林梓瀚 游 祎 史 淵

（1.中國電子系統(tǒng)技術(shù)有限公司，北京 100141；2.外交學(xué)院圖書館，北京 102206；3.北京交通大學(xué)法學(xué)院，北京 100091）

生物識(shí)別（Biometrics）是利用量化的生物（包括解剖學(xué)和生理學(xué)）特征及行為特征，以快速可靠的方式對(duì)個(gè)體進(jìn)行身份自動(dòng)識(shí)別和認(rèn)證的手段［1］。19世紀(jì)中期，工業(yè)革命的快速城市化進(jìn)程增加了社會(huì)各界對(duì)身份識(shí)別規(guī)范方法的需求。1892年，英國著名生物學(xué)家弗朗西斯·高爾頓（Francis Galton）開發(fā)了世界上首個(gè)指紋分類系統(tǒng)；1903年，紐約州的監(jiān)獄開始使用指紋系統(tǒng)；1960年，基于伍德羅·W.布萊索（Woodrow W.Bledsoe）研究成果的半自動(dòng)面部識(shí)別技術(shù)面世［2］。隨著智能技術(shù)的發(fā)展，生物識(shí)別技術(shù)被應(yīng)用到不同的場景，包括公共事業(yè)、商業(yè)等，為社會(huì)帶來了極大的便利，但是生物識(shí)別技術(shù)的廣泛應(yīng)用也帶來了相應(yīng)的困境，由生物識(shí)別引起的個(gè)人信息的安全問題更加引人關(guān)注。

本文梳理了生物識(shí)別技術(shù)主要的應(yīng)用場景及其帶來的困境，分析了國際組織與歐美等主要經(jīng)濟(jì)體對(duì)生物識(shí)別技術(shù)的治理政策和治理舉措，以期為中國利用生物識(shí)別技術(shù)收集個(gè)人信息的監(jiān)管提供參考。

1 生物識(shí)別技術(shù)的應(yīng)用場景和困境

1.1 生物識(shí)別技術(shù)的分類及應(yīng)用場景

生物識(shí)別可分為人臉識(shí)別、語音識(shí)別、虹膜識(shí)別、指紋識(shí)別、靜脈識(shí)別、步態(tài)識(shí)別等類別，其中最受決策者和管理者關(guān)注，且應(yīng)用最為廣泛的是人臉識(shí)別。概括而言，生物識(shí)別主要的應(yīng)用場景如表1所示。

表1 生物識(shí)別的應(yīng)用場景Tab．1 Scenarios of Biometric Technology Application

（續(xù)表1）

1.2 生物識(shí)別技術(shù)帶來的困境

當(dāng)前，生物識(shí)別技術(shù)正飛速發(fā)展。例如，判斷用戶情緒狀態(tài)的情緒識(shí)別技術(shù)以生物傳感器技術(shù)為基礎(chǔ)，有助于有效監(jiān)控情緒，并及時(shí)捕捉、反饋，提升決策效率，在零售行業(yè)、電子商務(wù)行業(yè)、教育、醫(yī)療和國防領(lǐng)域都得到廣泛應(yīng)用［3］。多模態(tài)混合生物識(shí)別技術(shù)也備受重視，其原理是通過融合各種行為和／或身體特征來識(shí)別一個(gè)人，或者通過融合幾個(gè)單模態(tài)生物識(shí)別系統(tǒng)來進(jìn)行識(shí)別，這一技術(shù)大大提升了生物識(shí)別技術(shù)的靈活性，有助于根據(jù)不同的場景和需求設(shè)置有效的融合方式和權(quán)重決策［4］。此外，非接觸式生物識(shí)別技術(shù)逐漸興起，其中人臉識(shí)別技術(shù)已經(jīng)日臻成熟，普遍應(yīng)用于考勤、門禁、銀行等場景中；靜脈識(shí)別技術(shù)主要應(yīng)用于一些中小場景，如獲取手指、手掌、手背靜脈的圖像等；虹膜識(shí)別因其唯一性、防偽性、便于信號(hào)處理等特征，偏重于安保和有高度保密需求的應(yīng)用場景［5］。

利用生物識(shí)別技術(shù)進(jìn)行用戶身份識(shí)別和驗(yàn)證具有高效便捷的特征，隨著人工智能的發(fā)展，算法也越來越精確。據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究 院（National Institute of Standards and Technology，NIST）2020年的測(cè)試情況顯示，使用最佳算法實(shí)施的面部識(shí)別失敗率僅有0.08%［6］。然而，這也引起了有關(guān)各方對(duì)生物識(shí)別數(shù)據(jù)收集、管理、使用的擔(dān)憂，尤其使用生物識(shí)別所導(dǎo)致得個(gè)人信息泄露更是引起各方對(duì)生物識(shí)別使用正當(dāng)性的爭論。

身份識(shí)別和認(rèn)證是一個(gè)統(tǒng)計(jì)學(xué)過程，生物識(shí)別信息錄入和獲取時(shí)的條件變化會(huì)導(dǎo)致生物特征指標(biāo)達(dá)不到100%匹配。此外，算法存在的歧視問題導(dǎo)致出現(xiàn)錯(cuò)誤的識(shí)別結(jié)果，算法存在的“對(duì)抗樣本”漏洞也使人臉識(shí)別有被破解的可能。生物特征數(shù)據(jù)的收集和存儲(chǔ)是一個(gè)敏感問題，由于生物特征標(biāo)識(shí)的唯一性和不可改變性，任何生物特征數(shù)據(jù)存儲(chǔ)系統(tǒng)的漏洞都可能導(dǎo)致嚴(yán)重的后果，用戶可能永遠(yuǎn)失去他們的生物特征身份。各國尚未準(zhǔn)備好利用現(xiàn)有技術(shù)和工具保護(hù)迅速增長的生物識(shí)別數(shù)據(jù)，而且隨著技術(shù)的發(fā)展，生物識(shí)別也面臨更多的問題。

