朱 徐 何 菲
作者單位:浙江農林大學文法學院
大數據時代下,得益于互聯網和人工智能技術的迅速發(fā)展,生物識別技術的應用場景不斷擴展。與此同時,個人生物識別信息安全問題不斷受到挑戰(zhàn)。如何規(guī)制個人生物識別信息侵權現象,有效加強生物識別信息保護,以滿足在大數據時代下人們對身份識別便捷性需求到安全性需求的轉變,成為一個亟待解決的問題。
生物識別信息作為用以現代身份識別的數學化信息,直接從人類本體中采集,體現人的行為特征和生理特征,并以二進制形式轉化為生物標識符存儲于計算機中。技術對數據的解碼能力不斷提升,大大降低了侵權成本。此外,網絡服務提供領域成為生物識別信息侵權高發(fā)地,網絡服務提供者對用戶個人生物識別信息進行不正當收集、存儲等侵權行為屢見不鮮。如“換臉App”ZAO所設置的用戶協議條款要求擁有對用戶上傳或發(fā)布內容的完全免費、不可撤銷、永久、可轉授權和可再授權的權利,完全超出了“正當、必要”的范圍。不僅如此,人工智能深度算法的進步如深度偽造,讓最低成本地濫用他人的生物識別信息,進而盜用他人的身份成為現實。技術的高超性與便利性、侵權的低廉性、行為的隱蔽性等都推動了生物識別信息侵權現象的高發(fā)性。
1.個人生物識別信息之侵權因果關系認定復雜
生物識別信息的采集、傳輸、存儲、使用、銷毀等諸多環(huán)節(jié)所涉及到技術的復雜程度,難以為一般個人生物識別信息所有者掌握,因此很難縷清生物識別信息侵權事件中的因果關系。尤其是復雜、不透明的算法黑箱的存在,使信息主體更加無從得知生物識別信息在這個算法黑箱中是如何被獲取和使用的。不僅如此,生物識別信息的采集、傳輸等多個環(huán)節(jié)的執(zhí)行者往往是多個信息執(zhí)行者的行為,當侵權行為出現時,這些信息執(zhí)行者與生物識別信息侵權的行為是否存在因果關系,也很難為被侵權人所知。生物識別信息侵權行為與損害結果之間因果關系認定的復雜,直接導致了被侵權人難以對實施侵權行為的行為者進行有效的追責。
2.個人生物識別信息之侵權損害事實難以認定
個人生物識別信息侵權案件不同于傳統(tǒng)的侵權案件,對損害事實和損害程度的判斷存在困難。當信息主體的生物對識別信息被侵權時,侵權損害結果的表現形式并不一定是有形的損害性,具體表現為對人身權或財產權的損害性,也可能是無形的損害性,具體表現為程序性違法的損害性。對于前者來說,在當事人無法充分舉證所受損害的情況下,法院往往依據事實推定損害事實,而對損害程度的認定標準沒有統(tǒng)一的標準。對于后者而言,程序性違法的表現形式為消極履行或不履行程序性義務,如告知義務、安全保障義務等。而程序性違法的侵權行為往往缺乏實際損害事實,這無疑加大了個人生物識別信息侵權損害事實的認定難度。在當前民事訴訟救濟模式下,由于生物識別信息侵權案件的損害事實難以認定的問題存在,很難充分保障被侵權者的民事救濟權利,也很難有效保護信息主體的生物識別信息。
美國目前在聯邦層面沒有統(tǒng)一的法律對個人生物識別信息保護進行規(guī)制,對生物識別信息的專門立法僅存在于州的層面。其中伊利諾伊州2008年通過的《生物識別信息隱私法》(BIPA),是唯一允許個人就違法行為造成的損害提起訴訟的法律。BIPA授權個人就私人企業(yè)對個人生物識別信息數據的侵權行為提起民事訴訟進行救濟,并規(guī)定了私人企業(yè)向受害者支付的金錢賠償標準,已成為美國個人生物識別信息民事侵權救濟保護的重要法律依據,但就法律責任的認定存有爭議。由于生物識別信息的侵權事件往往表現為侵權行為的同類型化,因而在美國多數生物識別信息侵權案件中,如Facebook集體訴訟、谷歌面部識別案等為使全體人員的權益能夠得到普遍的保護,被侵權人選擇集團訴訟而非個人訴訟進行民事權利的救濟。