为个人生物识别信息打造法律保护盾

    【摘要】个人生物识别信息属于个人信息的范畴，但又具有收集上的不可控性与不可更改性等特点。因此，在加强个人信息保护的总体趋势下，应当特别关注个人生物识别信息的收集与处理。要通过专门立法加以规范，避免非法收集和处理生物识别信息的行为，以免给广大人民群众的人身、财产安全乃至国家安全造成威胁甚至损害。

    【关键词】个人信息 生物识别信息 法律保护 【中图分类号】D92 【文献标识码】A

    个人生物识别信息，也称生物识别信息，简单地说，就是可以直接或间接识别特定自然人的，以自然人的生理特性与行为特征为内容的信息，如自然人的脸部特征、指纹、虹膜、声音、基因、步态、笔迹等。个人生物识别信息与自然人的姓名、出生日期、身份证件号码等信息同属于个人信息。在现代社会，个人信息的收集与处理对于网络信息科技尤其是人工智能、大数据技术的发展，乃至整个数字经济的健康发展，至关重要。要在确保信息流动与合理利用的同时，有效地加强个人信息保护。

    现代社会中收集与处理个人信息的特点及其风险

    现代社会是信息社会、网络时代。网络信息科技的发展，使得能够被收集的个人信息越来越广泛。除了姓名、身份证号码、家庭地址、电话号码等传统的个人信息之外，个人生物识别信息（如指纹、人脸、虹膜等）、行踪信息、网络账号等新型的个人信息也越来越多地被收集和处理。甚至一些其本身不足以识别特定自然人的信息，如爱好、习惯、兴趣、性别、年龄、职业等，由于算法技术的发展，将之与其他信息结合后也能识别出特定的自然人，故此这些信息也成为非常重要的个人信息而被收集和处理。

    不仅如此，现代社会收集与处理个人信息的方式也发生了巨大的变化。以往对个人信息的收集方式是由自然人主动提交，政府、企业等主体收集后手工记载在纸质文档或录入电子档案中加以存储。这种情形中，不仅信息收集的效率、数量和范围有限，而且由于缺乏相应的算法技术与足够的算力，也难以对其进行高效地分析利用。然而，现代网络信息技术已将现代社会生活高度数字化（或数据化），无处不在的摄像头、Cookie技术和各种传感器可以自动地收集与存储个人信息。这种个人信息被大规模、自动化地收集和存储的情形变得越来越普遍，几乎无处不在、无时不在。

    每天通过各种自动化技术收集来的无数自然人的个人信息汇集成为海量的个人数据。飞速发展的人工智能技术也使得对海量数据的分析与使用变得更加简便高效且用途越来越广泛。因此，个人信息被滥用的可能性被极大地增加了，由此产生的侵害自然人民事权益的风险也不断升高。例如，各种网络平台通过分析和利用海量的个人信息，对目标群体做人格画像，实施精准营销，甚至行为操纵，可能严重危害自然人的人格尊严，妨害人格的自由发展。更严重的是，对于包含个人生物信息等敏感信息在内的海量数据，如果保管不善而被泄露甚至被非法出售或利用，就会出现犯罪分子利用这些非法取得的个人信息对受害人进行精准诈骗或者实施其他违法犯罪行为的问题。

    我国法律对个人信息收集与处理的规范

    在我国，包括生物识别信息在内的个人信息的法律保护经历了一个“从无到有”，“从刑法保护为主到公法与私法并重”的发展历程。2005年十届全国人大常委会第十四次会议通过的《中华人民共和国刑法修正案（五）》中增设的“窃取、收买、非法提供信用卡信息罪”（第177条之一第2款），是我国法律上第一个关于侵害公民个人信息犯罪的法律规定。2009年十一届全国人大常委会第七次会议审议通过的《中华人民共和国刑法修正案（七）》新增第253条之一，首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为情节严重的规定为犯罪行为，进而纳入刑事打击的范围。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》对网络服务提供者和其他企业事业单位、国家机关及其工作人员在收集、使用、保管公民个人电子信息中应当遵循的原则、承担的义务及法律责任作出了具体的规定。在此基础上，2017年6月1日起施行的《中华人民共和国网络安全法》第76条第5项明确地界定了个人信息的涵义，并首次明确地将生物识别信息纳入个人信息当中，给予相应的保护。

