宋祎晨

〔西南政法大學 民商法學院,重慶 401120〕

一、問題之提出

生物識別信息，是指通過技術手段將人體生理或行為特征數(shù)字化后得到的信息，包括指紋、人臉、步態(tài)、語音等。隨著以大數(shù)據(jù)和深度學習為代表的新技術的發(fā)展，生物識別技術的應用越來越普遍，從手機指紋解鎖，到健康軟件的步態(tài)分析，再到公共安全領域的人臉識別，生物識別系統(tǒng)已經將人全方位刻畫在了一個“數(shù)字生態(tài)”線性立體空間中[1]。與此同時，生物識別所引發(fā)的侵權風險也在不斷涌現(xiàn)，例如大量生物識別信息在黑市上被非法買賣，生物識別信息被各個平臺、機構隨意收集極易產生泄露風險等等。目前，我國現(xiàn)有的生物識別信息保護規(guī)范數(shù)量較少，僅有《個人信息保護法》和《信息安全技術 個人信息安全規(guī)范》中少量的原則性規(guī)定，不足以充分保障信息主體的權利。筆者擬通過對生物識別信息的法律性質和特點進行梳理，并在總結現(xiàn)階段易發(fā)生的安全風險的基礎上提出相應的法律規(guī)制建議，以期對相關制度建設提供指引。

二、生物識別信息的法律性質及其特征

1.生物識別信息的法律性質：包含財產利益的人格權客體

(1)生物識別信息反映人格屬性。人格又稱權利能力，是指人之成為人的一種法律資格，為每個自然人所享有，這一概念的出現(xiàn)使得人從不平等的階級身份中得到解放，獲得了法律上的同等評價。隨著社會的變遷，人格權保護范圍也在不斷增加，由最初的生命、身體、健康、自由等寥寥法益不斷擴展到更多類型(1)例如，德國吸取了“俾斯麥遺容偷拍案”的不足，在1907年制定的《藝術著作權法》中明確對肖像的保護；美國紐約州議會于1903年修訂《紐約州權利法案》增加對隱私的保護；1999年中國臺灣通過民法修正案，將貞操作為獨立的人格法益。。這種擴展體現(xiàn)了人們觀念上的變化，人格權不僅意味著身體上的健康，也包含精神上的尊重。

生物識別信息雖然出現(xiàn)較晚，但其天然表征著自然人的人格屬性。人臉、虹膜、指紋、步態(tài)等生物識別信息不僅能用來辨識身份，還可以從中分析得到信息主體的健康狀況，與自然人人身緊密相關。生物識別信息一旦暴露，信息主體生理狀況和活動情況都將被他人洞悉，不但隱私權會受到侵犯，行動自由也將受到妨礙。

(2)生物識別信息包含財產利益。傳統(tǒng)意義上講，人格權和財產權系截然不同的兩種權利，人格權所保護的人格利益本身不應當具有財產價值。但生物識別信息有其特殊性，它完全是技術變革的產物，是由于生物信息采集傳感器的發(fā)明、特征提取方法的進步、深度學習的出現(xiàn)而產生的，這就意味著它有著與傳統(tǒng)人格權客體不同的內在特征，而這些內在特征成為了蘊含財產利益的根源。

它主要體現(xiàn)三個特征，第一，生物識別信息具有可控性?？煽匦允秦敭a權客體最基本的特點，傳統(tǒng)的人格權客體之所以不被認為具有財產利益就是因為缺乏可控性。但生物識別信息是以數(shù)字化的方式記錄的，用“0和1”的二進制比特形式保存于信息收集者龐大的數(shù)據(jù)庫之中，可以形成穩(wěn)定的占有關系，也可以被加工、使用、轉移，從而具備可控性。

生物識別信息具有商品屬性。商品屬性體現(xiàn)在生物識別信息同時具有使用價值和交換價值。于前者，其所具有的唯一性、強識別性、人身專屬性使其在身份識別領域有著廣闊的應用空間，能夠彌補傳統(tǒng)識別方法帶來的效率低、易被竊取、易被遺忘的弊端。于后者，雖然法律并沒有允許個人信息的自由買賣，但是一些灰色產業(yè)的需求使得生物識別信息地下黑市交易頻繁。

