您好,欢迎光临北大公法网! 中文版|ENGLISH|老网站入口

联系我们

北京大学宪法与行政法研究中心
地址:北京市海淀区颐和园路5号北京大学法学院四合院
电话:86-10-62760063
传真:86-10-62760063
E-mail:pkupubliclaw@126.com
您当前的位置:首页 > 公众参与

个人生物识别信息的法律保护模式与中国选择

作者:付微明   点击量:185

摘   要:生物识别产生的“生物识别信息”可作为识别个人的“唯一标识”,是确认个人身份的新型方法。而生物识别技术应用一旦失控,则可能威胁个人权利、自由、安全。因此,亟需在保障个人权利与技术进步、经济发展、数字化管理相互平衡的原则下,采取积极可靠的保护策略。目前世界范围内的个人生物识别信息法律保护存在着“两种立法模式”和“三大机制”,我国的个人生物识别信息保护宜采取专门立法保护模式,积极构建行政、民事、刑事相结合的法律保护机制,从而为个人生物识别信息权利提供有效的法治化保护。

       关键词:生物识别信息;身份识别;信息保护立法模式;法律保护机制


“生物识别”是个人身份识别的新方法,相较姓名、身份证等传统方式,具有方便、快捷、高效、准确等优势;“生物识别信息”是个人数字身份的重要组成部分,与个人权利密切相关。在生物识别技术带来极大便捷的同时,滥用个人生物识别技术的事件频频发生,个人生物识别信息权利受侵害的现象也广泛存在。因此,世界各国纷纷加快保护个人生物识别信息立法的步伐,个人生物识别信息保护的法治化正在成为个人信息法律保护的新趋势。对这一问题进行理论探讨,也显得重要而紧迫。

一、个人生物识别信息法律保护的两种立法模式

目前各国主要有两种立法模式:一种是专门立法保护模式,一种是综合立法保护模式。它们展现出在立法背景、立法目的、法律规则、保护机制等方面的复杂动因和不同设计。

(一)专门立法保护模式

通过专项立法对个人生物识别信息权利进行法律保护的模式,以美国一些州的生物识别信息隐私法案为典型。这一立法模式的出现,与美国特有的政治体制、立法传统、法律体系、隐私权观念以及本世纪以来生物识别技术在美国的迅速发展有关。

隐私权在美国是一项基本而重要的权利。[1]本世纪初,生物识别技术在美国开始规模化应用于反恐、国家安全和刑事侦查等领域。2006年起,生物识别技术进一步民用化,2008年,一些公司以芝加哥、伊利诺伊州为试点推进生物识别技术的商用化,同年,伊利诺伊州议会通过《生物识别信息隐私法案》。2019年,美国出台一系列法案,包括佛罗里达州的《生物识别信息隐私法案》,要求企业在使用生物识别信息时获得数据主体的同意,并妥善保存该类数据;华盛顿州的《华盛顿隐私法案》,其中有限制公司和执法机构使用面部识别技术的规定;联邦参议院提出的《商业面部识别隐私法案》,规定未经用户明示同意,使用面部识别技术的商业公司不得收集或共享用户的面部识别信息;[2]加利福尼亚州旧金山市颁布的禁止在公共场所使用人脸识别软件的法令;[3]以及马萨诸塞州萨默维尔市颁布的《暂停面部识别或其它远程生物识别监控系统的法案》。[4]

伊利诺伊州《生物识别信息隐私法案》(BIPA)[5]是专门立法保护的典型,其基本框架由立法宗旨,立法目的,法律概念,生物识别信息主体和“私人实体”之间的权利义务关系,司法救济方式与救济途径,监管机构的组织、职能、权力等部分组成。BIPA对立法宗旨与目的的阐述表明,通过专门立法规范“私人实体”对个人生物识别信息的处理行为,是因为并不能完全预测生物识别技术的应用可能带来的后果,而生物识别信息作为唯一身份识别标识,一旦泄露,身份盗窃的风险更高,个人难以追索,并且可能被迫退出由生物识别促成的交易,因此需要通过立法规范“私人实体”对个人生物识别信息的收集、使用、保管、处理、储存、披露和销毁行为,保护个人权利,促进公共福利和安全。BIPA的基本内容包括:

第一,五大专属法律概念。“生物标识”(Biometric Identifier)指视网膜或虹膜扫描,指纹,声纹,或手或脸的几何扫描;“生物识别信息”(Biometric Information)指基于个人生物标识而生成的任何信息,无论其如何被取得、转换、存储或共享“;私人实体”(Private Entity)指任何个人、合伙企业、公司、有限责任公司、协会或其他组织,不包括政府机构和司法机关及其职务人员;“机密敏感信息”(Confidential and sensitive information)指可用于唯一标识个人或个人的账户或财产的信息“;书面发布”(Written Release)指知情的书面同意书,或在雇佣的情况下由雇员执行的作为雇佣条件的同意书。这些概念明确了法律意义上的生物识别信息必须经过特定的技术处理才能生成,明确了国家机关、公共机关之外的“私人实体”与生物识别信息主体之间的权利义务关系;明确了生物识别信息作为可以“唯一标识”个人的机密敏感信息,与个人身份、财产具有密切关系,需要得到特别的法律保护;明确了民用、商用中保护个人生物识别信息的基本点在于充分尊重信息主体的信息“自决权”,“书面同意”意味着信息主体对生物识别信息的使用具有选择权、拒绝权等基本问题。