    2013年十二届全国人大常委会第二次会议修订《中华人民共和国消费者权益保护法》时，在原第14条中新增了消费者“享有个人信息依法得到保护的权利”，并在第50条就侵害该权利的民事责任作出了规定。这是我国法律首次从民事权利的角度对个人信息作出的规定。2017年10月1日起施行的《中华人民共和国民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”此外，该法第127条还规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”

    2020年5月28日第十三届全国人民代表大会第三次会议通过的《中华人民共和国民法典》（以下简称《民法典》）对个人信息保护作出了详细的规定。《民法典》第1034条第2款在界定个人信息时，明确地将“生物识别信息”作为个人信息的一类。《民法典》第四编“人格权”不仅在第一章“一般规定”和第五章“名誉权和荣誉权”中分别就个人信息的合理使用（第999条）以及信用信息的更正、删除和处理（第1029-1030条）等作出了规定，还专门在第六章“隐私权与个人信息保护”中，使用六个条文（第1034条至第1039条），对个人信息处理的涵义、私密信息的法律适用、个人信息处理的原则与合法性要件、侵害个人信息的免责事由、个人信息权益的具体内容、保护个人信息安全的义务以及国家机关、承担行政职能的法定机构及其工作人员对个人信息的保密义务等重大基本问题作出了详细的规定。

    总的来说，就当前社会公众高度关注的个人生物识别信息的保护而言，我国《民法典》提供了多重保护方法：一是对于自然人的脸部特征等在一定载体上所反映的特定自然人可以被识别的外部形象，因其属于肖像，故此受到作为人格权的肖像权的保护（第1018条）。任何组织或者个人不得以丑化、污损，或者利用信息技术手段伪造等方式侵害他人的肖像权，未经肖像权人同意，任何组织或者个人不得非法制作、使用、公开肖像权人的肖像（第1019条）。二是如果对自然人人脸等生物识别信息的采集的是偷拍偷录等方式，则该行为构成侵害隐私权。《民法典》第1033条明确禁止任何组织或者个人在未经权利人的明确同意或者法律另有规定的情形下，拍摄、窥视、窃听、公开他人的私密活动，拍摄、窥视他人身体的私密部位，处理他人的私密信息。三是对自然人的声音，明确规定应参照适用肖像权保护的有关规定给予保护（第1023条第2款）。四是对于生物识别信息，如果属于私密信息的，则适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定（第1034条第3款）。依据《民法典》第1035条和第1036条，任何组织或者个人处理自然人的个人信息，应当遵循合法、正当、必要原则，做到既合法又合理。所谓合法，就是指要征得该自然人或者其监护人同意，同时要公开处理信息的规则，明示处理信息的目的、方式和范围，且不违反法律、行政法规的规定和双方的约定。所谓合理，就是指即便合法处理个人信息的行为也必须是合理实施的行为，符合比例原则的要求。《民法典》第1035条第2款还明确规定了个人信息处理的涵义，即包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

    法律应当严格保护个人生物识别信息

    虽然个人生物识别信息属于个人信息，但其又具有不同于其他个人信息的特殊之处，这就决定了法律应当更加严格地保护个人生物识别信息。这个特点就是人脸等生物识别信息具有唯一性，无法或很难更改。自然人的姓名、手机号码、邮箱账号、银行账号等个人信息，比较容易进行更改，但是，个人生物识别信息要更改，则非常困难。比如，要改变一个人的脸部特征，就只能进行整容（即便整容，脸部大部分特征仍会被机器识别）。不仅如此，很多生物识别信息如指纹、掌纹、虹膜、基因信息等，则几乎不可能更改。这就意味着，个人生物识别信息一旦被非法收集、泄露或者被非法买卖之后，不仅对于自然人的人身、财产安全会产生很大的威胁或不可预测的损害，而且自然人也无法像修改手机号码、邮箱或银行账号等那样来预防后续损害的发生。因此，个人生物识别信息的泄露和非法买卖所产生的危险是持续、长久、难以消除的。不仅如此，个人的生物识别信息还涉及到国家安全，如果我国公民的个人生物识别信息被大规模收集并提供给敌对势力，势必会对我国的国家安全产生严重的危害。故此，个人生物识别信息即便是被合法收集的，有关组织或个人对之也要采取高度的注意义务加以保管，以防止被泄露或被非法处理，否则，由此造成的恶果不堪设想。

