个人生物识别信息应用风险的法律规制研究
2021-01-12顾秀文
顾秀文,张 波
(江苏师范大学 法学院,江苏 徐州 221100)
随着人工智能、云计算、识别终端等技术的快速发展,以“指纹识别”“人脸认证”“虹膜解锁”为典型特征的生物识别技术开始在门禁验证、金融支付、交通出行、大众娱乐等领域广泛应用,其在推动数字技术不断进步的同时,也改变了人们的生活方式,成为人们生活的重要组成部分。个人生物识别信息不同于传统的一般个人信息,其具有独一无二性、不可替换性、广泛应用性和易被窃取性,特别是易被窃取性使得个人生物识别信息面临各种风险。目前,我国个人生物识别信息被过度采集、非法交易、滥用盗用等现象屡见不鲜,给人们的人身、财产安全造成极大威胁,甚至危害国家安全。正如王锡锌所言:“在制度环境与技术条件不完善的当下,数据处理活动中的疏失、泄露等信息安全风险及伴随的衍生损害亦日益加剧,个体的不安全感不断上升。”[1]因此,在“我们还没有做好迎接它的准备,致使社会的很多领域出现失序和无序问题,国家治理和社会治理出现‘治理赤字’,构建智能社会法律秩序就显得十分必要、十分紧迫”[2]。
一、个人生物识别信息的特殊性
(一)个人生物识别信息具有独一无二性
个人生物识别信息由于其自身的天然属性,所以是独一无二的,这也成为个人生物识别信息区别于传统的一般个人信息的重要特征。个人生物识别信息的权利主体是确定的、唯一的,将个人生物识别信息应用于验证自然人身份的实践中,并不需要辅助以个人的其他信息,只需要输入自然人的指纹、虹膜、面部等生物识别信息,便可以通过大数据、云计算技术迅速判定“某人之为某人”,个人的生物识别信息仅与特定的自然人相匹配。就个人生物识别信息在金融支付场域应用而言,自然人在支付软件中开通识别支付功能时,软件平台会通过设定算法,对用户的生物识别信息进行采集、处理并储存,以备用户下次登录验证时对照识别。与此同时,平台还会将收集的个人生物识别信息与自然人的身份证等物质化信息相捆绑,以固定个人生物识别信息的应用。当用户识别支付功能开启后,用户可以将指纹、面部信息等直接作为其支付密码,以便于识别验证,而无须手动输入相关信息、出示身份验证证件。相较于身份认证其他方式,个人生物识别信息具有准确性与高效性,而信息验证的准确性正是得益于自然人所拥有的独一无二的生物识别信息。因此,个人生物识别信息常被作为确信的、具有唯一性的支付密码、身份验证信息,指向个人的人身和财产权益。但也正是基于这份独一无二性,使得个人生物识别信息一旦受损将不可逆转。
个人生物识别信息的唯一性,是其进行身份验证的独特优势,这也成为许多人看好其应用前景的主要原因。生物识别信息技术的开发者往往只注重宣传新兴技术的优越性,却忽略生物识别信息技术应用给人们带来的易泄露、保密性弱、风险性大等风险。如果对个人生物识别信息技术应用风险不能预测,盲目推广生物识别信息技术应用,放任商业逐利导致无序的市场竞争,将会造成难以想象的信息权利危机。
(二)个人生物识别信息具有不可替换性
个人生物识别信息具有稳定性,且不可替换。在日常生活中,如若丢失身份证件,可以向公安机关申请更换新的身份证;忘记银行卡密码或者软件登录密码,可以通过系统设置找回密码或者直接更换新的密码。但是个人生物识别信息是独一无二的,一个人不可能拥有第二张脸、第二个基因信息,如若被盗用、冒用或者泄露,将无法更换。并且,不同于出生日期、电话号码等轻度敏感信息,生物识别信息无法再次获取,如果个人生物识别信息被滥用,将会直接影响其正常的社会活动,给个人生活带来极大的不便。王德政指出:“一旦作为密码使用的生物识别信息遭到泄露,将导致信息所有人无法像修改普通密码那样修改该密码,只能申请停用该密码,从而造成其在该密码的使用上遭遇较大的不方便。”[3]因此,要对个人生物识别信息的采集、处理、储存全流程进行保护,以保障个人生物识别信息的安全性。
