論生物特征識別系統個人信息采集處理授權同意機制

■華國慶 陶 園

當前生物特征識別技術面臨個人信息被盜竊、泄露、濫用及系統被侵入兩大安全風險。為此，我國《民法典》確立了個人信息采集處理授權同意機制，一定程度上保護了生物特征安全。但由于生物特征識別系統的復雜性和多樣性，不同系統的安全性能和個人信息保護性能差異較大；同時，普通的被識別人對識別系統的安全風險難以鑒別，導致以同意機制為基礎的個人信息法律保護框架顯得十分無力。因此，我國應從技術和法律上對系統的安全性能和個人信息保護性能進行分級規制，并制定包括生物識別信息在內的個人信息保護的專門法律規范，以便進一步完善授權同意機制。

生物特征主要包括行為特征和生理特征。［1］(P13)生物特征識別技術利用人體所固有的這些特征進行身份識別或鑒別，具有較高的識別準確性和應用便攜性，已經成為人們日常生活中身份識別或者鑒別的重要工具。生物特征屬于個體獨有的隱私特征，相對于傳統的識別方式具有較高的安全性。但是，在實際應用中當前的生物特征識別系統主要存在以下兩類風險：（1）個人信息泄露導致的生物原始特征曝光；惡意算法竊取生物特征數據，并還原原始生物特征。（2）欺騙攻擊技術模擬生物特征，攻克識別系統。近年來，我國高度重視生物特征識別技術的安全性問題，《中華人民共和國民法典》（以下簡稱《民法典》）、《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）建立了個人信息采集處理授權同意機制；國家市場監督管理總局、國家標準化管理委員會于2020年3月6日發布的國家標準《信息安全技術個人信息安全規范》（GB/T 35273-2020，以下簡稱《個人信息安全規范》）中，對個人信息在收集、存儲、使用、共享、轉讓與公開披露等處理環節中的相關行為進行了嚴格規范；全國信息安全標準化技術委員會于2019年6月25日專門針對生物特征識別信息發布了《信息技術 安全技術 生物特征識別信息的保護要求（征求意見稿）》（以下簡稱《生物特征識別信息的保護要求（征求意見稿）》）。這些法律、規范和要求在一定程度上保護了生物特征安全，但是在實際執行過程中仍然存在諸多問題。例如，當前的個人信息收集在法律上是以被收集人授權同意機制為基礎的，“同意”的基礎是對識別系統風險有足夠的認識和了解，但大多數被收集人對生物特征識別系統個人信息保護性能和系統安全性能根本不了解，有些人被迫同意或者拒絕同意采集處理個人生物特征信息，以同意機制為基礎的法律保護框架難以落實而顯得十分無力。另外，就目前的生物特征識別技術而言，國家還沒有針對各種生物特征識別系統建立統一的識別性能及個人信息保護性能、系統安全性能測試數據庫，市場上各種生物特征識別系統所標稱的性能都是在不同的數據庫中測試得出的，因此，這些識別系統的識別率及個人信息保護性能、系統安全性能標準都是不一樣的和不統一的，導致用戶在使用這些系統時可能達不到所標稱的識別效果和安全風險要求，被識別對象也經常對識別系統的個人生物特征隱私保護產生懷疑，進而表示擔心。鑒于上述問題，我國應從技術和法律上建立國家統一標準的生物特征測試數據庫及生物特征識別系統性能測試標準，包括識別系統個人信息保護性能和安全性能標準及分級。通過對識別系統個人信息保護性能和系統安全性能進行分級規制，可讓被識別人宏觀上了解生物特征識別系統的安全風險防范性能，以便落實以同意機制為基礎的法律保護措施。與此同時，我國應制定包括生物識別信息在內的個人信息專門法律規范，并進一步完善授權同意機制。

一、生物特征識別技術安全風險與安全防范技術措施

生物特征分為生理特征（身體的物理特征）和行為特征（個人所做的事情）兩類。根據《生物特征識別信息的保護要求（征求意見稿）》第4.1節“生物特征識別系統概述”中的定義①，生理特征包括指紋、人臉、虹膜、手型、指靜脈、掌靜脈、視網膜、DNA、掌紋；行為特征包括簽名、步態和語音。生物特征應具有普遍性、獨特性、持久性、可收集性、重復性等基本屬性，在實際應用中我們還應考慮到識別性能、可接受性以及防欺騙性等附加屬性。生物特征屬于個人信息范疇，包含個體獨有的隱私特征。實施生物特征識別系統個人信息采集處理授權同意機制的前提是讓被采集人對識別系統安全風險有足夠的認識和了解。

