陸海娜 趙賡

引言

生物識別技術，是一種通過自動技術對人體固有的生物特性和行為特征進行識別，然后與數據庫的模板數據進行比較，從而確定個人身份的技術。1參見張鐸：《生物識別技術基礎》，武漢大學出版社2009年版，第1頁。相比于其他身份鑒定方法，生物識別技術具有安全、便捷的優(yōu)勢。近幾年，我國生物識別產業(yè)迅速發(fā)展，商業(yè)利用人臉、指紋等生物識別信息的范圍越來越廣，使用方式也越來越多樣化。1根據前瞻產業(yè)研究院的報告，預計到2023年，我國生物識別行業(yè)市場規(guī)模將達到379億元。參見前瞻產業(yè)研究院：《2021—2026年中國生物識別技術行業(yè)市場調研與投資預測分析報告》。但是，我國對生物識別信息的保護現狀卻不容樂觀，實踐中在信息收集和披露、損害救濟等方面存在不少問題。2例如，有報告顯示，我國一些應用軟件存在著過度收集個人生物識別信息的問題。參見中國消費者協會：《100款App個人信息收集與隱私政策測評報告》，載中國消費者協會網，http://www.cca.org.cn/jmxf/detail/28310.html。有報道稱，有商家公開出售大量“人臉數據”。參見《17萬條“人臉數據”遭公開售賣，覆蓋超2000人！》，載搜狐網，http://www.sohu.com/a/343495053_100017041。此外，“人臉識別第一案”也引出了生物識別信息救濟方面的問題。參見《人臉識別第一案：技術濫用下的隱私之殤》，載《三聯生活周刊》2019年第46期，第108—113頁。諸如商業(yè)濫用個人生物識別信息的問題，主要反映出我國現行法律對生物識別信息商業(yè)利用規(guī)范的不足。我國現行法律中僅有《中華人民共和國民法典》和《中華人民共和國網絡安全法》在“個人信息”的定義中提到了“生物識別信息”3參見《中華人民共和國民法典》第1034條、《中華人民共和國網絡安全法》第76條。，尚未針對生物識別信息保護作出專門規(guī)定。《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》（以下簡稱“《個人信息保護指南》”）、《信息安全技術 個人信息安全規(guī)范》（以下簡稱“《個人信息安全規(guī)范》”）以及《個人金融信息保護技術規(guī)范》等規(guī)范性文件雖然區(qū)分了“個人信息”和“個人敏感信息”，將生物識別信息列入“個人敏感信息”，規(guī)定了更嚴格的保護措施，但它們均為非強制性的國家標準或行業(yè)標準。4參見《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》（GB/Z 28828—2012），5.2—5.5；《信息安全技術個人信息安全規(guī)范》（GB/T 35273—2020），5—7；《個人金融信息保護技術規(guī)范》（JR/T 0171—2020），6。立法的缺失使得個人在強勢企業(yè)收集利用其生物信息時顯得軟弱無力。

個人生物識別信息涉及到隱私權等基本權利，其性質與其他敏感信息不同：個人生物識別信息涉及到人的身體，對個人身體自主控制的權利是隱私權最核心的內涵。尤其是人臉識別技術，具有非接觸性、侵入性強等特點，一旦被濫用可能會對個人生活造成難以恢復的災難性影響。而且即便沒有被濫用等后果，一個人如何處理關于自身身體的信息，本質上也是個人自主權的一部分，是個人尊嚴的體現。因此，對個人生物識別信息的法律保護，需要從信息收集、儲存、披露以及損害救濟等方面作出相比其他個人信息更為嚴格的規(guī)定。

《中華人民共和國個人信息保護法（草案二次審議稿）》（以下簡稱“《個人信息保護法（草案二次審議稿）》”）從立法層面區(qū)分了一般個人信息和敏感個人信息，規(guī)定了處理敏感個人信息應當向個人告知處理的必要性和對個人的影響，并指出法律、行政法規(guī)可以對處理敏感個人信息作出更嚴格的限制。5參見《個人信息保護法（草案二次審議稿）》第31條、第32條。對于生物識別信息，《個人信息保護法（草案二次審議稿）》將“個人生物特征”列入“敏感個人信息”中，并規(guī)定“在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規(guī)定，并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供，取得個人單獨同意的除外”1參見《個人信息保護法（草案二次審議稿）》第27條。。盡管《個人信息保護法（草案二次審議稿）》已在生物識別信息保護專門規(guī)定上邁出一步，但目前仍存在許多未決的問題。

我國學術界對個人信息保護的研究成果已經非常豐富，但對于個人生物識別信息保護方面的研究還較少。本文嘗試從比較法的角度，從已有的他國法律經驗出發(fā)，為我國進一步完善這方面的法律提出建議。

比較各國實踐，美國較早地對生物識別技術進行商業(yè)利用，也較早地面臨生物識別信息法律保護的問題。伊利諾伊州、德克薩斯州和華盛頓州都先后對生物識別信息進行了專門立法保護。前兩個州的立法基本采取了嚴格保護生物信息的進路，而華盛頓州則采取了對商業(yè)利用更為友好的進路。兩種進路是不同立法理念和利益方博弈的結果，也展現了不同進路對各種權利和利益平衡的考量。中國和美國的法律制度雖然有很大差異，但是同樣面臨著大數據時代個人信息保護的法律難題。因此，從功能主義的角度，美國生物識別信息商業(yè)利用的立法和實踐經驗對我國相關法律制度的完善也有參考價值。

一、伊利諾伊州《生物識別信息隱私法》和德克薩斯州《生物特征符獲取或使用法》

2008年，美國伊利諾伊州通過了《生物識別信息隱私法》（Biometric Information Privacy Act，以下簡稱“BIPA”）。作為美國第一部對商業(yè)利用生物識別信息進行專門保護的法律，BIPA對“私營實體”在個人生物識別信息的收集、保護、使用和銷毀以及個人信息主體的救濟手段等方面作出了較為詳盡的規(guī)定，并經過判例法不斷發(fā)展。2BIPA所規(guī)制的“私營實體”指個人、合伙企業(yè)、公司（corporation）、有限責任公司（limited liability company）、協會或者其他組織。其中，與中國的“有限責任公司”不同，美國的“有限責任公司”（limited liability company）實際上是一種股份公司與合伙相結合的公司組織形式。See Illinois Complied Statutes Chapter 740§14/10 (2008); Robert B. Taylor, Limited Liability Company, 26 Maryland Bar Journal 48, 48-50(1993).BIPA通過后一年，德克薩斯州通過了《生物特征符獲取或使用法》（Capture or Use of Biometric Identifier Act，以下簡稱“CUBI”），該法在規(guī)范內容上與BIPA非常相似。BIPA和CUBI被認為是“美國第一代生物識別信息隱私法”3Michelle J. Anderson & Jim Halpert, Washington Become the Third State with a Biometric Privacy Law: Five Key Differences, 1 RAIL: The Journal of Robotics, Artificial Intelligence & Law 41, 41-46 (2018).，其特點是對生物識別信息進行嚴格的保護。

（一）嚴格保護的進路

1. 立法目的與概念定義

伊利諾伊州BIPA的出臺具有偶然性。由于伊利諾伊州一家運營指紋識別系統(tǒng)的公司破產，大量被收集了指紋的用戶開始擔心他們的生物識別信息會被任意處理。1See Charles N. Insler, How to Ride the Litigation Rollercoaster Driven by the Biometric Information Privacy Act,43 Southern Illinois University Law Journal 819 (2019).生物特征具有獨特性和不可變更性，一旦泄露便是終身泄露，會有極大的身份被盜竊的風險，并且難以恢復原狀。在此背景下，伊利諾伊州議會注意到了人們對生物識別信息安全性的焦慮、公眾對新技術的警惕以及生物識別技術商用化潛在的未知風險。2See Illinois Complied Statutes Chapter 740§14/5 (2008).出于這種對生物識別技術商業(yè)利用高度警惕的態(tài)度，BIPA的規(guī)范內容對生物識別信息的保護作出了嚴格的規(guī)定。同時，由于BIPA在文本中明確了其立法目的，使得法院在具體判例中也傾向于采取嚴格保護個人信息主體權益的態(tài)度。

美國生物識別隱私法在概念上區(qū)分了“生物特征符”（biometric identifier）和“生物識別信息”（biometric information）。BIPA將“生物特征符”定義為“視網膜或虹膜的掃描、指紋、聲紋、手或臉的幾何掃描”3See Illinois Complied Statutes Chapter 740§14/10 (2008).。CUBI的定義與之相似。4See Texas Business and Commerce Code § 503.001 (a) (2009).BIPA進一步規(guī)定該法所稱的“生物特征符”不包括筆跡、簽名、照片以及用于科學和醫(yī)療的人體數據等。5See Illinois Complied Statutes Chapter 740§14/10 (2008).“生物識別信息”的定義則是建構在對“生物特征符”的定義之上的。根據BIPA，“生物識別信息”是指基于“生物特征符”產生的信息（無論該信息是如何獲得、轉換、儲存或者共享的）；基于“生物特征符”定義所排除的項目或過程所產生的信息都不屬于“生物識別信息”。6See Illinois Complied Statutes Chapter 740§14/10 (2008).

