生物识别信息公共与商业使用的制度定位与规范构建
——兼论对人格权保护模式的反思
2021-12-31商希雪
◇商希雪
引 言
2020年10月21日,全国人大法工委发布的《个人信息保护法(征求意见稿)》第27条专门针对公共场所采集个人图像和个人身份特征信息做出了规定,要求识别设备的安装目的以及获取信息后的使用目的仅可服务于维护公共安全的目标,由此间接禁止了公共场所收集或使用生物识别信息进行商业营利。从当前的立法态度来看,立法明确地将人脸等生物识别信息排除于个人信息可公开范围,并严格限制在未经主体单独同意情形下公共场所收集与使用人脸信息的范围及目的。由此,预示着立法对于生物识别信息的特殊制度安排,以及对于公共与商业使用目的的严格界分态度。比较视野下,对于公民生物识别信息的使用,欧盟第29条工作组(ARTICLE 29 Data Protection Working Party)认为,①GDPR生效之前,欧盟各国的数据监管机构在第29条工作组(现被European Data Protection Board取代)指导框架下工作。必须严格区分出于法律义务(基于公共目的,如边界管制等)收集和储存的生物特征数据与为合同目的(基于主体同意)收集和储存的生物特征数据。①ARTICLE 29 Data Protection Working Party, Opinion on Implementing the Council Regulation (EC) No.2252/2004 of 13 December 2004 on standards for security features and biometrics in passports and travel documents issued by Member States, Official Journal L 385 , 29/12/2004 p.1- 6, Adopted on 30 September 2005.本文认可该思路,公共使用方式是公民私权自治范畴外的除外规定,宜适用强制性法律规范,当局政府机关履行的是国家义务和社会责任。而商业应用方式,则需要消费者与商家形成合意的使用规则,个人在生物识别信息的交付、处理与使用上享有充分的自决权,同时商业应用也需要强制性规范作出原则性的禁止规定,以防范重大的社会风险。基于该使用场景分类,考虑到国家机关为了公共目的(基于法定义务)、企业出于合同目的(基于主体同意)收集和使用生物特征数据,因此规范体系的考量因素和设计思路存在本质区别。
目前,生物识别信息的公共使用与商业应用均面临社会公众的隐私保护质疑。从法律适用上分析,生物识别特征、生物识别信息与隐私权在法律构成要件上是否契合?生物识别信息的制度建设与隐私权、肖像权等人格权保护制度的分歧在于哪些方面?进一步,生物识别信息保护制度可否完全遵循传统隐私权保护模式?目前学界关于个人信息的保护和使用问题已经讨论得较为充分,鉴于生物识别信息与一般个人信息在识别安全性上的区分,在个人信息法律保护体系下,生物识别信息的规范构建该如何定位?考虑到生物识别信息的高敏感性,具体规则该如何设计?规范结构上又如何实现与个人信息保护一般制度的兼容与统一?此外,出于维护社会安全的需要,从公共管理角度,是否有必要限制生物识别技术的私人获取门槛?以及可否建立规管生物识别技术与工具的行政许可制度?
基于上述思考,以下对两类使用方式进行分别分析:其一,基于公共利益目的,公民生物信息库用做比对使用是恰当的,但数据库亦存在信息泄露隐患,可能侵害公民的信息安全需求,因此需要对数据库控制者设置对应的安全保障义务以及对应的技术保护标准。此外,非国家机关性质的私营主体如企业、学校、酒店、游乐场等,也可能出于单位管理或秩序维护等目的收集与使用员工或顾客的生物信息。该类非直接营利使用行为亦有其合理性,但立法应作出特别的规范和监管,包括使用授权、主体同意、及时删除等安全保障义务。其二,在我国目前的规范体系下,生物识别信息是否仍然存在商业使用的空间?随着生物识别技术在纯商业领域中的普及,生物识别信息如指纹、人脸、视网膜与虹膜扫描广泛应用于多个商业场景,例如电子支付、智能解锁、精准医疗、金融服务等。然而,生物识别技术商业应用的法律壁垒在于公民人身与财产上的安全隐患。一方面,生物特征识别技术的可靠性在不断增强,信息网络中主体身份鉴别系统蕴含巨大的社会管理效益与商业经济价值,从经济与社会发展角度来看国家应予鼓励与支持。另一方面,在商业应用场景中生物识别信息与其他个人信息的捆绑与共享愈加紧密,增加了泄露风险。因此,对于生物识别信息的商业应用应严格限制具体的商业使用场景与可使用的生物信息类型。
一、人格权制度视域下审视生物识别信息使用
对于公民特殊的生物识别信息(人脸、声音),《民法典(人格权编)》为深度合成技术的创新应用提供了人格权益保护的依据,然而并未涉及信息处理者的使用规范。信息使用是信息保护的发生前提,个人信息在公共管理或商业运营中使用的合法性机制是保障信息安全或信息权利的制度前提,制度设置主要呈现为要求相对方(信息使用者)作为或不作为的安保责任或协助义务。对比来看,人格权保护制度不以合理使用为保护前提,许可使用人格权客体极易引起侵权纠纷,在法律实践中实则以人格权被侵害作为现实保护的发生前提,制度层面呈现消极防御的保护态度。由此,两类制度的建设定位与适用领域存在本质的差异。
(一)生物识别特征、生物识别信息与人格权客体的本质界分
生物识别特征、生物识别信息与公民隐私、肖像等人格权客体的关系是什么?该问题决定了生物识别信息保护与隐私权、肖像权保护制度的契合度,进而在厘清制度结构的基础上,支撑判断生物识别信息保护的立法定位以及合适的规制模式。
1.生物识别特征、生物识别信息与隐私权客体的界分。
