个人生物识别信息保护的立法模式与制度构建*
2022-11-22张建文赵梓羽
张建文,赵梓羽
(西南政法大学 民商法学院,重庆 401120)
个人生物识别信息是指通过运用科学技术手段对人的身体、生理及行为特征进行数字化处理后得到的信息[1],包括基因、指纹、声纹、虹膜、面部特征等,是个人数字身份的重要组成部分[2]。在大数据时代,生物识别技术的应用与发展加深了个人生物识别信息被不断挖掘与利用的程度,这种挖掘与利用在一定情形下能为公共利益之实现作出很大贡献,但与此同时也增大了个人生物识别信息被非法处理的风险。尤其是随着多样化的生物识别技术在商业金融领域的广泛应用,生物识别技术黑色产业链条始见端倪,相关侵权行为的种类、数量及侵害程度同步递增,个人信息保护不断受到挑战。全国信息安全标准化技术委员会于2021年4月23日、28日相继发布了《信息安全技术 人脸识别数据安全要求》[3]《信息安全技术 步态识别数据安全要求》[4]《信息安全技术 声纹识别数据安全要求》[5]《信息安全技术 基因识别数据安全要求》[6]四项征求意见稿,旨在保障大数据时代以面部特征信息、步态信息、声纹信息、基因信息为代表的个人生物识别信息安全。在此背景下,有必要加快个人生物识别信息保护立法的步伐,从法律层面给予个人生物识别信息有力保障。基于此,如何针对个人生物识别信息的特质构建其保护模式,规制个人生物识别信息的处理方式和范围,从而维护个人信息权益与促进信息技术发展之间的衡平,便成为理论和实务中亟待解决的首要问题。
一、个人生物识别信息的特质及非法处理的风险
(一)个人生物识别信息的特质
2021年8月20日公布的《个人信息保护法》第28条第1款将个人生物特征纳入敏感个人信息目录。这一条款虽宣示着个人生物识别信息与自然人的种族、民族等同属敏感个人信息之列,但个人生物识别信息仍具有不同于其他敏感个人信息的显著特质。
其一,个人生物识别信息具有唯一性。欧盟《通用数据保护条例》(General Data Protection Regulations,GDPR)将个人生物识别数据定义为“通过对自然人的物理、生物或行为特征进行特定技术处理而得到的个人数据。这类数据生成该自然人的唯一标识,比如人脸图像或指纹数据”。这一概念不仅明确了个人生物识别数据从属于个人数据,并且强调了个人生物识别数据具有唯一标识的特征。类似的立法例还有印度2019年的《个人数据保护法案》以及美国联邦正在提案中的《消费者在线隐私权法》(Consumer Online Privacy Rights Act)等。以上法律规范所指的唯一性特质具体体现在两个方面,即个人生物识别信息本身唯一及识别对象唯一。首先,自然人的面部特征、指纹、虹膜等单个个人生物识别信息因其具有强烈的个人生物特征属性且独一无二,从同一个自然人处不可能获取两项完全相同的个人生物识别信息从而实现信息的相互替代。如果个人的信用卡或社会安全号码被盗,他们有能力建立一个新的进行替换,然而,人们无法替换被盗的指纹或DNA[7]。其次,单个个人生物识别信息所对应的主体也是唯一的,这就意味着个人生物识别信息不需要与其他个人信息相结合便能实现信息与自然人的匹配,从而使得个人生物识别信息具备其他敏感个人信息所不具备的直接、单独、准确辨别自然人身份的功能[8]。对比之下,宗教、种族等其他敏感个人信息因相同信息大量存在,且通过该类信息不能单独实现识别的匹配而不具有唯一性的特质。
其二,个人生物识别信息具有不可更改性。不可更改性也可称为稳定性,指自然状态下个人生物识别信息不会随着时间的变化而变化,不能自我实现更新[9]。尽管个人生物识别信息有先天形成与后天形成之分[10],但从根本上影响个人生物识别信息性质及内容的只有遗传和环境两项因素。因此,与财产信息、健康信息等其他敏感个人信息可通过修改而轻易实现信息的变更有所不同,自然人的面部特征、指纹、步态等个人生物识别信息或受限于繁琐的基因排列,或受制于特定环境,其在自然状态下是不可更改的。例如,自然人的DNA分子片段复杂组合形成基因信息,这些基因信息再决定着每个自然人特有的容貌,非经特意处理,自然人的面部特征信息将持久处于稳定不变的状态。但需注意的是,此处的不可更改特指自然状态下的不可更改,通过整容技术等物理处理当然也可实现面部特征等个人生物识别信息的强制更改,但这种更改的代价是巨大的,自然人面临的将是身份认证等一系列与原有个人生物识别信息相关的程序操作的崩溃,在下文将进行具体阐述。