技術(shù)發(fā)展帶來的問題與生物識(shí)別技術(shù)廣泛使用的疊加引發(fā)了安全方面的擔(dān)憂。生物識(shí)別信息作為一種數(shù)據(jù)，本身具有唯一性和不可變性，不像傳統(tǒng)密碼可以通過定期更換來減小風(fēng)險(xiǎn)［7］。以人臉識(shí)別為例，通過對(duì)人臉特征、表情等進(jìn)行分析，甚至可以推測(cè)出識(shí)別對(duì)象生物信息外的內(nèi)心感受，不僅關(guān)乎個(gè)人隱私，也涉及個(gè)人的尊嚴(yán)，一旦泄露可能造成無法挽回的后果。因此，生物識(shí)別數(shù)據(jù)的重要性與技術(shù)困境為制定專門針對(duì)生物識(shí)別數(shù)據(jù)隱私和安全的法律提出了要求。

2 主要國際組織的生物識(shí)別技術(shù)規(guī)范

國際組織一直關(guān)注智能技術(shù)發(fā)展為個(gè)人隱私帶來的安全問題，囿于國際組織作用的局限性，相關(guān)的國際組織主要從原則性規(guī)范入手，在“國際軟法”層面對(duì)宏觀的智能技術(shù)運(yùn)用進(jìn)行規(guī)范。

2.1 OECD與G20人工智能規(guī)則

經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Co-operation and Development，OECD）早在1980年就發(fā)布了《關(guān)于隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流通的指導(dǎo)方針》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data），該指導(dǎo)方針是全球首個(gè)關(guān)于個(gè)人數(shù)據(jù)保護(hù)和流通的政策性標(biāo)準(zhǔn)文件。文件將“個(gè)人數(shù)據(jù)”定義為“與確定的或可識(shí)別的個(gè)人（數(shù)據(jù)主體）有關(guān)的任何信息”，提出：數(shù)據(jù)收集應(yīng)當(dāng)在合法、公平及獲得數(shù)據(jù)主體知情或同意的前提下進(jìn)行；應(yīng)在不遲于收集數(shù)據(jù)時(shí)向數(shù)據(jù)主體說明收集目的，隨后的使用也應(yīng)限于這些目的或與這些目的不抵觸的其他目的；保持?jǐn)?shù)據(jù)完整、準(zhǔn)確和及時(shí)更新；除數(shù)據(jù)主體同意或法律授權(quán)，個(gè)人數(shù)據(jù)不得被披露、提供或用于其他目的；個(gè)人數(shù)據(jù)應(yīng)得到合理的安全保護(hù)，以防數(shù)據(jù)丟失或未經(jīng)授權(quán)的訪問、破壞、使用、修改或披露［8］。

2019年5月22日，OECD發(fā)布了《關(guān)于人工智能的政策建議》（Recommendation of the Council on Artificial Intelligence，簡稱《建議》）。該建議是各國政府在人工智能領(lǐng)域的首個(gè)原則性共同標(biāo)準(zhǔn)，明確了隱私、數(shù)字安全風(fēng)險(xiǎn)管理、負(fù)責(zé)任的商業(yè)行為等方面內(nèi)容，旨在促進(jìn)人工智能監(jiān)管的科學(xué)有效，同時(shí)確保人權(quán)和民主價(jià)值觀得到尊重［9］。《建議》提出關(guān)于人工智能的五條原則，即“利益相關(guān)者應(yīng)積極參與對(duì)值得信賴的人工智能的負(fù)責(zé)任管理，從而推動(dòng)包容性增長、可持續(xù)發(fā)展及人類福祉”“以尊重法治、人權(quán)、民主價(jià)值觀和多樣性的方式設(shè)計(jì)系統(tǒng)，并納入適當(dāng)?shù)谋Ｕ洗胧ㄈ缛藶楦深A(yù)），從而確保社會(huì)公平公正”“保證人工智能系統(tǒng)的透明度和信息披露可靠性”“人工智能系統(tǒng)在其全生命周期應(yīng)以穩(wěn)健、安全和可靠方式運(yùn)行，并對(duì)潛在風(fēng)險(xiǎn)進(jìn)行評(píng)估和管理”“開發(fā)、部署或操作人工智能系統(tǒng)的組織和個(gè)人應(yīng)根據(jù)上述原則對(duì)系統(tǒng)的正常運(yùn)作負(fù)責(zé)”［10］。

2019年6月9日，二十國集團(tuán)（G20）在貿(mào)易和數(shù)字部長會(huì)議表決通過了《關(guān)于貿(mào)易和數(shù)字經(jīng)濟(jì)的聲明》，并在該聲明的附件部分提出了相應(yīng)的人工智能原則?？傮w上說，G20采納了OECD《關(guān)于人工智能的政策建議》中的原則，強(qiáng)調(diào)：加強(qiáng)人工智能管理以促進(jìn)包容性增長、可持續(xù)發(fā)展及人類福祉；以人為本的價(jià)值觀及公平性；透明度和可解釋性；穩(wěn)健性、安全性和保障性，以及問責(zé)制［11］。

