论个人生物识别信息及其法律保护
2020-02-21冉克平
冉克平
一、问题的提出
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。〔1〕我国《民法典》第1034条将个人生物识别信息纳入个人信息,第1035条进一步确立了个人信息的收集、处理应当遵循的原则和条件,体现了我国人格权立法的前瞻性与先进性。随着大数据与人工智能的飞速发展,个人生物识别信息的获取、收集、存储和共享等技术越发成熟。例如银行、网络平台、支付平台、不动产登记机构等普遍通过人脸识别、指纹技术进行认证并储存;新冠疫情暴发,很多小区和场所通过人脸识别门禁系统采集个人生物识别信息实施防疫管控。相比一般个人信息,个人生物识别信息具有高度可识别性属性。这意味着个人生物识别信息一旦被信息控制者泄露、非法提供或者滥用,极易导致信息主体的个人名誉、身份健康受到损害或遭受歧视性待遇,从而危害个人的财产与人身安全。〔2〕个人生物识别信息在极大满足社会发展需求的同时,亦引发个人生物识别信息法律保护与监督管理的问题。例如,利用深度伪造技术制作难辨真伪的动态人脸画面和声音,换脸App“ZAO”引发的隐私和安全风险等问题均引起人们对生物识别信息采集使用可能侵犯其隐私权、肖像权、名誉权以及自由权等的担忧甚至恐慌。〔3〕在《民法典》实施的背景之下,结合我国个人生物识别信息保护与使用的现状,界定生物识别信息的法律属性及其边界,探讨个人生物识别信息的法律属性及其利益关系,规范个人生物识别信息收集利用的风险防范以及责任承担等问题显得尤为必要。
二、个人生物识别信息的法律属性及其边界
(一)个人生物识别信息的法律属性
个人生物识别信息是指通过运用科学技术手段对人的身体特征进行数字化处理后得到的信息。个人生物识别信息必须经过计算机相关生物识别程序的识别才能生成。〔4〕2015年美国《消费者隐私保护法案》规定的个人生物识别信息包括面相、指纹、声音、视网膜、虹膜、基因等。美国加利福尼亚州《2018消费者隐私法》增加点击模式、步态模式以及睡眠或运动数据等作为个人生物识别信息类型。2016年欧盟公布的《一般数据保护条例》规定个人生物识别信息是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,并列举了人脸数据、指纹数据等。我国2020年实施的《个人信息安全规范》规定的个人生物识别信息包括自然人的身体、生理特征的相关信息如指纹、声纹、掌纹、耳廓、虹膜、面部特征、个人基因等。①《民法典》第1009条规定:“从事与人体基因、人体胚胎等有关的医学和科研活动的,应当遵守法律、行政法规和国家有关规定,不得危害人体健康,不得违背伦理道德,不得损害公共利益。”该条旨在保护被试验自然人的健康权,而非个人基因信息安全。总之,由于计算机、互联网和互动式数字媒体的推广普及,大大拓展了经营者或管理者获取公民个人生物信息的渠道和范围,致使“脆弱的个人”被置于受威胁的境地。
个人生物识别信息包括自然人的身体、生理及行为特征,可以分别表达为个人生物身体和生理识别信息与个人生物行为特征识别信息,它们直接反映自然人独一无二与不可替代性的身体、生理或行为特征,具有强烈的人身属性。〔5〕例如基因信息是由DNA(少数RNA)分子片段组成的生物遗传信息;指纹和掌纹信息是由人的指纹、掌纹因遗传与环境共同作用产生的信息。个人生物识别信息与个人一般信息例如电话号码、电子邮箱地址、身份证号码等相比具有显著差异,后者以信息主体的社会性特征为基础,它们外在于人本身;而前者直接反映信息主体内在的身体、生理和行为本质属性,不仅具有更高程度的可识别性,而且与自然人的人身不可分割,属于高度敏感的个人信息。一般个人信息例如姓名、身份证号码、手机号码等通常可以变更,但是个人生物识别信息具有独一无二性,任何人的生物识别信息与其他同种类的生物识别信息均不相同,这是由每个人遗传物质、身体器官以及行为特征的独特性所决定的。②《信息安全技术公共及商用服务信息系统个人信息保护指南》3.7规定:个人敏感信息是指“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等”;而个人一般信息是“除个人敏感信息以外的个人信息”。由于个人生物识别信息与身体属性密切关联而且不可替代,已经成为数字身份的主要识别方式。〔6〕
