進行數字化處理后得到的信息。因此,只有掌握相關技術的網絡服務提供者可以對個人生物識別信息進行收集。在信息收集過程中,網絡服務提供者很可能違反合法、正當、必要的原則,或者未獲得信息主體的知情同意。

正如極具典型意義的國內“人臉識別第一案”,原告郭兵以杭州野生動物世界啟用人臉識別入園的行為屬于強制收集個人面部特征,違反了消費者權益保護法,起訴至法院。

具體案情如下:2020年4月,郭兵在杭州野生動物世界辦理了年卡,有效期為一年。根據動物園方的要求,每次入園,游客需在閘機上同時驗證年卡和指紋。到同年10月,杭州野生動物世界將年卡系統升級為人臉識別,且無其他入園方式。2020年10月26日,郭兵以杭州野生動物世界未經其同意強制收集個人生物識別信息、嚴重違反消費者權益保護法等法律相關規定為由,將杭州野生動物世界起訴至杭州市富陽區法院。

該案原告的請求權基礎為《消費者權益保護法》第29條規定:“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經消費者同意。”原指紋信息足以滿足動物世界的經營需求,后要求錄入的人臉信息并無必要。從理論上來講,“必要”一般指的是要達到某一個服務目的,其采取的方式對權益受影響的消費者的損害應該最小。但是與指紋信息相比,人臉信息更容易與游客本人進行匹配,一旦泄露或被非法獲取會造成更嚴重的損害。故在社會生活中很常見的動物園、一般小區門禁等非必要場合收集并使用人臉信息違法了必要性原則,給個人生物識別信息帶來了潛在的風險與挑戰。

(二)信息使用過程

目前,社會生活的諸多領域都在使用人臉信息、指紋信息等個人生物識別信息,在使用過程中,信息持有者很有可能出于謀取利益或其他目的,不正當使用個人生物識別信息。

2019年8月,某網絡科技公司推出1款名叫“ZAO”的AI換臉App,用戶將自己的照片上傳后即可與一眾明星實現換臉。而引起廣泛關注的是其用戶協議涉嫌違法。該軟件的用戶協議規定“在您上傳及/或發布用戶內容以前,您同意或者確保實際權利人同意授予ZAO及其關聯公司以及ZAO用戶全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利”。雖之后修改了部分用戶協議,但依然保留“您同意對用戶內容進行網絡信息傳播的權利”。[3]

換臉App“ZAO”的用戶協議保留了對用戶內容的網絡信息傳播權,App對用戶信息的后續使用不為人所知。假如該App將人臉信息非法販賣以謀取利益,這無疑會侵犯到信息主體的隱私權和肖像權;再如通過AI技術將人臉信息剪輯接入淫穢視頻,這會降低信息主體的社會評價,從而侵害其名譽權。因此,該用戶協議引起了用戶對信息持有者可能非法使用人臉信息,導致損害自身隱私權、肖像權、名譽權等的擔憂甚至恐慌。

(三)信息存儲過程

關于信息的存儲安全問題,是個人生物識別信息所面臨的最大風險。前文分析特征時已經提到,由于生物識別信息的特殊性,一旦泄露或被非法獲取,可能會造成信息主體人格尊嚴和財產安全遭受損害。比如因疫情防控的要求,一名密切接觸者在不知情的情況下途徑多地,官方在尋找排查時,必須公布其基本信息、活動路線等個人信息,從而導致了很多相關人群對其產生埋怨與謾罵。假如該密切接觸者的人臉信息等敏感生物識別信息泄露,就會損害到其隱私權、人格尊嚴甚至名譽權,影響其正常生活。