第二,三大相对权责。根据BIPA, “生物识别信息主体”(Information Subject)即接受生物识别信息处理的自然人,“生物识别数据处理”即数据控制方、管理方对个人生物识别数据的采集、储存、使用、保管、披露、传输以及销毁等行为。该法赋予生物识别信息主体以知情权、同意权、信息自决权三大权利;要求“私人实体”履行告知通知义务、安全保障义务、合法合规处理三大义务和责任。其主要原因,一是生物识别信息的处理必须通过一系列自动化的计算机程序,而一般个人信息的处理并不必须通过这种程序;二是生物识别信息属个人机密敏感信息,与一般个人信息的用途不同,还与个人身份、账户或财产安全紧密关联。因此,BIPA原则上禁止任何“私人实体”采集、存储、使用个人生物识别信息,同时通过强化信息主体的知情权、同意权,充分保障信息主体的信息自决权,强化“私人实体”的告知义务、安全保障义务、合法合规处理义务等方式实现社会经济利益与个人权利之间的平衡。

第三,三大禁止规范和三个豁免条款。三大禁止规范即:禁止购买、通过贸易接收、出售、租赁、交易个人生物标识或信息;禁止从个人或客户的生物标识或信息中获利;禁止未经生物识别信息主体同意而收集、储存、使用、披露或以其它方式传播个人或客户的生物标识或信息。三个豁免条款即可以披露个人生物识别信息的三种法定必需条件:经生物识别信息主体或主体合法授权的代表请求或授权的金融交易的披露或再披露;州或联邦法律或市政条例要求披露或重新披露;根据有管辖权的法院签发的有效的令状或传票的披露或再披露。这些禁止与豁免条款体现了信息自决、个人利益与公共利益、法定必需的相互平衡。

第四,私人诉讼权、诉讼管辖及违约赔偿标准。BIPA所规定的权利救济形式为违约赔偿的民事诉讼救济,任何个人可向州巡回法庭或联邦地区法院提出损害赔偿诉讼;赔偿标准为最低1000美元,最高5000美元,诉讼费用由违约一方承担;以及禁制令等其它救济措施。

第五,监管机构及其职能。BIPA规定设置“生物识别信息隐私调查委员会”作为监管机构。委员会的职责包括调查州和地方保护个人生物识别信息的原则、程序、惯例;防止政府机构要求将个人生物识别信息提供给国家官员或机构时未经授权的披露;检查生物标识或生物识别信息的收藏、销毁相关的问题,以及生物识别技术后果和安全性相关的问题;检查由州和地方政府为统一生物识别保障措施而执行和合理执行的必需的技术和程序的变更。

由此可见,专门保护模式具有特定的立法宗旨,专属的法律概念,清晰的权利义务相对方,明确的保护规则以及解决具体问题的特定方法,针对性和操作性较强。

(二)综合立法保护模式

综合立法保护模式,是将不同种类、级别、性质的个人信息纳入统一的个人信息保护法之下,将行政、民事以及刑事法律的保护措施集为一法的立法模式。

20世纪70至90年代,欧洲国家普遍呈现出强化公共部门行政职权的趋势,出于对公共机关使用数字化手段处理个人信息可能侵犯个人隐私和人权等问题的担忧,以及对保障人权与保证数据自由流动以维护欧洲共同体的经济发展和社会利益之间的平衡的考量,欧盟出台了保护个人信息的共同协定,欧洲各国纷纷制定个人数据保护法,形成欧盟成员国个人信息法律保护的两层法律结构。亚洲国家对个人信息的立法保护起步较晚,大多借鉴欧盟立法。

2018年,欧盟《一般数据保护条例》(GDPR)生效,英国通过在GDPR的基础上修订的《数据保护法案》;日本修订《个人信息保护法》;印度公布《个人数据保护法(草案)》。这些立法在具体的结构和内容上虽存在较大差异,但在法律保护模式上具有共同性,表现为以下四点。

第一,明确“生物识别信息”的法律属性、功能、作用及特定生成过程。以上立法均以“已识别”和“可识别”定义“个人数据”,但又在传统的个人数据之外,加入身体、生理、物理、定位数据、在线身份识别数据等新型数据。[6]同时,专款定义“生物识别数据”,阐明“生物识别数据”可单独用于确认个人身份,必须通过计算机自动化程序的特定技术处理,对个人的身体、生理或行为特征进行扫描、计算才能形成,是“确认该个人的身份”或“使该个人身份得以确认”的“唯一标识”等法律内涵。[7]由此明确“生物识别数据”的法律属性、功能、作用及特定生成过程。

