論生物特征識(shí)別系統(tǒng)個(gè)人信息采集處理授權(quán)同意機(jī)制

■華國慶 陶 園

當(dāng)前生物特征識(shí)別技術(shù)面臨個(gè)人信息被盜竊、泄露、濫用及系統(tǒng)被侵入兩大安全風(fēng)險(xiǎn)。為此，我國《民法典》確立了個(gè)人信息采集處理授權(quán)同意機(jī)制，一定程度上保護(hù)了生物特征安全。但由于生物特征識(shí)別系統(tǒng)的復(fù)雜性和多樣性，不同系統(tǒng)的安全性能和個(gè)人信息保護(hù)性能差異較大；同時(shí)，普通的被識(shí)別人對(duì)識(shí)別系統(tǒng)的安全風(fēng)險(xiǎn)難以鑒別，導(dǎo)致以同意機(jī)制為基礎(chǔ)的個(gè)人信息法律保護(hù)框架顯得十分無力。因此，我國應(yīng)從技術(shù)和法律上對(duì)系統(tǒng)的安全性能和個(gè)人信息保護(hù)性能進(jìn)行分級(jí)規(guī)制，并制定包括生物識(shí)別信息在內(nèi)的個(gè)人信息保護(hù)的專門法律規(guī)范，以便進(jìn)一步完善授權(quán)同意機(jī)制。

生物特征主要包括行為特征和生理特征。［1］(P13)生物特征識(shí)別技術(shù)利用人體所固有的這些特征進(jìn)行身份識(shí)別或鑒別，具有較高的識(shí)別準(zhǔn)確性和應(yīng)用便攜性，已經(jīng)成為人們?nèi)粘Ｉ钪猩矸葑R(shí)別或者鑒別的重要工具。生物特征屬于個(gè)體獨(dú)有的隱私特征，相對(duì)于傳統(tǒng)的識(shí)別方式具有較高的安全性。但是，在實(shí)際應(yīng)用中當(dāng)前的生物特征識(shí)別系統(tǒng)主要存在以下兩類風(fēng)險(xiǎn)：（1）個(gè)人信息泄露導(dǎo)致的生物原始特征曝光；惡意算法竊取生物特征數(shù)據(jù)，并還原原始生物特征。（2）欺騙攻擊技術(shù)模擬生物特征，攻克識(shí)別系統(tǒng)。近年來，我國高度重視生物特征識(shí)別技術(shù)的安全性問題，《中華人民共和國民法典》（以下簡稱《民法典》）、《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）建立了個(gè)人信息采集處理授權(quán)同意機(jī)制；國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)于2020年3月6日發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2020，以下簡稱《個(gè)人信息安全規(guī)范》）中，對(duì)個(gè)人信息在收集、存儲(chǔ)、使用、共享、轉(zhuǎn)讓與公開披露等處理環(huán)節(jié)中的相關(guān)行為進(jìn)行了嚴(yán)格規(guī)范；全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2019年6月25日專門針對(duì)生物特征識(shí)別信息發(fā)布了《信息技術(shù) 安全技術(shù) 生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》（以下簡稱《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》）。這些法律、規(guī)范和要求在一定程度上保護(hù)了生物特征安全，但是在實(shí)際執(zhí)行過程中仍然存在諸多問題。例如，當(dāng)前的個(gè)人信息收集在法律上是以被收集人授權(quán)同意機(jī)制為基礎(chǔ)的，“同意”的基礎(chǔ)是對(duì)識(shí)別系統(tǒng)風(fēng)險(xiǎn)有足夠的認(rèn)識(shí)和了解，但大多數(shù)被收集人對(duì)生物特征識(shí)別系統(tǒng)個(gè)人信息保護(hù)性能和系統(tǒng)安全性能根本不了解，有些人被迫同意或者拒絕同意采集處理個(gè)人生物特征信息，以同意機(jī)制為基礎(chǔ)的法律保護(hù)框架難以落實(shí)而顯得十分無力。另外，就目前的生物特征識(shí)別技術(shù)而言，國家還沒有針對(duì)各種生物特征識(shí)別系統(tǒng)建立統(tǒng)一的識(shí)別性能及個(gè)人信息保護(hù)性能、系統(tǒng)安全性能測試數(shù)據(jù)庫，市場上各種生物特征識(shí)別系統(tǒng)所標(biāo)稱的性能都是在不同的數(shù)據(jù)庫中測試得出的，因此，這些識(shí)別系統(tǒng)的識(shí)別率及個(gè)人信息保護(hù)性能、系統(tǒng)安全性能標(biāo)準(zhǔn)都是不一樣的和不統(tǒng)一的，導(dǎo)致用戶在使用這些系統(tǒng)時(shí)可能達(dá)不到所標(biāo)稱的識(shí)別效果和安全風(fēng)險(xiǎn)要求，被識(shí)別對(duì)象也經(jīng)常對(duì)識(shí)別系統(tǒng)的個(gè)人生物特征隱私保護(hù)產(chǎn)生懷疑，進(jìn)而表示擔(dān)心。鑒于上述問題，我國應(yīng)從技術(shù)和法律上建立國家統(tǒng)一標(biāo)準(zhǔn)的生物特征測試數(shù)據(jù)庫及生物特征識(shí)別系統(tǒng)性能測試標(biāo)準(zhǔn)，包括識(shí)別系統(tǒng)個(gè)人信息保護(hù)性能和安全性能標(biāo)準(zhǔn)及分級(jí)。通過對(duì)識(shí)別系統(tǒng)個(gè)人信息保護(hù)性能和系統(tǒng)安全性能進(jìn)行分級(jí)規(guī)制，可讓被識(shí)別人宏觀上了解生物特征識(shí)別系統(tǒng)的安全風(fēng)險(xiǎn)防范性能，以便落實(shí)以同意機(jī)制為基礎(chǔ)的法律保護(hù)措施。與此同時(shí)，我國應(yīng)制定包括生物識(shí)別信息在內(nèi)的個(gè)人信息專門法律規(guī)范，并進(jìn)一步完善授權(quán)同意機(jī)制。

一、生物特征識(shí)別技術(shù)安全風(fēng)險(xiǎn)與安全防范技術(shù)措施

生物特征分為生理特征（身體的物理特征）和行為特征（個(gè)人所做的事情）兩類。根據(jù)《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》第4.1節(jié)“生物特征識(shí)別系統(tǒng)概述”中的定義①，生理特征包括指紋、人臉、虹膜、手型、指靜脈、掌靜脈、視網(wǎng)膜、DNA、掌紋；行為特征包括簽名、步態(tài)和語音。生物特征應(yīng)具有普遍性、獨(dú)特性、持久性、可收集性、重復(fù)性等基本屬性，在實(shí)際應(yīng)用中我們還應(yīng)考慮到識(shí)別性能、可接受性以及防欺騙性等附加屬性。生物特征屬于個(gè)人信息范疇，包含個(gè)體獨(dú)有的隱私特征。實(shí)施生物特征識(shí)別系統(tǒng)個(gè)人信息采集處理授權(quán)同意機(jī)制的前提是讓被采集人對(duì)識(shí)別系統(tǒng)安全風(fēng)險(xiǎn)有足夠的認(rèn)識(shí)和了解。

