（廣西師范大學(xué)法學(xué)院 廣西 桂林 541006）

近年來，個人生物識別信息被廣泛應(yīng)用在移動支付、智能識別等領(lǐng)域，許多科技公司擁有自己的個人生物識別信息數(shù)據(jù)庫，掌握著大量的個人生物識別信息資源。

不可否認(rèn)，個人生物識別信息數(shù)據(jù)庫使人類生活更加便捷，但從生物安全、人類信息安全和國家安全的角度考慮，個人生物識別信息數(shù)據(jù)庫在缺乏法律保護(hù)的情況下，一旦出現(xiàn)數(shù)據(jù)庫信息泄露或盜用的現(xiàn)象，將影響人一生的吃穿住行，對社會、國家造成不可估量的損失。因此，個人生物識別信息數(shù)據(jù)庫建立、使用和管理過程中的風(fēng)險及如何進(jìn)行法律保護(hù)是本文探討的問題，更是現(xiàn)實(shí)中亟待解決的重要問題。

一、個人生物識別信息數(shù)據(jù)庫的概念

個人生物識別信息是指一種能夠直接或間接地通過特定自然人的生理或行為特征，識別出特定自然人的信息，具體包括特定人的面部特征、指紋、聲音、基因、虹膜等[1]。

與傳統(tǒng)的身份信息不同，個人生物識別信息與傳統(tǒng)的姓名、身份證號碼等身份信息相比，具有不可變更性和特定性，潛在價值更高。大數(shù)據(jù)時代國家管理部門、科技公司、互聯(lián)網(wǎng)企業(yè)等紛紛通過建立數(shù)據(jù)庫的方式采集、管控和運(yùn)用公民的個人生物識別信息。個人生物識別信息屬于生物信息的一種，個人生物識別信息數(shù)據(jù)庫可參照生物信息數(shù)據(jù)庫進(jìn)行定義。生物信息數(shù)據(jù)庫是生物科學(xué)技術(shù)與信息技術(shù)結(jié)合的產(chǎn)物，是人類利用科學(xué)技術(shù)研發(fā)和儲存生物信息的載體[2]。因此，個人生物識別信息數(shù)據(jù)庫是指利用科學(xué)技術(shù)研發(fā)的、用于存儲人類面容、聲音、虹膜、指紋、DNA等可識別個人專屬特征信息的載體。

二、個人生物識別信息數(shù)據(jù)庫存在的風(fēng)險

（一）建立過程存在的風(fēng)險

1.未明確建庫的標(biāo)準(zhǔn)，存在濫建的可能

個人生物識別信息數(shù)據(jù)庫建立條件未明確主要表現(xiàn)在：第一，建立主體條件未明確。根據(jù)收集主體的劃分，我們可以把個人生物識別信息數(shù)據(jù)庫分為兩種，即政府建立的數(shù)據(jù)庫和社會組織機(jī)構(gòu)建立的數(shù)據(jù)庫。目前在個人生物識別信息數(shù)據(jù)庫建立過程中，無論是政府主體還是社會主體都沒有明確的資格條件限制。第二，建庫目的不同。政府主體一般是基于保護(hù)公共利益的需要，例如公安部門的DNA數(shù)據(jù)庫、犯罪嫌疑人指紋庫等均是為了犯罪調(diào)查、取證破案。而社會主體可能基于盈利或公益救助的目的建庫，如支付平臺收集個人指紋和照片作為支付手段；如打拐組織收集個人識別生物信息是為了找到被拐賣的兒童。這些目的是否達(dá)到建立個人生物識別信息數(shù)據(jù)庫的要求，我國尚未明確衡量標(biāo)準(zhǔn)。實(shí)際上，趨利使然，采集個人生物識別信息的數(shù)據(jù)庫質(zhì)量良莠不齊，濫建濫用情況時常發(fā)生。

2.收集公民信息存在侵權(quán)的可能

建立數(shù)據(jù)庫的行為過程主要是收集和處理個人生物識別信息，極易發(fā)生違法收集信息行為，侵犯公民身體完整權(quán)。身體完整權(quán)是指自然人對其身體組織的完整性所享有的權(quán)利，他人不得違法侵犯[3]。我國《民法典》第一千零三條規(guī)定自然人享有身體權(quán)，自然人的身體完整和行動自由受法律保護(hù)。在構(gòu)建個人生物識別信息數(shù)據(jù)庫的過程中，不可避免要對公民的身體進(jìn)行檢查，如DNA數(shù)據(jù)庫構(gòu)建，可能會抽取公民的血液，采集公民的毛發(fā)提取公民基因信息，這些行為會不可避免地侵犯公民的身體權(quán)。