（一）生物特征識別技術安全風險

生物特征識別系統盡管相對于傳統的識別方式具有較高的安全性，但在實際應用中仍存在以下主要風險：

第一，個人信息泄露導致的生物原始特征曝光。如今，高清監控攝像機分布在城市的各個角落，且監控相機的安裝以及使用并無相關規范，《民法典》第1033條第3款規定，不得拍攝、窺視、竊聽、公開他人的私密活動，但其并未對私密活動給出詳細定義，人們可能在不經意中已經泄露了個體的部分生物特征。比如，數十米范圍內監控設備可以清晰地采集到人臉圖片以及步態視頻，數米范圍內可以拍攝獲得拇指、掌紋和手型圖片，具有錄音功能的監控設備可以錄制聲音片段。此外，監控設備還可以通過門把手、智能手機屏幕、桌面物品等輕易地采集到人類的指紋甚至是掌紋信息。另一種生物原始特征曝光的情形是，商業識別系統直接采集并存儲了原始生物特征數據。雖然《個人信息安全規范》②第9.2節中規定“個人信息共享轉讓時需事先征得個人信息主體的授權同意”，但難以避免惡意攻擊者盜取商業系統的數據庫。生物原始特征的泄露和曝光對個體來說是災難性的，從國家安全的角度來看，國民生物特征泄露，如果被不法分子加以利用，甚至可能影響國家和民族安全。

第二，惡意算法竊取生物特征數據，并還原原始生物特征。當前，有關部門已經意識到生物特征識別的安全風險，相繼補充或者出臺相關法律或標準條款。例如，《個人信息安全規范》②第6.3節中規定“原則上不應存儲原始個人生物識別信息（如樣本、圖像）”，一定程度上降低了原始生物特征泄露的風險。正規的商業公司一般情況下不再存儲原始的生物特征，而是對其進行特征提取，生成特征數據。即使特征數據被不法分子盜取，也不能直接獲得原始生物特征，一定程度上保障了生物特征的安全性。［2］(P1529-1538)生物特征提取算法的原理主要分為幾何特征、時空域特征、變換域特征、神經網絡特征等。無論哪種方法生成的特征數據，都有可能通過其逆變換，還原全部或部分原始生物特征，導致生物特征泄露。為了提升生物特征數據的安全性，《生物特征識別信息的保護要求（征求意見稿）》第5.1.1節①中規定“存儲和傳輸的生物特征識別數據庫的保密性可以通過訪問控制和各種形式的加密技術獲得，如使用SM2或SM4加密算法”，從而提升對生物特征數據進行逆變換，解密出原始特征的難度，但是相關技術仍不成熟，目前仍然無法從根本上避免還原原始特征數據的可能性。

第三，欺騙攻擊技術模擬生物特征，攻克識別系統。生物特征的優勢之一是隨身攜帶，具有較高的安全性和便捷性，而識別系統難以區分生物特征的真假，不法分子可以構建虛假生物特征，欺騙識別系統。為了應對此類欺騙攻擊，《生物特征識別信息的保護要求（征求意見稿）》第5.2.1節①中給出了“活體檢測”的對策，事實上活體檢測技術本身仍不成熟。例如，當前主流的人臉識別系統在識別過程中要求識別人做出眨眼、抬頭等動作，而欺騙技術可以模擬活體檢測的過程。2017年中央電視臺315晚會上，主持人使用了2部手機和1張正面照片，通過換臉APP演示了用合成人臉照片欺騙人臉識別系統的過程③；2019年12月，美國《財富》雜志報道了使用3D面具成功地通過了支付寶和微信等人臉特征支付系統④。2019年，有“00后”男孩田某繞過了廈門銀行APP的人臉識別系統，使用虛假身份信息注冊了多個賬戶并倒賣牟利⑤。可見，防欺騙技術不斷完善的同時，不法分子也在針對性地研究欺騙技術，二者的博弈過程仍將持續。

由此可見，當前的生物特征識別系統主要面臨個人信息被盜竊、泄露、濫用及系統被侵入兩大安全風險。利用技術措施和法律手段提高生物特征識別系統個人信息保護性能及安全性能是防范風險的有效途徑。

