生物識別信息的立法保護問題研究

摘要：當前，生物識別信息技術(shù)在給人們生活帶來便利的同時，也帶來了一系列潛在風(fēng)險，其中，生物識別信息引發(fā)的個人信息安全問題備受關(guān)注。為了更好地發(fā)揮生物識別信息的作用，同時又不侵害個人的合法權(quán)益，必然需要通過法律手段來規(guī)范生物識別信息的使用。本文在闡釋生物識別信息概念及其特征的基礎(chǔ)上，對我國生物識別信息立法保護現(xiàn)狀及存在的不足進行了探究，并提出了完善我國生物識別信息立法保護的建議對策。

關(guān)鍵詞：生物識別；信息；立法保護；隱私權(quán)；信息安全

引言

近年來，隨著我國信息化和智能化進程的不斷加快，以人臉、指紋、聲紋、虹膜和 DNA為代表的生物特征識別技術(shù)得到了快速發(fā)展，被廣泛應(yīng)用于政府管理、醫(yī)療衛(wèi)生、治安防控、金融交易等領(lǐng)域。生物識別技術(shù)的興起為人類生活和社會管理帶來了極大的便利，但隨之而來的侵權(quán)、違法犯罪行為也與日俱增。生物識別信息的非法采集、交易和濫用現(xiàn)象層出不窮，同時侵犯其行為的手段也越來越復(fù)雜多樣，已經(jīng)形成了一條黑色的產(chǎn)業(yè)鏈條，這不僅嚴重侵犯了公民的信息和數(shù)據(jù)權(quán)利，還會擾亂社會管理秩序，甚至危害國家安全。當前，我國對生物識別信息的立法價值取向不清晰，監(jiān)管力度不足，而個人生物識別信息已處于需要法律深度介入的階段，如何完善個人生物識別信息法律體系，明確其使用標準和范圍，對于推動生物識別技術(shù)健康發(fā)展、保障個人信息數(shù)據(jù)不受侵權(quán)具有重要意義。

一、生物識別信息立法保護

（一）生物識別信息概念

在現(xiàn)行法律、國家標準中，對于生物識別信息未作出明確的定義，從理論上而言，生物識別信息屬于個人信息范疇，而我國現(xiàn)階段對于個人信息保護的法律主要集中在對于個人隱私權(quán)的保護，2017年《民法總則》（第11條）雖然對“自然人個人信息”進行了明確規(guī)定，但在立法上并沒有明確提出“生物信息”這一概念，也沒有對其進行專門的規(guī)定。2021年1月1日起施行的《民法典》第1034條第2款規(guī)定：“個人信息，是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”。學(xué)界有主張將“個人信息（數(shù)據(jù)）”視為獨立人格權(quán)，也有主張不應(yīng)將其視為獨立人格權(quán)。從概念到范圍，個人隱私都與個人信息有著很大的區(qū)別，個人隱私是一種人身權(quán)利，而個人信息權(quán)則是一種財產(chǎn)性內(nèi)容，包括人格權(quán)、國家安全和數(shù)據(jù)經(jīng)濟，二者在法律地位和價值選擇上有很大區(qū)別。目前對“個人生物識別信息”的定義存在較大爭議，但普遍認為，個人生物識別信息可單獨或組合用于識別特定人的全部生物數(shù)據(jù)或信息，與一般的個人信息相比，其可識別性更強、更獨特[1]。

（二）生物識別信息特征

現(xiàn)代的生物識別信息不再像以前人們使用的密碼那樣容易被遺忘或破解，并且生物識別信息難以竊取或轉(zhuǎn)移，所以在大部分人看來，生物識別信息通過將人體固有特征與其相結(jié)合，使現(xiàn)實生活中許多領(lǐng)域的操作變得更加便利和可靠，成為一種值得信賴的大眾身份識別方法。

生物識別信息具有以下幾個主要特點：（1）普遍性，生物識別信息主要利用生物主體的生理特性，這是每一個公民都具有的特點；（2）主體唯一性，每個人的生物特征都不盡相同。例如，通過指紋信息的不同，能夠直接對人們的身份進行識別；（3）不可變更性，每個人的生理資料都固定不變，不會因為年齡和生活環(huán)境的改變而改變；（4）生物識別信息數(shù)據(jù)采集方便，生物特征識別信息具有獨立性，樣本易于采集，便于建立生物特征信息數(shù)據(jù)庫，實用性強；（5）生物識別信息辨識準確性高，即生物特征識別的精確性和速度性；（6）可接受性強，在應(yīng)用生物特征信息時，其識別與認證過程不會受到人的排斥，人們具有較強的可接受性與協(xié)作性；（7）生物識別信息本身真實性高，一般通過生物特征識別身份信息的方法基本上可以避免假冒特征的欺騙性[2]。