鉴于生物特征数据的高度敏感性,各国政府将注意力主要放在生物识别技术对于个人隐私的威胁方面,因此生物识别信息的保护制度主要采取隐私权保护模式。隐私权制度旨在实现个人隐私不被公开或被他人知悉,适用侵权救济路径。侵犯隐私权的发生场景主要包括私人利益或私人生活受到侵害的情况,“私人生活”的概念在判例法中得到广泛的解释,包括亲密情况、敏感或机密信息、可能影响公众对个人看法的信息,甚至包括个人职业生活和公共行为的各个方面。然而,是否存在或曾经存在对“私人生活”的干扰则取决于每个具体案件的背景和事实。①European Union Agency for Fundamental Rights and Council of Europe, Handbook on European Data Protection Law(2018 edition), Luxembourg: Publications Office of the European Union, 2018, p.20.基于该共识,若生物识别信息纳入隐私权保护范围:一方面,生物识别信息应符合法律定义与司法认定的个人隐私;另一方面,侵犯生物识别信息的法律救济需符合侵权责任的构成要件。关于生物信息作为隐私权客体的定性思路,本文认为,人体的生物识别特征如人脸、指纹、虹膜、步态等,由于平时暴露在外则并不具备私密性,因此理论上来说不符合个人隐私标准,故难以认定适用隐私权保护模式。那么,对于被数据化记录与描述的生物识别特征,即生物特征识别信息,是否属于个人隐私?本文仍然认为答案是否定的。生物识别信息本质上是一类特殊的个人敏感信息,界定个人信息要遵循客观标准,这是一种事实判断。而对个人隐私的认定则是一种主观判断,需要法官在真实案例中结合具体情况作出自由裁量范围的判断。由此看出,侵犯隐私权的审判标准非常严格,而侵犯个人信息的判断则相对容易。②可对照《个人信息安全规范》附录A(个人信息示例)与附录B(个人敏感信息判定)做出具体判定。基于此,将生物识别信息统一作为人格权归类以及侵权保护模式有待商榷。本文认为,关于生物识别信息的立法保护定位,首先应明确的是:生物识别信息在定性上仍属于个人信息,而非法律意义上的隐私权客体,主要适用个人信息保护制度。但是基于生物识别信息的高敏感性,立法需设置高级别的保护标准。
2.人脸、声音信息与肖像权客体的界分。
在民法典各分编中,人格权编最与时俱进契合时代的发展。对于AI换脸换声等技术新象,《民法典》第1019条规定:任何组织或者个人不得以丑化、污损或者利用信息技术手段伪造等方式侵害他人的肖像权;第1023条第2款则规定,对自然人声音的保护,参照适用肖像权保护的有关规定。可以看到,在立法定位上,《民法典》将人脸和声音等生物特征纳入传统的肖像权保护制度。作为人格权的重要组成,肖像权所维护的利益包括精神利益和财产利益,由精神利益衍生的财产利益是商业使用个人肖像带来的应然结果,未经许可以营利为目的使用他人肖像侵害了他人的肖像财产利益。③张红:《以营利为目的”与肖像权侵权责任认定——以案例为基础的实证研究》,《比较法研究》2012年第3期,第63-76页然而,在法律意义上用于身份识别作用的人脸或声音信息是否等同于有形的肖像?本文认为两者概念显然不在同一法律语境。由人脸提取出的唯一识别性数据,其根本功能在于识别特定主体,信息主体被识别后则有权进行下一步的数字化操作,其功能目的是数字化便利。而保护肖像权本质在于维护个人的精神利益,即自然人对自己的外貌享有控制权与支配权,进而也能够以此获益。两类使用在功能与目的上存在本质区别,因此本文认为个人肖像与人脸信息、声音信息是性质不同的法律客体。值得注意,对于某一生物识别特征,两种法律保护制度并非互斥关系而是在规范目的上各有侧重,应结合具体发生场景与使用目的判断应适用的制度规则。例如,首先判断在某一使用情景下人脸是作为肖像(外貌展示)还是作为识别特定主体的信息。针对具体的信息纠纷情形,如果个人信息保护规定与姓名权、肖像权、名誉权等人格权保护规定发生竞合时,应从目的场景、行为性质、损害后果等因素综合考量应适用的制度模式。
(二)生物识别信息公共使用与隐私权保护的法益衡量
关于欧美社会对于国家机关在社会管理中使用生物识别技术的“被监控”忧虑。①See Best-Rowden L, Han H, Otto C, Klare B, Jain AK.Unconstrained face recognition: identifying a person of interest from a media collection.IEEE Trans.Inf.Forensics Secur.9(2014):2144-2157.现实中,任何国家有针对性地进行社会监控是事实存在的(例如欧美的反恐机制),主要是出于国家或社会安全目的,②See Barrett D.One surveillance camera for every 11 people in Britain, says CCTV survey.The Telegraph, July 2013; Klontz JC, Jain AK.A case study of automated face recognition: the Boston marathon bombing suspects.IEEE Computer 46(2013): 91-94.国家利益和社会利益处于法律保护位阶的首位,超越公民的个体权益。例如,《欧洲人权宪章》第8条第2款的规定显示出的法益保护顺序为:个人权益(包括隐私权、隐私生活等)在必要时应让位于公共利益,这是一种基本的法律精神。③European Convention of Human Rights, Art.8(2): “There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security,public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.”公共场所(如车站、机场、边境等)普遍使用生物识别技术与收集个人生物识别信息,旨在维护社会公共秩序、提高社会管理效率以及防范可能的社会风险。比如,AI人脸识别技术可以帮助寻找被拐儿童、查找通缉犯人等。④人脸识别技术能够让人工智能深度学习五官的成长规律,凭借一张孩子儿时的照片,实现跨年龄识别人脸。这项技术的应用,已协助警方成功找回了十几年前被拐卖的孩子。