个人生物识别信息对于信息主体的独一无二表明其具有极强的防伪性特征,但是并不意味着个人生物识别信息无法被复制或伪造。随着数字信息技术的发展,人脸信息、指纹、掌纹等均可以复制甚至变造从而收到以假乱真的效果。例如,通过利用AI合成技术获得人脸信息、声纹进行诈骗,或者利用指纹、掌纹解锁盗窃他人财产等。个人生物识别信息与其它个人的普通信息的差异及其特殊性,致使其一旦被泄露或盗窃,会使受害人的人格尊严遭受严重的侵害,并会给信息主体带来永久的不可逆的损失。〔7〕如果个人生物识别信息泄露或被不法使用,信息主体为避免自身的权益遭受进一步的侵害,将被迫退出与个人生物信息认证相关的活动。①美国伊利诺斯州《生物识别信息隐私法》在立法宗旨和目的中对生物识别信息的特殊性作出如下描述:“生物特征与通常用于财务的惟一标记或其它敏感信息不同,例如社会保险号码,一旦被泄露可以改变。生物特征在生物学上是个人独一无二的,一旦受到损害,个人没有追索权,身份盗窃的风险更高,并且可能不得不退出基于生物识别而进行的业务。”See Biometric Information Privacy Act.Public Act 095-0994,SB2400 Enrolled LRB09519768 KBJ 46142 b.从现实生活来看,个人生物识别信息在推广使用过程中存在风险,例如成为“透明人”、被操控以及数据的泄露与滥用等等。②根据裁判文书网公开信息显示,从2018年7月开始,有犯罪嫌疑人通过非法购买公民个人信息并制作相应的“换脸”视频,突破了支付宝的人脸识别认证。2019年,有人绕过厦门银行App的人脸识别系统,使用虚假身份信息注册多个账户并倒卖牟利。参见南都社论:《激辩人脸识别应用,珍视法学教授说“不”的价值》,《南方都市报》2020年9月26日,(GA02)社论版。
个人生物识别信息所具有的稳定性和可靠性使其在经济和商业方面的作用日益重要。现代生物科技的发展使基因信息和相关技术能够产生巨大的经济和商业利益,例如通过基因检测可以发现致病基因、研发基因药品以及申请基因成果专利等。〔8〕基因信息被广泛用于刑事侦查程序以辨认犯罪嫌疑人和受害人的身份或者亲子鉴定等。人脸信息、指纹信息、掌纹信息等还被用作研究和开发具有商业价值的新产品。目前,国内从事生物识别信息的企业有千余家,市场规模约达千亿元。我国生物识别市场规模复合年均增速可以达到50%左右,发展态势迅猛,商业化步伐还在加速中。〔9〕
个人生物识别信息还具有极强的公共管理利益属性。学理上通常认为,个人信息具有人格价值与财产利益的双重属性。〔10〕相比一般个人信息,个人生物识别信息反映了公民独一无二的人身特征,在识别公民身份上天然地具备极强并且迅捷的辨识效果。因而人脸识别、指纹等被普遍用于识别、追踪个人身份,在公共安全与社会管理领域获得广泛的使用。例如,政府基于社会公共安全需要强制要求采集个人生物识别信息,典型情形如机场、高铁、地铁等在实施安检时使用人脸识别系统;在新冠疫情期间,人脸识别系统还具有追踪新冠肺炎患者的行为踪迹、密切接触者的功能。随着大数据的飞速发展,个人生物识别技术正在全方位改变着社会管理与公共安全的方式和认知。
(二)个人生物识别信息的保护模式
从隐私权与个人信息的关系看,美国判例与学理采取的是广义的隐私权即“一元论”的保护模式,姓名、名誉、肖像等都被纳入到隐私权的保护范畴之内。计算机技术的发展催生了“信息隐私权”概念。由于数字化技术的应用,越来越多的个人私生活秘密因可被记录而具备个人信息的特点,个人的隐私在信息时代的表现为“隐私信息化”现象(例如病人的医疗信息、体检报告信息等)。20世纪60年代,艾伦·威斯汀在《隐私与自由》一书中认为,隐私权是个人或群体自主决定在何时以何种方式在多大程度上将有关自身信息披露给他人的权利,由此形成个人信息控制论的源头。〔11〕按照日本判例及传统理论,隐私权包括私生活及其安宁状态、私事(日记与信件、夫妻生活或者异性关系或者性隐私)以及个人信息。〔12〕依此立法例,个人生物识别信息属于隐私权。相较于美国隐私权概念所蕴含的多元利益平衡机制(与言论自由、公众知情权、大数据产业发展之平衡),德国、法国对于隐私权与个人信息的保护采用的是“二元论”保护模式。隐私权以对个人秘密和私生活空间进行支配并排除他人干预为内容,包括自然人独处的生活状态或私人事务与私生活秘密不受他人的非法披露两个方面。