2.2 UNESCO人工智能規(guī)則

在OECD／G20人工智能治理框架外，聯(lián)合國教科文組織（United Nations Educational，Scientific and Cultural Organization，UNESCO）于2021年11月41屆大會(huì)上通過了《人工智能倫理問題建議書》（The Recommendation on The Ethics of Artificial Intelligence，簡稱《建議書》），旨在為各國制定人工智能相關(guān)立法、政策提供自由、人權(quán)、尊嚴(yán)等價(jià)值觀，公平與非歧視等原則和影響評(píng)估等行動(dòng)框架指導(dǎo)，確保相關(guān)行為者的活動(dòng)都合乎道德規(guī)范，促進(jìn)對(duì)人類尊嚴(yán)和性別平等的尊重，推動(dòng)人工智能倫理方面的交流和對(duì)話，從而實(shí)現(xiàn)本領(lǐng)域的蓬勃發(fā)展和利益共享［12］。

《建議書》強(qiáng)調(diào)，人工智能系統(tǒng)設(shè)計(jì)和使用應(yīng)當(dāng)尊重、保護(hù)和促進(jìn)人權(quán)和基本自由，有利于環(huán)境保護(hù)和生態(tài)繁榮，促進(jìn)社會(huì)多樣性和包容性，實(shí)現(xiàn)人類生活的和諧安寧。同時(shí)，人工智能應(yīng)遵循安全性、公平性、永續(xù)性、可靠性、可解釋性、由人類監(jiān)管和控制、注重隱私、公開透明等原則。

2.3 歐洲委員會(huì)“108約＋”規(guī)則

歐洲委員會(huì)（Council of Europe）2018年出臺(tái)的《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)處理過程中的個(gè)人保護(hù)公約》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data，也稱《第108號(hào)公約＋》）是對(duì)1981年《第108號(hào)公約》的更新和升級(jí)［13］。它明確強(qiáng)調(diào)數(shù)據(jù)保護(hù)的目標(biāo)是保障人的尊嚴(yán)、保護(hù)人權(quán)和基本自由，提到“個(gè)人對(duì)其數(shù)據(jù)及相關(guān)處理過程的控制”屬于個(gè)人自主權(quán)。

《第108號(hào)公約＋》沿用了OECD對(duì)“個(gè)人數(shù)據(jù)”的定義，并提出了保護(hù)個(gè)人數(shù)據(jù)的基本原則，涉及數(shù)據(jù)處理、數(shù)據(jù)安全、特殊數(shù)據(jù)類別、處理過程的透明度、數(shù)據(jù)主體權(quán)利等方面，其中明確提出，對(duì)于“能夠確定個(gè)人身份的生物識(shí)別數(shù)據(jù)”，只有在法律規(guī)定了恰當(dāng)保障措施對(duì)本公約做出補(bǔ)充的情況下，才允許使用，避免這類有關(guān)個(gè)人身體、生物或生理特征的敏感數(shù)據(jù)在處理過程中給數(shù)據(jù)主體的權(quán)利、利益和基本自由造成威脅。2021年1月28日，歐洲委員會(huì)《第108號(hào)公約＋》咨詢委員會(huì)發(fā)布了《人臉識(shí)別指南》，要求使用人臉識(shí)別技術(shù)的實(shí)體應(yīng)當(dāng)確保技術(shù)使用的公平性，透明性和準(zhǔn)確性，以及遵守目的限制、數(shù)據(jù)最小化等原則［14］。

3 主要國家／地區(qū)的生物識(shí)別技術(shù)治理模式

歐盟、美國、日韓、中國等主要國家／地區(qū)基于生物識(shí)別技術(shù)提出了自己的治理方案，總體而言歐盟的方案更加嚴(yán)苛，美國強(qiáng)調(diào)實(shí)用主義，日韓等國根據(jù)各自情況制定政策，中國力圖在管與用之間構(gòu)建平衡。

3.1 歐盟構(gòu)建嚴(yán)苛的治理體系

20世紀(jì)70年代以來，歐盟委員會(huì)就致力于推動(dòng)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的建立和完善。歐盟對(duì)生物識(shí)別數(shù)據(jù)的管理建立在尊重人權(quán)及其他基本權(quán)利的基礎(chǔ)上，《通用數(shù)據(jù)保護(hù)條例》中確立了“嚴(yán)格必要”與“最小損害”原則，最新的《人工智能法案（草案）》則對(duì)生物識(shí)別進(jìn)行更加嚴(yán)格的規(guī)制。

3.1.1 《歐盟基本權(quán)利憲章》確立基本原則

《歐盟基本權(quán)利憲章》（Charter of Fundamental Rights of the European Union，簡稱《憲章》）是對(duì)1950年《歐洲保護(hù)人權(quán)和基本自由公約》的補(bǔ)充完善，強(qiáng)調(diào)歐盟所秉承的普世價(jià)值觀——人類尊嚴(yán)、自由、平等、團(tuán)結(jié)、公民權(quán)利和正義，并將保障范圍擴(kuò)展至公民權(quán)利和社會(huì)權(quán)利之外，包括數(shù)據(jù)保護(hù)權(quán)利、保證生物倫理及透明政府，它對(duì)每個(gè)歐盟成員國都有法律約束力［15］。憲章第八條專門提到個(gè)人數(shù)據(jù)保護(hù)，規(guī)定人人有權(quán)保護(hù)與其有關(guān)的個(gè)人數(shù)據(jù)，包括生物識(shí)別數(shù)據(jù)在內(nèi)的個(gè)人數(shù)據(jù)處理必須基于特定目的、經(jīng)相關(guān)人員同意或符合法律規(guī)定。此外，任何人都有權(quán)獲取和訪問與其相關(guān)的數(shù)據(jù)，并有權(quán)要求對(duì)（錯(cuò)誤）數(shù)據(jù)做出修改。

