個(gè)人生物識(shí)別信息保護(hù)制度完善
——以人臉識(shí)別技術(shù)為例

湖南工商大學(xué)法學(xué)院 李玥

一、問(wèn)題的提出

人臉識(shí)別屬于現(xiàn)階段辨別個(gè)人身份信息的一項(xiàng)新型技術(shù)。人臉識(shí)別技術(shù)以非接觸性、主體唯一且不易復(fù)制為主要特征，它無(wú)須攜帶、易于采集、成本低廉，信息采集者利用普通攝像頭等裝置，運(yùn)用面部識(shí)別的軟件和相關(guān)算法，不需要接觸就可以進(jìn)行面部信息的抓取與存儲(chǔ)。然而，新技術(shù)背后存在的問(wèn)題也在日漸凸顯。2019年一款換臉軟件在朋友圈、微博等各大社交媒體平臺(tái)迅速刷屏，用戶只需要提供一張正臉照片，就可以實(shí)現(xiàn)與各種視頻中的人物進(jìn)行換臉。但是，在短短三天內(nèi)這個(gè)APP就因種種問(wèn)題被迫下架。2019年10月,出現(xiàn)了人臉識(shí)別這項(xiàng)技術(shù)無(wú)法有效區(qū)別取件者本人和個(gè)人照片，導(dǎo)致快遞被他人利用照片取走的問(wèn)題。2021年3·15晚會(huì)爆出，多家公司通過(guò)監(jiān)控?cái)z像頭獲取到店消費(fèi)者的面部數(shù)據(jù)，進(jìn)而對(duì)收集到的數(shù)據(jù)展開(kāi)分析和處理。2021年4月9日，“國(guó)內(nèi)人臉識(shí)別第一案”二審宣判，受到了各個(gè)階層對(duì)這一項(xiàng)識(shí)別技術(shù)產(chǎn)生的問(wèn)題的極度重視。這種生物識(shí)別技術(shù)通過(guò)和相應(yīng)的技術(shù)進(jìn)行結(jié)合起到作用，這也就改變了個(gè)人生物信息的不可復(fù)制性和不可變更性。人臉識(shí)別的非接觸性也讓個(gè)人信息侵權(quán)問(wèn)題更容易發(fā)生。相對(duì)于其他個(gè)人信息，人臉識(shí)別技術(shù)應(yīng)用下的存儲(chǔ)、傳輸中存在嚴(yán)重的隱私侵權(quán)和安全風(fēng)險(xiǎn)，通過(guò)這項(xiàng)技術(shù)采集到的信息非常容易別他人利用，假如這類問(wèn)題出現(xiàn)，就可能會(huì)對(duì)信息主體造成永久性傷害和難以彌補(bǔ)的損失。