(三)个人生物识别信息具有广泛应用性
个人生物识别信息技术应用具有准确性与稳定性,加上信息识别技术便捷的优势,因而在商业与政务等方面发挥着重要的作用。个人生物识别信息技术应用主体不仅包括个人、学校和企业,而且政府部门也将这一技术应用于日常政务处理和国家安全事务中。个人生物识别信息技术“在交通管理、安检、教育等领域都有广泛的应用,改善了相关领域工作的质量和效率,提升了公共安全,增进了公众生活的便利”[4]。对政府而言,个人生物识别信息技术应用在维护社会秩序、保障公共安全中发挥了重要作用;对企业而言,个人生物识别信息技术的优化与不断创新,能够不断造福公众,具有广阔的发展前景;对公众而言,个人生物识别技术应用改变了人们的生活方式,给人们带来全新的生活体验。
个人生物识别信息技术应用主要包括以下五个方面:(1)国家安防领域。个人生物识别信息技术应用最初进入大众视野是在国家安防领域,主要用于识别犯罪分子的面貌、行为等特征。“基因信息被广泛用于刑事侦查程序以辨认犯罪嫌疑人和受害人的身份或者亲子鉴定等。人脸信息、指纹信息、掌纹信息等还被用作研究和开发具有商业价值的新产品。”[5]个人生物识别信息技术应用提高了犯罪抓捕的效率,在维护国家安全、社会安定等方面起到了重要作用。(2)交通出行领域。在出行方面,个人生物识别信息技术被应用于车站的旅客身份验证中,这一应用不仅节省了人力资源,而且也提升了出行效率。就交通管制而言,为进一步规范出行秩序、提升公民的出行素质,交通部门运用生物识别技术对交通违章者进行监控,如果出现交通违法行为,生物识别端口将会自动识别行为人的相关信息,并显示于公屏上,以此督促公众遵守交通规则。(3)金融支付领域。随着支付宝、微信支付等金融支付软件与生物识别技术的结合,软件用户只需要开通指纹识别或者人脸识别等免密支付功能即可进行支付,无须手动输入密码,非常方便快捷。与此同时,传统的银行业也开始引用个人生物识别信息,为用户财产安全增添保障。(4)大众娱乐领域。2021年初,“Avatarify”APP推出,一段“蚂咿呀嘿”视频风靡一时。“Avatarify”软件是对相关人物形象进行深度伪造,软件用户只需要上传人物的高清照片,即可将影视片中的人物形象替换成照片人物形象,因而受到大众的追捧。(5)门禁考勤领域。个人生物识别信息技术功能被大量应用于门禁考勤领域,从而减少了传统刷卡考勤存在冒用顶替的情形。
(四)个人生物识别信息具有易被窃取性
生物识别信息技术在国家安全、社会治理和人们日常生活中发挥着举足轻重的作用,给人们带来巨大的技术红利,为建设智慧政府、打击违法犯罪、提高公民生活质量作出了巨大贡献。但是,个人生物识别信息作为数字时代的产物,其易被窃取,从而造成个人信息安全隐患。个人生物识别信息的采集、处理以及后续的非法交易具有隐蔽性,侵害个人生物识别信息行为通常不会直接体现表现,而是隐藏于幕后。而且该行为不是有形的侵害行为,权利人很难在个人信息受到侵害的第一时间维护自己的权益。
随着个人生物识别信息应用领域的不断扩大,个人生物识别信息技术也开始异化。个人生物识别信息技术在验证个人身份、充当支付密码之外,可能会产生其他意料之外的功能,如信息滥用、扩大信息的应用范围等等。生物识别信息技术的应用具有较好的应用前景,且应用门槛较低,使得许多并不具有技术背景的人也可以轻而易举地获得自身或者他人的生物识别信息。以2019年红极一时的换脸软件“ZAO”为例,在该软件中用户可以轻易地将视频中的人物形象换成自己的形象,或者利用他人的照片对视频中的人物进行换脸。这种现象表明,个人生物识别信息在日常生活中极易脱离权利人的掌控被他人窃取,一旦被他人窃取,信息权利人便无法再使用该信息,只能关闭个人生物识别信息应用相关功能,甚至退出相关场域的适用。
