論我國生物識別信息應(yīng)用的監(jiān)管路徑*

湖北大學 冉汐，張子卓，張明洋，張雪琴

一、生物識別信息應(yīng)用監(jiān)管的必要性

（一）生物識別信息應(yīng)用侵權(quán)現(xiàn)象嚴重

一般認為，生物識別信息是指能識別出個人身份與行為特征的生物信息[1]，包括自然人的指紋、聲音、虹膜、面部識別特征、靜脈等生物信息，屬于個人信息中的敏感信息①，具有不可逆性、唯一性、直接識別性等特征[2]。由于其反映了自然人內(nèi)部生理屬性，且具有高度、直接識別性，因此，生物識別信息的人身性質(zhì)極強[3]。亦有學者認為，經(jīng)過分析處理后的生物識別信息在大數(shù)據(jù)應(yīng)用中具有巨大的商業(yè)價值，其財產(chǎn)屬性也日漸凸顯。

除此之外，生物識別信息的應(yīng)用使得“個人身份”在大數(shù)據(jù)背景下利用互聯(lián)網(wǎng)得以匹配、核實，個人身份所攜帶的個人人格、隱私以及萬物互聯(lián)下其所具有的經(jīng)濟價值都有可能因生物識別信息的濫用而受到侵害，甚至對社會利益、國家安全造成損害。因此，無論是從生物識別信息極強的人身屬性與財產(chǎn)屬性的角度出發(fā)，還是為了維護社會公共利益和國家安全，對生物識別信息的應(yīng)用全過程進行監(jiān)管均十分有必要。我國目前生物識別信息應(yīng)用侵權(quán)現(xiàn)象十分突出，如在中國消費者協(xié)會發(fā)布的一次APP測評報告中，就有一些應(yīng)用軟件涉嫌過度收集生物識別信息?！叭四樧R別第一案”從某種角度上說明了人臉信息作為重要的生物識別信息，十分容易被濫用。生物識別信息應(yīng)用灰黑產(chǎn)業(yè)鏈已然形成，將會對生物識別信息應(yīng)用監(jiān)管與保護造成極大的挑戰(zhàn)[4]。

（二）我國生物識別信息應(yīng)用監(jiān)管現(xiàn)狀及不足

1.監(jiān)管立法針對性不強

我國相關(guān)法律規(guī)定散見于《個人信息保護法》《數(shù)據(jù)安全法》等法律中。綜觀上述法律條文內(nèi)容，可見其對生物識別信息的監(jiān)管規(guī)定并無針對性?！秱€人信息保護法》將生物識別信息列為敏感個人信息，但在監(jiān)管規(guī)定中僅對個人信息保護職責部門及相應(yīng)監(jiān)管職責作出較為寬泛的規(guī)定，并未具體針對生物識別信息提出特別監(jiān)管部門及措施。在大數(shù)據(jù)時代，生物識別信息通常由通過分析后生成的數(shù)據(jù)發(fā)揮價值，鑒于生物識別信息與一般個人信息的敏感程度不同，與生物識別信息相關(guān)的數(shù)據(jù)應(yīng)當與一般數(shù)據(jù)相區(qū)分，而《數(shù)據(jù)安全法》僅規(guī)定有關(guān)部門履行數(shù)據(jù)安全監(jiān)管職責，并未提到特殊數(shù)據(jù)應(yīng)如何保護、監(jiān)管。因此，相關(guān)立法并沒有突出生物識別信息的特殊性。

2.相關(guān)規(guī)范性文件對監(jiān)管的震懾力不強

雖然我國相關(guān)立法對于生物識別信息應(yīng)用監(jiān)管未作出特別規(guī)定，但一些規(guī)范性文件卻有較為豐富的規(guī)制內(nèi)容。中國人民銀行頒布的《個人金融信息保護技術(shù)規(guī)范》將個人信息按照性質(zhì)不同劃分了敏感程度，并且將生物識別信息歸類為敏感程度最高的個人信息②。此外，該《規(guī)范》還設(shè)置了專門的個人金融信息保護組織架構(gòu)，明確了該組織的職責。關(guān)于個人信息的規(guī)范性文件《信息安全技術(shù) 個人信息安全規(guī)范》將生物識別信息明確納入個人敏感信息，并規(guī)定了生物識別信息專門的存儲規(guī)則[5]。這些規(guī)范性文件相較于上述立法規(guī)定得更為詳細，更具有可操作性和針對性，但其位階相較于法律而言較低，僅能起到指導參考作用，依靠行業(yè)自律保障實施，并無強制力。