（二）生物特征識別技術安全防范措施及其存在的不足

為了降低生物特征識別技術的風險，學者們在識別算法和技術上進行了深入研究。主要思路是：增加特征數據的保密性、完整性，提升特征數據的不可逆性，以便提高生物特征識別系統個人信息保護性能；改進活體識別技術，增加欺騙攻擊的難度；提出多模態融合識別方法，提高識別準確性的同時，增強破解算法的復雜性，以便提高生物特征識別系統安全性能。當前的安全防范技術措施，概括起來，主要包括如下方面：

第一，可撤銷生物特征隱私保護技術。近年來，生物特征模板被盜或泄露時的安全性和隱私性已成為公眾關注的熱點，由于生物特征具有唯一性和不可再生性，模板泄露意味著永久的信息損失。生物特征模板保護方法可以大致被分為可撤銷的生物特征識別和生物特征密碼系統。《生物特征識別信息的保護要求（征求意見稿）》第5.1.1節至5.1.3節分別給出了生物特征“保密性”“完整性”以及“可更新性與可撤銷性”的安全要求。可撤銷模板保護是將原始生物特征映射到新的特征空間起到對其加密的效果，在滿足生物特征保密性和完整性條件下，還應滿足四個要求：不可逆性、可撤銷性、不可鏈接性和性能保持。例如，Jin等人利用生成的隨機參數，將實值生物特征向量轉換為離散索引(最大排序)哈希碼，實現了生物模板的不可逆以及可撤銷，該技術可以應用到虹膜、掌紋、面部和指靜脈等生物特征識別領域。［3］(P393-407)但問題是，可撤銷生物特征模板需要在識別性能和不可逆性之間進行權衡，嚴格的不可逆性意味著轉換后需要完全丟失信息，而只有保留原始模板的鑒別性信息，才能保持識別的準確性。

第二，生物特征活體識別技術。以人臉識別為例，常見的假體人臉主要包括：照片類假體人臉、視頻類假體人臉、面具類假體人臉、合成的三維人臉模型類假體人臉。［4］活體檢測的方法大體分為交互式和非交互式兩種。目前主流的交互式活體檢測技術是基于隨機動作指令的方法，但是其使用過程煩瑣，用戶體驗不佳。非交互式活體檢測技術指的是用戶無感知條件下的活體和假體識別，包括：（1）基于紋理的方法，通過提取真實人臉、虛假照片或3D模型的紋理特征，從而識別真假；（2）基于生命信息的方法，通過識別人臉微弱的肌肉變化以及微運動等鑒別是否活體；（3）基于硬件傳感器的方法，通過紅外相機、光場相機或深度相機識別人臉或假體。但從實踐來看，當前活體檢測技術并不成熟，還需要得到進一步研究和完善。

第三，多模態生物特征融合識別技術。單一的生物特征，難以滿足高安全領域的應用要求，融合多個模態數據顯得至關重要。多模態融合識別技術指同一人的多個不同的生物特征，按照某種策略融合成整體進行識別，能夠提高識別的準確性和安全性。《生物特征識別信息的保護要求（征求意見稿）》第5.2.1節中也給出了“多模態生物特征識別”的建議。多模態融合一般可被分為傳感器層融合、特征層融合、分數層融合和決策層融合四類。［5］(P151-162)多模態融合識別技術能夠顯著提升生物特征識別的準確性和安全性，可應用于公安司法、金融支付等高安全領域。但是，多模態融合識別技術由于需要采集、存儲和識別多種生物特征數據，系統硬件成本較高，開發難度較大，實際應用中系統的使用難度和維護成本較單模態也相對更高。

可見，單從技術上防范生物特征信息安全風險無法真正實現科技與社會、與生活運用的有效結合，只有在技術防范的基礎上進一步建立起穩固的制度化、法制化屏障，才能讓生物特征識別信息的應用與人類需求緊密結合起來，實現善的功能。

二、國內外生物特征信息保護中個人信息采集處理的立法及存在問題

隨著生物特征識別技術的發展和普及，不少國家或者區域性組織已經意識到生物特征信息安全性問題，并通過立法或者制定國家標準的形式進行規制。［6］(P193)