3.1.2 《通用數(shù)據(jù)保護(hù)條例》加強(qiáng)個(gè)人信息保護(hù)

歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）于2018年5月正式施行，GDPR對(duì)歐盟28個(gè)國家的數(shù)據(jù)保護(hù)法案進(jìn)行標(biāo)準(zhǔn)化，并在控制和處理個(gè)人身份信息（Personally Identifiable Information，PII）方面采取了更加嚴(yán)格的新規(guī)則。此外，GDPR還通過將個(gè)人數(shù)據(jù)控制權(quán)交還歐盟民眾的方式，實(shí)現(xiàn)了對(duì)個(gè)人數(shù)據(jù)保護(hù)及數(shù)據(jù)保護(hù)權(quán)利的拓展［16］。GDPR取代了1995年的歐盟《數(shù)據(jù)保護(hù)指令》（Data Protection Directive）成為歐盟諸國數(shù)據(jù)管理方面的新標(biāo)準(zhǔn)［17］。GDPR將敏感的個(gè)人數(shù)據(jù)納入個(gè)人身份信息的范疇中，規(guī)定生物識(shí)別數(shù)據(jù)是指“與自然人的身體、生理或行為特征相關(guān)，由特定技術(shù)處理產(chǎn)生的，能夠確認(rèn)該自然人獨(dú)特身份的數(shù)據(jù)”；并強(qiáng)調(diào)“生物識(shí)別數(shù)據(jù)的收集必須經(jīng)過當(dāng)事人預(yù)先明確同意，且當(dāng)事人有權(quán)在任何時(shí)候撤回其同意，數(shù)據(jù)的收集和使用必須有清晰、合法的目的，特殊使用情況下需保證對(duì)數(shù)據(jù)主體最小程度的損害”［18］。

3.1.3 《人工智能法案（草案）》明確監(jiān)管措施

2020年2月19日，歐盟發(fā)布《人工智能白皮書——追求卓越與信任的歐洲方案》（White Paper on Artificial Intelligence-A European Approach to Excellence and Trust，簡 稱《白 皮書》），作為應(yīng)對(duì)人工智能挑戰(zhàn)的一系列措施的核心，以新的數(shù)字戰(zhàn)略捍衛(wèi)技術(shù)主權(quán)和數(shù)字主權(quán)［19］。

《白皮書》指出了GDPR在生物識(shí)別方面的局限性，即生物識(shí)別技術(shù)并非只是為了識(shí)別個(gè)人身份，還有可能用來評(píng)估個(gè)人行為或情緒。為彌補(bǔ)GDPR的不足，《白皮書》將生物識(shí)別列為本質(zhì)上具有高風(fēng)險(xiǎn)的應(yīng)用，侵犯了個(gè)人隱私權(quán)、免受歧視權(quán)和自由，并明確要求，任何生物識(shí)別應(yīng)用必須有科學(xué)證明的效果、在受控環(huán)境和嚴(yán)格條件下進(jìn)行，禁止廣泛使用人工智能驅(qū)動(dòng)的生物識(shí)別技術(shù)對(duì)人類、人類行為或情緒進(jìn)行監(jiān)視、跟蹤、評(píng)估、分類。

在《白皮書》的基礎(chǔ)上，2021年4月歐盟委員會(huì)發(fā)布了名為《制定關(guān)于人工智能的統(tǒng)一規(guī)則，并修訂某些歐盟立法法》（Laying Down Harmonised Rules on Artificial Intelligence（Artificial Intelligence Act）And Amending Certain Union Legislative Acts）的草案（又稱《人工智能法案（草案）》），對(duì)人工智能的定義、風(fēng)險(xiǎn)類別及應(yīng)用場景、被完全禁止的人工智能應(yīng)用情況做出規(guī)定，旨在解決人工智能應(yīng)用過程中對(duì)人類社會(huì)造成的風(fēng)險(xiǎn)問題。歐盟《人工智能法案（草案）》將人工智能系統(tǒng)劃分為4個(gè)風(fēng)險(xiǎn)等級(jí)，分別為不可接受的風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)、有限風(fēng)險(xiǎn)以及低風(fēng)險(xiǎn)。1）不可接受的風(fēng)險(xiǎn)是指該人工智能系統(tǒng)會(huì)實(shí)質(zhì)操控個(gè)人，給個(gè)人造成不利身心傷害，該風(fēng)險(xiǎn)的人工智能系統(tǒng)屬于禁用系列；2）高風(fēng)險(xiǎn)是指該系統(tǒng)用于自然人的生物識(shí)別、基礎(chǔ)設(shè)施管理運(yùn)營等，對(duì)于該人工智能系統(tǒng)應(yīng)建立全生命周期的風(fēng)險(xiǎn)控制系統(tǒng)，第三方準(zhǔn)入前需進(jìn)行合規(guī)評(píng)估；3）有限風(fēng)險(xiǎn)是指使用該人工智能系統(tǒng)可能會(huì)導(dǎo)致誤導(dǎo)后果，對(duì)于該人工智能系統(tǒng)需符合透明度要求；4）低風(fēng)險(xiǎn)包括了絕大多數(shù)人工智能系統(tǒng)，歐盟鼓勵(lì)其符合人工智能合理應(yīng)用原則［20］。