3.缺乏統(tǒng)一的監(jiān)管機構(gòu)

目前我國尚無統(tǒng)一的生物識別信息應(yīng)用監(jiān)管機構(gòu)，而是由各部門對其監(jiān)管范圍內(nèi)的個人信息進行監(jiān)管。然而，生物識別信息作為一種重要的敏感個人信息，從收集到銷毀的各環(huán)節(jié)中很可能涉及不同的領(lǐng)域，從而造成“九龍治水”的現(xiàn)象，同時還存在監(jiān)管主體不明的情況，如前所述《數(shù)據(jù)安全法》中，規(guī)定“有關(guān)行政部門”作為監(jiān)管主體，但難以確定具體監(jiān)管的行政部門。最后，由于生物識別信息與高科技緊密結(jié)合，需要有專業(yè)知識和技能才能勝任監(jiān)管職責。然而我國并未規(guī)定專職監(jiān)管生物識別信息的部門，并未配備相應(yīng)的生物識別信息技術(shù)專業(yè)化人才，因此我國的生物識別信息應(yīng)用監(jiān)管存在專業(yè)化不足的情況[6]。

4.監(jiān)管存在滯后性

現(xiàn)有的生物識別信息應(yīng)用監(jiān)管措施多為傳統(tǒng)的監(jiān)管手段，以強制命令、鼓勵引導和事后懲罰為主要形式，如行政處罰、約談等，并沒有相關(guān)準入許可的制度安排。因此，現(xiàn)階段監(jiān)管的回應(yīng)性不足，缺乏事前的監(jiān)管措施，往往在侵害事件發(fā)生后才啟動監(jiān)管，有一定的滯后性，并未做到生物識別信息全環(huán)節(jié)、全過程覆蓋。而生物識別信息通常與現(xiàn)有的高科技相結(jié)合，有著技術(shù)上的復雜性和隱蔽性，侵害生物識別信息的行為往往難以預(yù)測和察覺[7]，因此在復雜的環(huán)境下，監(jiān)管更應(yīng)當具有主動性，并針對新事物的出現(xiàn)給予足夠敏感的關(guān)注和預(yù)防。

二、我國生物識別信息應(yīng)用監(jiān)管的優(yōu)化路徑

針對上述問題，我國應(yīng)從外部與內(nèi)部兩個維度完善生物識別信息監(jiān)管體系。

（一）外部多層次監(jiān)管體系的構(gòu)建

1.對生物識別信息應(yīng)用監(jiān)管從法律層面進行專項立法

如前所述，我國對生物識別信息應(yīng)用的監(jiān)管路徑選擇并不明確，內(nèi)容豐富，但未形成體系的規(guī)范性文件且位階較低、震懾力與強制力較弱。因此，在宏觀監(jiān)管體系建構(gòu)上，應(yīng)由國家中央立法進行規(guī)定。從立法技術(shù)層面上看，生物識別技術(shù)將來的應(yīng)用具有專業(yè)性、隱蔽性、復雜性以及不確定性，相應(yīng)的監(jiān)管策略仍待研究與調(diào)整，不宜進行詳細規(guī)定，因此相關(guān)法律法規(guī)的制定須以原則性、框架性內(nèi)容為主，在應(yīng)對未來突發(fā)事件時起到兜底保護的作用。其次，應(yīng)將生物識別信息立法提升到法律層面，提高其位階與強制力，并借鑒、吸收、整合已有的規(guī)范性文件，對生物識別信息加以規(guī)制。

在專項立法的引領(lǐng)與協(xié)調(diào)之下，其他各專門法、單行法應(yīng)具體設(shè)置應(yīng)對生物識別信息應(yīng)用監(jiān)管的法律規(guī)則，處理好民法、刑法與行政法等相關(guān)法律法規(guī)之間的銜接關(guān)系，結(jié)合公法與私法，從立法層面構(gòu)建完整的生物識別信息監(jiān)管體系。

關(guān)于是否需要將生物識別信息的具體類別均拿出來專項立法，若將生物識別信息總體專門立法如何保證兼顧各類生物識別信息的特殊性，對此仍需進一步討論。2021年7月27日，《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》出臺，并于2021年8月1日正式實施，說明我國已經(jīng)注意到了生物識別信息中人臉信息的特殊性。因此，其他類型的生物識別信息保護或許可以參照人臉識別信息出臺相應(yīng)的司法解釋，以回應(yīng)現(xiàn)實需要，若對每一類生物識別信息均進行單獨立法，則不僅過于具體，無法較好地應(yīng)對生物識別信息商業(yè)應(yīng)用未來發(fā)展狀況，而且立法成本較高。因此，可根據(jù)司法實踐情況配套出臺相應(yīng)的司法解釋，搭配《個人信息保護法》中的框架性規(guī)定，對監(jiān)管進行規(guī)制。