〔13〕在隐私权与个人信息分立的模式之下,隐私权制度的重心在于防范个人秘密被非法披露,并不在于保护这种秘密的控制与利用。相较于防御性的隐私权,个人信息致力于实现信息主体对其个人信息的积极控制,其控制方式随着信息技术、新型判例和立法的发展而不断增多。如《德国联邦数据保护法》第20、35条的删除权和封存权,《通用数据保护条例》GDPR第17条规定的被遗忘权和第20条的数据携带权等。此类衍生性权利与个人信息自决权的“源权利”特征一脉相承。〔14〕随着人工智能技术的发展,亦出现了“个人信息隐私化”现象。例如人脸本身并非隐私,除在极少数文化背景之下,人脸都是公开示人的,但是人脸识别技术使人脸成为隐私信息。个人生物识别信息的隐私化使传统隐私权的边界得以扩展,隐私权与个人信息的边界变得更加复杂。
《民法典》第1034条第2款规定,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。这表明我国采取的是隐私权与个人信息分立的“二元论”立法例,但是个人信息与隐私权存在重叠之处:两者的关系可以表达为纯粹的个人隐私、隐私性信息与纯粹的个人信息。〔15〕隐私性信息意指通过数据形式表达的个人隐私,是隐私与纯粹的个人信息交叉的部分。例如患者的重大疾病信息、客户的投资理财信息等。个人生物识别信息包含身体、生理及行为特征,均属于隐私性信息。相比个人生物行为特征识别信息,个人生物身体与生理识别信息的隐私属性更强。个人生物识别信息具有非常高的身体指向性和高度私密性,与信息主体的人格尊严密切相关,对其予以公开或非法利用将会给信息主体造成重大影响。个人生物识别信息不同于纯粹的隐私(如自然人独处生活、夫妻性生活等),后者是隐私权保护的主要对象,是指个人生活极为私密、直接涉及到个人人格尊严与自由的部分,一旦泄露通常会给受害人带来精神损害。尽管个人生物识别信息属于个人信息与隐私权交叉的范畴,但是在个人生物识别信息的法律结构显然远远超出了传统隐私权所形成的权利主体(自然人)—权利客体(隐私)—义务人的模式。这是因为单个信息的财产价值非常有限,即使是个人生物识别信息,信息主体除对其享有使用价值的期待之外,更为重要的是隐私期待。但是,个人生物识别信息的主体不限于信息本身的主体,个人生物识别信息主体可以自主控制或允许数据控制者利用,从而发挥该信息的经济与社会价值,这是传统的隐私权观念所不具备的。因此,单个个人生物识别信息的保护可以适用于隐私权规范,但是一旦涉及个人生物识别信息的数据控制者,则应当适用个人信息相关规范。
我国《民法典》第111条规定自然人的个人信息受法律保护。然而,理论上对个人信息的法律属性众说纷纭。主要的争议观点是民事权利说与民事权益说。前者认为,个人信息属于人格要素,可成为人格权的客体。信息主体对其个人信息拥有信息自由和信息利益,这种新型利益具备归属性、排他性或法律明定的公示性,并具有足够的重要性,从而应当上升为一种权利。〔16〕后者则认为自然人对个人信息并不享有绝对权和支配权,而只享有应受法律保护的利益。该利益是指自然人享有的防止因个人信息被非法收集、泄露、买卖或利用进而导致人身财产权益遭受侵害或人格尊严、个人自由受到损害的利益。〔17〕权利的密度高于利益。传统民法理论认为,若一项权益同时具备归属效能、排除效能和社会典型公开性的,则其为一种侵权法上的权利,反之则只能归于一种利益。〔18〕然而,与有形财产的所有权人与相对人(承租人、抵押权人)相比,单个信息主体对于信息所享利益与信息控制者所享利益之间的法律关系存在本质差异而且更为复杂。艾伦·威斯汀并未将个人信息泛化为一种私法意义上的权利。〔19〕采集、加工、利用海量个人信息的数据控制者,他们在对个人信息挖掘、加工及开发过程中会逐渐形成新的利益期待即数据财产,其所具有的商业价值远远超出单个信息。数据财产的价值包含信息控制者自身的研发成本以及付出的劳动,这显然与承租人或者抵押权人不同,因为后者所享有的利益仍然与所有权人相同。信息主体对于个人信息享有人格权益和财产权益,而信息控制者享有数据经营权和数据资产权。〔20〕数据财产价值的创造是各方(个人信息)共同参与、持续互动与合作的结果,信息主体与数据控制者之间的法律关系不同于“服务商在一端、顾客在另一端”的传统合同关系。