二、我國(guó)個(gè)人生物識(shí)別信息保護(hù)立法現(xiàn)狀

我國(guó)目前對(duì)于個(gè)人生物識(shí)別信息，相關(guān)法律提及到的有《身份證法》《刑法》《刑事訴訟法》《民法典》《消費(fèi)者權(quán)益保護(hù)法》，以及《外國(guó)人入境管理?xiàng)l例》《保安服務(wù)管理?xiàng)l例》《征信業(yè)管理?xiàng)l例》等行政法規(guī)，此外還包含了部分效力不高的規(guī)章或一些規(guī)范性文件。按照《居民身份證法》《刑事訴訟法》《外國(guó)人入境管理?xiàng)l例》《公安機(jī)關(guān)辦理行政案件管理規(guī)定》等法律規(guī)定，公安機(jī)關(guān)可以在身份證管理、出入境管理、辦理行政案件、刑事案件內(nèi)通過(guò)指紋等各種識(shí)別技術(shù)展開(kāi)工作，如果泄露將承擔(dān)行政處分、追究刑事責(zé)任。同時(shí)，采用確定相關(guān)主體所具有的權(quán)利義務(wù)和責(zé)任對(duì)其相關(guān)的識(shí)別數(shù)據(jù)展開(kāi)保護(hù)。從《民法典》中可以了解到，對(duì)于個(gè)人數(shù)據(jù)如果進(jìn)行處理的相關(guān)原則，以及相應(yīng)的權(quán)利和義務(wù)內(nèi)容的確立等；在刑事領(lǐng)域，采用確立侵害他人信息的刑事規(guī)定來(lái)對(duì)識(shí)別信息展開(kāi)保護(hù)，其中比較有代表性的是在《刑法》中規(guī)定的與侵害他人信息罪相關(guān)的內(nèi)容。還有就是確立相關(guān)識(shí)別數(shù)據(jù)在采集、分析以及使用等各個(gè)過(guò)程中的規(guī)定。相對(duì)集中在信息管理領(lǐng)域，《網(wǎng)路安全法》規(guī)定了網(wǎng)絡(luò)運(yùn)行者收集、使用個(gè)人信息的規(guī)則，網(wǎng)絡(luò)運(yùn)行者、網(wǎng)絡(luò)監(jiān)管人員以及其他組織和個(gè)人不得利用個(gè)人信息從而向他人進(jìn)行非法交易或獲取等內(nèi)容。另外，我國(guó)立法也發(fā)現(xiàn)了生物識(shí)別數(shù)據(jù)和個(gè)人信息有一定的差別，從而對(duì)生物識(shí)別信息做出了相關(guān)的特殊規(guī)定。還應(yīng)該要引起關(guān)注的是在2020年三月份發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》中，特別規(guī)定了對(duì)于識(shí)別信息的采集和保存，確定了不能保存初始圖片信息。

結(jié)合上述表明，在我國(guó)雖然已經(jīng)有了關(guān)于個(gè)人信息在生物識(shí)別這一塊的相關(guān)規(guī)定，但是立法相對(duì)而言比較不集中，沒(méi)有辦法實(shí)現(xiàn)保護(hù)相關(guān)信息的目的，面臨著以下問(wèn)題：第一，獨(dú)特屬性未突出，針對(duì)性規(guī)定缺失。第二，立法理念不明確，表達(dá)不清晰。第三、實(shí)際內(nèi)容不清晰，還沒(méi)有建立其系統(tǒng)的保護(hù)。第五，保護(hù)的對(duì)象較為狹隘，適用主體較為單一。

三、我國(guó)個(gè)人生物識(shí)別信息保護(hù)完善建議

（一）確立個(gè)人生物識(shí)別信息保護(hù)的特殊法律原則

由于個(gè)人生物識(shí)別信息保護(hù)這也是一個(gè)較新的模塊，因此對(duì)其的立法過(guò)程中，確定了特別的法律原則，由于其涉及到多重利益關(guān)系，尚無(wú)成熟的立法經(jīng)驗(yàn)，如果過(guò)于冒進(jìn)或者退縮都可能帶來(lái)負(fù)面影響，所以要依靠立法原則來(lái)對(duì)引領(lǐng)其立法以及適用提供一定的幫助，并且還能夠有利于解決法律漏洞，增加法律條文的彈性與包容性。在遵守法律規(guī)定的同時(shí)，依據(jù)識(shí)別信息的獨(dú)特屬性，還需要確立相應(yīng)的特殊原則。應(yīng)當(dāng)注重“充分信息保護(hù)基礎(chǔ)上的有限開(kāi)發(fā)利用”的立法理念，參考各國(guó)經(jīng)驗(yàn)，做出下述特殊原則：第一、禁止原則，處于保護(hù)信息安全的目的，除非法律允許，在原則上就不允許以識(shí)別面部為目的而進(jìn)行的采集、保存、傳輸、分析、利用或者泄露相關(guān)信息。第二、明示同意原則，在不違法的前提下，對(duì)生物識(shí)別信息進(jìn)行采集前，需要特別的向被收集者說(shuō)明做出采集識(shí)別信息的相關(guān)目的以及方式和保存時(shí)長(zhǎng)等，必須獲得信息主體的明示同意。三是法定必需原則。只有在有法律明確規(guī)定的前提下，才能夠無(wú)需獲得被采集者的同意而對(duì)其識(shí)別信息進(jìn)行處理。法定情況時(shí)，需進(jìn)行風(fēng)險(xiǎn)評(píng)估，且應(yīng)當(dāng)符合“比例原則”的要求。綜合來(lái)看，下述情形可考慮作為法定情形：為履行工作職責(zé)必需；為實(shí)現(xiàn)實(shí)質(zhì)性的公共利益與維護(hù)公共安全必需；對(duì)于被采集者或其他公民的核心利益必需；協(xié)會(huì)、基金或其它非盈利組織已經(jīng)采取了恰當(dāng)?shù)谋Ｗo(hù)措施而進(jìn)行的正當(dāng)性活動(dòng)必需；對(duì)于預(yù)防性醫(yī)學(xué)或臨床醫(yī)學(xué)目的必需等。

