生物識別技術法律規制的域外經驗

生物識別技術是一種利用人體生理特征進行身份驗證的技術。該技術因其準確性和便捷性，已被廣泛應用于個人身份識別、訪問控制和安全認證等領域，推動了相關產業的創新發展。然而，由于人類面部特征、虹膜、指紋、聲紋等信息能夠精準識別到個人，其屬于具有高度敏感性的個人信息，一旦泄露將引發個人隱私乃至人身、財產安全方面的危險。基于平衡技術發展、保護個人信息以及維護社會公共安全的考慮，近年來多個國家和地區出臺了相應的治理規范和措施，以促進生物識別技術研發和應用的規范化。

歐盟：突出特殊數據保護和識別技術規制

歐盟高度重視個人數據安全，通過制定統一立法實現歐盟境內個人數據的高水平保護。除了對個人數據本身保護的強調以外，歐盟還在特定場景中對生物識別技術的開發和使用進行系統和嚴格的規制。

2018年5月，被譽為“史上最嚴”數據保護立法的歐盟《通用數據保護條例》（GDPR）生效。首先，GDPR將個人生物識別數據歸入“特殊類別數據”，并對此類數據的處理設定了嚴格條件。根據GDPR規定，用于識別自然人的基因數據、生物識別數據、健康數據原則上應被禁止處理，僅在符合個人明確同意、涉及雇傭關系和社會安全事務所必須、實現重大公共利益所必須、公共健康領域所必要、涉訴訟等司法原因、為保護數據主體重大利益、非營利性數據處理等條件之一時，數據控制者方可進行數據處理。其次，GDPR針對大規模處理特殊類別數據提出了更高要求。GDPR要求數據控制者在處理大規模數據之前，必須進行數據保護影響評估，應指定一名數據保護官對企業等組織的數據合規工作進行監督和提供咨詢意見。歐盟上述規定為個人生物識別數據等特殊類別數據的處理活動提供了全面的立法保障。

隨著新一代人工智能技術的快速發展和廣泛應用，生物識別技術在人工智能模型中的使用愈加復雜多元，其中對生物識別技術的濫用風險也值得警惕。歐盟于2024年3月通過了《人工智能法案》，其基于風險分類方法將人工智能安全風險劃分為不可接受的風險、高風險、有限風險、最小風險4類，據此實行分類分級監管。例如，在公共空間通過自動化處理個人生物數據用以實時識別或驗證自然人身份的技術，被歸為“不可接受的風險”，僅在個別情形中可以使用。又如，通過分析個人面部表情、語音語調、身體語言等生物特征來推斷其情感狀態的生物鑒別技術，被歸為“高風險人工智能”，對該技術的使用須滿足建立風險管理系統、編制相關技術文件、保存使用日志等一系列要求，以減少可能造成的社會歧視和偏見。在此背景下，“AI+生物識別技術”引發的社會信任危機和倫理風險得以有效控制，有助于打造更加負責任的人工智能。

美國：聯邦或州級專項立法

美國是較早通過專門立法進行生物識別技術治理的國家。在尚無聯邦立法的背景下，美國各州便通過立法防止技術濫用、保護個人對其生物識別信息享有的合法權益，為規范此類技術的研發與應用作出有益探索。在此基礎上，美國在吸收地方立法的經驗基礎上推動聯邦層面立法，使生物識別技術治理邁向更高水準。