針對(duì)生物識(shí)別數(shù)據(jù)，該草案要求“基于此類數(shù)據(jù)監(jiān)測(cè)情感或劃分社會(huì)類別的系統(tǒng)”應(yīng)符合相應(yīng)的信息透明度要求。草案還將實(shí)時(shí)遠(yuǎn)程生物識(shí)別系統(tǒng)界定為“通過將某人的生物識(shí)別數(shù)據(jù)與參考數(shù)據(jù)庫中的生物識(shí)別數(shù)據(jù)進(jìn)行比較，在事先不知道目標(biāo)人物是否會(huì)出現(xiàn)及是否能被識(shí)別的情況下，用于遠(yuǎn)距離識(shí)別自然人的人工智能系統(tǒng)，該系統(tǒng)與所使用的技術(shù)、程序或生物識(shí)別數(shù)據(jù)類型無關(guān)”，并對(duì)其在執(zhí)法過程中的某些應(yīng)用提出了具體的限制和保障措施；特別強(qiáng)調(diào)，除非有某些例外情況（如有針對(duì)性地尋找潛在受害者，防止人的生命安全受到威脅或阻止恐怖襲擊，偵查、定位、識(shí)別或起訴犯罪嫌疑人等），禁止在公共場所為執(zhí)法目的使用實(shí)時(shí)遠(yuǎn)程生物識(shí)別系統(tǒng)。

3.2 美國采取實(shí)用主義自下而上開啟立法進(jìn)程

在生物識(shí)別技術(shù)運(yùn)用上，美國強(qiáng)調(diào)實(shí)用主義，因此目前美國并沒有統(tǒng)一、全面的聯(lián)邦法律監(jiān)管生物識(shí)別數(shù)據(jù)。不過，越來越多的州開始關(guān)注生物識(shí)別數(shù)據(jù)涉及的隱私問題，出于對(duì)生物識(shí)別數(shù)據(jù)的收集、保存和使用等過程進(jìn)行管理和控制，強(qiáng)調(diào)對(duì)公民隱私和自由的保護(hù)等目的，美國開啟了自下而上的立法進(jìn)程。

3.2.1 聯(lián)邦層面進(jìn)行立法嘗試

聯(lián)邦層面雖然暫未有統(tǒng)一的立法，但是國會(huì)針對(duì)人臉識(shí)別等生物識(shí)別技術(shù)已提起相關(guān)的法案，進(jìn)行了立法嘗試，主要包括《道德使用人臉識(shí)別法案》《商業(yè)面部識(shí)別隱私法案》《國家生物識(shí)別信息隱私法案》等幾項(xiàng)法案。《道德使用人臉識(shí)別法案》對(duì)人臉識(shí)別技術(shù)的使用進(jìn)行限制，規(guī)定在頒布人臉識(shí)別技術(shù)使用指南前，政府機(jī)構(gòu)不得安裝相關(guān)的設(shè)備，不得訪問或使用通過該技術(shù)獲得的個(gè)人信息等，同時(shí)法案也規(guī)定了救濟(jì)條款，個(gè)人認(rèn)為政府違反規(guī)定的，可以向地方法院提起民事訴訟。《商業(yè)面部識(shí)別隱私法案》規(guī)定在使用面部識(shí)別數(shù)據(jù)時(shí)需提前通知用戶，明確了用戶的知情同意權(quán)利，同時(shí)在保護(hù)用戶方面，規(guī)定面部識(shí)別技術(shù)還需要通過第三方測(cè)試后才能進(jìn)入市場?！秶疑镒R(shí)別信息隱私法案》強(qiáng)調(diào)用戶的知情同意授權(quán)，將企業(yè)未經(jīng)許可收集、購買或交易從客戶那里獲得生物識(shí)別信息的行為視為非法，并且在采集用戶面部圖像、聲紋等生物識(shí)別信息前需征得用戶同意。

3.2.2 各州立法推動(dòng)治理探索

在州層面，伊利諾伊州、德克薩斯州、加利福尼亞州、佛羅里達(dá)州等都出臺(tái)了有關(guān)生物識(shí)別的立法，其中最有代表性的是伊利諾伊州與佛羅里達(dá)州的立法。

2008年，伊利諾伊州通過了美國第一個(gè)生物識(shí)別隱私特別法案——《生物信息隱私法案》（Illinois Biometric Information Privacy Act，BIPA），該法案成為其他各州制定相關(guān)法律的基準(zhǔn)。BIPA因涉及的行為數(shù)量和種類眾多，涵蓋收集、交易、使用／處理、維護(hù)、存儲(chǔ)、破壞任何基于個(gè)人生物標(biāo)識(shí)的信息（包括視網(wǎng)膜或虹膜掃描、指紋、聲紋、手部掃描、面部圖片、DNA等）等行為，成為美國最嚴(yán)格的生物識(shí)別隱私法案之一。根據(jù)BIPA規(guī)定，處理生物識(shí)別數(shù)據(jù)的企業(yè)在收集此類數(shù)據(jù)前必須獲得用戶的知情同意并限制此類數(shù)據(jù)的對(duì)外披露，同時(shí)需為此類數(shù)據(jù)提供存儲(chǔ)保護(hù)，規(guī)范了企業(yè)處理生物識(shí)別數(shù)據(jù)的方式。BIPA為受到侵害的個(gè)人提供了一項(xiàng)私人訴訟權(quán)利，允許他們獲賠1000美元（過失侵權(quán)）或5000美元（故意侵權(quán)），或?qū)嶋H損害金額（以數(shù)額較大者為準(zhǔn)），同時(shí)可以獲得律師費(fèi)、訴訟成本以及禁令救濟(jì)。