(二)非法处理个人生物识别信息的风险
生物识别数据对每个人来说都是永久和独特的,这使得它成为非常敏感的个人信息[11]。个人生物识别信息的特质在一定程度上决定了其一旦被非法处理,所造成的损害是不可逆的。这种不可逆的损害通常需要通过以下三个步骤得以实现。
一是个人生物识别信息被非法处理。对个人生物识别信息的非法处理集中在对个人生物识别信息的滥用之上,而信息的滥用又可以通过多种途径实现。个人生物识别信息因其独一无二、不可更改的特质往往在保密、防伪活动中受到青睐,但这并不意味着其无法被伪造或复制。随着AI、深度伪造技术的发展,面部特征信息、指纹、虹膜等可以通过临摹复制达到以假乱真的效果[12],加剧了个人生物识别信息在非法泄露后遭到滥用的可能。
二是通过个人生物识别信息关联到其他个人信息。关联其他个人信息是个人生物识别信息被非法处理后的必然结果。随着未来网络制式的不断发展,万物互联是一定的[13]。个人生物识别信息作为自然人身份的代表性标识,其本身可能并未承载商业价值,而其真正的价值在于通过该项信息关联到对信息处理者有利的自然人的其他个人信息。例如,经营者在特定的技术操作之下,利用智能换脸软件能轻松通过用户的人脸识别认证,从而获取消费者近期各项消费信息,为其量身定制广告推销服务。
三是造成不可逆的损害。个人生物识别信息被非法处理再经过信息关联后将造成永久的、不可消除的影响[14]。这是因为个人生物识别信息遭到非法处理时难以通过修改的方式进行补救,而通过个人生物识别信息往往能够挖掘到自然人更深层次的个人信息,自然人将被迫面临着永久性放弃该项个人生物识别信息带来的程序性便捷,抑或接受信息风险进而继续使用的选择。早在美国境内于2008年颁布的首部保护个人生物识别信息的专门隐私法案,即伊利诺伊州《生物识别信息隐私法案》(Biometric Information Privacy Act,BIPA)便意识到了个人生物识别信息特质背后的这些潜在风险:“生物识别信息在生物学上为个体所独有,受到危害时个人将面临着极高的身份盗用风险且难以进行追索,并且可能被迫退出与之相关的交易。”伊利诺伊州《生物识别信息隐私法案》对非法处理个人生物识别信息所致风险的阐释可以说在一定程度上引导了后来各国对个人生物识别信息做出高于一般个人信息甚至高于其他敏感个人信息的立法保护。
二、个人生物识别信息的立法保护模式
个人生物识别信息因以上特质而具有高度的敏感性,由此催生出强烈的个人生物识别信息保护需求。如何选取个人生物识别信息的保护模式以构建个人生物识别信息处理准则,是立法保护的先决性问题。
(一)形式上的保护模式:综合立法保护与专门立法保护
尽管世界范围内对个人生物识别信息的法律定位尚存在不同认知[15],但已形成了其保护应不同于一般个人信息保护的基本共识[16]。就立法形式上的保护模式而言,基于不同的立法理念、立法背景、法律传统,目前主要存在综合立法保护与专门立法保护两种个人生物识别信息法律保护模式。
1.综合立法保护模式
综合立法保护模式,是指在综合个人信息保护的统一法案中设置个人生物识别信息保护的特别条款,是集民法、刑法、行政法保护措施为一体的法律保护模式。当前,大多数国家和地区均采用综合立法保护模式,如欧盟《通用数据保护条例》、俄罗斯《个人资料法》、巴西《通用数据保护法案》等。其中,欧盟为综合立法保护的典型代表,欧盟对包括生物特征数据在内的个人数据采取严格的法律规制态度。欧盟《通用数据保护条例》第5条首先以原则性规定的方式对包括生物特征数据在内的个人数据处理行为作了较大程度的限制,具体包括合法性、合理性、透明性原则,目的限制原则,数据最小化原则,准确性原则等。在宏观原则之下,欧盟《通用数据保护条例》单独规定了生物特征数据相关概念并将其作为特殊类型的个人数据予以保护:原则上禁止处理包括生物识别数据在内的特殊个人数据,同时作出9种情形下的例外规定,包括数据主体明示同意、维护公共利益等。此外,欧盟还规定了数据主体享有更正权、删除权、携带权以及能够单独向监管机构提起司法诉讼等实质性权益,并规定了基于物质或非物质损害可获得民事赔偿等相应司法救济[17]。总体而言,以欧盟《通用数据保护条例》为代表的综合立法保护模式以特殊数据保护制度为生物特征数据保护提供了有力保障,为后续立法提供了有益借鉴。深受欧盟影响,亚洲地区关于个人生物识别信息保护的立法也大多采用综合立法的模式,开始使用“个人生物识别数据”的定义,并规定其适用敏感个人数据保护规则,同时规定相应的诉讼救济制度。
