個人生物信息安全的法律保護
——以人臉識別為例

文/張勇

個人生物識別信息，是指自然人可識別的生理或行為特征，從中提取可識別、可重復的生物特征樣本、模板、模型等識別數據或數據的聚合。個人的面部、指紋、視虹膜、基因等生物信息識別技術被廣泛應用到社會生活領域。生物識別技術發展所帶來的身份驗證、人體試驗、器官移植、輔助生殖技術、基因編輯及重組等問題，都可能會侵犯個人信息數據權利，危及生物信息安全甚至國家安全。如何防范生物識別技術應用的安全風險，依法規范個人生物識別技術的研發和應用，確定侵犯個人生物識別信息權利的法律責任，構建危害生物信息安全行為的制裁體系，本文對此予以探析。

人臉識別：個人生物信息的安全隱憂

人臉識別作為一種識別個人身份信息的新型技術，其主要特征是非接觸性、主體唯一性和不易復制性，同時也具有無須攜帶、易于采集、成本低廉等特點。信息采集者只要通過設置普通攝像頭等傳感器，加上面部識別的軟件和算法的運用，無須接觸自然人個體便可實現面部信息的抓取與存儲。人臉識別的應用范圍越來越廣，運用海量數據挖掘和神經網絡技術的人臉識別系統已成為人工智能、區塊鏈商業應用的新領域。相對于其他個人信息，人臉識別應用的數據存儲、傳輸流程存在嚴重的隱私侵權和安全受損風險；而一旦人臉識別信息被泄露或冒用，就可能會對信息主體造成永久性傷害和難以彌補的損失。在我國，個人生物識別信息數據被盜或過度濫用的問題層出不窮，涉及人臉識別侵權訴訟或刑事犯罪的案件也屢屢發生。例如，2019年10月，浙江理工大學副教授郭兵因不同意杭州野生動物世界使用人臉識別對其進行用戶認證而提起侵權訴訟，被稱為“人臉識別第一案”。

近年來，我國相關部門和機構頒布實施了諸多個人信息保護的國家行業標準，包括：2019年《信息技術 安全技術 生物特征識別信息的保護要求（征求意見稿）》（以下簡稱《生物識別信息保護要求（征求意見稿）》）；2017年《信息安全技術 個人信息安全規范》（以下簡稱《個人信息安全規范》，2020年修訂）；2020年《APP收集使用個人信息最小必要評估規范 人臉信息》團體標準（以下簡稱《APP人臉信息規范》）。須指出，作為國家行業標準的《個人信息安全規范》不是強制性法律標準，而是推薦性行業標準，因而對個人信息保護的要求也更加嚴格。

個人生物信息安全法益的法律保護

《APP人臉信息規范》第3.1和3.3條規定，“人臉識別”即基于個體的人臉特征，對個體進行識別的過程；“人臉信息”即對自然人的人臉特征進行技術處理得到的、能夠單獨或者與其他信息結合識別該自然人身份的個人信息。《生物識別信息保護要求（征求意見稿）》 第3.1.3條規定，個人生物識別信息基本特征在于，可檢測到的個體生理或行為特征，可以從其中提取可識別的、可重復的生物特征。所謂“生物識別”并非僅是對自然人生理特征的識別，而是將生物識別信息與個人身份、金融、行為、位置、偏好等信息對接，使得個人生物識別信息的法律屬性具有更強的多元化、復雜化的特點。

從立法來看，歐盟《一般數據保護條例》（GDPR）、英國《數據保護法案》、日本《個人信息保護法》等法律法規都對“生物識別數據”做出專門規定。我國《網絡安全法》規定，個人生物識別信息屬于“直接可識別”到個人身份的隱私敏感信息，其必須經過計算機的相關生物識別程序的識別才能生成相關信息數據。《個人信息安全規范》第3.2條規定，對于個人生物識別信息須以個人敏感信息的嚴格標準加以保護。根據《生物識別信息保護要求（征求意見稿）》第3.1.7條的規定，個人生物識別信息所涉及的權利包括其在整個生命周期的收集、轉移、使用、存儲、歸檔、處置和更新的權利，具體包括知情權、同意權、查詢權、更正權、刪除權、利用權和公開權等。

個人生物識別信息可分為可識別個體生物特征的個人隱私信息、一般個人信息和個人數據三種，其權利屬性也有所差別。首先，一般個人信息具有人格權屬性。但個人信息所蘊含的權利并不限于隱私權，后者則是其最重要、最核心的內容。個人信息權的法律保護屬于弱保護，而隱私權的法律保護則屬于強保護，對于個人生物識別信息應優先適用更為積極的隱私權保護。其次，個人隱私信息屬于人格利益但不包含財產屬性，不具有任何財產屬性的交易價值，不可利用且受法律絕對保護。再次，一般個人信息亦屬于人格利益但可包含財產屬性，這種人格利益基于信息主體的同意，轉化為具體財產利益后可以進行交易。個人生物識別信息經過去識別化技術處理之后，僅具有個人信息數據的財產屬性，可以自由使用、轉讓，而為其他數據主體所利用。