第二,明确“生物识别数据”属于“特殊敏感类数据”。在欧美国家的个人信息保护理论及保护法律中,早有基于敏感度对个人信息进行分级。欧盟保护个人数据的“108协定”、95/46/EC以及匈牙利、冰岛、保加利亚、德国的个人数据保护法中均明确禁止对特殊敏感类数据的处理。“个人数据的特殊敏感类型”通常包括个人的种族和民族起源、政治观点、宗教或哲学信仰、工会会员身份、健康或性生活以及刑事定罪等信息,属于个人隐私中最私密的部分,因此成为各国个人信息保护法重点关切的内容。欧盟GDPR及英国、日本的个人信息保护法均将“生物识别数据”列入“特殊种类的个人数据”,原则上禁止对“仅以识别自然人为目的”的生物识别数据进行处理。印度2018年《个人数据保护法(草案)》甚至专章对个人敏感类数据处理作出规定,对个人“生物识别数据”的处理适用“特殊种类的个人数据处理”标准,明确个人生物识别信息保护对个人隐私、权利、自由、安全的重要意义。

第三,明确“禁止处理”“明示同意”“法定必需”三大特定法律原则。综合立法模式的个人信息保护法以上述三大原则为个人特殊敏感类型数据处理的特定法律原则,由于个人“生物识别数据”被列入特殊敏感类型数据,因此这些特定法律原则也成为“生物识别数据”法律保护的原则。“禁止处理”即包括自然人、法人、公共机构、行政机关或其他非法人组织在内的“控制者”“处理人”“第三方”在通常情况下无权“仅以识别自然人为目的”处理个人生物识别信息;“明示同意”即经信息主体明确表示同意,上述“控制者”“处理人”等方可在法定的范围内处理个人生物识别数据;“法定必需”即可以不经生物识别信息主体同意而处理其生物识别信息的法定事由,通常包括为工作职责、社会重大利益、公共利益的必需,为法律原因的必需,为数据主体和第三人的重大利益的必需和特定协会、组织、非营利组织内部在适当的安全保障措施之下进行的数据处理。[8]特定法律原则的设立,体现了个人生物识别信息权利法律保护与数据自由流动对于保证经济和社会进步的作用的相互平衡。

第四,个人生物识别信息法律保护的一般法律原则及权利义务规定。欧亚各国最新个人信息保护法规,普遍将合法、公平、透明、目的限制、数据最小化、精确、存储限制、完整性、机密性、安全性、问责制规定为个人信息法律保护的基本原则。随着个人生物识别信息保护的入法,这些原则也成为个人生物识别信息保护的一般法律原则。欧盟条例及欧亚各国最新个人信息保护法通常规定了信息主体的同意权、知情权、访问权、自决权、拒绝权、获取权、修改权、删除权、数据可移植权等“个人数据保护权”,与之相对应的是数据控制者、管理者、处理者的告知、通知义务,对个人访问、自决、获取、修改、删除(遗忘)、移植数据权利的请求的积极回应义务,在法定期限内履行义务以及安全、保密等责任。个人生物识别信息保护的法律化,意味着以上权利义务的一般规定,同样适用于对个人生物识别信息权利的法律保护。但上述权利义务的规定并不是绝对的,在尊重基本权利、自由的同时,出于国家安全、防卫、刑事犯罪调查、公共利益、司法、财政利益等需要,对以上个人权利的行使或信息控制者、处理者对义务的履行,通常另立法律条款或设置附则加以限定,条款复杂,这些限定性条款同样适用于个人生物识别信息处理的权利义务关系。[9]

(三)两种立法保护模式的比较

两种立法保护模式在立法背景、思想基础、法律定义、特别保护原则等方面存在一定的共同点,在保护重点、保护方法、保护措施、保护效果方面存在一定的差异。

第一,两种模式的立法背景均是因为生物识别技术的快速发展所带来的对个人身份的新型识别方式,及以生物识别信息为主要内容的个人数字身份与个人权利、自由、身份安全的重大关联性的考虑;均明确了生物识别信息作为“确认”或“使个人身份得到确认”的“唯一标识”的法律属性及经特定技术处理的生成过程;均明确生物识别信息作为个人特殊敏感种类信息的法定层级及生物识别信息保护的“禁止处理”“明示同意”“法定必需”三大特别原则。由此可见世界范围内对个人生物识别信息之于个人权利、自由、安全的独特地位及保障个人生物识别信息权利的立法价值的共同认识。

第二,专门模式立法侧重对特定信息处理者的法律规制,明确信息主体与私人实体之间特定的权利义务关系及法律所保护的主要权利;专门立法模式有专门的法律概念群及对概念内涵的详细阐释、分解以及对特定主体,特定保护原则和限定条款与保护措施的规定等,都为综合立法保护模式所不具备。但专项立法保护模式在保护方法、保护措施上较为单一,如美国BIPA多以民事违约赔偿以及民事诉讼救济为保护方法及措施,具有一定的局限性。而欧亚综合模式的保护立法以行政法律保护方法与保护措施为主,同时结合民事诉讼救济以及刑事罪行与罚则规定,方法、措施更为全面。从保护效果而言,专门立法针对性较强,诉讼保护更为方便;综合立法保护层级清晰,具有系统化的保护效果。

总之,对个人生物识别信息的法律保护选择何种模式是由诸多复杂因素所决定的。在国家层面的个人信息保护法律体系尚未全面而完整建立的情况下,为解决个人生物识别信息处理的合法性、合规性问题,为保护个人相关权利,宜采取专门立法保护模式;而在国家层面的个人信息保护法律体系已经建立并较为完备的情况下,宜将对个人生物识别信息的法律保护作为个人信息法律保护的一个分支。长远来看,无论专门性的个人生物识别信息保护立法或综合性的个人信息保护立法,在保护个人生物识别信息的法律原则、权责规定、禁止性和限定性规范以及保护机制上都将趋向一致。

