霍亚宁

(湘潭大学，湖南 湘潭 411110 )

引言

在信息化时代，生物识别技术作为一种新型技术在云计算、人工智能等领域方兴未艾，由于其具有高效性、安全性等特征，逐渐在公共服务、商业领域获得了青睐，但是也带来了一系列风险，生物信息因为具有高度的人身属性，在公益、商业领域如果不被合法、合理地使用，就会产生与个人隐私权相关的安全保障问题。例如，运用深度伪造技术制作难辨真伪的动态人脸画面和声音，换脸软件引发的隐私和安全风险等问题均引起人们对生物识别信息采集使用可能侵犯其隐私权、肖像权、名誉权以及自由权等的担忧。[1]因此就需要法律制度来进行规范。

一、个人生物识别信息的基础理论

(一)生物识别信息的内涵

个人生物识别信息起源于现代生物技术的发展，它是一种通过利用人体的生理属性，比如指纹、人脸、虹膜等，然后搭配相应的技术手段来准确定位和识别特定的自然人。但是纵览我国现行的法律、法规，关于个人生物识别信息的定义没有被明确且系统的阐述，只是散落在各种技术性规范标准内，比如《中华人民共和国出境入境管理法》以及2020年施行的《信息安全技术个人信息安全规范》等，简单地把它归类为个人敏感信息，没有对其内涵以及外延进行阐述。鉴于西方国家在相关领域研究的先进性，因此可以在借鉴欧盟《通用数据保护条例》关于生物识别信息相关概念的基础上，把它定义为在现代生物科技的支持下，对个人的面容、指纹、虹膜、静脉、声纹等生物信息以及相关行为特征来识别并确定个人身份信息的一种特殊的个人信息。[2]

(二)生物识别信息的特征

由于个人生物识别信息包括自然人的身体、生理及行为特征三个层面,直接反映自然人独一无二与不可替代性的身体本质特征，导致它具备了不同于一般个人信息的显著特征。[3]第一是专属性，即信息主体是唯一的，一个人的生物识别信息有且只有一个相应的主体。第二是稳定性，即生物识别信息是伴随信息主体与生俱来的，不会受制于外在的因素。第三是关联性，即生物识别信息和其他个人信息是共存的，生物识别信息技术在使用过程中需要其他个人信息的辅助来达到鉴定自然人的目的，[4]并且由于关联性特征的存在，虽然使得个人生物识别信息更加精细化，但这也给法律层面的规制带来了更大的挑战。

(三)生物识别信息的法律属性

个人生物识别信息是依靠技术手段对人的特征进行程序化处理后得到的数据信息，并且生物识别信息的可辨识性是依附于信息主体固有的生理特征的，因此具备了强烈的人身属性，所以有的学者认为可以把生物识别信息归纳为人格权；但另一方面，由于现代科技的发展使得基因信息和生物技术获得了巨大的经济效益，因此有观点认为生物识别信息既然具备了经济效益的属性，从衡平信息主体和信息实际利用者的关系出发，就应把它归纳为财产权的范畴。鉴于上述两者侧重点的差异性，以及从保护数据主体的利益最大化出发，应该承认生物识别信息的双重法律属性。

二、生物识别信息法律规范的价值追求

(一)保护信息主体的人格尊严与自由

生物识别信息相比一般的个人信息具备了更高的可辨识性，导致其承载了信息主体更多的隐私、尊严价值。由于生物识别技术已经运用到社会诸多领域，信息数据的收集、使用者可以利用相关的技术探测到信息主体的隐私，甚至可以通过算法技术预测信息主体的行为习惯以及个人喜好，最终达到精准推送服务或商品的效果。虽然生物识别技术带来了便利，但却是以牺牲信息主体的隐私权以及自由选择权为代价的，并且数据实际使用者如果滥用收集到的生物信息，将会极大损害社会公众对新技术的信心，引发社会信任与安全问题。由此可见，对生物识别信息技术进行法律层面的规制，不仅能规范数据使用者的行为，而且可以保护信息主体的人格权与自由。

(二)有益于维护公共秩序和优化政府服务

个人生物识别信息由于其安全性与专属唯一性等特点，使得它在鉴定和识别特定的自然人方面具备了高效性、准确性等优势。特别是在政府提倡数字化服务的时代，个人生物信息具有了服务社会治理的价值。首先就是在维护公共秩序方面，人脸、指纹、DNA等个人生物信息的规范化行使可以帮助行政机关、司法机关在社会治安、犯罪侦查等领域迅速锁定违法犯罪人员，从而减少社会的公共损失，达到维护公共秩序的目的。其次就是在优化政府服务方面，节约了人力识别的成本，提高了在政府管理活动中与身份认证有关的服务的运行效率。例如国务院在养老保障领域提倡利用生物识别技术，以便老年人的养老补贴等政府服务可以进行远程申报和核准。