將生物識別信息作為一個整體進行單獨立法，在《個人信息保護法》關(guān)于敏感信息保護的大框架下進行針對生物識別信息的細化規(guī)制有一定可行性。但如前文所述，應(yīng)進行原則性、框架性立法。生物識別信息發(fā)展勢頭迅猛，未來隨著與生物識別信息相關(guān)的科學技術(shù)日新月異的發(fā)展，具有極大的不確定性，生物識別信息侵權(quán)樣態(tài)亦呈現(xiàn)出多樣化趨勢，其監(jiān)管亦須在法律框架下因時而變，要求生物識別信息立法應(yīng)當具備靈活性，適當賦予監(jiān)管機構(gòu)一定程度的自由裁量權(quán)，以應(yīng)對生物識別信息未來靈活化的發(fā)展態(tài)勢。同時，在生物識別信息整體立法的內(nèi)部，亦須對生物識別信息的類型進行分級、分層規(guī)制，出臺有針對性的監(jiān)管措施。比如，相較于其他生物識別信息，人臉信息因收集的隨意性以及不易察覺性，有更容易被濫用的風險，且信息主體的知情同意權(quán)不容易得到保障。指紋等信息需要信息主體配合才可完成收集，信息主體在收集的過程中至少知情[8]。因此，關(guān)于人臉識別信息的監(jiān)管須關(guān)注如何規(guī)制在信息主體不知情的、被動的情形下被收集信息的行為，而關(guān)于指紋等其他生物識別信息的監(jiān)管，則側(cè)重于如何規(guī)制收集、處理者在與信息主體約定的范圍內(nèi)使用生物識別信息，保證其不被濫用。具體應(yīng)當如何合理對生物識別信息進行評估、分級，有待進一步討論。

2.明確單一的政府監(jiān)管責任部門

針對前文提到的我國尚無統(tǒng)一的政府生物識別信息應(yīng)用監(jiān)管部門的情況，本文建議我國設(shè)立獨立的生物識別信息應(yīng)用監(jiān)管委員會，統(tǒng)一監(jiān)管責任部門。因此，應(yīng)通過立法設(shè)置國家層面的生物識別信息應(yīng)用監(jiān)管機構(gòu)，強調(diào)“生物識別信息管理”的獨立性和專業(yè)性，增強行政監(jiān)管和救濟的針對性和實效性。同時在地方一級配備相應(yīng)的生物識別信息監(jiān)管部門，保證上級生物識別信息監(jiān)管機構(gòu)的指令可以得到較好的貫徹執(zhí)行，形成上下級之間良好的互動。地方一級的生物識別信息監(jiān)管機構(gòu)需定期向上級匯報生物識別信息實時監(jiān)管情況，以及在監(jiān)管過程中遇到的新問題。

建立統(tǒng)一、專門的監(jiān)管部門有利于形成監(jiān)管合力，對生物識別信息監(jiān)管進行統(tǒng)籌規(guī)劃、全局部署，并且能更好地提升生物識別信息監(jiān)管的專業(yè)化水平，凝聚專業(yè)技術(shù)力量，配備生物識別信息應(yīng)用監(jiān)管的專業(yè)化人才，提高監(jiān)管的效率和科學性?，F(xiàn)階段我國生物識別信息技術(shù)尚在發(fā)展中，相應(yīng)的生物識別信息應(yīng)用實時監(jiān)管技術(shù)也應(yīng)隨之開發(fā)。當然，各種類型的生物識別信息所需的監(jiān)管手段和技術(shù)可能略有差別，在監(jiān)管機構(gòu)內(nèi)部如何根據(jù)生物識別信息類型的不同進行部門與職能的劃分尚待研究。