2.专门立法保护模式
专门立法保护模式,是指通过制定个人生物识别信息专门隐私法案对个人生物识别信息进行保护,以美国各州为代表[18]。伊利诺伊州于2008年制定了全国首部《生物识别信息隐私法案》,德克萨斯州紧随其后于2009年出台了《生物特征隐私法》,此后,佛罗里达、纽约等州也制定了个人生物识别信息保护的专门法案。随着个人生物识别信息保护专门立法的大范围推进,美国越来越多的地区已将独立的个人生物识别信息保护法提上立法日程。联邦层面也有所行动。参议院于2020年8月3日引入了Merkley提议的《国家生物识别信息隐私法案》(National Biometric Information Privacy Act),并将其提交司法委员会。个人生物识别信息保护专门法案接踵而至,其背后是不断涌现的个人生物识别信息保护现实问题及对生物识别技术规制的迫切需要。以上法案中,伊利诺伊州的《生物识别信息隐私法案》的影响最为深远,其通过规定与个人生物识别信息有关的核心法律概念,明确了权责关系、处理规范、监管救济等内容,以达到规制私营企业的个人生物识别信息行为之目的。
近年来,以人脸识别技术为代表的个人生物识别信息处理技术不断引起纷争,美国在个人生物识别信息保护专门立法规制方面采取了新的转向,即直接针对人脸识别技术的应用制定专门法律规范。旧金山发布的《停止秘密监视条例》(Stop Secret Surveillance Ordinance)即为直接规制政府部门采集面部特征信息的法案。萨默维尔市也通过了《人脸识别全面禁止条例》(Banning the Usage of Facial Technology Surveillance in Somerville),宣告人脸识别技术下获取自然人面部特征信息的行为是非法的。此外,联邦层面也采取了相应措施,从2019年度起,多部专门保护面部特征信息的法案被提交至参议院,其中,有现已通过审议的《商业面部识别隐私法案》(Commercial Facial Recognition Privacy Act of 2019),以及正在审议中的《人脸识别道德使用法》(Moral Use of Face Recognition)等。该类法案虽规制对象特定,但实践意义极强,对面部特征信息这类最具代表性的个人生物识别信息进行单独保护,能够在一定程度上达到对个人生物识别信息保护较为理想的效果。
(二)实质上的保护模式:附属于敏感个人信息的保护与敏感个人信息基础上的强化保护
无论是在综合立法保护还是在专门立法保护模式之下,个人生物识别信息大都被纳入敏感个人信息之列。然而,就实质意义的具体制度规范来看,各个国家和地区对个人生物识别信息又存在保护力度的差别。以其他敏感个人信息保护强度为参照,可将个人生物识别信息保护分为附属于敏感个人信息的保护与敏感个人信息基础上的强化保护两种模式。
1.附属于敏感个人信息的保护模式
附属于敏感个人信息的保护模式指个人生物识别信息适用敏感个人信息保护法律规范,使个人生物识别信息保护力度强于一般个人信息但无异于其他敏感个人信息保护。个人信息的敏感度用以描述个人信息泄露后对自然人的影响和损害程度[19]:敏感程度越高,个人信息泄露对自然人可能造成的损害程度和影响越大,反之则越小[20]。个人生物识别信息承载着人格尊严、隐私等重要价值,且有着彰显自然人身份的核心功能,被视为“数字人格”的重要构成部分。正是由于其与个人生理特征最为紧密,与人格利益息息相关,因而具有敏感性。鉴于此,对个人生物识别信息适用更为严格的敏感个人信息保护规则是大数据时代对个人生物识别信息进行有益利用的必要前提。附属于敏感个人信息的保护模式为大多数国家和地区的立法所采纳,我国2021年8月公布的《个人信息保护法》第28条第1款将“个人生物特征”纳入敏感个人信息目录,明确个人生物识别信息的保护适用敏感个人信息保护的相关规定。除此之外,并无其他条款对个人生物识别信息的保护另作规定。在国际层面,多项法律规范也采取类似立法模式。欧盟《通用数据保护条例》第9条将“生物特征数据”纳入特殊个人数据,使其保护附属于特殊个人数据;印度颁布的《个人数据保护法案》也采用一般个人数据与特殊个人数据相区分的理念,将个人数据分为一般个人数据、敏感个人数据、关键个人数据三个层次,并以敏感个人数据处理规则规范个人生物识别信息的跨境传输、存储等处理活动。