详见《AI人脸识别技术|跨年龄人脸识别算法协助警方找回十几年被拐卖孩子》,https://www.sohu.com/a/340046580_100102241,最后访问时间:2020年5月1日。由此看到,针对生物识别技术的应用与生物识别信息的公共收集与处理服务于国家安全、公共秩序、社会管理等,显然上述法益的保护位阶超越公民的个体权益。因此,在具体法律制度的适用分析上:一方面,当个人信息被应用于社会管理领域,不适用隐私权救济路径;另一方面,对于侵犯个人隐私的情形,其行为本质在于公开、结果重点在于损害,对应的是隐私信息的披露或泄露行为。但是公民生物信息被公共设备收集后,在政府数据库安保措施到位的情况下并不存在披露或泄露的现实风险。此时个人生物信息仍处于封闭且未被公开状态,并不事实上构成对个人隐私权的威胁。此外,线上与线下对于隐私理念来说是不同的适用语境,概念名称可能相同,但所评价的对象可能属于完全不同的领域,并且不同的主体对信息披露程度的接受度也不尽相同。⑤周汉华:《个人信息保护观念演变的四个阶段》,在第七届北大-斯坦福互联网法律与公共政策论坛的演讲,http://www.sohu.com/a/281451267_455313,最后访问时间:2019年12月25日。本文认为,在数字化服务普及的信息时代,法律意义上的“数据隐私”理念正在逐渐限缩,但社会公众的隐私认知仍遵循传统隐私理念,在无现实侵害发生的前提下,应意识到隐私理念的时代更新性。
(三)生物识别信息商业应用中个人信息保护与隐私权保护模式的立场选择
2019年9月27日,工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》表示,在加快构建网络安全基础设施的基础上,国家支持构建基于人脸识别等技术的网络身份认证体系。基于该国家政策,我国立法建设将理性审视欧美态度与模式,并探索符合我国发展定位的、兼顾生物识别信息保护与利用的双层制度模式。
1.隐私权保护模式与个人信息保护模式的对比分析。
隐私权最早出现在1948年通过的《世界人权宣言》(UDHR)中,随后在1950年被欧洲委员会(Council of Europe)立法起草的《欧洲人权宪章》(ECHR)所确认。UDHR与ECHR早在互联网技术发展以及信息社会的出现之前就已生效,信息技术的发展提高了生活质量、工作效率和社会生产力。与此同时,信息技术的应用也给隐私权保护带来了新的风险。为设置个人信息收集和使用的具体规则,产生了一个新的概念(有的地区称为“信息隐私”,有的地区则称为“信息自决权”),该新型概念导致了数据保护专门法律法规的产生与发展。
(1)隐私权保护与个人数据权利的制度共识。
尊重私人生活的权利和保护个人数据的权利是密切相关的,两者都旨在保护类似的价值目标,即个人的自主权和人格尊严,因此隐私与数据权利是公民行使其他基本自由如言论自由、和平集会与结社自由以及宗教自由的必要先决条件。①European Union Agency for Fundamental Rights and Council of Europe, Handbook on European Data Protection Law ,Luxembourg: Publications Office of the European Union,2018, p.19.由此看到,两类权利制度均旨在保护私人生活,规范价值同源性也是个人信息权利在起源上依附于人格权保护制度的原因。《欧盟基本权利宪章》(以下简称《宪章》)第8条不仅确认了个人数据保护的权利,而且阐明了与这一权利相关的核心价值观。尽管处理各类个人数据可能侵犯隐私权,但适用数据保护要求时并没有必要证明同时也侵犯到了私人生活与隐私权,因此对处理行为的规范性判断不必然需要考虑数据处理对个人隐私的影响。
(2)隐私权保护与个人数据权利的制度差异。
尊重私人生活的权利和保护个人数据的权利虽然密切相关,却是截然不同的权利,在形式和范围上存在区别。尊重私人生活的权利(主要指隐私权)包括一般禁止性规定,但要符合某些公共利益要求,以证明在某些情况下干涉公民隐私是正当的。保护个人数据则被视为一项现代化的积极权利体系,并建立了一套利益制衡制度。在国家机关或企业处理个人数据时保护个人的数据权益,其处理过程必须符合数据保护的基本要求,包括独立监管和尊重信息主体的权利。任何涉及个人数据处理的行为都可能被纳入数据保护规则的适用范围,由此启动个人数据权利的保护机制。②European Union Agency for Fundamental Rights and Council of Europe, Handbook on European Data Protection Law(2018 edition), Luxembourg: Publications Office of the European Union, 2018, p.20.所以相较而言,个人数据权利保护范围比尊重私人生活的权利范围更加广泛。
2.隐私权保护模式的封闭性及其阻碍影响。
商业领域中使用生物识别技术已经非常普遍,各类产业领域都在挖掘生物测定学技术的商业价值。③王丹娜:《生物识别: 传统信息安全在新技术环境的创新应用》,《中国信息安全》2019年第2期,第60-64页。国际权威调研机构Gen Market Insights发布的《全球人脸识别设备市场研究报告2018》显示:“2017年,全球人脸识别设备市场价值为10.7亿美元,到2025年底将达到71.7亿美元,在2018年至2025年期间将以26.8%的速度增长。”反观我国,新思界发布的《2019—2023年中国人脸识别行业深度研究及市场投资风险咨询报告》显示,2018年中国人脸识别行业市场规模为131亿元,年均复合增长率为37%。其中,华东、华北、华南等经济发达地区人脸识别行业的市场规模占全国总体规模的77%左右。由此看到,生物识别技术以及生物识别信息的商业应用蕴含广阔的市场前景与巨大的经济潜力。因此,按照美国的规制模式,如果将生物特征信息作为隐私权进行保护,将一定程度地阻碍生物识别技术的创新与应用。由此,本文认为,技术创新及其应用是社会生产力发展的必然结果,所蕴含的经济与管理效益应得到充分开发与利用,以实现社会的整体利益。如同欧洲在20世纪70年代开启独立的数据保护制度以此与单纯的隐私权制度相区分,亦是为了适应信息技术的时代发展需求。因此鉴于我国生物识别技术的商业应用前景广阔,需要制度层面的规管与促进。并且,在社会经济规范领域中,法律手段不仅是通过限制手段防范可能的风险,也应以发展的视角解决发展中的问题,因此生物识别信息保护与利用的双重制度应同步建设、互相促进。
