◇商希雪

引 言

2020年10月21日，全國人大法工委發(fā)布的《個人信息保護法（征求意見稿）》第27條專門針對公共場所采集個人圖像和個人身份特征信息做出了規(guī)定，要求識別設(shè)備的安裝目的以及獲取信息后的使用目的僅可服務(wù)于維護公共安全的目標，由此間接禁止了公共場所收集或使用生物識別信息進行商業(yè)營利。從當前的立法態(tài)度來看，立法明確地將人臉等生物識別信息排除于個人信息可公開范圍，并嚴格限制在未經(jīng)主體單獨同意情形下公共場所收集與使用人臉信息的范圍及目的。由此，預示著立法對于生物識別信息的特殊制度安排，以及對于公共與商業(yè)使用目的的嚴格界分態(tài)度。比較視野下，對于公民生物識別信息的使用，歐盟第29條工作組（ARTICLE 29 Data Protection Working Party）認為，①GDPR生效之前，歐盟各國的數(shù)據(jù)監(jiān)管機構(gòu)在第29條工作組（現(xiàn)被European Data Protection Board取代）指導框架下工作。必須嚴格區(qū)分出于法律義務(wù)（基于公共目的，如邊界管制等）收集和儲存的生物特征數(shù)據(jù)與為合同目的（基于主體同意）收集和儲存的生物特征數(shù)據(jù)。①ARTICLE 29 Data Protection Working Party, Opinion on Implementing the Council Regulation (EC) No.2252/2004 of 13 December 2004 on standards for security features and biometrics in passports and travel documents issued by Member States, Official Journal L 385 , 29/12/2004 p.1- 6, Adopted on 30 September 2005.本文認可該思路，公共使用方式是公民私權(quán)自治范疇外的除外規(guī)定，宜適用強制性法律規(guī)范，當局政府機關(guān)履行的是國家義務(wù)和社會責任。而商業(yè)應(yīng)用方式，則需要消費者與商家形成合意的使用規(guī)則，個人在生物識別信息的交付、處理與使用上享有充分的自決權(quán)，同時商業(yè)應(yīng)用也需要強制性規(guī)范作出原則性的禁止規(guī)定，以防范重大的社會風險。基于該使用場景分類，考慮到國家機關(guān)為了公共目的（基于法定義務(wù)）、企業(yè)出于合同目的（基于主體同意）收集和使用生物特征數(shù)據(jù)，因此規(guī)范體系的考量因素和設(shè)計思路存在本質(zhì)區(qū)別。

目前，生物識別信息的公共使用與商業(yè)應(yīng)用均面臨社會公眾的隱私保護質(zhì)疑。從法律適用上分析，生物識別特征、生物識別信息與隱私權(quán)在法律構(gòu)成要件上是否契合？生物識別信息的制度建設(shè)與隱私權(quán)、肖像權(quán)等人格權(quán)保護制度的分歧在于哪些方面？進一步，生物識別信息保護制度可否完全遵循傳統(tǒng)隱私權(quán)保護模式？目前學界關(guān)于個人信息的保護和使用問題已經(jīng)討論得較為充分，鑒于生物識別信息與一般個人信息在識別安全性上的區(qū)分，在個人信息法律保護體系下，生物識別信息的規(guī)范構(gòu)建該如何定位？考慮到生物識別信息的高敏感性，具體規(guī)則該如何設(shè)計？規(guī)范結(jié)構(gòu)上又如何實現(xiàn)與個人信息保護一般制度的兼容與統(tǒng)一？此外，出于維護社會安全的需要，從公共管理角度，是否有必要限制生物識別技術(shù)的私人獲取門檻？以及可否建立規(guī)管生物識別技術(shù)與工具的行政許可制度？

基于上述思考，以下對兩類使用方式進行分別分析：其一，基于公共利益目的，公民生物信息庫用做比對使用是恰當?shù)?，但?shù)據(jù)庫亦存在信息泄露隱患，可能侵害公民的信息安全需求，因此需要對數(shù)據(jù)庫控制者設(shè)置對應(yīng)的安全保障義務(wù)以及對應(yīng)的技術(shù)保護標準。此外，非國家機關(guān)性質(zhì)的私營主體如企業(yè)、學校、酒店、游樂場等，也可能出于單位管理或秩序維護等目的收集與使用員工或顧客的生物信息。該類非直接營利使用行為亦有其合理性，但立法應(yīng)作出特別的規(guī)范和監(jiān)管，包括使用授權(quán)、主體同意、及時刪除等安全保障義務(wù)。其二，在我國目前的規(guī)范體系下，生物識別信息是否仍然存在商業(yè)使用的空間？隨著生物識別技術(shù)在純商業(yè)領(lǐng)域中的普及，生物識別信息如指紋、人臉、視網(wǎng)膜與虹膜掃描廣泛應(yīng)用于多個商業(yè)場景，例如電子支付、智能解鎖、精準醫(yī)療、金融服務(wù)等。然而，生物識別技術(shù)商業(yè)應(yīng)用的法律壁壘在于公民人身與財產(chǎn)上的安全隱患。一方面，生物特征識別技術(shù)的可靠性在不斷增強，信息網(wǎng)絡(luò)中主體身份鑒別系統(tǒng)蘊含巨大的社會管理效益與商業(yè)經(jīng)濟價值，從經(jīng)濟與社會發(fā)展角度來看國家應(yīng)予鼓勵與支持。另一方面，在商業(yè)應(yīng)用場景中生物識別信息與其他個人信息的捆綁與共享愈加緊密，增加了泄露風險。因此，對于生物識別信息的商業(yè)應(yīng)用應(yīng)嚴格限制具體的商業(yè)使用場景與可使用的生物信息類型。

