生物识别信息的法律适用要坚持科技向善,平衡好个体权利与公共利益之间的关系,只有确保个人利益和公共利益的平衡,才是数字时代生物识别信息保护和利用应当坚持的基本原则。
近年来,随着互联网、大数据、人工智能等新型科学技术的快速发展,“刷脸支付”“刷脸乘车”“指纹签到”等生物识别信息技术广泛应用到人们工作生活之中,但这种技术在带给人们工作生活便利的同时,也引发了一些民众的担忧。实际上,“刷脸支付与验证”等生物识别信息应用除可以解决人身识别与验证外,还包括探测、归类和追踪等。
20世纪40年代,美国人发明声谱仪,人身同一性的识别增加了以声音的频率、强度和时间参数来认定说话者身份的情形,提出“声纹”概念,从而引发新的法庭技术——声纹鉴定出现。此后,DNA鉴定技术将生物特征信息识别推向。进入数字时代,随着人工智能、区块链等技术日益走进人们的工作生活,使得数字化的人身同一性认定规则逐渐影响甚至替代传统的物证规则,特别是以深度学习技术为代表的大数据技术和算法模型,使得机器识别生物信息的能力更加突出。比如:2022年北京公交集团开始为高速路、跨省运营驾驶员配发多体征情绪感知设备,实时监测驾驶员生命体征和精神压力变化。实践中生物识别信息与数据易被不法分子利用,侵害公民人格尊严、自主决定权。因此,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保》从不同角度对生物信息、生物数据、个人信息处理等进行规制,构成了生物识别信息法律保护机制,但实践中还存在一些争议。
第一,什么是生物识别信息,实务界与理论界目前没有形成共识。一种观点认为,生物识别信息是依托特定的数据处理场景产生的、能够识别或者验证主体身份的生物信息。比如,欧盟的《通用数据保护条例》第四条规定,生物识别信息为基于特定技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够帮助或实现对自然人的唯一性识别。另一种观点认为,反映身体特征的信息即为生物识别信息,如视网膜、指纹、声纹 、掌纹、DNA或者人脸。目前,我国现有法律未对此进行统一。比如:《中华人民共和国民法典》第一千零三十四条第二款使用的是“生物识别信息”,《中华人民共和国网络安全法》第七十六条第五项使用的是“个人生物识别信息”,《中华人民共和国反恐怖主义法》第五十条则称为“生物识别信息”,《中华人民共和国个人信息保》第二十八条采取了和民法典一致的表述,称为生物识别信息,并将其作为敏感个人信息的一种类型予以保护,但相关立法未就生物识别信息的法律概念给出明确定义。司法实践中,2021年最高人民法院发布的典型案例“郭兵诉杭州野生动物世界有限公司服务合同纠纷案”中,法官认为生物识别信息“深度体现自然人的生理和行为特征,具备较强的人格属性”。判决书对该案中所涉及的指纹信息和面部特征信息是否归属于生物识别信息并无专门论述,而是直接根据《信息安全技术 个人信息安全规范》(GB/T 35273-2020)明确的列举事项将其纳入生物识别信息的范畴。实际上,生物识别信息作为一个与生物技术紧密相关的法律概念,承载着维护生物信息安全与信息主体权利保护的立法目的,更决定着生物信息受保护的范围。
第二,生物识别信息是个人信息保护领域的重要法律概念,因关涉个人独特的生物特征而往往被认定为特殊种类的个人信息——在我国被归入敏感个人信息。但现行法没有明确一般个人信息和敏感个人信息的关系,且各法律之间衔接不够,这使得实践中存在适用一般个人信息保护规则,还是适用敏感个人信息的特殊保护规则的不同认识。有的以民法典第一千零三十四条为依据认为,生物识别信息是一般个人信息的一种类型;有的以个人信息保第二十八条为依据认为,生物识别信息是敏感个人信息的一种子类型;有的以司法裁判为例,将生物识别信息整体视为敏感个人信息,即敏感个人信息包括全部生物识别信息。