二、个人生物识别信息应用的风险形式
(一)过度收集引发的个人生物识别信息侵权风险
个人生物识别信息应用具有公共性,无论是在政务领域还是商业领域,对于个人生物识别信息的采集均具有强烈的需求。个人生物识别信息具有独特的便捷性,在电子政务和社会治理中的应用价值更为突出。“通过政府的信息采集工作、移动互联网应用和终端的信息收集过程、监控摄像设备及各种物联网设备的自动化拍摄或记录等途径,政府与企业逐渐掌握了大量个人信息。”[6]就生物识别信息政府采集而言,政府为进一步推进对国家、社会的精准治理,大量应用生物识别技术采集个人信息,在“网上政务”中高效应用,构筑起新型“数字政府”。在传统的刑事侦查领域,侦查机关通过面部信息、指纹等追踪犯罪分子、查找失踪儿童,在维护公共安全和社会秩序方面发挥了重要作用。
除此之外,生物识别信息技术也在不断更新换代,不断取得技术进步,其不仅仅是身份的新型验证方式,也逐渐成为推动产业结构调整的重要生产要素。个人生物识别信息技术的发展催生出一批以信息查询、数据处理为经营内容的服务产业,这些产业的诞生使得搜集个人生物识别信息的现象随处可见。“一个人在不同时间提供的单条个人信息可能并不敏感,从而不会感到存在风险或威胁,但在数据聚合技术下,不敏感的个人信息相互叠加、互为线索,可能分析得出敏感的信息。”[7]以“万店掌”高效运营系统为例,商户使用该软件用以准确了解顾客的职业、需求、报价等,以提供个性化的精准导购,而这些信息的收集并非以用户的同意、服务所需为限,因而引发出个人生物识别信息侵权风险。个人生物识别信息的“采集阶段处于信息生命周期的最前端,是个人信息从信息主体流入信息控制者手中的关键节点,需要重点考虑如何监管”[8]。
(二)黑客攻击引发的个人生物识别信息失窃风险
个人生物识别信息技术应用“本身虽然不产生危害,但是一旦被恶意主体所利用,就会对整个信息系统的安全造成损害,从而影响信息系统的正常运行,并对用户信息产生威胁”[9]。信息科技的不断发展,使得个人生物识别信息技术应用风险呈现多样化的形式,信息侵权手段也呈现高技术化趋势。随着现代智能科技的普及,精通软件数据操作、熟悉数据编写流程、掌握较高计算机技术水平的人越来越多。“通过信息网络,任何技术都要转化为计算机识别的0-1这样的二进制代码。人脸不能复制,转化的二进制计算机代码却可以复制,也完全可能被盗窃。生物识别技术的识别原理和提取的数据都会存储成为企业的数据库,在目前全世界的情况来看,都存在重大的数据泄露、失窃的潜在安全风险。”[10]
黑客利用病毒或者特殊仪器对目标计算机发射电磁波,拦截、窥探信息采集者、处理者、储存者数据库中的生物识别信息,目的是谋取非法利益,这是诱发生物识别信息泄露的根源,也是黑色信息产业链形成的核心环节。黑客通过远程操控信息数据库,窃取他人的个人生物识别信息,再利用非法获取的他人生物识别信息进行名誉损害、人身财产侵害等二次犯罪。“越来越多的受害人认为数据泄露增加了他们遭受侵害的风险,这一新型损害从而使他们产生焦虑或恐惧等精神损害。”[11]黑客也会对生物识别技术加以研究、运用,如利用3D打印破解生物识别密码,从而盗取财产等。“个人信息除遭受个人侵害外,还受到来自公权力机关的威胁,公权力机关非法监视、监听以及非法收集个人信息的现象大量存在。”[12]目前,个人已经无法凭借一己之力抵御这一高科技带来的攻击、窃取危害。
(三)信息滥用引发的个人生物识别信息失控风险