二、我國個人生物識別信息保護立法現(xiàn)狀及主要問題

（一）我國個人生物識別信息保護立法現(xiàn)狀

目前，我國法律體系中尚未對生物特征信息保護和規(guī)制問題進行專門的立法。個人生物特征信息保護分散在不同的法律規(guī)范中，既有實體法的規(guī)定，也有程序法的規(guī)定。具體而言：

（1）在個別法律條文中對個人生物特征信息進行了規(guī)定和保護，如《居民身份證法》中的第306條、《民法典》中的第1034—1039條、《刑法》中的第286條、《消費者權(quán)益保護法》中的第14條等，其中《居民身份證法》明確規(guī)定了“指紋信息”，而《網(wǎng)絡(luò)安全法》專門規(guī)定了“網(wǎng)絡(luò)信息安全”，呈現(xiàn)出立法比較分散的情形，不夠統(tǒng)一完整，這些內(nèi)容都是我國不同法律條文中對個人生物信息的規(guī)范與保護。

（2）關(guān)于個人生物信息規(guī)范性文件的規(guī)定。例如，《全國人大關(guān)于加強網(wǎng)絡(luò)信息保護的決定》（2012年）中提出：“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當遵循合法、正當、必要的原則”?！缎畔踩夹g(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》對利用信息系統(tǒng)處理個人信息的活動給出了明確規(guī)范與技術(shù)指導(dǎo)，諸如此類的文件還有很多，《涉及人的生物醫(yī)學(xué)研究倫理審查辦法》《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》等，這些條款對個人生物信息的收集、使用等環(huán)節(jié)給出了規(guī)范性指引[3]。

（二）我國生物識別信息立法保護主要問題

1.生物識別信息立法保護比較分散

盡管我國在網(wǎng)絡(luò)迅速崛起的十幾年前就已經(jīng)開始保護網(wǎng)絡(luò)空間中的個人信息，但相比于快速發(fā)展的現(xiàn)代化技術(shù)，如大數(shù)據(jù)、云平臺而言，依然進展比較緩慢。從我國生物識別信息立法的概況來看，在涉及個人生物識別信息的保護問題時，已有法律政策和文件分布比較零散且缺乏針對性，總體而言，尚未形成一個完整的個人生物信息保護體系，從而導(dǎo)致涉及個人生物信息的案件往往存在無法可依、執(zhí)法行為不規(guī)范、執(zhí)行部門相互推諉及追責、索賠困難等一系列問題[4]。

2.生物識別信息缺乏刑法特殊保護

目前，生物識別信息的應(yīng)用正呈現(xiàn)出逐年遞增的趨勢，伴隨而來的是大量個人生物信息被不正當收集和利用，從而使公民的人身安全和財產(chǎn)安全面臨極大威脅。在《民法典》中雖然將生物識別信息與一般個人信息的概念做了區(qū)分，同時也強調(diào)了要加強對生物識別信息的保護，但是，我國刑法對此卻鮮有涉及，只是簡單地將其視為一般的個人信息侵權(quán)行為，沒有考慮到個人信息的特殊性，對其進行無區(qū)別的規(guī)制和處置，不利于個人生物特征信息的保護。從整體來看，現(xiàn)行法律和法規(guī)并未突破對一般個人信息保護的范圍和力度。

3.生物識別信息監(jiān)管力度不足

近年來，我國《個人信息保護法》雖然加大了對生物信息保護的力度，但在具體監(jiān)管上還存在諸多問題。目前，我國尚無專門的個人生物信息管理機構(gòu)對其進行監(jiān)管，而是由多個部門的個人信息管理部門聯(lián)合實施。這樣容易出現(xiàn)“九龍治水”的局面，并且在實際操作過程中容易出現(xiàn)信息阻塞，互相推諉的現(xiàn)象[5]。