判例法對“生物特征符”和“生物識別信息”的概念做了進一步的明確。在里維拉等訴谷歌案（Rivera et al.v.Google Inc.）中，原被告針對通過對用戶上傳到云服務中的照片進行人臉掃描所獲得的人臉模板是否屬于BIPA所規(guī)定的“生物特征符”產生爭議。由于BIPA規(guī)定照片不屬于該法所稱的“生物特征符”，被告認為對照片進行的人臉識別不受BIPA的保護。對此，法院認定，BIPA沒有對獲取生物特征符的方式作出限制，以不同方式收集到的生物特征符并不會因其收集方式的不同而導致性質上的不同；無論收集者將生物特征符轉換成何種形式，只要所得到的信息可以用來對個人進行識別，就受到BIPA的保護。對本人面部進行掃描得到的人臉模板，和從照片或視頻中生成的人臉模板都屬于BIPA所規(guī)定的“生物特征符”。7See Rivera v. Google Inc., 238 F. Supp. 3d 1093-1095 (N.D. Ill. 2017).法院指出，“生物特征符”和“生物識別信息”區(qū)分的意義在于，前者是生物特征測量的集合，后者是將這些測量轉換成不同的可用的形式；前者只是用于識別一個人的、特定的、基于生物學的測量，并不涉及測量是如何進行的，而后者確保收集者不能通過將生物特征符轉換成某種其他形式來規(guī)避法律。8See Rivera v. Google Inc., 238 F. Supp. 3d 1096 (N.D. Ill. 2017).

2. 數據收集、保護、使用和銷毀規(guī)則

在數據收集上，BIPA要求私營實體在收集生物特征數據（biometric data）之前，必須通知個人（或者其合法的代理人）其生物特征符或生物識別信息正在被收集，并告知收集和儲存這些數據的目的和時間長短；這些告知必須是書面形式，并且個人（或者其合法的代理人）必須提供同意的書面聲明。1See Illinois Complied Statutes Chapter 740§14/15 (b) (2008).CUBI同樣要求收集者在收集生物特征數據前對被收集者進行通知并獲得同意。2See Texas Business and Commerce Code § 503.001 (b) (2009).但與BIPA不同，CUBI在通知和同意的具體形式上并沒有作出要求。

在生物特征數據的保護標準上，BIPA要求私營實體必須將生物識別信息作為機密和敏感的信息對待，并給予與其他敏感和機密信息相同或更高的保護，以“該私營實體行業(yè)內的合理注意標準”來儲存、傳輸和保護這些信息。3See Illinois Complied Statutes Chapter 740 §14/15 (e) (2008).而CUBI規(guī)定，出于商業(yè)目的而獲取的個人生物特征符的擁有者，應當以與該人儲存、傳輸和保護其擁有的任何其他機密信息相同或更具保護性的方式，合理謹慎地儲存、傳輸和保護生物特征符，防止其被披露。4See Texas Business and Commerce Code § 503.001 (c) (2009).因此，與BIPA相似，CUBI的保護標準同樣可以分為兩個部分：第一個標準是要求生物特征數據的擁有者采用與其他機密信息相同或更高的標準進行保護，這一點與BIPA的規(guī)定相同；第二個標準是“合理謹慎”，其僅是一種“常規(guī)的客觀標準”5Michael A. Rivera, Face Off: An Examination of State Biometric Privacy Statutes & Data Harm Remedies, 29 Fordham Intellectual Property, Media & Entertainment Law Journal 571, 591 (2019).，這一點與BIPA規(guī)定的“行業(yè)內合理注意標準”略有不同。

對于生物特征數據的使用，BIPA要求私營實體不得向第三方出售、出租、交換生物特征符和生物識別信息，或者以其他方式從保有的生物特征符和生物識別信息中牟利。6See Illinois Complied Statutes Chapter 740 §14/15 (c) (2008).私營實體僅能在以下4種情況下，才能披露其所保有的生物特征符或生物識別信息：（1）信息主體同意披露；（2）信息主體授權或要求的金融交易需要披露；（3）聯邦法律、州的法律或者市政條例要求披露；（4）有合法管轄權的法院發(fā)出令狀或傳票要求披露。7See Illinois Complied Statutes Chapter 740 §14/15 (d) (2008).CUBI原則上禁止出租、出售或者以其他方式披露生物特征數據，僅有4種例外情形：（1）信息主體同意在其失蹤或死亡的情況下，為識別目的而披露；（2）為完成信息主體所要求或授權的金融交易；（3）聯邦法或州法要求或允許披露；（4）為了執(zhí)行搜查令，由執(zhí)法機構或向執(zhí)法機構進行披露。8See Texas Business and Commerce Code § 503.001 (c) (2009).因此，BIPA對利用生物特征數據牟利的行為采取絕對禁止的態(tài)度，僅允許在4種法定例外情形下披露數據。相比之下，CUBI將例外情形的適用范圍擴大到了出售、出租等牟利行為。

關于生物特征數據的銷毀規(guī)則，BIPA要求私營實體必須制定一項書面政策，并向公眾公開；建立一個數據保留時間表和準則，在最初收集和保存生物特征符或生物識別信息的目的已經被滿足的情況下，或者個人與私營實體最后一次互動后的三年內（以先發(fā)生者為準），永久銷毀這些信息；除非有具有合法管轄權的法院發(fā)出有效的令狀或傳票，否則擁有生物特征符或生物識別信息的私營實體必須遵守其制定的數據保留時間表和準則。1See Illinois Complied Statutes Chapter 740§14/15(a) (2008).CUBI規(guī)定，個人生物特征符的擁有者，應當在合理時間內銷毀生物特征符，并且不得遲于收集該生物特征符的目的實現之日起的一年內。2See Texas Business and Commerce Code § 503.001 (c) (2009).此外，如果雇主出于安全目的收集雇員的生物特征符，當雇傭關系終止時，生物特征符的收集目的推定為終止，將適用該法規(guī)定的目的實現后一年內銷毀數據的規(guī)定。3See Texas Business and Commerce Code § 503.001 (c-2) (2009).可見，CUBI規(guī)定的數據保存期限更短，更為嚴格。并且，對雇員的生物特征數據保存時間作出了創(chuàng)新性的規(guī)定。但是，BIPA的規(guī)定更為全面，還要求收集者在與信息主體最后一次互動后的三年內必須銷毀數據。此外，BIPA要求私營實體制定并公開書面政策，能“激勵私營實體在收集生物特征數據時進行合規(guī)的考慮，理想情況下，有助于防止今后出現訴訟；并且，可以幫助消費者作出更好的選擇”4Michael A. Rivera, Face Off: An Examination of State Biometric Privacy Statutes & Data Harm Remedies, 29 Fordham Intellectual Property, Media & Entertainment Law Journal 571, 603 (2019).。

3. 救濟規(guī)則

BIPA規(guī)定，任何因違反該法的行為而受到損害的人，勝訴后可就每一侵權行為要求賠償：因過失違法而造成損害的，賠償數額為實際損失額或1,000美元；因故意或者重大過失違法而造成損害的，賠償數額為實際損失額或5,000美元。此外，被侵害人勝訴后可以獲得律師費用和其他合理費用的賠償，以及禁止令等其他救濟。5See Illinois Complied Statutes Chapter 740§14/20 (2008).

