文/張勇

個人生物識別信息，是指自然人可識別的生理或行為特征，從中提取可識別、可重復(fù)的生物特征樣本、模板、模型等識別數(shù)據(jù)或數(shù)據(jù)的聚合。個人的面部、指紋、視虹膜、基因等生物信息識別技術(shù)被廣泛應(yīng)用到社會生活領(lǐng)域。生物識別技術(shù)發(fā)展所帶來的身份驗證、人體試驗、器官移植、輔助生殖技術(shù)、基因編輯及重組等問題，都可能會侵犯個人信息數(shù)據(jù)權(quán)利，危及生物信息安全甚至國家安全。如何防范生物識別技術(shù)應(yīng)用的安全風(fēng)險，依法規(guī)范個人生物識別技術(shù)的研發(fā)和應(yīng)用，確定侵犯個人生物識別信息權(quán)利的法律責(zé)任，構(gòu)建危害生物信息安全行為的制裁體系，本文對此予以探析。

人臉識別：個人生物信息的安全隱憂

人臉識別作為一種識別個人身份信息的新型技術(shù)，其主要特征是非接觸性、主體唯一性和不易復(fù)制性，同時也具有無須攜帶、易于采集、成本低廉等特點(diǎn)。信息采集者只要通過設(shè)置普通攝像頭等傳感器，加上面部識別的軟件和算法的運(yùn)用，無須接觸自然人個體便可實(shí)現(xiàn)面部信息的抓取與存儲。人臉識別的應(yīng)用范圍越來越廣，運(yùn)用海量數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)技術(shù)的人臉識別系統(tǒng)已成為人工智能、區(qū)塊鏈商業(yè)應(yīng)用的新領(lǐng)域。相對于其他個人信息，人臉識別應(yīng)用的數(shù)據(jù)存儲、傳輸流程存在嚴(yán)重的隱私侵權(quán)和安全受損風(fēng)險；而一旦人臉識別信息被泄露或冒用，就可能會對信息主體造成永久性傷害和難以彌補(bǔ)的損失。在我國，個人生物識別信息數(shù)據(jù)被盜或過度濫用的問題層出不窮，涉及人臉識別侵權(quán)訴訟或刑事犯罪的案件也屢屢發(fā)生。例如，2019年10月，浙江理工大學(xué)副教授郭兵因不同意杭州野生動物世界使用人臉識別對其進(jìn)行用戶認(rèn)證而提起侵權(quán)訴訟，被稱為“人臉識別第一案”。

近年來，我國相關(guān)部門和機(jī)構(gòu)頒布實(shí)施了諸多個人信息保護(hù)的國家行業(yè)標(biāo)準(zhǔn)，包括：2019年《信息技術(shù) 安全技術(shù) 生物特征識別信息的保護(hù)要求（征求意見稿）》（以下簡稱《生物識別信息保護(hù)要求（征求意見稿）》）；2017年《信息安全技術(shù) 個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》，2020年修訂）；2020年《APP收集使用個人信息最小必要評估規(guī)范 人臉信息》團(tuán)體標(biāo)準(zhǔn)（以下簡稱《APP人臉信息規(guī)范》）。須指出，作為國家行業(yè)標(biāo)準(zhǔn)的《個人信息安全規(guī)范》不是強(qiáng)制性法律標(biāo)準(zhǔn)，而是推薦性行業(yè)標(biāo)準(zhǔn)，因而對個人信息保護(hù)的要求也更加嚴(yán)格。

個人生物信息安全法益的法律保護(hù)

《APP人臉信息規(guī)范》第3.1和3.3條規(guī)定，“人臉識別”即基于個體的人臉特征，對個體進(jìn)行識別的過程；“人臉信息”即對自然人的人臉特征進(jìn)行技術(shù)處理得到的、能夠單獨(dú)或者與其他信息結(jié)合識別該自然人身份的個人信息?！渡镒R別信息保護(hù)要求（征求意見稿）》 第3.1.3條規(guī)定，個人生物識別信息基本特征在于，可檢測到的個體生理或行為特征，可以從其中提取可識別的、可重復(fù)的生物特征。所謂“生物識別”并非僅是對自然人生理特征的識別，而是將生物識別信息與個人身份、金融、行為、位置、偏好等信息對接，使得個人生物識別信息的法律屬性具有更強(qiáng)的多元化、復(fù)雜化的特點(diǎn)。