（一）生物特征識(shí)別技術(shù)安全風(fēng)險(xiǎn)

生物特征識(shí)別系統(tǒng)盡管相對(duì)于傳統(tǒng)的識(shí)別方式具有較高的安全性，但在實(shí)際應(yīng)用中仍存在以下主要風(fēng)險(xiǎn)：

第一，個(gè)人信息泄露導(dǎo)致的生物原始特征曝光。如今，高清監(jiān)控?cái)z像機(jī)分布在城市的各個(gè)角落，且監(jiān)控相機(jī)的安裝以及使用并無相關(guān)規(guī)范，《民法典》第1033條第3款規(guī)定，不得拍攝、窺視、竊聽、公開他人的私密活動(dòng)，但其并未對(duì)私密活動(dòng)給出詳細(xì)定義，人們可能在不經(jīng)意中已經(jīng)泄露了個(gè)體的部分生物特征。比如，數(shù)十米范圍內(nèi)監(jiān)控設(shè)備可以清晰地采集到人臉圖片以及步態(tài)視頻，數(shù)米范圍內(nèi)可以拍攝獲得拇指、掌紋和手型圖片，具有錄音功能的監(jiān)控設(shè)備可以錄制聲音片段。此外，監(jiān)控設(shè)備還可以通過門把手、智能手機(jī)屏幕、桌面物品等輕易地采集到人類的指紋甚至是掌紋信息。另一種生物原始特征曝光的情形是，商業(yè)識(shí)別系統(tǒng)直接采集并存儲(chǔ)了原始生物特征數(shù)據(jù)。雖然《個(gè)人信息安全規(guī)范》②第9.2節(jié)中規(guī)定“個(gè)人信息共享轉(zhuǎn)讓時(shí)需事先征得個(gè)人信息主體的授權(quán)同意”，但難以避免惡意攻擊者盜取商業(yè)系統(tǒng)的數(shù)據(jù)庫。生物原始特征的泄露和曝光對(duì)個(gè)體來說是災(zāi)難性的，從國家安全的角度來看，國民生物特征泄露，如果被不法分子加以利用，甚至可能影響國家和民族安全。

第二，惡意算法竊取生物特征數(shù)據(jù)，并還原原始生物特征。當(dāng)前，有關(guān)部門已經(jīng)意識(shí)到生物特征識(shí)別的安全風(fēng)險(xiǎn)，相繼補(bǔ)充或者出臺(tái)相關(guān)法律或標(biāo)準(zhǔn)條款。例如，《個(gè)人信息安全規(guī)范》②第6.3節(jié)中規(guī)定“原則上不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息（如樣本、圖像）”，一定程度上降低了原始生物特征泄露的風(fēng)險(xiǎn)。正規(guī)的商業(yè)公司一般情況下不再存儲(chǔ)原始的生物特征，而是對(duì)其進(jìn)行特征提取，生成特征數(shù)據(jù)。即使特征數(shù)據(jù)被不法分子盜取，也不能直接獲得原始生物特征，一定程度上保障了生物特征的安全性。［2］(P1529-1538)生物特征提取算法的原理主要分為幾何特征、時(shí)空域特征、變換域特征、神經(jīng)網(wǎng)絡(luò)特征等。無論哪種方法生成的特征數(shù)據(jù)，都有可能通過其逆變換，還原全部或部分原始生物特征，導(dǎo)致生物特征泄露。為了提升生物特征數(shù)據(jù)的安全性，《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》第5.1.1節(jié)①中規(guī)定“存儲(chǔ)和傳輸?shù)纳锾卣髯R(shí)別數(shù)據(jù)庫的保密性可以通過訪問控制和各種形式的加密技術(shù)獲得，如使用SM2或SM4加密算法”，從而提升對(duì)生物特征數(shù)據(jù)進(jìn)行逆變換，解密出原始特征的難度，但是相關(guān)技術(shù)仍不成熟，目前仍然無法從根本上避免還原原始特征數(shù)據(jù)的可能性。

第三，欺騙攻擊技術(shù)模擬生物特征，攻克識(shí)別系統(tǒng)。生物特征的優(yōu)勢之一是隨身攜帶，具有較高的安全性和便捷性，而識(shí)別系統(tǒng)難以區(qū)分生物特征的真假，不法分子可以構(gòu)建虛假生物特征，欺騙識(shí)別系統(tǒng)。為了應(yīng)對(duì)此類欺騙攻擊，《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》第5.2.1節(jié)①中給出了“活體檢測”的對(duì)策，事實(shí)上活體檢測技術(shù)本身仍不成熟。例如，當(dāng)前主流的人臉識(shí)別系統(tǒng)在識(shí)別過程中要求識(shí)別人做出眨眼、抬頭等動(dòng)作，而欺騙技術(shù)可以模擬活體檢測的過程。2017年中央電視臺(tái)315晚會(huì)上，主持人使用了2部手機(jī)和1張正面照片，通過換臉APP演示了用合成人臉照片欺騙人臉識(shí)別系統(tǒng)的過程③；2019年12月，美國《財(cái)富》雜志報(bào)道了使用3D面具成功地通過了支付寶和微信等人臉特征支付系統(tǒng)④。2019年，有“00后”男孩田某繞過了廈門銀行APP的人臉識(shí)別系統(tǒng)，使用虛假身份信息注冊了多個(gè)賬戶并倒賣牟利⑤?？梢?，防欺騙技術(shù)不斷完善的同時(shí)，不法分子也在針對(duì)性地研究欺騙技術(shù)，二者的博弈過程仍將持續(xù)。

由此可見，當(dāng)前的生物特征識(shí)別系統(tǒng)主要面臨個(gè)人信息被盜竊、泄露、濫用及系統(tǒng)被侵入兩大安全風(fēng)險(xiǎn)。利用技術(shù)措施和法律手段提高生物特征識(shí)別系統(tǒng)個(gè)人信息保護(hù)性能及安全性能是防范風(fēng)險(xiǎn)的有效途徑。

（二）生物特征識(shí)別技術(shù)安全防范措施及其存在的不足

為了降低生物特征識(shí)別技術(shù)的風(fēng)險(xiǎn)，學(xué)者們在識(shí)別算法和技術(shù)上進(jìn)行了深入研究。主要思路是：增加特征數(shù)據(jù)的保密性、完整性，提升特征數(shù)據(jù)的不可逆性，以便提高生物特征識(shí)別系統(tǒng)個(gè)人信息保護(hù)性能；改進(jìn)活體識(shí)別技術(shù)，增加欺騙攻擊的難度；提出多模態(tài)融合識(shí)別方法，提高識(shí)別準(zhǔn)確性的同時(shí)，增強(qiáng)破解算法的復(fù)雜性，以便提高生物特征識(shí)別系統(tǒng)安全性能。當(dāng)前的安全防范技術(shù)措施，概括起來，主要包括如下方面：