三、完善我國生物識別信息立法保護的對策

（一）健全生物識別信息法律保護體系

1.明確個人生物識別信息保護的核心概念

一個概念的明確性會直接影響到法律邏輯的確立和具體規(guī)定的實施，美國伊利諾伊州2008年的《生物識別信息隱私法》作為美國首部此類法律，明確區(qū)分了“生物識別標識”與“生物識別信息”，并嚴格界定了生物識別信息的各內(nèi)涵和保護范圍，涵蓋了視網(wǎng)膜掃描、指紋、聲紋及面部和手掌幾何形態(tài)的掃描。而其不包括書寫樣本、簽名、照片、用于合法科學(xué)測試或篩查的人類生物樣本、人口統(tǒng)計數(shù)據(jù)、關(guān)于對身高、體重、發(fā)色等身體特征的描述。鑒于我國當前立法在此領(lǐng)域概念界定不明晰、不統(tǒng)一的現(xiàn)狀，我國立法中應(yīng)借鑒《生物識別信息隱私法》，對個人生物識別信息概念進行統(tǒng)一界定和嚴格規(guī)定，明確生物識別的基本內(nèi)涵、保護權(quán)利和保護范圍，并將生物識別信息列為敏感個人信息，對敏感個人信息進行加強保護[6]。

2.對個人生物識別信息的采集、處理等方式進行立法保護

對生物識別信息的非法采集和處理風(fēng)險主要體現(xiàn)在以下幾點：（1）我國社會出現(xiàn)的肆意采集個人生物識別信息、采集方式安全性差的普遍現(xiàn)象；（2）在現(xiàn)實生活中，對于法律上的知情同意請求往往只是一種純粹的事實性的理解，這實際上剝奪了信息主體的同意權(quán)，從而在很大程度上削弱了同意機制對于信息主體的微薄保護；（3）鑒于生物識別信息的唯一性、易收集性等特征，一旦被不法分子收集和傳播，將可能造成不可估量的損失。因此，針對這些潛在風(fēng)險應(yīng)通過立法條文加以規(guī)整，對所有需要采集個人生物識別信息的主體，必須采用具有專門信息安全保護處理能力的芯片來獲取信息，并使用特定的加密算法對數(shù)據(jù)進行保護存儲，避免出現(xiàn)個人生物識別信息泄露和濫用現(xiàn)象的發(fā)生。同時刑法的保護機制還應(yīng)包括對個人生物信息的采集，不僅要遵守合法、合理、必要的原則，還要對采集、使用的規(guī)則進行公開，對采集、使用的目的、模式和范圍進行明確，并征得被收集者的同意；如因處理目的、處理方式及處理對象發(fā)生變化，應(yīng)再次征得個人同意。此外，立法機關(guān)在立法選擇或立法努力的朝向上，還應(yīng)采取“原則禁止，例外允許”的原則，并對個人生物識別信息采集的主體建立準入機制，從行業(yè)主體角度進行規(guī)范?？梢酝ㄟ^仿照第三方電子支付拍照的發(fā)放模式，由權(quán)威部門對需要生物識別信息采集的主體進行綜合評價后，對于具有資質(zhì)的主體進行授權(quán)，而對于未經(jīng)授權(quán)的主體則不得私自進行采集，一旦出現(xiàn)私自采集，就應(yīng)受到相應(yīng)的處罰。除了準入機制的審查之外，還應(yīng)完善行業(yè)的逐出機制，提高違法成本[7]。

3.健全與完善生物識別信息保護機制

目前，我國個人生物識別信息應(yīng)用尚處于起步階段，存在認識不一、立法人員欠缺成熟理論與實踐的問題，導(dǎo)致現(xiàn)階段建立有效生物識別保護機制難度大，需通過探索和實踐不斷優(yōu)化。鑒于各地生物特征識別技術(shù)應(yīng)用不平衡，建立保護機制應(yīng)因地制宜，以有效促進地方監(jiān)管和完善保護措施的實施。因此，立法機關(guān)可以采用“實驗性立法模式”，因地而異，在中央進行框架立法的前提下，賦予地方更多的自主立法權(quán)限，通過權(quán)力下放形成多層次的政策結(jié)構(gòu)，不斷探索個人生物識別信息應(yīng)用保護機制的制定，同時通過定期開展績效評價，不斷予以修正，這樣通過地方立法對個人生物特征信息進行保護和監(jiān)督，既有利于各地區(qū)之間的競爭和學(xué)習(xí)，也可以為國家生物特征信息的立法保護提供更多的借鑒。

