《江西社会科学》是江西省社会科学院主管主办的综合性学术理论月刊,系全国中文核心期刊、中国人文社会科学核心期刊、CSSCI来源期刊、国家社科基金资助期刊。学术是生命,创新是灵魂,传承学术,创新理论,是《江西社会科学》不倦的追求。
随着人脸识别等生物识别技术的广泛应用,个人生物识别信息作为一种特殊的个人敏感信息,所蕴含的个人信息权利应受到法律保护。在此基础上,应当确立风险预防及利益平衡原则以保障个人生物信息安全。在生物信息安全法律领域,我国现有的私法和公法保护模式都难以实现体系化保护。我国应以网络安全法、生物安全法、个人信息保、数据安全法等综合性立法为契机,通过相关行政法与刑法的衔接协调,构建个人生物信息安全的法律法规体系。
个人生物识别信息,即自然人可识别的生理或行为特征,从中提取可识别、可重复的生物特征样本、模板、模型等识别数据或数据的聚合。随着生物、医学与信息技术的不断发展,个人的面部、指纹、视虹膜、基因(DNA)等生物信息识别技术被广泛应用到治安防控、政府治理、医疗卫生、轨道交通等社会生活领域。生物识别技术发展所带来的身份验证、人体试验、器官移植、辅助生殖技术、基因编辑及重组等问题,都可能会侵犯个人信息数据权利,危及生物信息安全甚至。如何防范生物识别技术应用的安全风险,构建个人生物信息安全的法律法规体系,成为法学理论界和司法实务界共同关注的问题。
除了国家立法机关已颁布实施的《网络安全法》《民法典》《生物安全法》之外,《个人信息保(草案)》《数据安全法》已经向社会征求意见。这些重要立法都与个人生物信息安全保护密切相关。2020年12月7日,中央印发《法治社会建设实施纲要(2020—2025年)》,提出要完善网络信息服务方面的法律法规,完善网络安全法配套规定和标准体系,研究制定个人信息保等。如何依法规范个人生物识别技术的研发和应用,确定侵犯个人生物识别信息权利的法律责任,构建危害生物信息安全行为的制裁体系,本文将对此展开讨论。
人脸识别(Face Recognition)又称面部识别,作为一种识别个人身份信息的新型技术,其主要特征是非接触性、主体唯一性和不易复制性,同时也具有无须携带、易于采集、成本低廉等特点。信息采集者只要通过设置普通摄像头等传感器,加上面部识别的软件和算法的运用,无须接触自然人个体便可实现面部信息的抓取与存储。在不同的动态场景中,可以自动检测定位、跟踪采集、比对提取、分离存储个体的脸部特征信息,通过与数据库中已登记的面貌进行核实以确认自然人身份,或在数据库中搜索是否存在指定人像的完整流程。目前,从出入境识别、违法行为曝光到刑事案件中的身份核查,从直销银行的人脸识别客户身份验证、3D人脸识别解锁智能手机到移动端刷脸支付,人脸识别的应用范围越来越广。手机厂商推出的新一代手机中,刷脸解锁已经替代了指纹解锁,许多支付系统也纷纷采用人脸识别技术。运用海量数据挖掘和神经网络技术的人脸识别系统已成为人工智能、区块链商业应用的新领域。我国工业与信息化部于2019年9月27日发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》指出,国家支持构建基于人脸识别等识别技术的网络身份认证体系。
应当看到,个人生物识别信息需要结合信息网络技术才能形成,由此改变了个人生物信息的不可复制和不可变更的基本属性。人脸识别的非接触性特征也更容易产生个人信息侵权问题。人脸可以被模仿,“变脸”和“换脸”不存在什么技术困难。相对于其他个人信息,人脸识别应用的数据存储、传输流程存在严重的隐私侵权和安全受损风险;而一旦人脸识别信息被泄露或冒用,就可能会对信息主体造成永久性伤害和难以弥补的损失。2018年4月,美国Facebook公司因其开发使用的“面部印记”功能遭到消费者团体起诉,起诉书指控Facebook在未经同意的情况下定期进行照片扫描和生物特征匹配。同时,Facebook还提供访问接口,允许微软、亚马逊和Apple等合作机构读取、发送和删除用户个人信息。又如,当下新冠肺炎疫情肆虐全球,很多人居家隔离或工作,对Zoom和其他数字通信工具的需求剧增。但据媒体报道,美国公司SpaceX和NASA已禁止员工使用Zoom的视频会议应用程序,因其存在“严重的隐私和安全问题”。