第一，可撤銷生物特征隱私保護(hù)技術(shù)。近年來，生物特征模板被盜或泄露時(shí)的安全性和隱私性已成為公眾關(guān)注的熱點(diǎn)，由于生物特征具有唯一性和不可再生性，模板泄露意味著永久的信息損失。生物特征模板保護(hù)方法可以大致被分為可撤銷的生物特征識(shí)別和生物特征密碼系統(tǒng)?！渡锾卣髯R(shí)別信息的保護(hù)要求（征求意見稿）》第5.1.1節(jié)至5.1.3節(jié)分別給出了生物特征“保密性”“完整性”以及“可更新性與可撤銷性”的安全要求?？沙蜂N模板保護(hù)是將原始生物特征映射到新的特征空間起到對(duì)其加密的效果，在滿足生物特征保密性和完整性條件下，還應(yīng)滿足四個(gè)要求：不可逆性、可撤銷性、不可鏈接性和性能保持。例如，Jin等人利用生成的隨機(jī)參數(shù)，將實(shí)值生物特征向量轉(zhuǎn)換為離散索引(最大排序)哈希碼，實(shí)現(xiàn)了生物模板的不可逆以及可撤銷，該技術(shù)可以應(yīng)用到虹膜、掌紋、面部和指靜脈等生物特征識(shí)別領(lǐng)域。［3］(P393-407)但問題是，可撤銷生物特征模板需要在識(shí)別性能和不可逆性之間進(jìn)行權(quán)衡，嚴(yán)格的不可逆性意味著轉(zhuǎn)換后需要完全丟失信息，而只有保留原始模板的鑒別性信息，才能保持識(shí)別的準(zhǔn)確性。

第二，生物特征活體識(shí)別技術(shù)。以人臉識(shí)別為例，常見的假體人臉主要包括：照片類假體人臉、視頻類假體人臉、面具類假體人臉、合成的三維人臉模型類假體人臉。［4］活體檢測的方法大體分為交互式和非交互式兩種。目前主流的交互式活體檢測技術(shù)是基于隨機(jī)動(dòng)作指令的方法，但是其使用過程煩瑣，用戶體驗(yàn)不佳。非交互式活體檢測技術(shù)指的是用戶無感知條件下的活體和假體識(shí)別，包括：（1）基于紋理的方法，通過提取真實(shí)人臉、虛假照片或3D模型的紋理特征，從而識(shí)別真假；（2）基于生命信息的方法，通過識(shí)別人臉微弱的肌肉變化以及微運(yùn)動(dòng)等鑒別是否活體；（3）基于硬件傳感器的方法，通過紅外相機(jī)、光場相機(jī)或深度相機(jī)識(shí)別人臉或假體。但從實(shí)踐來看，當(dāng)前活體檢測技術(shù)并不成熟，還需要得到進(jìn)一步研究和完善。

第三，多模態(tài)生物特征融合識(shí)別技術(shù)。單一的生物特征，難以滿足高安全領(lǐng)域的應(yīng)用要求，融合多個(gè)模態(tài)數(shù)據(jù)顯得至關(guān)重要。多模態(tài)融合識(shí)別技術(shù)指同一人的多個(gè)不同的生物特征，按照某種策略融合成整體進(jìn)行識(shí)別，能夠提高識(shí)別的準(zhǔn)確性和安全性?！渡锾卣髯R(shí)別信息的保護(hù)要求（征求意見稿）》第5.2.1節(jié)中也給出了“多模態(tài)生物特征識(shí)別”的建議。多模態(tài)融合一般可被分為傳感器層融合、特征層融合、分?jǐn)?shù)層融合和決策層融合四類。［5］(P151-162)多模態(tài)融合識(shí)別技術(shù)能夠顯著提升生物特征識(shí)別的準(zhǔn)確性和安全性，可應(yīng)用于公安司法、金融支付等高安全領(lǐng)域。但是，多模態(tài)融合識(shí)別技術(shù)由于需要采集、存儲(chǔ)和識(shí)別多種生物特征數(shù)據(jù)，系統(tǒng)硬件成本較高，開發(fā)難度較大，實(shí)際應(yīng)用中系統(tǒng)的使用難度和維護(hù)成本較單模態(tài)也相對(duì)更高。

可見，單從技術(shù)上防范生物特征信息安全風(fēng)險(xiǎn)無法真正實(shí)現(xiàn)科技與社會(huì)、與生活運(yùn)用的有效結(jié)合，只有在技術(shù)防范的基礎(chǔ)上進(jìn)一步建立起穩(wěn)固的制度化、法制化屏障，才能讓生物特征識(shí)別信息的應(yīng)用與人類需求緊密結(jié)合起來，實(shí)現(xiàn)善的功能。

二、國內(nèi)外生物特征信息保護(hù)中個(gè)人信息采集處理的立法及存在問題

隨著生物特征識(shí)別技術(shù)的發(fā)展和普及，不少國家或者區(qū)域性組織已經(jīng)意識(shí)到生物特征信息安全性問題，并通過立法或者制定國家標(biāo)準(zhǔn)的形式進(jìn)行規(guī)制。［6］(P193)

（一）國內(nèi)外生物特征信息保護(hù)中個(gè)人信息采集處理的立法概況

美國目前并沒有統(tǒng)一的聯(lián)邦法律規(guī)范生物特征識(shí)別技術(shù)的應(yīng)用，只有個(gè)別州通過了生物特征識(shí)別相關(guān)立法。2008年伊利諾伊州通過了世界上首部生物特征信息隱私保護(hù)法律《伊利諾伊州生物特征信息隱私法》(Illinois Biometric Information Privacy Act,簡稱BIPA)⑥，其中第15節(jié)(b)條規(guī)定“任何私人實(shí)體不得收集、捕獲、購買、通過交易接收或以其他方式獲取個(gè)人或客戶的生物特征識(shí)別符或生物特征信息”，除非接收到生物特征識(shí)別符或生物特征信息的主體或其合法授權(quán)代表的書面準(zhǔn)許，該法旨在保護(hù)伊利諾伊州的居民——防止生物識(shí)別數(shù)據(jù)在未經(jīng)他們明確許可的情況下被采集或存儲(chǔ)。德克薩斯州和華盛頓州隨后分別于2009年和2017年頒布了《生物特征信息隱私法》。需要注意的是，一是美國不同州的立法并不相同，例如，德克薩斯州和華盛頓州沒有在其立法中規(guī)定行使私人權(quán)利的方式，即沒有提供私人訴訟的途徑；而BIPA明確提供了權(quán)利救濟(jì)的方式，個(gè)人在其生物特征識(shí)別信息權(quán)利受到侵犯時(shí)，可以自行向法院提起司法訴訟。二是從個(gè)人信息保護(hù)立法來看，美國沒有通過制定統(tǒng)一的個(gè)人信息保護(hù)法的方式保護(hù)個(gè)人信息，而是主要依靠市場與行業(yè)自律來實(shí)現(xiàn)。在立法模式的選擇上，美國采取了“隱私權(quán)”的保護(hù)模式，即通過隱私統(tǒng)一保護(hù)個(gè)人信息。［7］(P63)