一、人格權(quán)制度視域下審視生物識別信息使用

對于公民特殊的生物識別信息（人臉、聲音），《民法典（人格權(quán)編）》為深度合成技術(shù)的創(chuàng)新應(yīng)用提供了人格權(quán)益保護的依據(jù)，然而并未涉及信息處理者的使用規(guī)范。信息使用是信息保護的發(fā)生前提，個人信息在公共管理或商業(yè)運營中使用的合法性機制是保障信息安全或信息權(quán)利的制度前提，制度設(shè)置主要呈現(xiàn)為要求相對方（信息使用者）作為或不作為的安保責任或協(xié)助義務(wù)。對比來看，人格權(quán)保護制度不以合理使用為保護前提，許可使用人格權(quán)客體極易引起侵權(quán)糾紛，在法律實踐中實則以人格權(quán)被侵害作為現(xiàn)實保護的發(fā)生前提，制度層面呈現(xiàn)消極防御的保護態(tài)度。由此，兩類制度的建設(shè)定位與適用領(lǐng)域存在本質(zhì)的差異。

（一）生物識別特征、生物識別信息與人格權(quán)客體的本質(zhì)界分

生物識別特征、生物識別信息與公民隱私、肖像等人格權(quán)客體的關(guān)系是什么？該問題決定了生物識別信息保護與隱私權(quán)、肖像權(quán)保護制度的契合度，進而在厘清制度結(jié)構(gòu)的基礎(chǔ)上，支撐判斷生物識別信息保護的立法定位以及合適的規(guī)制模式。

1.生物識別特征、生物識別信息與隱私權(quán)客體的界分。

鑒于生物特征數(shù)據(jù)的高度敏感性，各國政府將注意力主要放在生物識別技術(shù)對于個人隱私的威脅方面，因此生物識別信息的保護制度主要采取隱私權(quán)保護模式。隱私權(quán)制度旨在實現(xiàn)個人隱私不被公開或被他人知悉，適用侵權(quán)救濟路徑。侵犯隱私權(quán)的發(fā)生場景主要包括私人利益或私人生活受到侵害的情況，“私人生活”的概念在判例法中得到廣泛的解釋，包括親密情況、敏感或機密信息、可能影響公眾對個人看法的信息，甚至包括個人職業(yè)生活和公共行為的各個方面。然而，是否存在或曾經(jīng)存在對“私人生活”的干擾則取決于每個具體案件的背景和事實。①European Union Agency for Fundamental Rights and Council of Europe, Handbook on European Data Protection Law(2018 edition), Luxembourg: Publications Office of the European Union, 2018, p.20.基于該共識，若生物識別信息納入隱私權(quán)保護范圍：一方面，生物識別信息應(yīng)符合法律定義與司法認定的個人隱私；另一方面，侵犯生物識別信息的法律救濟需符合侵權(quán)責任的構(gòu)成要件。關(guān)于生物信息作為隱私權(quán)客體的定性思路，本文認為，人體的生物識別特征如人臉、指紋、虹膜、步態(tài)等，由于平時暴露在外則并不具備私密性，因此理論上來說不符合個人隱私標準，故難以認定適用隱私權(quán)保護模式。那么，對于被數(shù)據(jù)化記錄與描述的生物識別特征，即生物特征識別信息，是否屬于個人隱私？本文仍然認為答案是否定的。生物識別信息本質(zhì)上是一類特殊的個人敏感信息，界定個人信息要遵循客觀標準，這是一種事實判斷。而對個人隱私的認定則是一種主觀判斷，需要法官在真實案例中結(jié)合具體情況作出自由裁量范圍的判斷。由此看出，侵犯隱私權(quán)的審判標準非常嚴格，而侵犯個人信息的判斷則相對容易。②可對照《個人信息安全規(guī)范》附錄A（個人信息示例）與附錄B（個人敏感信息判定）做出具體判定?；诖耍瑢⑸镒R別信息統(tǒng)一作為人格權(quán)歸類以及侵權(quán)保護模式有待商榷。本文認為，關(guān)于生物識別信息的立法保護定位，首先應(yīng)明確的是：生物識別信息在定性上仍屬于個人信息，而非法律意義上的隱私權(quán)客體，主要適用個人信息保護制度。但是基于生物識別信息的高敏感性，立法需設(shè)置高級別的保護標準。

2.人臉、聲音信息與肖像權(quán)客體的界分。

在民法典各分編中，人格權(quán)編最與時俱進契合時代的發(fā)展。對于AI換臉換聲等技術(shù)新象，《民法典》第1019條規(guī)定：任何組織或者個人不得以丑化、污損或者利用信息技術(shù)手段偽造等方式侵害他人的肖像權(quán)；第1023條第2款則規(guī)定，對自然人聲音的保護，參照適用肖像權(quán)保護的有關(guān)規(guī)定。可以看到，在立法定位上，《民法典》將人臉和聲音等生物特征納入傳統(tǒng)的肖像權(quán)保護制度。作為人格權(quán)的重要組成，肖像權(quán)所維護的利益包括精神利益和財產(chǎn)利益，由精神利益衍生的財產(chǎn)利益是商業(yè)使用個人肖像帶來的應(yīng)然結(jié)果，未經(jīng)許可以營利為目的使用他人肖像侵害了他人的肖像財產(chǎn)利益。③張紅：《以營利為目的”與肖像權(quán)侵權(quán)責任認定——以案例為基礎(chǔ)的實證研究》，《比較法研究》2012年第3期，第63-76頁然而，在法律意義上用于身份識別作用的人臉或聲音信息是否等同于有形的肖像？本文認為兩者概念顯然不在同一法律語境。由人臉提取出的唯一識別性數(shù)據(jù)，其根本功能在于識別特定主體，信息主體被識別后則有權(quán)進行下一步的數(shù)字化操作，其功能目的是數(shù)字化便利。而保護肖像權(quán)本質(zhì)在于維護個人的精神利益，即自然人對自己的外貌享有控制權(quán)與支配權(quán)，進而也能夠以此獲益。兩類使用在功能與目的上存在本質(zhì)區(qū)別，因此本文認為個人肖像與人臉信息、聲音信息是性質(zhì)不同的法律客體。值得注意，對于某一生物識別特征，兩種法律保護制度并非互斥關(guān)系而是在規(guī)范目的上各有側(cè)重，應(yīng)結(jié)合具體發(fā)生場景與使用目的判斷應(yīng)適用的制度規(guī)則。例如，首先判斷在某一使用情景下人臉是作為肖像（外貌展示）還是作為識別特定主體的信息。針對具體的信息糾紛情形，如果個人信息保護規(guī)定與姓名權(quán)、肖像權(quán)、名譽權(quán)等人格權(quán)保護規(guī)定發(fā)生競合時，應(yīng)從目的場景、行為性質(zhì)、損害后果等因素綜合考量應(yīng)適用的制度模式。