2.敏感个人信息基础上的强化保护模式
敏感个人信息基础上的强化保护模式即对个人生物识别信息的保护相较于其他敏感个人信息保护作了一定力度的提升,形成了相对独立于敏感个人信息保护的状态。2020年修订的《信息安全技术 个人信息安全规范》在2017年版本的基础上对个人生物识别信息保护作了进一步规定。从敏感个人信息收集到公开披露的整个处理环节都嵌入个人生物识别信息保护的特殊条款。例如,于“收集使用个人信息时的授权同意”一节新增了收集个人生物识别信息的同意规则:收集个人生物识别信息不仅需满足收集敏感个人信息的最基本要件,即征得个人信息主体的明示同意,还应单独向个人信息主体告知收集、使用个人生物识别信息的目的、范围和方式,以及存储时间等。可见,《信息安全技术 个人信息安全规范》虽将个人生物识别信息归入敏感个人信息之列,但又另列条款对个人生物识别信息处理规则作特殊规定,使个人生物识别信息的保护力度明显强于一般敏感个人信息。此即本文所指的敏感信息基础上的强化保护模式。敏感个人信息基础上的强化保护模式通过从敏感个人信息保护中独立出个人生物识别信息保护,为其创设更为严密的保护规则以实现强化个人生物识别信息保护的宗旨。
实际上,这种保护模式在国际上最早可追溯至伊利诺伊州《生物识别信息隐私法案》。伊利诺伊州《生物识别信息隐私法案》于第15条“生物识别信息的保留、收集、披露、销毁”中规定“存储、传输和保护所有生物识别标识符和生物识别信息不被披露的方式应与私人实体存储、传输和保护其他机密和敏感信息的方式相同或更具保护性”。该条款示意着个人生物识别信息有着受到更为严密保护的可能性。以伊利诺伊州《生物识别信息隐私法案》为蓝本,美国参议院于2020年8月3日通过的由Sens.Jeff Merkley和Bernie Sanders提出的隐私保护提案《2020年国家生物识别信息隐私法案》同样作出了类似规定。此外,俄国的《个人资料法》也将生物个人资料作为独立的个人资料类型予以更加严格的法律调整[21]。
以上两类保护模式是从不同分类视角对个人生物识别信息所作出的立法保护模式上的选择。其中,综合立法保护与专门立法保护的区分立足于形式意义上的保护模式,而敏感个人信息保护与敏感个人信息基础上的强化保护模式的区分则立足于实质意义上的保护力度。这两类保护模式之间并非割裂的关系,相反,其因形式与实质的区分标准并不互斥而能够实现保护模式的自由组合。
(三)我国个人生物识别信息保护模式的立法选择:构建相对独立于敏感个人信息的专门立法保护模式
我国目前关于个人生物识别信息保护的法律规范十分有限且难以发挥实质作用。相关规定主要散见于《民法典》《刑法》《网络安全法》《消费者权益保护法》等法律以及《征信业管理条例》《互联网个人信息安全保护指南》《信息安全技术 个人信息安全规范》等行政法规、规章、规范性文件或国家标准之中。从体系上看,现有法律规范过于碎片化,缺乏系统的保护机制。从实际效能上看,现有法律规范或因其规定过于笼统、概括而在应对具体实践问题之时捉襟见肘,或因其法律位阶较低难以对个人生物识别信息进行有力保护。2021年11月1日起生效的《个人信息保护法》也对个人生物识别信息保护作出了部分规定,但亦未能跳出以上局限。总体而言,我国个人生物识别信息的法律保护在一定程度上陷入了困境,基于补足相关法律空白的现实需要,对个人生物识别信息进行立法保护已箭在弦上。
立法保护的第一阶段即进行保护模式的构建。我国个人生物识别信息保护模式的构建,应综合考量两个角度之下四种立法模式的优劣之处,在立法宗旨、规范体系、保护措施等方面实现扬长避短。结合个人生物识别信息的特质、个人生物识别技术应用现状及国际立法潮流,笔者认为,我国宜采纳专门立法模式并承认个人生物识别信息保护的相对独立性。