然而，對于“損害”的判斷標準，一直存在著較大的爭議，不同的法院也在實踐中作出過不同的判決。6See e.g. Mc Collough v. Smarte Carte, Inc., No. 16-cv-3777, 2016 WL 4077108 (N.D. Ill. 2016); Sekura v. Krishna Schaumberg Tan, Inc., No. 2016 CH 4945 (Ill. Cir. Ct. 2017).最終，伊利諾伊州最高法院在羅森巴赫訴六旗娛樂公司案（Rosenbachv.Six Flags Entertainment）中確定，BIPA所規(guī)定的“損害”指合法權利遭到侵犯、剝奪或者其他不利影響；信息主體無需證明其受到的實際損失，信息收集者和控制者對BIPA程序性要求的違反即構成對信息主體的“損害”。7See Rosenbach v. Six Flags, 2019 IL 123186, p. 10-11.法院還進一步指出，BIPA規(guī)定的“程序性的保護”，在當今數字時代具有重要的意義。個人獨特的生物特征符在被泄露或濫用后是無法更改的，一旦私營實體未遵守法定程序，個人的生物信息隱私權就立刻煙消云散了。 BIPA使得收集生物特征數據的企業(yè)必須謹慎行事，這是法律本身的合理意圖，因為，無論企業(yè)為滿足法律要求而可能產生多高的費用，與生物識別信息得不到適當保護可能造成的重大的、不可逆轉的損害相比，這些費用顯得微不足道；公眾利益與安全必須放在優(yōu)先地位。8See Rosenbach v. Six Flags, 2019 IL 123186, p. 11-13.

在救濟方式上，CUBI與BIPA有較大的不同，CUBI并未賦予個人提起民事訴訟的權利。根據CUBI的規(guī)定，違反該法的人，對于每次違反將受到不超過25,000美元的民事處罰。州總檢察長（State Attorney General）可以提起訴訟以獲得民事罰款。1See Texas Business and Commerce Code § 503.001 (d) (2009).相比較而言，CUBI不論是在救濟方式的種類還是幅度上均弱于BIPA。CUBI的救濟規(guī)則給了數據收集和控制者一個最高賠償額度的保護。并且，由于未賦予個人訴訟權利，數據收集和擁有者也免于應對大量的個人訴訟。此外，CUBI也未像BIPA一樣，賦予信息主體金錢賠償之外的救濟手段（如申請禁止令）。

有學者指出，BIPA關于私人訴訟的救濟模式也許是該法“最獨特和最重要的一個方面”2Michael A. Rivera, Face Off: An Examination of State Biometric Privacy Statutes & Data Harm Remedies, 29 Fordham Intellectual Property, Media & Entertainment Law Journal 571, 603 (2019).。在美國有關數據保護的法律中，很少有明確規(guī)定個人訴訟權的。賦予個人訴訟權，既給予了信息主體一個有力的救濟途徑，也有利于督促信息收集者和控制者嚴格遵守法律。此外，通過大量判例法的發(fā)展，生物識別信息保護的法律規(guī)則和法理也能得到進一步的豐富。

（二）嚴格保護進路產生的問題

從信息主體的角度看，BIPA和CUBI的嚴格保護進路較好地保護了信息主體的隱私權；但是從權利和利益平衡的角度看，這種相當嚴格的保護也會產生一些負面影響，主要體現在對表達自由的限制和影響對個人生物識別信息的正當商業(yè)利用。

1. 對表達自由的限制

有學者認為，BIPA等生物識別隱私法對個人生物識別信息的嚴格保護限制了表達自由，違反了美國憲法第一修正案。谷歌、臉書等公司都在從用戶照片中創(chuàng)建人臉模板的那一刻起觸犯了BIPA。但是，創(chuàng)建人臉模板屬于創(chuàng)造信息，而BIPA對這種信息創(chuàng)造的限制實際上是對表達自由的限制。由于從照片中獲取的數據并沒有用于廣告或市場營銷，因此，這種觀點認為BIPA和與它相似的生物識別隱私法構成了基于內容的、對非商業(yè)性表達的歧視性限制。3See Jane Bambauer & James E. Rogers, Biometric Privacy Laws: How a Little-Known Illinois Law Made Facebook Illegal, Program on Economics & Privacy (21 June 2017), https://pep.gmu.edu/2017/06/21/new-paperbiometric-privacy-laws-how-a-little-known-illinois-law-made-facebook-illegal/.

表達自由是美國信息理論的一個重要基礎理論。言論表達常常需要通過一定的信息來實現，因此在美國，信息被認定為表達自由所保護的對象。例如，在《紐約時報》訴沙利文案（New York Times Co.v.Sullivan）中，美國聯邦最高法院認為，對公共人物個人信息的使用受到言論自由的保護。4See New York Times Co. v. Sullivan, 376 U.S. 254 (1964).早期，美國聯邦最高法院曾經認為，美國憲法并不保護商業(yè)言論。但這一立場在弗吉尼亞州藥事管理局訴弗吉尼亞州消費者委員會案（Va.Pharmacy Bd.v.Va. Consumer Council）中得到了轉變。在該案中，聯邦最高法院認定，廣告商對藥品價格信息的傳播受言論自由條款的保護，弗吉尼亞州立法對其進行的限制無效。聯邦最高法院指出，商業(yè)信息的自由流動對自由企業(yè)體系的合理資源配置具有不可或缺的意義，因為它能對大量的企業(yè)決策提供信息，從而驅動商業(yè)體系的有效運行。1See Va. Pharmacy Bd. v. Va. Consumer Council, 425 U.S. 748 (1976).由此，出于商業(yè)目的，對信息各種形式的創(chuàng)造和使用也常常被視為商業(yè)言論表達，從而受到美國憲法言論自由條款的保護。

在索雷爾訴艾美仕健康公司案（Sorrellv.IMS Health Inc.）中，美國聯邦最高法院認定，對個人處方信息的獲取和使用受憲法言論自由條款的保護。藥店將其接收的個人處方信息賣給數據挖掘者，數據挖掘者生成關于處方行為的報告，并將其出售給制藥商，制藥商則依此來改變其營銷策略。佛蒙特州《處方保密法》規(guī)定，除非獲得信息主體的同意，否則藥店不得銷售或出于營銷目的披露處方信息，制藥商也不能將處方信息用于營銷。但該法也規(guī)定了一些例外情形，如用于醫(yī)療研究等。在該案中，聯邦最高法院認為：佛蒙特州《處方保密法》的規(guī)定構成了基于內容（禁止藥店銷售和披露，以及禁止制藥商用于營銷，但是允許醫(yī)療研究等例外情形對處方信息的使用）和言論者（藥店和制藥商）歧視性的限制，因此違反了美國憲法對言論自由的保護。2See Sorrell v. IMS Health Inc., 131 S. Ct. 2653 (2011).

綜上所述，美國聯邦最高法院已經在一系列的判例中，將商業(yè)領域中各種形式的信息創(chuàng)造、獲取和傳播認定為受憲法保護的言論表達。表達自由的權利保護人們在公共場所交流的權利。而“交流”包括任何意圖被公眾理解或部分理解的象征性的表達行為。3Joseph Raz, Free Expression and Personal Identification, 11 Oxford Journal of Legal Studies 303 (1991).信息創(chuàng)造、獲取和傳播之所以能成為言論或表達自由保護的對象，原因在于信息具有公共性，進而具有非競爭性和非排他性，是一種處于公共領域的資源。4See Charlotte Hess & Elinor Ostrom, Ideas, Artifacts, and Facilities: Information as a Common-Pool Resource, 66 Law and Contemporary Problems 111, 111-145 (2003).人類社會的不斷進步，正是通過信息的公開、流動以及對思想成果的使用來實現的。

2. 對個人生物識別信息的合理商業(yè)利用造成阻礙

對于美國第一代生物識別信息隱私法的另一個批評是，為了保護個人隱私而進行過于嚴格的規(guī)制，這會阻礙許多依賴生物識別來提供安全的新技術的應用，妨礙信息行業(yè)的發(fā)展，最終導致“企業(yè)和消費者都被剝奪了使用生物識別技術來提高安全性的權利”5See Lauren Stewart, Big Data Discrimination: Maintaining Protection of Individual Privacy without Disincentivizing Businesses’ Use of Biometric Data to Enhance Security, 60 Boston College Law Review 349, 380(2019).。

例如，美國奈斯特公司（Nest）生產了一種門鈴，配有人臉識別技術的攝像頭，可以區(qū)分已知的和未知的面部，從而為房主提供更大的安全性。但是奈斯特公司在伊利諾伊州銷售該門鈴時，門鈴的人臉識別功能被禁用，因為BIPA要求在收集生物特征數據之前，必須進行書面的通知并獲得書面的同意。然而，每次有訪客出現在房主門前時，向訪客發(fā)出書面通知并要求獲得書面同意是不現實的。6Learn More about Familiar Face Detection and Managing Your Library, Nest Support, https://nest.com/support/article/Familiar-face-alerts.