如果将个人信息视为一种可以对抗他人的权利,必将导致个人信息侵权现象在日常生活中的泛化。每个人都将成为一座孤岛,既无法进行正常的社会交往,也无法有效获取社会信息。〔21〕通过赋予个人对信息享有具体人格权的方式来配置个人信息保护与个人信息数据化利用之间的复杂利益关系,难以说明数据价值的创造过程,对于发挥数据主体的创造力极为不利。“权利说”与“权益说”之争主要是一个法律的形式化建构问题,并不能直接决定背后的价值取向和利益分配问题。比较而言,因个人在数据上的权益具有比较强的变动性和发展性,在形式层面采用“利益说”更妥当。〔22〕个人生物识别信息能够同时满足多个主体互不冲突的利益期待,而有别于经典的物权客体。对于单个信息主体而言,个人生物识别信息的人格利益远大于财产利益。为获得免费软件或服务,信息主体也会乐于无偿同意企业采集和处理。对于数据主体而言,个人生物识别信息汇聚成数据库及其加工、处理形成的数据财产能够产生额外的财产价值。
三、个人生物识别信息商业利用的保护路径
(一)个人生物识别信息商业利用的价值冲突
个人生物识别信息权益涉及人格尊严、隐私、肖像、财产等利益与安全,传统的隐私权、肖像权等单一权利已经不足以概括其内容。肖像权系个人对其肖像是否公开的自主权利,以个人肖像所承载的人格或财产法益为内容。未经他人同意使用肖像摄影、写生、陈列、复制或者以肖像作为营业广告,均构成对肖像权的侵害。〔23〕依据《民法典》第1018条第2款规定,肖像是通过影像、雕塑、绘画等方式在一定载体上所反映的特定自然人可以被识别的外部形象。人脸识别信息属于肖像的类型之一,通过电子数据的方式使肖像再现自然人相貌特征的准确度可达到独一无二的程度。如果行为人利用信息技术伪造并非法使用他人人脸信息,既侵害受害人的肖像权,也侵害受害人的生物识别信息权益。个人生物识别信息的滥用还可能侵害他人的名誉权,例如通过AI技术将人脸信息剪辑接入淫秽视频,就会降低受害人的社会评价从而侵害其名誉权。声音权与声纹信息之间具有密切的关系。《民法典》第1023条第2款规定对自然人声音的保护参照适用肖像权保护的有关规定。声音权与声纹信息的权利客体相同,但是内容不同。前者以保护声音语言不被他人擅自录音、窃听、模仿或使用为旨归,是一种防御性的具体人格权;后者系自然人对声纹信息的利用和控制权,兼具人格权与财产权的特征。个人生物识别信息与数据权亦不相同。数据权是数据控制者对“数据集合”(collection of data)享有的占有、处理、处分的新型财产权,个人生物识别信息是数据财产的重要前提和基础。在人格权和财产权的二分格局下,无论是《民法总则(一审稿草案)》将数据视为一种知识产权,还是《民法典》第127条将数据与虚拟财产并列,数据权均系财产权;而个人生物识别信息则兼具人格利益、财产利益与社会管理利益多重属性。简言之,个人生物识别信息广泛存在因而并不稀缺,它们不太可能因激励而大幅增加。而与个人生物识别信息有关的数据财产是数据从业者对海量的个人生物识别信息进行搜集、记录、存储和分析的结果,最终形成富有经济价值的数据产品。〔24〕
个人生物识别信息包括指纹、声纹、掌纹、耳廓、虹膜、面部特征、个人基因等多个方面,承载着人格自由和人格尊严价值、商业价值和公共管理等多重价值,因此对其保护与利用的利益衡量是个人信息保护法重要的逻辑起点与理论基础。个人生物识别信息主体的人格尊严属于价值理性的范畴,而生物识别信息控制者的数据利用和管理则属于工具理性的范畴。生物识别信息的价值属性与工具属性之间形成巨大的张力:一方面,法律要保护生物识别信息主体的人格尊严和自由,保障其追求人格完整和发展的自主能力,避免个人生物识别信息的泄露或非法使用危害信息主体的人格尊严和自由价值。个人作为目的性的存在,只有消除个人对“信息化形象”被他人操控的疑虑和恐慌,才能有自尊并受到他人尊重地生存与生活;另一方面,个人生物识别信息包含巨大的经济价值,可以被进行大规模的处理与应用。法律要适应技术进步与经济发展,平衡个人生物识别信息主体隐私、利用期待与控制者的数据利用和管理的需要。有学者从目的价值应优先于工具价值的角度出发,认为个人信息的人格利益相较于开发利用价值而言更为重要。〔25〕为避免过于宽泛的个人信息概念限制信息开发利用之空间,美国学者提出“基于场景”的隐私信息保护理念,即涉案信息是否承载或影响人格利益,需结合信息类型及其应用场景作个案判断。〔26〕只要涉案信息未承载或不影响其人格利益,无论是否与个人有关,均不宜认定为个人信息,这属于“合目的性限缩”。纳入考量的因素包括但不限于信息收集目的、商业利用模式、信息保有量、信息存储时间和环境、识别动机和潜在激励、技术条件和企业信誉等。这是一种结果导向的利益权衡。