2008年伊利諾伊州便出臺《生物識別信息隱私法》（BIPA），這也是美國第一部全面規范生物識別信息使用的州級法律，其要求作為信息持有者、處理者的企業等私營實體采取嚴格的保護措施，確保生物識別信息安全。企業須履行重要文件披露義務。BIPA要求持有生物識別信息的企業必須制定書面政策，向社會公開信息的留存時間表并在信息收集目的實現后或者與信息主體最后一次互動后的3年內永久銷毀相關信息文件。企業應采取有效措施維護生物識別信息安全。BIPA規定了企業在獲取個人生物識別信息時應履行“告知—同意”義務并不得從個人或客戶的生物識別信息中獲利，原則上也不得傳播這些信息。企業對生物識別信息的保護應達到行業合理標準，保護措施應與其他機密和敏感信息相當。受害者有權向法院提起訴訟并享有損害賠償等法律救濟。該州法院在2019年“Rosenbach v.Six Flags”一案判決中指出，只要企業違反了BIPA規定，即使個人未遭受實際損害，仍有權提起訴訟。該案擴大了BIPA的適用范圍，個人尋求法律救濟的門檻也大為降低。在BIPA出臺以后，美國得克薩斯、華盛頓、加利福尼亞等州也先后制定了相關法規，為生物識別信息的法律保護積累了豐富的立法經驗。

基于平衡技術發展、保護個人信息以及維護社會公共安全的考慮，近年來多個國家和地區出臺了相應的治理規范和措施，以促進生物識別技術研發和應用的規范化。

2020年8月，美國《國家生物識別信息隱私法》（NBIPA）出臺，從聯邦層面正式建立起規范生物識別技術的法律框架。該法在吸收伊利諾伊州BIPA核心內容的基礎上，豐富了生物識別信息保護的內涵。其一，生物識別信息的收集更為嚴格。NBIPA規定了企業收集相關信息，應以為信息主體提供服務為必要，或者須存在其他有效業務目的。其二，生物識別信息的披露需遵循更高的透明度要求。NBIPA要求企業在披露信息前，須從信息主體處獲得一份書面許可，包括擬披露的信息、披露信息的原因以及信息接受者。其三，對個人知情權的規定更加細致。如果信息主體提出要求，企業應向其免費披露前12個月內收集的與此人有關的任何信息，進而確保人們對信息處理過程的必要了解，減少因信息不對稱引起的疑慮和不信任，助力生物識別技術向善發展。

新加坡：以軟法引導企業

在規范生物識別數據使用的法治實踐中，新加坡的做法也具前瞻性和落地性，其在嚴格實施《個人數據保護法》（PDPA）等法律法規的同時，通過發布一系列更具實操性和可讀性的指南文件，引導幫助數字平臺企業等數據處理者更好地開展合規工作，從而規避侵犯用戶個人信息的風險。

新加坡個人數據保護委員會和新加坡安全協會于2022年5月發布了《在安全應用中負責任使用生物識別數據指南》，指導各類企業和組織機構履行PDPA規定的義務。該指南一是梳理了生物識別數據使用帶來的三種獨特風險，即身份欺騙、識別錯誤、生物識別模板的系統性風險，針對組織機構如何應對這些風險提出了建議舉措；二是通過圖表、舉例說明等形式，對PDPA法定義務如何適用于生物識別數據領域作出深入淺出的解讀；三是在附錄中提供了組織機構部署監控攝像頭、訪問控制系統的實用指南，幫助企業在生物識別技術應用實操中符合相關法定要求。此外，2024年3月新加坡個人數據保護委員會發布了《關于在人工智能推薦和決策系統中使用個人數據的咨詢指南》。該指南雖并非針對生物識別數據處理的專門指引，但其部分內容也為人工智能系統中的生物識別數據處理提供了合規建議。例如，該文件指出，在人工智能系統開發過程中，如果必須使用人臉圖像等原始個人數據且無法進行匿名化處理，建議組織機構進行數據保護影響評估且數據保護標準不應低于個人數據處理系統的通常保護標準。綜上，新加坡在制定實施法律規范的同時，又通過合規指南文件等軟法措施引導生物識別技術的規范化應用，在產業技術治理中彰顯出了較強的彈性和靈活性。

〔王鐳系華東政法大學智能法學科特聘副研究員、碩士生導師，互聯網法治研究院（杭州）研究員，上海市法學會網絡治理與數據信息法學會研究會副秘書長〕

編輯：沈析宇" " 175556274@qq.com