2021年初,Avatarify提供的以“吗咿呀嘿”为背景音乐的“换脸”短视频制作红爆网络,但一周后因为存在信息安全问题而被强制下架。这已经不是“换脸”软件第一次进入公共视野,2019年“ZAO”APP也是如此。“换脸”软件本质上是对人物形象的“深度伪造”,是对个人生物识别信息的一种滥用。当前,“深度伪造”技术主要应用于对声音和面部信息的伪造,以实现以假乱真的效果。借助人工智能技术,“深度伪造”实现了从以往PS、抠图的被动伪造,到全民可以主动参与的自主性伪造。只需要在系统内输入一定的素材,如上传自己的照片或者他人的照片,“深度伪造”软件便可以进行深度学习,从而重新排列组合相关内容,生成合成图像。然而,这一技术的合法性仍有待证成,这也“意味着个人生物识别信息的价值开始得到重视,其法益侵害后果已突破传统的公民个人信息犯罪的框架,而进入与之密切关联的另一个犯罪领域,即身份盗窃”[13]。
“深度伪造”技术对公民个人生物识别信息的滥用,侵蚀到个人最内层的敏感信息范畴,使得个人唯一的生物识别信息甚至其他身份信息存在失控的风险。而个人生物识别信息因为具有特有的人身依附性、专属性,一旦与个人其他一般信息所绑定,便无法重新再制造一个新的人物身份。公民个人生物识别信息的滥用,将导致滥用他人生物识别信息的成本降低,进而滋生出对他人身份盗用的风险。
(四)生物识别技术破解引发的人身和财产安全风险
随着信息技术的发展,针对个人生物识别信息技术的验证功能、密码支付功能出现一系列的破译方法,给生物识别信息应用的安全性能打上问号,也将与生物识别信息密切相关的人身和财产安全置于风险中。这“不仅仅限于私益,还与社会公益相关”[14],“它包括良好的治安、安全的交通、有序的社会生活和可预期的行为模式与结果。这部分收益虽然不是针对特定的个体,但为所有社会主体所享有”[15]。
在日常生活中,对个人生物识别信息的采集、分析行为无处不在。这些信息捕捉于各个时段、各个路口、各个角落,看似支离破碎、错综复杂,实则编织了一张张生物识别信息网。“生物识别信息因其特有的普遍性,相对唯一性和稳定性不但可以作为一个特殊的识别信息和链接各类个人信息的关键点,也可以根据生物识别信息分析出更多的其他相关信息。”[16]直接采集的个人生物识别信息是一个个瞬间、一幅幅画面,并不一定具有信息价值,但经过信息技术人员的整合,将个人的生物识别信息重新排列,将会形成有关个人的信息链条。掌握生物识别信息技术的人员便可以利用这些信息勾勒出个人的数字信息画像,再辅之以3D打印技术、照片活化程序破解个人设置的生物识别信息密码,进而危及个人的人身和财产安全。个人生物识别信息“反映的是个人参与社会活动的情况,避免信息泄露是维护社会秩序的内在需要”[17]。
三、个人生物识别信息技术应用和保护面临的困境
(一)个人生物识别信息保护专门性法律规制缺失
近年来,个人生物识别信息技术作为一种新兴技术因其便捷性和高效性在世界各国得到广泛应用,同时也引发各国对于技术风险法律规制的探索。美国采取专门的立法保护模式,对个人生物识别信息应用制定专门的法律加强保护,最典型的是伊利诺伊州的《生物识别信息隐私法案》。欧亚一些国家采取综合性的立法保护模式,将个人生物识别信息作为个人信息的一部分加以保护。国外无论是专门的立法保护模式还是综合性的立法保护模式,都是在普遍适用一般个人信息保护原则基础上,对个人生物识别信息保护的保护模式。
目前,我国尚无专门的个人生物识别信息法律保护制度,2020年10月全国人民代表大会常务委员会发布《个人信息保护法(草案)》,就个人信息保护有关立法问题向社会公开征求意见。当前,我国对于个人信息保护主要依据《民法典》《电子商务法》中的相关条款,从而导致“个人生物识别信息保护规范的法律位阶较低,大多为规章、规范性文件,甚至是行业协会与企业制定的行业规则”[18]。缺乏专门的个人生物识别信息保护法律制度,存在概念不统一、规定相冲突、法律属性不明确等问题。
(二)个人生物识别信息应用缺乏监管机构跟进