个人生物识别信息的商业利用取决于信息控制者与生物识别信息主体之间的权利义务配置。个人生物识别信息的利用主要涉及信息的收集、信息的储存、信息的加工和处理以及信息的使用,每一个过程都可能涉及到信息的隐私化和隐私的信息化。过度限制生物识别信息的利用会影响人们的信息分享和造福社会。法律规范应妥当平衡个人生物识别信息利益的保护与生物信息资源有效利用之间的关系。〔27〕在美国,总的理念是允许自由开发利用个人信息,除非该行为给他人造成法律上的损害或遭到法律的明文禁止。〔28〕以美国《商业性人脸识别隐私法案(2019)》为例,该法案从知情同意的角度规定控制者必须在取得个人明确同意的情况下采集、创造、产生、记录、组织、构建、存储、应用、修改、编辑、咨询、使用、披露、转让、传播或者采取其他方式使用、组合、擦除或者销毁面部信息,并对明确同意做出具体界定,还要求控制者向终端用户发送详实易懂的识别通知,充分保障信息主体的知情权和选择权。为保障公共安全、制裁违法犯罪以及开展明显有益于终端用户的人脸识别活动则属于例外情形。与之不同的是,欧盟致力于实现对个人信息自我控制所进行的绝对权立法,造就了个人信息优先保护的典范;直接附着于人身,具有唯一性、持久性和不可更改性的人脸信息密切关联着尊严、自由、财产与话语权等,因此对于人脸识别的研发和应用一直坚守着谨慎的态度,要求境内任何涉及人脸识别的活动都必须严格遵循《通用数据保护条例》(GDPR)的规定。GDPR第9条第1款原则上禁止为了识别特定自然人对基因信息与生物特征识别信息做出相关的数据处理。但是第2款统一规定可以处理个人生物识别信息的例外情形,例如信息主体的明示同意、信息处理是为了信息控制者履行义务或行使权利,或者为了利益相关方在劳动和社会保障法中的权利行使以及信息处理涉及的是个人先前已公开的私人信息等。
(二)个人生物识别信息商业利用的保护路径
个人生物识别信息属于高度敏感的个人信息,生物识别信息与个体的人格尊严和自由密不可分,在立法上倾向于信息主体的利益,以禁止商业化收集、使用个人生物识别信息为原则,同时列举可以收集、使用个人生物识别信息的具体情形。①《征信业管理条例》第14条第1款规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。”对于征信机构采集个人生物识别信息,立法上完全禁止。依据《民法典》第111条的规定,个人生物识别信息主体与信息利用者以及义务人之间的权利义务关系可以表述为两个方面:一是信息利用者应当获得信息主体的同意,并且应保障个人生物识别信息的安全;二是任何组织或个人不得非法收集、使用、加工、传输、非法买卖、提供或者公开个人生物识别信息。依据《网络安全法》第41条的规定,个人信息的收集和使用的原则包括合法性原则、正当性原则、必要性原则以及公开性原则,同时应当获得信息主体的知情同意。信息主体的知情同意权是个人生物识别信息积极权能的核心。知情同意权可分为知情权和同意权。知情是同意的前提,同意是知情最重要的目的。前者是指信息控制者应向信息主体告知生物识别信息的收集目的、处理方式、使用范围、存储方式、披露规则、传输等内容。后者是指信息主体对于信息控制者对于信息的处理方式作出的自愿、清晰的同意表示。知情同意权体现了信息主体的信息自决权,是意思自治原则在信息归属和利用上的具体贯彻,被视为人性尊严和自由的具体化。依据《个人信息安全规范(2020)》的规定,收集个人敏感信息应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得个人信息主体的明示同意,除非个人信息主体自行向社会公众公开其个人信息。收集年满14周岁的未成年人的个人信息前,应征得未成年人或其监护人的明示同意,这表明不具备完全表示同意能力的未成年人应尽可能参与表示同意的程序,未成年人的意见应作为一个决定性因素考虑,决定性程度应与其年龄和成熟的程度相当。不满14周岁的,应征得其监护人的明示同意。该法定代理人应当遵循当事人的最大利益原则行事。个人生物识别信息的知情同意权极为严格,这是因为不同类型的个人信息所承载的人格法益与数据开发价值不同,相应的保护水平理应有所区别。个人生物识别信息因其直接表征和彰显个人身份的特质,蕴含重要的人格利益,因此必须对其提供特别保护。