（二）加強生物識別信息的刑法特殊保護

生物識別信息保護，僅僅依靠單一的民法或行政法難以實現(xiàn)其多元化的價值目標，還需要以刑法作為堅強后盾，以抵抗生物識別技術(shù)帶來的安全風(fēng)險。因此，刑法作為社會治理的重要措施，應(yīng)充分發(fā)揮其法益保護的機能，深入融合到生物識別信息的立法保護中。因此，如前文所述，由于前立法的不足，我國刑法應(yīng)結(jié)合生物識別信息的特殊性，對個人信息犯罪產(chǎn)業(yè)鏈的源頭與尾端，采取“兩頭保護”保護的模式，防止生物識別信息被非法收集和濫用，從而達到被保護效果。與此同時，建立“公民個人信息—身份信息—生物特征”分級遞進式的保障機制，填補“合法獲取+非法使用”在我國刑事訴訟中的不足，實現(xiàn)對傳統(tǒng)的“身份竊取”的有效監(jiān)管，并提升其刑事化的擴散效應(yīng)[8]。

（三）加強生物識別信息的法律協(xié)同監(jiān)管

將生物特征識別技術(shù)應(yīng)用于社會管理，不僅是一個部門內(nèi)的管理問題，更是關(guān)系到不同部門甚至不同地區(qū)對已知個人信息進行管理的問題。針對當前分散監(jiān)管、權(quán)責不統(tǒng)一的現(xiàn)狀，我國應(yīng)依據(jù)職權(quán)法定原則，在參考國外優(yōu)秀做法的基礎(chǔ)上，通過立法設(shè)置一個全國性的生物識別信息監(jiān)督體系，并在網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)下，構(gòu)建一個包括多個監(jiān)督部門在內(nèi)的協(xié)作監(jiān)督體系，從而實現(xiàn)從中央到地方的縱向統(tǒng)一監(jiān)督，加強監(jiān)督與管理責任。同時，為了彌補生物識別信息相關(guān)專業(yè)知識的不足，監(jiān)管機構(gòu)可以采取聘請專家學(xué)者、法律顧問、政府雇員等多種形式，實現(xiàn)專業(yè)化知識結(jié)構(gòu)的法律監(jiān)管，這樣有助于提升監(jiān)管措施的有效性和科學(xué)性。

結(jié)語

在科技化、智能化、信息化時代，生物識別信息的獨特性與可用性，提升了對個人信息的深度挖掘與利用。但是，由于種種原因，信息安全方面存在諸多問題，迫切需要加強法律保護。對個人生物識別信息的保護和利用，既要符合國家發(fā)展規(guī)劃，又要推動經(jīng)濟發(fā)展與科技進步，還要兼顧自然人與信息處理者之間的利益關(guān)系。因此，為了保護生物識別信息的安全性和隱私權(quán)，必須完善我國生物識別信息立法保護措施。

參考文獻：

[1]付微明.生物識別信息法律保護問題研究[D].中國政法大學(xué)，2020.

[2]羅斌 李卓雄.個人生物識別信息民事法律保護比較研究：我國“人臉識別第一案”的啟示[J].當代傳播，2021，（1）：77-81.

[3]許靜文.人臉識別技術(shù)與安全風(fēng)險治理問題研究[J].甘肅政法大學(xué)學(xué)報，2020，（06）：135-146.

[4]閆曉麗.美國對人臉識別技術(shù)的法律規(guī)制及啟示[J].信息安全與通信保密，2020，（11）：94-101.

[5]邢會強.人臉識別的法律規(guī)制[J].比較法研究，2020，（5）：51-63.

[6]林凌，賀小石.人臉識別的法律規(guī)制路徑[J].法學(xué)雜志，2020，41（07）：68-75.

[7]付微明.個人生物識別信息的法律保護模式與中國選擇[J].華東政法大學(xué)學(xué)報，2019，22（06）：78-88.

[8]京東法律研究院.歐盟數(shù)據(jù)憲章：《一般數(shù)據(jù)保護條例》GDPR評述及實務(wù)指引[M].北京：法律出版社，2018.

（責任編輯：袁麗娜）