（二）采用個(gè)人生物識(shí)別信息的綜合立法模式

對(duì)個(gè)人生物識(shí)別信息的保護(hù)在進(jìn)行立法的過(guò)程中所利用到的、和調(diào)節(jié)范圍相關(guān)的法律形式也被成為立法模式。這一模式對(duì)于達(dá)成信息保護(hù)的目的有著非常重要的影響，是立法過(guò)程中最應(yīng)該處理的關(guān)鍵問(wèn)題。這一立法模式的選擇需要在結(jié)合其出現(xiàn)原因，發(fā)展歷程以及實(shí)際困難的前提，再基于我國(guó)的立法習(xí)慣，實(shí)際需要和法制演變現(xiàn)階段的情況等做出中和的判斷，在對(duì)于大眾的發(fā)展以及個(gè)人的保護(hù)之間找到最佳的平衡。從我國(guó)信息立法的傳統(tǒng)與發(fā)展趨勢(shì)看，都是通過(guò)綜合立法這一模式，和專門立法模式進(jìn)行比較，它更有助于解決中國(guó)分散立法存在的問(wèn)題：一是綜合立法模式層級(jí)清晰體系完整。對(duì)于生物識(shí)別信息采取的立法保護(hù)也是歸納在了個(gè)人信息保護(hù)的系統(tǒng)之中，通過(guò)綜合立法可以在更加清楚個(gè)人信息保護(hù)的情況下，確立對(duì)于識(shí)別信息的保護(hù)，進(jìn)而實(shí)現(xiàn)個(gè)人信息保護(hù)法律體系的完整性。二是保護(hù)方法和措施較為系統(tǒng)。一方面綜合立法模式不局限于單一領(lǐng)域，對(duì)識(shí)別信息的保護(hù)有著更高的適用性。并且保護(hù)方法與保護(hù)措施更為全面，包括行政法保護(hù)、民事救濟(jì)以及刑事制裁等領(lǐng)域。三是綜合立法模式有利于法律適用。個(gè)人生物識(shí)別信息在體系上不僅要符合一般個(gè)人信息在各個(gè)環(huán)境的基本理念和規(guī)則，也需要遵循其特殊的規(guī)則。綜合立法模式有助于實(shí)現(xiàn)一般個(gè)人信息與特殊個(gè)人生物識(shí)別信息的體系協(xié)調(diào)，避免分散立法引發(fā)的體系違反，便于法律適用。