從立法來看，歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）、英國《數(shù)據(jù)保護(hù)法案》、日本《個人信息保護(hù)法》等法律法規(guī)都對“生物識別數(shù)據(jù)”做出專門規(guī)定。我國《網(wǎng)絡(luò)安全法》規(guī)定，個人生物識別信息屬于“直接可識別”到個人身份的隱私敏感信息，其必須經(jīng)過計算機(jī)的相關(guān)生物識別程序的識別才能生成相關(guān)信息數(shù)據(jù)。《個人信息安全規(guī)范》第3.2條規(guī)定，對于個人生物識別信息須以個人敏感信息的嚴(yán)格標(biāo)準(zhǔn)加以保護(hù)。根據(jù)《生物識別信息保護(hù)要求（征求意見稿）》第3.1.7條的規(guī)定，個人生物識別信息所涉及的權(quán)利包括其在整個生命周期的收集、轉(zhuǎn)移、使用、存儲、歸檔、處置和更新的權(quán)利，具體包括知情權(quán)、同意權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)、利用權(quán)和公開權(quán)等。

個人生物識別信息可分為可識別個體生物特征的個人隱私信息、一般個人信息和個人數(shù)據(jù)三種，其權(quán)利屬性也有所差別。首先，一般個人信息具有人格權(quán)屬性。但個人信息所蘊(yùn)含的權(quán)利并不限于隱私權(quán)，后者則是其最重要、最核心的內(nèi)容。個人信息權(quán)的法律保護(hù)屬于弱保護(hù)，而隱私權(quán)的法律保護(hù)則屬于強(qiáng)保護(hù)，對于個人生物識別信息應(yīng)優(yōu)先適用更為積極的隱私權(quán)保護(hù)。其次，個人隱私信息屬于人格利益但不包含財產(chǎn)屬性，不具有任何財產(chǎn)屬性的交易價值，不可利用且受法律絕對保護(hù)。再次，一般個人信息亦屬于人格利益但可包含財產(chǎn)屬性，這種人格利益基于信息主體的同意，轉(zhuǎn)化為具體財產(chǎn)利益后可以進(jìn)行交易。個人生物識別信息經(jīng)過去識別化技術(shù)處理之后，僅具有個人信息數(shù)據(jù)的財產(chǎn)屬性，可以自由使用、轉(zhuǎn)讓，而為其他數(shù)據(jù)主體所利用。

生物識別技術(shù)帶來的個人信息安全風(fēng)險包括以下情形：未經(jīng)授權(quán)的或不必要的收集；未經(jīng)授權(quán)之使用或披露；不當(dāng)比對；錯誤匹配；不當(dāng)儲存或不當(dāng)傳輸；功能蠕變等。同時，隨著國際上生物資源數(shù)字序列信息的提取、跨境轉(zhuǎn)移和利用，輸出國遺傳信息資源流失的風(fēng)險不斷增大，已經(jīng)上升到公共安全和國家安全層面。從個人生物信息安全的法益屬性來看，生物識別技術(shù)雖然以自然人為對象，但其涉及的社會利益關(guān)系不限于公民個體，而是包括與個人生物識別活動相關(guān)的技術(shù)服務(wù)者、經(jīng)營者、使用者和管理者。個人生物信息事關(guān)個人身份、隱私、人身、財產(chǎn)等各方面的利益與安全，已經(jīng)不能僅僅用傳統(tǒng)民法上的某種單一權(quán)利加以限定。個人生物識別信息所蘊(yùn)含的法益內(nèi)容逐漸呈現(xiàn)出復(fù)合性、多元化特征，從個體的人格權(quán)擴(kuò)展至公共利益、社會秩序和國家安全。

