汤鹏飞
广东知恒律师事务所 广东省深圳市 518000
摘要:本文主要从生物识别信息技术的特点、国内外相关立法情况以及社会应用的现状出发,对个人生物识别信息法律保护问题进行了初步探究,试图在充分利用这种技术的基础上,提出建立更加成熟的法律制度建议,以在更多发挥这种技术特有优势的同时,尽量避免其对个人及社会产生不利影响。
关键词:生物识别信息技术;风险;法律保护;建议
生物识别技术主要是指利用计算机与生物传感器、声学、光学及生物统计学等多种高科技手段密切给合,通过获取人体固有的生理特性和行为特征来对个人身份进行的鉴定,又被称之为生物特征识别。随着科技的高速发展,尤其是计算机与光学、声学、生物传感器技术自进入新世纪以来的普遍民用化,使得生物识别技术取得了许多重大突破,其表现出来的技术实现方式也层出不穷,并不断应用到实践中。生物识别技术主要针对的人体生物特征包括指纹、人脸、声纹、掌形、虹膜、静脉、DNA、步态等等[1],其中指纹与人脸是现实生活中,人们最常接触的两种方式。
一、生物识别信息技术的潜在风险
生物识别信息因具有唯一性、持久性、不可替代性、可识别性等特性,而被广泛用于电子支付、智能安防、权限管理、人工智能等诸多应用场景,一方面由于人体的生物识别信息与一般密码不同,其不可更改、不可设置的固有属性提高了应用的可信性,但另一方面当个人生物识别信息落入非法分子手中时,就可能被违规处理、泄露、滥用、篡改、交易、买卖,甚至利用生物识别信息掩饰而进行违法犯罪,这无论是对于个人的人身权利和财产权利,还是对社会公共秩序、安全,乃至于国家安全,都可能产生极大的威胁。近期被媒体称之为“中国人脸识别第一案”的郭兵诉杭州野生动物世界有限公司服务合同纠纷一案,便反映了技术本身背后人们的安全之忧。因此,生物识别信息对于个人、社会而言,均具有极其重要的意义,对其保护应当引起立法者的高度重视,尤其在人工智能时代,对于个人生物信息的收集和使用加强规制,显得尤为必要且迫切。
二、国外个人生物识别信息保护重要立法
关于个人生物识别信息的保护问题,伴随人类进入互联网时代而产生(尤其是移动互联网),然而由于立法的滞后性,世界各国仍未有十分成熟的立法样本可供借鉴,但尽管如此,如美国、欧盟等一些发达经济体由于现代科技发展起步较早,其在此方面积累的立法经验,仍具有重要的可参考性。
以美国来为例,最具参考意义的是伊利诺伊州于2008年颁布的《生物信息隐私法案》,即Biometric Information Privacy Act[2],其也是美国为规范“生物标识符和信息的收集、使用、保护、处理、存储、保留和销毁”的第一部法律,所约束的范围并非在于是否有权使用生物识别数据,而是在于如何使用的问题。主要概括为初次收集人体生物信息时,需要获得该自然人的书面授权;企业应该制定政策设定生物信息数据保存时间;禁止出售生物识别数据,且不得任意对外披露。
此外,欧盟对生物信息数据保护的核心法律是《通用数据保护法规》,即General Data Protection Regulation,其与美国赋予各州在该领域较为灵活的规制权限不同,欧盟采取的是在整体上对生物数据的收集和使用进行规制,并同时赋予各成员国一定的自由裁量权,允许各成员国定义在特殊前提下,突破对生物识别数据收集和使用的法律限制。
三、国内个人生物识别信息保护立法概况
我国在个人生物识别信息保护方面起步较晚,刚于今年1月1日正式施行的《民法典》,其中第一千零三十四条对个人生物识别信息纳入了保护范围。其他如《刑法》《未成年人保护法》《电子商务法》《社会保险法》等多部法律对个人信息保护从不同层面也做出了一些规定。此外,在行政法规、司法解释、国务院规范性文件中均有涉及个人信息保护的条款,但是呈现出立法比较分散的情形,不够统一完整以至可执行性比较差。其中对生物识别信息规定最为全面的《信息安全技术个人信息安全规范》于2017年12月发布,并在2020年进行了修订。此规范对个人信息从收集到转让均做了较为详尽的规定,且对生物识别信息予以了特别保护,但其主要是对私权主体个人信息收集与使用的指导性文件,并无强制性。同时,该条例也并未包括对政府等公权利主体的规制[3]。因此,我国应对于个人生物识别信息的保护,从立法层面出台专门法律,从而系统地进行规制,切实地保护好个人生物识别信息,让社会各类主体均有法可依。
四、对个人生物识别信息法律保护机制建立的建议
早在2019年全国两会期间,全国人大代表伊彤提交了一份《关于开展公民个人生物信息保护立法的建议》,引起了社会各界的讨论,普遍认为对生物识别信息进行立法,不仅是个现实的社会问题,更是个重大的法律问题,有必要对其进行专门研究和讨论。
本文籍此机会,站在生物识别信息保护机制统一建设的角度,基于相关社会现实,在借鉴各国相关法律制度的基础上,结合技术实现的可能性,提出以下几点建议:
