个人生物识别信息的保护与监管路径
个人生物识别信息技术在诸多领域得到广泛的应用,有关个人生物识别信息的收集、储存、利用等已经发展成为一个庞大的产业。一方面,法律要保护生物识别信息主体的人格尊严和自由,保障其追求人格完整和发展的自主能力,避免个人生物识别信息的泄露或非法使用危害信息主体的人格尊严和自由价值。个人作为目的性的存在,只有消除个人对“信息化形象”被他人操控的疑虑和恐慌,才能有自尊并受到他人尊重地生存与生活。另一方面,个人生物识别信息包含巨大的经济价值,可以被进行大规模的处理与应用。法律要适应技术进步与经济发展,平衡个人生物识别信息主体隐私、利用期待与控制者的数据利用和管理的需要。从现实生活看,对于个人生物识别信息的收集、利用等大体可以分为三个方面:一是政府或者政府授权机构基于社会公共安全的需要收集与利用个人生物识别信息,典型的情形如机场、高铁等领域在实施安检时使用人脸识别系统;二是商业组织如银行、电子支付平台(支付宝、微信等)等对于交易主体的生物识别信息进行收集和利用;三是特定的机构基于管理的需要对个人生物识别信息的收集和利用。例如学校、公园等机构要求进入内部空间时使用“人脸识别系统”。上述情形可以划分为基于公共利益的需要与基于商业利益的需要而收集、使用个人生物识别信息两种类型。
基于公共利益收集和利用个人生物识别信息及其限度
在个人生物识别信息保护领域,国家扮演着多重角色。对于个人生物识别信息的商业化利用而言,国家大体上处于超然于个人生物识别信息主体与信息控制者双方利益的中立地位,其以社会管理者身份通过制定法律和实施法律调和信息主体的信息归属、信息自决权与信息控制者的数据利用、数据财产利益之间的矛盾。从现实情况来看,为了公共利益的需要,国家实际上已经成为个人生物识别信息最大的收集、处理、储存和利用者,其本身是作为生物识别信息独立的利益相关者而出现的。相应地,国家就从个人生物识别信息商业化利用中的中立地位转变为兼具信息利用者和管理者的双重身份角色。国家对个人生物识别信息的收集与利用可以极大地发挥个人生物识别信息的价值,从而有效地保障公共安全与社会公共利益。但是正如前文所述,个人生物识别信息的应用有重大安全风险,因此政府机关或授权机构在收集个人生物识别信息时必须基于公共利益的要求并遵循法定程序,符合比例原则下目的性、必要性和比例性的要求,兼顾收集目标的实现和保护信息主体的权益。《民法典》第1035条规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。
政府机关或者授权的机构在收集、处理、利用个人生物识别信息时应当遵循以下具体规则:一是收集主体必须有明确的法律依据或者经明确的授权。政府机关或相关机构对于个人生物识别信息的收集必须具有法定的依据和授权事项,并明确告知相对人该法律依据和授权事项以及不提供个人生物识别信息的法律后果。政府机关或授权机构不得超越职权收集个人生物识别信息。二是政府机关或者授权机构不得为公共利益之外的目的利用个人生物识别信息。为维护国家安全和公共安全,政府机关可以利用个人生物识别信息。例如,公安机关或税务机关可以在刑事侦查、追查税款等特定情形之下进行个人生物识别信息比对。但是在此之外,不得为非公共利益的目的储存、处理或利用个人生物识别信息。为支持学术研究,授权机构也可以利用个人生物识别信息,但是须无害于个体的人格利益,相关研究人员或机构应当对使用的个人生物识别信息采取妥善的保护措施。三是个人生物识别信息处分要严格限制。政府机关或授权机构非经许可不得向他人转让个人生物识别信息,尤其是禁止以营利为目的向任何机构有偿转让个人生物识别信息。由于信息技术日益发达,政府部门之间共享政府数据,或者政府部门与商业公司之间互相共享数据越来越常见。例如,在新冠肺炎疫情期间,腾讯、阿里巴巴等商业机构通过自己的数据与技术给疫情防控提供了大量的数据(其中包括人脸识别、指纹等数据)。这其中既包括政府授权平台公司利用自己的技术优势直接参与防控,也包括它们对已有数据的加工和处理。通过对政府数据与社会数据的共享和充分发掘,可以准确识别个人的行动轨迹、个人的感染情况以及相关密切接触者的健康状况,充分发挥数字化防控的最大效能。为避免泄露个人生物识别信息,有必要构建一套统一的、法定的数据交换标准,形成规范的数据格式,在公开时要去标识化处理,并选择恰当的方式和范围。
非基于公共利益收集和利用个人生物识别信息的保护和监管
近年来,商业公司或特定机构对个人生物识别信息的收集和利用有愈演愈烈的趋势。商业公司或特定机构对于个人生物识别信息的收集和利用通常并非基于公共利益的目的。为保护个人生物识别信息,必须在立法、司法以及行政层面加强相应的监管,
个人生物识别信息的商业利用取决于信息控制者与生物识别信息主体之间的权利义务配置。个人生物识别信息的利用主要涉及信息的收集、信息的储存、信息的加工和处理以及信息的使用,每一个过程都可能涉及到信息的隐私化和隐私的信息化。过度限制生物识别信息的利用会影响人们通过信息造福社会。法律规范应当妥当平衡个人生物识别信息利益的保护与个人生物识别信息资源有效利用之间的关系。学校、公园等基于自身管理的需要采用生物识别信息系统,虽名为“公共安全的需要”,但是显然不符合比例原则的要求,这些单位通常无权收集和利用个人生物识别信息。
商业公司或特定机构在收集和利用个人生物识别信息时,应在技术标准、制度规范、法律约束等各个方面适用严格的条件和程序。具体来说:一是商业公司或特定机构在收集和利用个人生物识别信息前须向个体进行充分的告知,获取个体的明示同意。二是商业公司或特定机构公开处理个人生物识别信息的规定,明示处理个人生物识别信息的目的、方式和范围,不得超出规定的目的收集、处理、利用个人生物识别信息,必要情况下的目的变更应当有法律的许可或取得个体的明确同意。三是商业公司或特定机构应妥善保管个人生物识别信息,相关收集、储存、使用、加工、传输、提供、公开应当严格遵循法律、行政法规的规定。
(作者为武汉大学法学院教授、博导,武汉大学网络治理研究院研究员)
【参考文献】
①张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》,2015年第3期。
②李永军:《论〈民法总则〉中个人隐私与信息“二元制”保护及请求权基础》,《浙江工商大学学报》,2017年第3期。
③许可:《数据保护的三重进路——评新浪微博诉脉脉不正当竞争案》,《上海大学学报(社会科学版)》,2017年第6期。
④叶名怡:《个人信息的侵权法保护》,《法学研究》,2018年第4期。
⑤胡文涛:《我国个人敏感信息界定之构想》,《中国法学》,2018年第5期。
⑥陈宗波:《我国生物信息安全法律规制》,《社会科学家》,2019年第1期。
⑦高富平:《论个人信息保护的目的——以个人信息保护法益区分为核心》,《法商研究》,2019年第1期。
责编/于洪清 美编/杨玲玲
声明:本文为人民论坛杂志社原创内容,任何单位或个人转载请回复本微信号获得授权,转载时务必标明来源及作者,否则追究法律责任。