德國于1976年通過了《聯(lián)邦數(shù)據(jù)保護(hù)法》，對(duì)于個(gè)人資料的儲(chǔ)存、處理和傳送作出了規(guī)定，對(duì)于個(gè)人資料進(jìn)行系統(tǒng)集中的保護(hù)。1978年德國又通過了《數(shù)據(jù)處理、檔案與自由法案》，對(duì)于數(shù)據(jù)的收集、處理和使用作出了規(guī)定。為了執(zhí)行1995年歐盟通過的《個(gè)人數(shù)據(jù)保護(hù)指令》，2002年德國頒布了《聯(lián)邦數(shù)據(jù)保護(hù)法》，該法案對(duì)于個(gè)人數(shù)據(jù)的概念作出了規(guī)定，確立了數(shù)據(jù)收集、處理和使用中的“最小限度”原則，其中第4條（1）規(guī)定“收集、處理和使用個(gè)人數(shù)據(jù)必須遵守本法和其他法律的規(guī)定，或者經(jīng)數(shù)據(jù)主體同意”，明確了信息主體的同意權(quán)利，同時(shí)，也對(duì)數(shù)據(jù)主體權(quán)利的救濟(jì)作出了規(guī)定，諸如要求數(shù)據(jù)控制者履行登記的義務(wù)并任命數(shù)據(jù)保護(hù)官，對(duì)于包括個(gè)人生物識(shí)別信息在內(nèi)的個(gè)人數(shù)據(jù)加以保護(hù)［8］(P10-21)。與美國不同的是，德國采取了個(gè)人信息權(quán)的立法模式。

歐盟的個(gè)人信息法律保護(hù)歷來非常嚴(yán)格，然而關(guān)于生物特征信息保護(hù)，目前沒有專門的立法，有關(guān)法律體現(xiàn)在《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）中。GDPR第9條第1款規(guī)定，個(gè)人生物特征信息屬于個(gè)人敏感數(shù)據(jù)，并強(qiáng)調(diào)了生物特征數(shù)據(jù)禁止用于個(gè)人身份的識(shí)別；但是GDPR第9條第2款緊接著規(guī)定了例外情形，主要包括：信息主體明確同意，維護(hù)公共利益，提出、行使或辯護(hù)法律主張等7個(gè)方面。在實(shí)際中，取得信息主體同意的前提下，或者為了某些特定的合法目的時(shí)，GDPR是允許生物特征識(shí)別技術(shù)使用的。

我國《民法典》第1033條規(guī)定“除法律另有規(guī)定或者權(quán)利人明確同意之外，任何組織或者個(gè)人不得實(shí)施”的行為之一是“處理他人的私密信息”；第1034條規(guī)定“自然人的個(gè)人信息受法律保護(hù)”，生物識(shí)別信息屬于個(gè)人信息范疇；第1035條規(guī)定“處理個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理”，需“征得該自然人或者其監(jiān)護(hù)人同意”且“明示處理信息的目的、方式和范圍”；第1036條規(guī)定“處理個(gè)人信息”如果是“在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實(shí)施的行為”，“行為人不承擔(dān)民事責(zé)任”；第1037條規(guī)定“自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息；發(fā)現(xiàn)信息有錯(cuò)誤的，有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施”。第1038條規(guī)定“信息處理者不得泄露或者篡改其收集、存儲(chǔ)的個(gè)人信息；未經(jīng)自然人同意，不得向他人非法提供其個(gè)人信息”?！睹穹ǖ洹芬陨弦?guī)定確立了生物特征識(shí)別系統(tǒng)個(gè)人信息采集處理授權(quán)同意機(jī)制。《網(wǎng)絡(luò)安全法》第41條第1款規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意?！秱€(gè)人信息安全規(guī)范》中，對(duì)個(gè)人信息在收集、存儲(chǔ)、使用、共享、轉(zhuǎn)讓與公開披露等處理環(huán)節(jié)中的相關(guān)行為進(jìn)行了嚴(yán)格規(guī)范。核心內(nèi)容包括：收集個(gè)人信息應(yīng)獲得授權(quán)同意（這一條確認(rèn)了《民法典》個(gè)人信息采集處理授權(quán)同意機(jī)制）、合法且滿足最小必要；應(yīng)制定個(gè)人信息保護(hù)政策，個(gè)人信息存儲(chǔ)應(yīng)進(jìn)行去標(biāo)識(shí)化處理，個(gè)人敏感信息應(yīng)采用加密處理，原則上不得存儲(chǔ)原始生物特征數(shù)據(jù)；個(gè)人信息使用的目的應(yīng)明確，如需超出使用范圍，需征得信息主體同意；信息主體擁有個(gè)人信息查詢、更正以及刪除的權(quán)利。

《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》是專門針對(duì)生物特征識(shí)別技術(shù)的國家標(biāo)準(zhǔn)，規(guī)定了生物特征識(shí)別信息的安全保護(hù)要求，包括生物特征識(shí)別系統(tǒng)的威脅和對(duì)策、生物特征信息和身份主體之間綁定的安全要求、應(yīng)用模型以及個(gè)人信息保護(hù)要求等。其中生物特征識(shí)別系統(tǒng)信息安全保護(hù)要求規(guī)定生物特征識(shí)別系統(tǒng)應(yīng)滿足保密性（強(qiáng)調(diào)“由于生物特征敏感，未經(jīng)授權(quán)的數(shù)據(jù)披露可能會(huì)導(dǎo)致嚴(yán)重的個(gè)人信息安全威脅”）、完整性以及可更新性與可撤銷性；生物特征識(shí)別系統(tǒng)安全威脅與應(yīng)對(duì)措施主要包括系統(tǒng)組件安全威脅與措施、生物特征信息傳輸過程威脅與措施以及可更新性措施。

可見，個(gè)人信息采集處理授權(quán)同意機(jī)制在國內(nèi)外相關(guān)法律和規(guī)范中都有體現(xiàn)，是生物特征識(shí)別信息安全保護(hù)的重要機(jī)制。

