个人生物信息安全的法律保护
——以人脸识别为例
2021-11-15张勇
文/张勇
个人生物识别信息,是指自然人可识别的生理或行为特征,从中提取可识别、可重复的生物特征样本、模板、模型等识别数据或数据的聚合。个人的面部、指纹、视虹膜、基因等生物信息识别技术被广泛应用到社会生活领域。生物识别技术发展所带来的身份验证、人体试验、器官移植、辅助生殖技术、基因编辑及重组等问题,都可能会侵犯个人信息数据权利,危及生物信息安全甚至国家安全。如何防范生物识别技术应用的安全风险,依法规范个人生物识别技术的研发和应用,确定侵犯个人生物识别信息权利的法律责任,构建危害生物信息安全行为的制裁体系,本文对此予以探析。
人脸识别:个人生物信息的安全隐忧
人脸识别作为一种识别个人身份信息的新型技术,其主要特征是非接触性、主体唯一性和不易复制性,同时也具有无须携带、易于采集、成本低廉等特点。信息采集者只要通过设置普通摄像头等传感器,加上面部识别的软件和算法的运用,无须接触自然人个体便可实现面部信息的抓取与存储。人脸识别的应用范围越来越广,运用海量数据挖掘和神经网络技术的人脸识别系统已成为人工智能、区块链商业应用的新领域。相对于其他个人信息,人脸识别应用的数据存储、传输流程存在严重的隐私侵权和安全受损风险;而一旦人脸识别信息被泄露或冒用,就可能会对信息主体造成永久性伤害和难以弥补的损失。在我国,个人生物识别信息数据被盗或过度滥用的问题层出不穷,涉及人脸识别侵权诉讼或刑事犯罪的案件也屡屡发生。例如,2019年10月,浙江理工大学副教授郭兵因不同意杭州野生动物世界使用人脸识别对其进行用户认证而提起侵权诉讼,被称为“人脸识别第一案”。
近年来,我国相关部门和机构颁布实施了诸多个人信息保护的国家行业标准,包括:2019年《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》(以下简称《生物识别信息保护要求(征求意见稿)》);2017年《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》,2020年修订);2020年《APP收集使用个人信息最小必要评估规范 人脸信息》团体标准(以下简称《APP人脸信息规范》)。须指出,作为国家行业标准的《个人信息安全规范》不是强制性法律标准,而是推荐性行业标准,因而对个人信息保护的要求也更加严格。
个人生物信息安全法益的法律保护
《APP人脸信息规范》第3.1和3.3条规定,“人脸识别”即基于个体的人脸特征,对个体进行识别的过程;“人脸信息”即对自然人的人脸特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。《生物识别信息保护要求(征求意见稿)》 第3.1.3条规定,个人生物识别信息基本特征在于,可检测到的个体生理或行为特征,可以从其中提取可识别的、可重复的生物特征。所谓“生物识别”并非仅是对自然人生理特征的识别,而是将生物识别信息与个人身份、金融、行为、位置、偏好等信息对接,使得个人生物识别信息的法律属性具有更强的多元化、复杂化的特点。
从立法来看,欧盟《一般数据保护条例》(GDPR)、英国《数据保护法案》、日本《个人信息保护法》等法律法规都对“生物识别数据”做出专门规定。我国《网络安全法》规定,个人生物识别信息属于“直接可识别”到个人身份的隐私敏感信息,其必须经过计算机的相关生物识别程序的识别才能生成相关信息数据。《个人信息安全规范》第3.2条规定,对于个人生物识别信息须以个人敏感信息的严格标准加以保护。根据《生物识别信息保护要求(征求意见稿)》第3.1.7条的规定,个人生物识别信息所涉及的权利包括其在整个生命周期的收集、转移、使用、存储、归档、处置和更新的权利,具体包括知情权、同意权、查询权、更正权、删除权、利用权和公开权等。
个人生物识别信息可分为可识别个体生物特征的个人隐私信息、一般个人信息和个人数据三种,其权利属性也有所差别。首先,一般个人信息具有人格权属性。但个人信息所蕴含的权利并不限于隐私权,后者则是其最重要、最核心的内容。个人信息权的法律保护属于弱保护,而隐私权的法律保护则属于强保护,对于个人生物识别信息应优先适用更为积极的隐私权保护。其次,个人隐私信息属于人格利益但不包含财产属性,不具有任何财产属性的交易价值,不可利用且受法律绝对保护。再次,一般个人信息亦属于人格利益但可包含财产属性,这种人格利益基于信息主体的同意,转化为具体财产利益后可以进行交易。个人生物识别信息经过去识别化技术处理之后,仅具有个人信息数据的财产属性,可以自由使用、转让,而为其他数据主体所利用。