在我国,个人生物识别信息数据被盗或过度滥用的问题层出不穷,引人关注的“刷屏”级换脸APP“ZAO”经历了从爆红到爆黑的“昙花一现”。这一应用项目所采用的格式化用户协议存在过度攫取用户授权和单方强加用户义务的嫌疑,从而引起社会公众的普遍担忧。又如,在设置了人脸识别摄像头的商场、车站等公共场所,消费者甚至不知道自己会被拍摄。公民个人的相关隐私权益无法得到有效保障。以人脸识别厕纸机为例,用户进入摄像头范围后就被“刷脸”,仅仅是为了防止其多用厕纸,至于人脸数据怎样被存储、是否能被删除、是否被用于其他用途等问题,该机器并没有进行任何说明,明显存在过度收集个人生物识别信息的问题。从司法实践来看,国内涉及人脸识别侵权诉讼或刑事犯罪的案件也屡屡发生。例如,2019年10月,浙江理工大学副教授郭兵因不同意杭州野生动物世界使用人脸识别对其进行用户认证而提起侵权诉讼,被称为“人脸识别第一案”;2020年11月20日法院判决野生动物世界赔偿郭兵合同利益损失及交通费一千余元,删除原告办理指纹年卡时提交的包括照片在内的面部特征信息。又如,张某、余某等侵犯公民个人信息案,被告人张某等购买2000万条公民身份信息,使用软件将他人头像照片制作成3D头像,用以支付宝人脸识别认证、注册支付宝账号从而获取红包奖励,共获利4万元。近年来,我国相关部门和机构颁布实施了诸多个人信息保护的国家行业标准,对于个人生物识别信息的收集和使用提出了具体合规标准。2019年6月25日,全国信息安全标准化技术委员会公布《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》(以下简称《生物识别信息保护要求(征求意见稿)》);2020年3月6日出台《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》),在2017年该规范文件旧版本的基础上,细化与完善了个人生物识别信息在收集、存储和共享三个方面的保护要求,对于人脸识别技术的合规使用具有重要的指引作用。2020年11月27日,工信部组织发布了《APP收集使用个人信息最小必要评估规范 人脸信息》团体标准(以下简称《APP人脸信息规范》),明确了APP收集使用个人信息的“最小必要”原则,并对收集、存储、使用、删除人脸信息的行为进行了具体规范。须指出,作为国家行业标准的《个人信息安全规范》不是强制性法律标准,而是推荐性行业标准,因而对个人信息保护的要求也更加严格。总的来看,我国有关个人信息安全的法律法规和行业规范多头迭出,但能够起到提纲挈领和体系协调作用的“个人信息保”尚未出台。相对于网络信息安全保障,在公民个人信息权益保护方面的立法显得尤为不足。上述行业规范能否作为认定侵犯公民个人信息犯罪的前置性规范,也是值得探讨的问题。
随着计算机科学与基因组技术的融合,个人生物识别信息从传统的“基因信息”和“遗传资源信息”脱离出来,已具有人体生物特征的计算机数据库、数据处理、基因序列信息、生物系统的计算机分析与软件设计等内涵。个人信息保护原则是个人生物识别信息利用的最起码规则,而对个人生物识别信息的权利属性和法益内容进行界定,是对其实施法律保护的逻辑前提。面对个人生物识别技术风险增大、违法犯罪趋于严重的态势,我国立法与司法应当在保护个人生物识别信息权利的基础上,以风险预防及利益平衡理念和原则为引导,对个人生物信息安全法益实行多层次、等级化和体系化的法律保护。