（二）生物特征識(shí)別系統(tǒng)個(gè)人信息采集處理授權(quán)同意機(jī)制存在的問題

根據(jù)《民法典》《網(wǎng)絡(luò)安全法》《個(gè)人信息安全規(guī)范》《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》相關(guān)條款規(guī)定，我國當(dāng)前的生物特征識(shí)別系統(tǒng)個(gè)人信息收集與處理是以同意機(jī)制為基礎(chǔ)的。從實(shí)踐來看，一些機(jī)構(gòu)或者單位在收集用戶個(gè)人生物特征識(shí)別信息前，先發(fā)布告知或者聲明，用戶在閱讀聲明后作出同意的意思表示，即被視為對(duì)個(gè)人生物特征識(shí)別信息收集及利用的合法授權(quán)。

但問題是，無論從法律層面還是技術(shù)層面，個(gè)人信息采集處理授權(quán)同意機(jī)制都存在極大缺陷：

第一，知情同意機(jī)制為個(gè)人帶來沉重負(fù)擔(dān)。個(gè)人信息流轉(zhuǎn)的多元復(fù)雜性為機(jī)構(gòu)在隱私聲明中的清晰闡述，帶來了嚴(yán)峻挑戰(zhàn)，信息創(chuàng)新利用的目的也往往難以在收集時(shí)所預(yù)知，為遵循法律要求，機(jī)構(gòu)往往列出冗長艱澀的隱私聲明，也給用戶閱讀帶來沉重負(fù)擔(dān)，有研究表明，用戶僅閱讀一年中使用的網(wǎng)絡(luò)服務(wù)的隱私聲明就要花費(fèi)244小時(shí)的時(shí)間。而現(xiàn)實(shí)中用戶往往越過隱私聲明直接點(diǎn)擊同意，既不閱讀更難以理解其內(nèi)容，導(dǎo)致隱私聲明淪為一紙空文［9］(P93)。

第二，知情同意機(jī)制中的“同意”很多情況下淪為擺設(shè)或者對(duì)個(gè)人權(quán)利的不正當(dāng)限制。在現(xiàn)實(shí)中，很多人都是在不知識(shí)別系統(tǒng)安全風(fēng)險(xiǎn)的情況下表示同意，或者由于必須使用某生物特征識(shí)別系統(tǒng)而不得不給予同意，如只有通過“人臉識(shí)別”才能進(jìn)入小區(qū)、公園等。在這種情況下，所謂的“同意”要么淪為一種形式，要么淪為一種變相的強(qiáng)制，以同意機(jī)制為基礎(chǔ)的法律保護(hù)框架更顯得蒼白無力。

第三，個(gè)人對(duì)自己的生物特征識(shí)別信息并無實(shí)際的控制權(quán)，且權(quán)利的行使日益困難。如果作為生物特征數(shù)據(jù)主體的個(gè)人表示同意，接下來的數(shù)據(jù)收集、使用、處理就交給了使用識(shí)別系統(tǒng)的企業(yè)或政府機(jī)構(gòu)，數(shù)據(jù)主體難以進(jìn)行后續(xù)的監(jiān)督和控制。數(shù)據(jù)主體在征得同意之后，其個(gè)人數(shù)據(jù)就跟該主體沒有任何關(guān)系，之后所有的風(fēng)險(xiǎn)都需要由其本人來承擔(dān)，采用以同意機(jī)制為主的模式來保護(hù)個(gè)人信息，無異于將數(shù)據(jù)被盜用、泄露的風(fēng)險(xiǎn)放在作為數(shù)據(jù)主體的個(gè)人身上。如果個(gè)人生物特征識(shí)別信息受到了侵害，但由于生物特征識(shí)別信息使用、處理的主體和環(huán)節(jié)較多，再加上取證困難，作為生物特征識(shí)別信息權(quán)的個(gè)體也難以通過訴訟等途徑依法維權(quán)。

第四，市場上銷售的各種生物特征識(shí)別系統(tǒng)所標(biāo)稱性能都是在自建的生物特征數(shù)據(jù)庫中經(jīng)訓(xùn)練學(xué)習(xí)后測試得出的，因此，這些識(shí)別系統(tǒng)的識(shí)別率及個(gè)人信息保護(hù)性能、系統(tǒng)安全性能標(biāo)準(zhǔn)都是不一樣的和不統(tǒng)一的，導(dǎo)致用戶在使用這些系統(tǒng)時(shí)可能達(dá)不到所標(biāo)稱的識(shí)別效果和安全風(fēng)險(xiǎn)要求，實(shí)施個(gè)人信息收集與處理授權(quán)同意機(jī)制，必須要讓被識(shí)別對(duì)象，知曉生物特征識(shí)別系統(tǒng)真實(shí)的個(gè)人信息保護(hù)性能和安全性能。

三、我國個(gè)人信息采集處理授權(quán)同意機(jī)制困境的應(yīng)對(duì)措施

生物特征識(shí)別的安全風(fēng)險(xiǎn)對(duì)于個(gè)人來說是難以防范的，這是因?yàn)榉婪渡锾卣髯R(shí)別風(fēng)險(xiǎn)既存在技術(shù)上的壁壘，又存在法律規(guī)制上的滯后性。防范生物特征識(shí)別安全風(fēng)險(xiǎn)是一項(xiàng)應(yīng)由國家以及整個(gè)社會(huì)共同主導(dǎo)的系統(tǒng)性工程。針對(duì)生物特征識(shí)別安全防范的專業(yè)性和公共性特點(diǎn)，我們應(yīng)從技術(shù)規(guī)則和法治規(guī)則兩個(gè)方面對(duì)其進(jìn)行雙重規(guī)制。

（一）建立生物特征識(shí)別系統(tǒng)的個(gè)人信息保護(hù)性能和安全性能分級(jí)規(guī)制制度

讓被識(shí)別人了解生物特征識(shí)別系統(tǒng)的個(gè)人信息保護(hù)性能和安全性能是十分必要的，是落實(shí)以同意機(jī)制為基礎(chǔ)的法律保護(hù)措施的前提。生物特征識(shí)別系統(tǒng)的個(gè)人信息保護(hù)性能和安全性能分級(jí)，不僅可以讓被識(shí)別人從宏觀上了解生物特征識(shí)別系統(tǒng)的安全性能和隱私保護(hù)性能，還可以自然地讓生物特征識(shí)別系統(tǒng)的市場價(jià)格分開，級(jí)別越高價(jià)格就越高，這樣就可倒逼生物特征識(shí)別系統(tǒng)開發(fā)制造商設(shè)計(jì)制造性能級(jí)別更高的生物特征識(shí)別系統(tǒng)。與此同時(shí)，我們還可以厘清生物特征識(shí)別系統(tǒng)制造商及使用識(shí)別系統(tǒng)的企業(yè)或者政府機(jī)構(gòu)，在系統(tǒng)的個(gè)人信息保護(hù)性能和安全性能方面應(yīng)承擔(dān)的法律責(zé)任。換言之，待識(shí)別人即便同意識(shí)別系統(tǒng)使用者采集與處理隱私數(shù)據(jù)，一旦隱私數(shù)據(jù)被盜取、泄露、篡改或?yàn)E用，系統(tǒng)使用者與系統(tǒng)開發(fā)商也必須按照識(shí)別系統(tǒng)的個(gè)人信息保護(hù)性能和安全性能，分級(jí)承擔(dān)相應(yīng)的法律責(zé)任。具體而言：