（二）生物識別信息公共使用與隱私權(quán)保護的法益衡量

關(guān)于歐美社會對于國家機關(guān)在社會管理中使用生物識別技術(shù)的“被監(jiān)控”憂慮。①See Best-Rowden L, Han H, Otto C, Klare B, Jain AK.Unconstrained face recognition: identifying a person of interest from a media collection.IEEE Trans.Inf.Forensics Secur.9(2014):2144-2157.現(xiàn)實中，任何國家有針對性地進行社會監(jiān)控是事實存在的（例如歐美的反恐機制），主要是出于國家或社會安全目的，②See Barrett D.One surveillance camera for every 11 people in Britain, says CCTV survey.The Telegraph, July 2013; Klontz JC, Jain AK.A case study of automated face recognition: the Boston marathon bombing suspects.IEEE Computer 46(2013): 91-94.國家利益和社會利益處于法律保護位階的首位，超越公民的個體權(quán)益。例如，《歐洲人權(quán)憲章》第8條第2款的規(guī)定顯示出的法益保護順序為：個人權(quán)益（包括隱私權(quán)、隱私生活等）在必要時應(yīng)讓位于公共利益，這是一種基本的法律精神。③European Convention of Human Rights, Art.8(2): “There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security,public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.”公共場所（如車站、機場、邊境等）普遍使用生物識別技術(shù)與收集個人生物識別信息，旨在維護社會公共秩序、提高社會管理效率以及防范可能的社會風險。比如，AI人臉識別技術(shù)可以幫助尋找被拐兒童、查找通緝犯人等。④人臉識別技術(shù)能夠讓人工智能深度學習五官的成長規(guī)律，憑借一張孩子兒時的照片，實現(xiàn)跨年齡識別人臉。這項技術(shù)的應(yīng)用，已協(xié)助警方成功找回了十幾年前被拐賣的孩子。詳見《AI人臉識別技術(shù)|跨年齡人臉識別算法協(xié)助警方找回十幾年被拐賣孩子》，https://www.sohu.com/a/340046580_100102241，最后訪問時間：2020年5月1日。由此看到，針對生物識別技術(shù)的應(yīng)用與生物識別信息的公共收集與處理服務(wù)于國家安全、公共秩序、社會管理等，顯然上述法益的保護位階超越公民的個體權(quán)益。因此，在具體法律制度的適用分析上：一方面，當個人信息被應(yīng)用于社會管理領(lǐng)域，不適用隱私權(quán)救濟路徑；另一方面，對于侵犯個人隱私的情形，其行為本質(zhì)在于公開、結(jié)果重點在于損害，對應(yīng)的是隱私信息的披露或泄露行為。但是公民生物信息被公共設(shè)備收集后，在政府數(shù)據(jù)庫安保措施到位的情況下并不存在披露或泄露的現(xiàn)實風險。此時個人生物信息仍處于封閉且未被公開狀態(tài)，并不事實上構(gòu)成對個人隱私權(quán)的威脅。此外，線上與線下對于隱私理念來說是不同的適用語境，概念名稱可能相同，但所評價的對象可能屬于完全不同的領(lǐng)域，并且不同的主體對信息披露程度的接受度也不盡相同。⑤周漢華：《個人信息保護觀念演變的四個階段》，在第七屆北大-斯坦?；ヂ?lián)網(wǎng)法律與公共政策論壇的演講，http://www.sohu.com/a/281451267_455313，最后訪問時間：2019年12月25日。本文認為，在數(shù)字化服務(wù)普及的信息時代，法律意義上的“數(shù)據(jù)隱私”理念正在逐漸限縮，但社會公眾的隱私認知仍遵循傳統(tǒng)隱私理念，在無現(xiàn)實侵害發(fā)生的前提下，應(yīng)意識到隱私理念的時代更新性。

（三）生物識別信息商業(yè)應(yīng)用中個人信息保護與隱私權(quán)保護模式的立場選擇

2019年9月27日，工信部發(fā)布的《關(guān)于促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導意見(征求意見稿)》表示，在加快構(gòu)建網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的基礎(chǔ)上，國家支持構(gòu)建基于人臉識別等技術(shù)的網(wǎng)絡(luò)身份認證體系。基于該國家政策，我國立法建設(shè)將理性審視歐美態(tài)度與模式，并探索符合我國發(fā)展定位的、兼顧生物識別信息保護與利用的雙層制度模式。