2019年，佛羅里達(dá)州出臺(tái)了《佛羅里達(dá)州生物信息隱私法案》（Florida Biometric Information Privacy Act，F(xiàn)BIP），意在對(duì)私人實(shí)體在生物識(shí)別標(biāo)識(shí)和生物識(shí)別信息的使用、收集和維護(hù)方面做出要求和限制。FBIP將“生物識(shí)別標(biāo)識(shí)”定義為“視網(wǎng)膜或虹膜掃描、指紋、聲紋或手、臉的幾何形狀掃描”，將“生物識(shí)別信息”定義為“基于生物識(shí)別標(biāo)識(shí)確定個(gè)人身份的任何信息，無論其獲取、轉(zhuǎn)換、存儲(chǔ)或共享方式如何”［21］。根據(jù)FBIP規(guī)定，私人實(shí)體在征詢消費(fèi)者同意時(shí)，需告知收集生物識(shí)別信息的原因及用途，還需要向公眾提供相關(guān)信息保存和處理的政策。私人實(shí)體不得利用生物識(shí)別信息獲利，也不得出售、租賃或交易此類信息。

2020年1月1日起實(shí)施的《加州消費(fèi)者隱私法 案》（The California Consumer Privacy Act，CCPA）是生物識(shí)別立法邁出的重要一步，被視為未來聯(lián)邦相關(guān)法律框架的潛在模型。CCPA加強(qiáng)了對(duì)加州居民隱私權(quán)和消費(fèi)者權(quán)益的數(shù)據(jù)保護(hù)，涉及權(quán)利包括獲取數(shù)據(jù)、刪除數(shù)據(jù)、移植數(shù)據(jù)、要求企業(yè)不出售其個(gè)人信息、選擇退出、訴訟權(quán)等。同年11月，加州通過了《加州隱私權(quán)利法案》（The California Privacy Rights Act，CPRA），CPRA對(duì)CCPA進(jìn)行了補(bǔ)充和修正，并特別創(chuàng)建了一個(gè)新的個(gè)人信息類別——敏感個(gè)人信息，生物識(shí)別數(shù)據(jù)以及種族、民族、性取向、宗教信仰和地理位置或社會(huì)安全號(hào)碼等，都包括在這個(gè)新類別中［22］。

此外，德克薩斯州通過了自己的《生物識(shí)別隱私法案》（Tex.Bus.＆Com.Code§503.001），其中明確規(guī)定，（相關(guān)行為體）未經(jīng)事先同意不得隨意捕捉、獲取、出售生物識(shí)別數(shù)據(jù)，必須謹(jǐn)慎存儲(chǔ)、傳輸和保護(hù)數(shù)據(jù)，并在合理時(shí)間內(nèi)妥善銷毀。如果雇主出于安全目的收集雇員的生物識(shí)別信息，那么這些信息的保留時(shí)間不應(yīng)超過雇傭關(guān)系終止時(shí)間。盡管該法案對(duì)每項(xiàng)違法行為處以25000美元的高額民事罰款，但與BIPA不同，它沒有賦予私人訴訟權(quán)。

除上述各州，亞利桑那州、馬里蘭州、新罕布什爾州、南卡羅來納州和西弗吉尼亞州也都曾嘗試提出物識(shí)別法案，但未能成功通過。愛達(dá)荷州、南達(dá)科他州和路易斯安那州等其他一些州，提出了具體的人臉識(shí)別立法，但沒有提出更加全面的生物識(shí)別立法。此外，包括羅德島州、弗吉尼亞州和威斯康星州在內(nèi)的其他州在更廣泛的數(shù)據(jù)隱私法規(guī)中加入了生物識(shí)別內(nèi)容，但也沒有出臺(tái)完善的生物識(shí)別立法。

3.3 日韓等國根據(jù)各自情況制定治理政策

3.3.1 日本明確個(gè)人信息處理者義務(wù)

日本于2003年出臺(tái)了《個(gè)人信息保護(hù)法》（The Act on the Protection of Personal Information，APPI），2015年對(duì)該法案進(jìn)行大幅修訂（2017年5月30日生效），2020年該法案又做出實(shí)質(zhì)性修訂，新修正案于2022年4月1日正式生效。2020年修正案對(duì)中央及地方政府責(zé)任、個(gè)人信息保護(hù)措施、個(gè)人信息處理業(yè)務(wù)經(jīng)營者義務(wù)等內(nèi)容進(jìn)行了明確規(guī)定，還提及“需要特別注意的個(gè)人信息”（包括個(gè)人種族、信仰、社會(huì)地位、病史、犯罪記錄等），但并未對(duì)生物識(shí)別信息的監(jiān)管和保護(hù)提出具體要求［23］。

APPI及其后的修正案可以被視為日本個(gè)人信息保護(hù)的頂層法律。此外，包括日本國家行政機(jī)關(guān)、獨(dú)立法人在內(nèi)的不同行為體制定了相應(yīng)的個(gè)人保護(hù)法律，這些法律面向不同領(lǐng)域、適用于不同法律關(guān)系，構(gòu)成了靈活而縝密的制度體系。

3.3.2 韓國構(gòu)建隱私保護(hù)體系

韓國的個(gè)人數(shù)據(jù)保護(hù)法由作為一般法律的《個(gè)人信息保護(hù)法》和若干具體部門的特別法律組成，包括《促進(jìn)信息和通信網(wǎng)絡(luò)利用和信息保護(hù)法》《信用信息使用和保護(hù)法》等。