（一）國內外生物特征信息保護中個人信息采集處理的立法概況

美國目前并沒有統一的聯邦法律規范生物特征識別技術的應用，只有個別州通過了生物特征識別相關立法。2008年伊利諾伊州通過了世界上首部生物特征信息隱私保護法律《伊利諾伊州生物特征信息隱私法》(Illinois Biometric Information Privacy Act,簡稱BIPA)⑥，其中第15節(b)條規定“任何私人實體不得收集、捕獲、購買、通過交易接收或以其他方式獲取個人或客戶的生物特征識別符或生物特征信息”，除非接收到生物特征識別符或生物特征信息的主體或其合法授權代表的書面準許，該法旨在保護伊利諾伊州的居民——防止生物識別數據在未經他們明確許可的情況下被采集或存儲。德克薩斯州和華盛頓州隨后分別于2009年和2017年頒布了《生物特征信息隱私法》。需要注意的是，一是美國不同州的立法并不相同，例如，德克薩斯州和華盛頓州沒有在其立法中規定行使私人權利的方式，即沒有提供私人訴訟的途徑；而BIPA明確提供了權利救濟的方式，個人在其生物特征識別信息權利受到侵犯時，可以自行向法院提起司法訴訟。二是從個人信息保護立法來看，美國沒有通過制定統一的個人信息保護法的方式保護個人信息，而是主要依靠市場與行業自律來實現。在立法模式的選擇上，美國采取了“隱私權”的保護模式，即通過隱私統一保護個人信息。［7］(P63)

德國于1976年通過了《聯邦數據保護法》，對于個人資料的儲存、處理和傳送作出了規定，對于個人資料進行系統集中的保護。1978年德國又通過了《數據處理、檔案與自由法案》，對于數據的收集、處理和使用作出了規定。為了執行1995年歐盟通過的《個人數據保護指令》，2002年德國頒布了《聯邦數據保護法》，該法案對于個人數據的概念作出了規定，確立了數據收集、處理和使用中的“最小限度”原則，其中第4條（1）規定“收集、處理和使用個人數據必須遵守本法和其他法律的規定，或者經數據主體同意”，明確了信息主體的同意權利，同時，也對數據主體權利的救濟作出了規定，諸如要求數據控制者履行登記的義務并任命數據保護官，對于包括個人生物識別信息在內的個人數據加以保護［8］(P10-21)。與美國不同的是，德國采取了個人信息權的立法模式。

歐盟的個人信息法律保護歷來非常嚴格，然而關于生物特征信息保護，目前沒有專門的立法，有關法律體現在《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）中。GDPR第9條第1款規定，個人生物特征信息屬于個人敏感數據，并強調了生物特征數據禁止用于個人身份的識別；但是GDPR第9條第2款緊接著規定了例外情形，主要包括：信息主體明確同意，維護公共利益，提出、行使或辯護法律主張等7個方面。在實際中，取得信息主體同意的前提下，或者為了某些特定的合法目的時，GDPR是允許生物特征識別技術使用的。

我國《民法典》第1033條規定“除法律另有規定或者權利人明確同意之外，任何組織或者個人不得實施”的行為之一是“處理他人的私密信息”；第1034條規定“自然人的個人信息受法律保護”，生物識別信息屬于個人信息范疇；第1035條規定“處理個人信息，應當遵循合法、正當、必要原則，不得過度處理”，需“征得該自然人或者其監護人同意”且“明示處理信息的目的、方式和范圍”；第1036條規定“處理個人信息”如果是“在該自然人或者其監護人同意的范圍內合理實施的行為”，“行為人不承擔民事責任”；第1037條規定“自然人可以依法向信息處理者查閱或者復制其個人信息；發現信息有錯誤的，有權提出異議并請求及時采取更正等必要措施”。第1038條規定“信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經自然人同意，不得向他人非法提供其個人信息”。《民法典》以上規定確立了生物特征識別系統個人信息采集處理授權同意機制。《網絡安全法》第41條第1款規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。《個人信息安全規范》中，對個人信息在收集、存儲、使用、共享、轉讓與公開披露等處理環節中的相關行為進行了嚴格規范。核心內容包括：收集個人信息應獲得授權同意（這一條確認了《民法典》個人信息采集處理授權同意機制）、合法且滿足最小必要；應制定個人信息保護政策，個人信息存儲應進行去標識化處理，個人敏感信息應采用加密處理，原則上不得存儲原始生物特征數據；個人信息使用的目的應明確，如需超出使用范圍，需征得信息主體同意；信息主體擁有個人信息查詢、更正以及刪除的權利。