1.确立专门立法保护模式
在进行个人生物识别信息的专门立法保护或综合立法保护模式选择时,应具体考量以下因素。
其一,个人生物识别信息保护指向是否明确。综合立法保护模式大多采用“定义+列举”的方式界定个人生物识别信息,如判定某项个人信息是否能被归入欧盟《通用数据保护条例》中的个人生物识别信息范围之内,仅能参照第4条第14款的描述性条款进行检验,由此导致个人生物识别信息的外延在一定程度上难以确定。个人生物识别信息外延的含糊将成为阻碍其规则适用的最大障碍。不同于综合立法保护模式下个人生物识别信息相关概念及规定的模糊性,美国州层面的专门立法都是通过具体列举的方式明确其保护对象及范围。其中,伊利诺伊州《生物识别信息隐私法案》的规定最为详细,其通过明示列举加排除的方式对“生物标识”(biometric identifier)、“生物识别信息”(biometric information)、“机密敏感信息”(confidential and sensitive information)等概念进行阐释,明确了法律意义上个人生物识别信息的生成,为个人生物识别信息处理规则的适用划定了明确的范围。
其二,个人生物识别信息保护体系是否完备。综合立法保护模式下,个人生物识别信息保护仅为个人信息保护的一个组成部分,个人信息保护范围之宽泛使得个人生物识别信息保护略显局限,尤其体现在粗放的保护规则之上。以欧盟《通用数据保护条例》为代表的综合立法保护模式大都将个人生物识别信息纳入敏感个人信息进行保护,而敏感个人信息保护往往以原则性规定为主,未设计信息处理的具体规则[22],因而难以实现对个人生物识别信息全面、实质的保护。相反,专门立法保护模式下,美国各州制定的个人生物识别信息保护法案规定了更为全面、更为细化的个人生物识别信息保护规则,构建了完备的个人生物识别信息保护体系。特别是伊利诺伊州《生物识别信息隐私法案》通过明确三大相对权责、三大禁止规范和豁免条款以及设置监管机构的方式,从多个角度为个人生物识别信息保护提供有力支持[2]。
其三,个人生物识别信息侵权救济是否有保障。综合立法保护模式下自然人面临着个人生物识别信息民事诉讼的诸多挑战,为其权利救济带来困难。首先,诉讼提起困难。个人生物识别信息的处理借助特定技术且主要针对网络用户群体,侵权对象具有规模性[23]。然而,受到诉讼成本、时间、地域等限制,权益受到侵犯的自然人往往难以提起诉讼。其次,责任认定困难。综合立法保护模式下适用过错推定原则处理这类新兴权益纠纷是主流趋势[15]。而个人生物识别信息侵权行为有极强的“程序性违法”特点,并且其造成的损害通常不是有形的或者不是十分明显。信息处理者很容易证明其在信息处理程序中无意导致损害,自然人也难以证实实质损害,从而阻碍民事诉讼救济的实现。对此,专门立法保护模式围绕民事诉讼救济进行了严密的制度设计,确保自然人在个人生物识别信息遭到滥用时得到救济保障。针对个人生物识别信息诉讼提起困难,美国各州积极推动“集体诉讼”(class actions)[24]。针对个人生物识别信息侵权的“程序性”特征,美国伊利诺伊州《生物识别信息隐私法案》规定因玩忽职守或故意、罔顾后果违反个人生物识别信息收集、保留、披露或销毁规则的都应承担相应责任,只是其赔偿标准有所区分而已。此外,很多采用专门保护模式的立法例还在损害认定方面作出了特殊规定。例如,适用伊利诺伊州《生物识别信息隐私法案》审理的罗森巴赫诉六旗娱乐公司(Rosenbach v. Six Flags Entertainment Corporation)一案确认了原告无需证明“实际损害”也可获得赔偿的规则,从而使得自然人在个人生物识别信息权益受到侵害时能够得到有效救济。
可见,专门保护模式具有专属的法律概念、完备的规范制度以及切实可行的司法救济规则,且能够根据个人生物识别信息的特性作出具体调整,针对性和操作性较强,因而具备综合立法保护模式所不具备的优势。在个人生物识别信息权益侵权泛滥的背景下,专门保护模式应当成为我国个人生物识别信息保护立法的应然选择。
2.确立敏感个人信息基础上的强化保护模式