（二）使用過程存在的風(fēng)險

1.不當(dāng)使用數(shù)據(jù)庫產(chǎn)生信息安全隱患

非法使用數(shù)據(jù)庫可能會造成侵害行為。一般來說，一個數(shù)據(jù)庫的建立需要技術(shù)和金錢的支持，所以數(shù)據(jù)庫的建立者會是綜合能力比較強(qiáng)的主體。基于商業(yè)用途建立的個人生物識別信息數(shù)據(jù)庫必然會產(chǎn)生交易，買受數(shù)據(jù)庫或者租用數(shù)據(jù)庫的交易相對主體，也會成為使用的主體。由于個人生物識別信息數(shù)據(jù)庫不同于其他一般的數(shù)據(jù)庫，信息具有極強(qiáng)的特定性，使用者可以拿著任意公民的信息做非法事情。如果買受主體隨意濫用數(shù)據(jù)庫，可能就會造成公民信息販賣、泄露等嚴(yán)重后果。

2.使用數(shù)據(jù)庫信息易侵犯個人隱私權(quán)

楊立新教授認(rèn)為，“隱私與他人立場無關(guān)，區(qū)別于公共利益和群體利益，隱私權(quán)的核心內(nèi)容是對自己隱私依照自己的意志進(jìn)行支配”[4]。目前，各國將個人生物識別信息廣泛地運(yùn)用于安防、邊檢、金融等領(lǐng)域，但由于個人生物識別信息數(shù)據(jù)庫儲存了大量的DNA數(shù)據(jù)、虹膜、指紋信息等，公民的隱私權(quán)隨時面臨被侵害的危險?！皣鴥?nèi)人臉識別第一案”中原告郭兵就是以侵犯隱私權(quán)為由向杭州野生動物園提起訴訟。杭州野生動物園將“指紋”識別入園升級為“人臉”識別入園，且未經(jīng)原告同意擅自使用了原告年卡信息中的照片作為入園“刷臉”的對比照片，被告擅自收集個人敏感信息，未經(jīng)同意將他人人臉識別信息儲存并使用，侵犯了公民的隱私權(quán)。由此可見，個人生物識別信息數(shù)據(jù)庫被建立的同時，也提高了公民隱私權(quán)被侵犯的可能性。

（三）監(jiān)管過程存在的風(fēng)險

監(jiān)督主體不明確極易導(dǎo)致監(jiān)管缺失。目前我國沒有專門立法對個人生物識別信息數(shù)據(jù)庫進(jìn)行保護(hù)，更無明確監(jiān)管主體。一般來說，在法律沒有明文規(guī)定的情況下，由政府相關(guān)部門進(jìn)行監(jiān)管。如“中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局四部門聯(lián)合開展App違法違規(guī)收集使用個人信息專項治理行動，向需要整改的主體提出整改意見[5]”。但是數(shù)據(jù)庫的持有者進(jìn)行短暫的整改后，仍舊會出現(xiàn)故伎重演的可能。偶爾專項整改活動，力度并不夠強(qiáng)，無法從根源上遏制信息泄露問題。另外，由于大數(shù)據(jù)科技的發(fā)達(dá)，使得個人生物識別信息泄露的方式變得多樣，對監(jiān)管技術(shù)提出了更高要求。2019年2月，我國一個研發(fā)人臉識別技術(shù)的企業(yè)發(fā)生了個人生物識別信息泄露事件，數(shù)據(jù)庫被侵入后超過250萬的數(shù)據(jù)信息被不法分子獲取。即使該企業(yè)和安防機(jī)構(gòu)合作也沒有辦法避免信息泄露情況發(fā)生，數(shù)據(jù)庫的監(jiān)管成了困擾擁有個人生物識別信息數(shù)據(jù)庫企業(yè)的難題。

三、個人生物識別信息數(shù)據(jù)庫的法律保護(hù)

（一）建立過程中加強(qiáng)法律法規(guī)的指引

我國目前沒有關(guān)于構(gòu)建個人生物識別信息數(shù)據(jù)庫的相關(guān)立法。在缺乏統(tǒng)一標(biāo)準(zhǔn)的情況下，對數(shù)據(jù)庫中涉及公民基本權(quán)利等問題基本由機(jī)構(gòu)自治，這顯然不利于保護(hù)公民權(quán)利。為此，筆者提出以下建議：

1.明確建庫條件的衡量標(biāo)準(zhǔn)

從建立數(shù)據(jù)庫的源頭進(jìn)行嚴(yán)格的條件限制，對政府主體和社會主體適用不同的標(biāo)準(zhǔn)。第一，政府主體基于保護(hù)公共利益的目的建立個人生物識別信息數(shù)據(jù)庫。對于“公共利益”的理解，可以依照政府的職能來進(jìn)行具體的確定。如在重大傳染病防控中，政府部門為了抗疫工作利用人臉識別、指紋等來追蹤個人身份，以便確定感染源等。建立數(shù)據(jù)庫時收集個人信息必須告知建庫目的，在特別情況下公民可以對自己信息的披露使用進(jìn)行保留申請。第二，社會主體建立的數(shù)據(jù)庫可能是用于商業(yè)也可能是用于公益，對于主體資格的限制也需要區(qū)別對待。對出于商業(yè)用途建立的數(shù)據(jù)庫，應(yīng)該審查其目的是否符合商業(yè)主體的經(jīng)營管理范圍，在信息收集時平臺應(yīng)盡到明顯告知的提示義務(wù)。對出于公益目的的商業(yè)主體，對公益組織的服務(wù)年限及服務(wù)質(zhì)量要有一定標(biāo)準(zhǔn)要求。