近年来,商业公司或特定机构(例如学校、公园)对个人生物识别信息的收集和利用有愈演愈烈的趋势。人们即使对此有异议,但由于个人属于弱势一方通常也只能徒唤奈何。例如互联网公司开发的很多App设置的所谓“隐私条款”完全超出“正当、必要”的范围,尤其令人不能接受的是,如果用户不接受其隐私条款,App的发布者则拒绝用户安装或使用其App。此种“只能被迫接受,否则没法使用”的条款严重侵犯用户的选择权;又如商业公司或特定机构(学校、小区等)对于个人生物识别信息的收集和利用通常并非基于公共利益的目的,它们通常基于自身管理的需要采用生物识别信息系统,虽名为“公共安全的需要”,但是并不符合正当性与必要性原则,这些单位无权自行决定收集和利用个人生物识别信息;再如小区使用门禁系统就可以达到安全的目的,完全没有必要代之以人脸识别系统或者指纹系统。商业公司基于交易的目的或者特定机构基于经济管理的需要收集和利用个人生物识别信息时,应当在经营者—消费者的框架之下,经营者遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者/信息主体的知情同意。
个人生物识别信息的采集人与使用人应当遵循法律对信息控制者施加的法律义务,在技术标准、制度规范、法律约束等各个方面适用更加严格的条件和程序。具体而言:(1)个人生物识别信息原则上不应与第三人共享或者转让给第三人。个人生物识别信息具有公共产品的非排他性与非独占性特征,可以反复使用共享,而且与他人共享信息的边际成本非常低。因业务需要、确需共享、转让的,应单独向个人信息主体告知目的、类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。(2)个人生物识别信息的传输和存储更为严格。a.传输和存储个人敏感信息时,应采用加密等安全措施;b.个人生物识别信息应与个人身份信息分开存储;c.原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:仅存储个人生物识别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。个人生物识别信息的控制者应明确告知个人生物识别信息的存储期限。如果信息储存期限已届满或者收集和持有信息的目的已经完成,保有个人生物识别信息的控制者应当及时删除。(3)个人生物识别信息不应公开披露。与可识别的个人有关联的个人识别信息不应向第三者,特别是雇主、保险公司、教育机构和家庭披露,也不应让他们查询,除非由于重大公共利益原因或法律另有限制性规定或当事人事先在自愿并知情的情况下明确表示同意。由此可以看出,相较于其他个人信息,生物识别信息与基因信息属于绝对不公开的范畴。(4)在生物识别信息的隐私政策制定、访问控制措施、应急处置和报告、信息保护政策、工作人员管理等事项的安排与设置上,均需适用个人敏感信息的特殊保护要求。为了保护消费者的生物识别信息,应当赋予可以随时行使更正、删除和注销的权利,并且无需任何前置条件即可当场实现并即时生效,以保障个人生物识别信息安全。
四、个人生物识别信息的公共目的利用及其保护
(一)个人生物识别信息的公共目的利用:政府数据与社会数据
在个人生物识别信息的保护领域,国家扮演着多重角色。对于个人生物识别信息的商业化利用而言,国家大体上处于超然于个人生物识别信息主体与信息控制者双方利益的中立地位,其以社会管理者身份通过制定法律和实施法律调和信息主体的信息归属、信息自决权与信息控制者的数据利用、数据财产利益之间的矛盾。