生物识别技术带来的个人信息安全风险包括以下情形:未经授权的或不必要的收集;未经授权之使用或披露;不当比对;错误匹配;不当储存或不当传输;功能蠕变等。同时,随着国际上生物资源数字序列信息的提取、跨境转移和利用,输出国遗传信息资源流失的风险不断增大,已经上升到公共安全和国家安全层面。从个人生物信息安全的法益属性来看,生物识别技术虽然以自然人为对象,但其涉及的社会利益关系不限于公民个体,而是包括与个人生物识别活动相关的技术服务者、经营者、使用者和管理者。个人生物信息事关个人身份、隐私、人身、财产等各方面的利益与安全,已经不能仅仅用传统民法上的某种单一权利加以限定。个人生物识别信息所蕴含的法益内容逐渐呈现出复合性、多元化特征,从个体的人格权扩展至公共利益、社会秩序和国家安全。
个人生物信息安全风险预防及利益平衡
“风险预防”是相对于“损害预防”而言的,前者针对的“危害”具有不确定性、未然性,而后者的“损害”是指已现实存在或已产生客观损害结果,“不确定性”是风险预防的核心概念。生物安全风险的不确定性、突发性及不可预测性要求确立风险预防原则,用以指导生物安全立法和司法实践。《生物识别信息保护要求(征求意见稿)》第5.1条提出了三项原则。一是保密性原则。在生物特征数据的存储和传输过程中,应当使用加密算法对信息数据进行保密处理,未经信息主体授权不得访问或披露。二是完整性原则。生物特征识别系统应通过访问控制来实现数据的完整性保护,防止未经授权访问生物特征数据,或通过使用加密技术进行完整性检查。三是可更新性与可撤销性原则。对刑法中相关罪名的构成要件设置和司法认定,需要依托前置性行政法律规范及行业标准,针对不同安全等级的个人生物信息识别行为,设定生物信息安全法益保护的命令性义务、禁止性规范及刑事责任,设置刑事风险防范的法律底线,侧重体现对于生物信息安全保护的特殊要求。
在风险社会背景下,法律面临着如何在保护和利用、自由与安全之间进行利益平衡和价值选择的问题。从利益平衡角度,应当分类分层地明确各方利益主体的权责关系,避免个人生物识别信息数据滥用。个人生物识别信息的收集者、利用者和数据系统的管理者,也是借助个人生物信息安全风险的获利群体,应当作为风险义务和责任的主要承担者,法律应当对个人信息权利主体予以适当的倾斜保护,从实质上实现公正和利益平衡。值得关注的是,区块链技术逐渐应用于生物信息商业领域,实现与生物识别技术的融合。区块链“去中心化”的特点天然排斥监管,如果区块链业者运用匿名化技术手段,切实履行保护个人信息安全的合理义务,采取技术措施确保哈希化信息的匿名化,这样既能够保护区块链背景下的个人信息安全,又可避免给区块链产业带来过高的发展门槛和应用成本。
个人生物信息安全保护的立法模式
其一,个人生物信息安全的私法保护。在我国,对个人生物识别信息的保护来自民法、消费者权益保护法等法律法规中有关隐私权、名誉权的保护规定,以及个人信息保护的法律法规、行业规范。总体上,个人生物识别信息的民事权利保护模式主要有三种路径:人格权模式、财产权模式、人格权与财产权的复合模式。第一,人格权保护模式,即将个人生物识别信息视为具有人格权的基本属性,将其作为个人私密敏感信息进行保护。第二,财产权保护模式,即认为个人生物识别信息具备财产性质,应赋予其财产权保护,但其又不是完全的财产,因为它不能被继承、赠予、遗赠等。第三,复合保护模式,即将人体基因视为人格和财产的复合体。比较来看,单纯的人格权模式无法对个人生物识别信息专利及商业化所带来的可分享的财产利益予以充分保护;但如果单纯采用财产权模式来界定个人基因信息的法律属性,则可能造成对人体基因信息的人格权属性的忽略。因此,我国应以人格权和财产权的双重机制对其予以保护,为平衡人格价值和科技进步、经济发展之间的冲突提供可行的通道。
