程嘯

【關(guān)鍵詞】個(gè)人信息? 生物識別信息? 法律保護(hù)? ? 【中圖分類號】D92? ? 【文獻(xiàn)標(biāo)識碼】A

個(gè)人生物識別信息，也稱生物識別信息，簡單地說，就是可以直接或間接識別特定自然人的，以自然人的生理特性與行為特征為內(nèi)容的信息，如自然人的臉部特征、指紋、虹膜、聲音、基因、步態(tài)、筆跡等。個(gè)人生物識別信息與自然人的姓名、出生日期、身份證件號碼等信息同屬于個(gè)人信息。在現(xiàn)代社會，個(gè)人信息的收集與處理對于網(wǎng)絡(luò)信息科技尤其是人工智能、大數(shù)據(jù)技術(shù)的發(fā)展，乃至整個(gè)數(shù)字經(jīng)濟(jì)的健康發(fā)展，至關(guān)重要。要在確保信息流動與合理利用的同時(shí)，有效地加強(qiáng)個(gè)人信息保護(hù)。

現(xiàn)代社會中收集與處理個(gè)人信息的特點(diǎn)及其風(fēng)險(xiǎn)

現(xiàn)代社會是信息社會、網(wǎng)絡(luò)時(shí)代。網(wǎng)絡(luò)信息科技的發(fā)展，使得能夠被收集的個(gè)人信息越來越廣泛。除了姓名、身份證號碼、家庭地址、電話號碼等傳統(tǒng)的個(gè)人信息之外，個(gè)人生物識別信息（如指紋、人臉、虹膜等）、行蹤信息、網(wǎng)絡(luò)賬號等新型的個(gè)人信息也越來越多地被收集和處理。甚至一些其本身不足以識別特定自然人的信息，如愛好、習(xí)慣、興趣、性別、年齡、職業(yè)等，由于算法技術(shù)的發(fā)展，將之與其他信息結(jié)合后也能識別出特定的自然人，故此這些信息也成為非常重要的個(gè)人信息而被收集和處理。

不僅如此，現(xiàn)代社會收集與處理個(gè)人信息的方式也發(fā)生了巨大的變化。以往對個(gè)人信息的收集方式是由自然人主動提交，政府、企業(yè)等主體收集后手工記載在紙質(zhì)文檔或錄入電子檔案中加以存儲。這種情形中，不僅信息收集的效率、數(shù)量和范圍有限，而且由于缺乏相應(yīng)的算法技術(shù)與足夠的算力，也難以對其進(jìn)行高效地分析利用。然而，現(xiàn)代網(wǎng)絡(luò)信息技術(shù)已將現(xiàn)代社會生活高度數(shù)字化（或數(shù)據(jù)化），無處不在的攝像頭、Cookie技術(shù)和各種傳感器可以自動地收集與存儲個(gè)人信息。這種個(gè)人信息被大規(guī)模、自動化地收集和存儲的情形變得越來越普遍，幾乎無處不在、無時(shí)不在。

每天通過各種自動化技術(shù)收集來的無數(shù)自然人的個(gè)人信息匯集成為海量的個(gè)人數(shù)據(jù)。飛速發(fā)展的人工智能技術(shù)也使得對海量數(shù)據(jù)的分析與使用變得更加簡便高效且用途越來越廣泛。因此，個(gè)人信息被濫用的可能性被極大地增加了，由此產(chǎn)生的侵害自然人民事權(quán)益的風(fēng)險(xiǎn)也不斷升高。例如，各種網(wǎng)絡(luò)平臺通過分析和利用海量的個(gè)人信息，對目標(biāo)群體做人格畫像，實(shí)施精準(zhǔn)營銷，甚至行為操縱，可能嚴(yán)重危害自然人的人格尊嚴(yán)，妨害人格的自由發(fā)展。更嚴(yán)重的是，對于包含個(gè)人生物信息等敏感信息在內(nèi)的海量數(shù)據(jù)，如果保管不善而被泄露甚至被非法出售或利用，就會出現(xiàn)犯罪分子利用這些非法取得的個(gè)人信息對受害人進(jìn)行精準(zhǔn)詐騙或者實(shí)施其他違法犯罪行為的問題。