此外，BIPA的損害救濟規(guī)則也會對生物識別產業(yè)的發(fā)展帶來阻礙。伊利諾伊州最高法院在前述羅森巴赫案中確定，信息收集和控制者違反程序性義務，即使未對個人信息主體造成實際損害，也需要承擔BIPA規(guī)定的賠償責任。僅違反程序性義務即需承擔賠償責任，固然有利于降低個人信息主體在侵權損害賠償中的證明責任，促進信息收集者、控制者遵守程序性義務，從而強化對個人信息主體的保護力度。但是，對信息業(yè)者而言，這樣的判決結果無疑會使信息業(yè)者面臨巨大的賠償風險。1See Boyd Garriott, How Patel v. Facebook Might Tee up a Privacy Battle at the Supreme Court, Wiley Connect (16 October 2019), https://www.wileyconnect.com/home/2019/10/16/how-patel-v-facebook-might-tee-up-a-privacybattle-at-the-supreme-court.

同時，由于BIPA規(guī)定了個人訴訟權，導致近年來基于BIPA的訴訟激增，這給信息業(yè)者造成了相當大的訴訟負擔。僅2018年和2019年上半年，就有213起B(yǎng)IPA訴訟案件提交到法院。2See BIPA Update: Class Actions on the Rise in Illinois Courts, Holland & Knight (22 July 2019), https://www.hklaw.com/en/insights/publications/2019/07/bipa-update-class-actions-on-the-rise-in-illinoiscourts#:～:text=According%20to%20Courthouse%20News%20Service%2C%20213%20BIPA%20cases,at%20 employers%20utilizing%20fingerprint%20technology%20for%20timekeeping%20purposes.不僅案件數量增加，案件所需時長也往往因案件本身的復雜性而大大延長。2015年提起的針對臉書公司的訴訟案件經歷了長達五年的漫長訴訟過程才得到最終判決。3See In re Facebook Biometric Information Privacy Litig., No. 15-cv-03747 (N.D. Cal.).

此外，BIPA法定的賠償數額過高，以至于在實踐中并不能得到實現。BIPA規(guī)定每一個因私營實體過失違法而受到損害的人可以獲得至少1,000美元的賠償（如因故意或重大過失違法則為5,000美元），另外還有訴訟費等賠償；而集體訴訟的形式又會進一步成倍放大賠償數額。以2016年12月伊利諾伊州庫克縣法院批準的第一份BIPA和解協議為例。由于是針對L.A. Tan公司提出的集體訴訟，該和解協議最終確定的金額為150萬美元（其中包括60萬美元的律師費），每個提出索賠的原告獲得125—150美元的賠償。4See Jonathan Bilyk, L.A. Tan Settles Fingerprint Scan Privacy Class Action for $1.5M; Attorneys Get $600K, Cook County Report (9 December 2016), https://cookcountyrecord.com/stories/511056103-l-a-tan-settles-fingerprintscan-privacy-class-action-for-1-5m-attorneys-get-600k.在針對臉書公司的集體訴訟案件中，法院也認為BIPA法定賠償數額過高，因此，案件最終以達成和解協議而結束。臉書公司將向一項基金支付6.5億美元，但據測算，每一個個人只能獲得200—400美元。5See Lorraine Swanson, Illinois Facebook Users Can Claim up to $400 in Class Action Suit, MSN (23 September 2020), https://www.msn.com/en-us/lifestyle/lifestyle-buzz/illinois-facebook-users-can-claim-up-to-dollar400-inclass-action-suit/ar-BB19kuiN.

二、華盛頓州《生物識別隱私法》

BIPA和CUBI通過后，美國各州生物識別隱私保護立法在一段時間內陷入了停滯。多個州試圖通過保護消費者生物特征數據的立法，6華盛頓州、阿拉斯加州、蒙大拿州、新罕布什爾州、康涅狄格州以及紐約州都提出綜合性生物識別保護立法。See Jared Bennett, Saving Face: Facebook Wants Access without Limits, The Center for Public Integrity (31 July 2017), https://www.publicintegrity.org/2017/07/31/21027/saving-face-facebook-wants-access-without-limits.但直到2017年，華盛頓州才通過了《生物識別隱私法》（Washington Biometric Privacy Act，以下簡稱“WBPA”），成為美國第三個進行生物識別隱私專門立法的州。在WBPA的制定過程中，BIPA和CUBI的嚴格保護所引發(fā)的爭議日益凸顯。同時，臉書和谷歌之類的大型高科技企業(yè)也雇傭了游說團體去積極影響該法案的制定，使得WBPA在規(guī)范內容上更多地考慮了生物識別信息商業(yè)利用的利益，對商業(yè)利用比較友好。1Kartikay Mehrotra, Tech Companies Are Pushing back against Biometric Privacy Laws, Bloomberg (20 July 2017), https://www.bloomberg.com/news/articles/2017-07-20/tech-companies-are-pushing-back-againstbiometricprivacy-laws.

（一）對生物識別信息商業(yè)利用的友好進路

1.立法目的與概念定義

立法目的上，WBPA指出，立法機關發(fā)現，出于商業(yè)、安全和便利的目的，華盛頓州的公民越來越多地被要求公開其敏感的生物信息，這些生物信息被用于識別特定、唯一的個人。在未經信息主體的同意或其不知情的情況下，收集和銷售個人生物特征數據的情況令人擔憂。因此，立法機關要求生物特征數據收集者披露其如何使用這些數據，并在將個人的生物特征數據錄入數據庫或在數據庫中進行更改、使用之前向該個人發(fā)出通知并獲得其同意。2See Washington Revised Code § 19.375.900 (2017).

與BIPA在立法目的中體現的對生物識別技術的警惕和嚴格保護態(tài)度不同，WBPA在立法目的上，僅僅是為了規(guī)范數據收集者和控制者對生物特征數據的收集和使用行為。

根據WBPA，“生物特征符”是指“通過自動測量個人生物特征（如指紋、聲紋、視網膜、虹膜或其他用于識別特定個體的獨特生物特征）而產生的數據”。3See Washington Revised Code § 19.375.010 (1) (2017).與BIPA相似，WBPA還進一步對定義所不包括的內容進行了列舉。根據該法，“生物特征符”不包括物理或數字照片、視頻或音頻記錄或由此產生的數據，也不包括醫(yī)療方面的信息。4See Washington Revised Code § 19.375.010 (5) (2017).

此外，WBPA還對一些新的概念進行了定義?！颁浫搿保╡nroll）是指獲取個人生物特征符后，將其轉換為無法重建為原始輸出圖像的參照模板，并將其存儲在用于與特定個人生物特征符相匹配的數據庫中。WBPA還區(qū)分了“商業(yè)目的”和“安全目的”?！吧虡I(yè)目的”是指為銷售商品或服務而向第三方出售或披露生物特征符的目的，這種商品或服務并不涉及首次獲得個人生物特征符的初始交易；“安全目的”指防止行竊、欺詐或任何其他盜用或盜竊有價值的東西（包括有形和無形的物品、服務）的目的，以及其他保護軟件、賬戶、應用程序、在線服務等安全或完整性的目的。5See Washington Revised Code § 19.375.010 (4), (8) (2017).