1.隱私權(quán)保護模式與個人信息保護模式的對比分析。

隱私權(quán)最早出現(xiàn)在1948年通過的《世界人權(quán)宣言》（UDHR）中，隨后在1950年被歐洲委員會（Council of Europe）立法起草的《歐洲人權(quán)憲章》（ECHR）所確認。UDHR與ECHR早在互聯(lián)網(wǎng)技術(shù)發(fā)展以及信息社會的出現(xiàn)之前就已生效，信息技術(shù)的發(fā)展提高了生活質(zhì)量、工作效率和社會生產(chǎn)力。與此同時，信息技術(shù)的應(yīng)用也給隱私權(quán)保護帶來了新的風險。為設(shè)置個人信息收集和使用的具體規(guī)則，產(chǎn)生了一個新的概念（有的地區(qū)稱為“信息隱私”，有的地區(qū)則稱為“信息自決權(quán)”），該新型概念導致了數(shù)據(jù)保護專門法律法規(guī)的產(chǎn)生與發(fā)展。

（1）隱私權(quán)保護與個人數(shù)據(jù)權(quán)利的制度共識。

尊重私人生活的權(quán)利和保護個人數(shù)據(jù)的權(quán)利是密切相關(guān)的，兩者都旨在保護類似的價值目標，即個人的自主權(quán)和人格尊嚴，因此隱私與數(shù)據(jù)權(quán)利是公民行使其他基本自由如言論自由、和平集會與結(jié)社自由以及宗教自由的必要先決條件。①European Union Agency for Fundamental Rights and Council of Europe, Handbook on European Data Protection Law ,Luxembourg: Publications Office of the European Union,2018, p.19.由此看到，兩類權(quán)利制度均旨在保護私人生活，規(guī)范價值同源性也是個人信息權(quán)利在起源上依附于人格權(quán)保護制度的原因?！稓W盟基本權(quán)利憲章》(以下簡稱《憲章》)第8條不僅確認了個人數(shù)據(jù)保護的權(quán)利，而且闡明了與這一權(quán)利相關(guān)的核心價值觀。盡管處理各類個人數(shù)據(jù)可能侵犯隱私權(quán)，但適用數(shù)據(jù)保護要求時并沒有必要證明同時也侵犯到了私人生活與隱私權(quán)，因此對處理行為的規(guī)范性判斷不必然需要考慮數(shù)據(jù)處理對個人隱私的影響。

（2）隱私權(quán)保護與個人數(shù)據(jù)權(quán)利的制度差異。

尊重私人生活的權(quán)利和保護個人數(shù)據(jù)的權(quán)利雖然密切相關(guān)，卻是截然不同的權(quán)利，在形式和范圍上存在區(qū)別。尊重私人生活的權(quán)利（主要指隱私權(quán)）包括一般禁止性規(guī)定，但要符合某些公共利益要求，以證明在某些情況下干涉公民隱私是正當?shù)?。保護個人數(shù)據(jù)則被視為一項現(xiàn)代化的積極權(quán)利體系，并建立了一套利益制衡制度。在國家機關(guān)或企業(yè)處理個人數(shù)據(jù)時保護個人的數(shù)據(jù)權(quán)益，其處理過程必須符合數(shù)據(jù)保護的基本要求，包括獨立監(jiān)管和尊重信息主體的權(quán)利。任何涉及個人數(shù)據(jù)處理的行為都可能被納入數(shù)據(jù)保護規(guī)則的適用范圍，由此啟動個人數(shù)據(jù)權(quán)利的保護機制。②European Union Agency for Fundamental Rights and Council of Europe, Handbook on European Data Protection Law(2018 edition), Luxembourg: Publications Office of the European Union, 2018, p.20.所以相較而言，個人數(shù)據(jù)權(quán)利保護范圍比尊重私人生活的權(quán)利范圍更加廣泛。

2.隱私權(quán)保護模式的封閉性及其阻礙影響。

商業(yè)領(lǐng)域中使用生物識別技術(shù)已經(jīng)非常普遍，各類產(chǎn)業(yè)領(lǐng)域都在挖掘生物測定學技術(shù)的商業(yè)價值。③王丹娜：《生物識別: 傳統(tǒng)信息安全在新技術(shù)環(huán)境的創(chuàng)新應(yīng)用》，《中國信息安全》2019年第2期，第60-64頁。國際權(quán)威調(diào)研機構(gòu)Gen Market Insights發(fā)布的《全球人臉識別設(shè)備市場研究報告2018》顯示：“2017年，全球人臉識別設(shè)備市場價值為10.7億美元，到2025年底將達到71.7億美元，在2018年至2025年期間將以26.8%的速度增長。”反觀我國，新思界發(fā)布的《2019—2023年中國人臉識別行業(yè)深度研究及市場投資風險咨詢報告》顯示，2018年中國人臉識別行業(yè)市場規(guī)模為131億元，年均復合增長率為37%。其中，華東、華北、華南等經(jīng)濟發(fā)達地區(qū)人臉識別行業(yè)的市場規(guī)模占全國總體規(guī)模的77%左右。由此看到，生物識別技術(shù)以及生物識別信息的商業(yè)應(yīng)用蘊含廣闊的市場前景與巨大的經(jīng)濟潛力。因此，按照美國的規(guī)制模式，如果將生物特征信息作為隱私權(quán)進行保護，將一定程度地阻礙生物識別技術(shù)的創(chuàng)新與應(yīng)用。由此，本文認為，技術(shù)創(chuàng)新及其應(yīng)用是社會生產(chǎn)力發(fā)展的必然結(jié)果，所蘊含的經(jīng)濟與管理效益應(yīng)得到充分開發(fā)與利用，以實現(xiàn)社會的整體利益。如同歐洲在20世紀70年代開啟獨立的數(shù)據(jù)保護制度以此與單純的隱私權(quán)制度相區(qū)分，亦是為了適應(yīng)信息技術(shù)的時代發(fā)展需求。因此鑒于我國生物識別技術(shù)的商業(yè)應(yīng)用前景廣闊，需要制度層面的規(guī)管與促進。并且，在社會經(jīng)濟規(guī)范領(lǐng)域中，法律手段不僅是通過限制手段防范可能的風險，也應(yīng)以發(fā)展的視角解決發(fā)展中的問題，因此生物識別信息保護與利用的雙重制度應(yīng)同步建設(shè)、互相促進。