3.个人信息保护制度的包容性及兼顾多方利益。
在数据收集、处理与使用过程中面临的现实风险是数据库泄露隐患,防范机制对应的是数据库安保措施。例如,当企业记录员工姓名、薪酬等相关信息时,记录数据本身不能被视为对私人生活的干涉,但如果企业将员工的个人信息转移到第三方,则可能侵犯员工的隐私。因此,基于合法目的个人数据被收录于特定数据库时,收集完成后的真实风险是数据的泄露或与第三方的共享,对应的是企业对于数据库的安全责任。假设,企业利用个人信息(包括隐私信息)仅针对用户推出个性化推荐,未产生社会公开效果,则个人信息的知悉性仍处于原始状态。由此看到,数据处理中隐私侵犯风险并非发生于收集阶段,信息主体的现实损害非由收集行为导致,现实损害的产生源于信息泄露、滥用、非法转移等行为,因此个人信息安全的核心内容是数据控制者的数据保护责任。退一步来说,即使完善与落实主体同意和被告知制度、以及行使个人信息自决权,仍然无法预防数据库可能被泄露的风险,由此,数字产业中个人信息的安全保障责任应由数据控制者作出主要的努力。类似地,生物识别信息安全问题的本质不在于被获取的个人信息是否为隐私信息,因为隐私性的生物信息依然可以作为数字产业的处理与使用对象(如数字医疗服务中的个人健康信息、健康管理软件需要获取的生理数据等)。①据《华尔街日报》报道,谷歌“夜莺计划”被曝秘密采集了数百万医疗隐私数据,包括实验室结果、医生诊断和住院记录等,并包括完整的健康历史,以及患者姓名和出生日期,谷歌计划使用“先进的人工智能和机器学习”定制患者的个人医疗服务。对此,社会反响多是抨击谷歌未经主体同意而获取隐私信息,谷歌在获取信息方式上确实有所违规,但以适当方式合理共享医疗信息亦会有助于为患者提供更高效精确的医疗服务。See Alexander Hall, ‘Google’s ‘Project Nightingale’ Gathered Millions of Americans’ Private Data’, https://www.newsbusters.org/blogs/techwatch/alexander-hall/2019/11/12/googles-projectnightingale-gathered-millions-americans, last visited on Nov.12,2019;2014年全球电子健康市场(eHealth market)规模为854.4亿美元,预计将以15.8%的速度增长。eHealth在高收入和低收入国家都提供具有成本效益的医疗服务。因此世界卫生组织正在促进电子健康市场,并敦促会员国制定战略计划在卫生保健部门的各个领域部署数字卫生服务。See eHealth Market Size & Forecast Report, 2012-2022, Grand View Research, 2016;欧盟数字单一市场也推出ehealth plan,旨在促进全民健康医疗水平,并于2018年4月25日发布了《数字医疗的工作文件》(Staff Working Document and a Communication on Digital Transformation of Health and Care in the Digital Single Market).因此个人隐私信息亦存在可利用的一面,不仅局限于保护层面。整体看个人信息法律制度的组成结构,信息保护的发生前提是存在信息的使用,在数据收集与处理过程中才会涉及到数据的保护,因此信息网络环境中的数据使用是数据保护机制的启动因素,个人信息的收集、处理、利用与信息的保护可看作是一枚硬币的两面:(1)个人信息保护制度的核心是获取与使用信息时的主体同意与被告知制度,对应信息主体所享有的信息自决权利,但自决权不能自行落实,需要企业履行对应义务予以配合。(2)个人信息利用制度的重点是企业的告知、保护、提供相关数字服务的义务。两者之间的权义互动主要基于安全或服务协议。信息主体与企业发生纠纷时首先产生的是合同责任。即使信息主体的隐私信息被企业泄露,企业对应的责任仍属违约责任,不过在合同条款的设置上,对于隐私信息泄露的处理可参照侵权保护的赔偿标准与救济方式,该考量主要出于生物识别信息的法律规制定位与制度适用的整体协调性。
上述已经论证个人信息保护与隐私权保护的区分。总结而言,隐私权模式的信息保护制度旨在使个人信息处于完全不公开状态,然而在数字经济时代,保护个人信息的同时亦存在信息的利用空间。从权利发展的历史沿革看,隐私权制度保护的核心法益是公民的隐私生活与空间,采取绝对排他性的方式,并且仅面向公民一方,而个人信息保护制度则侧面承认信息可被特定化披露及利用的空间,同时支持信息主体主张信息隐私权益与自决权益。绝对排他性的制度与过度严格的规则限制必然从根本上阻碍信息技术的开发与创新。基于前述区分生物识别信息与公民隐私的解析,是否应将生物特征信息视为隐私权予以保护?考虑到生物识别技术的时代发展需求、生物识别信息可利用的制度空间、个人信息保护的安全问题本质,本文认为应将生物识别信息纳入个人信息保护(与利用)的规制范畴,不宜一律作为隐私权或肖像权客体对待。对于生物识别信息在收集与使用过程中可能存在的社会风险,完全可通过设置具体的个人信息保护和利用规则予以规管。最新修改的《个人信息安全规范》于2020年10月1日开始实行,关于生物识别信息的保护要求,最新版本的《规范》作出了更为细化的要求:一是在收集时应与其他个人信息区分开单独告知信息主体,包括生物识别信息被收集与使用的目的、方式和范围、存储时间等;二是需要征得信息主体的明示同意。由此看到,在保护要求上明显高于其他个人敏感信息。遵循该制度思路,生物识别信息保护制度可分为两类:(1)一般规则:个人信息的一般保护框架,一般个人信息保护规定及相关技术安全规则均适用于生物识别信息;(2)特殊规则:基于生物识别信息的不可更改特性,需设立专门的生物识别信息保护规定。