因此,有学者认为,这产生了两个问题,即“生物识别信息是属于一般个人信息的子类型”与“生物识别信息是敏感个人信息的子类型”两个分类,对这一问题的不同认知直接决定了法律适用的不同。这是因为在实定法层面相比一般信息都对敏感个人信息设置了更严格的信息处理规则。根据个人信息保第二十八条的规定,我国原则上禁止处理敏感个人信息,例外是满足该法第二款规定的“具有特定的目的+充分的必要性+采取严格的保护措施”的情形下方可处理。对涉及个人敏感领域的生物识别信息,信息处理者应承担更强的保护义务,需在严格遵循告知同意原则下收集处理个人生物识别信息,并仅在事先确定的使用范围内处理相关信息,生物识别信息的保护比其他敏感信息更加严格。
第三,信息被识别是生物识别信息界定的关键因素。目前,我们对生物识别信息的识别标准存在不同认识。如果识别标准过于宽松则趋向于强调对个人生物识别信息的利用、淡化信息处理者的义务或者忽视监管者的责任,则可能诱发信息滥用风险。但是,如果识别标准过于严格则有片面强调对个人生物识别信息的保护之嫌,则会妨碍信息正常流通。域外有司法判例认为,即便特定的信息主体并未被识别,但只要相关生物信息被用于面部识别软件系统,则仍可认定是对生物标识符的信息处理。而欧盟的《人工智能法案》则禁止使用生物识别技术,禁止根据生物识别数据进行分类或推断种族、观点、信仰等。从现有规范中关于生物识别信息的列举事项看,我国对信息的识别标准采取的是以自然人的生物特征或“行为特征+算法”的动态标准,且强调生物识别信息是直接识别的已识别信息,信息所涉及的生物特征是信息主体的唯一标识符,无需再借助其他生物特征信息或额外信息即能够识别或者验证信息主体。
人工智能在给人类生产生活带来更高效率的同时,也潜藏着信息传播失序、数据滥用、算法歧视、新型技术控制等风险,应从技术与法规两方面加以应对。如何“化危为机”,引导科学技术“向善而为、可信而做”,实现“科技向善”“善用善治”,值得深入探讨。
制定生物识别信息应用标准需要法律与技术共同发力。法律应明确相关规则,在生物识别信息保护和规制方面,应理顺生物识别信息的内涵、外延及定位。首先,生物识别信息不同于生物特征信息,生物特征信息不强调身份识别,仅说明信息来源,且范围要广于生物识别信息。其次,生物识别信息作为敏感的个人信息,二者并非全部包含关系,应是交叉重叠关系。即 ,依次为一般个人信息、生物识别信息、敏感个人信息。目前,作为敏感个人信息类型下的生物识别信息概念,在逻辑上是敏感个人信息包括生物识别信息,这限缩了生物识别信息保护的范围。随着生物科技的发展,这一定位可能面临挑战,生物技术的发展与信息场景化使得纳入敏感个人信息的生物识别信息的外延发生变化,以数据来源为标准界定生物信息并适当放宽识别标准成为新的方向,故将生物识别信息定位为特殊的个人信息,其中包括敏感的个人信息和非敏感的个人信息更科学、合理。同时,生物识别信息的保护和规制离不开技术协助。生物识别数据的存储、使用、传输等环节,均需加密、脱敏等相关技术支持。对此,现有的一系列国家标准、行业标准已经明确了数据安全、算法分析在技术层面的规制路径。此外,随着人工智能向“情感智能”的发展,以探测、归类、追踪为典型表现的第二代生物科技多基于对弱生物信息的处理,并以此对信息主体进行画像处理,这应引起大家关注。
新型技术获得认可的关键是能否让一个行业或一个产品的成本大幅下降,从而将用户数与产业规模扩大,产生类似于蒸汽机之于纺织业、智能手机之于互联网业的变革效果。笔者认为,生物识别信息的法律适用要坚持科技向善,平衡好个体权利与公共利益之间的关系。针对生物识别信息的制度设定,仅偏向于对生物识别信息保护与监管而设定严格的保护与监管标准,或者仅强化对个人生物识别信息的利用而淡化信息处理者的义务或忽视监管者的责任,均非正确的选择。坚持科技向善确保个人利益和公共利益的平衡,才是数字时代生物识别信息保护和利用应当坚持的基本原则。