    除了唯一性之外，个人生物识别信息中人脸信息还具有一个特殊性，即不需要经过自然人主动配合就可以被收集。人脸之外的其他生物识别信息必须得到自然人的同意并配合才能收集，而在网络上收集个人信息也需要得到自然人的同意。只要自然人不去下载安装相应的软件或给予同意，其个人信息往往就无法被自行收集。故此，对于这些个人信息加以保护的一个重要方法就是，通过确立告知同意规则，要求信息收集者必须得到被收集个人信息的自然人同意，就可以在很大程度上保护个人信息。例如，要求通过APP收集个人信息的网络服务提供者，必须在软件程序中嵌入收集个人信息的告知同意程序，有关监管机构不定期的抽查、测评相应的APP，就能够相当程度上预防个人信息被非法收集，从源头上遏制违法收集、处理个人信息的行为。然而，对于人脸这一生物识别信息的收集而言，遍布大街小巷、商场、银行等机关企事业单位的各式各样、大大小小的摄像头，完全可以不经过自然人的同意对之进行录像拍摄。这种收集还具有极大的隐秘性，自然人可能完全不知道其人脸信息在何时何地被何种主体所收集。现代社会中，一个自然人只要出门，这些信息就可能会被不断地收集。

    既然不需要自然人的配合，人脸信息就能够被收集，因此《民法典》《中华人民共和国网络安全法》等法律规定的告知同意原则实际上就无法落实。此时，势必要求法律对于哪些组织或者个人，在哪些场合可以收集人脸等生物识别信息作出明确的规定，并明确禁止任何单位或个人随意收集个人生物识别信息。令人遗憾的是，我国目前并无专门的法律对此作出规定。只有北京、山西等少数地方的政府规章就公共安全图像信息采集的问题作出了规定。例如，北京市人民政府颁布的《北京市公共安全图像信息系统管理办法》规定了党政机关等重要单位，人员聚集的公共场所，重要交通枢纽，重要城市基础设施以及国家法律、法规规定的其他地点和区域等五类单位和区域应当安装公共安全图像信息系统。该办法还规定，设置公共安全图像信息系统，不得侵犯公民个人隐私；对涉及公民个人隐私的图像信息，应当采取保密措施。正是由于缺乏明确的法律规定，实践中各种收集处理人脸等生物识别信息的行为屡见不鲜。例如，有些高校在建设所谓“智慧校园”“智慧课堂”的时候，引入人脸识别、大数据采集，不仅校门、图书馆等安装了新的人脸识别门禁，教室内也装上了用于考勤的人脸识别系统，学生发呆、玩手机都能被感知到。这也引发了不少质疑。

    综上所述，在当前我国加强对个人信息保护的背景下，无论从立法、执法还是司法的角度，都应当高度重视对个人生物识别信息的规范与保护。当前我国正在抓紧制定个人信息保护法、数据安全法，故此，非常有必要在这些法律以及将来配套的法规规章中对个人生物识别信息的收集、处理作出非常严格的规范。否则，不仅无法保证数字经济的健康发展，还会对广大人民群众人身、财产安全乃至国家安全产生巨大的危害。

    （作者为清华大学法学院副院长、教授、博导，教育部长江学者青年学者）

    【注：本文系国家社科基金重大项目“大数据时代个人数据保护与数据权利体系研究”（项目批准号：18ZDA146）的阶段性成果】