我國法律對個(gè)人信息收集與處理的規(guī)范

在我國，包括生物識別信息在內(nèi)的個(gè)人信息的法律保護(hù)經(jīng)歷了一個(gè)“從無到有”，“從刑法保護(hù)為主到公法與私法并重”的發(fā)展歷程。2005年十屆全國人大常委會第十四次會議通過的《中華人民共和國刑法修正案（五）》中增設(shè)的“竊取、收買、非法提供信用卡信息罪”（第177條之一第2款），是我國法律上第一個(gè)關(guān)于侵害公民個(gè)人信息犯罪的法律規(guī)定。2009年十一屆全國人大常委會第七次會議審議通過的《中華人民共和國刑法修正案（七）》新增第253條之一，首次將竊取或以其他方式非法獲取公民個(gè)人信息、出售或非法提供公民個(gè)人信息的行為情節(jié)嚴(yán)重的規(guī)定為犯罪行為，進(jìn)而納入刑事打擊的范圍。2012年《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》對網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位、國家機(jī)關(guān)及其工作人員在收集、使用、保管公民個(gè)人電子信息中應(yīng)當(dāng)遵循的原則、承擔(dān)的義務(wù)及法律責(zé)任作出了具體的規(guī)定。在此基礎(chǔ)上，2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》第76條第5項(xiàng)明確地界定了個(gè)人信息的涵義，并首次明確地將生物識別信息納入個(gè)人信息當(dāng)中，給予相應(yīng)的保護(hù)。

2013年十二屆全國人大常委會第二次會議修訂《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》時(shí)，在原第14條中新增了消費(fèi)者“享有個(gè)人信息依法得到保護(hù)的權(quán)利”，并在第50條就侵害該權(quán)利的民事責(zé)任作出了規(guī)定。這是我國法律首次從民事權(quán)利的角度對個(gè)人信息作出的規(guī)定。2017年10月1日起施行的《中華人民共和國民法總則》第111條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?！贝送猓摲ǖ?27條還規(guī)定：“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的保護(hù)有規(guī)定的，依照其規(guī)定?！?/p>

2020年5月28日第十三屆全國人民代表大會第三次會議通過的《中華人民共和國民法典》（以下簡稱《民法典》）對個(gè)人信息保護(hù)作出了詳細(xì)的規(guī)定?！睹穹ǖ洹返?034條第2款在界定個(gè)人信息時(shí)，明確地將“生物識別信息”作為個(gè)人信息的一類?！睹穹ǖ洹返谒木帯叭烁駲?quán)”不僅在第一章“一般規(guī)定”和第五章“名譽(yù)權(quán)和榮譽(yù)權(quán)”中分別就個(gè)人信息的合理使用（第999條）以及信用信息的更正、刪除和處理（第1029-1030條）等作出了規(guī)定，還專門在第六章“隱私權(quán)與個(gè)人信息保護(hù)”中，使用六個(gè)條文（第1034條至第1039條），對個(gè)人信息處理的涵義、私密信息的法律適用、個(gè)人信息處理的原則與合法性要件、侵害個(gè)人信息的免責(zé)事由、個(gè)人信息權(quán)益的具體內(nèi)容、保護(hù)個(gè)人信息安全的義務(wù)以及國家機(jī)關(guān)、承擔(dān)行政職能的法定機(jī)構(gòu)及其工作人員對個(gè)人信息的保密義務(wù)等重大基本問題作出了詳細(xì)的規(guī)定。