2. 數據收集、保存、使用和銷毀規(guī)則

在具體的數據保護規(guī)則上，WBPA明確區(qū)分了“商業(yè)目的”與“安全目的”，并在此基礎上作出了不同的規(guī)定。根據該法，為了實現安全目的而收集、獲取或錄入并儲存生物特征符，并不要求私營實體提供通知并獲得同意。1See Washington Revised Code § 19.375.020 (7) (2017).這一規(guī)定免除了私營實體將生物識別技術用于安全目的時，通知被收集者并獲得同意的義務。比較而言，盡管CUBI也包含“商業(yè)目的”的限制，但由于其并未對商業(yè)目的作出定義，并且“是否包含了安全目的也尚不明確”2Lauren Stewart, Big Data Discrimination: Maintaining Protection of Individual Privacy without Disincentivizing Businesses’ Use of Biometric Data to Enhance Security, 60 Boston College Law Review 349, 378 (2019).，因此CUBI并未在其規(guī)范內容上體現出在商業(yè)利用中因為生物特征數據使用目的的不同而導致的規(guī)則不同。

在生物特征數據的收集上，與BIPA和CUBI不同，WBPA只對數據收集者將生物特征數據錄入數據庫的行為進行規(guī)制。根據WBPA，收集者需要事先通知被收集者，取得同意，或者提供一種機制防止生物特征符被用于商業(yè)目的，否則，不能將生物特征符錄入到數據庫中。3See Washington Revised Code § 19.375.020 (1) (2017).這種規(guī)制方法具有以下優(yōu)點：第一，有利于提高生物特征數據的安全性。WBPA對“錄入”的定義明確了生物特征數據應當被存儲的特點格式，要求將生物特征符轉換為不能從數據重建為原始圖像的模板。由于這種模板可以使得竊取生物特征數據的黑客無法輕松地從數據重建原始的識別符，這將導致生物特征符更難被竊取。第二，更為靈活。WBPA只要求私營實體滿足發(fā)出通知并獲得同意，或者提供一種防止數據被用于商業(yè)目的的機制，符合這兩個條件中的一個即可。第三，收集者負擔更輕。可以避免僅短暫收集生物特征數據而不將其儲存在數據庫的私營實體受到各種嚴格的限制。第四，可以避免對表達自由造成限制的問題。與BIPA不同，WBPA并未對通知和同意的具體形式作出規(guī)定，只要求通知是“通過合理設計為受影響的人可隨時獲得的程序”作出的；對于通知和同意的內容也僅規(guī)定“確切的通知和同意類型視情況而定”。4See Washington Revised Code § 19.375.020 (2) (2017).

在生物特征數據的保護標準上，與BIPA和CUBI的兩個要求不同，WBPA只要求生物特征數據的控制者“采取合理謹慎的措施，防止未經授權的人對生物特征數據的訪問和獲取”5See Washington Revised Code § 19.375.010 (4) (2017).。WBPA的保護標準僅僅是一個客觀的合理謹慎標準，類似于CUBI的第二個標準。因此，WBPA的保護標準低于BIPA和CUBI。

對于生物特征數據的使用，與BIPA和CUBI相同，WBPA原則上禁止出售、出租或者以其他方式披露生物特征符。同時，WBPA也規(guī)定了與BIPA和CUBI相似的4個數據披露的例外情形：（1）獲得信息主體的同意；（2）法律要求披露；（3）法院指令要求披露；（4）披露是為完成主體授權的金融交易所必需的。其中，WBPA在完成金融交易所必需的披露中，增加了對數據接收方的要求：數據接收方必須維護數據機密性，并且除非依據該法獲得允許，否則不可再次披露生物特征符。此外，與BIPA和CUBI不同的是，WBPA進一步增加了數據披露的例外情形，具體包括：（1）符合該法通知、同意和數據保護要求的；（2）為提供信息主體訂閱、請求或明確授權的產品或服務所必需的；（3）第三方以合同方式承諾不會出于商業(yè)目的而再次披露生物特征符，以及不會以與該法要求所不符合的方式，將生物特征符錄入數據庫以用于商業(yè)目的；（4）用于準備訴訟，或者回應或參加司法程序。與CUBI相同，WBPA也允許在例外情形下出售、出租生物特征符。1See Washington Revised Code § 19.375.020 (3) (2017).由此可見，WBPA為生物特征數據的出售、出租和披露留出了較大的空間。另外，WBPA規(guī)定，如果沒有獲得同意，生物特征符不得以實質上不同于最初所規(guī)定的條款的方式使用或披露。2See Washington Revised Code § 19.375.020 (5) (2017).

對于生物特征數據的保存時間，WBPA只要求生物特征數據的控制者保留數據的時間不得超過為實現其目的所必需且合理的時間。這些目的包括遵守法律規(guī)定的保留時間、安全目的以及為已經錄入了的生物特征數據提供服務。3See Washington Revised Code § 19.375.020 (4) (2017).因此，相對于BIPA和CUBI，WBPA對數據保存時間的規(guī)定更靈活，但也最不確定。

3.救濟規(guī)則

與CUBI相似，WBPA并未賦予個人提起民事訴訟的權利，只能通過州總檢察長來進行起訴。但與CUBI所規(guī)定的單獨的執(zhí)行機制不同，WBPA的執(zhí)行機制是通過《華盛頓州消費者保護法》來進行的。根據WBPA，違反該法的行為，將被視為不公平或欺騙性的行為或者不公平的競爭方法而適用消費者保護法的相關規(guī)定。4See Washington Revised Code § 19.375.030 (2017).然而，《華盛頓州消費者保護法》對每一個不公平或欺騙性的行為或者不公平競爭方法的最高民事處罰為2,000美元。5See Washington Revised Code § 19.86.140 (2012).因此，WBPA在救濟力度上甚至還弱于CUBI。

（二）對個人生物識別信息保護的不足

1. 規(guī)范上的漏洞

在“生物特征符”的定義上，與BIPA和CUBI相比，WBPA的一個明顯的區(qū)別是其并未明確將“臉部的幾何掃描”放入定義中。同時，其還明確將“物理或數字照片”排除在定義之外。這可能會導致法院在司法實踐中將從照片中產生的人臉幾何模板排除在該法的保護范圍外。但另一方面，WBPA在其定義中還有“或其他用于識別特定個體的獨特生物特征”的兜底規(guī)定，并且該法排除了“視頻或音頻記錄或由此產生的數據”，卻沒有在“物理或數字照片”后加上“或由此產生的數據”。這又使得從WBPA定義的文本中，有解釋出包含照片中產生的人臉幾何模板的可能。WBPA這種立法上的模糊與其立法時的背景有關。從2015年起，不少企業(yè)因為對用戶上傳的照片進行人臉識別而遭到起訴。其中的一個重要爭議就是從照片中獲取的人臉數據是否受BIPA的保護。6See e.g. Norberg v. Shutter fly, Inc., 152 F. Supp. 3d 1103 (2015); In re Facebook Biometric Info. Privacy Litig.,185 F. Supp. 3d 1155 (N.D. Cal. 2016); Rivera v. Google Inc., 238 F. Supp. 3d 1093-1095 (N.D. Ill. 2017).然而，從實踐中來看，爬蟲工具爬取網絡上的人臉照片已經成為人臉數據的重要來源之一1See Louise Matsakis, Scraping the Web Is a Powerful Tool. Clearview AI Abused It, WIRED (25 January 2020),https://www.wired.com/story/clearview-ai-scraping-web/.，而這些公開的數據倘若與個人身份信息相匹配，將會侵犯到個人隱私。WBPA的這種模糊態(tài)度無疑會使得個人生物識別信息的安全處于嚴重的危險之中。

此外，WBPA對“生物特征符”是否包括從視頻或音頻記錄中產生的聲紋也不確定。該法在其定義中明確提到了聲紋，但隨后又將“視頻或音頻記錄或由此產生的數據”排除在外。然而，在現實中一些聲紋實際上可能是從視頻或音頻記錄中產生的數據。