二、个人生物识别信息法律保护的三大机制

现有两种立法保护模式所构建的法律保护机制,可归纳为行政法律保护、民事法律保护及刑事法律保护三种。目前,对个人生物识别信息的法律保护主要由此三大机制共同构成。

(一)个人生物识别信息的行政法律保护机制

个人生物识别信息的行政法律保护机制,即通过法定的行政指导、行政监管、行政控诉以及行政诉讼等方式,规制信息控制者、管理者、处理者对个人信息的处理行为,保护信息处理关系中各方当事人的权利,进而保证在合法、公平、透明、目的限制、数据最小化、精确、存储限制、完整性、机密性、安全性等法律原则下合法合规处理个人生物识别信息。

第一,设立独立的数据保护行政监管机构,明确监管机构的法定职责与权限。欧盟协定、指南、条例及欧亚各国个人信息保护法和美国个人生物识别信息隐私法案,均普遍规定设置个人数据或个人生物识别数据保护的行政监管机构,明确监管机构的名称、组织、工作原则、职能、权限。监管机构一般具有法定的审查、许可、检查、调查、通知、指示、命令等职权;有责任接受数据主体对数据处理违法行为的投诉并处理投诉。

第二,明确监管机构对个人生物识别信息处理行为的监管重心以及监管要素。随着生物识别技术的广泛应用,对生物识别数据处理的行政监管已经成为当务之急。依据数据保护工作组(Data Protection Working Party)于2003年提出的工作意见,在收集个人生物识别数据时,不仅需要确定目标,还需要从保护个人基本权利和自由的角度考虑生物识别数据处理的适当性和法律基础,尤其是能否以一种侵入性较小的方式达到目的;尽可能地避免不必要的生物识别信息存储或集中存储;生物识别数据只能在充分、相关、且不过度的情况下使用。一些国家制定关于生物识别数据处理的行政监管标准,可以为生物识别数据处理指明方向,使得生物识别信息处理有法可依。例如,挪威的“数据检查员”以及数据保护法庭(PVN)在对Tasvaer Municipality、Esso Norge、REMA1000及Oxigeno Fiteness[10]等案件的行政审查中,以及丹麦、德国、法国等国的数据保护监管机构对生物识别信息处理案件的行政审查中,[11]对各类机构、各种组织能否使用生物识别技术,均以合法、公平、透明、目的限制、适当、必需、不过度、隐私侵入最小为基本要素和尺度,侧重于对数据处理“客观需要”和“必要性”的审查与评估。

第三,设置行政控诉制度,保护生物识别信息主体的各项信息保护权。欧盟GDPR或欧亚各国个人信息保护法,通常设置有数据主体向监管机构提出控诉的行政控诉权。GDPR明确规定行政控诉的主体为个人信息主体;控诉事由为数据处理者对其数据的处理违反相关法律规定;数据监管机构为行政控诉的受理者。行政控诉是保护个人生物识别信息权利的重要方式。目前能够查阅到的相关行政控诉案件,以2018年4月11日印度个人信息委员会于新德里审结的一起行政控诉案件[12]最为典型,其涉及对个人生物识别信息的访问权、可移植权的行政控诉救济,是个人的生物识别信息访问权、可移植权得到有效行政保护的范例。

第四,通过行政诉讼维护个人生物识别信息处理关系中各方当事人的合法权益,防止公权力滥用。数据处理者如果对监管机构的监管决定有异议,或者数据主体认为公权力机关违法处理其个人生物识别数据,均可以提起行政诉讼。目前此类行政诉讼案件在世界范围内尚不多见,较为典型的有北爱尔兰的最高法院于2015年5月13日审结的一起行政诉讼案件。[13]案件涉及英国警方是否有权长期保留罪犯的个人生物识别数据问题。最高法院(北爱尔兰)裁定英国警方的行为不违背数据处理的适当性原则。这表明,为司法、诉讼等处理个人生物识别数据是合规的,并不违背“适当性”原则。此外,印度马德拉斯(Madras)高等法院于2018年8月7日审结的“R. G. Eetha诉印度唯一身份认证管理局(UIDAI),印度政府,电子和信息技术部”[14]一案,也体现了对个人生物识别信息纠正权的司法保护。

(二)个人生物识别信息的民事法律保护机制

早在“108协议”及95/46/EC中,就规定了各国需在国内法中明确“赔偿”的权利救济方式。[15]目前,欧盟GDPR已经明确“个人数据保护权”是自然人的一项基本自由和权利,而保护“个人数据保护权”的法律机制之一即民事损害赔偿的权利救济方式。