（三）設(shè)置多元化保護(hù)機(jī)制

為實(shí)現(xiàn)保護(hù)的充分性，需要從刑事、行政等多個(gè)方面一起打造相關(guān)的保護(hù)體系。和民事以及刑事相比較，行政在保護(hù)機(jī)制方面有著預(yù)防、高效便捷等優(yōu)勢(shì)。在行政保護(hù)機(jī)制方面，首先應(yīng)當(dāng)設(shè)置獨(dú)立的監(jiān)管機(jī)構(gòu)。伊利諾伊州設(shè)有“生物識(shí)別信息隱私調(diào)查委員會(huì)”，印度設(shè)有“數(shù)據(jù)保護(hù)局”，為解決分散化、多頭化的監(jiān)管機(jī)構(gòu)帶來(lái)的監(jiān)管難題，我國(guó)應(yīng)當(dāng)明確網(wǎng)信辦的獨(dú)立監(jiān)管地位，并在其內(nèi)部設(shè)置“生物識(shí)別信息監(jiān)管處”，實(shí)現(xiàn)統(tǒng)一監(jiān)管。同時(shí)劃清相關(guān)監(jiān)管部門之間的機(jī)構(gòu)職責(zé)，達(dá)到各個(gè)部分共同監(jiān)督管理的目的，其次確定相關(guān)機(jī)構(gòu)的職權(quán)。同時(shí)監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)根據(jù)不同應(yīng)用場(chǎng)景的風(fēng)險(xiǎn)設(shè)置不同的監(jiān)管方式，通過(guò)風(fēng)險(xiǎn)預(yù)防為依據(jù)，在對(duì)識(shí)別信息在各個(gè)階段進(jìn)行結(jié)合，通過(guò)行政處罰、行政許可等強(qiáng)制性監(jiān)管方式與行政約談等非強(qiáng)制性監(jiān)管方式的結(jié)合，達(dá)到讓其生命周期處于一種動(dòng)態(tài)的監(jiān)管之中。最后，個(gè)人生物識(shí)別信息的保護(hù)需要專業(yè)能力與技術(shù)能力作支撐，因此應(yīng)當(dāng)配置具有行政專長(zhǎng)的復(fù)合型監(jiān)管人才，并通過(guò)聘請(qǐng)專家、顧問(wèn)等方式彌補(bǔ)監(jiān)管機(jī)構(gòu)專業(yè)技術(shù)能力的不足，提升監(jiān)管效能。

在民事保護(hù)機(jī)制方面，其關(guān)鍵就是打造侵害賠償?shù)捏w系。所以在進(jìn)行立法時(shí)需要規(guī)定識(shí)別信息在各個(gè)環(huán)節(jié)、不同信息處理主體的法律責(zé)任，結(jié)合“隱私風(fēng)險(xiǎn)”確定差異化的法律責(zé)任體系。這類侵權(quán)通常都是“程序性違法”，在收集、使用個(gè)人生物識(shí)別信息之前沒(méi)有履行告知義務(wù)、取得確定的同意、泄露相關(guān)信息而導(dǎo)致的損害一般也比較難以確定，因此最重要的問(wèn)題是應(yīng)該怎么樣明確其他程序性權(quán)利被侵害的結(jié)果。對(duì)此可以借鑒域外國(guó)家的經(jīng)驗(yàn)，也就是不但要確立過(guò)錯(cuò)責(zé)任原則，同時(shí)也需要進(jìn)行舉證責(zé)任倒置，以化解程序性違法行為的損害賠償難題。

刑事保護(hù)機(jī)制通常被認(rèn)為是這幾種保護(hù)方法中最后的一道關(guān)卡，一般依靠規(guī)定對(duì)應(yīng)的刑罰來(lái)做出保護(hù)。美國(guó)在1989年間確定了身份盜竊這一刑罰，其中牽扯到有意轉(zhuǎn)移或者利用識(shí)別信息從事非法活動(dòng)的舉動(dòng)，之后在2003年發(fā)布了《身份盜竊處罰增強(qiáng)法》；在韓國(guó)，《個(gè)人數(shù)據(jù)保護(hù)法》內(nèi)“非法處理唯一標(biāo)識(shí)罪”。根據(jù)我國(guó)的相關(guān)語(yǔ)意，根據(jù)法律保留以及罪刑法定原則，刑事處罰只能由刑法規(guī)定，所以在損害識(shí)別信息到了嚴(yán)重地步時(shí)，能夠根據(jù)“指引條款”，規(guī)定“侵犯公民個(gè)人生物識(shí)別信息情節(jié)嚴(yán)重，構(gòu)成犯罪的，依據(jù)《刑法》第253條侵犯公民個(gè)人信息罪追究刑事責(zé)任”。