WBPA關于“安全目的”的規(guī)定也存在漏洞。該法對“安全目的”的定義過于廣泛，同時，定義中的“其他目的”也容易被擴大解釋。因此，該規(guī)定會減損WBPA的實際效力。2See Michael A. Rivera, Face Off: An Examination of State Biometric Privacy Statutes & Data Harm Remedies, 29 Fordham Intellectual Property, Media & Entertainment Law Journal 571, 603 (2019).從生物識別技術在現實生活中的應用來看，雖然生物識別并不僅僅被用作一種安全手段，但安全手段確實占了生物識別用途的大部分。3See Alexandro Pando, Beyond Security: Biometrics Integration into Everyday Life, Forbes (4 August 2017), https://www.forbes.com/sites/forbestechcouncil/2017/08/04/beyond-security-biometrics-integration-into-everydaylife/#38724d81431f.在對生物識別信息的商業(yè)利用中，很多利用形式都可以被解釋為具有保護有形或無形的物品、服務或空間的安全和完整性的目的。而根據WBPA的規(guī)定，為了實現“安全目的”而收集并儲存生物特征數據的，可以免除通知和獲得同意的義務。這將使得在生物識別信息商業(yè)利用的大部分場景中，收集者可以在不通知信息主體并獲得同意的情況下，收集并儲存生物特征數據，進而產生收集者過度收集，造成個人生物識別信息安全風險的問題。

在規(guī)制范圍上，WBPA由于“商業(yè)目的”的定義使其在對數據收集者的規(guī)制上出現漏洞。由于該法僅適用于向第三方銷售或披露的行為，數據收集者對生物特征符內部的使用行為便不受規(guī)制。4See Lara Tumeh, Washington’s New Biometric Privacy Statute and How It Compares to Illinois and Texas Law,Bloomberg Law (13 October 2017), https://news.bloomberglaw.com/privacy-and-data-security/washingtons-newbiometric-privacy-statute-and-how-it-compares-to-illinois-and-texas-law.此外，“商業(yè)目的”的定義將獲得個人生物特征符的初始交易排除在外，因此，WBPA也僅僅是對部分出于銷售目的而使用生物特征符的行為進行規(guī)制。

在信息披露上，WBPA擴大了允許披露的情形。只要披露是為提供信息主體訂閱、請求或明確授權的產品或服務所必需的，甚至只要求第三方以合同方式承諾不會再次披露并且遵守該法即可。這就增加了信息泄露的風險。而在保護標準上，WBPA僅要求采取合理謹慎的措施以防止未經授權的訪問和獲取，并未規(guī)定相比一般個人信息更高的保護標準。在信息保存期限上，WBPA僅規(guī)定不得超過實現目的所必需且合理的時間。該法所規(guī)定的“合理謹慎”和“必需且合理”都是相對不確定的，這在實踐中并不利于對個人生物識別信息的保護。

2. 救濟手段的不足

CUBI和WBPA都沒有賦予個人提起訴訟的權利，只能由州總檢察長進行起訴。州總檢察長訴訟的模式源于美國消費者保護法的訴訟機制。20世紀60—70年代，在美國聯邦貿易委員會的推動下，美國各州陸續(xù)采用了“不公平和欺騙性行為”（Unfair and Deceptive Practices，以下簡稱“UDAP”）法規(guī)，并在州總檢察長辦公室下設立了消費者保護司。由于對于隱私和數據安全的調查往往涉及較為復雜的技術性問題，消費者在查清案件事實上存在困難。20世紀90年代后，州總檢察長辦公室開始通過UDAP法規(guī)來保護消費者免受商業(yè)行為對其隱私的侵害。此外，州總檢察長訴訟的模式也可以避免消費者濫訴。1See Danielle K. Citron, The Privacy Policymaking of State Attorneys General, 92 Notre Dame Law Review 747,753-754 (2016).

然而，這種模式也受到質疑。由于總檢察長辦公室對是否提起訴訟擁有最終的決定權，因此，受到侵害的消費者無法控制自己的追索權。并且，由于州總檢察長是民選官員，因此，難免會受到利益團體游說，被選舉政治所影響。2See Emily Myers & Ayeisha Cox, The Authority of State Attorneys General and Their Efforts on 21st Century Policing, The Book of the States 2016, http://www.knowledgecenter.csg.org/kc/system/files/Myers Cox 2016.pdf.在個人信息的侵權案件中，州總檢察長訴訟模式下，由于訴訟的最終決定權并不掌握在消費者手中，生物識別信息的主體很有可能無法獲得充分救濟。

從救濟方式看，WBPA對違法者每次違法行為的最高處罰金額僅為2,000美元。相對于利用生物識別信息所獲得的利益而言，這樣的處罰數額難以產生足夠的震懾力。而對于信息主體因生物識別信息泄露或濫用而可能遭受的損害而言，這樣的救濟是不充分的。因此，WBPA救濟規(guī)則可能導致法律實施效果不理想。

三、美國州立法經驗的啟示與反思

從BIPA到WBPA，美國三部州一級的立法形成了兩種立法傾向：嚴格保護進路和商業(yè)友好進路，二者均有各自的優(yōu)缺點。兩種不同進路背后的立法理念及其各自的法律實踐和社會后果值得參考。在考量立法進路時需要充分考慮到生物識別信息的雙重屬性，既要保護好信息主體的隱私權，也要照顧到個人信息所具有的公共性、正當的商業(yè)利用需求和表達自由。在進行具體規(guī)制時，可以通過完善信息區(qū)分、場景化行為主義規(guī)制模式以及公私結合的救濟途徑來實現對生物識別信息雙重屬性的兼顧。

（一）充分考量生物識別信息的雙重屬性

美國的法律實踐展示了個人生物識別信息的雙重屬性。從人權保護的角度看，個人生物識別信息也涉及到隱私權（right to a private life）和表達自由（freedom of expression）這兩個相互關聯并常常沖突的權利。

1948年《世界人權宣言》將隱私權作為一項基本人權加以保護。1950年《歐洲人權公約》緊隨其后，保護尊重私人生活的權利。1966年聯合國通過的《公民權利和政治權利國際公約》也明確保護隱私權。1981年，歐洲理事會發(fā)布了《個人數據自動化處理中的個人保護公約》。12012年歐洲委員會通過公約修正案，刪除了“自動化”，改名為《個人數據處理中的個人保護公約》。2000年《歐盟基本權利憲章》將個人數據保護確定為一項基本權利。2《歐盟基本權利憲章》第8條第1款規(guī)定：“每個人都有權保護涉及自身的個人數據?！痹诿绹?，學者沃倫（Samuel Warren）和布蘭德斯（Louis Brandeis）在著名的《論隱私權》中，首次提出“隱私權”的概念，并將其定義為“個人獨處的權利”。3See Samuel D. Warren & Louis D. Brandeis, Right to Privacy, 4 Harvard Law Review 193, 193-220 (1890-1891).進入信息時代，學者威斯?。ˋlan F. Westin）將“隱私權”定義為“個人、群體或者機構自主決定什么時候、如何以及在多大程度上將有關自身的信息披露給他人的權利”，4See Alan F. Westin, Privacy and Freedom, Atheneum, 1967, p. 7.由此形成了“信息隱私權”。美國聯邦最高法院在1977年惠倫訴羅（Whalenv.Roe）案的判決中指出，受憲法保護的隱私領域的利益包括“防止披露個人事務中所體現出的個人利益”5Whalen v. Roe, 433 U.S. 425 (1977), p. 599-600.，從而從法律層面正式確立了信息隱私權。

但是信息主體對個人信息的權利不是一項絕對權利。《歐洲人權公約》第10條和《公民權利和政治權利國際公約》第19條保護表達自由，其中包括接受和傳播信息和思想的自由?！秱€人數據處理中的個人保護公約》在其序言中指出，“個人數據保護的權利應當就其社會作用加以考慮，并且應當與包括表達自由在內的其他人權和基本自由相協調”，要將“查閱官方文件權利的原則考慮在內”，認識到“促進人與人之間信息的自由流通之必要性”。歐盟《一般數據保護條例》的聲明（Recital）條款第4條也明確指出“保護個人數據的權利不是絕對權利，必須根據比例原則，考慮其在社會中的作用，并且與其他權利進行權衡”。在美國，信息隱私權在理論和法律層面的確立，使得個人獲得了對個人信息的控制權利。但這種權利也不是絕對的，如前文所述，美國聯邦最高法院在一系列的判例中確定了言論自由包括信息創(chuàng)造、獲取和傳播的自由。信息隱私權必須與信息和表達自由相平衡。