《個(gè)人信息保護(hù)法》（Personal Information Protection Act，PIPA）于2011年9月通過，2020年2月進(jìn)行修訂，其目的是保護(hù)數(shù)據(jù)主體的隱私權(quán)。PIPA明確了與個(gè)人信息有關(guān)的定義、處理個(gè)人信息的原則、數(shù)據(jù)主體的權(quán)利、政府責(zé)任等內(nèi)容。它是世界上最嚴(yán)格的數(shù)據(jù)隱私法之一，對(duì)處理個(gè)人數(shù)據(jù)的整個(gè)生命周期涉及的活動(dòng)都規(guī)定了非常規(guī)范和具體的要求。另外，PIPA特別對(duì)“敏感信息”（包括意識(shí)形態(tài)、信仰、加入或退出工會(huì)或政黨、政治觀點(diǎn)、健康狀況等）、“個(gè)人身份信息”（即用于識(shí)別個(gè)人身份的任何信息）、“居民登記號(hào)碼”的處理和保護(hù)做了規(guī)定；針對(duì)采集生物識(shí)別數(shù)據(jù)的可視數(shù)據(jù)處理裝置，PIPA也對(duì)其安裝和操作進(jìn)行了限制。但是，法案并沒有對(duì)生物識(shí)別數(shù)據(jù)進(jìn)行明確界定，也沒有專門針對(duì)此類數(shù)據(jù)處理和保護(hù)的條款［24］。PIPA與GDPR有著類似的執(zhí)行標(biāo)準(zhǔn)，但不同的是，PIPA不要求數(shù)據(jù)主體的明確書面同意。

3.4 中國構(gòu)建“管”與“用”之間的平衡

雖然目前我國尚無專門的生物識(shí)別立法，但在個(gè)人信息保護(hù)方面已經(jīng)制定相關(guān)標(biāo)準(zhǔn)并形成體系，軟硬法并行，強(qiáng)調(diào)“管”“用”平衡。我國最初采取了類似美國的做法，但隨著對(duì)個(gè)人信息及生物識(shí)別數(shù)據(jù)的日益重視，我國開始在許多法律條文方面趨向于更加嚴(yán)格的歐盟規(guī)則［25］。

3.4.1 國家層面完成個(gè)人信息保護(hù)頂層建設(shè)

在個(gè)人信息保護(hù)方面，《民法典》第1033-1037條對(duì)個(gè)人信息的保護(hù)進(jìn)行了詳細(xì)的規(guī)定，強(qiáng)調(diào)自然人的個(gè)人信息受法律保護(hù)，收集信息需以知情同意為前提，同時(shí)明確處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理。2017年6月1日施行的《中華人民共和國網(wǎng)絡(luò)安全法》為個(gè)人信息（包括生物識(shí)別數(shù)據(jù)）安全保護(hù)提供了參考，第四章規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度，圍繞個(gè)人信息保護(hù)確立了原則與自然人的人格權(quán)益［26］。2021年6月11日，《中華人民共和國數(shù)據(jù)安全法》正式通過，并于2021年9月1日起實(shí)施［27］。《中華人民共和國數(shù)據(jù)安全法》對(duì)數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)等做出規(guī)定，其中提到開展數(shù)據(jù)活動(dòng)的原則：有利于經(jīng)濟(jì)社會(huì)發(fā)展、增進(jìn)人民福祉、符合社會(huì)公德倫理；加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)和實(shí)施定期風(fēng)險(xiǎn)評(píng)估；以合法、正當(dāng)方式獲取數(shù)據(jù)；數(shù)據(jù)收集和使用不得超過必要限度等。此外，《中華人民共和國個(gè)人信息保護(hù)法》對(duì)處理包括人臉等個(gè)人生物特征在內(nèi)的敏感個(gè)人信息作出專門規(guī)定，要求只有在具有特定目的和充分必要性的前提下，方可處理敏感個(gè)人信息，并在事前進(jìn)行風(fēng)險(xiǎn)評(píng)估［28］。

除特定立法外，生物識(shí)別等標(biāo)準(zhǔn)的制定也邁上進(jìn)程，《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》于2019年6月正式向社會(huì)征求意見，《信息安全技術(shù)遠(yuǎn)程人臉識(shí)別系統(tǒng)技術(shù)要求》也于2020年11月1日正式實(shí)施。標(biāo)準(zhǔn)的制定提供了生物識(shí)別的“軟法”支撐，為構(gòu)建我國基于生物識(shí)別技術(shù)的個(gè)人信息保護(hù)提供了相應(yīng)的參考。

3.4.2 地方政府立法細(xì)化保護(hù)規(guī)則

在地方政府層面，關(guān)于生物識(shí)別技術(shù)的規(guī)制，最有代表性的是深圳制定的《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》，該條例于2021年6月29日通過，并于2022年1月1日起施行［29］?！渡钲诮?jīng)濟(jì)特區(qū)數(shù)據(jù)條例》首先明確了對(duì)生物識(shí)別數(shù)據(jù)的定義，指出生物識(shí)別數(shù)據(jù)是包括自然人的基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等數(shù)據(jù)。該條例除規(guī)定處理的知情同意于嚴(yán)格必要原則外，為了避免生物識(shí)別數(shù)據(jù)的濫用，還規(guī)定數(shù)據(jù)處理者應(yīng)“提供處理其他非生物識(shí)別數(shù)據(jù)的替代方案”，從歸集源頭上進(jìn)一步保障個(gè)人信息的安全。2021年7月14日，深圳市人大常委會(huì)發(fā)布《深圳經(jīng)濟(jì)特區(qū)人工智能產(chǎn)業(yè)促進(jìn)條例（草案）》向社會(huì)公開征詢意見［30］。該草案規(guī)定數(shù)據(jù)流通情況下，需對(duì)合法獲得的個(gè)人數(shù)據(jù)進(jìn)行匿名化或者去標(biāo)識(shí)化等處理并禁止侵犯個(gè)人隱私和個(gè)人信息保護(hù)或危害國家、社會(huì)公共安全或人身安全等行為。