生物識別信息具有稀缺性。香農的信息論指出，信息的基本價值在于消除不確定性。大數(shù)據(jù)改因果關系預測為相關性預測，通過相關性發(fā)現(xiàn)事物背后的規(guī)律。生物識別的原理也是如此，系統(tǒng)需要大量且豐富的待識別主體的生物樣本用于識別訓練以提高算法的精度。這意味著雖然生物識別信息天然存在，但是信息處理者必須在付出了大量成本，建設一套系統(tǒng)完善、保障充分的信息收集處理系統(tǒng)并獲得用戶信賴后，才能累積到規(guī)?；纳镒R別信息，從而產生識別價值[2]。

(3)生物識別信息是人格權客體。生物識別信息是人格權客體，這是由其上位概念——個人信息的權利屬性所決定的。按照學界通說，人格權益由人格權和人格利益共同構成[3]。針對個人信息權利或利益屬性，學界一直存在爭論，《民法典》直接稱為個人信息是對爭論的回避而非一錘定音。筆者認為，個人信息應當是一項人格權利。

梁慧星教授明確指出，人格權有著“在先性”的特征，它的存在先于法律規(guī)定，不因法律規(guī)定或者不規(guī)定、承認或者不承認而受影響[4]。此外，也有學者提到，姓名、肖像作為個人信息的組成部分被確認為具體人格權，而其他與之同等重要甚至更為重要的信息，例如生物識別信息、行蹤軌跡信息等，僅被當作一般人格利益對待顯然不合邏輯[5]。根據(jù)德國學者拉倫茨和卡納里斯的觀點，權利包含的三大基本特征“歸屬效能”“排除效能”“社會典型公開性”是其與利益區(qū)分的根本所在[6]。個人信息無疑滿足這三項基本特征，就“歸屬和排除效能”而言，雖然立法者在人格權請求權能否適用于個人信息上持有謹慎態(tài)度，但是信息主體的控制地位并沒有此而降低。相反，《個人信息保護法》中規(guī)定的知情權、同意權、查閱權、復制權、刪除權貫穿個人信息處理的始終，實際上已經賦予了自然人對其個人信息的排他控制[7]。就“社會典型公開性”而言，個人信息應當受到保護早已成為社會共識，建立個人信息權利保護框架并沒有超出一般人的預期。

針對個人信息的權利屬性，域外國家大都形成了自己的制度設計。美國在《加州消費者隱私權法案》(CCPA)中建立了信息控制權制度。歐盟也在《通用數(shù)據(jù)保護條例》(GDPR)立法理由第7條指出“自然人應當能夠控制其個人數(shù)據(jù)”。此外，德國聯(lián)邦法院在“人口普查案”中創(chuàng)設了信息自主權(2)德國聯(lián)邦法院在該案判決書中寫道“在自動化數(shù)據(jù)處理的現(xiàn)代化條件下，人格的自由發(fā)展取決于個人有權對抗個人資料被無限制收集、儲存、使用與傳輸。”。雖然各國對于個人信息權的范圍有著不同的界定，但是核心理念都是一致的：個人信息應牢牢掌握在信息主體自己的手中。我國在這點上與上述國家也并無差別?；诖耍镒R別信息應當是個人信息權的客體。

2.生物識別信息的特征

生物識別信息有著其他個人信息不具備的顯著特征，包括以下幾點。

(1)人身性。生物識別信息直接反映著人的生理或行為特征，人身屬性極為強烈。一般的個人信息以人的社會性為基礎，例如身份證號、郵箱地址等，這些信息是自然人在參與社會交往中后天形成的，與人身關系并不密切。而生物識別信息反映著自然人身體的本質屬性，諸如指紋、虹膜等信息更是與生俱來，與人身不可分割[8]。正是因為生物識別信息有著強烈的人身屬性，非法處理會對人格尊嚴造成更為嚴重的侵害，因此我國《個人信息保護法》將生物識別信息列為敏感個人信息范疇，規(guī)定了較一般信息更嚴格的處理規(guī)則。

(2)唯一性。生物識別信息是對自然人生物特征的記錄，而自然人的生物特征是獨一無二的，每個人的生物特征都與其他人不同。一方面，這種唯一性為生物辨識技術的應用提供巨大幫助，增強了身份識別的可靠性。另一方面，生物識別信息不可更改，一旦發(fā)生信息泄露，信息主體無法采取像重置密碼之類的手段修補，凡是與生物信息認證相關的活動都將永遠退出，因此具有更大的風險和不確定性[9]。