1.建立生物特征識(shí)別系統(tǒng)個(gè)人信息保護(hù)性能分級(jí)規(guī)制制度。生物特征識(shí)別系統(tǒng)個(gè)人信息保護(hù)性能分級(jí)規(guī)制的主要依據(jù)是《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》中的生物特征識(shí)別系統(tǒng)信息安全保護(hù)要求。即生物特征識(shí)別系統(tǒng)應(yīng)滿足如下要求：（1）保密性。生物特征識(shí)別系統(tǒng)應(yīng)保護(hù)信息免受未經(jīng)授權(quán)的訪問或披露，保護(hù)標(biāo)準(zhǔn)規(guī)定存儲(chǔ)和傳輸?shù)纳锾卣髯R(shí)別數(shù)據(jù)的保密性，可以通過訪問控制和各種形式的加密技術(shù)獲得。（2）完整性。生物特征參考（BR）的完整性會(huì)決定鑒別過程的完整性以及鑒別結(jié)果的可信性。對(duì)于確保整個(gè)生物特征識(shí)別系統(tǒng)的安全至關(guān)重要。完整性的危害情況包括：硬件或軟件故障導(dǎo)致的意外損壞；授權(quán)實(shí)體（即授權(quán)者或系統(tǒng)所有者）意外或有意修改真實(shí)的生物特征參考信息；攻擊者修改（包括替代）被授權(quán)的使用者的生物特征參考信息，等等。在確保完整性的機(jī)制上，保護(hù)標(biāo)準(zhǔn)建議生物特征識(shí)別系統(tǒng)通過訪問控制來實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)，防止未經(jīng)授權(quán)訪問生物特征數(shù)據(jù)或通過使用加密技術(shù)進(jìn)行完整性檢查。完整性保護(hù)可能需要與其他技術(shù)（如時(shí)間戳）相結(jié)合，以防止重復(fù)使用被盜生物特征數(shù)據(jù)和重放攻擊。（3）可更新性與可撤銷性。針對(duì)生物特征參考信息已經(jīng)受到侵害，可更新性與可撤銷性是對(duì)數(shù)據(jù)主體隱私權(quán)益的補(bǔ)救對(duì)策。

考慮到市場上銷售的生物特征識(shí)別系統(tǒng)很多是不能完全達(dá)到上述個(gè)人信息安全規(guī)范和保護(hù)要求的，因此，我國應(yīng)對(duì)生物特征識(shí)別系統(tǒng)的個(gè)人信息保護(hù)性能進(jìn)行如下三級(jí)規(guī)制：（1）1級(jí)保護(hù)，為高保護(hù)性能等級(jí)。該等級(jí)系統(tǒng)存儲(chǔ)身份參考（IR）數(shù)據(jù)，不存儲(chǔ)原始生物特征參考(BR)數(shù)據(jù)或存儲(chǔ)原始生物特征參考(BR)數(shù)據(jù)，但提供BR及IR的保密性和完整性，系統(tǒng)提供BR的可更新性與可撤銷性。（2）2級(jí)保護(hù)，為較高保護(hù)性能等級(jí)。該等級(jí)系統(tǒng)存儲(chǔ)身份參考（IR）數(shù)據(jù)和原始生物特征參考(BR)數(shù)據(jù)，提供BR及IR的有限保密性和完整性，系統(tǒng)提供BR的可更新性與可撤銷性。（3）3級(jí)保護(hù)，為一般保護(hù)性能等級(jí)。該等級(jí)系統(tǒng)存儲(chǔ)身份參考（IR）數(shù)據(jù)和原始生物特征參考(BR)數(shù)據(jù)，不提供BR及IR的保密性和完整性，系統(tǒng)提供BR的可更新性與可撤銷性。

系統(tǒng)個(gè)人信息保護(hù)性能需國家授權(quán)的專業(yè)機(jī)構(gòu)按系統(tǒng)保密性、完整性以及可更新性與可撤銷性，逐項(xiàng)進(jìn)行測試或鑒別，并按上述系統(tǒng)個(gè)人信息保護(hù)性能分級(jí)標(biāo)準(zhǔn)進(jìn)行分級(jí)，頒發(fā)系統(tǒng)個(gè)人信息保護(hù)性能測試結(jié)果及等級(jí)證書。待識(shí)別人可參考系統(tǒng)個(gè)人信息保護(hù)性能等級(jí)決定是否同意授權(quán)系統(tǒng)采集處理個(gè)人身份及生物特征信息。系統(tǒng)個(gè)人信息保護(hù)性能分級(jí)實(shí)際上也是系統(tǒng)在個(gè)人信息保護(hù)方面缺陷的分級(jí)，系統(tǒng)使用者必須明晰這些缺陷，與系統(tǒng)開發(fā)制造商一起做好相應(yīng)的系統(tǒng)個(gè)人信息保護(hù)管理工作，并簽訂協(xié)議，一旦發(fā)生個(gè)人信息被盜取、泄露等問題，厘清各自應(yīng)承擔(dān)的法律責(zé)任。

2.建立生物特征識(shí)別系統(tǒng)安全性能分級(jí)規(guī)制制度。生物特征識(shí)別系統(tǒng)安全性能分級(jí)規(guī)制的主要依據(jù)是《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》中的生物特征識(shí)別系統(tǒng)安全威脅與應(yīng)對(duì)措施。生物特征識(shí)別系統(tǒng)安全威脅與應(yīng)對(duì)措施主要包括：（1）系統(tǒng)組件安全威脅與措施?！渡锾卣髯R(shí)別信息的保護(hù)要求（征求意見稿）》第5.2.1節(jié)中表1列出了生物特征識(shí)別系統(tǒng)各子系統(tǒng)（數(shù)據(jù)采集、信號(hào)處理、比對(duì)、存儲(chǔ)、決策）可能遇到的威脅及其對(duì)策，并提示組件更換的威脅適用于所有子系統(tǒng)，組件更換是指替換生物特征識(shí)別系統(tǒng)的組件（譬如決策或比對(duì)子系統(tǒng)），目的是為了控制它并獲得所需要的輸出結(jié)果，使用涉及數(shù)字簽名組件的庫存控制可能是針對(duì)這種威脅的有效對(duì)策。（2）生物特征信息傳輸過程威脅與措施。生物特征識(shí)別系統(tǒng)各部件之間的通信通道可能會(huì)受侵害，進(jìn)而危及整個(gè)系統(tǒng)的安全?！渡锾卣髯R(shí)別信息的保護(hù)要求（征求意見稿）》第5.2.2節(jié)中表2列出了生物特征數(shù)據(jù)傳輸過程中可能遇到的威脅及其對(duì)策。（3）可更新性措施。生物特征參考的可更新性是針對(duì)存儲(chǔ)和傳輸威脅的一項(xiàng)對(duì)策。