《APP人脸信息规范》第3.1条规定,“人脸识别”即基于个体的人脸特征,对个体进行识别的过程;第3.3条规定,“人脸信息”即对自然人的人脸特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。《生物识别信息保护要求(征求意见稿)》第3.1.3条规定,个人生物识别信息基本特征在于,可检测到的个体生理或行为特征,可以从其中提取可识别的、可重复的生物特征。第3.1.9条规定,生物特征识别属性即由生物测定样本估计或导出的生物特征数据对象的描述性属性。同时,第4.1条规定,个体生理特征包括但不限于指纹、人脸、虹膜、声纹、手型、指静脉/掌静脉、视网膜、DNA、掌纹等,个体行为特征则包括步态、签名、语音等。个人生物特征识别系统包括数据采集、存储、注册、辨识、验证五个子系统,通常将个人生物特征识别的关联信息与其他个人信息绑定在一起,以保证包含生物识别信息记录在内的信息安全性。因此,所谓“生物识别”并非仅是对自然人生理特征的识别,而且将生物识别信息与个人身份、金融、行为、位置、偏好等信息对接,使得个人生物识别信息的法律属性具有更强的多元化、复杂化的特点。
从国外立法来看,欧盟《一般数据保护条例》(GDPR)、英国《数据保案》、日本《个人信息保》等法律法规都对“生物识别数据”做出专门规定。我国《网络安全法》规定,个人生物识别信息属于“直接可识别”到个人身份的隐私敏感信息,其必须经过计算机的相关生物识别程序的识别才能生成相关信息数据。《个人信息安全规范》第3.2条规定,个人生物识别信息属于个人敏感信息,在收集信息授权同意、隐私政策制定、传输与存储、访问控制措施、目的限制、共享与转让、公开披露、应急处置和报告、数据控制者的义务与责任等方面,须以个人敏感信息的严格标准加以保护。根据《生物识别信息保护要求(征求意见稿)》第3.1.7条的规定,个人生物识别信息所涉及的权利包括其在整个生命周期的收集、转移、使用、存储、归档、处置和更新的权利。从权利内容来看,个人生物识别信息权利包括知情权、同意权、查询权、更正权、删除权、利用权和公开权等权利。
我们将个人生物识别信息进一步分为可识别个体生物特征的个人隐私信息、一般个人信息和个人数据三种,其权利属性也有所差别。首先,一般个人信息具有人格权属性,可谓“信息主体人格的外在标志”。但个人信息所蕴含的权利并不限于隐私权,后者则是其最重要、最核心的内容。个人信息权的法律保护属于弱保护,而隐私权的法律保护则属于强保护,大多数一般个人信息不需要权利主体明示同意也可收集,但对于个人私密敏感信息不能仅仅通过知情同意权加以保护,对于个人生物识别信息应优先适用更为积极的隐私权保护。其次,个人隐私信息属于人格利益但不包含财产属性,不具有任何财产属性的交易价值,不可利用且受法律绝对保护。“人的自由与尊严价值不可动摇,互联网络时代亦如是。”再次,一般个人信息亦属于人格利益但可包含财产属性,这种人格利益基于信息主体的同意,转化为具体财产利益后,可以进行交易。不少数据企业采用“去识别化”或匿名化技术手段,对个人信息进行“脱敏”或“漂白”,使其成为普通的数据。同样,个人生物识别信息经过去识别化技术处理之后,仅具有个人信息数据的财产属性,可以自由使用、转让,而为其他数据主体所利用。然而,随着再识别技术的发展,“匿名化”已变成一个相对的概念,完全不能复原的匿名化个人信息是比较少见的。不过,通过去识别化信息技术,结合再识别的风险管理,“去识别化”仍然是数据企业合规收集、使用个人生物识别信息的有效途径。
个人生物识别信息属于自然人固有的生理特征或行为特征,生物识别身份验证技术本身具有客观性、中立性,一般不具有违法性和可罚性;但正因为如此,反而更容易被不法分子利用法律漏洞进行不当收集或滥用。概括起来,生物识别技术带来的个人信息安全风险包括以下情形:未经授权的或不必要的收集;未经授权之使用或披露;不当比对;错误匹配;不当储存或不当传输;功能蠕变(creep function)等。在大数据背景下,个人生物信息安全越来越依赖技术保障,然而目前个人生物特征识别技术尚不够成熟,存在一定的技术缺陷和管理风险。同。