目前,大數據技術仍處于初始發展階段,網絡服務提供者往往更加追求大數據帶來的商業價值,所以技術開發者會對個人生物識別信息的收集、使用過程投入更多的注意力和精力,而忽視信息的存儲安全,這樣不利于對信息主體的人格尊嚴與財產權利進行保護。一旦信息存儲安全受到破壞,信息泄露或被非法獲取,極易導致信息主體的個人名譽、身份健康受到損害或遭受歧視性待遇,從而危害個人的人格尊嚴與財產安全。

個人生物識別信息的法律保護

(一)我國的立法保護現狀

目前,我國尚無一部系統性法律對個人信息進行保護。關于個人信息的法律保護,散見于《民法典》《網絡安全法》《全國人大關于加強網絡信息保護的決定》《消費者權益保護法》等法律法規。針對個人信息保護的專門立法,如今尚處于草案階段,但是《個人信息保護法(草案)》也并未著重突出個人生物識別信息的地位并進行特殊保護。

但是在部分法律規范中可以找到個人生物識別信息保護的相關條款。例如,2020年3月新修訂的《信息安全技術個人信息安全規范》明確規定個人生物識別信息屬于個人敏感信息,并對個人敏感信息進行了特殊保護:傳輸和存儲個人敏感信息時,應采用加密等安全措施;共享、轉讓個人敏感信息前,信息處理者負有告知義務,且必須事先征得信息主體的明示同意等。[4]

由此可見,我國雖然存在針對個人生物識別信息保護的法律規范,但缺乏直接性的、完整獨立的專門立法。由于個人生物識別信息的特殊性與重要性,我國應當通過專門地系統性立法對個人生物識別信息的收集、使用、存儲等行為進行規范,對無序收集、不規范保存、不正當使用以及不及時刪除等行為進行事先規制,以此來保護社會公眾的信息安全,明確個人生物識別信息的使用范圍,平衡私人權益與社會公共利益之間的矛盾。

(二)《民法典》提供基本法依據

2021年1月1日《中華人民共和國民法典》正式施行,其將原本的民事單行法律予以整合,具有更強的體系性、邏輯性。大數據時代下的民法典編纂,需要回應時代產生的新問題,個人信息保護即為信息時代的一個熱點問題。《民法典》通過第一千零三十四條至一千零三十九條六個條文對個人信息保護做出專門規定,同時也將“生物識別信息”規定在個人信息的定義內,無疑為個人生物識別信息受到法律保護提供了基本法依據。

但《民法典》未對個人敏感信息與個人一般信息進行區分,忽視了兩者保護方式的區別和保護程度的差異,不利于明確個人生物識別信息的特殊保護地位,也未對其進行特殊保護。因此,在個人信息保護的單行立法中對個人生物識別信息進行準確定位并予以特殊保護,顯得尤為重要。

(三)《個人信息保護法》提供具體保護措施

根據前文之分析可以看出,個人生物識別信息與自然人的人格尊嚴與自由、人身安全與安寧、財產利益和諸多其他要素密切相關,屬于高度敏感的個人信息。因此,在立法上應當傾向于保護信息主體的權益,明確收集、使用個人生物識別信息的原則,嚴格限制個人生物識別信息的適用范圍,在個人信息保護的專門立法中對個人生物識別信息予以專門保護。

第一,明確個人生物識別信息的特殊地位。目前,《個人信息保護法(草案)》中已經明確將個人生物識別信息歸類于敏感個人信息。[5]

第二,加強信息處理者的通知義務,完善信息主體的知情同意制度。信息處理者在收集、使用生物識別信息時,應當獲取信息主體的明示同意,例如以電子或其他可保存的方式獲取信息主體口頭同意或書面同意。與此同時,信息處理者還應當以顯著方式、清晰易懂的語言告知信息主體其收集使用的個人信息類型、目的、保存期限以及可能對個人產生的影響等重要事項;