3.個人信息保護制度的包容性及兼顧多方利益。

在數(shù)據(jù)收集、處理與使用過程中面臨的現(xiàn)實風險是數(shù)據(jù)庫泄露隱患，防范機制對應(yīng)的是數(shù)據(jù)庫安保措施。例如，當企業(yè)記錄員工姓名、薪酬等相關(guān)信息時，記錄數(shù)據(jù)本身不能被視為對私人生活的干涉，但如果企業(yè)將員工的個人信息轉(zhuǎn)移到第三方，則可能侵犯員工的隱私。因此，基于合法目的個人數(shù)據(jù)被收錄于特定數(shù)據(jù)庫時，收集完成后的真實風險是數(shù)據(jù)的泄露或與第三方的共享，對應(yīng)的是企業(yè)對于數(shù)據(jù)庫的安全責任。假設(shè)，企業(yè)利用個人信息（包括隱私信息）僅針對用戶推出個性化推薦，未產(chǎn)生社會公開效果，則個人信息的知悉性仍處于原始狀態(tài)。由此看到，數(shù)據(jù)處理中隱私侵犯風險并非發(fā)生于收集階段，信息主體的現(xiàn)實損害非由收集行為導致，現(xiàn)實損害的產(chǎn)生源于信息泄露、濫用、非法轉(zhuǎn)移等行為，因此個人信息安全的核心內(nèi)容是數(shù)據(jù)控制者的數(shù)據(jù)保護責任。退一步來說，即使完善與落實主體同意和被告知制度、以及行使個人信息自決權(quán)，仍然無法預防數(shù)據(jù)庫可能被泄露的風險，由此，數(shù)字產(chǎn)業(yè)中個人信息的安全保障責任應(yīng)由數(shù)據(jù)控制者作出主要的努力。類似地，生物識別信息安全問題的本質(zhì)不在于被獲取的個人信息是否為隱私信息，因為隱私性的生物信息依然可以作為數(shù)字產(chǎn)業(yè)的處理與使用對象（如數(shù)字醫(yī)療服務(wù)中的個人健康信息、健康管理軟件需要獲取的生理數(shù)據(jù)等）。①據(jù)《華爾街日報》報道，谷歌“夜鶯計劃”被曝秘密采集了數(shù)百萬醫(yī)療隱私數(shù)據(jù)，包括實驗室結(jié)果、醫(yī)生診斷和住院記錄等，并包括完整的健康歷史，以及患者姓名和出生日期，谷歌計劃使用“先進的人工智能和機器學習”定制患者的個人醫(yī)療服務(wù)。對此，社會反響多是抨擊谷歌未經(jīng)主體同意而獲取隱私信息，谷歌在獲取信息方式上確實有所違規(guī)，但以適當方式合理共享醫(yī)療信息亦會有助于為患者提供更高效精確的醫(yī)療服務(wù)。See Alexander Hall, ‘Google’s ‘Project Nightingale’ Gathered Millions of Americans’ Private Data’, https://www.newsbusters.org/blogs/techwatch/alexander-hall/2019/11/12/googles-projectnightingale-gathered-millions-americans, last visited on Nov.12,2019；2014年全球電子健康市場（eHealth market）規(guī)模為854.4億美元，預計將以15.8%的速度增長。eHealth在高收入和低收入國家都提供具有成本效益的醫(yī)療服務(wù)。因此世界衛(wèi)生組織正在促進電子健康市場，并敦促會員國制定戰(zhàn)略計劃在衛(wèi)生保健部門的各個領(lǐng)域部署數(shù)字衛(wèi)生服務(wù)。See eHealth Market Size & Forecast Report, 2012-2022, Grand View Research, 2016；歐盟數(shù)字單一市場也推出ehealth plan，旨在促進全民健康醫(yī)療水平，并于2018年4月25日發(fā)布了《數(shù)字醫(yī)療的工作文件》（Staff Working Document and a Communication on Digital Transformation of Health and Care in the Digital Single Market）.因此個人隱私信息亦存在可利用的一面，不僅局限于保護層面。整體看個人信息法律制度的組成結(jié)構(gòu)，信息保護的發(fā)生前提是存在信息的使用，在數(shù)據(jù)收集與處理過程中才會涉及到數(shù)據(jù)的保護，因此信息網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)使用是數(shù)據(jù)保護機制的啟動因素，個人信息的收集、處理、利用與信息的保護可看作是一枚硬幣的兩面：（1）個人信息保護制度的核心是獲取與使用信息時的主體同意與被告知制度，對應(yīng)信息主體所享有的信息自決權(quán)利，但自決權(quán)不能自行落實，需要企業(yè)履行對應(yīng)義務(wù)予以配合。（2）個人信息利用制度的重點是企業(yè)的告知、保護、提供相關(guān)數(shù)字服務(wù)的義務(wù)。兩者之間的權(quán)義互動主要基于安全或服務(wù)協(xié)議。信息主體與企業(yè)發(fā)生糾紛時首先產(chǎn)生的是合同責任。即使信息主體的隱私信息被企業(yè)泄露，企業(yè)對應(yīng)的責任仍屬違約責任，不過在合同條款的設(shè)置上，對于隱私信息泄露的處理可參照侵權(quán)保護的賠償標準與救濟方式，該考量主要出于生物識別信息的法律規(guī)制定位與制度適用的整體協(xié)調(diào)性。