从现实情况来看,为了公共利益的需要,国家实际上已经成为个人生物识别信息最大的收集、处理、储存和利用者,其本身是作为生物识别信息独立的利益相关者出现的。相应地,国家就从个人生物识别信息商业化利用中的中立地位转变为兼具信息利用者和管理者的双重身份的角色。国家对个人生物识别信息的收集与利用可以极大地发挥个人生物识别信息的价值,从而有效地保障公共安全与社会公共利益。自有国家以来,为实施社会管理(征税、兵役和徭役)和提供公共服务,国家收集和利用国民的个人信息(编户)是非常普遍的现象。但在现代信息社会中,个人生物识别信息因直接反映自然人独一无二的身体特征的属性、具有高度的可识别性而备受青睐。利用大数据与人工智能、统计学等技术,政府或者经授权的机构可以广泛采集和储存极其庞大的个人生物识别信息,并通过数据分析充分发掘个人生物识别信息的社会管理价值,“数字政府”已经成为现代政府的基本标志。中共十九届四中全会也提出,“建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则。推进数字政府建设,加强数据有序共享”〔29〕。
政府机关基于国家利益和公共安全所采集和使用的个人生物识别信息称为政府数据,经政府授权的机构和商业公司、网络平台收集的个人生物识别信息称为社会数据。政府所授权的机构基于社会公共利益的需要可以采集和适用个人生物识别信息。例如,英国生物样本库UK BioBank是目前规模最大的基因数据库,已经完成并向全世界依申请开放了50万英国人的全基因组遗传数据、临床测量及健康记录,全球已有上千个科研团队申请和使用其数据开展研究,显示了大数据、大合作对于全人类的价值。美国GnomAD项目也公开了14万余美国人的基因数据,相关信息均可以公开查阅。为应对全球健康挑战,我国批准组建的深圳国家基因库(China National GeneBank)致力于建立生命资源的全球性合作网络,为启动公共卫生应对措施及制定医疗对策提供依据。除此之外,商业公司和网络平台基于信息主体的知情同意而采集和使用的个人生物识别信息,基于公共利益的目的也可以公开。①《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号,第12条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。但下列情形除外:为促进社会公共利益且在必要范围内;学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人。”从数据规模上看,政府数据远高于社会数据。由于信息技术日益发达,政府部门之间的共享政府数据,或者政府部门与商业公司之间互相共享数据具有积极的作用,因而越来越常见。例如在新冠肺炎疫情期间,腾讯、阿里巴巴等商业机构通过自己的数据与技术给疫情防控提供了大量的数据(其中包括人脸识别、指纹等)。这其中既包括政府授权平台公司利用自己的技术优势直接参与防控,也包括它们对已有数据的加工和处理。通过对政府数据与社会数据的共享和充分发掘,可以准确识别个人的行动轨迹、个人的感染情况以及相关密切接触者的健康状况,充分发挥数字化防控的最大效能。这是过去从未有过的现象。
但是政府数据与社会数据的共享在提高政府工作效率和降低工作成本的同时,也增加了隐私信息泄露的几率。为避免泄露个人生物识别信息,有必要构建一套统一的、法定的数据交换标准,形成规范的数据格式。在信息公开时,要对个人生物识别信息进行去标识化或脱敏化处理,并选择恰当的公开方式和范围。通过去标识化,将个人生物识别信息中的人格属性剥离,将信息与特定个人之间的联系阻断,从而降低信息主体被识别的风险,在政府信息公开与信息主体权益保护之间取得平衡。在信息共享时,除法律规定的共享情形之外,政府机关或授权机构非经许可不得向他人转让个人生物识别信息。为保护国家安全,确实需要向境外传输个人生物识别信息的,应当严格审查接收国的使用目的及其所提供的保护措施。某些特定人员的个人生物识别信息或者积攒到一定数量的个人生物数据,应当按照国家秘密来进行管理。
(二)个人生物识别信息公共目的利用的限度
国家负有保护公民基本权利和自由的责任。国家采集和处理个人生物识别信息属于获取权力的方式,是对个人生物识别信息进行必要的限制或克减,通常以信息主体为代价。《通用数据保护条例》(GDPR)第9条规定,未经主体的知情同意可以采集和使用信息的情形包括以下情形:为保护信息主体或其他自然人的重大利益;为维护公共利益目的;为了提出、行使或辩护法律主张;为了预防医学或职业医学有关的所有事宜。美国《商业性人脸识别隐私法案(2019)》规定的例外情形包括:与国家安全、国防安全直接相关的;与公共安全、公共卫生、重大公共利益直接相关的;与刑事侦查、起诉、审判和判决执行等直接相关的;出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的。我国《反恐怖法》第50条规定:“公安机关调查恐怖活动嫌疑,可以依照有关法律规定对嫌疑人员进行盘问、检查、传唤,可以提取或者采集肖像、指纹、虹膜图像等人体生物识别信息和血液、尿液、脱落细胞等生物样本,并留存其签名。”《出境入境管理法》第30条第2款规定:“申请办理外国人居留证件,应当提交本人的护照或者其他国际旅行证件,以及申请事由的相关材料,并留存指纹等人体生物识别信息。”