个人生物识别信息应用具有高科技性,全过程采用自动化的处理模式,因此,对于个人生物识别信息风险的认定,需要既知晓信息技术又精通法律知识的专业人员和专业机构予以跟进。由于个人生物识别信息具有不可替换性和独一无二的特征,一旦产生失窃、泄露、滥用等风险,损害后果将不可清除或逆转。有鉴于此,事前的隐私保护机制设计与审查,将成为个人生物识别信息应用风险规避的关键。
然而,我国“个人信息保护所依赖的借助国家公权力保障的现代保护机制(即个人信息主体权利保护主管机关制度)并没有在立法上确立”[19],且缺乏个人生物识别信息保护的专门机构,更无个人生物识别信息处理的专业监管机构,而国家对于个人生物识别信息权利的司法救济又存在滞后性,因而建立健全个人生物识别信息保护专门专业机构至关重要。
(三)个人生物识别信息应用平台行业规制力度较弱
随着个人生物识别信息应用领域的不断拓展,形成一系列关于个人生物识别信息采集、分析以及应用产品设计的行业。由于我国关于个人生物识别信息应用风险的制度匮乏,因而个人生物识别信息应用平台行业规制成为政府监管的有力补充。然而,由于行业的自我规制并不具有强制性,规制力度较弱,致使个人生物识别信息应用行业规制成为软肋。当前,个人生物识别信息应用平台行业规制措施主要是设置信息采集、处理“告知同意”义务,这是在形式上最容易实现的平台义务。
在复杂的个人生物识别信息应用中,个人同意并不代表其确切知情。在传统的“告知同意”模式下,应用平台的告知信息常常过载,信息行文冗长混杂,使得个人生物识别信息在后续采集、分析中可能面临不利后果而不容易发现。除此之外,个人生物识别信息告知文件通常用语晦涩难懂,且篇幅较长,导致用户会不仔细阅读,随意浏览后即确认同意,造成“告知同意”模式的设置流于形式。
(四)生物识别信息个人权利救济缺乏专业路径
智能媒介、大数据、识别终端等被广泛运用于各个生活场景中,如门禁识别、金融支付、电子政务等。个人生物识别信息经识别采集后,由算法进行解析、分类储存于运营商的云端数据库中,供人们使用智能终端时匹配验证。同时,海量个人生物识别信息的数据空间逐渐与人们现实生活的物理空间相对应,智能终端前的表达、交流等行为同样被固定为数据,形成数据空间与生活空间的全时段互动场景。然而,个人生物识别信息数据运营商与信息权利人之间对于数据的控制不平衡,信息权利人无法掌握、控制自己的生物识别信息数据应用动向,在涉及其信息数据存在风险的场域中往往难以充分举证,无法对抗隐藏于专业算法背后的信息数据运营商,丧失权利救济的能力。就个人生物识别信息应用的风险规制边界而言,信息应用各方对此也有一定的争议。
公民个人生物识别信息所蕴含的隐私内容是动态的,不是一成不变的,包括个人信息数据以及个人继续在物理世界中生活而形成的数据链条。个人生物识别信息权利人在不同应用场域中所感受到的权利侵害程度也是不同的,对个人生物识别信息应用风险予以规制,往往会从风险侵害程度的认定演变为信息应用各方之间利益的博弈,这对信息权利人、信息运营商以及侵权方而言,维权的诉讼成本都较高。个人生物识别信息个人权利救济专业路径缺乏,加上个人生物识别信息权利人举证能力的限制,将会影响整个案件证据的收集及案件流程的推进,使得风险难以得到有效规制,权利救济举步维艰。
四、个人生物识别信息应用风险的法律规制路径
(一)立法:明晰个人生物识别信息应用风险的法律规制维度