從理論上看，個人信息具有公共性。施瓦茨（Paul M. Schwartz）教授認為，個人信息的交換會形成“隱私公共空間”（privacy commons）。“信息隱私像干凈的空氣或國防一樣，發(fā)揮著作為一種公共物品的功能”，因此，信息隱私可以被看作是一種需要一定程度的社會和法律控制來構建和維護的公共空間。6See Paul M. Schwartz, Property, Privacy, and Personal Data, 117 Harvard Law Review 2056, 2084-2090 (2004).費爾菲爾德（Joshua A. T.Fair field）和恩格爾（Christoph Engel）教授也認為信息隱私具有公共性，并指出，“對隱私公共物品性質的忽視將導致隱私政策誤入歧途”。他們解釋了過度重視個人隱私保護實際上會導致對他人隱私和社會利益的損害，因此，需要通過促進社會在隱私方面的集體行動（collective action），才能避免或補救這一“社會困境”。7See Joshua A. T. Fair field & Christoph Engel, Privacy as a Public Good, 65 Duke Law Journal 385, 385-458 (2015).

作為特殊的一類個人信息，生物識別信息同樣具有雙重屬性。一方面，生物識別信息承載著信息主體人格尊嚴、隱私權等基本權利。并且，由于具有專屬、唯一以及不可變更等特性，生物識別信息具有更高的敏感度。生物識別信息能更好地標識個人，一旦和其他信息相結合，便能精準地勾勒信息主體的社交網絡、行為偏好等，形成數字畫像。臉書、谷歌等公司推出的引發(fā)大量BIPA訴訟的人臉識別功能就是這樣的例子。對用戶照片進行人臉識別，并做出標簽，會使得個人生活更多地暴露給其他人。大數據時代，“這種在海量數據中進行篩選的能力，有可能抹去人們在公共生活和私人生活之間精心構建的界限”1See A. J. McClurg, In the Face of Danger: Facial Recognition and the Limits of Privacy Law, 120 Harvard Law Review 1870, 1874 (2007).， 進而對個人隱私造成侵害。對個人隱私的侵害還可能對個人聲譽產生負面影響，進而侵害個人的人格尊嚴。一個明顯的例子是，美國俄亥俄州的新聞主播凱瑟琳·博斯利（Catherine Bosley）到佛羅里達州度假，由于她認為周圍都是陌生人，因此參加了“濕T恤”比賽。但隨后照片和視頻被傳到網上，她也因此被電視臺解雇。2See Connie Schultz, Bare Facts Don’t Tell Whole Story, PLAIN DEALER (Cleveland), 29 January 2004, at Fi,LEXIS, News Library, Clevpd File.對此，有學者指出，“由于人臉搜索引擎，發(fā)生在博斯利身上的事很可能會更頻繁地發(fā)生在其他人身上”3Jim Barr Coleman, Digital Photography and the Internet, Rethinking Privacy Law, 13 Journal of Intellectual Property Law 205, 205-207 (2005).。

但另一方面，生物識別信息也具有公共性，涉及公共利益，而非完全處于個人領域內?，F代社會個人很難完全獨立于世。例如，人總是生活在一定的社群之內，人臉、聲紋、步態(tài)等個人生物識別信息不可避免地會在一定的公共領域內被收集、儲存并進行一定程度的流通。當個人出現在商店、餐館等公共場所時，其生物識別信息也必然會被同一場所內的其他人獲取和識別。在這樣的場景下，個人不可能主張對自己生物識別信息的絕對控制權。同時，生物識別信息的利用也有著促進社會公共利益的方面。生物識別技術在安全認證領域的應用，對于保護個人人身和財產安全有著重要的作用，有利于維護社會治安。此外，生物識別技術還能運用于社會治理領域，提升社會管理水平，例如打擊“號販子”、便利養(yǎng)老金發(fā)放等。4參見王丹娜：《生物識別：傳統(tǒng)信息安全在新技術環(huán)境的創(chuàng)新應用》，載《中國信息安全》2019年第2期，第60—64頁。因此，在生物識別信息的保護中，也應當注意到個人信息的公共性，從而避免過度保護導致的對其他權利的損害。

（二）完善商業(yè)利用生物識別信息法律規(guī)則的路徑

個人生物識別信息的雙重屬性，使得立法者必須在不同權利和利益之間進行平衡。本文提出，可以通過完善信息區(qū)分、場景化行為主義的規(guī)制以及公私結合的救濟路徑來構建商業(yè)利用生物識別信息的法律規(guī)則。

1. 完善信息區(qū)分

不同的個人信息有著不同的敏感度，不同信息的處理對個人隱私造成的風險也不相同。5參見孔令杰：《個人資料隱私的法律保護》，武漢大學出版社2009年版，第213頁。個人一般信息（如手機號碼、家庭住址等）被泄露或濫用的損害后果較為輕微（例如垃圾信息對私人生活安寧的干擾），達不到嚴重損害的程度。1參見吳標兵、許和隆：《個人信息的邊界、敏感度與中心度研究——基于專家和公眾認知的數據分析》，載《南京郵電大學學報（社會科學版）》2018年第5期，第44—53頁。相比較而言，生物特征具有唯一、不可更改的特性，生物識別信息一旦被泄露或濫用，極有可能發(fā)生身份被竊取等情況，嚴重威脅信息主體的人格權、財產權等基本權利，并且，這樣的損害難以獲得完全的恢復。因此，在對個人信息的法律保護上，需要對生物識別信息的儲存和利用進行相比一般個人信息更嚴格的規(guī)制。

從域外立法上看，不少國家和地區(qū)已經在立法中對個人信息的類型進行了區(qū)分，進而提供不同的保護?！秱€人數據處理中的個人保護公約》最早區(qū)分了個人一般信息和個人敏感信息。歐盟《一般數據保護條例》第4條和第9條將基因數據和經處理可識別特定個人的生物特征數據納入個人敏感數據當中，原則上禁止處理。從BIPA到WBPA，美國現行的三部生物識別隱私法都將生物識別信息與其他個人信息相區(qū)別，規(guī)定了專門的保護規(guī)則。特別是，BIPA和CUBI分別定義了生物識別信息和敏感信息；在生物識別信息的保護標準上，明確規(guī)定要采用比其他敏感和機密信息相同或更高的標準。

信息區(qū)分在我國已經有著一定的基礎。如前文所述，《個人信息保護指南》《個人信息安全規(guī)范》《個人金融信息保護技術規(guī)范》都明確區(qū)分了個人一般信息和個人敏感信息。在學界，也有不少學者提出對個人信息進行分類保護或者對敏感的個人信息進行特別規(guī)定。2參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期，第38—59頁；鞠曄、王平：《云計算背景下歐盟消費者個人敏感數據的法律保護》，載《法學雜志》2014年第8期，第79—85頁；胡文濤：《我國個人敏感信息界定之構想》，載《中國法學》2018年第5期，第235—254頁；田野、張晨輝：《論敏感個人信息的法律保護》，載《河南社會科學》2019年第7期，第43—49頁。還有學者進一步提出，應當在各類個人信息單行法律法規(guī)中對敏感的個人信息進行特別規(guī)定。3參見張鵬：《論敏感個人信息在個人征信中的運用》，載《蘇州大學學報》2012年第3期，第97—103頁。《個人信息保護法（草案二次審議稿）》已經初步確立了信息區(qū)分。因此，我國可在未來的立法中結合國內外立法和理論經驗，在法律、行政法規(guī)中進一步完善信息區(qū)分，對生物識別信息等敏感信息規(guī)定信息收集、儲存、處理等不同環(huán)節(jié)的更為嚴格的保護規(guī)則。