2.加強(qiáng)對公民基本權(quán)利保護(hù)

個人生物信息識別數(shù)據(jù)庫和普通數(shù)據(jù)庫相比，涉及公民的基本權(quán)利。各國法律公認(rèn)提取公民信息是對公民基本權(quán)利進(jìn)行限制和剝奪；因此，應(yīng)當(dāng)以法律授權(quán)為前提。如1984年英國《數(shù)據(jù)保護(hù)法》規(guī)定：“不允許以欺騙手段從數(shù)據(jù)主體處取得信息，取得個人信息必須征得有關(guān)個人的同意；只有為特定的和合法的目的，才能持有個人數(shù)據(jù)”。當(dāng)前，我國常采用的做法是先試點(diǎn)，再立法[6]37。我國國情較為復(fù)雜，且處于社會轉(zhuǎn)型期，這樣的試點(diǎn)立法方式克服了傳統(tǒng)僵化的模式，但并不是所有的制度都適用此模式。我國應(yīng)當(dāng)盡快出臺相應(yīng)的法律法規(guī)，對個人生物識別信息數(shù)據(jù)庫的構(gòu)建程序、樣本的提取、儲存方式、使用方法、樣本的銷毀、監(jiān)督機(jī)制等做出詳細(xì)的規(guī)定。

（二）使用過程中明確合理限制的條件

關(guān)于個人生物識別信息數(shù)據(jù)庫的使用問題，除了與建立者一樣進(jìn)行目的審查外，還應(yīng)該具有一定的條件限制。第一，政府建立的個人生物識別信息數(shù)據(jù)庫的使用者應(yīng)該限于政府部門，但是學(xué)者基于研究可申請使用。例如，英國Biobank機(jī)構(gòu)內(nèi)外的研究者都可以申請使用數(shù)據(jù)庫，因為樣本和資料是公共財產(chǎn)[7]30。第二，對于社會組織機(jī)構(gòu)基于商業(yè)用途建立的數(shù)據(jù)庫，可以有嚴(yán)格的禁止性規(guī)定，比如一些倫理性的禁止性規(guī)定。中國人工智能學(xué)會倫理道德專業(yè)委員會也曾計劃針對不同行業(yè)首先設(shè)置一系列倫理規(guī)范，如智能駕駛規(guī)范、數(shù)據(jù)倫理規(guī)范、智慧醫(yī)療倫理規(guī)范等[6]42；然后再由數(shù)據(jù)庫的建立者和使用者來協(xié)商具體的適用范圍、途徑和期限。此處可以適用合同法的相關(guān)規(guī)定，并且在使用期限屆滿或者目的達(dá)成后，建立者及時切斷數(shù)據(jù)連接，使用者進(jìn)行數(shù)據(jù)銷毀[8]。

（三）監(jiān)管過程中設(shè)立管理主體和模式

我國沒有確立分散管理原則，一是沒有成立相應(yīng)的機(jī)構(gòu)對個人生物識別信息數(shù)據(jù)庫進(jìn)行監(jiān)督和管理；二是數(shù)據(jù)庫系統(tǒng)內(nèi)部未建立完善的管理措施，極易導(dǎo)致個人生物識別信息泄露。因此，應(yīng)該借鑒國外成功經(jīng)驗，推行分散管理原則，確定多個機(jī)關(guān)對個人生物識別信息數(shù)據(jù)庫構(gòu)建、運(yùn)用及后續(xù)銷毀工作分別進(jìn)行監(jiān)管，各司其職，互相監(jiān)督。例如，可以借鑒英國模式，分設(shè)三個機(jī)構(gòu)分別對數(shù)據(jù)庫的建置流程、運(yùn)作情況、銷毀進(jìn)行監(jiān)督管理；或參照加拿大的做法，設(shè)置國家個人生物識別信息數(shù)據(jù)庫對該類型數(shù)據(jù)庫進(jìn)行統(tǒng)一管制。

此外，由于個人生物識別信息數(shù)據(jù)庫的特殊性，需要進(jìn)行一些特殊條件的審查，可以設(shè)想結(jié)合倫理審查相關(guān)部門及其他信息監(jiān)管部門來進(jìn)行審查監(jiān)管，例如通過成立國家DNA資料庫咨詢委員會對該數(shù)據(jù)庫的運(yùn)行有效性和安全性進(jìn)行監(jiān)管，并定期向有關(guān)部門提供建議[7]30，除了外部監(jiān)督外，應(yīng)該由個人生物識別信息數(shù)據(jù)庫的建立者和使用者進(jìn)行自我監(jiān)督，雙管齊下。