《生物特征識別信息的保護要求（征求意見稿）》是專門針對生物特征識別技術的國家標準，規定了生物特征識別信息的安全保護要求，包括生物特征識別系統的威脅和對策、生物特征信息和身份主體之間綁定的安全要求、應用模型以及個人信息保護要求等。其中生物特征識別系統信息安全保護要求規定生物特征識別系統應滿足保密性（強調“由于生物特征敏感，未經授權的數據披露可能會導致嚴重的個人信息安全威脅”）、完整性以及可更新性與可撤銷性；生物特征識別系統安全威脅與應對措施主要包括系統組件安全威脅與措施、生物特征信息傳輸過程威脅與措施以及可更新性措施。

可見，個人信息采集處理授權同意機制在國內外相關法律和規范中都有體現，是生物特征識別信息安全保護的重要機制。

（二）生物特征識別系統個人信息采集處理授權同意機制存在的問題

根據《民法典》《網絡安全法》《個人信息安全規范》《生物特征識別信息的保護要求（征求意見稿）》相關條款規定，我國當前的生物特征識別系統個人信息收集與處理是以同意機制為基礎的。從實踐來看，一些機構或者單位在收集用戶個人生物特征識別信息前，先發布告知或者聲明，用戶在閱讀聲明后作出同意的意思表示，即被視為對個人生物特征識別信息收集及利用的合法授權。

但問題是，無論從法律層面還是技術層面，個人信息采集處理授權同意機制都存在極大缺陷：

第一，知情同意機制為個人帶來沉重負擔。個人信息流轉的多元復雜性為機構在隱私聲明中的清晰闡述，帶來了嚴峻挑戰，信息創新利用的目的也往往難以在收集時所預知，為遵循法律要求，機構往往列出冗長艱澀的隱私聲明，也給用戶閱讀帶來沉重負擔，有研究表明，用戶僅閱讀一年中使用的網絡服務的隱私聲明就要花費244小時的時間。而現實中用戶往往越過隱私聲明直接點擊同意，既不閱讀更難以理解其內容，導致隱私聲明淪為一紙空文［9］(P93)。

第二，知情同意機制中的“同意”很多情況下淪為擺設或者對個人權利的不正當限制。在現實中，很多人都是在不知識別系統安全風險的情況下表示同意，或者由于必須使用某生物特征識別系統而不得不給予同意，如只有通過“人臉識別”才能進入小區、公園等。在這種情況下，所謂的“同意”要么淪為一種形式，要么淪為一種變相的強制，以同意機制為基礎的法律保護框架更顯得蒼白無力。

第三，個人對自己的生物特征識別信息并無實際的控制權，且權利的行使日益困難。如果作為生物特征數據主體的個人表示同意，接下來的數據收集、使用、處理就交給了使用識別系統的企業或政府機構，數據主體難以進行后續的監督和控制。數據主體在征得同意之后，其個人數據就跟該主體沒有任何關系，之后所有的風險都需要由其本人來承擔，采用以同意機制為主的模式來保護個人信息，無異于將數據被盜用、泄露的風險放在作為數據主體的個人身上。如果個人生物特征識別信息受到了侵害，但由于生物特征識別信息使用、處理的主體和環節較多，再加上取證困難，作為生物特征識別信息權的個體也難以通過訴訟等途徑依法維權。

第四，市場上銷售的各種生物特征識別系統所標稱性能都是在自建的生物特征數據庫中經訓練學習后測試得出的，因此，這些識別系統的識別率及個人信息保護性能、系統安全性能標準都是不一樣的和不統一的，導致用戶在使用這些系統時可能達不到所標稱的識別效果和安全風險要求，實施個人信息收集與處理授權同意機制，必須要讓被識別對象，知曉生物特征識別系統真實的個人信息保護性能和安全性能。

三、我國個人信息采集處理授權同意機制困境的應對措施

生物特征識別的安全風險對于個人來說是難以防范的，這是因為防范生物特征識別風險既存在技術上的壁壘，又存在法律規制上的滯后性。防范生物特征識別安全風險是一項應由國家以及整個社會共同主導的系統性工程。針對生物特征識別安全防范的專業性和公共性特點，我們應從技術規則和法治規則兩個方面對其進行雙重規制。