第一,构建专门的个人生物识别信息法律体系。随着个人生物识别信息技术的广泛应用,对于个人生物识别信息应用风险的法律规制迫在眉睫。然而,目前我国法律对于这一领域的规制尚处于空白状态,“具有滞后性的法律法规和国家标准难以及时解决本领域有序发展的各种障碍”[20]。有鉴于此,对于个人生物识别信息应用风险的规制,不能仅仅依靠民法、行政法规,还要进一步探索侵害个人生物识别信息的刑事责任,加大非法买卖、恶用、冒用个人生物识别信息惩罚力度,以构建良好的个人生物识别信息应用秩序。同时,应当建立专门的个人生物识别信息法律保护体系。《个人信息保护法(草案)》已经公布,相关条款正处于讨论阶段,应当在法律上赋予其独立的法律地位。“针对生物识别技术的应用以及生物识别信息的保护进行专门立法,对取得许可的生物识别技术的研发主体和应用主体分别设置安全保障义务与责任,以详尽规制不同的生物识别技术行为,从而更加全面地保护公民个人信息以及个人人身、财产安全。”[21]当然,“如何处理法律的稳定性与变动性、现实性与前瞻性、原则性和操作性,是立法中很难把握的一个问题”[22]。
第二,明确个人生物识别信息的权益属性。相对于隐私权保护而言,个人信息相关法律权益是在大数据时代涌现出的新型权益。个人生物识别信息与隐私权紧密关联,两者难以区分。首先,个人生物识别信息作为个人信息的一部分,在《民法典》人格权编中得以确认,与同属于人格权的隐私权保护具有天然的关联属性。其次,个人生物识别信息与隐私权保护客体具有一定的重合性,如金融支付的密码、身体信息等。最后,个人生物识别信息与隐私权被侵害的风险形式相同,都包括泄露、非法收集、滥用等。然而,个人生物识别信息与隐私权也相互区别,“隐私一般涉及到人格尊严问题,个人信息往往与大数据发生联系。因此,侵犯隐私的形式是多元化的,而针对个人信息恰恰是在数据应用的前提下才产生个人信息保护的问题”[23]。随着信息的科技变革,传统的隐私权保护模式已经无法满足对于个人生物识别信息保护的新诉求。个人生物识别信息的独一无二性、不可替换性、不可逆性,决定了应当给予个人生物识别信息与隐私权不同程度的保护。应当明确个人生物识别信息的权益属性,以完善信息保护相关立法制度。
第三,实现个人生物识别信息保护“软法”与“硬法”共治。个人生物识别信息数据的复杂性、技术性等特征,决定了对其风险规制需要“软法”与“硬法”共同参与。软法具有应时性与灵活性,在专门的个人生物识别信息保护法出台前,软法先行不失为一种选择。因为硬法立法周期长、程序繁琐,硬法修订滞后于个人生物识别信息技术的发展;硬法出于对国家权力这一外部规制的强调,忽视了个人生物识别信息运营主体自我规制的内生作用。但这并不意味着个人生物识别信息风险不需要硬法的外部规制,“若没有硬法规定基础性规范,软法也难以发挥真正有效的作用”[24]。软法规范的强制性较弱,也决定个人生物识别信息风险规制需要硬法托底。立法者应当总结成熟的软法治理经验,并在此基础上使其上升为硬法,以遏制个人生物识别信息面临的风险。
(二)执法:强化个人生物识别信息应用风险规制的政府职责及加大行业自律力度
第一,设置专门化的个人生物识别信息处理监管机构。当前,在我国现行法律法规中,对于个人生物识别信息应用风险规制的主体责任和权利范围规定概括性较强。对于规制主体而言,主要是工业和信息化部、国家互联网信息办公室、公安部等部门,其承担着个人生物识别信息应用风险规制、行业标准制定以及数据保护等职责。多个部门共同治理、规制风险的模式可以最大限度覆盖风险范围,但也存在部门之间管辖范围重合或者无人管辖的空间,造成个人生物识别信息应用风险。传统的分散管辖模式已经无法满足个人生物识别信息发展及风险规制需求,为进一步实现对个人生物识别信息应用的有效监管,应建立权威、稳定、独立、专业的个人生物识别信息保护监管机构,以履行规制个人生物识别信息应用风险的公共职责。同时,聘任具有专业技术背景的复合型人才,解决信息保护执法监管技术问题,实现对个人生物识别信息应用的有效监管。域外国家对于个人生物识别信息应用风险规制的机构设置值得我国借鉴,如美国设置专门的“生物识别信息隐私调查委员会”,印度针对个人信息保护设置“数据保护局”。