市場上銷售的生物特征識(shí)別系統(tǒng)很多是不能完全達(dá)到上述安全性要求的，因此我國同樣應(yīng)對(duì)生物特征識(shí)別系統(tǒng)的安全性能進(jìn)行如下三級(jí)規(guī)制：（1）1級(jí)為高安全性能等級(jí)。該等級(jí)系統(tǒng)對(duì)組件安全威脅、生物特征信息傳輸過程威脅有強(qiáng)有力的應(yīng)對(duì)措施，系統(tǒng)有可更新性措施。（2）2級(jí)為較高安全性能等級(jí)。該等級(jí)系統(tǒng)對(duì)組件安全威脅、生物特征信息傳輸過程威脅有比較有力的應(yīng)對(duì)措施，系統(tǒng)有可更新性措施。（3）3級(jí)為一般安全性能等級(jí)。該等級(jí)系統(tǒng)對(duì)組件安全威脅、生物特征信息傳輸過程威脅缺乏有力的應(yīng)對(duì)措施，系統(tǒng)有可更新性措施。

系統(tǒng)安全性能也需國家授權(quán)的專業(yè)機(jī)構(gòu)按系統(tǒng)組件安全威脅與措施、生物特征信息傳輸過程威脅與措施以及可更新性措施逐項(xiàng)進(jìn)行測試或鑒別，并按上述安全性能分級(jí)標(biāo)準(zhǔn)進(jìn)行分級(jí)，頒發(fā)系統(tǒng)安全性能測試結(jié)果及等級(jí)證書。待識(shí)別人可參考系統(tǒng)安全性能等級(jí)決定是否同意授權(quán)系統(tǒng)采集處理個(gè)人身份及生物特征信息。系統(tǒng)安全性能分級(jí)實(shí)際上也是系統(tǒng)在安全方面缺陷的分級(jí)，系統(tǒng)使用者必須明晰這些缺陷，與系統(tǒng)開發(fā)制造商一起做好相應(yīng)的系統(tǒng)安全管理工作，并簽訂協(xié)議，一旦發(fā)生系統(tǒng)安全問題，厘清各自應(yīng)承擔(dān)的法律責(zé)任。

（二）建立國家統(tǒng)一標(biāo)準(zhǔn)的生物特征測試數(shù)據(jù)庫及生物特征識(shí)別系統(tǒng)性能測試機(jī)構(gòu)

就目前的生物特征識(shí)別技術(shù)而言，我國尚未針對(duì)各種生物特征系統(tǒng)建立統(tǒng)一的識(shí)別性能及個(gè)人信息保護(hù)性能、安全性能測試數(shù)據(jù)庫，市場上各種生物特征識(shí)別系統(tǒng)標(biāo)稱性能都是在不同的生物特征數(shù)據(jù)庫測試得出的，因此，這些識(shí)別系統(tǒng)的識(shí)別率及個(gè)人信息保護(hù)性能、安全性能標(biāo)準(zhǔn)都是不一樣的和不統(tǒng)一的，導(dǎo)致用戶在使用這些系統(tǒng)時(shí)可能達(dá)不到所標(biāo)稱的識(shí)別效果和安全風(fēng)險(xiǎn)要求，被識(shí)別對(duì)象也經(jīng)常對(duì)識(shí)別系統(tǒng)的個(gè)人生物特征隱私保護(hù)產(chǎn)生懷疑，并表示擔(dān)心。鑒此，我國應(yīng)從技術(shù)和法律上建立國家統(tǒng)一標(biāo)準(zhǔn)的生物特征測試數(shù)據(jù)庫及生物特征識(shí)別系統(tǒng)性能測試標(biāo)準(zhǔn)，包括識(shí)別率及個(gè)人信息保護(hù)性能、安全性能標(biāo)準(zhǔn)及等級(jí)。同時(shí)，在法律上授權(quán)一批有技術(shù)資質(zhì)的企業(yè)或機(jī)構(gòu)執(zhí)行上述測試和頒發(fā)有法律效應(yīng)的測試證書（包括系統(tǒng)個(gè)人信息保護(hù)性能、安全性能分級(jí)證書）。有了上述國家統(tǒng)一標(biāo)準(zhǔn)和測試機(jī)構(gòu)，不僅可有效落實(shí)已有的生物特征隱私法律保護(hù)政策和措施，而且也可有效引導(dǎo)統(tǒng)一標(biāo)準(zhǔn)的生物特征識(shí)別系統(tǒng)的設(shè)計(jì)和制造，杜絕虛假性能指標(biāo)；同時(shí)，也方便用戶選擇適用的識(shí)別系統(tǒng)。

（三）制定個(gè)人信息保護(hù)的專門法律規(guī)范，并進(jìn)一步完善個(gè)人信息采集處理授權(quán)同意機(jī)制

具體而言，一是制定個(gè)人信息保護(hù)專門法律規(guī)范?！睹穹ǖ洹贰叭烁駲?quán)編”采用專章的方式對(duì)個(gè)人信息與隱私權(quán)一并予以保護(hù)，并對(duì)個(gè)人信息的類型、收集、更改或刪除做了初步規(guī)定。但這里需要指出的是，《民法典》對(duì)個(gè)人信息的保護(hù)畢竟具有階段性的特征，在大數(shù)據(jù)背景下難以實(shí)現(xiàn)對(duì)個(gè)人生物特征識(shí)別信息權(quán)的有效保護(hù)?！毒W(wǎng)絡(luò)安全法》 也只是從網(wǎng)絡(luò)信息安全的視角對(duì)保護(hù)個(gè)人生物特征數(shù)據(jù)信息在內(nèi)的個(gè)人信息保護(hù)進(jìn)行規(guī)定，帶有一定的局限性，且對(duì)何謂“正當(dāng)”“必要”也沒有做出相應(yīng)的界定。而《個(gè)人信息安全規(guī)范》《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》畢竟只是技術(shù)標(biāo)準(zhǔn)，缺乏法律應(yīng)有的強(qiáng)制性。鑒此，我國應(yīng)借鑒德國立法模式，制定個(gè)人信息保護(hù)方面的專門法律規(guī)范。如前所述，美國一些州采取的是“隱私權(quán)”的立法保護(hù)模式，但隱私權(quán)更多的是一種消極的防御性的權(quán)利，而個(gè)人信息權(quán)則是一種集人格利益和財(cái)產(chǎn)利益于一體的主動(dòng)性權(quán)利。與此同時(shí)，個(gè)人生物識(shí)別信息的主體不限于信息本身的主體，個(gè)人生物識(shí)別信息主體可以自主控制或允許數(shù)據(jù)控制者利用，從而發(fā)揮該信息的經(jīng)濟(jì)與社會(huì)價(jià)值，這是傳統(tǒng)的隱私權(quán)觀念所不具備的［10］(P121-123)。故采取個(gè)人信息權(quán)的立法保護(hù)模式，則能夠?qū)崿F(xiàn)對(duì)個(gè)人生物特征數(shù)據(jù)信息在內(nèi)的個(gè)人信息的全面、充分保護(hù)。