第三,明確規定收集、使用、保存個人生物識別信息的原則與條件。目前,《個人信息保護法(草案)》規定了“個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息”。首先,在信息的收集過程中,信息處理者必須確保其收集個人生物識別信息具有合法性目的,具有正當性基礎;必須確定收集敏感性較低的其他信息不能達到相同效果,即要符合必要性原則。其次,在信息的使用過程中,信息處理者必須嚴格遵守合法、合理和透明原則、目的限制原則,正當、合理、必要地使用個人生物識別信息。最后,在信息的保存過程中,信息處理者必須加強保密安全措施,使用后必須及時刪除,防止信息泄露給信息主體帶來的損害。

第四,明確個人生物識別信息的保護主體,落實相關主體的保護責任,同時明確規定侵權責任。目前草案規定了國家網信部門以及縣級以上地方人民政府有關部門承擔個人信息保護的相關工作。但是由于科學技術進步,社會生活中各領域都有可能存在不規范處理個人生物識別信息的情況,僅國家機關無法完全保護相關主體的權益。因此,可以尋求社會力量的幫助,如呼吁成立專門的保護協會或者定期進行宣傳教育,發動群眾進行監督舉報。

總結

大數據時代下,人臉信息、指紋信息等個人生物識別信息由于具有強烈的人身屬性和高度可識別性,提高了核驗自然人身份的效率和準確性。其在銀行、保險、出行、支付等領域發揮了巨大的作用,提高了社會管理和社會生活的效率,也改變了社會管理的形式和人們的生活方式。

但與此同時,信息處理者的過度收集、不正當使用、不安全存儲等行為都導致了個人生物識別信息面臨著巨大的風險與挑戰,一旦被泄露或者濫用,可能會嚴重侵害信息主體的人格尊嚴與自由,或給信息主體帶來巨大的財產損失。當前我國法律對個人生物識別信息的保護力度還不夠,應當在個人信息保護的單行立法中明確生物識別信息屬于敏感個人信息的地位,并規定信息收集、使用、存儲等處理過程中原則和具體要求,以此來保障個人生物識別信息主體的人格尊嚴和自由、隱私權、財產權等合法權益,同時發揮出最大的經濟效益和社會效益。

參考文獻:

[1]冉克平.論個人生物識別信息及其法律保護[J].社會科學輯刊,2020(06):111-120.

[2]胡鵬鵬.大數據背景下個人生物識別信息的立法保護研究[J].信息安全研究,2020,6(09):798-806.

[3]惠寧寧.中國人臉識別第一案[J].人民法治,2019(24):50-51.

[4]毛亞楠.人臉識別第一案:告的是什么[J].方圓,2019(24):14-17.

[5]羅斌,李卓雄.個人生物識別信息民事法律保護比較研究——我國“人臉識別第一案”的啟示[J].當代傳播,2021(01):77-81.

[6]朱振明.論個人生物識別信息的特性及法律保護[J].黑龍江生態工程職業學院學報,2021,34(01):76-79.

[7]潘林青.面部特征信息法律保護的技術誘因、理論基礎及其規范構造[J].西北民族大學學報(哲學社會科學版),2020(06):75-85.

[8]邢會強.人臉識別的法律規制[J].比較法研究,2020(05):51-63.

[9]楊銅銅.論個人生物識別信息保護的立法路徑[J/OL].北京理工大學學報(社會科學版):1-15[2021-02-24].

[1]邱建華、馮敬:《生物特征識別——身份認證的革命》,清華大學出版社2016年版,第13頁。

[2]參見羅斌,李卓雄.個人生物識別信息民事法律保護比較研究——我國“人臉識別第一案”的啟示[J].當代傳播,2021(01):77-81.

[3]參見中國新聞網.換臉協議暴露公民個人信息保護短板[EB/OL].(2019-09-02)[2019-12-11]. http://www.chinanews.com/sh/2019/09-02/8944314.shtml

[4]參見邢會強.人臉識別的法律規制[J].比較法研究,2020(05):51-63.

[5]參見《個人信息保護法(草案)》第二十九條第二款:“敏感個人信息是一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。”