3.實行行業(yè)許可制度

當前我國個人生物識別信息濫用現(xiàn)象嚴重，其中重要的原因之一是我國尚未對參與生物識別信息各環(huán)節(jié)的企業(yè)或平臺設(shè)置準入門檻，缺少事前監(jiān)管環(huán)節(jié)，導致生物識別信息企業(yè)只經(jīng)過簡單的發(fā)布隱私公告程序就可以收集、使用個人生物識別信息，甚至在信息主體不知情的情況下收集生物識別信息，而不論是否具有收集、使用的必要以及是否具有相應(yīng)的技術(shù)能力與信息保護能力等。鑒于國內(nèi)生物識別信息應(yīng)用準入門檻低、公民的知情同意權(quán)難以保障以及生物識別信息被泄露后難以維權(quán)的現(xiàn)狀，該領(lǐng)域亟待國家公權(quán)力介入加以規(guī)制。國家對個人生物信息處理的規(guī)制必須從源頭提高行業(yè)準入門檻，加強事前監(jiān)管，實施行業(yè)許可制，改變生物識別信息的濫用現(xiàn)狀。國家必須針對生物識別信息，從收集到利用、銷毀等各環(huán)節(jié)制定標準，個人生物信息的各環(huán)節(jié)參與者均須經(jīng)過考核，達到國家規(guī)定的標準后獲得行業(yè)許可證，由國家相關(guān)部門頒發(fā)牌照后才可以從事個人生物信息的全環(huán)節(jié)處理活動。統(tǒng)一標準、提高準入門檻，不僅有利于國家對生物識別信息應(yīng)用進行規(guī)范化管理，更有利于篩選出真正有技術(shù)和能力做好生物識別信息合理應(yīng)用與保護的企業(yè)，凈化生物識別信息應(yīng)用的市場環(huán)境，促進生物識別信息應(yīng)用產(chǎn)業(yè)的良性發(fā)展。

（二）生物識別信息企業(yè)內(nèi)部監(jiān)管體系的構(gòu)建

增設(shè)生物識別信息保護專員崗位。我國《個人信息保護法》已設(shè)置了“守門人”條款：“提供重要的互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者，應(yīng)成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督?！蓖獠开毩⒌膫€人信息監(jiān)督機構(gòu)的設(shè)置有利于保證監(jiān)督效果，防止出現(xiàn)“既當裁判員又當運動員”的情況。為了凸顯生物識別信息的特殊性，可以在該規(guī)定的基礎(chǔ)上設(shè)置專門針對生物識別信息保護的崗位，即生物識別信息保護專員崗位，實時監(jiān)督企業(yè)在生物識別信息全環(huán)節(jié)的合規(guī)情況。生物識別信息保護專員必須具備生物識別信息相關(guān)專業(yè)知識、具有一定工作經(jīng)驗，且獨立于生物識別信息企業(yè)。此種設(shè)置方式有利于將生物識別信息保護的相關(guān)規(guī)定落到實處，且自成體系，對生物識別信息每一步監(jiān)管的規(guī)定都較完善，理論上可以起到較好的監(jiān)管效果。因此，我國可以加大生物識別信息技術(shù)相關(guān)的人才培養(yǎng)力度，以適應(yīng)增設(shè)生物識別信息保護專員崗位的需要。

三、結(jié)語

技術(shù)的進步使個人生物識別信息得到廣泛應(yīng)用，在給我們?nèi)粘Ｉ顜矸奖愕耐瑫r，其可能造成信息泄露的風險亦不容小覷。隨著大數(shù)據(jù)和人工智能的發(fā)展，生物識別信息應(yīng)用在國內(nèi)的準入門檻低，不少營利性組織紛紛入局，造成生物識別信息濫用現(xiàn)狀。生物識別信息具有難更改性和損失的不可逆性，一旦泄露便可能對終身造成影響，會給信息主體造成幾乎無法挽救的傷害，因此對生物識別信息應(yīng)用監(jiān)管體系的構(gòu)建已刻不容緩。我國可以從信息企業(yè)外部監(jiān)管和內(nèi)部監(jiān)管兩個維度構(gòu)建生物識別信息應(yīng)用多層次的監(jiān)管體系。從外部監(jiān)管層面而言，首先要對個人生物識別信息應(yīng)用監(jiān)管進行專項立法，二是明確單一的監(jiān)管責任部門，三是實施行業(yè)許可制。從信息企業(yè)內(nèi)部監(jiān)管層面而言，可增設(shè)生物識別信息保護專員崗位。如今生物識別信息已引起許多學者的重視，生物識別信息應(yīng)用監(jiān)管體系的完善指日可待，但如何通過立法促進培養(yǎng)掌握專業(yè)化生物識別信息的人才、提升生物識別信息應(yīng)用監(jiān)管專業(yè)化水平，仍有待學界繼續(xù)研究。

注釋

①GB/T35273-2020.信息安全技術(shù)個人信息安全規(guī)范[S].

②JR/T0171-2020.個人金融信息保護技術(shù)規(guī)范[S].