三、个人生物识别信息的法律困境

(一)缺乏规范生物识别信息的法律依据

现存涉及个人生物识别信息的规范相对缺乏且位阶效力较低，例如全国信息安全标准化技术委员会颁布的《信息安全技术个人信息安全规范》，广东省人大颁布的《广东省社会信用条例》等，这些法规、标准虽然对个人生物识别信息作出了相关的规范，但是由于法律效力的层次较低，以及强制力不够等问题，导致个人生物识别信息不能得到恰当的规范。另外对于隐私权保护、知情同意、财产利益等涉及人的权利内容缺失，而这些恰恰是个人生物识别信息权利保护的重要内容。[5]

(二)信息主体的救济机制不完善

个人生物识别信息在被数据控制者进行商业化收集、使用的过程中，一旦出现被违法使用的情况，就可能造成信息主体的隐私被泄露。虽然现行的法规对个人生物信息泄露的惩罚已有明文规定，但仅仅追究数据使用者的行政违法责任，很少追究数据使用者的刑事责任。出现个人生物信息被泄露给第三方的情形时，现有的规定也只是对信息主体民事方面的赔偿，远不能达到对违法犯罪行为进行震慑的效果。

(三)个人生物识别信息存在监管风险

个人生物信息作为一种兼具财产权与人格权的信息资源，具有较高的经济利益价值，所以在商业领域信息收集方为了利益最大化，通常会私自建立数据库去储存主体的生物信息，然后分析主体的生物信息提供精准营销。但是由于我国目前对数据库安全的保护问题并没有明确的立法规范，导致总是会出现生物信息泄露却没有监管主体为此负责的问题。即使出现诸如有网信办、公安部联合执法的专项整治活动，但由于大数据技术发展的迅速，事后监管的步伐总是跟不上生物信息泄露方式的多样化，数据库安全的问题不仅给信息主体和收集方形成困境，也给监管部门带来了新的技术挑战。

四、个人生物识别信息的规范原则

(一)知情同意原则

知情同意原则在规范个人生物信息方面可以从形式与实质两方面同时入手，形式方面是指信息控制方在收集、利用主体信息时，必须以一对一的单独告知方式，并且以书面的形式确保信息主体作出同意的意思表示。实质层面的规制包括两方面，首先是同意权方面，数据控制方在收集、利用信息的过程中必须确保信息主体是在意志自由的状态下作出同意的意思表示，并且确保信息主体发现自己的信息受到不合理使用时有权删除其生物信息。例如商家在收集人脸信息、指纹信息时不能用要挟欺诈、金钱诱惑的手段。其次就是知情权方面，数据控制方在收集主体的信息时必须履行充分的告知义务，确保信息主体是在完全知晓了数据控制方制定的各种隐私政策、商业规则的前提下上传自己的生物信息。知情同意原则在规范化的过程中应当是一个动态的长效机制，数据实际利用者在改变原始数据信息的每一个过程中都应该履行自己的告知义务，信息主体同时可以根据不同的利用场景与风险对最初的同意作出修正。[6]

(二)程序正当原则

程序正当原则作为现代公法上的一项基本原则，指向的对象包括行政主体与行政相对人，当行政主体作出的行为影响行政相对人的权益时，相对人可以通过相应的陈述、申辩等途径进行救济。当信息的收集方变成政府主体时，就不可避免地涉及正当程序问题。现代社会政府作为公民生物识别信息最大的持有者与利用者，生物信息的使用必须遵循必要的法定程序，并且就相应的使用目的向公民作出公开说明。

(三)比例原则

比例原则的内涵是行政主体施行相关的行政目的时，如果对行政相对人造成了损害，那这种损害应该被限制在一个可控的范围和限度内，并确保损害结果与行政目标之间存在适度的比例。比例原则作为行政法领域的帝王原则，不仅适用于行政公益领域，也可以类推适用于私法领域。如果类推到生物识别信息保护的法律规范领域，就要求信息收集、利用方在使用信息主体的生物识别信息时，必须按照预定的目的使用相关信息，即使在使用的过程中超出了原有的目的，并且给信息主体造成了不法结果，也必须尽可能地把损害结果与信息收集方的期待利益控制在一个适度的比例之间。生物识别信息技术在实际操作中虽然会带来一定的信息泄露风险，但我们不应该因噎废食，而应该设置合理且完善的规则去预防风险，贯彻到比例原则上，即在收集范围与使用方式上进行适度的裁量，第一在收集范围层面，数据利用者在不同场景中收集个人生物识别信息，应当遵循最小且必要的要求。第二在使用方式方面，除非数据利用者已经获得信息主体的同意且提供了相应的保障措施，否则应禁止自动化决策。