（一）建立生物特征識別系統的個人信息保護性能和安全性能分級規制制度

讓被識別人了解生物特征識別系統的個人信息保護性能和安全性能是十分必要的，是落實以同意機制為基礎的法律保護措施的前提。生物特征識別系統的個人信息保護性能和安全性能分級，不僅可以讓被識別人從宏觀上了解生物特征識別系統的安全性能和隱私保護性能，還可以自然地讓生物特征識別系統的市場價格分開，級別越高價格就越高，這樣就可倒逼生物特征識別系統開發制造商設計制造性能級別更高的生物特征識別系統。與此同時，我們還可以厘清生物特征識別系統制造商及使用識別系統的企業或者政府機構，在系統的個人信息保護性能和安全性能方面應承擔的法律責任。換言之，待識別人即便同意識別系統使用者采集與處理隱私數據，一旦隱私數據被盜取、泄露、篡改或濫用，系統使用者與系統開發商也必須按照識別系統的個人信息保護性能和安全性能，分級承擔相應的法律責任。具體而言：

1.建立生物特征識別系統個人信息保護性能分級規制制度。生物特征識別系統個人信息保護性能分級規制的主要依據是《生物特征識別信息的保護要求（征求意見稿）》中的生物特征識別系統信息安全保護要求。即生物特征識別系統應滿足如下要求：（1）保密性。生物特征識別系統應保護信息免受未經授權的訪問或披露，保護標準規定存儲和傳輸的生物特征識別數據的保密性，可以通過訪問控制和各種形式的加密技術獲得。（2）完整性。生物特征參考（BR）的完整性會決定鑒別過程的完整性以及鑒別結果的可信性。對于確保整個生物特征識別系統的安全至關重要。完整性的危害情況包括：硬件或軟件故障導致的意外損壞；授權實體（即授權者或系統所有者）意外或有意修改真實的生物特征參考信息；攻擊者修改（包括替代）被授權的使用者的生物特征參考信息，等等。在確保完整性的機制上，保護標準建議生物特征識別系統通過訪問控制來實現數據完整性保護，防止未經授權訪問生物特征數據或通過使用加密技術進行完整性檢查。完整性保護可能需要與其他技術（如時間戳）相結合，以防止重復使用被盜生物特征數據和重放攻擊。（3）可更新性與可撤銷性。針對生物特征參考信息已經受到侵害，可更新性與可撤銷性是對數據主體隱私權益的補救對策。

考慮到市場上銷售的生物特征識別系統很多是不能完全達到上述個人信息安全規范和保護要求的，因此，我國應對生物特征識別系統的個人信息保護性能進行如下三級規制：（1）1級保護，為高保護性能等級。該等級系統存儲身份參考（IR）數據，不存儲原始生物特征參考(BR)數據或存儲原始生物特征參考(BR)數據，但提供BR及IR的保密性和完整性，系統提供BR的可更新性與可撤銷性。（2）2級保護，為較高保護性能等級。該等級系統存儲身份參考（IR）數據和原始生物特征參考(BR)數據，提供BR及IR的有限保密性和完整性，系統提供BR的可更新性與可撤銷性。（3）3級保護，為一般保護性能等級。該等級系統存儲身份參考（IR）數據和原始生物特征參考(BR)數據，不提供BR及IR的保密性和完整性，系統提供BR的可更新性與可撤銷性。

系統個人信息保護性能需國家授權的專業機構按系統保密性、完整性以及可更新性與可撤銷性，逐項進行測試或鑒別，并按上述系統個人信息保護性能分級標準進行分級，頒發系統個人信息保護性能測試結果及等級證書。待識別人可參考系統個人信息保護性能等級決定是否同意授權系統采集處理個人身份及生物特征信息。系統個人信息保護性能分級實際上也是系統在個人信息保護方面缺陷的分級，系統使用者必須明晰這些缺陷，與系統開發制造商一起做好相應的系統個人信息保護管理工作，并簽訂協議，一旦發生個人信息被盜取、泄露等問題，厘清各自應承擔的法律責任。