第一,索赔权与赔偿责任规范的设定,是个人生物识别信息民事权利保护的基本方式。自个人信息保护法产生以来,损害赔偿权及其责任以及民事诉讼救济即成为个人信息权利的民事法律保护机制。加拿大、韩国、新加坡、印度等国的个人信息保护法中均设置了损害赔偿的法律条款。[16]欧盟GDPR规定,数据主体对因数据处理侵权而造成的损害有权获得赔偿,数据控制者对因为数据处理而造成的损害应当承担损害赔偿责任,同时对集体诉讼以及共同侵权的责任分摊等问题也作了规定。通过对相关司法判例的研究,可以发现对生物识别信息处理的侵权损害赔偿多发生于劳动合同关系、商贸服务、社交娱乐活动以及对未成年人的生物识别信息的处理活动中。在新西兰惠灵顿就业法院审理的“OCS Ltd. v Service and Food Workers Union Nga Ringa Tota Inc”[17]一案中,法院充分考虑了雇主使用指纹扫描仪的合法性、适当性、必要性问题,员工对采集、储存、使用生物识别信息的知情权、同意权问题,劳动合同是否涵盖指纹计时内容,以及个人隐私权及其文化因素等问题。由此表明,对个人生物识别信息权利侵害的民事诉讼救济需要具体考虑各方面的复杂因素。

第二,特定损害赔偿条款及其诉讼救济途径的设置,是个人生物识别信息民事权利保护的重要路径。美国伊州BIPA对个人生物识别信息权利的保护以民事方式为主体,就特定赔偿金额的标准及诉讼路径进行专门规定。BIPA生效后以其为据而提起的数十起民事诉讼案件表明,其已成为个人生物识别信息民事权利保护的重要法律依据。但其中也反映出民事诉讼权利救济方式中存在的一些普遍问题。一是生物识别信息处理侵权行为通常属于“程序性违法”行为,例如控制者、使用者对生物识别信息的采集、储存、使用未履行通知、告知义务,侵害了数据主体的知情权、同意权,但这种违法行为并不一定对数据主体造成实际“损害”。二是对“损害”的认定存在困难,目前世界各国个人信息保护法对民事损害赔偿意义上的“损害”表述不一,有“权利损害”“实质损害”“直接遭受损失或损害”“物质损害”“非物质损害”等。[18]各国个人信息保护法通常并无“损害”认定标准的规定,例如美国联邦司法权力以美国宪法“第3条”为基石,第3条的内涵在于通过司法解决的争议必须有与违法行为具有因果关系的实质损害,通过司法可实现的民事诉讼中,最大的问题是如何确认侵害“知情权”“明示同意权”等“程序性权利”的“损害”事实和结果。许多诉讼请求因缺乏实质的、具体的、事实上的“损害”,达不到美国民法中关于侵害隐私权的“损害”程度而得不到法院支持。[19]仅仅用隐私权定义生物识别信息权利存在一定的缺陷,因为其法律属性复杂,难以从民法上找到损害赔偿的具体“损害”标准,使得其民事法律保护产生困难。

(三)个人生物识别信息的刑事法律保护机制

权利属性的不同会导致保护机制的差异,最终影响到“公民个人信息”能否被切实有效维护。[20]刑事法律保护机制是个人生物识别信息权利保护的最后防线,而各国立法将信息权视为个人基本权利,从公法上加以保护,促进了刑事法律保护机制的建立,表现为:

第一,“盗窃个人身份识别方法”罪的设置。美国1998年《防止身份盗窃及假冒法》规定“在没有合法授权的情况下,故意转移或使用识别他人的方法,意图实施、协助或教唆任何构成违反联邦法律的非法活动,或根据任何适用的州或地方法律构成重罪。”根据该法对“识别他人的方法”的“识别方法”进行定义,“‘识别方法’一词是指可单独使用或与任何其它信息结合使用以识别特定个人的任何姓名或号码。”[21]具体有三类:一是姓名、社会保障号码、出生日期、官方、国家或政府颁发的驾驶执照或身份证号码、外国人登记号码、护照号码、雇主或纳税人识别号码;二是独特的生物识别数据,如指纹、声纹、视网膜或虹膜图像,或其他独特物理表征;三是唯一的电子识别号码、地址或路由代码,或电信识别信息或接入设备。非法故意转移、使用生物识别信息用于违法活动的行为构成“身份盗窃”罪。美国2003年《身份盗窃处罚增强法》[22]又进一步将非法“占有”识别他人的方法规定为“身份盗窃”罪。

第二,非法处理“唯一标识”罪的设置。韩国2011年《个人数据保护法》规定了非法处理唯一标识罪。所谓“唯一标识”即“当数据主体打算通过互联网主页获得会员资格时,符合总统令规定标准的个人信息处理者应当提供一种允许其成员不使用居民登记号码即可进入的替代方式。”[23]韩国个人数据保护法对“非法处理唯一标识的人”的罪行与刑罚的规定,属于对非法处理个人生物识别信息的罪刑规定。

第三,“非法获取、转让或出售敏感个人数据”罪的设置。印度2018《个人信息保护法(草案)》规定,任何人违反个人数据保护法的规定,故意或鲁莽地单独或与他人共同违反该法规定构成犯罪。具体表现为取得、披露个人敏感信息或将敏感的个人资料转让、出售或要约出售给他人,由此对数据主体(data principal)造成损害的,应处以不超过5年的有期徒刑或最高可达300万卢比或两者兼有的罚款。在印度个人数据保护法中,生物识别信息属于特殊敏感种类数据,因此,非法获取、转让或出售个人生物识别信息的行为构成犯罪。

上述规定,体现了对个人生物识别信息的刑法保护。生物识别信息权利并非单纯是民事上的个人隐私权利问题,事实上对个人生物识别信息权利的刑法保护,对日逾泛滥的侵犯个人生物识别信息权利的行为是必不可少的法律预防与制裁措施,需要从公法上严格加以保护。