五、生物识别信息的法律规范措施

(一)构建以个人信息保护法为主的严格立法机制

我国的个人信息保护法正处于审议与完善的阶段，把保护个人生物识别信息的相关措施纳入法治轨道，使得个人生物识别信息的保护真正做到有法可依。具体的措施可以从四个方面入手，首先明确界定个人生物识别信息的收集以及利用的构成要件，保证数据实际控制者在收集、利用个人生物信息时的合法性与正当性。其次就是把知情同意机制纳入法律条文中，明确数据利用者必须告知信息主体在收集信息时的范围与目的。再次就是明确数据利用者承担信息处理匿名化的义务，即信息控制者利用个人生物信息时必须事先进行技术上的匿名化处理，并且基于个人生物信息保护的动态长效机制，信息实际利用者必须在科学的周期内进行匿名信息的评估，确保个人生物信息的安全性。最后就是为了避免大数据杀熟和算法歧视造成的不公平，在法律条文中应明确规定信息利用者必须保证算法的透明度，并且赋予信息主体在面对生物信息被程序自动化处理且损害其权益时的拒绝权。

(二)完善个人生物识别信息的多元化法律保护体系

1.构建行政法层面的法律规范机制

行政法领域的生物信息保护主要从政府监管、行政诉讼等方面入手，通过规范信息主体与信息使用者双方的权利义务，进而达到保护个人生物信息的效果。相应的措施包括以下几个方面：首先就是建立相应的数据信息监管机构，并且赋予机构相应的职责。具体包括赋予监管机构相应的调查权、许可权；制定保护个人生物识别信息的具体实施细则；受理信息主体的相关申诉以及提供相应的救济途径；并且在合适的时机建立统一的生物信息认证库，以便于行政机关可以实施全程监管以及提供相应的服务。其次就是为了防止数据监管机构滥用公权力，还需要发挥行政诉讼的作用。即当信息主体认为监管机构的监管损害了其合法权益，或者监管机构懈怠自己的义务时，信息主体可以提起复议或者行政诉讼，从而维护信息主体的权利。

2.构建民法层面的法律规范机制

民法层面的生物信息保护主要是从权利保护、损害赔偿等方面入手，通过划分双方的权利义务、设置相应的赔偿标准，进而达到保护个人生物信息的效果。首先就是把个人生物信息作为一种财产性质的权利进行保护。主要是因为个人生物信息具有强烈的人格权属性，但是基于人格权受到侵犯后救济范围有限、赔偿数额认定困难等原因的存在，个人生物信息仅依靠民法典中人格权的规定难以获得保障，所以需要把财产权纳入生物信息保护范畴，确保可以使得信息主体在受到损害后可以获得足额赔偿。因此具体措施包括在民法典以后修订的过程中明确个人生物识别信息的保护内容及侵权责任，并将财产利益的取得、流转、使用等规则加以细致化，其不足的部分可以通过其他单行法的相关规定加以完善，以便在生物信息保护的过程中增强法律的灵活性。其次就是设置相应的损害赔偿标准以及明确举证责任。当数据实际控制者没有经过信息主体的同意而滥用或者违法使用其掌握的生物信息时，可以借鉴惩罚性赔偿，从而最大限度地保护信息主体的利益。由于信息主体在面对数据控制者时不具有优势地位，在证明自己权益受损方面存在举证困难等问题，所以需要借鉴民事诉讼中举证责任倒置的规定，从而减轻信息主体的举证压力，确保民法规范层面的可操作性。

3.构建刑法层面的法律规范机制

刑法作为保护个人生物信息安全的最后屏障，具有规范上的严厉性，因此只有当信息泄露给公共秩序造成了严重破坏，刑法才可以发挥其惩罚犯罪、保障人权的功能。所以刑法领域的生物信息保护主要可以从完善罪名、刑罚设置等方面入手。首先就是可以考虑增加“盗窃个人身份罪”以及“非法获取、买卖个人生物识别信息罪”，明确把个人生物识别信息作为辨别身份的唯一基准，将“盗窃生物识别信息”定义为“盗窃身份标识罪”的一种表现形式，并且根据危害结果的大小设置不同的刑期。关于刑事违法性认识方面，《刑法修正案九》中把侵犯个人信息罪中的入罪条件改为违反国家有关规定，因此不仅导致侵犯个人生物信息犯罪的性质变成了行政犯，而且也导致了个人生物信息犯罪中的违法性认识就是针对一般行政法规的认识。[7]然而由于生物识别技术的快速发展，信息主体或信息实际控制者的违法性认识可能滞后于行政法规的专业化规定，所以对于罪与非罪的界限，需要法院准确判断行为人的主观要件，而非将违法性认识作为僵化标准。

结语

个人生物识别信息的保护是一个综合性问题，它涉及的不仅仅是法律规制问题，也涉及科学技术发展和经济发展的问题。生物识别信息技术的应用虽然推动了相关行业的经济发展，但也带来了个人隐私泄露的危险，这就不仅要求必须准确把握个人隐私自由与经济效益之间的动态平衡， 确保取得利益最大化，而且需要政府、社会、个人三方的协作，共同构建起一套全方位、多层次的个人生物信息保护制度。