上述已經(jīng)論證個人信息保護與隱私權(quán)保護的區(qū)分?？偨Y(jié)而言，隱私權(quán)模式的信息保護制度旨在使個人信息處于完全不公開狀態(tài)，然而在數(shù)字經(jīng)濟時代，保護個人信息的同時亦存在信息的利用空間。從權(quán)利發(fā)展的歷史沿革看，隱私權(quán)制度保護的核心法益是公民的隱私生活與空間，采取絕對排他性的方式，并且僅面向公民一方，而個人信息保護制度則側(cè)面承認信息可被特定化披露及利用的空間，同時支持信息主體主張信息隱私權(quán)益與自決權(quán)益。絕對排他性的制度與過度嚴格的規(guī)則限制必然從根本上阻礙信息技術(shù)的開發(fā)與創(chuàng)新。基于前述區(qū)分生物識別信息與公民隱私的解析，是否應(yīng)將生物特征信息視為隱私權(quán)予以保護？考慮到生物識別技術(shù)的時代發(fā)展需求、生物識別信息可利用的制度空間、個人信息保護的安全問題本質(zhì)，本文認為應(yīng)將生物識別信息納入個人信息保護（與利用）的規(guī)制范疇，不宜一律作為隱私權(quán)或肖像權(quán)客體對待。對于生物識別信息在收集與使用過程中可能存在的社會風險，完全可通過設(shè)置具體的個人信息保護和利用規(guī)則予以規(guī)管。最新修改的《個人信息安全規(guī)范》于2020年10月1日開始實行，關(guān)于生物識別信息的保護要求，最新版本的《規(guī)范》作出了更為細化的要求：一是在收集時應(yīng)與其他個人信息區(qū)分開單獨告知信息主體，包括生物識別信息被收集與使用的目的、方式和范圍、存儲時間等；二是需要征得信息主體的明示同意。由此看到，在保護要求上明顯高于其他個人敏感信息。遵循該制度思路，生物識別信息保護制度可分為兩類：（1）一般規(guī)則：個人信息的一般保護框架，一般個人信息保護規(guī)定及相關(guān)技術(shù)安全規(guī)則均適用于生物識別信息；（2）特殊規(guī)則：基于生物識別信息的不可更改特性，需設(shè)立專門的生物識別信息保護規(guī)定。

二、生物識別信息使用規(guī)范的制度定位

2020年3月1日實施的《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》明確規(guī)定了不得利用深度合成技術(shù)從事法律禁止的活動；2019年11月18日發(fā)布的《網(wǎng)絡(luò)音視頻信息服務(wù)管理規(guī)定》要求對非真實的音視頻信息進行標識。由此看到，制度層面在禁止不法利用生物識別信息的同時，也在允許并鼓勵深度合成等新型技術(shù)的創(chuàng)新發(fā)展與合法應(yīng)用。信息主體的保護規(guī)范與信息使用者的使用規(guī)范之間互相依存、緊密相關(guān)。鑒于人格權(quán)保護制度（侵權(quán)責任模式）的消極防御性，重點在于對抗不法侵害行為，而非規(guī)范人格權(quán)客體（如肖像、人臉、聲音等）的合法使用行為。并且，人格權(quán)制度指向保護個人的私生活領(lǐng)域，而個人信息制度指向規(guī)管社會經(jīng)濟領(lǐng)域，兩類制度的自身定位與規(guī)制領(lǐng)域存在本質(zhì)差異。

（一）生物識別信息的內(nèi)涵解析

生物特征信息是一類特殊的個人敏感信息，根據(jù)國家標準《個人信息安全規(guī)范》對個人信息的定義，“可以識別特定自然人身份”與“反映特定自然人活動情況”是個人信息最核心的內(nèi)容與特征，①趙忠東：《可識別性是公民個人信息的根本特性》，《檢察日報》2018年7月8日，第3版。生物特征信息同樣符合上述特性。界定生物識別信息必須首先符合個人信息的一般特性及核心特征，2019年6月25日，信標委發(fā)布了推薦性國家標準《生物特征識別信息的保護要求》（征求意見稿），②該征求意見稿生效后將取代2011年的《生物特征識別信息保護》，對比來看，征求意見稿的變動主要體現(xiàn)了近期對個人信息保護監(jiān)管要求的更新。規(guī)定生物特征（biometric characteristic）是指可檢測到的個體生理或行為特征，可以從其中提取可識別的、可重復的生物特征，以便自動識別個體。在“生物特征信息”（biometric information）與生物特征標識符（biometric identifier）的關(guān)系上，參照佛羅里達州最近在醞釀出臺的《佛羅里達州生物特征信息隱私 法》（Florida Biometric information Privacy Act）中的規(guī)定，“生物識別標識符”是指視網(wǎng)膜或虹膜掃描、指紋、聲紋（voice print）、手部或面部幾何形狀的掃描圖?！吧锾卣餍畔ⅰ北欢x為：基于用于識別個體的生物特征標識符，無論以何種方式收集、轉(zhuǎn)換、存儲或共享的任何信息。對上述定義比較分析，兩者的關(guān)系在于生物識別信息有賴于生物識別技術(shù)對生物特征的技術(shù)認定與數(shù)據(jù)記載。因此與一般個人信息的直接表達形式不同，對于某人體生物識別特征，若可被認定為生物識別信息，需要取決于生物識別技術(shù)的識別能力、以及將該生物特征轉(zhuǎn)換為數(shù)據(jù)形式描述的可行性。因此綜合上述規(guī)定與界定方法，本文認為生物特征識別信息，是指人體固有的生理特性（如指紋、臉象、虹膜等）和行為特征（如筆跡、聲音、步態(tài)等），并可用于識別特定個人身份的生物信息。2020年1月生效的《加利福尼亞州消費者隱私法》（The California Consumer Privacy Act，簡稱CCPA）反映出了生物識別技術(shù)與生物特征信息在技術(shù)與理念上的時代更新，CCPA規(guī)定生物識別信息屬于個人信息范疇。③The California Consumer Privacy Act, Rule 1798.140(o)(1)(E).