二是進(jìn)一步完善個(gè)人信息采集處理授權(quán)同意機(jī)制。具體而言，首先，除了規(guī)定個(gè)人對(duì)生物特征數(shù)據(jù)信息的收集、使用應(yīng)當(dāng)取得個(gè)人同意之外，還應(yīng)當(dāng)規(guī)定收集者、使用者的信息披露義務(wù)。因?yàn)闆]有收集者、使用者的信息披露義務(wù)的規(guī)定，就難以真正保障和實(shí)現(xiàn)個(gè)人同意權(quán)。尤其針對(duì)海量信息在用戶不知情的狀況下收集、用戶與第三方信息處理者關(guān)聯(lián)缺失的情況，應(yīng)強(qiáng)化個(gè)人信息處理主體的責(zé)任意識(shí)，加強(qiáng)第三方信息處理機(jī)構(gòu)與用戶之間的聯(lián)系，第三方機(jī)構(gòu)應(yīng)當(dāng)主動(dòng)向用戶披露信息處理狀況及提供控制機(jī)制［9］(P110)。其次，將對(duì)生物識(shí)別信息的收集、使用之“正當(dāng)原則”限制為“基于公共利益”，亦即政府機(jī)關(guān)或者授權(quán)機(jī)構(gòu)可以基于公共利益收集、使用個(gè)人生物識(shí)別信息。除此之外，不得為非公共利益的目的儲(chǔ)存、處理或利用個(gè)人生物識(shí)別信息。但與此同時(shí)，對(duì)個(gè)人生物識(shí)別信息收集應(yīng)當(dāng)采取“比例原則”，如對(duì)小區(qū)、公園采取單一的“人臉識(shí)別”方式就應(yīng)當(dāng)予以禁止。

三是對(duì)個(gè)人生物識(shí)別信息的處理應(yīng)當(dāng)作出嚴(yán)格限制。如任何單位或者個(gè)人非經(jīng)許可不得向他人轉(zhuǎn)讓個(gè)人生物識(shí)別信息，尤其是禁止以營利為目的向任何機(jī)構(gòu)有償轉(zhuǎn)讓個(gè)人生物識(shí)別信息。當(dāng)然，這需要政府依法加強(qiáng)對(duì)生物識(shí)別信息收集、使用、存儲(chǔ)、處理等全方位的監(jiān)管，并嚴(yán)格追究違法行為人的法律責(zé)任。

四、結(jié)語

生物特征數(shù)據(jù)具有不可更換性，一旦泄露，就是終身泄露。當(dāng)前生物特征識(shí)別技術(shù)主要面臨個(gè)人信息被盜竊、泄露、濫用及系統(tǒng)被侵入兩大安全風(fēng)險(xiǎn)。生物特征數(shù)據(jù)被泄露和濫用勢必嚴(yán)重危及公眾的人身與財(cái)產(chǎn)安全。為此，我國《民法典》單設(shè)“隱私權(quán)和個(gè)人信息保護(hù)”章節(jié)，確立了個(gè)人信息采集處理授權(quán)同意機(jī)制；國家市場監(jiān)管總局和國家質(zhì)檢總局分別出臺(tái)了《個(gè)人信息安全規(guī)范》以及《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》等國家標(biāo)準(zhǔn)，對(duì)生物特征識(shí)別的特征采集、提取、存儲(chǔ)、比對(duì)等方面進(jìn)行規(guī)制，一定程度上保護(hù)了生物特征安全。但是，由于生物特征識(shí)別系統(tǒng)的復(fù)雜性和多樣性，不同生物特征識(shí)別系統(tǒng)的安全性能和個(gè)人信息保護(hù)性能差異較大；同時(shí)，普通被識(shí)別人對(duì)生物特征識(shí)別系統(tǒng)的安全性能和個(gè)人信息保護(hù)性能根本不了解，導(dǎo)致以同意機(jī)制為基礎(chǔ)的個(gè)人信息法律保護(hù)框架難以落實(shí)而顯得十分無力。為了解決上述問題，本文從技術(shù)和法律上對(duì)生物特征識(shí)別系統(tǒng)的安全性能和個(gè)人信息保護(hù)性能分級(jí)規(guī)制，讓待識(shí)別人宏觀上了解生物特征識(shí)別系統(tǒng)的安全性能和隱私保護(hù)性能，以便落實(shí)以同意機(jī)制為基礎(chǔ)的個(gè)人信息法律保護(hù)措施。這樣的分級(jí)規(guī)制，不僅可以促使系統(tǒng)制造商按市場規(guī)律提升識(shí)別系統(tǒng)的安全性能和個(gè)人信息保護(hù)性能，還能夠厘清識(shí)別系統(tǒng)制造商與識(shí)別系統(tǒng)的使用者在系統(tǒng)的安全和個(gè)人信息保護(hù)方面應(yīng)承擔(dān)的法律責(zé)任。與此同時(shí)，本文還建議制定包括生物識(shí)別信息在內(nèi)的個(gè)人信息保護(hù)專門法律規(guī)范，進(jìn)一步完善授權(quán)同意機(jī)制。

注釋：

①《生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》第4.1節(jié)“生物特征識(shí)別系統(tǒng)概述”，第5.1.1節(jié)“保密性”以及第5.2.1節(jié)“系統(tǒng)組件安全威脅與措施”。

②《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2020）第9.2節(jié)“個(gè)人信息共享、轉(zhuǎn)讓”以及第6.3節(jié)“個(gè)人敏感信息的傳輸和存儲(chǔ)”。

③《刷臉登錄要小心，315晚會(huì)警示人臉識(shí)別存在安全漏洞》，載驅(qū)動(dòng)中國網(wǎng)，2017年3月16日，https://mobile.qudong.com/article/399247.shtml。

④Jeff John Roberts，Airport and Payment Facial Recognition Systems Fooled by Masks and Photos,Raising Security Concerns，2019.12.12。

⑤《廈門銀行APP遭“00后”黑客非法入侵 建行手機(jī)APP也中招》,新浪財(cái)經(jīng)網(wǎng)，2020年3月6日,http://finance.sina.com.cn/jinrong/law/2020-03-06/doc-iimxxstf7000262.shtml。

⑥Illinois Biometric Information Privacy Act,740 ILCS 14/1 (2008)。