就个人生物识别信息的实质保护模式而言,附属于敏感个人信息保护模式的困境在于忽视个人生物识别信息保护的特殊性。在个人生物识别信息与其他敏感个人信息的关系上,我们一方面应看到个人生物识别信息与其他敏感个人信息的同一性;另一方面也应看到其区别于其他敏感个人信息的特殊性[25]。因此,个人生物识别信息保护的制度构建既应考虑个人生物识别信息与其他敏感个人信息保护的共同性,也不可忽视与其他敏感个人信息保护的差异性。在附属于敏感个人信息的保护模式之下,法律规范的保护对象为一定范围内多种类的个人信息,未能考虑个人生物识别信息保护应具有的特殊性。这种特殊性集中体现于以下两方面:首先,个人生物识别信息具有唯一性、不可更改性的特质,非法处理的情形下会为自然人带来不可逆的损害后果。非法处理其他敏感个人信息虽也存在造成自然人人身与财产重大损害的可能性,但尚未达到不可逆的程度。其次,个人生物识别信息具体应用领域也不同于其他敏感个人信息。以面部特征信息为代表的个人生物识别信息因其能为反恐、打击犯罪带来收益而被广泛用于维护国家安全[26],这是其他敏感个人信息难以涉及的领域。
基于此,个人生物识别信息保护的具体规则应与其他敏感个人信息保护规则有所区分。附属于敏感个人信息的保护模式不能达到此效果,而敏感个人信息基础之上的强化保护模式则基于个人生物识别信息本身的特殊性及应用领域的不同,将个人生物识别信息保护与其他敏感个人信息保护作出了具体规则上的区分。在欧盟委员会最新发布的人工智能行业监管草案中,人脸识别所基于的所有远距离生物识别系统均被划入人工智能应用风险四个等级之中的“高风险”区,违背生物识别行业监管将受到人工智能领域最严的惩处[27]。远距离生物识别系统被划入“高风险”区,再次证实了个人生物识别技术滥用风险不可估量,示意着个人生物识别信息受到单独保护的需要。此外,中国信息通信研究院发布的《生物识别隐私保护研究报告(2020年)》指出,个人生物识别信息与个人身份高度绑定,且有不易变的特质,生物识别信息的滥用将带来严重的社会问题,呈现攻击、深度伪造、算法缺陷等技术难题,更是加剧了生物识别隐私保护带来的挑战。报告同时指出,个人生物识别技术应用场景趋向多元化,为不同行业、领域提供定制化的识别技术是生物识别技术未来的发展趋势。但不同应用场景对个人生物识别信息的保护需求存在差异,难以统一个人生物识别信息处理标准[28]。在此背景下,强化个人生物识别信息的保护力度不失为最稳妥的做法。2020年,《信息安全技术 个人信息安全规范》将个人生物识别信息的同意要件从明示同意强化到单独同意,增加了存储要件,强化了披露规则。此次保护规则的强化既是基于其特质的现实需要,同时顺应了世界生物识别产业革命的潮流,为我国个人生物识别信息保护立法提供了有益借鉴。
可见,涉及个人生物识别信息处理的问题往往具有较高的技术要求,仅仅将其附属于敏感个人信息保护,依靠概括且有限的敏感个人信息保护规则难以应对实践中的法律难题。应当采取敏感个人信息基础上的强化保护模式,将个人生物识别信息保护与敏感个人信息保护作出一定区分。对此,《信息安全技术 个人信息安全规范》虽创设了较为严密的个人生物识别信息保护规则,使个人生物识别信息相对独立于敏感个人信息保护,但该规范终究仅为国家层面的推荐性标准,不具有强制效力[29]。我国未来个人生物识别信息保护立法应以此为参照,制定法律位阶较高的专门法律规范,同时在具体规则构建中将其与敏感个人信息保护有所区分,体现对个人生物识别信息的单独强化保护。
三、个人生物识别信息保护的具体制度构建
在恰当的法律保护模式之下还应构建适宜的具体制度规范,并通过创设具体的法律条文以落实个人生物识别信息保护。个人生物识别信息保护所涉范围较广,在明确我国采用敏感个人信息基础上的专门立法保护模式的前提下,应着重把握核心内容,结合我国现实需要,创设实践性、针对性较强的个人生物识别信息保护具体规范。
(一)确立个人生物识别信息保护的核心概念及宗旨