總的來說，就當(dāng)前社會公眾高度關(guān)注的個(gè)人生物識別信息的保護(hù)而言，我國《民法典》提供了多重保護(hù)方法：一是對于自然人的臉部特征等在一定載體上所反映的特定自然人可以被識別的外部形象，因其屬于肖像，故此受到作為人格權(quán)的肖像權(quán)的保護(hù)（第1018條）。任何組織或者個(gè)人不得以丑化、污損，或者利用信息技術(shù)手段偽造等方式侵害他人的肖像權(quán)，未經(jīng)肖像權(quán)人同意，任何組織或者個(gè)人不得非法制作、使用、公開肖像權(quán)人的肖像（第1019條）。二是如果對自然人人臉等生物識別信息的采集的是偷拍偷錄等方式，則該行為構(gòu)成侵害隱私權(quán)?！睹穹ǖ洹返?033條明確禁止任何組織或者個(gè)人在未經(jīng)權(quán)利人的明確同意或者法律另有規(guī)定的情形下，拍攝、窺視、竊聽、公開他人的私密活動，拍攝、窺視他人身體的私密部位，處理他人的私密信息。三是對自然人的聲音，明確規(guī)定應(yīng)參照適用肖像權(quán)保護(hù)的有關(guān)規(guī)定給予保護(hù)（第1023條第2款）。四是對于生物識別信息，如果屬于私密信息的，則適用有關(guān)隱私權(quán)的規(guī)定;沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定（第1034條第3款）。依據(jù)《民法典》第1035條和第1036條，任何組織或者個(gè)人處理自然人的個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，做到既合法又合理。所謂合法，就是指要征得該自然人或者其監(jiān)護(hù)人同意，同時(shí)要公開處理信息的規(guī)則，明示處理信息的目的、方式和范圍，且不違反法律、行政法規(guī)的規(guī)定和雙方的約定。所謂合理，就是指即便合法處理個(gè)人信息的行為也必須是合理實(shí)施的行為，符合比例原則的要求?！睹穹ǖ洹返?035條第2款還明確規(guī)定了個(gè)人信息處理的涵義，即包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開等。

法律應(yīng)當(dāng)嚴(yán)格保護(hù)個(gè)人生物識別信息

雖然個(gè)人生物識別信息屬于個(gè)人信息，但其又具有不同于其他個(gè)人信息的特殊之處，這就決定了法律應(yīng)當(dāng)更加嚴(yán)格地保護(hù)個(gè)人生物識別信息。這個(gè)特點(diǎn)就是人臉等生物識別信息具有唯一性，無法或很難更改。自然人的姓名、手機(jī)號碼、郵箱賬號、銀行賬號等個(gè)人信息，比較容易進(jìn)行更改，但是，個(gè)人生物識別信息要更改，則非常困難。比如，要改變一個(gè)人的臉部特征，就只能進(jìn)行整容（即便整容，臉部大部分特征仍會被機(jī)器識別）。不僅如此，很多生物識別信息如指紋、掌紋、虹膜、基因信息等，則幾乎不可能更改。這就意味著，個(gè)人生物識別信息一旦被非法收集、泄露或者被非法買賣之后，不僅對于自然人的人身、財(cái)產(chǎn)安全會產(chǎn)生很大的威脅或不可預(yù)測的損害，而且自然人也無法像修改手機(jī)號碼、郵箱或銀行賬號等那樣來預(yù)防后續(xù)損害的發(fā)生。因此，個(gè)人生物識別信息的泄露和非法買賣所產(chǎn)生的危險(xiǎn)是持續(xù)、長久、難以消除的。不僅如此，個(gè)人的生物識別信息還涉及到國家安全，如果我國公民的個(gè)人生物識別信息被大規(guī)模收集并提供給敵對勢力，勢必會對我國的國家安全產(chǎn)生嚴(yán)重的危害。故此，個(gè)人生物識別信息即便是被合法收集的，有關(guān)組織或個(gè)人對之也要采取高度的注意義務(wù)加以保管，以防止被泄露或被非法處理，否則，由此造成的惡果不堪設(shè)想。