生物識別信息與一般個人信息的本質(zhì)區(qū)別是什么？本文認為在于生物特征信息的唯一識別性，即直接識別作用。CCPA規(guī)定“生物特征信息”是指個體的生理、生物學或行為特征（包括個體的DNA），可以單獨使用，也可以聯(lián)合使用，或者與其他識別性數(shù)據(jù)聯(lián)合使用，以確定個體身份的信息。本文并不認同該定義，唯一識別性是判定生物識別信息的前提條件。根據(jù)GDPR與Regulation (EU) 2018/1725中的規(guī)定，生物特征數(shù)據(jù)（biometric data）是指經(jīng)過特定技術(shù)處理的自然人身體、生理或行為特征，以此允許或確認該自然人的唯一標識的個人數(shù)據(jù)，包括面部圖像與指紋掃描數(shù)據(jù)（dactyloscopic data）。④GDPR, Art.4(14); Regulation (EU) 2018/1725, Art.3(18).由上述規(guī)定推知，有關(guān)個人的生理或行為特征的數(shù)據(jù)，只有經(jīng)允許對自然人身份進行獨特識別或特定技術(shù)手段處理后，才符合GDPR規(guī)定的生物特征數(shù)據(jù)的定義，由此意味著個人的面部照片只有被用于直接識別或驗證身份時，才符合個人信息保護規(guī)定中的“生物特征”。生物識別技術(shù)通常也會評估其他生物因素如眼睛和鼻子、鼻子和嘴巴之間的距離等，以便唯一地識別某個人。因此如果不能唯一地識別特定個體，個人的普通照片可能不具備生物特征數(shù)據(jù)的資格。但是，當技術(shù)進步到足以通過照片提取出生物特征數(shù)據(jù)時，照片數(shù)據(jù)也符合生物特征數(shù)據(jù)的定義。①GDPR, Rec.51.所以，隨著生物識別技術(shù)的發(fā)展，原來不屬于生物識別信息的生物特征也可能唯一地識別或驗證特定個人，從而滿足生物特征數(shù)據(jù)的定義。②See Jorden Bailey，Using biometric data? Sensitive under the GDPR，https://legalict.com/2017/10/18/using-biometricdata-sensitive-under-the-gdpr/, last visited on Aug.28, 2019.因此，生物特征的數(shù)據(jù)保護范圍隨著技術(shù)發(fā)展處于動態(tài)變化中。在寬泛術(shù)語下定義生物特征數(shù)據(jù)的表現(xiàn)，也意味著GDPR認識到生物識別技術(shù)將繼續(xù)發(fā)展，而開放式定義涵蓋了未來技術(shù)發(fā)展中可能符合生物識別信息定義的各種生物識別特征。③See Danny Ross, Processing biometric data? Be careful,under the GDPR，https://iapp.org/news/a/processingbiometric-data-be-careful-under-the-gdpr/, last visited on Aug.9, 2019.

（二）生物識別信息的外延界定

生物識別特征與生物識別信息、生物識別信息與個人信息的關(guān)系是什么？在此基礎(chǔ)上，如何具體界定生物識別信息的內(nèi)涵與外延？在識別性上，生物識別特征與其他身體特征如基因與血型的本質(zhì)區(qū)別是什么？基于個人信息的核心特性，結(jié)合我國法律規(guī)制現(xiàn)狀，基因與血型信息在什么情況下可被作為生物識別信息予以保護？以下具體闡釋。

1.生物識別信息與基因信息的區(qū)別與聯(lián)系。

關(guān)于個人生物識別信息的范圍，《個人信息安全規(guī)范》附錄A（個人信息示例）與附錄B（個人敏感信息判定）均列舉了個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等七項內(nèi)容?！渡锾卣髯R別信息的保護要求》（征求意見稿）也明確表示生理特征包括DNA在內(nèi)。GDPR中，生物特征信息是與基因信息或健康數(shù)據(jù)獨立并列的個人信息類別。④GDPR, Rec.53.GDPR第4條分別定義了 “生物特征數(shù)據(jù)”“基因信息”與“健康有關(guān)的數(shù)據(jù)”。⑤GDPR, Art.4(13), Art.4(14), Art.4(15).由此GDPR的生物特征數(shù)據(jù)的范圍不包含基因信息在內(nèi)。世界首部生物信息立法《伊利諾伊州生物特征信息隱私法》(Illinois Biometric Information Privacy Act，簡稱BIPA) 規(guī)定了生物特征數(shù)據(jù)包括視網(wǎng)膜掃描（Retina scan）、虹膜掃描（Iris scan）、指紋（Fingerprint）、聲紋（Voiceprint）、手部掃描（Hand scan）、面部幾何形狀（Face geometry），⑥See Torsten M.Kracht, Michael J.Mueller, Lisa J.Sotto, and Daniella Sterns, Biometric, Information Protection: The Stage is Set for Expansion of Claims, Lexis Practice Advisor Journal, 2018 Edition.不包括人口統(tǒng)計數(shù)據(jù)、身體描述、書寫樣本、簽名、照片或者其他用于醫(yī)學或科研目的的生物材料，⑦See Biometrics Laws and Privacy Policies，https://www.privacypolicies.com/blog/privacy-policy-biometrics-laws/, last visited on Aug.28, 2019.所以BIPA的適用對象也不包含基因信息在內(nèi)。美國2008年頒布的《基因信息反歧視法》專門規(guī)范雇傭與保險領(lǐng)域中使用基因信息的行為。對比來看，目前我國規(guī)制體系中生物識別信息涵蓋個人基因信息?！渡锾卣髯R別信息的保護要求》（征求意見稿）規(guī)定生物特征識別數(shù)據(jù)包括生物特征樣本、生物特性、生物特征模型、生物性質(zhì)、原始描述數(shù)據(jù)的生物特征識別特征，或上述數(shù)據(jù)的聚合。由該規(guī)定看出，生物樣本數(shù)據(jù)庫亦屬于生物特征識別數(shù)據(jù)。生物樣本庫也被稱為生物銀行( Biobank) ，是指集中保存人類生物材料、微生物以及動植物標本，用于疾病臨床治療、生命科學研究和生物產(chǎn)業(yè)開發(fā)的生物應(yīng)用系統(tǒng)。一般包括組織、全血、血漿、血清、DNA、RNA、生物體液或經(jīng)初步處理過的生物樣本，以及與這些生物樣本相關(guān)的各種臨床資料、病理、治療與隨訪等信息數(shù)據(jù)。⑧生物樣本庫包含多種類型，從常見的器官、組織庫，如血液庫、眼角膜庫、骨髓庫，到擁有正常細胞、遺傳突變細胞、腫瘤細胞和雜交瘤細胞株(系)的細胞株(系) 庫，近年來出現(xiàn)了臍血干細胞庫、胚胎干細胞庫等各種干細胞庫以及各人種和疾病的基因組庫( Genome bank) 。參見白莉華等：《生物樣本庫大數(shù)據(jù)的倫理與法律問題研究》，《中國醫(yī)學倫理學》2017年第10期，第1206-1212頁。生物樣本中包含大量基因信息，因此引發(fā)了個人信息保護方面的關(guān)注。 綜合上述規(guī)定，個人基因信息與集合性的個人基因信息亦屬于個人生物識別信息范疇，適用2019年7月1日起生效的《人類遺傳資源管理條例》。