(3)強識別性。識別性是個人信息的基本屬性，而生物識別信息在這點上尤為突出，生理特征信息諸如人臉、指紋、虹膜、基因信息等都能夠直接識別自然人。此外，隨著技術的進步，之前被認為不具有識別性的行為特征信息如今也可以起到間接識別的作用。例如，將步態(tài)采集傳感器和陀螺儀進行結合，就能夠成功對行人室內行走軌跡進行重構，從而確定其身份(3)該技術被稱為行人航跡推算定位(Pedestrain Dead Reckoning,PDR)，是慣行室內導航技術的一種。。

三、生物識別信息的安全風險

生物識別信息的處理包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等環(huán)節(jié)，每個環(huán)節(jié)的不規(guī)范處理活動都極易使信息主體權利受到侵害。以下，筆者總結了生物識別信息在不同處理環(huán)節(jié)中幾種較為常見的安全風險，以供參考。

1.收集環(huán)節(jié)

(1)收集生物識別信息未取得信息主體同意。取得個人的同意是個人信息處理最基本的原則，然而生物識別信息的收集往往是在信息主體無感知的情況下發(fā)生的，導致這一原則出現(xiàn)失靈。在商場、車站、酒店等經營場所，攝像設備以統(tǒng)計客流和體溫檢測為目的被廣泛安裝，在消費者不知情的情況下人臉信息已經泄露。此外，技術的發(fā)展使得原本私密的場所也被“入侵”，特斯拉公司CEO馬斯克在社交媒體上就承認，特斯拉車內安裝的用于疲勞駕駛提醒等功能的攝像頭會將數(shù)據(jù)上傳企業(yè)云端，而這并未提前告知用戶。

(2)通過強迫、捆綁方式收集生物識別信息。這體現(xiàn)在商家強制將服務與收集生物識別信息捆綁，用戶拒絕提供信息就無法使用服務。最為典型的是被稱為“國內人臉識別第一案”的“年卡入園案”，某野生動物園強行將入園方式由指紋識別調整為人臉識別，用戶拒絕并起訴至法院。由于案件發(fā)生時，《個人信息保護法》尚未生效，法院認為動物園收集信息的行為并不違反法律強制性規(guī)定，僅構成違約。在《個人信息保護法》生效后，動物園的行為明顯違反收集個人信息的必要性原則，存在多種替代入園方案的情形下，動物園不得將生物識別信息認證作為入園的唯一選擇。

2.儲存環(huán)節(jié)

(1)儲存原始生物識別信息。生物識別需要將傳感器收集到的數(shù)據(jù)經過特征提取后形成生物特征參考儲存于生物特征數(shù)據(jù)庫中，并與身份信息數(shù)據(jù)庫中的人物身份建立一一對應的關系。由于兩個數(shù)據(jù)庫物理上是分離的，同時運用了不同的密鑰，因而即便生物特征數(shù)據(jù)庫發(fā)生了泄露或被入侵，第三人也無法僅從生物特征中得知主體的身份。但這一切建立在信息處理者在特征提取后刪除了原始數(shù)據(jù)的基礎之上，倘若未刪除原始數(shù)據(jù)，第三人可以直接從中獲得信息主體原始生物信息，獲知信息主體的真實身份，侵犯其合法權益。

(2)未與自然人身份信息分別儲存。未將自然人身份信息和生物識別信息分別儲存是目前生物識別領域常見的問題之一。由于生物識別信息常用于確認用戶身份，因而系統(tǒng)通常將其與自然人身份信息綁定以辨識個人。通常來說，個人信息處理者應當將身份信息和生物識別信息分別儲存以減輕信息泄露時對信息主體的影響。但是目前尚無相關法律法規(guī)要求信息處理者必須采取上述辦法(4)目前，僅有《生物特征識別信息的保護要求(征求意見稿)》對此作出規(guī)定，“有關組織應將所收集的生物特征識別信息與主體的其他個人信息進行邏輯或物理分離，以減少組合信息受損對個人信息的安全影響。”，信息處理者為了方便往往將兩種信息儲存在同一數(shù)據(jù)庫中，或即使建立兩個數(shù)據(jù)庫但未分別加密。這種行為大大增加了身份信息和生物識別信息同時被竊取的風險，帶來更大的個人信息侵權影響。