個人生物信息安全風(fēng)險預(yù)防及利益平衡

“風(fēng)險預(yù)防”是相對于“損害預(yù)防”而言的，前者針對的“危害”具有不確定性、未然性，而后者的“損害”是指已現(xiàn)實(shí)存在或已產(chǎn)生客觀損害結(jié)果，“不確定性”是風(fēng)險預(yù)防的核心概念。生物安全風(fēng)險的不確定性、突發(fā)性及不可預(yù)測性要求確立風(fēng)險預(yù)防原則，用以指導(dǎo)生物安全立法和司法實(shí)踐?！渡镒R別信息保護(hù)要求（征求意見稿）》第5.1條提出了三項原則。一是保密性原則。在生物特征數(shù)據(jù)的存儲和傳輸過程中，應(yīng)當(dāng)使用加密算法對信息數(shù)據(jù)進(jìn)行保密處理，未經(jīng)信息主體授權(quán)不得訪問或披露。二是完整性原則。生物特征識別系統(tǒng)應(yīng)通過訪問控制來實(shí)現(xiàn)數(shù)據(jù)的完整性保護(hù)，防止未經(jīng)授權(quán)訪問生物特征數(shù)據(jù)，或通過使用加密技術(shù)進(jìn)行完整性檢查。三是可更新性與可撤銷性原則。對刑法中相關(guān)罪名的構(gòu)成要件設(shè)置和司法認(rèn)定，需要依托前置性行政法律規(guī)范及行業(yè)標(biāo)準(zhǔn)，針對不同安全等級的個人生物信息識別行為，設(shè)定生物信息安全法益保護(hù)的命令性義務(wù)、禁止性規(guī)范及刑事責(zé)任，設(shè)置刑事風(fēng)險防范的法律底線，側(cè)重體現(xiàn)對于生物信息安全保護(hù)的特殊要求。

在風(fēng)險社會背景下，法律面臨著如何在保護(hù)和利用、自由與安全之間進(jìn)行利益平衡和價值選擇的問題。從利益平衡角度，應(yīng)當(dāng)分類分層地明確各方利益主體的權(quán)責(zé)關(guān)系，避免個人生物識別信息數(shù)據(jù)濫用。個人生物識別信息的收集者、利用者和數(shù)據(jù)系統(tǒng)的管理者，也是借助個人生物信息安全風(fēng)險的獲利群體，應(yīng)當(dāng)作為風(fēng)險義務(wù)和責(zé)任的主要承擔(dān)者，法律應(yīng)當(dāng)對個人信息權(quán)利主體予以適當(dāng)?shù)膬A斜保護(hù)，從實(shí)質(zhì)上實(shí)現(xiàn)公正和利益平衡。值得關(guān)注的是，區(qū)塊鏈技術(shù)逐漸應(yīng)用于生物信息商業(yè)領(lǐng)域，實(shí)現(xiàn)與生物識別技術(shù)的融合。區(qū)塊鏈“去中心化”的特點(diǎn)天然排斥監(jiān)管，如果區(qū)塊鏈業(yè)者運(yùn)用匿名化技術(shù)手段，切實(shí)履行保護(hù)個人信息安全的合理義務(wù)，采取技術(shù)措施確保哈?；畔⒌哪涿@樣既能夠保護(hù)區(qū)塊鏈背景下的個人信息安全，又可避免給區(qū)塊鏈產(chǎn)業(yè)帶來過高的發(fā)展門檻和應(yīng)用成本。

個人生物信息安全保護(hù)的立法模式

其一，個人生物信息安全的私法保護(hù)。在我國，對個人生物識別信息的保護(hù)來自民法、消費(fèi)者權(quán)益保護(hù)法等法律法規(guī)中有關(guān)隱私權(quán)、名譽(yù)權(quán)的保護(hù)規(guī)定，以及個人信息保護(hù)的法律法規(guī)、行業(yè)規(guī)范?？傮w上，個人生物識別信息的民事權(quán)利保護(hù)模式主要有三種路徑：人格權(quán)模式、財產(chǎn)權(quán)模式、人格權(quán)與財產(chǎn)權(quán)的復(fù)合模式。第一，人格權(quán)保護(hù)模式，即將個人生物識別信息視為具有人格權(quán)的基本屬性，將其作為個人私密敏感信息進(jìn)行保護(hù)。第二，財產(chǎn)權(quán)保護(hù)模式，即認(rèn)為個人生物識別信息具備財產(chǎn)性質(zhì)，應(yīng)賦予其財產(chǎn)權(quán)保護(hù)，但其又不是完全的財產(chǎn)，因為它不能被繼承、贈予、遺贈等。第三，復(fù)合保護(hù)模式，即將人體基因視為人格和財產(chǎn)的復(fù)合體。比較來看，單純的人格權(quán)模式無法對個人生物識別信息專利及商業(yè)化所帶來的可分享的財產(chǎn)利益予以充分保護(hù)；但如果單純采用財產(chǎn)權(quán)模式來界定個人基因信息的法律屬性，則可能造成對人體基因信息的人格權(quán)屬性的忽略。因此，我國應(yīng)以人格權(quán)和財產(chǎn)權(quán)的雙重機(jī)制對其予以保護(hù)，為平衡人格價值和科技進(jìn)步、經(jīng)濟(jì)發(fā)展之間的沖突提供可行的通道。