生物識別技術帶來的個人信息安全風險包括以下情形：未經授權的或不必要的收集；未經授權之使用或披露；不當比對；錯誤匹配；不當儲存或不當傳輸；功能蠕變等。同時，隨著國際上生物資源數字序列信息的提取、跨境轉移和利用，輸出國遺傳信息資源流失的風險不斷增大，已經上升到公共安全和國家安全層面。從個人生物信息安全的法益屬性來看，生物識別技術雖然以自然人為對象，但其涉及的社會利益關系不限于公民個體，而是包括與個人生物識別活動相關的技術服務者、經營者、使用者和管理者。個人生物信息事關個人身份、隱私、人身、財產等各方面的利益與安全，已經不能僅僅用傳統民法上的某種單一權利加以限定。個人生物識別信息所蘊含的法益內容逐漸呈現出復合性、多元化特征，從個體的人格權擴展至公共利益、社會秩序和國家安全。

個人生物信息安全風險預防及利益平衡

“風險預防”是相對于“損害預防”而言的，前者針對的“危害”具有不確定性、未然性，而后者的“損害”是指已現實存在或已產生客觀損害結果，“不確定性”是風險預防的核心概念。生物安全風險的不確定性、突發性及不可預測性要求確立風險預防原則，用以指導生物安全立法和司法實踐。《生物識別信息保護要求（征求意見稿）》第5.1條提出了三項原則。一是保密性原則。在生物特征數據的存儲和傳輸過程中，應當使用加密算法對信息數據進行保密處理，未經信息主體授權不得訪問或披露。二是完整性原則。生物特征識別系統應通過訪問控制來實現數據的完整性保護，防止未經授權訪問生物特征數據，或通過使用加密技術進行完整性檢查。三是可更新性與可撤銷性原則。對刑法中相關罪名的構成要件設置和司法認定，需要依托前置性行政法律規范及行業標準，針對不同安全等級的個人生物信息識別行為，設定生物信息安全法益保護的命令性義務、禁止性規范及刑事責任，設置刑事風險防范的法律底線，側重體現對于生物信息安全保護的特殊要求。

在風險社會背景下，法律面臨著如何在保護和利用、自由與安全之間進行利益平衡和價值選擇的問題。從利益平衡角度，應當分類分層地明確各方利益主體的權責關系，避免個人生物識別信息數據濫用。個人生物識別信息的收集者、利用者和數據系統的管理者，也是借助個人生物信息安全風險的獲利群體，應當作為風險義務和責任的主要承擔者，法律應當對個人信息權利主體予以適當的傾斜保護，從實質上實現公正和利益平衡。值得關注的是，區塊鏈技術逐漸應用于生物信息商業領域，實現與生物識別技術的融合。區塊鏈“去中心化”的特點天然排斥監管，如果區塊鏈業者運用匿名化技術手段，切實履行保護個人信息安全的合理義務，采取技術措施確保哈希化信息的匿名化，這樣既能夠保護區塊鏈背景下的個人信息安全，又可避免給區塊鏈產業帶來過高的發展門檻和應用成本。

個人生物信息安全保護的立法模式

其一，個人生物信息安全的私法保護。在我國，對個人生物識別信息的保護來自民法、消費者權益保護法等法律法規中有關隱私權、名譽權的保護規定，以及個人信息保護的法律法規、行業規范。總體上，個人生物識別信息的民事權利保護模式主要有三種路徑：人格權模式、財產權模式、人格權與財產權的復合模式。第一，人格權保護模式，即將個人生物識別信息視為具有人格權的基本屬性，將其作為個人私密敏感信息進行保護。第二，財產權保護模式，即認為個人生物識別信息具備財產性質，應賦予其財產權保護，但其又不是完全的財產，因為它不能被繼承、贈予、遺贈等。第三，復合保護模式，即將人體基因視為人格和財產的復合體。比較來看，單純的人格權模式無法對個人生物識別信息專利及商業化所帶來的可分享的財產利益予以充分保護；但如果單純采用財產權模式來界定個人基因信息的法律屬性，則可能造成對人體基因信息的人格權屬性的忽略。因此，我國應以人格權和財產權的雙重機制對其予以保護，為平衡人格價值和科技進步、經濟發展之間的沖突提供可行的通道。