3.使用環(huán)節(jié)

(1)呈現(xiàn)攻擊對生物識別系統(tǒng)的安全造成威脅。呈現(xiàn)攻擊是指用戶使用工具進行攻擊，意圖影響生物識別系統(tǒng)正常運行的行為。呈現(xiàn)攻擊包括兩種行為方式，第一類是生物特征假冒者使其有意被生物識別系統(tǒng)認作他人；第二類是生物特征隱匿者通過模仿未注冊個體的特性使其不被生物識別系統(tǒng)識別[10]。呈現(xiàn)攻擊檢測是化解呈現(xiàn)攻擊危險最有效的手段，但受制于相關硬件及算法能力差異，不同產品抵抗呈現(xiàn)攻擊的能力參差不齊，使生物識別技術大規(guī)模應用受到限制。

(2)傳感器數(shù)據(jù)缺乏權限保護。目前，越來越多的用戶依靠手機中的應用程序或者智能手表、智能手環(huán)監(jiān)測自己的健康情況，這就給予了這些應用和設備訪問手機內置傳感器的權限。然而很多傳感器缺乏對應的權限管理，例如陀螺儀、加速度計、接近傳感器等，應用可以隨意訪問這些傳感器并獲得數(shù)據(jù)，組合分析后即可得出用戶的活動情況。不僅如此，隨著技術的提升，一些生物識別傳感器甚至可以被用來進行設計外的活動。日前，來自浙江大學的研究人員就發(fā)現(xiàn)，通過其所特制的軟件可以通過收集手機加速度計的震動頻率，還原揚聲器播放的語音，從而實現(xiàn)對用戶的竊聽。

4.刪除環(huán)節(jié)

(1)未及時刪除生物識別信息。根據(jù)《個人信息保護法》47條的規(guī)定，信息處理者對于個人信息的保存有著一定期限，當處理目的實現(xiàn)或者信息主體撤回同意等情形發(fā)生后，信息處理者應當及時刪除信息。但是諸多應用軟件在隱私政策中未告知用戶儲存期限，事實上也并未按規(guī)定刪除信息。以支付寶《生物識別服務通用規(guī)則》為例，其中對于人臉信息的收集未有儲存期限的說明，而且即使用戶在設置里暫時關閉手機刷臉支付功能，再次開啟這一功能后無須將人臉信息重新錄入設備，這說明支付寶在該功能關閉后仍然保存著用戶的人臉信息。

(2)未保障用戶的刪除權。個人信息處理者除了應當主動及時刪除信息外，當發(fā)現(xiàn)個人信息處理者未按規(guī)定刪除的，個人有權請求其刪除。但絕大多數(shù)應用軟件未能提供顯著、便捷的渠道使用戶能夠準確知曉其個人信息狀態(tài)并提出刪除的請求，或是在隱私政策中未將這一權利告知用戶，或是流程過于復雜。

四、我國可以采取的法律規(guī)制手段

1.完善法律規(guī)范體系

(1)在《個人信息保護法》中對生物識別信息進行專章規(guī)定。目前世界各國對于生物識別信息保護主要有兩種立法模式，專門立法保護模式和綜合立法保護模式。前者是指專門制定有關生物識別信息保護的法律，后者是指將生物識別信息的保護納入統(tǒng)一的個人信息保護法之中。

美國是采取專門立法保護的典型代表。以2020年提交參議院審議的《國家生物識別信息隱私法案》(NBIPA)為例。該法案主要有三大部分構成，第一部分是生物識別信息的概念群，具體闡釋了“生物識別符”“私密和敏感信息”等概念；第二部分是處理規(guī)則，包括收集、保留、披露和銷毀；第三部分是有關私人提起民事訴訟的規(guī)定，包括訴訟主體、損害賠償金額等。采取專門立法保護的優(yōu)點在于可以形成一套完整的生物識別信息保護框架，有著特定的立法宗旨，專屬的法律概念，清晰的權利義務相對方，明確的保護規(guī)則以及解決具體問題的特殊方法，具有更強的針對性和操作性[11]。