2.建立生物特征識別系統安全性能分級規制制度。生物特征識別系統安全性能分級規制的主要依據是《生物特征識別信息的保護要求（征求意見稿）》中的生物特征識別系統安全威脅與應對措施。生物特征識別系統安全威脅與應對措施主要包括：（1）系統組件安全威脅與措施。《生物特征識別信息的保護要求（征求意見稿）》第5.2.1節中表1列出了生物特征識別系統各子系統（數據采集、信號處理、比對、存儲、決策）可能遇到的威脅及其對策，并提示組件更換的威脅適用于所有子系統，組件更換是指替換生物特征識別系統的組件（譬如決策或比對子系統），目的是為了控制它并獲得所需要的輸出結果，使用涉及數字簽名組件的庫存控制可能是針對這種威脅的有效對策。（2）生物特征信息傳輸過程威脅與措施。生物特征識別系統各部件之間的通信通道可能會受侵害，進而危及整個系統的安全。《生物特征識別信息的保護要求（征求意見稿）》第5.2.2節中表2列出了生物特征數據傳輸過程中可能遇到的威脅及其對策。（3）可更新性措施。生物特征參考的可更新性是針對存儲和傳輸威脅的一項對策。

市場上銷售的生物特征識別系統很多是不能完全達到上述安全性要求的，因此我國同樣應對生物特征識別系統的安全性能進行如下三級規制：（1）1級為高安全性能等級。該等級系統對組件安全威脅、生物特征信息傳輸過程威脅有強有力的應對措施，系統有可更新性措施。（2）2級為較高安全性能等級。該等級系統對組件安全威脅、生物特征信息傳輸過程威脅有比較有力的應對措施，系統有可更新性措施。（3）3級為一般安全性能等級。該等級系統對組件安全威脅、生物特征信息傳輸過程威脅缺乏有力的應對措施，系統有可更新性措施。

系統安全性能也需國家授權的專業機構按系統組件安全威脅與措施、生物特征信息傳輸過程威脅與措施以及可更新性措施逐項進行測試或鑒別，并按上述安全性能分級標準進行分級，頒發系統安全性能測試結果及等級證書。待識別人可參考系統安全性能等級決定是否同意授權系統采集處理個人身份及生物特征信息。系統安全性能分級實際上也是系統在安全方面缺陷的分級，系統使用者必須明晰這些缺陷，與系統開發制造商一起做好相應的系統安全管理工作，并簽訂協議，一旦發生系統安全問題，厘清各自應承擔的法律責任。

（二）建立國家統一標準的生物特征測試數據庫及生物特征識別系統性能測試機構

就目前的生物特征識別技術而言，我國尚未針對各種生物特征系統建立統一的識別性能及個人信息保護性能、安全性能測試數據庫，市場上各種生物特征識別系統標稱性能都是在不同的生物特征數據庫測試得出的，因此，這些識別系統的識別率及個人信息保護性能、安全性能標準都是不一樣的和不統一的，導致用戶在使用這些系統時可能達不到所標稱的識別效果和安全風險要求，被識別對象也經常對識別系統的個人生物特征隱私保護產生懷疑，并表示擔心。鑒此，我國應從技術和法律上建立國家統一標準的生物特征測試數據庫及生物特征識別系統性能測試標準，包括識別率及個人信息保護性能、安全性能標準及等級。同時，在法律上授權一批有技術資質的企業或機構執行上述測試和頒發有法律效應的測試證書（包括系統個人信息保護性能、安全性能分級證書）。有了上述國家統一標準和測試機構，不僅可有效落實已有的生物特征隱私法律保護政策和措施，而且也可有效引導統一標準的生物特征識別系統的設計和制造，杜絕虛假性能指標；同時，也方便用戶選擇適用的識別系統。

（三）制定個人信息保護的專門法律規范，并進一步完善個人信息采集處理授權同意機制

具體而言，一是制定個人信息保護專門法律規范。《民法典》“人格權編”采用專章的方式對個人信息與隱私權一并予以保護，并對個人信息的類型、收集、更改或刪除做了初步規定。但這里需要指出的是，《民法典》對個人信息的保護畢竟具有階段性的特征，在大數據背景下難以實現對個人生物特征識別信息權的有效保護。《網絡安全法》 也只是從網絡信息安全的視角對保護個人生物特征數據信息在內的個人信息保護進行規定，帶有一定的局限性，且對何謂“正當”“必要”也沒有做出相應的界定。而《個人信息安全規范》《生物特征識別信息的保護要求（征求意見稿）》畢竟只是技術標準，缺乏法律應有的強制性。鑒此，我國應借鑒德國立法模式，制定個人信息保護方面的專門法律規范。如前所述，美國一些州采取的是“隱私權”的立法保護模式，但隱私權更多的是一種消極的防御性的權利，而個人信息權則是一種集人格利益和財產利益于一體的主動性權利。與此同時，個人生物識別信息的主體不限于信息本身的主體，個人生物識別信息主體可以自主控制或允許數據控制者利用，從而發揮該信息的經濟與社會價值，這是傳統的隱私權觀念所不具備的［10］(P121-123)。故采取個人信息權的立法保護模式，則能夠實現對個人生物特征數據信息在內的個人信息的全面、充分保護。