二、生物识别信息使用规范的制度定位
2020年3月1日实施的《网络信息内容生态治理规定》明确规定了不得利用深度合成技术从事法律禁止的活动;2019年11月18日发布的《网络音视频信息服务管理规定》要求对非真实的音视频信息进行标识。由此看到,制度层面在禁止不法利用生物识别信息的同时,也在允许并鼓励深度合成等新型技术的创新发展与合法应用。信息主体的保护规范与信息使用者的使用规范之间互相依存、紧密相关。鉴于人格权保护制度(侵权责任模式)的消极防御性,重点在于对抗不法侵害行为,而非规范人格权客体(如肖像、人脸、声音等)的合法使用行为。并且,人格权制度指向保护个人的私生活领域,而个人信息制度指向规管社会经济领域,两类制度的自身定位与规制领域存在本质差异。
(一)生物识别信息的内涵解析
生物特征信息是一类特殊的个人敏感信息,根据国家标准《个人信息安全规范》对个人信息的定义,“可以识别特定自然人身份”与“反映特定自然人活动情况”是个人信息最核心的内容与特征,①赵忠东:《可识别性是公民个人信息的根本特性》,《检察日报》2018年7月8日,第3版。生物特征信息同样符合上述特性。界定生物识别信息必须首先符合个人信息的一般特性及核心特征,2019年6月25日,信标委发布了推荐性国家标准《生物特征识别信息的保护要求》(征求意见稿),②该征求意见稿生效后将取代2011年的《生物特征识别信息保护》,对比来看,征求意见稿的变动主要体现了近期对个人信息保护监管要求的更新。规定生物特征(biometric characteristic)是指可检测到的个体生理或行为特征,可以从其中提取可识别的、可重复的生物特征,以便自动识别个体。在“生物特征信息”(biometric information)与生物特征标识符(biometric identifier)的关系上,参照佛罗里达州最近在酝酿出台的《佛罗里达州生物特征信息隐私 法》(Florida Biometric information Privacy Act)中的规定,“生物识别标识符”是指视网膜或虹膜扫描、指纹、声纹(voice print)、手部或面部几何形状的扫描图。“生物特征信息”被定义为:基于用于识别个体的生物特征标识符,无论以何种方式收集、转换、存储或共享的任何信息。对上述定义比较分析,两者的关系在于生物识别信息有赖于生物识别技术对生物特征的技术认定与数据记载。因此与一般个人信息的直接表达形式不同,对于某人体生物识别特征,若可被认定为生物识别信息,需要取决于生物识别技术的识别能力、以及将该生物特征转换为数据形式描述的可行性。因此综合上述规定与界定方法,本文认为生物特征识别信息,是指人体固有的生理特性(如指纹、脸象、虹膜等)和行为特征(如笔迹、声音、步态等),并可用于识别特定个人身份的生物信息。2020年1月生效的《加利福尼亚州消费者隐私法》(The California Consumer Privacy Act,简称CCPA)反映出了生物识别技术与生物特征信息在技术与理念上的时代更新,CCPA规定生物识别信息属于个人信息范畴。③The California Consumer Privacy Act, Rule 1798.140(o)(1)(E).
生物识别信息与一般个人信息的本质区别是什么?本文认为在于生物特征信息的唯一识别性,即直接识别作用。CCPA规定“生物特征信息”是指个体的生理、生物学或行为特征(包括个体的DNA),可以单独使用,也可以联合使用,或者与其他识别性数据联合使用,以确定个体身份的信息。本文并不认同该定义,唯一识别性是判定生物识别信息的前提条件。根据GDPR与Regulation (EU) 2018/1725中的规定,生物特征数据(biometric data)是指经过特定技术处理的自然人身体、生理或行为特征,以此允许或确认该自然人的唯一标识的个人数据,包括面部图像与指纹扫描数据(dactyloscopic data)。④GDPR, Art.4(14); Regulation (EU) 2018/1725, Art.3(18).由上述规定推知,有关个人的生理或行为特征的数据,只有经允许对自然人身份进行独特识别或特定技术手段处理后,才符合GDPR规定的生物特征数据的定义,由此意味着个人的面部照片只有被用于直接识别或验证身份时,才符合个人信息保护规定中的“生物特征”。生物识别技术通常也会评估其他生物因素如眼睛和鼻子、鼻子和嘴巴之间的距离等,以便唯一地识别某个人。因此如果不能唯一地识别特定个体,个人的普通照片可能不具备生物特征数据的资格。但是,当技术进步到足以通过照片提取出生物特征数据时,照片数据也符合生物特征数据的定义。①GDPR, Rec.51.所以,随着生物识别技术的发展,原来不属于生物识别信息的生物特征也可能唯一地识别或验证特定个人,从而满足生物特征数据的定义。②See Jorden Bailey,Using biometric data? Sensitive under the GDPR,https://legalict.com/2017/10/18/using-biometricdata-sensitive-under-the-gdpr/, last visited on Aug.28, 2019.因此,生物特征的数据保护范围随着技术发展处于动态变化中。在宽泛术语下定义生物特征数据的表现,也意味着GDPR认识到生物识别技术将继续发展,而开放式定义涵盖了未来技术发展中可能符合生物识别信息定义的各种生物识别特征。③See Danny Ross, Processing biometric data? Be careful,under the GDPR,https://iapp.org/news/a/processingbiometric-data-be-careful-under-the-gdpr/, last visited on Aug.9, 2019.