《民法典》第999条规定:“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。”该条规定“可以合理使用个人生物识别信息”,意味着政府不能无节制地肆意收集和利用个人信息,个人信息法律保护制度的发展始终伴随着对政府权力的限制。〔30〕个人生物识别信息涉及信息主体的人格尊严和自由,后者属于宪法所保障的基本权利。当国家基于国家利益和公共利益的名义对个人生物识别信息进行收集和使用时,应当明确规定公权力与个人生物识别信息之间的边界,规范个人生物识别信息准入制度并限制其适用场景。〔31〕规范个人生物识别信息的公共利用,避免政府机关借国家利益和公共利益之名滥用公权力,以实现保障个人生物识别信息的信息归属、信息自决权与国家利益、公共利益之间的妥当平衡。
政府机关或授权机构在收集个人生物识别信息时必须基于公共利益的要求并遵循法定程序,符合比例原则之下目的性、必要性和狭义比例的要求,兼顾收集和使用目标的实现和保护信息主体的权益。政府机关或相关机构对于个人生物识别信息的收集必须具有法定的依据和授权事项,并明确告知相对人该法律依据和授权事项以及不提供个人生物识别信息的法律后果。政府机关不得为公共利益之外的目的利用个人生物识别信息,不得超越职权收集个人生物识别信息。为支持学术研究,授权机构也基于公共利益的目的利用个人生物识别信息,但是须无害于个体的人格利益,相关研究人员或机构应当对使用的个人生物识别信息采取妥善的保护措施。必要性原则要求实现正当目的的手段具有必要性,对当事人造成的损害最小。在收集和利用个人生物识别信息的目的与手段的关系上,个人生物识别信息的种类和范围必须是为达成目的所必需,否则不应被收集和利用。为医学和科学研究目的采集个人生物识别信息不应保持与可识别个人的关联。即使上述数据已经切断与可识别个人的关联,也应采取必要的预防措施保障有关数据的安全,防止非法获取。只有在必须进行研究且个人隐私和有关数据的保密性依法受到保护时,为医学和科学研究目的采集的个人生物识别信息才能保持与可识别个人的关联。鉴于个人生物识别信息被侵害后的不可挽救性,若有其他替代性途径可以实现公共安全的目的,则优先选择对个体影响最小的方式即“对于当事人自由的干预应尽可能最少”〔32〕。例如在疫情防控中,政府机关或授权机构在收集和使用个人生物识别信息时应当控制在对维护国家利益和公共安全确有必要的限度内,遵守采集个人生物识别信息的最小化原则,不收集、处理与疫情防控无关的个人信息;不将个人信息分享给不具备合法接触权限、没有必要接触信息的人员;个人信息保存到疫情防控已经不需要处理该信息时即应采取删除或匿名化措施。狭义比例原则即均衡性原则,该原则要求当维护的公共利益大于对个人私益造成的侵害时,对于个人私益的限制手段才具有正当性。当众多个人生物识别信息被汇集、加工、利用时,其呈现出的已非单一的个人私益,而包含社会法益属性,因而应考虑其社会公共利益的属性进行利益衡量。〔33〕
在面对重大疫情等需要维护公共利益的情形时,信息主体的“知情同意原则”应予以弹性适用,即相关信息的收集利用主体可不受信息主体知情同意原则的限制,这有助于高效防控疫情及维护其他社会公众利益。〔34〕相反,若是采用以同意机制为主的模式来保护个人信息,即将数据的相应风险置于作为数据主体的个人身上。〔35〕因社会一般成员对信息被利用的风险性认识有限,个人难以预判其生物识别信息泄露后的风险。欧盟GDPR第6条第1款规定,若数据处理是为了执行公共利益领域的任务所必需、为实现控制者或第三人所追求的合法利益所必需时,即便缺乏数据主体同意要件,该行为方式依旧符合法律规定。我国《传染病防治法》也对各级疾病预防控制机构、医疗机构进行授权,使其可以在疫情防控中主动收集、分析和报告传染病监测信息,而无需详细告知信息主体,以便迅速高效防控疫情。