其二，個人生物信息安全的公法保護。（1）在行政法領域，我國與個人生物信息安全相關的法律規范多散見于法律法規、部委規章及專門規范文件。《個人信息安全規范》較為詳細地規定了個人生物識別信息在收集、存儲和共享等環節的安全保護要求。在涉及人臉識別、聲紋識別等生物識別信息的項目，網絡運營者須專門設計獲得用戶同意的環節，這也意味著當用戶提起爭議時，信息業者負有更多的舉證責任。《生物特征識別信息保護要求（征求意見稿）》第5.1條提出了生物特征識別系統的保密性、完整性、可更新性與可撤銷性等方面的原則和具體要求；第6.4條也提出在生物特征識別信息生命周期管理中有關采集、傳輸、使用、存儲、歸檔與數據備份、廢棄階段的義務要求。根據《APP人臉信息規范》第6.1至6.4條的規定，收集人臉信息應遵循“最小必要”原則，收集前應通過隱私協議等方式向人臉信息主體告知相關信息，不應超過人臉信息主體“告知同意”的范圍。上述國家行業標準和規范雖不具有法律效力，但能起到生物識別技術風險防范和合規性指導作用，也能為將來生物信息安全立法提供參考。（2）在刑事法領域，由于個人基因信息技術發展所帶來的人體試驗、器官移植、輔助生殖技術、基因編輯及重組等問題日趨嚴重，不少國家對上述行為規定相關罪名予以刑事懲處。2019年《人類遺傳資源管理條例》的“法律責任”一章規定了非法采集、保藏、利用、對外提供人類遺傳資源的行政責任和刑事責任。根據現行《刑法》規定，可以將違反該條例規定的行為認定為犯罪，如將故意或過失泄露被列為國家秘密的基因資源、資料的行為認定為故意或過失泄露國家秘密罪，為境外竊取、刺探、售賣、非法提供國家秘密、情報罪等，但也有不少行為是刑法典中現有罪名無法涵蓋的。將來可考慮以當前生物安全立法或刑法修法為契機，通過制定或修訂相關行政法律法規中的刑事責任條款，實現刑法與行政法規范的有效銜接。

其三，個人生物信息安全的綜合法律保護。《個人信息保護法（草案）》第5條、第6條分別規定了個人信息處理應當采取“合法、正當”方式和“明確、合理”目的。同時，該草案將“告知—同意”確立為信息處理的核心規則，告知義務是信息主體的主要義務。《數據安全法》第29條規定，任何組織、個人收集數據，必須采取合法、正當的方式，不得超過必要限度。個人生物信息保護法益的復合性、多元化，決定了僅靠私法保護模式或是公法保護模式均無法有效保障其安全。在此方面，2020年10月頒布的《生物安全法》作為綜合性立法，應當能夠適應我國生物多樣性保護和生物安全保障的制度需求。在該法的統領和協調下，其他各專門法、單行法具體設置應對生物信息安全風險的法律規則，處理好行政法、民法、刑法等相關法律法規之間的關系，從公法和私法的不同層面進行法律保護，構建個人生物信息安全保護的法律體系。

個人生物信息安全法律保護的體系化

在我國刑法中，與個人生物信息安全保護相關的罪名包括：侵犯公民個人信息罪、拒不履行信息安全管理義務罪、非法侵入和破壞計算機系統罪、假冒專利罪、非法經營罪、妨害傳染病防治罪、非法行醫罪、故意或過失泄露國家秘密罪等。在上述罪名中，存在大量的“違反國家規定”“違反……法規”等空白罪狀。判斷行為刑事違法性以行為人違反前置性法律法規為前提，進行違法性的層次性判斷。然而，我國行政立法過程往往比較倉促，欠缺系統性通盤考慮，導致刑法與行政法之間出現不銜接，甚至互相沖突的問題，因而需要通過構建和完善刑法前置性行政法律規范加以解決。

在個人生物信息安全保護方面，《個人信息安全規范》等相關行業標準指南提供了立法參照的框架樣本。（1）個人生物識別信息的收集。網絡運營者收集個人生物識別信息應征得個人信息主體的明示同意。即使已取得個人信息主體的同意，網絡運營者仍應僅收集達到目的所需的最少個人生物識別信息，以最大限度降低損害風險。（2）個人生物識別信息的存儲。可采取的存儲措施包括但不限于：僅存儲個人生物識別信息的摘要信息，且該摘要信息應具備不可逆性，即無法回溯至原始信息；在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能；在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像等。（3）對個人金融信息特定類別的特殊要求。以“不應共享、轉讓”為原則，網絡運營者確因業務需要，確需共享、轉讓的，應單獨向個人信息主體告知目的并征得其明示同意等。須指出，行業規范并不具有法律效力，對個人生物識別信息的規制范圍更廣，安全義務要求更高；為了避免刑事打擊范圍過大，刑法可將個人生物信息安全行業規范作為前置性規范的參考依據，但不宜直接將其作為判斷刑事違法性、認定犯罪的法律根據。

結語

個人生物信息法益的多元屬性涵蓋了其對隱私權、人格權、財產權及安全法益的保護。在生物安全風險因素和潛在威脅因素突發、增升的情況下，追求公共安全成為國家和社會公眾的普遍心態和立法目標選擇。在個人信息安全保護方面，單一的民法、行政法或刑法均無法完成多元化價值目標的實現。因此，應當以網絡安全法、生物安全法、個人信息保護法、數據安全法等綜合性立法為契機，構建個人生物識別信息安全保護的法律體系，發揮各個部門法在保護權利和保障安全方面的功能，實現行政立法與刑法規范的良性互動、附屬刑法規范的實質化，以促進個人生物信息安全法律法規內外部的銜接協調。