(二)生物识别信息的外延界定
生物识别特征与生物识别信息、生物识别信息与个人信息的关系是什么?在此基础上,如何具体界定生物识别信息的内涵与外延?在识别性上,生物识别特征与其他身体特征如基因与血型的本质区别是什么?基于个人信息的核心特性,结合我国法律规制现状,基因与血型信息在什么情况下可被作为生物识别信息予以保护?以下具体阐释。
1.生物识别信息与基因信息的区别与联系。
关于个人生物识别信息的范围,《个人信息安全规范》附录A(个人信息示例)与附录B(个人敏感信息判定)均列举了个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等七项内容。《生物特征识别信息的保护要求》(征求意见稿)也明确表示生理特征包括DNA在内。GDPR中,生物特征信息是与基因信息或健康数据独立并列的个人信息类别。④GDPR, Rec.53.GDPR第4条分别定义了 “生物特征数据”“基因信息”与“健康有关的数据”。⑤GDPR, Art.4(13), Art.4(14), Art.4(15).由此GDPR的生物特征数据的范围不包含基因信息在内。世界首部生物信息立法《伊利诺伊州生物特征信息隐私法》(Illinois Biometric Information Privacy Act,简称BIPA) 规定了生物特征数据包括视网膜扫描(Retina scan)、虹膜扫描(Iris scan)、指纹(Fingerprint)、声纹(Voiceprint)、手部扫描(Hand scan)、面部几何形状(Face geometry),⑥See Torsten M.Kracht, Michael J.Mueller, Lisa J.Sotto, and Daniella Sterns, Biometric, Information Protection: The Stage is Set for Expansion of Claims, Lexis Practice Advisor Journal, 2018 Edition.不包括人口统计数据、身体描述、书写样本、签名、照片或者其他用于医学或科研目的的生物材料,⑦See Biometrics Laws and Privacy Policies,https://www.privacypolicies.com/blog/privacy-policy-biometrics-laws/, last visited on Aug.28, 2019.所以BIPA的适用对象也不包含基因信息在内。美国2008年颁布的《基因信息反歧视法》专门规范雇佣与保险领域中使用基因信息的行为。对比来看,目前我国规制体系中生物识别信息涵盖个人基因信息。《生物特征识别信息的保护要求》(征求意见稿)规定生物特征识别数据包括生物特征样本、生物特性、生物特征模型、生物性质、原始描述数据的生物特征识别特征,或上述数据的聚合。由该规定看出,生物样本数据库亦属于生物特征识别数据。生物样本库也被称为生物银行( Biobank) ,是指集中保存人类生物材料、微生物以及动植物标本,用于疾病临床治疗、生命科学研究和生物产业开发的生物应用系统。一般包括组织、全血、血浆、血清、DNA、RNA、生物体液或经初步处理过的生物样本,以及与这些生物样本相关的各种临床资料、病理、治疗与随访等信息数据。⑧生物样本库包含多种类型,从常见的器官、组织库,如血液库、眼角膜库、骨髓库,到拥有正常细胞、遗传突变细胞、肿瘤细胞和杂交瘤细胞株(系)的细胞株(系) 库,近年来出现了脐血干细胞库、胚胎干细胞库等各种干细胞库以及各人种和疾病的基因组库( Genome bank) 。参见白莉华等:《生物样本库大数据的伦理与法律问题研究》,《中国医学伦理学》2017年第10期,第1206-1212页。生物样本中包含大量基因信息,因此引发了个人信息保护方面的关注。 综合上述规定,个人基因信息与集合性的个人基因信息亦属于个人生物识别信息范畴,适用2019年7月1日起生效的《人类遗传资源管理条例》。
值得注意的是,《个人信息安全规范》某些条款独立列举了个人生物识别信息与基因信息。基因信息是否属于生物识别信息?本文认为该问题的答案并不确定,需要根据基因信息的具体使用场景,并结合个人信息及生物识别信息的核心特征作出判断。CCPA规定的生物特征信息包括DNA在内,并规定个人DNA可单独使用、组合使用或与其他个人信息结合使用,以识别特定自然人身份。①田野:《大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例》,《法制与社会发展》2018年第6期,第111-136页。GDPR则规定基因数据(Genetic data)是指与自然人遗传或获得的遗传特征有关的个人数据,基因数据提供有关该自然人的生理或健康的独特信息,特别是来自于对该自然人生物样本的分析。②例如,第8条第4(f)款规定:“不应公开披露个人生物识别信息、基因信息”。《人类遗传资源管理条例》第2条定义人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。综合上述规定,本文认为:(1)如果基因信息可被用于唯一识别特定的个体,则属于生物识别信息。同时,生物识别信息均属于个人敏感信息。(2)如果个人基因信息或集合性个人基因信息,需要与其他个人信息相结合以间接方式识别特定个体,则属于一般个人信息。在上述两种情况下,适用各自对应的法律保护标准。
2.生物识别信息与血型信息的区别与联系。
《征信业管理条例》第三章第14条规定,禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。由该立法思路看出,基因、指纹、血型是各自独立的个人信息类型,基因与血型均不属于生物特征信息。按照上述关于基因信息与生物识别信息之间关系的证明逻辑,本文认为,一方面,同基因信息一样,如果血型信息能够单独识别特定的个体,血型亦属于生物识别信息,受同等的法律保护。但是该情况下血型是否属于个人敏感信息?鉴于血型的普遍公开性,本文持否定态度。另一方面,若血型与其他信息相结合识别特定自然人身份时,则被认定是一般个人信息。
三、生物识别信息公共与商业应用的法律边界构建
个人信息尤其是生物识别信息的公共使用与商业应用,在使用权限、收集合法性上存在显著差异。生物识别信息的公共使用有其稳定的技术保障,也是国家机关履行法定职责的必要手段。而对于私营主体而言,在收集、使用、存储、处理个人信息,尤其是人脸、指纹等生物识别信息时,必须依据法定程序履行数据安全责任与落实安保措施,否则可能面临民事责任、行政处罚甚至刑事责任。
(一)厘清生物识别信息商业应用的法律边界