第二,明晰生物识别信息应用风险规制的政府责任。面对技术进步中持续化的个人生物识别信息侵害风险,政府部门应当履行政府责任,营造有利于保护个人生物识别信息的制度环境氛围。首先,相关立法部门应当制定个人生物识别信息专业化法律制度,形成完备的法律体系,对个人生物识别信息应用风险进行有效规制,为生物识别信息技术发展和产业进步提供制度支撑。其次,行政机关在履行社会公共职能时,应当以不侵害个人生物识别信息相关权益为考量因素,实现理性监管,并引导信息产业在法治轨道上运行。最后,司法机关在对侵害个人生物识别信息权益行为进行审查时,不能简单地直接套用民事法律关系中的意思自治法律原则,应当着眼于双方对生物识别信息技术不平等的认识水平和权力对抗,以作出更加公平的判决。
第三,加大个人生物识别信息应用行业自律力度。加大生物识别信息行业自律力度,及时调整和完善规制措施,保障新兴技术的有序应用。行业组织应当制定系统完备的行业自律制度,以实现对行业的有效规制。应当加强对行业的领导,设置个人生物识别信息风险规制目标及实现目标的方式和路径。就个人生物识别信息“告知同意”机制设置而言,行业组织可以重新定义“告知”内涵,区分不同生物识别信息的同意标准。同时,建立个人生物识别信息保护组织,发挥多元主体优势。
(三)司法:构建个人生物识别信息权利救济机制
第一,引入公益诉讼制度。在个人生物识别信息风险规制实践中,我国尚未对个人生物识别信息法律属性作出明确界定,且政府部门对于个人生物识别信息的专业性认知不足,救济渠道狭窄,以至于国家权力在个人生物识别信息风险规制中不能及时就位甚至缺位。然而,个人生物识别信息行业链中乱象丛生,危及社会公共利益,乃至国家安全利益。为救济那些“损害社会公共利益的行为”,满足人们对于美好生活的期待,公益诉讼制度应运而生。公益诉讼制度分为民事公益诉讼制度和行政公益诉讼制度,两种公益诉讼制度的出现,一方面对于社会反映强烈的损害公共利益的问题予以回应,另一方面也督促公权力对于公共利益的保护。公益诉讼制度的设立及其发挥的作用,使特定机关、组织介入司法活动符合公共利益保护的现实需求,对于私人力量难以企及的案件,公益诉讼能够弥补这一缺憾。
第二,建立健全信息诉讼调查取证保障体系。在个人生物识别信息风险规制领域中引入公益诉讼制度,实质上是以一种诉的形式实现个人生物识别信息权益的保障。就诉讼而言,决定能否胜诉的核心在于证据是否充分。然而,在现实的个人生物识别信息侵害案中,个人用户与生物识别信息处理者之间“无论在收集证据的能力上,还是在技术能力或经济实力上都存在显著的差距”[25],导致个人用户维权难度大、成本高、效率低。因此,需要提升检察机关“公益诉讼公诉人”取证能力,“确保检察机关充分享有并运用好调查取证权”[26]。同时,建立个人生物识别信息公益诉讼调查取证保障体系。一方面,设立个人生物识别信息调查取证基金,用于个人生物识别信息公益诉讼风险评估、专家检测等;另一方面,建立个人生物识别信息风险规制咨询专家库,优化个人生物识别信息公益诉讼调查取证人才队伍。
结 语
个人生物识别信息技术的出现,并借由大数据分析的支持,让我们能够仅凭一张脸、一个指纹便可以验证自己的身份,极大地减少了繁琐的过程性细节,节约了人力资源。信息的价值也在人们让渡出部分信息权利的基础上得以呈现。然而,伴随着信息科技的广泛应用与快速发展,个人生物识别信息被过度收集、黑客攻击、滥用失控、技术破解的频率越来越高,因而个人生物识别信息应用存在诸多风险。我国对于个人生物识别信息应用风险的法律规制起步较晚,现阶段对于个人生物识别信息的应用尚不能提供完善的风险规制对策。这也为我国进一步细化个人信息保护制度,建立健全个人生物识别信息应用风险规制预留了空间。未来,应在立法、执法、司法合力作用下,走出一条个人生物识别信息应用技术与合法权益保障协同的发展之路。