此外,侵權行為以程序性違法為主,對被侵權人的損害往往是無形的,不能為一般侵權要件之實際損害所包容,被侵權人也很難就侵權人所實施的程序性違法行為對自身造成的損害進行舉證。在美國司法實踐中,信息主體以BIPA為據進行個人生物識別信息民事侵權救濟、要求損害賠償時,因缺乏實際損害或不能舉證證明對自身是否產生實際損害而被聯邦法院駁回訴訟,如不同法院對六旗案是否應當受理的認定。BIPA雖然為個人生物識別信息的侵權提供了一定的民事賠償救濟途徑,但仍不能擺脫傳統(tǒng)民事侵權要件的束縛,解決生物識別信息程序性違法侵權行為的民事損害賠償權利救濟問題。
2016年通過的《一般數據保護條例》(GDPR),將多種類型的個人信息包括生物識別信息納入到統(tǒng)一的個人信息保護之下,適用于一部集行政、民事和刑事法律保護措施為一體的法律。GDPR明確“個人數據保護權”是自然人的基本權利和自由,認定生物特征數據屬于“特殊類別的個人數據”,對生物識別信息處理的適用范圍進行了嚴格的限制。同時,GDPR規(guī)定信息主體有權依照該法提起訴訟即進行司法救濟,但信息主體獲取司法救濟存在前置程序——向數據監(jiān)管機構進行申訴。在索賠權和賠償責任范圍中,GDPR規(guī)定信息主體有權從數據的控制者或加工者處獲得因其違反該法規(guī)實施的侵權行為而使信息主體遭受損害的賠償,不論該損害是物質性的還是非物質性的。但GDPR以行政法律保護方式為主,對民事救濟規(guī)定較少,生物識別信息數據主體的民事訴訟救濟的實現缺少法律上足夠的支撐。此外,GDPR缺乏對民事損害賠償中的“損害”規(guī)定相關的認定標準,涉及主觀的侵權程度感受很難量化為統(tǒng)一的客觀標準,這使得在司法實踐中對生物識別信息的侵權而產生的“無形損害”這一賠償金額不能統(tǒng)一,以致不能很好地保護個人生物識別信息權利。
我國法律雖然對生物識別信息進行了原則性的保護,將其統(tǒng)括為敏感個人信息保護范疇之內,但目前尚未針對生物識別信息的民事侵權行為進行相關法律規(guī)定。因此,在民事侵權上,我國應當構建完善的個人生物識別信息侵權規(guī)則,以充分保障信息主體的生物識別信息民事救濟權利的實現。
生物識別信息高度的人身屬性,注定了生物識別信息具有其不同于一般個人信息的特殊性,而不同的生物識別信息也存在著不同之處。生物識別信息更改難易度不同:大部分反映人體生理特征的生物識別信息的更改以目前科技水平來說是非常困難的,如指紋、基因信息等,面部信息雖然可以通過整容改變,但臉部大部分特征仍會被機器識別;而步態(tài)等反映人體行為特征的生物識別信息則可通過人力改變。生物識別信息采集難易度不同:面部信息的采集只需攝像頭即可,且具有極大的隱蔽性;而基因信息的采集相對困難,需要專業(yè)的操作技術和設備,為一般人所不能具備。生物識別信息侵權的后果程度不同:基因信息泄露較面部信息泄露的損害后果更嚴重,代表個人遺傳密碼的基因信息泄露,將深刻影響自己乃至后代。生物識別信息較一般個人信息的特殊性與生物識別信息內部的差異性決定了對個人生物識別信息需要進行分級式保護。對生物識別信息的規(guī)制可以通過同一與差異相結合的規(guī)制原理來進行:一方面,應當看到不同生物識別信息的共同之處,對其進行統(tǒng)一的原則性規(guī)制;另一方面,更應當看到這些生物識別信息中的差異性與特殊性,根據它們的特性進行專門化規(guī)制,做到分級式保護。
