2021年6月17日《中华人民共和国民法典》(以下简称《民法典》)第1034条首次明确将个人生物识别信息纳入个人信息的保护范畴,这是法律对人格权保护的重要扩展。个人生物识别信息包括基因、指纹、声纹、掌纹、耳郭、虹膜、面部识别特征等。它所具有的唯一性、复杂性和不可更改性等特点,可以确保在主体识别和认证方面的安全可靠。目前,结合5G、大数据、云计算等技术,个人生物识别信息的应用已经涉及社会治理和社会生活的许多领域。但个人生物信息独特而强大的识别属性也使其能直接关联信息主体的人格权益,一旦被泄露、滥用,将造成巨大的损失,因此有必要加以保护。
第一,个人生物识别信息应用对信息主体人格权益的影响。
首先,生物识别信息与主体的人格特征密切关联,属于个人敏感信息,其收集和利用涉及主体的个人信息权利的行使,包括知情权、选择权和同意权等。实践中,许多应用软件在自动激活智能设备的摄像头、话筒时未作特别提示,反而是采取非公开透明的方式采集人脸、声纹等个人生物信息,无论是有意还是无意,这都违反了个人信息保护领域公认的“知情同意”原则,损害了信息主体的知情权。而一些企业仅以“公开声明”或“勾选同意”的方式要求收集所有个人信息,看似符合透明性要求,实际上却忽视了生物识别信息的敏感性和重要性,未做到“单独征求同意”。有些企业将生物识别信息的收集与消费、软件应用等捆绑,迫使公众主动放弃对信息的掌握和保护,这显然是对信息主体“选择不参加”权利的剥夺。
其次,个人生物识别信息的智能应用可能直接或间接地影响信息主体的人格平等。生物识别技术虽能极大地提高社会运行效率,但其智能化基础也现实地加剧了社会公众之间的不平等。那些无法使用智能设备或生物信息无法为智能设备所识别的个体,就可能享受不到相关的便利、安全,因此产生新的社会歧视或不公正,这种问题在社会治理领域发生较多。此外,个人生物识别信息的过度收集使用也会导致身体的信息化,并引发危害人格尊严的问题。例如,有的地方曾表示,未来将建立地铁“白名单”,依托人脸识别系统对乘客进行判别,对不同乘客采取不同的安检措施。这种人为的“分类”“分等”会否造成对特殊乘客的人格歧视,值得思考。
最后,个人生物识别信息的泄露或滥用可能损害信息主体隐私权、肖像权、名誉权等人格权益。实践中生物识别技术的研发和应用发展迅速,一方面,人们对便利性的追求容易导致其选择性低估或忽略风险;另一方面,制度的滞后和缺失也不利于规范与约束商业利益群体的利益追求。由此导致的后果是信息主体的权利得不到足够的重视,尤其在信息被收集之后,权利主体对其应用、存储、编辑、转让及删除等环节都无法掌控,导致个人生物信息泄露、身份冒用、隐私受损的情况屡见不鲜。相较于姓名、电话、住址等个人信息,生物识别信息的泄露和滥用造成的危害显然要大得多。所谓“深度伪造”和“AI换脸”等问题就曾经引发社会公众对自己隐私权、名誉权、肖像权、荣誉权受侵害的普遍担忧。
第二,加强保护生物识别信息主体人格权益相关法制建设。
技术的发展是把双刃剑,信息主体在越来越多的领域享受生物识别信息带来的福利的同时,对自身的保护能力却在逐渐减弱甚至消失。因此,完善相关法制建设,强化安全保障和权利保护显得尤为迫切。
首先,明确规范个人生物识别信息商业应用的界限。公共政策和社会治理领域对个人生物识别技术的应用由来已久,如智慧城市建设、天网系统、指纹数据库等。商业领域对生物识别信息的应用近些年来才得以勃发。从我国技术创新和经济发展的实践来看,有必要积极、理性认识个人生物识别技术,给予其进入商业应用领域的机会,以服务于人类和社会。当然,鉴于生物识别信息相较于其他个人信息更加敏感,也需要更好的保护策略。对个人生物信息的收集和处理既可能是出于公共目的也可能是出于商业目的,在立法上有必要对二者进行区分,明确信息主体个人的权利保护优先于生物识别信息的商业利用。在确定商业应用的范围时,应充分评估个人生物识别信息应用的收益和风险,遵循“最小必要”原则,只允许商业企业收集、处理满足信息主体授权同意的目的所需的最少个人信息类型和数量。同时,采取措施确保多元认证方式并存,避免将个人生物信息作为解决认证或识别问题的唯一途径,以平衡信息主体知情、选择的权益和企业技术创新的需求。