其二，個人生物信息安全的公法保護(hù)。（1）在行政法領(lǐng)域，我國與個人生物信息安全相關(guān)的法律規(guī)范多散見于法律法規(guī)、部委規(guī)章及專門規(guī)范文件?！秱€人信息安全規(guī)范》較為詳細(xì)地規(guī)定了個人生物識別信息在收集、存儲和共享等環(huán)節(jié)的安全保護(hù)要求。在涉及人臉識別、聲紋識別等生物識別信息的項目，網(wǎng)絡(luò)運(yùn)營者須專門設(shè)計獲得用戶同意的環(huán)節(jié)，這也意味著當(dāng)用戶提起爭議時，信息業(yè)者負(fù)有更多的舉證責(zé)任。《生物特征識別信息保護(hù)要求（征求意見稿）》第5.1條提出了生物特征識別系統(tǒng)的保密性、完整性、可更新性與可撤銷性等方面的原則和具體要求；第6.4條也提出在生物特征識別信息生命周期管理中有關(guān)采集、傳輸、使用、存儲、歸檔與數(shù)據(jù)備份、廢棄階段的義務(wù)要求。根據(jù)《APP人臉信息規(guī)范》第6.1至6.4條的規(guī)定，收集人臉信息應(yīng)遵循“最小必要”原則，收集前應(yīng)通過隱私協(xié)議等方式向人臉信息主體告知相關(guān)信息，不應(yīng)超過人臉信息主體“告知同意”的范圍。上述國家行業(yè)標(biāo)準(zhǔn)和規(guī)范雖不具有法律效力，但能起到生物識別技術(shù)風(fēng)險防范和合規(guī)性指導(dǎo)作用，也能為將來生物信息安全立法提供參考。（2）在刑事法領(lǐng)域，由于個人基因信息技術(shù)發(fā)展所帶來的人體試驗、器官移植、輔助生殖技術(shù)、基因編輯及重組等問題日趨嚴(yán)重，不少國家對上述行為規(guī)定相關(guān)罪名予以刑事懲處。2019年《人類遺傳資源管理條例》的“法律責(zé)任”一章規(guī)定了非法采集、保藏、利用、對外提供人類遺傳資源的行政責(zé)任和刑事責(zé)任。根據(jù)現(xiàn)行《刑法》規(guī)定，可以將違反該條例規(guī)定的行為認(rèn)定為犯罪，如將故意或過失泄露被列為國家秘密的基因資源、資料的行為認(rèn)定為故意或過失泄露國家秘密罪，為境外竊取、刺探、售賣、非法提供國家秘密、情報罪等，但也有不少行為是刑法典中現(xiàn)有罪名無法涵蓋的。將來可考慮以當(dāng)前生物安全立法或刑法修法為契機(jī)，通過制定或修訂相關(guān)行政法律法規(guī)中的刑事責(zé)任條款，實(shí)現(xiàn)刑法與行政法規(guī)范的有效銜接。

其三，個人生物信息安全的綜合法律保護(hù)。《個人信息保護(hù)法（草案）》第5條、第6條分別規(guī)定了個人信息處理應(yīng)當(dāng)采取“合法、正當(dāng)”方式和“明確、合理”目的。同時，該草案將“告知—同意”確立為信息處理的核心規(guī)則，告知義務(wù)是信息主體的主要義務(wù)?！稊?shù)據(jù)安全法》第29條規(guī)定，任何組織、個人收集數(shù)據(jù)，必須采取合法、正當(dāng)?shù)姆绞剑坏贸^必要限度。個人生物信息保護(hù)法益的復(fù)合性、多元化，決定了僅靠私法保護(hù)模式或是公法保護(hù)模式均無法有效保障其安全。在此方面，2020年10月頒布的《生物安全法》作為綜合性立法，應(yīng)當(dāng)能夠適應(yīng)我國生物多樣性保護(hù)和生物安全保障的制度需求。在該法的統(tǒng)領(lǐng)和協(xié)調(diào)下，其他各專門法、單行法具體設(shè)置應(yīng)對生物信息安全風(fēng)險的法律規(guī)則，處理好行政法、民法、刑法等相關(guān)法律法規(guī)之間的關(guān)系，從公法和私法的不同層面進(jìn)行法律保護(hù)，構(gòu)建個人生物信息安全保護(hù)的法律體系。