綜合立法保護模式以歐盟為代表。歐盟《通用數(shù)據(jù)保護條例》(GDPR)在第二章第9條規(guī)定了“特殊類型個人數(shù)據(jù)的處理”，生物識別數(shù)據(jù)屬于特殊類型個人數(shù)據(jù)，原則上禁止處理，但符合例如數(shù)據(jù)主體已經公開、公共利益等九項特殊原因的，可以處理。綜合立法保護模式有著保護層級更為清晰，對個人信息的保護更為系統(tǒng)的優(yōu)點。

我國應當在《個人信息保護法》中專章規(guī)定生物識別信息的保護規(guī)則，這主要基于兩點考量。第一，目前不宜單獨制定生物識別信息保護法。生物識別信息是技術發(fā)展的產物，是在個人生物特征可以被數(shù)據(jù)化后產生的全新信息樣態(tài)，并且將隨著技術的發(fā)展呈現(xiàn)出新的特點，具有較強的不確定性。此外，對于生物識別信息的收集、應用，以及信息主體與信息處理者之間的利益沖突與協(xié)調等諸多方面尚未形成社會共識，倉促制定恐不會產生良好效果。例如，美國伊利諾伊州雖然在2008年制定的《生物識別信息隱私法案》(BIPA)中允許私人提起針對信息處理者的民事訴訟，但直到2015年該州僅有5起集體訴訟發(fā)生，可見法律規(guī)定與現(xiàn)實之間存在不小的差距[12]。第二，生物識別信息有著不同于其他敏感個人信息的獨有特征，其人身屬性、識別性較之其他敏感個人信息更強，不宜一并規(guī)定之。因而我國的《個人信息保護法》應當在敏感個人信息處理規(guī)則后另辟一章“生物識別信息的特殊處理規(guī)則”，以對生物識別信息提供更嚴格保護，且為信息主體和信息處理者提供更為清晰的引導。

(2)對于不同的生物識別信息進行分別立法。生物識別信息種類多樣，有著各自的特點和技術應用，應當制定不同的規(guī)范。在技術應用方面，除了身份辨識，人臉識別信息還可以用于人臉分析，例如人流量檢測或體溫檢測；步態(tài)識別信息可以用于臨床診斷、體育訓練；聲紋識別信息則主要應用于語音翻譯、智能語音交互系統(tǒng)。在特點上，人臉信息有著獨特的強社交屬性，一旦被非法披露，極易導致信息主體精神緊張甚至崩潰。

因此，我國未來應當對《個人信息保護法》的體例結構進行調整，生物識別信息的相關概念群以及通用的處理規(guī)則設專章規(guī)定，再針對不同的生物識別信息制定符合自身特點和技術應用的法律法規(guī)，在立法上做到邏輯嚴密、內容翔實。

2.構建動態(tài)同意規(guī)則

(1)知情同意原則不足以完全保障信息主體的自主權。在大數(shù)據(jù)時代，個人信息被收集和使用的頻率以及數(shù)量有了指數(shù)級的增長，這使得知情同意原則的適用陷入了困境，具體表現(xiàn)在：第一，同意的意思表示不真實，同意淪為形式。信息處理者的告知方式通常是應用軟件的隱私政策，看似專業(yè)、全面的隱私政策往往語言繁瑣、篇幅冗長，信息主體在不了解告知內容情況下做出的意思表示，其真實性有待考量[13]。第二，意思表示能力欠缺。信息主體對信息的控制能力取決于其是否對個人信息處理所帶來的利益和風險做到充分理解。在大數(shù)據(jù)時代，數(shù)字化的信息處理流程極為復雜，涉及對二進制代碼和數(shù)字化模型的應用，這使得對信息技術不甚了解的普通人難以理解信息處理會帶來怎樣的風險，實際上欠缺同意能力。因此，我們需要對知情同意原則進行優(yōu)化。

(2)構建動態(tài)同意規(guī)則。動態(tài)同意是指運用現(xiàn)代網絡技術手段，在信息主體與信息處理者之間搭建一個交流平臺，使信息披露與知情同意成為一個持續(xù)、動態(tài)、開放的過程[14]。在平臺上，信息處理者會實時更新信息的處理階段、進度、是否被委托第三人處理以及可能遭遇的安全風險。信息主體可以隨時登陸平臺查看個人信息的情況，并根據(jù)告知的內容決定給予或撤回同意。