其次,明确个人生物识别信息保护的法律基础是个人信息权。目前各国对个人生物识别信息保护的立法定位角度不同。美国的做法是将个人信息的保护依附于隐私权法律制度。欧盟对个人生物识别信息的保护更侧重于公民的个人数据权利。欧盟法院对Michael Schwarz v.Stadt Bochum一案的判决体现出,其认为以指纹为代表的个人生物识别信息应被视为公民的宪法性权利,需受到特别的法律保护。我国现有法规对个人生物识别信息的保护是针对不同违法行为后果,分别采取相应的保护措施。如面部信息等外部形象属于肖像,受到肖像权的保护,而非法采集个人生物识别信息的行为则可能构成对隐私权的侵害,适用隐私权保护的规定。这种区分式的保护虽然覆盖了个人生物识别信息应用的各个环节,但在某种程度上加大了信息主体的维权难度。因此,立法上有必要适应个人生物识别信息应用的快速发展,将个人信息权与隐私权、肖像权等分离,推动完善对个人生物识别信息的保护。
再次,明确政府和企业收集利用个人生物识别信息的各项具体规则。个人生物识别信息的敏感度高、私隐性强,它的应用场景往往对信息主体的人身或财产权益有着重大影响,所以在收集、存储、加工、转让、公开披露等各个环节均需谨慎对待。为了满足个人生物识别信息保护方面的特殊需求,除了要遵守《民法典》第1035条关于个人信息处理一般原则的规定外,还可以执行《信息安全技术个人信息安全规范》(2020年版)(以下简称《规范》)的规定。《规范》明确规定对生物识别信息要求适用个人敏感信息特殊保护规则,具有极强的可操作性,具体规则包括信息收集的“单独告知+取得明示同意”双重要求、共享转让时的再次告知同意、信息和摘要分别存储、严禁公开披露个人生物识别信息等。为使这些特殊保护规则能够获得法律上的强制效力,有必要围绕保障信息主体权利并促使企业合理利用信息的立法目的,将上述推荐性国家标准纳入个人生物识别信息保护相关法律制度设计中。
又次,明确个人生物识别信息应用主体的法律义务和责任。对信息应用主体的规范路径涉及两个方面:一是对生物信息识别技术的监管。现代智能技术不再是人与世界的中立介质,而是一个具有自主性的系统。为应对技术系统的负面影响、规避技术风险,在呼吁创新研发者遵循技术伦理的同时,还应当明确其法律责任。生物信息识别技术的研发人员应当确保其撰写的算法客观中立,应用过程公开透明,对其中可能涉及损害他人权益的部分要说明其必要性或正当理由。二是对生物识别信息应用企业的要求。个人生物识别信息的泄露或超目的使用影响的可能是信息主体的财产权益,也可能是人身权益,或是二者兼具。其损害后果可能是现实的,也可能是潜在的,比其他信息或数据更为严重。掌握大量信息的企业应当具备与所面临的安全风险相匹配的管理能力,保护信息的私密性、完整性和可用性。在侵权责任认定方面,对过错、损害后果的认定以及归责原则适用等,都有必要作出更为具体明确的规定。
最后,提高对个人生物识别信息的司法救济标准。技术创新也伴随一定的安全缺陷。在难以完全规避信息丢失或被盗风险的情况下,法律有必要规定适当的风险弥补措施,以便为信息主体提供及时有效的救济。一方面,在发生个人生物识别信息泄露事件时,信息控制者必须履行安全事件告知义务,以防止损失发生或扩大;另一方面,信息主体或控制者应当有权向法院申请“禁制令”或“强制令”,要求信息非法获得者彻底永久删除个人生物识别信息,禁止其以任何形式存储或利用个人生物识别信息。可能此时信息主体的权益尚未受到实质损害,但这种具有预防功能的司法救济措施显然是与个人生物识别信息的唯一性和不可更改性相适应的更高保护标准,其必要性不言而喻。(文章来源:安知讯,作者单位:福建师范大学法学院)