除了唯一性之外，個(gè)人生物識別信息中人臉信息還具有一個(gè)特殊性，即不需要經(jīng)過自然人主動配合就可以被收集。人臉之外的其他生物識別信息必須得到自然人的同意并配合才能收集，而在網(wǎng)絡(luò)上收集個(gè)人信息也需要得到自然人的同意。只要自然人不去下載安裝相應(yīng)的軟件或給予同意，其個(gè)人信息往往就無法被自行收集。故此，對于這些個(gè)人信息加以保護(hù)的一個(gè)重要方法就是，通過確立告知同意規(guī)則，要求信息收集者必須得到被收集個(gè)人信息的自然人同意，就可以在很大程度上保護(hù)個(gè)人信息。例如，要求通過APP收集個(gè)人信息的網(wǎng)絡(luò)服務(wù)提供者，必須在軟件程序中嵌入收集個(gè)人信息的告知同意程序，有關(guān)監(jiān)管機(jī)構(gòu)不定期的抽查、測評相應(yīng)的APP，就能夠相當(dāng)程度上預(yù)防個(gè)人信息被非法收集，從源頭上遏制違法收集、處理個(gè)人信息的行為。然而，對于人臉這一生物識別信息的收集而言，遍布大街小巷、商場、銀行等機(jī)關(guān)企事業(yè)單位的各式各樣、大大小小的攝像頭，完全可以不經(jīng)過自然人的同意對之進(jìn)行錄像拍攝。這種收集還具有極大的隱秘性，自然人可能完全不知道其人臉信息在何時(shí)何地被何種主體所收集。現(xiàn)代社會中，一個(gè)自然人只要出門，這些信息就可能會被不斷地收集。

既然不需要自然人的配合，人臉信息就能夠被收集，因此《民法典》《中華人民共和國網(wǎng)絡(luò)安全法》等法律規(guī)定的告知同意原則實(shí)際上就無法落實(shí)。此時(shí)，勢必要求法律對于哪些組織或者個(gè)人，在哪些場合可以收集人臉等生物識別信息作出明確的規(guī)定，并明確禁止任何單位或個(gè)人隨意收集個(gè)人生物識別信息。令人遺憾的是，我國目前并無專門的法律對此作出規(guī)定。只有北京、山西等少數(shù)地方的政府規(guī)章就公共安全圖像信息采集的問題作出了規(guī)定。例如，北京市人民政府頒布的《北京市公共安全圖像信息系統(tǒng)管理辦法》規(guī)定了黨政機(jī)關(guān)等重要單位，人員聚集的公共場所，重要交通樞紐，重要城市基礎(chǔ)設(shè)施以及國家法律、法規(guī)規(guī)定的其他地點(diǎn)和區(qū)域等五類單位和區(qū)域應(yīng)當(dāng)安裝公共安全圖像信息系統(tǒng)。該辦法還規(guī)定，設(shè)置公共安全圖像信息系統(tǒng)，不得侵犯公民個(gè)人隱私;對涉及公民個(gè)人隱私的圖像信息，應(yīng)當(dāng)采取保密措施。正是由于缺乏明確的法律規(guī)定，實(shí)踐中各種收集處理人臉等生物識別信息的行為屢見不鮮。例如，有些高校在建設(shè)所謂“智慧校園”“智慧課堂”的時(shí)候，引入人臉識別、大數(shù)據(jù)采集，不僅校門、圖書館等安裝了新的人臉識別門禁，教室內(nèi)也裝上了用于考勤的人臉識別系統(tǒng)，學(xué)生發(fā)呆、玩手機(jī)都能被感知到。這也引發(fā)了不少質(zhì)疑。

綜上所述，在當(dāng)前我國加強(qiáng)對個(gè)人信息保護(hù)的背景下，無論從立法、執(zhí)法還是司法的角度，都應(yīng)當(dāng)高度重視對個(gè)人生物識別信息的規(guī)范與保護(hù)。當(dāng)前我國正在抓緊制定個(gè)人信息保護(hù)法、數(shù)據(jù)安全法，故此，非常有必要在這些法律以及將來配套的法規(guī)規(guī)章中對個(gè)人生物識別信息的收集、處理作出非常嚴(yán)格的規(guī)范。否則，不僅無法保證數(shù)字經(jīng)濟(jì)的健康發(fā)展，還會對廣大人民群眾人身、財(cái)產(chǎn)安全乃至國家安全產(chǎn)生巨大的危害。

（作者為清華大學(xué)法學(xué)院副院長、教授、博導(dǎo)，教育部長江學(xué)者青年學(xué)者）

【注：本文系國家社科基金重大項(xiàng)目“大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)權(quán)利體系研究”（項(xiàng)目批準(zhǔn)號：18ZDA146）的階段性成果】

責(zé)編/于洪清? ? 美編/楊玲玲