总体而言,个人生物识别信息是个人身份识别的“唯一标识”,是个人数字身份的重要组成部分,与自然人的各项权利密切相关,并非仅仅关涉民法上的隐私权、人格权或者身份权,而是与通过个人生物识别信息“确认”或“被确认”身份的个人的一切权利有关。目前,世界范围内尚未形成关于个人生物识别信息权利保护的理论体系,但随着个人生物识别信息法律属性的逐渐明确和各国相关立法与司法实践的不断深化,对个人生物识别信息的法律保护既需公法保护,也需私法保护的立法意识会逐渐增强。从公法和私法的不同层面对这一新兴权利进行法律保护,构建行政法制、民事法制、刑事法制相结合的法律保护机制,必将成为个人生物识别信息法律保护的基本路径和发展方向。可以明确的是,确立个人信息权的宪法权利地位,建构“三大机制”相结合的个人生物识别信息权利保护机制,当是个人生物识别信息法律保护的必由之路。

三、我国个人生物识别信息法律保护的路径与对策

生物识别技术在我国广泛应用,在带来方便、快捷、高效的个人身份识别方法的同时,也带来了巨大的社会风险。我国虽然在《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》等法律和规范中,对个人信息的保护做出一些原则性规定,并将“个人生物识别信息”列入“个人信息”,但这些法律和规范也存在一些问题。比如,对生物识别信息的法律属性、功能、作用无明确界定;缺乏监管生物识别信息处理的法定机构;保护生物识别信息的法律原则以及权利义务责任的规定不够明确;对生物识别信息处理行为尚无明确法律规制;对信息主体的权利救济尚缺乏相应法律机制等。目前,各地“智慧校园”建设中的人脸识别进校园、进课堂以及换脸APP “ZAO”的一夜爆红等现象引发的个人隐私风险、信息安全、支付风险等问题,正与上述缺陷有关。因此,立足国情,充分借鉴域外立法经验,构建相应法律保护机制已成当务之急。

(一)选择适当的立法模式

我国个人生物识别信息保护法的建构,应当汲取现有两大立法模式的共性,同时还应尽可能克服不同立法模式存在的不足,在立法目的、法律框架、法律内容、法律保护措施上扬长避短。就我国目前生物识别技术的应用,生物识别信息的处理以及生物识别信息保护的现状来看,宜采取专门立法的保护模式。

目前,我国对个人生物识别信息的使用,除国家安全、公共安全、法律事项之必需外,主要被较大规模用于金融交易的自助服务,企业、住宅的安全保护和管理,政务、商业、贸易安全服务等领域,其中的信息处理者良莠不齐,无论是生物识别技术设备的安全性能,还是应用过程中对个人生物识别信息的处理方式均存在极大的安全隐患。同时这一方面存在严重的监管缺失,对各类机构、组织采集、存储、使用、保管、披露、销毁个人生物识别信息的行为缺乏法律规制,权利义务责任关系不明。[24]个人生物识别信息的保护主要依赖于一些网络公司的行业倡议和行业自律。[25]这与个人生物识别信息安全、权益保障的迫切需要极不相称,其法律保护的重心当是民用、商用过程中的个人生物识别信息安全以及个人权利。鉴于目前尚难以出台一部规范详备、内容完整、既具中国特色又与国际接轨的个人信息保护法,但对于生物识别信息处理的规制以及信息主体权利的保护又尤为迫切,因此我国可制定专门性的个人生物识别信息保护法。该法当重点规制法人、非法人以及各种社会组织对个人生物识别信息的处理行为,保护个人生物识别信息保护权。

个人生物识别信息保护专门立法,具有立法目的明确,特定法律概念体系完整,法律关系的特定主体及其权利义务关系清晰,规范详备,标准细致,针对性、操作性强等优点,适合我国目前个人生物识别信息法律保护的现实需要,是较为适当的立法保护模式。当然,在具体立法中,还应当融入综合保护模式中的一般法律原则,监管措施以及多层法律保护机制等内容,以克服国外专项保护立法存在的保护措施单一、保护机制不全等问题。

(二)创制完备的法律规范

专门立法保护个人生物识别信息,需要结合两种立法模式的共性,针对我国的现实需要,创制较为完备的具有侧重性、针对性、可操作性的法律规范,可以归纳为以下五类:

第一,立法宗旨及法律原则类。需要通过规范性的法律条文阐明保护个人生物识别信息权利与促进经济发展、社会进步以及生物识别技术新业态的健康发展相结合的立法宗旨,明确个人生物识别信息保护的合法、公平、透明、准确、适度、数据最小化、隐私侵入最小、安全保密、问责制等一般法律原则,以及禁止处理、明示同意、法定必需等特别原则。

第二,核心概念类。概念的明确关系法律规范体系的构成以及立法逻辑。因此,我们需要对“生物识别信息主体”“生物识别信息处理”“明示同意”等关键性概念进行明确定义。需要明确生物识别信息作为个人身份“唯一标识”的法律属性、功能、作用、种类以及“生物识别信息”形成的特定技术内涵。