概念的明确程度将直接关系到法律规范逻辑的成立与具体规则的适用。个人生物识别信息处理规则具有相当程度的严苛性,更应对“个人生物识别信息”进行严格的限定,划定明确的个人生物识别信息保护范围。专门立法模式下的法律规范大都明确了个人生物识别信息的外延。伊利诺伊州《生物识别信息隐私法》明确个人生物识别信息包括视网膜或虹膜扫描图、指纹、声纹、手或脸的结构扫描。同时,列明个人生物识别信息不包括用于书写样本、书写签名、照片、用于有效科学测试或筛选的人口统计数据、纹身描述或身体描述。我国立法可借鉴该种肯定式列举加排除的立法技术规定个人生物识别信息的概念,同时采纳《信息安全技术 个人信息安全规范》附个人生物识别信息目录的做法对个人生物识别信息的外延予以明确。与此同时,立法还需要确立诸如“个人生物识别信息主体”“个人生物识别信息处理者”“明示同意”“授权同意”“书面许可”等个人生物识别信息处理过程所涉及的核心概念。
此外,通过明确的法律条文确立平衡自然人权益保护与促进生物识别产业健康发展的个人生物识别信息保护的立法宗旨也显得十分必要。目前,我国规定个人生物识别信息保护的多数法律规范均缺少此条规定,包括规则最为完备的《信息安全技术 个人信息安全规范》也未曾提及个人生物识别信息保护的宗旨和规范依据。如何通过立法实现两种价值的平衡,而不是一方绝对性地抑制另一方,是立法宗旨条文的重要价值[30]。未来,我国立法应将个人生物识别信息的保护宗旨和立法依据作为重点规范内容。
(二)构建个人生物识别信息处理的特殊规则
个人信息保护经历了由权利化模式到行为规制模式的转变[31]。行为规制模式即通过为信息处理者设定行为规范的方式构建利益空间,为未上升为权利的法益提供适度且必要的保护[32]。个人生物识别信息是兼具个体性和公共性的战略资源,其处理关涉多方利益[33]。个人生物识别信息处理行为纷繁复杂,僵化的措施难以实现对个人生物识别信息的有效保护,应结合场景化理论,从信息的收集、利用、存储三个方面入手为信息处理者设置相应的行为规范,进而构建个人生物识别信息处理全周期的特殊规则[34]。鉴于本文采纳敏感个人信息基础上的强化保护模式,个人生物识别信息处理规则不仅应满足敏感个人信息处理的一般要求,还应结合其特质进行特别规定。
收集是个人生物识别信息处理的起点。处理好个人生物识别信息的特别保护问题应当从信息收集开始就严加对待,从而避免个人生物识别信息被不当收集后产生的一系列衍生问题。知情同意规则是个人信息保护的核心和基础,是自然人信息自决的体现[35]。个人生物识别信息的特殊保护更应强化收集阶段的同意规则。《个人信息保护法》第29条规定,处理敏感个人信息需获“单独同意”;《信息安全技术 个人信息安全规范》第5.4条则规定,处理个人生物识别信息应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。为适应个人生物识别信息保护的特殊需求,同时为防止同意规则的虚设,应当对信息处理者设定告知义务,要求信息处理者在收集个人生物识别信息前进行明确的目的、范围、处理方式告知与风险披露,并取得自然人的明示同意[36]。开发利用是最为重要的个人生物识别信息处理行为。基于非法处理个人生物识别信息的高风险性,应规定原则上不得开发利用个人生物识别信息,基于特定情形需要进行开发利用的,其行为也应合法、合目的且具有正当性。其中,对“合法”应采取广义的理解,既不能违反法律、法规、规章等法律规范的规定,也不得违反自然人与信息处理者双方的约定。对“合理”的解释则应灵活进行,应当综合考量个人生物识别信息的处理行为是否符合自然人预期,处理所引起的风险是否能为自然人所接受,防止僵化地审视个人生物识别信息处理行为是否合理[37]。
存储、披露是个人生物识别信息处理的后续阶段。一旦发生个人生物识别信息的不当泄露,不仅将招致自然人隐私及相关权益被侵犯,还可能危及公共安全。在这一阶段必须采取最为严格的规制措施,加以最高程度的防范[38]。例如,规定原则上不得存储个人生物识别信息,在特定情形下需要进行存储的,可附条件、附期限地对摘要信息进行存储并采取加密措施。自然人基于正当理由在任何时候都有权拒绝信息存储,且因存储不当造成信息泄露的,自然人有权向个人生物识别信息处理者要求赔偿。最后还可以规定信息泄露后的报告义务作为兜底防范措施,在发生信息泄露的情况下,个人生物识别信息处理者应及时告知自然人及监管机构,以便相关主体及时采取措施遏制信息传播,降低个人生物识别信息泄露风险。
(三)完善非法处理个人生物识别信息的权利救济机制