出于行政履职与秩序维护等公共使用目的,国家机关与公共场所的经营者(如商场、公园、游乐场、校园等)在履行法定职能或经营园区活动中需使用公民或用户的生物识别信息,以提高工作效率,同时也为个人提供了便利。因此,面对大规模人口流动的职务或业务部门,使用生物识别信息的行为旨在维护公共性利益。该使用行为存在正当性,对应履行的数据安保义务也主要针对集合性数据库的安全。
1.比对使用场景中的数据库风险防范制度。
基于维护社会安全与公共秩序目的,生物识别技术一般用于公民身份核验系统,国家机关或私营主体验证公民个体身份时需依赖生物信息数据库作比对参照。例如,人脸识别已经开始应用于公共服务,2020年5月14日,福州正式启动地铁刷脸通行测试。人脸识别技术的公共应用推动了数字技术在公共服务领域的全方位应用,提升了城市管理与服务的数字化水平,加快了智慧城市的建设进程。总结来说,通常的使用场景有:(1)国家管理领域的居民身份登记、出入境边检、刑事侦查等;(2)社会安全领域如酒店住宿、机场、火车站、汽车站的身份验证等;(3)安保系统的门禁出入、幼儿园接送、校园管理等;(4)用人单位管理中职工人脸或指纹考勤等。在上述使用场景中确实存在技术不法利用、信息泄露、信息滥用三重风险,数据库的保存与管理机构应加强技术安保措施,①The California Consumer Privacy Act, Sec.9(b).在制度建设中应明确数据库控制者的技术保护要求、相关法律责任、救济渠道等。关于生物信息库的公共使用,欧盟第29条工作组在《关于对成员国签发护照和旅行证件的安全特征和生物特征标准的理事会条例第2252/2004号的观点》中提出,欧盟委员会和成员国应保证:(1)只有主管当局才能访问存储在芯片中的个人生物数据,成员国应建立主管当局的名单登记册;(2)不支持扩大访问控制(Extended Access Control)的主体读取到欧洲公民的护照,包括指纹数据;(3)出于核实(比对)目的在护照和身份证上使用生物识别技术时,必须也要有技术上的限制。总结与借鉴该规制思路,出于公共管理目的使用公民生物识别信息时,收集与使用主体原则上应做到:(1)严格审核采集与使用公民生物信息的主体资格,立法需明确某些国家机关存在使用生物信息的履职需求及对应的授权;(2)严格限制访问主体的范围,原则上可访问生物信息数据库的主体只能是国家机关;(3)用做识别比对使用的数据库必须有高度安全的技术保护措施,立法需设置具体的技术标准。
2.(非国家机关)公共安全使用的规范性。
非国家机关(如学校、酒店、用人单位、游乐场等私营主体)出于学生管理、住宿安全、员工考勤、园区秩序等非盈利目的使用生物认识信息作比对使用,或者在学校管理中将生物识别信息用于学生行为特征分析与课堂管理。可以看出,上述使用与纯商业盈利使用的目的不同,该类用途具有公共管理或安全价值。但是该类主体的使用正当性基础是什么?一方面,在权力来源上,是否可基于行政委托赋予某些非国家机关收集、使用生物识别信息的权力?另一方面,在技术监管上,私营主体是否有权操作与应用生物识别技术,如人脸识别与行为特征分析的技术工具?本文认为答案取决于信息使用是否出于社会安全目的、抑或私营管理目的?两种目的在价值位阶上存在优先性,社会公共利益(强制性)>公民个人权利(自主性)>企业管理效益(协商性),公共利益目的应在一定条件下被支持,如校园管理与住宿管理等。例如,学校在课堂上应用生物识别技术监督学生的考勤、课堂表现、行为特征等,一定条件下是可以被允许的,但前提必须是获得用户同意或者行政机关授权。基于公共管理目的,国家机关可通过行政委托授予某些私营组织使用生物识别技术与生物识别信息的权力。
(二)界定生物识别信息商业应用的法律边界
实现数字合成技术革命的神经网络,引发创新型深度合成应用不断涌现。例如,数字虚拟人目前已应用于多个领域,包括虚拟主持、智能家居等,提升了人们的工作、生活体验。随着深度合成技术的进一步发展,并通过与现有商业模式或服务模式的结合,将会创造出更便利、更高效的智能产品与服务,个人、组织以及整个社会因此而受益。响应该技术发展趋势,经营性组织或个人在收集与使用人脸等生物识别信息时应遵守的行为边界如何界定?私营主体使用生物识别技术的正当性与合理性又如何体现于规范设置中,涉及的具体问题包括收集权限的来源、明示告知的落实、用户自治的协商、收集范围的限制等事项。
1.生物识别信息商业应用的合规疑虑与制度缺失。
2019年微软删除了世界上最大的公开的人脸识别数据库MS-Celeb,该数据库包含1,000万张人脸图像,但在删除之前已有多个商业组织使用MS-Celeb数据库,并且在移除后仍可正常访问与使用。数据库中很多图像来自公众人物且未得到他们的授权,MS-Celeb数据库通过“知识共享”(Creative Commons)许可证抓取与搜索图像。②GDPR, Art.4(13).此外,杜克大学研究人员建造的Duke MTMC监控数据库与斯坦福大学的Brainwash数据库也被各自的单位删除,上述数据库均可训练建立人脸识别模型。反观我国目前的数据产业中,某数据企业的官网上列有人脸识别的数据产品与业务,①技术上可利用区块链分布式储存模式保障数据库安全。原理是:区块链技术以去中心化的节点信息公开或共享,让个人可掌控自己的个人数据。例如,个人身份证号码在区块链上的信息可能被转换为一串密文。在办理酒店入住时仅需通过应用将身份证号码密文发送给酒店,酒店将信息同区块链应用上的加密数据比对,并不需要知道个人的任何真实信息,仅需加密数据比对结果。参见《区块链如何解决数据安全问题?》,https://blog.csdn.net/weixin_42673075/article/details/81906732,最后访问时间:2019年11月18日。对比来看,我国对生物特征信息在商业上的合法使用尚不够谨慎。鉴于我国法律体系中目前确实缺乏相关具体规定,生物数据商业运营可能侵犯个人的隐私权、肖像权、名誉权等,存在一定的合规风险。目前各界均认识到生物识别信息商业应用正面临的社会风险与法律挑战,但我国法律体系尚无明确应对规范。制度缺失主要表现为:(1)未明确可被商业使用的生物识别信息范围;(2)未明确生物信息可被使用的商业场景范围;(3)未明确私营主体为了公共管理使用生物信息的适格条件;(4)未设置使用生物识别技术的行政监管制度。
2.明确生物识别信息商业领域中的使用范围与使用类型。
一方面,不是所有类型的生物特征信息均可用于商业盈利目的,例如对于虹膜、指纹等可唯一识别特定个体的生物信息,其商业使用原则上应被绝对禁止。另一方面,基于社会安全与管理目的,生物识别信息被用于身份核验在一定条件下应被允许。对于其他商业用途,由于可能发生视频伪造、声音合成等欺诈行为,应结合具体应用场景确定商业使用规则。
(1)生物识别信息的商业使用范围。