構建生物識別信息侵權規(guī)則的構建路徑,就需要對生物識別信息的侵權形式進行細化分類,以更好地對生物識別信息的侵權進行救濟。目前,生物識別信息的侵權行為主要有程序性侵權行為,表現為數據控制者或處理人的違反程序性義務的行為;未經信息主體授權的對生物識別信息進行侵入行為,如盜取、復制;二次創(chuàng)作、更改、技術模擬行為,如“深度偽造”(deepfake)技術、“3D面具”技術;不法交易行為,如人臉信息非法售賣等??茖W技術的飛速發(fā)展,對生物識別信息的侵權行為也更加層出不窮,滯后性的法律所規(guī)制的侵權行為不能容納所有侵權方式,故需將特定的侵權方式歸類到一般的侵權形式類別中,以更好地實現信息主體的生物識別信息民事侵權救濟。
生物識別信息作為現代社會中個人身份識別的重要標識,其所承載的權利不僅包括個人的隱私權、人格權和身份權,更影響著個人的財產安全,故需要充分保障信息主體的救濟權利。
1.個人生物識別信息被侵害時無實際損害事實的認定
傳統(tǒng)民事侵權要件中,責任的構成要件中都要求有損害事實,并要求損害事實具有客觀性,即損害事實具有客觀真實性和確定性。而在個人生物識別信息民事侵權案件中,就違法程序性義務的個人生物識別信息侵權行為,不能導致實際損害事實的發(fā)生,故此信息主體就此提出的民事訴訟救濟會因缺乏損害而不能實現,這無疑加大了信息主體對個人生物識別信息侵權救濟的難度。因此,個人生物識別信息民事侵權損害事實的認定要進行特殊規(guī)制。就個人生物識別信息民事侵權損害事實的認定中,尤其對程序性違法侵權行為的規(guī)制中,不能僅以缺乏損害而否定民事訴訟救濟權利的實現,應當從保護信息主體的利益出發(fā),保障權利人的民事訴訟救濟權利的實現。
2.個人生物識別信息被侵害時舉證責任承擔方的認定
完善個人生物識別信息侵權案件的舉證責任和責任承擔機制,以降低生物識別信息侵權案件的訴訟成本、提高生物識別信息侵權案件的訴訟效率,有利于被侵權方通過民事訴訟機制進行有效的救濟。故此,應當從利益平衡角度出發(fā)規(guī)制個人生物識別信息侵權的舉證責任。不能為了保護信息主體的生物識別信息安全,而完全犧牲信息自由流通,損害網絡服務者的運營環(huán)境。在不同類型的侵權案件中,應靈活采取不同的民事責任認定,并轉移主張方的部分舉證責任于被侵權人上,即只要求主張方提出初步的侵權證據。在明確侵權人侵權責任中賠償損失的承擔中,可借鑒美國BIPA的規(guī)定,以侵權人的主觀過錯分別規(guī)定法定的最低賠償金。此外在索賠權和賠償責任范圍的規(guī)定上,我國可以借鑒GDPR的規(guī)定,即明確信息主體有權從數據的控制者或加工者處獲得因其侵權行為而使本人遭受損害的賠償,不論損害是否有形。
3.個人生物識別信息受侵害時因果關系的適用
對于個人生物識別信息民事侵權因果關系的適用上,應當防止消極道德危險的發(fā)生。有學者認為應當采用“條件說”來認定因果關系,即只要實施的行為與損害事實的發(fā)生存在條件關系時,便可以認定實施該行為的人為侵權人。雖然這種主張能夠起到積極保護信息主體對生物識別信息侵權救濟的權利,但在實際操作中可能會存在困難,難以解決“多因一果”問題,且該種主張對從事大數據信息處理或控制的行業(yè)過于嚴苛,不利于行業(yè)發(fā)展和信息自由流通。也有學者認為,傳統(tǒng)的因果關系理論完全可以滿足信息網絡侵權案件中追責的需要,認為無需適用特殊的因果關系理論。但在個人生物識別信息民事侵權案件中,其所處的環(huán)境是虛擬的網絡空間,且存在“算法黑箱”和“信息繭房”與他一般的侵權案件有其特殊性。因此在個人生物識別信息民事侵權因果關系的適用上,應當基于生物識別信息侵權行為類型的不同,采用不同的歸責責任,在不同歸責責任的生物識別信息侵權案件中適用不同且適合的因果關系理論,不能一概而論。