个人生物识别信息民事救济制度是自然人个人生物识别信息的最后保障,对此可采取完善集体诉讼制度、落实侵权责任等途径对该制度进行优化。域外法律中的“集体诉讼”制度免去了自然人单独诉讼的困难,使得“集体诉讼成员”的权益得到普遍保障,是个人生物识别信息民事权利救济的有效路径[39]。我国立法应借鉴美国建立完备的集体诉讼制度,规定集体诉讼的先决条件及认定标准,明确“集体诉讼”“集体诉讼成员”等相关概念,规定集体诉讼利益分配等。
在自然人诉讼权利得到保障的前提下,可确立恰当的权益侵害归责原则,并对个人生物识别信息侵权责任构成要件进行解释,最后划定损害赔偿数额区间,在适宜的情形下还可要求惩罚性赔偿。以此层层递进,构建一套专属于个人生物识别信息的侵权损害赔偿救济机制。
就归责原则来说,《个人信息保护法》第69条明确规定侵害个人信息的归责原则为过错推定,相较于一审稿有了较大进步,但在一定程度上也未实质解决个人信息侵权认定的难题。个人生物识别信息侵权认定更需保护受害人的权益,未来专门立法可在此基础上作进一步的规定。可考虑过错推定原则与无过错责任原则的“二分法”思路。一方面,在处理主体方面可以进行二分划分,可借鉴我国台湾地区相关规定,使公共机构、非公共机构分别承担个人生物识别信息侵权的无过错责任与过错推定责任;另一方面,在处理行为方面也可以进行二分划分,可借鉴德国进行自动化、非自动化技术处理的区分,采用自动化技术处理个人生物识别信息侵权的适用无过错责任原则[40]。以此,可在一定程度上缓和由举证责任带来的个人生物识别信息侵权责任认定困难的问题。
个人生物识别信息侵权责任构成要件的解释是责任认定的核心环节,而构成要件中应着重解释损害这一要件,突出非法处理个人生物识别信息造成损害的特殊性。非法处理个人生物识别信息造成的后果较其他敏感个人信息更为严重,因此,应当放低非法处理个人生物识别信息的损害认定标准,确立较其他敏感个人信息更为容易的损害认定规则。可规定只要个人生物识别信息处理者具体的收集、处理、存储等行为被认定为非法处理即可推定该行为造成了损害。而如果个人信息处理者违反信息安全保障义务导致个人生物识别信息泄露的,即便该信息尚未被非法处理,法院也可以借鉴环境污染、贬值损失等领域中风险即损害的适用规则,认可未来损害的存在[41]。
若个人生物识别信息侵权责任成立,应综合各项因素对个人生物识别信息非法处理者的损害赔偿责任进行考量。在受害人不能获完全赔偿而侵权行为造成的影响过大时,可借鉴美国对非法处理个人生物识别信息的行为适用惩罚性赔偿,规定适当的最低赔偿标准并参照认定损害赔偿时的各项因素酌情增加惩罚性赔偿额。
四、结 语
生物识别技术的广泛应用加深了社会信息化的程度,其在为用户带来极大便捷的同时也存在一定产业乱象,进而引发潜在或现实的应用风险,个人生物识别信息的法律保护问题应受到足够重视。当前,欧美国家已经积累了一定的立法经验,我国应在借鉴比较法的基础上有所创新,结合我国实际建立并完善我国个人生物识别信息保护制度。本文基于个人生物识别信息应受到何种程度的保护之问题意识,以其特性及非法处理的风险为切入点,对个人生物识别信息应受到特殊保护的观点进行了论证。在此基础上,对域外个人生物识别信息保护制度进行考察,从形式与实质两个角度出发,作出我国个人生物识别信息保护立法模式的抉择:构建相对独立于敏感个人信息的专门立法保护模式。专门性法律保护规范具有体系完备、操作性及针对性较强的优点,应为我国所采纳,同时考虑个人生物识别信息特质所带来的极大风险,在具体制度设计上,其保护力度相较于其他敏感个人信息应有所加强。在保护模式之外,还应进行制度构建,将保护落实到具体条文之上。首先,需明确个人生物识别信息保护的核心概念及宗旨以为信息处理行为提供确切的法律指引;其次,可以基于信息处理的生命周期构建个人生物识别信息保护的特殊规则;最后,还应完善非法处理个人生物识别信息的权利救济机制。以此从核心概念到权利义务设计再到权利救济,搭建起完备的个人生物识别信息保护体系。此外,考虑到个人生物识别信息蕴含的法益保护内容具有复合性、多元化特征,在保护规则设计之时,应最大限度地实现个人权益保护与公共利益的衡平,才能使生物识别产业健康有序地发展,使生物识别技术的应用为社会创造更大的价值。