個人生物信息安全法律保護(hù)的體系化

在我國刑法中，與個人生物信息安全保護(hù)相關(guān)的罪名包括：侵犯公民個人信息罪、拒不履行信息安全管理義務(wù)罪、非法侵入和破壞計算機(jī)系統(tǒng)罪、假冒專利罪、非法經(jīng)營罪、妨害傳染病防治罪、非法行醫(yī)罪、故意或過失泄露國家秘密罪等。在上述罪名中，存在大量的“違反國家規(guī)定”“違反……法規(guī)”等空白罪狀。判斷行為刑事違法性以行為人違反前置性法律法規(guī)為前提，進(jìn)行違法性的層次性判斷。然而，我國行政立法過程往往比較倉促，欠缺系統(tǒng)性通盤考慮，導(dǎo)致刑法與行政法之間出現(xiàn)不銜接，甚至互相沖突的問題，因而需要通過構(gòu)建和完善刑法前置性行政法律規(guī)范加以解決。

在個人生物信息安全保護(hù)方面，《個人信息安全規(guī)范》等相關(guān)行業(yè)標(biāo)準(zhǔn)指南提供了立法參照的框架樣本。（1）個人生物識別信息的收集。網(wǎng)絡(luò)運(yùn)營者收集個人生物識別信息應(yīng)征得個人信息主體的明示同意。即使已取得個人信息主體的同意，網(wǎng)絡(luò)運(yùn)營者仍應(yīng)僅收集達(dá)到目的所需的最少個人生物識別信息，以最大限度降低損害風(fēng)險。（2）個人生物識別信息的存儲?？刹扇〉拇鎯Υ胧┌ǖ幌抻冢簝H存儲個人生物識別信息的摘要信息，且該摘要信息應(yīng)具備不可逆性，即無法回溯至原始信息；在采集終端中直接使用個人生物識別信息實(shí)現(xiàn)身份識別、認(rèn)證等功能；在使用面部識別特征、指紋、掌紋、虹膜等實(shí)現(xiàn)識別身份、認(rèn)證等功能后刪除可提取個人生物識別信息的原始圖像等。（3）對個人金融信息特定類別的特殊要求。以“不應(yīng)共享、轉(zhuǎn)讓”為原則，網(wǎng)絡(luò)運(yùn)營者確因業(yè)務(wù)需要，確需共享、轉(zhuǎn)讓的，應(yīng)單獨(dú)向個人信息主體告知目的并征得其明示同意等。須指出，行業(yè)規(guī)范并不具有法律效力，對個人生物識別信息的規(guī)制范圍更廣，安全義務(wù)要求更高；為了避免刑事打擊范圍過大，刑法可將個人生物信息安全行業(yè)規(guī)范作為前置性規(guī)范的參考依據(jù)，但不宜直接將其作為判斷刑事違法性、認(rèn)定犯罪的法律根據(jù)。

結(jié)語

個人生物信息法益的多元屬性涵蓋了其對隱私權(quán)、人格權(quán)、財產(chǎn)權(quán)及安全法益的保護(hù)。在生物安全風(fēng)險因素和潛在威脅因素突發(fā)、增升的情況下，追求公共安全成為國家和社會公眾的普遍心態(tài)和立法目標(biāo)選擇。在個人信息安全保護(hù)方面，單一的民法、行政法或刑法均無法完成多元化價值目標(biāo)的實(shí)現(xiàn)。因此，應(yīng)當(dāng)以網(wǎng)絡(luò)安全法、生物安全法、個人信息保護(hù)法、數(shù)據(jù)安全法等綜合性立法為契機(jī)，構(gòu)建個人生物識別信息安全保護(hù)的法律體系，發(fā)揮各個部門法在保護(hù)權(quán)利和保障安全方面的功能，實(shí)現(xiàn)行政立法與刑法規(guī)范的良性互動、附屬刑法規(guī)范的實(shí)質(zhì)化，以促進(jìn)個人生物信息安全法律法規(guī)內(nèi)外部的銜接協(xié)調(diào)。