第三,生物识别信息处理的法律限定条款类。其中就应当包括禁止处理条款、自决处理条款、法定必需处理条款。还应当包括信息处理主体资格限定条款、处理方法限定条款、使用范围限定条款、处理条件限定条款、安全标准限定条款等。

第四,生物识别信息处理关系中的权责类条款。生物识别信息主体的权利方面,应当包括一般权利和特殊权利,前者诸如知情权、访问权、移植权、更正权、删除权等。后者应当包括“明示书面同意权”“合理拒绝权”“使用选择权”等。生物识别信息处理方的权利也应当得到保障,当设计出对合法合规处理数据的当事人一方的权利保障条款,这一点在国外的立法中比较薄弱。需明确数据管理者、控制者合法合规处理数据,接受法定监管机构监管,适当的安全保障措施,保障数据主体利益最大化等法律义务。

第五,具体保护措施类条款。应对个人生物识别信息法律保护的行政监管机构、监管的范围、内容、原则、方式以及行政救济措施、民事诉讼和刑事犯罪条款等作出明确规定。

(三)构建完整的法律保护机制

结合两种模式的共性与特点,我国应当由行政法律、民事法律和刑事法律共同构建个人生物识别信息的法律保护体系。

就行政法律保护而言,我国虽成立了“网信办”“国家信息中心”等机构,一些省份还设置了“大数据局”,但这些机构并不具有法律意义上数据保护监管机构的地位、属性、职能和权力。我国需要立法设置国家层面的数据保护监管机构,其名称可为“国家数据保护局”,并于地方设置下级机构,国家及地方数据保护机构中可设置“生物识别信息保护监管处”和受理行政控诉的“数据保护委员会”。应明确监管机构对各种实体数据处理行为的审查权、许可权、调查权、检查权、命令权和司法介入权,以及纠纷调处权,受理控诉、申诉权。

就民事法律保护而言,我国需要建立个人生物识别信息权利损害的民事诉讼救济机制。鉴于世界各国个人信息保护法对民事损害赔偿之“损害”认定存在一定的模糊性,我国立法当充分考虑侵害生物识别信息权利的“程序性违法”,“损害”认定困难以及侵权行为的“类损害”等特点,明确侵害生物识别信息权利的“损害”认定与赔偿标准。需要充分沟通与民法典所规定的隐私权、人格权、身份权、财产权的相互关系,厘定个人生物识别信息的权利属性,完善相关民事诉讼损害赔偿的举证原则与责任制度、类诉讼制度等。

在刑事法律保护方面,我国可考虑设立“盗窃个人身份罪”或“侵害个人身份唯一标识罪”等,将在没有合法授权的情况下,故意转移、占有或使用识别他人的方法,意图实施、协助或教唆任何构成违反国家法律的非法活动的行为定义为“身份盗窃罪”,设置较重的量刑幅度。需要明确定义“身份识别”方法,明确生物识别信息作为身份识别“唯一标识”及识别方法的法律属性,将“盗窃生物识别信息”定义为“盗窃身份标识罪”的一种表现形式。此外,还需要将买卖、出售、交易、非法接收个人生物识别信息,以营利为目的转移、占有、交易个人生物识别信息的行为定义为“侵害个人唯一标识罪”等。

四、结语

       个人生物识别信息的法律保护既是全球性问题,也是中国问题,其立法保护任重而道远。在世界范围内,一些国家已积累了较丰富的立法和司法经验,对于我国个人生物识别信息的法律保护具有重要的借鉴意义。应从实际出发,按照法治思维,[26]汲取国外经验,创新性地建立和完善我国个人生物识别信息保护立法,尤其需要跳出隐私权保护的思维定式,通过行政、民事、刑事法律措施的综合配套机制保护个人生物识别信息。生物识别技术正在全方位改变着我们的社会管理、社会治理以及人们在网络空间中的生存状态,只有实现保障个人相关权利、数据自由流通与国家利益、公共利益、社会利益之间的平衡,才能使这一技术健康发展,更好地建设法治秩序和提升人民福祉。


注释: 

*本文系国家社科基金重大项目“全面推进依法治国与全面深化改革关系研究”(项目号14ZDC003)的阶段性研究成果。

[1]20世纪末随着计算机技术的发展,公共机关开始开发和应用个人数据,通过计算机匹配程序处理个人数据。出于对这一自动化技术应用可能侵害个人隐私权利的担忧,美国在1974年通过《隐私权法》(Privacy Act),旨在规范各类“机关”应用计算机自动化程序处理个人信息的行为以保护个人隐私权益。随后,美国于1986年出台《电子通讯隐私法案》(Electronic Communication Privacy Act),1988年制定《电脑匹配与隐私权法》(Computer Matching and Privacy Law)及《网上儿童隐私权保护法》(Children’s Online Privacy Protection Act)。

[2]参见腾讯网络安全与犯罪研究基地:《“数据安全治理观察” No.3——数据立法热点跟踪》,来源:http://www.sohu.com/a/311244149_786964,2019年4月30日访问。

[3]See San Francisco Becomes First City In US To Ban Facial Recognition Software, Source: https://www.geili.us/science/sanfrancisco-becomes-first-city-in-u-s-to-ban-facial-recogn, May 15, 2019.