生物信息安全问题不在于识别技术的应用,而在于商业应用目的及范围。例如,美国加利佛尼亚州已出台《AB730法案》,规定发布政治人物行为和言论的虚假音频行为是犯罪。②CC(Creative Commons)授权属于网络版权协议,数据库可被复制或使用,并支持学术与商业使用。如何确立生物识别信息的商业使用范围?本文认为,在使用目的上,公共管理利益>公民个人权利>企业管理效益与商业营利利益。基于该价值位阶,生物识别信息可用于商业使用的基本原则为:对于社会管理范畴的商业使用如酒店住宿与校园管理等,基于行政委托或授权访问数据库机制,在一定条件下应被允许;对于商业盈利范畴的商业使用如数据企业出售人脸识别数据产品或业务或者APP中人脸替换行为,针对具体的商业应用场景,该类商业收集权限与使用范围需设置严格的行业标准与规范,尤其是对于移动终端App中的后台自启动、关联启动、私自调用权限、录音、拍照等擅自收集或上传生物识别信息的行为。
(2)可商业使用的生物识别信息类型。
首先分析生物识别信息的概念与安全特性,生物信息包括人体先天具有的生理特性(如指纹、人脸、视网膜、虹膜、声纹等)和后天形成的行为特征(如笔迹、声音、步态等)。根据CCPA规定,生物识别信息包括但不限于虹膜图像、视网膜、指纹、脸、手、手掌、静脉纹路、语音录音以及一个生物标识符的模板(an identifier template),例如可被提取的面纹编码(faceprint)、细节模板(a minutiae template)或一个声纹,以及按键模式或节奏(keystroke patterns or rhythms)、步态模式或节奏(gait patterns or rhythms)、包含识别性信息的睡眠、健康或运动数据。③例如,亚洲明星人脸图像数据库包括1万名亚洲明星的人脸数据,1000人的售价是1.5万元,3000人的售价是3.6万元,https://www.datatang.com/index.html,最后访问时间:2020年6月1日。对于不同的生物特征,突破其唯一识别性的技术难度是不同的。基于生物识别信息在隐私性、唯一性与稳定性上的差异,需设置分类分级保护标准。具体来说:指纹识别具有易于采集、识别率高、使用方便等优点,被广泛应用于移动终端的用户身份认证或交易验证等场景,但是指纹获取、伪造成本低,易被不法分子仿冒,使用风险较高;人脸识别是将样本特征项与指定范围内所有模板特征项进行比对,具有低成本、用户体验好等特点,正被逐渐应用于客户端登录、解锁、小额支付等场景,但是人脸日常暴露在外,泄露风险极高;人体虹膜终身不变,稳定性高,因此适合应用于金融保险柜、武装押运等身份认证安全要求较高的场景,在理论上虹膜不容易被假冒,但虹膜识别在使用中容易被虹膜视频、仿真人眼等假体攻击;声纹识别具有低隐私性、支持双向传递信号、交互便捷等特点,可应用于登录、转账、支付等金融场景,但是随着人体年龄增长逐渐出现差异,导致声纹抗时变性差,对声纹识别系统设计提出较高要求。①California Assembly Bill No.730, Chapter 493, Elections:deceptive audio or visual media, Approved by Governor on October 03, 2019.所以划定可用于商业应用的生物识别信息范围时应考虑到各类生物特征自身的安全稳定性,②The California Consumer Privacy Act, Rule 1798.140(b).例如对于可唯一识别特定主体的生物特征信息需设立最高级别的保护。对此,生物技术行业的监管部门应适时出台具体的技术参考标准,③任兆麟:《生物识别身份认证技术在金融业的应用研究》,《西部金融》2019年第5期,第57-60页。为立法中的法律要求提供参照。
(三)生物识别技术监管的行政许可制度
目前,针对生物识别技术的全产业链,规范层面尚未界定明确的法律使用边界。个人信息的获取与收集行为由个人信息保护制度予以规范,而对于个人信息滥用行为,尤其是对生物识别信息的滥用,则需要一定水平的技术手段,存在行为操作门槛。刑法第285条规定了提供侵入、非法控制计算机系统程序、工具罪,那么是否可建立生物识别技术与工具交易管理的行政许可制度?本文认为是可行的,行政规管制度的规范目标为:一方面要鼓励技术本身的发展;另一方面则有必要限制技术的私人获取与使用门槛。当前网络犯罪日益猖獗,本质是因为犯罪工具在操作上变得更加容易与普及,大大降低了行为实施的技术门槛。考虑到该前车之鉴,生物特征信息的立法保护思路可着重针对滥用行为之前的工具获取阶段,通过行政许可制度设置工具或技术的获取与使用门槛。总体而言,原则上生物识别信息的商业应用是可以被允许的,但是向私营主体提供相关技术工具可能是违法、甚至是犯罪行为。由此,在法律边界的构建过程中,对于个人生活中不必需的生物信息技术,尤其是关涉个人信息安全的技术工具,应由行政机关严加管制。私营主体是否有权获取与操作识别生物信息与分析行为特征的技术工具?在《行政许可法》的规制框架下,类似于《烟草专卖许可证管理办法》《枪支管理办法》等专门规范文件,国家应设置专门的《生物识别技术应用管理办法》,提出相应的管理规范及资格要求,例如生物信息识别应用主体的资质审核、设备安装申请与技术安全检验等事项。
结 语
原则上,在个人本位与社会本位的价值趋向权衡中,公共利益优先于个人私权。接下来,在保护私权的制度选择上,生物识别信息应适用个人信息保护与利用制度,而非人格权保护制度,但两种制度模式并非互斥关系,而是在规范目的上各有侧重。生物特征信息的特别保护将围绕四个维度构建法律边界:(1)公民信息权利:增加收集阶段的获取限制,需经被采集主体的明示且真实自愿的同意,④See Natgunanathan, Iynkaran, et al.Protection of Privacy in Biometric Data.IEEE Access (2016): 880-892; Kassin SM, Dror IE & Kukucka J.The forensic confirmation bias:problems, perspectives, and proposed solutions.J.Appl.Res.Mem.Cognit.2(2013): 42-52.但是信息自决权的落实不能仅依赖同意制度,需要企业的技术支持予以配合;(2)企业安全责任:增强企业数据安全责任与技术保护标准,不得泄露、由第三方保存或与第三方共享;(3)商业应用限制:结合生物特征的安全性分类与具体商业使用场景,对于商业使用范围与使用信息类型作出严格限制;(4)技术行政监管:在公共使用目的之外,基于行政许可制度设立使用生物识别技术的法律门槛。