2.場景化行為主義的規(guī)制方式

生物識別信息的敏感性要求更高的保護，但并不意味著絕對的保護。實際上，生物識別技術在不同的場景下和不同的信息處理環(huán)節(jié)中，對生物識別信息安全所帶來的風險程度是不同的。因此，可以通過場景化行為主義的規(guī)制方式來實現生物識別信息的高度敏感性與一定的公共性之間的平衡。

個人信息保護應當根據信息收集、儲存、處理等不同環(huán)節(jié)所可能侵犯個人與社會的權益而進行不同程度的規(guī)制，以確保個人信息流通的各個環(huán)節(jié)都能得到法律的合理介入。4參見丁曉東：《個人信息的雙重屬性與行為主義規(guī)制》，載《法學家》2020年第1期，第64—76頁。對于生物識別信息，本文認為，生物特征數據僅僅是對個人生物特征的數字化表述，并不直接與具體個人身份信息相關聯，對生物特征數據的采集并不會直接對個人信息主體的權利造成損害，只有當數據經過一定的處理，才有侵害個人信息主體權利的可能。因此，在生物識別信息的法律規(guī)制中，可以根據場景的不同采取不同的收集規(guī)則，一定程度上采取相對寬松的規(guī)制方式，以利于生物識別信息公共價值的實現。對于信息的儲存和披露，由于生物識別信息的高度敏感性，應當采取比一般個人信息更嚴格的規(guī)則。具體而言，可以借鑒BIPA和CUBI，規(guī)定信息控制者必須以和其他敏感信息相同或更高的標準儲存、傳輸和保護生物識別信息，并通過強制性國家標準等規(guī)范，確定加密、分段等儲存和傳輸方式；要求信息收集者、控制者在保存一定的期限后必須刪除；此外，應當嚴格禁止信息出租、出售或者其他披露行為，并將例外情形嚴格限制在法律要求、主體同意或授權的金融交易需要等范圍內。

個人信息是高度場景化的，不同場景下的個人信息可能需要不同程度的規(guī)制。1See Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA Law Review 1701, 1701-1778 (2010); Paul M. Schwartz & Daniel J. Solove, The PII Problem: Privacy and a New Concept of Personally Identifiable Information, 86 New York University Law Review 1814, 1814-1894 (2011).生物識別信息也是如此。生物識別主要有兩種應用方式：“驗證”（Verification）和“辨識”（Identification）。前者是“1對1”的驗證，即通過比較被識別對象的生物特征數據和數據庫的模板數據，判斷被識別對象和數據庫模板數據的主體是否為同一個人；后者是“1對N”的辨識，即通過將個人的生物特征數據與數據庫中存儲的所有記錄進行比較來確定被識別對象的身份。2See Robin Feldman, Considerations on the Emerging Implementation of Biometric Technology, 25 Hastings Communications and Entertainment Law Journal 653, 655-656 (2003).“1對1”的驗證廣泛應用于門禁系統(tǒng)、手機解鎖、微信和支付寶的支付程序等。而線下零售中，商店通過攝像頭記錄顧客行為軌跡和面部表情等，來分析顧客對商品的需求，則屬于生物識別技術辨識身份的應用場景。相比較而言，生物識別技術的風險主要集中于“1對N”辨識的應用場景中。

對于“1對1”的驗證場景，本文認為，可在數據收集規(guī)則上降低規(guī)制力度，以實現生物識別信息的公共性和利用價值。在門禁系統(tǒng)等應用場景中，收集數據時，向被識別對象發(fā)出通知并獲得明示的同意，既不現實也無必要。因此，可以在身份驗證的場景中，推定進入一定識別范圍內的被識別對象同意；或者借鑒WBPA的模式，僅在需要將數據儲存在數據庫時，要求通知并獲得同意。對于“1對N”辨識的應用場景，由于其具有辨識個人的功能，因此需要在數據收集規(guī)則上加以更嚴格規(guī)制，要求收集者明確告知并獲得同意，數據用途也應當受到嚴格的限制。

3.公私結合的救濟途徑

在救濟途徑上，BIPA采用了私人訴訟模式，而CUBI和WBPA則采用了州總檢察長訴訟模式，但如前文所述，這兩種救濟模式均存在不足。伊利諾伊州通過羅森巴赫案確立了對BIPA程序性規(guī)定的違反即構成侵權的規(guī)則，但這樣的判決是否合憲仍存在著爭議。1美國聯邦最高法院在斯波基奧公司訴羅賓斯（Spokeo Inc. v. Robins）案中認為，根據美國《憲法》第3條，原告必須受到實際損害才有資格提起訴訟，不能“僅僅主張一個沒有任何具體損害的、純粹程序上的違法”。因此，伊利諾伊州最高法院對羅森巴赫案的判決存在著是否違反美國聯邦最高法院斯波基奧公司案判決的爭議。See Spokeo Inc. v. Robins, 136 S. Ct. 1540 (2016).在我國，信息收集者、控制者僅違反程序性規(guī)定是否構成侵權，同樣也并無定論。2參見高富平：《個人信息保護：從個人控制到社會控制》，載《法學研究》2018年第3期，第84—101頁。在損害的認定、因果關系等信息侵權理論問題還沒有解決的情況下，如果廣泛賦予個人訴訟權，可能導致與伊利諾伊州相似的過度訴訟的情況出現，進而降低救濟效率。此外，由于技術的專業(yè)性，對信息侵權案件的事實調查也需要專業(yè)機構的介入。而CUBI和WBPA的州總檢察長訴訟模式雖有助于查清事實、提高救濟效率，但也面臨著剝奪了信息主體訴訟權利的問題。

從域外立法趨勢上看，由于個人信息的公共屬性越來越明顯，近年來，美歐主要的數據保護法都采取公法保護為主、有限賦予個人訴訟權的路徑。3參見王融、黃致韜：《邁向行政規(guī)制的個人信息保護：GDPR與CCPA處罰制度比較》，載搜狐網，https://www.sohu.com/a/381134650_455313。2018年頒布、2020年生效的美國《加州消費者隱私法》（California Consumer Protection Regulations）在救濟途徑上，規(guī)定了州總檢察長具有廣泛的規(guī)制權力，同時，也賦予了個人對于“未加密和未經授權的個人信息”在信息收集者、控制者違反程序義務而“受到未經授權的訪問和過濾、盜竊或泄露的影響”的情況下提起訴訟的權利。4See California Consumer Protection Regulations 1798.150 (a), (c).由于英美法律傳統(tǒng)并不嚴格區(qū)分公法和私法，行政執(zhí)行的程序也通過民事訴訟程序來實現。5See Robert A. Kagan, Adversarial Legalism: The American Way of Law, Harvard University Press, 2001, p. 3-15.因此，美國州總檢察長訴訟的模式本質上是行政處罰的程序。行政規(guī)制為主有利于提高救濟效率，同時，有限地賦予個人訴訟權，有利于保障個人信息主體在因數據泄露等特定類型的信息侵權案件中獲得充分救濟的權利。

我國在未來生物識別信息商業(yè)利用的立法規(guī)制中，可以借鑒公法保護為主、有限賦予個人訴訟權的模式。相比美國的州總檢察長是民選職位、更易受到選舉政治的影響，我國的檢察機關更易從公共利益平衡的角度起訴濫用個人生物識別信息的商業(yè)行為；還可以通過專門的信息監(jiān)管機構、強化對監(jiān)管機構的授權等方式，對信息收集者、控制者進行有效的監(jiān)管，及時糾正違法違規(guī)行為，并通過行政責任乃至刑事責任對違法違規(guī)行為形成震懾效應。同時，有限地賦予個人在生物識別信息泄露等特定類型的信息侵權案件中的訴訟權，以實現對個人權利的保障。

結語

美國法的兩種不同立法傾向及其相應的問題，反映了生物識別信息具有高度敏感性和一定的公共性。生物識別信息的高度敏感性要求在立法上采取區(qū)別于其他個人信息的更嚴格的保護規(guī)則。但是，過度的保護會妨礙生物識別信息公共性價值的實現，損害社會利益，因此，需要根據場景和信息處理環(huán)節(jié)的不同作出場景化行為主義的規(guī)制。此外，在救濟規(guī)則上，應該通過公法保護為主、有限保障個人訴訟權的模式，以實現對生物識別信息的有效規(guī)制。