[4]An Act establishing a moratorium on face recognition and other remote biometric surveillance systems. SENATE DOCKET, NO.671, FILED ON:1/15/2019, The Commonwealth of Massachusetts, In the One Hundred and Ninety-First General Court (2019-2020).

[5]Biometric Information Privacy Act. Public Act 095-0994, SB2400 Enrolled LRB09519768 KBJ 46142 b.

[6]参见欧盟2016年《一般数据保护条例》第4条第1款;日本平成三十年法律第八十号(改正)《個人情報の保護に関する法律》第2条;英国2018年《数据保护法案》第2条第2、3款。

[7]参见欧盟GDPR第4条第14款;英国2018年《数据保护法案》第184条;印度2018年《个人数据保护法(草案)》第3条第8款;日本平成三十年法律第八十号(改正)《個人情報の保護に関する法律》第2条第2款。

[8]参见欧盟GDPR第9条第2款第(b)至(j)项。

[9]这些规定在欧盟条例及各国的个人信息保护法中表现为繁琐而复杂的条款,囿于本文篇幅所限,准备另外撰文加以研究与阐述。

[10]See PVN-2006-07. PVN-2006-10. PVN-2006-11. PVN-2006-8. quoted in Yue Liu. The Principle of Proportionality in Biometrics: Case Studies From Norway Computer Law & Security Review, 2009, p.241.

[11]See PVN-2006-07. P.9; PVN-2006-09, p.4, Danish Data Inspectorate Decision of 26.11.2004 case 2004-219-0208.

[12]See Akshya Anil Bandodekar v Central Public Information Officer, Department of Electronics and IT (DEITY), Unique Identification Authority of India, New Delhi. Delivery Summary Central Information Commission NEW DELHI BENCH 11April 2018. Case No: Appeal No. CIC/MOCIT/A/2017/121912, Source of data: DB/OL: Westlaw Asia.

[13]See Gaughran’s Application for Judicial Review, Re Also known as: Gaughran v Chief Constable of Northern, Supreme Court (Northern Ireland), 13 May 2015, Source of data: DB/OL: Westlaw Asia.

[14]See R. G. Eetha v Unique Identification Authority of India (UIDAI), Government of India, Ministry of Electronics and Information Technology, engaluru, Madras High Court, 7 August 2018, W. P. No.3007 of 2018. Source of data: DB/OL: Westlaw Asia.

[15]参见欧洲理事会《有关个人数据自动化处理的个人保护协定》欧洲条约第108号(简称“108号协定”)第10条;1995年10月24日,欧洲议会委员会指示95/46/EC 《1995年个人数据保护指南》序言(55)条、22条、23条。

[16]参见加拿大2003年《个人信息保护法》第57条;韩国2011年《个人信息保护法》第39(1)条;印度2018年《个人数据保护法(草案)》第75(1)条。

[17]OCS Ltd v Service and Food Workers Union Nga Ringa Tota Inc, Employment Court, Wellington, WC15/06, WRC9/06, 2006ERNZ 762, Source of data: DB/OL: Westlaw Asia.

[18]参见“108协定”第10条;95/46/EC第23条;加拿大2003年《个人信息保护法》第57条;新加坡2012年《个人数据保护法》第32条等对“损害”的相关规定。

[19]See Lindabeth Rivera and Joseph Weiss, on behalf of themselves and all others similarly situated, Plaintiffs, v. GOOGLE INC. Defendant. United States District Court, N. D. Illinois, Eastern Division. No.16 C 02714,Signed 02/27/2017; Nimesh PATEL, et al., Plaintiffs, v. Face Book INC. Defendant United States District Court, N. D. California. CaseNo.3:15–cv–03747–JD. Signed 02/26/2018; Hadit SANTANA, Plaintiff, Vanessa Vigil Ricardo Vigil, Plaintiffs-Appellants, v. Take-Two Interactive Software, INC. Defendant-Appellee. United States Court of Appeals, Second Circuit. No.17-303, November 21, 2017. Source of data DB/OL: Westlaw.

[20]参见于志刚:《“公民个人信息”的权利属性与刑法保护思路》,载《浙江社会科学》2017年第10期。

[21]Identity Theft and Assumption Deterrence Act . As amended by Public Law 105-318, 112 Stat.3007(Oct.30, 1998) of U. S. A§ 003. Identity Theft (d)(3).

[22]PUBLIC LAW 108-275-JULY 15, 2004,Public Law 108-275108th Congress.

[23]韩国2011年《个人数据保护法》第24条第2款。

[24]例如,日前对南京某高校试行教室人脸识别所引发的争议,解决方式是教育部等八部门发布关于引导规范教育移动互联网应用有序健康发展的意见,而不是国家层面的个人生物识别信息保护法律依据以及数据保护法定机构的监管。参见《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》(教技函[2019]55号),来源:http://www.gov.cn/zhengce/2019-09/05/content_5427554.htm, 2019年9月5日访问。

[25]参见汪子旭:《支付宝发布国内首个〈生物识别用户隐私与安全保护倡议〉》,载《经济参考报》2019年8月7日。
       
[26]陈金钊:《法学意义上的法治思维》,载《国家检察官学院学报》2017年第6期。


作者简介:付微明,中国政法大学刑事司法学院博士研究生。

文章来源:《华东政法大学学报》2019年第6期。

敬请关注
博雅公法