二是進一步完善個人信息采集處理授權同意機制。具體而言，首先，除了規定個人對生物特征數據信息的收集、使用應當取得個人同意之外，還應當規定收集者、使用者的信息披露義務。因為沒有收集者、使用者的信息披露義務的規定，就難以真正保障和實現個人同意權。尤其針對海量信息在用戶不知情的狀況下收集、用戶與第三方信息處理者關聯缺失的情況，應強化個人信息處理主體的責任意識，加強第三方信息處理機構與用戶之間的聯系，第三方機構應當主動向用戶披露信息處理狀況及提供控制機制［9］(P110)。其次，將對生物識別信息的收集、使用之“正當原則”限制為“基于公共利益”，亦即政府機關或者授權機構可以基于公共利益收集、使用個人生物識別信息。除此之外，不得為非公共利益的目的儲存、處理或利用個人生物識別信息。但與此同時，對個人生物識別信息收集應當采取“比例原則”，如對小區、公園采取單一的“人臉識別”方式就應當予以禁止。

三是對個人生物識別信息的處理應當作出嚴格限制。如任何單位或者個人非經許可不得向他人轉讓個人生物識別信息，尤其是禁止以營利為目的向任何機構有償轉讓個人生物識別信息。當然，這需要政府依法加強對生物識別信息收集、使用、存儲、處理等全方位的監管，并嚴格追究違法行為人的法律責任。

四、結語

生物特征數據具有不可更換性，一旦泄露，就是終身泄露。當前生物特征識別技術主要面臨個人信息被盜竊、泄露、濫用及系統被侵入兩大安全風險。生物特征數據被泄露和濫用勢必嚴重危及公眾的人身與財產安全。為此，我國《民法典》單設“隱私權和個人信息保護”章節，確立了個人信息采集處理授權同意機制；國家市場監管總局和國家質檢總局分別出臺了《個人信息安全規范》以及《生物特征識別信息的保護要求（征求意見稿）》等國家標準，對生物特征識別的特征采集、提取、存儲、比對等方面進行規制，一定程度上保護了生物特征安全。但是，由于生物特征識別系統的復雜性和多樣性，不同生物特征識別系統的安全性能和個人信息保護性能差異較大；同時，普通被識別人對生物特征識別系統的安全性能和個人信息保護性能根本不了解，導致以同意機制為基礎的個人信息法律保護框架難以落實而顯得十分無力。為了解決上述問題，本文從技術和法律上對生物特征識別系統的安全性能和個人信息保護性能分級規制，讓待識別人宏觀上了解生物特征識別系統的安全性能和隱私保護性能，以便落實以同意機制為基礎的個人信息法律保護措施。這樣的分級規制，不僅可以促使系統制造商按市場規律提升識別系統的安全性能和個人信息保護性能，還能夠厘清識別系統制造商與識別系統的使用者在系統的安全和個人信息保護方面應承擔的法律責任。與此同時，本文還建議制定包括生物識別信息在內的個人信息保護專門法律規范，進一步完善授權同意機制。

注釋：

①《生物特征識別信息的保護要求（征求意見稿）》第4.1節“生物特征識別系統概述”，第5.1.1節“保密性”以及第5.2.1節“系統組件安全威脅與措施”。

②《信息安全技術個人信息安全規范》（GB/T 35273-2020）第9.2節“個人信息共享、轉讓”以及第6.3節“個人敏感信息的傳輸和存儲”。

③《刷臉登錄要小心，315晚會警示人臉識別存在安全漏洞》，載驅動中國網，2017年3月16日，https://mobile.qudong.com/article/399247.shtml。

④Jeff John Roberts，Airport and Payment Facial Recognition Systems Fooled by Masks and Photos,Raising Security Concerns，2019.12.12。

⑤《廈門銀行APP遭“00后”黑客非法入侵 建行手機APP也中招》,新浪財經網，2020年3月6日,http://finance.sina.com.cn/jinrong/law/2020-03-06/doc-iimxxstf7000262.shtml。

⑥Illinois Biometric Information Privacy Act,740 ILCS 14/1 (2008)。