此外，《浙江省公共數(shù)據(jù)條例》于2022年3月1日起施行。該條例將公共數(shù)據(jù)分為無條件共享、受限共享和不共享數(shù)據(jù)三類，對(duì)個(gè)人信息采集問題進(jìn)行了明確的規(guī)定，特別強(qiáng)調(diào)，公共管理和服務(wù)機(jī)構(gòu)收集數(shù)據(jù)時(shí)，不得強(qiáng)制要求個(gè)人采用多種方式重復(fù)驗(yàn)證或特定方式驗(yàn)證。針對(duì)生物識(shí)別信息，條例要求“已經(jīng)通過有效身份證件驗(yàn)明身份的，不得強(qiáng)制通過收集指紋、虹膜、人臉等生物識(shí)別信息重復(fù)驗(yàn)證”［31］。

4 啟示與建議

4.1 完善我國個(gè)人信息收集授權(quán)同意機(jī)制

以人臉識(shí)別為例，由于人臉識(shí)別的技術(shù)特性，人臉識(shí)別不需要被識(shí)別對(duì)象直接接觸識(shí)別設(shè)備，在利用攝像頭識(shí)別人臉信息時(shí)，即使距離較遠(yuǎn)也可以實(shí)現(xiàn)［32］。在實(shí)際操作中，雖有例外，但大部分生物識(shí)別的應(yīng)用難以實(shí)現(xiàn)授權(quán)同意的前提。在公共場所采取大范圍的生物識(shí)別，范圍內(nèi)所有人便無法選擇不被監(jiān)測(cè)和識(shí)別這有悖自愿性，以目前的法律框架難以解決相關(guān)問題。

因此，除法定例外以外，為了進(jìn)一步保障信息收集時(shí)個(gè)人的知情權(quán)，應(yīng)完善授權(quán)同意機(jī)制。首先，在具體操作中視情況應(yīng)規(guī)定收集者、使用者的事前信息披露義務(wù)并嚴(yán)格應(yīng)用程序。沒有收集者、使用者的信息披露義務(wù)的規(guī)定，就難以真正保障和實(shí)現(xiàn)個(gè)人同意權(quán)［33］，在嚴(yán)格應(yīng)用程序方面，可參考美國《商業(yè)面部識(shí)別隱私法案》，其規(guī)定面部識(shí)別技術(shù)還需要通過第三方測(cè)試后才能進(jìn)入市場。其次，根據(jù)場景采用歐盟GDPR中所遵循的選擇進(jìn)入（opt-in）機(jī)制，確保個(gè)人的知情同意并授權(quán)，將數(shù)據(jù)處理權(quán)的初始決策交由個(gè)人來決定。

4.2 對(duì)生物識(shí)別技術(shù)分應(yīng)用場景進(jìn)行管制

生物識(shí)別的應(yīng)用場景包括執(zhí)法與公共安全、軍事活動(dòng)、跨境、旅行及移民管理、公民身份識(shí)別、人口登記及選舉登記、醫(yī)療保險(xiǎn)、物理及邏輯訪問、商業(yè)活動(dòng)。生物識(shí)別的使用主要基于兩個(gè)大的目的，一是出于公共目的使用，二是出于非公共目的使用。概括起來，出于公共目的的使用包括：一是涉及國家公共安全層面的，如犯罪偵查；二是政府職能層面的，如電子政務(wù)等。出于非公共目的的使用則包括：一是社會(huì)和個(gè)人層面的，如考勤管理、門禁系統(tǒng)；二是商業(yè)層面的，如電子支付。

在現(xiàn)實(shí)生活中，公共目的與非公共目的的界限經(jīng)常出現(xiàn)混淆，出于非公共目的生物識(shí)別技術(shù)存在濫用現(xiàn)象，需對(duì)不同場景的應(yīng)用進(jìn)行清楚定義與差異性管制。因此可參考GDPR與《人工智能法案（草案）》等做法，首先在律法上對(duì)公共目的與非公共目的的場景進(jìn)行清楚界定，其次對(duì)出于公共目的使用則繼續(xù)堅(jiān)持嚴(yán)格必要與最小損害原則，對(duì)于非公共目的的使用如小區(qū)、商店的門禁系統(tǒng)等可參考《佛羅里達(dá)州生物信息隱私法案》進(jìn)行嚴(yán)格規(guī)定，在必要情況下可對(duì)其進(jìn)行禁用。

4.3 對(duì)生物識(shí)別技術(shù)進(jìn)行分級(jí)監(jiān)管

為了防止個(gè)人信息泄露，保護(hù)個(gè)人信息安全，針對(duì)不同等級(jí)的生物識(shí)別技術(shù)采取不同程度的監(jiān)管措施與要求。歐盟《人工智能法案（草案）》將人工智能系統(tǒng)劃分為4個(gè)風(fēng)險(xiǎn)等級(jí)，并根據(jù)不同等級(jí)提出相應(yīng)的法律義務(wù)要求。因此對(duì)于我國的生物識(shí)別技術(shù)，可參考?xì)W盟對(duì)于人工智能系統(tǒng)的風(fēng)險(xiǎn)等級(jí)劃分，按照不同級(jí)別的生物識(shí)別技術(shù)造成的影響，規(guī)定不同級(jí)別的法律義務(wù)要求，進(jìn)一步保護(hù)個(gè)人信息的安全。