動態(tài)同意規(guī)則的核心是提高信息主體在信息處理活動中的參與度，它有幾方面好處。第一，破除“同意即終身”的弊端。在以往的信息處理活動中，信息主體的參與基本只在收集階段，至于收集后信息儲存在哪，是否被匿名化處理，處理目的實現(xiàn)后是否被刪除等，信息主體都無從知曉。動態(tài)同意平臺的建立，使原本千頭萬緒的信息處理止于一端，實現(xiàn)了信息在各處理階段的全過程追蹤。第二，動態(tài)同意規(guī)則下，信息披露程度和透明程度均有較大幅度提高，更能滿足生物識別信息等敏感個人信息的處理要求。第三，技術的發(fā)展使動態(tài)同意平臺的建立具備可行性。動態(tài)同意平臺只是一個信息發(fā)布的場所，它的建立并不復雜，在移動互聯(lián)網高度發(fā)達的當下，一個APP或是微信小程序就足以實現(xiàn)。

動態(tài)同意規(guī)則雖然也有著弊端，例如信息主體反復給予或撤回同意會對信息利用效率產生影響。但在平衡個人信息的流通利用和信息主體權利保護方面，動態(tài)同意規(guī)則無疑是當下可以采取的最好選擇。

3.建立以行政機關為主導的生物識別信息應用審查制度

雖然《個人信息保護法》規(guī)定處理生物識別信息應當“具有特定的目的和充分的必要性”，但商家出于對高效管理的需求以及行業(yè)自律性的普遍缺乏導致必要性原則被虛置。此外，行政機關在生物識別信息的保護上一直采取著被動的姿態(tài)，具體到執(zhí)法層面，通常是處理與個人信息保護有關的投訴和舉報，很少主動對某行政轄區(qū)內的生物識別信息應用與合規(guī)情況進行調查。應用的泛濫和監(jiān)管的被動性將生物識別信息置于一個極度危險的層面。

為有效化解生物識別信息濫用導致的安全風險，行政機關應當化被動監(jiān)管為主動監(jiān)管。曾有學者基于刷臉支付提出建立貫穿支付流程的外部審查委員會評估人臉支付系統(tǒng)的安全性和必要性[15]。筆者認為這一外部審查模式事實上可以廣泛應用于生物識別領域。具體來講，由行政機關牽頭組建法律專家、信息技術工程師、消費者等組成的審查機構，生物識別系統(tǒng)在應用前需要向審查機構提出申請并獲得批準，審查機構主要審查以下四個方面：第一，生物識別系統(tǒng)的應用是否有充分的必要性，是否提供除人臉識別以外的替代措施；第二，需要信息主體同意的隱私政策是否規(guī)范、用語是否簡潔，是否完全告知信息主體信息收集目的、處理方式、儲存期限、刪除方式等法定告知內容；第三，信息處理者是否采取與生物識別信息種類相匹配的安全措施，例如是否加密儲存、算法的安全級別是否合適；第四，要求信息處理者簽署聲明，承諾收集來的信息不被用來實行交易上的差別對待，并定期組織人員進行檢查。為減輕審查負擔并做到有的放矢，審查機構可以根據(jù)場景理論，結合信息類型、應用場景以及安全風險決定進行形式審查或實質審查。

五、結語

生物識別信息的保護是一項復雜的工程，不僅關涉信息主體和信息處理者，還需要國家公權力機關發(fā)揮引導作用。首先要完善生物識別信息保護立法，在《個人信息保護法》中專章規(guī)定生物識別信息的一般概念和通用的處理規(guī)則，之后針對技術應用較為成熟的生物識別信息制定具體的法律規(guī)范；其次，國家應當支持和引導動態(tài)同意平臺的建立，以使信息主體充分了解信息處理的階段狀態(tài)并作出同意或撤回同意的決定；最后，行政機關應當轉換被動執(zhí)法為主動執(zhí)法，牽頭建立生物識別技術應用的審查機構，將審查作為生物識別信息收集的前置性程序。短時間看，多元的規(guī)制手段會對生物識別產業(yè)的發(fā)展形成一定的阻遏，但這是將其納入法治化發(fā)展軌道的必要舉措，唯有如此才能形成信息主體、信息處理者、社會的三方共贏局面。