其二,个人生物信息安全的公法保护。(1)在行政法领域,我国与个人生物信息安全相关的法律规范多散见于法律法规、部委规章及专门规范文件。《个人信息安全规范》较为详细地规定了个人生物识别信息在收集、存储和共享等环节的安全保护要求。在涉及人脸识别、声纹识别等生物识别信息的项目,网络运营者须专门设计获得用户同意的环节,这也意味着当用户提起争议时,信息业者负有更多的举证责任。《生物特征识别信息保护要求(征求意见稿)》第5.1条提出了生物特征识别系统的保密性、完整性、可更新性与可撤销性等方面的原则和具体要求;第6.4条也提出在生物特征识别信息生命周期管理中有关采集、传输、使用、存储、归档与数据备份、废弃阶段的义务要求。根据《APP人脸信息规范》第6.1至6.4条的规定,收集人脸信息应遵循“最小必要”原则,收集前应通过隐私协议等方式向人脸信息主体告知相关信息,不应超过人脸信息主体“告知同意”的范围。上述国家行业标准和规范虽不具有法律效力,但能起到生物识别技术风险防范和合规性指导作用,也能为将来生物信息安全立法提供参考。(2)在刑事法领域,由于个人基因信息技术发展所带来的人体试验、器官移植、辅助生殖技术、基因编辑及重组等问题日趋严重,不少国家对上述行为规定相关罪名予以刑事惩处。2019年《人类遗传资源管理条例》的“法律责任”一章规定了非法采集、保藏、利用、对外提供人类遗传资源的行政责任和刑事责任。根据现行《刑法》规定,可以将违反该条例规定的行为认定为犯罪,如将故意或过失泄露被列为国家秘密的基因资源、资料的行为认定为故意或过失泄露国家秘密罪,为境外窃取、刺探、售卖、非法提供国家秘密、情报罪等,但也有不少行为是刑法典中现有罪名无法涵盖的。将来可考虑以当前生物安全立法或刑法修法为契机,通过制定或修订相关行政法律法规中的刑事责任条款,实现刑法与行政法规范的有效衔接。
其三,个人生物信息安全的综合法律保护。《个人信息保护法(草案)》第5条、第6条分别规定了个人信息处理应当采取“合法、正当”方式和“明确、合理”目的。同时,该草案将“告知—同意”确立为信息处理的核心规则,告知义务是信息主体的主要义务。《数据安全法》第29条规定,任何组织、个人收集数据,必须采取合法、正当的方式,不得超过必要限度。个人生物信息保护法益的复合性、多元化,决定了仅靠私法保护模式或是公法保护模式均无法有效保障其安全。在此方面,2020年10月颁布的《生物安全法》作为综合性立法,应当能够适应我国生物多样性保护和生物安全保障的制度需求。在该法的统领和协调下,其他各专门法、单行法具体设置应对生物信息安全风险的法律规则,处理好行政法、民法、刑法等相关法律法规之间的关系,从公法和私法的不同层面进行法律保护,构建个人生物信息安全保护的法律体系。
个人生物信息安全法律保护的体系化
在我国刑法中,与个人生物信息安全保护相关的罪名包括:侵犯公民个人信息罪、拒不履行信息安全管理义务罪、非法侵入和破坏计算机系统罪、假冒专利罪、非法经营罪、妨害传染病防治罪、非法行医罪、故意或过失泄露国家秘密罪等。在上述罪名中,存在大量的“违反国家规定”“违反……法规”等空白罪状。判断行为刑事违法性以行为人违反前置性法律法规为前提,进行违法性的层次性判断。然而,我国行政立法过程往往比较仓促,欠缺系统性通盘考虑,导致刑法与行政法之间出现不衔接,甚至互相冲突的问题,因而需要通过构建和完善刑法前置性行政法律规范加以解决。
在个人生物信息安全保护方面,《个人信息安全规范》等相关行业标准指南提供了立法参照的框架样本。(1)个人生物识别信息的收集。网络运营者收集个人生物识别信息应征得个人信息主体的明示同意。即使已取得个人信息主体的同意,网络运营者仍应仅收集达到目的所需的最少个人生物识别信息,以最大限度降低损害风险。(2)个人生物识别信息的存储。可采取的存储措施包括但不限于:仅存储个人生物识别信息的摘要信息,且该摘要信息应具备不可逆性,即无法回溯至原始信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。(3)对个人金融信息特定类别的特殊要求。以“不应共享、转让”为原则,网络运营者确因业务需要,确需共享、转让的,应单独向个人信息主体告知目的并征得其明示同意等。须指出,行业规范并不具有法律效力,对个人生物识别信息的规制范围更广,安全义务要求更高;为了避免刑事打击范围过大,刑法可将个人生物信息安全行业规范作为前置性规范的参考依据,但不宜直接将其作为判断刑事违法性、认定犯罪的法律根据。
结语
个人生物信息法益的多元属性涵盖了其对隐私权、人格权、财产权及安全法益的保护。在生物安全风险因素和潜在威胁因素突发、增升的情况下,追求公共安全成为国家和社会公众的普遍心态和立法目标选择。在个人信息安全保护方面,单一的民法、行政法或刑法均无法完成多元化价值目标的实现。因此,应当以网络安全法、生物安全法、个人信息保护法、数据安全法等综合性立法为契机,构建个人生物识别信息安全保护的法律体系,发挥各个部门法在保护权利和保障安全方面的功能,实现行政立法与刑法规范的良性互动、附属刑法规范的实质化,以促进个人生物信息安全法律法规内外部的衔接协调。