(1) 对采集个人生物识别信息的具体技术方式进行立法。苹果公司在设计iPhone 5s时,采用了A7主芯片,其中包括了一个特殊的安全架构,专用于保护用户的指纹和密码信息,通过特殊的算法将指纹和密码信息数据在硬件底层处理后再进行储存,其储存的数学表示形式,并未对任何图像文件进行储存。这就让包括苹果公司在内的任何人或机构均不能通过储存的数据,利用逆向工程获取指纹和密码信息,从而有效解决了当信息被泄露而被滥用的可能。所以,如果我国可以借鉴此技术实现路径,通过立法要求所有需要进行个人生物识别信息采集的主体,必须采用具有专门信息安全保护处理能力的芯片获取信息,并需在使用专门的加密算法进行数据转换后才能对个人生物识别信息的数据进行储存,这就可以在很大程度上避免个人生物识别原始信息被泄露及滥用的可能。
(2)对个人生物识别信息采集的主体建立准入机制。由于生物识别信息的特殊属性,其对采集主体的安全管理和技术能力均有非常高的要求,因此立法机关可以仿照第三方电子支付牌照的发放模式,针对生物识别信息在某些领域的应用主体,建立恰当的生物识别信息采集权准入机制,由专业权威部门进行评价,对于符合国家生物识别信息采集安全管理规范和具备相关技术能力的主体,授予其合法采集资格,对于未获得采集资格的主体不得私自采集,即使在采集时经过了被采集个人的同意也是非法的,应该受到相应的处罚。
(3)个人信息自决权相关问题。对于应用系统的登录有些只有人脸识别、声音识别等生物识别的方式,虽然也会询问用户是否使用,但由于没有其他方式选择可能,以及用户对于使用存在的潜在危害性缺乏认知的前提下,为了尽快达成个人使用目的,一般会选择接受备选方式,这在客观上使得用户个人的生物识别信息置于一种被暴露的风险状态,最终也可能因此产生不可挽回的巨大损失,因此基于生物识别信息的身份认证方式并非就是最安全的。信息采集方应当让被收集的个人在具体应用场景中,能根据自身的具体情况对生物或非生物信息识别身份方式进行权衡,从而做出个人信息处理方式的决断,充分保障其个人信息自决权。所以,应该探讨在立法上限制各种应用只提供生物识别方式进行身份识别,而应要求为用户提供除生物识别方式以外的其他多种身份识别方式,以让其有机会选择最利于自己的方案[4]。
(4)探讨由国家专门安全部门建立统一的公民生物识别信息数据库。为了进行生物信息识别,个人的原始生物识别信息标本存在于收集方的数据库中,而收集方并非专业的安全部门,并不一定具备较强的信息网络安全技术知识,或因其职责并不主要在此而缺乏加强人体生物识别信息安全管理的动机,而这都显然容易使被收集者的生物识别信息暴露于风险中。因此,由训练有素的专门安全部门去统一管控全体公民的生物识别信息显得必要。当某个收集方在必要时通过网络向该安全部门发出请求信息,安全部门在接收到该请求信息后,再根据请求信息中所包括的地址信息去直接采集并比对,然后将结果发送给收集方即可。当然整个过程必须基于网络的环境中,否则安全部门将因无法远程获取使用者生物识别信息而无法完成身份识别,但由于公民的生物识别信息标本和采集信息通道只由安全部门控制,避开了收集方直接接触并储存个人生物识别信息的机会,从而更好避免生物识别信息被泄露的可能,具有较高的安全性,所以仍然是一个值得探讨的实现路径。
(5)对现行《刑法》的相关条文进行特别修正。我国2015年出台的刑法修正案(九)对《刑法》第253条在形式上用“侵犯公民个人信息罪”一罪替代了原来多个罪名,实质上将之前规定的特殊主体扩大到一般主体,无疑是我国法制的进步,但遗憾的是此次刑法修正案,也包括此后多次的刑法修正案均未再进一步将“个人信息”这个笼统概念进行细化,对其所包涵的个人信息种类进行详尽罗列,这就无法使“生物识别信息”这一重要的概念显现出其所特殊的价值,当然也就更加无法对侵犯生物识别信息类的犯罪设定针对性的定罪量刑标准,导致法律在具体适用时,法官只能对其进行一般性处理,从而弱化了对公民个人“生物识别信息”保护的重要价值。因此本文建议立法机关能针对“生物识别信息”类型的犯罪的构成要件进行细化,罗列出相关犯罪的具体形态,并专门对“生物识别信息”方面的犯罪设定具体量刑标准,以加强对公民“生物识别信息”的特殊保护,体现出其应有的保护地位。
五、结语
个人生物识别信息技术是现代信息科技发展到一定程度后的多种高科技融合的产物,其具有很多其他技术不可替代的优势,但也有比较明显的劣势。优势自不必再多说,需要强调的是它的劣势在某些情况下可能给社会和个人带来巨大的损失,甚至于灾难。因此,无论在技术上,还是在法律角度,均应该对其进行深入而全面的研究,找到处理问题的最优解,这样才能尽可能趋利避害,让这种新兴的科技,在人工智能时代更多造福于人类。
参考文献
[1] 王映辉.人脸识别——原理、方法与技术[M]. 科学出版社,2010:3-16
[2] 付微明.个人生物信息的法律保护模式与中国选择[J].华东政法大学学报,2019(6):79-82
[3] 冉克平.论个人生物识别信息及其法律保护[J]. 社会科学辑刊,2020(6):117-119
[4] 胡海明.生物识别技术应用:伦理和治理研究[D],北京协和医学院,2018:30-33