值得注意的是，《個人信息安全規(guī)范》某些條款獨立列舉了個人生物識別信息與基因信息?；蛐畔⑹欠駥儆谏镒R別信息？本文認為該問題的答案并不確定，需要根據(jù)基因信息的具體使用場景，并結(jié)合個人信息及生物識別信息的核心特征作出判斷。CCPA規(guī)定的生物特征信息包括DNA在內(nèi)，并規(guī)定個人DNA可單獨使用、組合使用或與其他個人信息結(jié)合使用，以識別特定自然人身份。①田野：《大數(shù)據(jù)時代知情同意原則的困境與出路——以生物資料庫的個人信息保護為例》，《法制與社會發(fā)展》2018年第6期，第111-136頁。GDPR則規(guī)定基因數(shù)據(jù)（Genetic data）是指與自然人遺傳或獲得的遺傳特征有關(guān)的個人數(shù)據(jù)，基因數(shù)據(jù)提供有關(guān)該自然人的生理或健康的獨特信息，特別是來自于對該自然人生物樣本的分析。②例如，第8條第4(f)款規(guī)定：“不應(yīng)公開披露個人生物識別信息、基因信息”?！度祟愡z傳資源管理條例》第2條定義人類遺傳資源信息是指利用人類遺傳資源材料產(chǎn)生的數(shù)據(jù)等信息資料。綜合上述規(guī)定，本文認為：（1）如果基因信息可被用于唯一識別特定的個體，則屬于生物識別信息。同時，生物識別信息均屬于個人敏感信息。（2）如果個人基因信息或集合性個人基因信息，需要與其他個人信息相結(jié)合以間接方式識別特定個體，則屬于一般個人信息。在上述兩種情況下，適用各自對應(yīng)的法律保護標準。

2.生物識別信息與血型信息的區(qū)別與聯(lián)系。

《征信業(yè)管理條例》第三章第14條規(guī)定，禁止征信機構(gòu)采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。由該立法思路看出，基因、指紋、血型是各自獨立的個人信息類型，基因與血型均不屬于生物特征信息。按照上述關(guān)于基因信息與生物識別信息之間關(guān)系的證明邏輯，本文認為，一方面，同基因信息一樣，如果血型信息能夠單獨識別特定的個體，血型亦屬于生物識別信息，受同等的法律保護。但是該情況下血型是否屬于個人敏感信息？鑒于血型的普遍公開性，本文持否定態(tài)度。另一方面，若血型與其他信息相結(jié)合識別特定自然人身份時，則被認定是一般個人信息。

三、生物識別信息公共與商業(yè)應(yīng)用的法律邊界構(gòu)建

個人信息尤其是生物識別信息的公共使用與商業(yè)應(yīng)用，在使用權(quán)限、收集合法性上存在顯著差異。生物識別信息的公共使用有其穩(wěn)定的技術(shù)保障，也是國家機關(guān)履行法定職責的必要手段。而對于私營主體而言，在收集、使用、存儲、處理個人信息，尤其是人臉、指紋等生物識別信息時，必須依據(jù)法定程序履行數(shù)據(jù)安全責任與落實安保措施，否則可能面臨民事責任、行政處罰甚至刑事責任。

（一）厘清生物識別信息商業(yè)應(yīng)用的法律邊界

出于行政履職與秩序維護等公共使用目的，國家機關(guān)與公共場所的經(jīng)營者（如商場、公園、游樂場、校園等）在履行法定職能或經(jīng)營園區(qū)活動中需使用公民或用戶的生物識別信息，以提高工作效率，同時也為個人提供了便利。因此，面對大規(guī)模人口流動的職務(wù)或業(yè)務(wù)部門，使用生物識別信息的行為旨在維護公共性利益。該使用行為存在正當性，對應(yīng)履行的數(shù)據(jù)安保義務(wù)也主要針對集合性數(shù)據(jù)庫的安全。

1.比對使用場景中的數(shù)據(jù)庫風險防范制度。

基于維護社會安全與公共秩序目的，生物識別技術(shù)一般用于公民身份核驗系統(tǒng)，國家機關(guān)或私營主體驗證公民個體身份時需依賴生物信息數(shù)據(jù)庫作比對參照。例如，人臉識別已經(jīng)開始應(yīng)用于公共服務(wù)，2020年5月14日，福州正式啟動地鐵刷臉通行測試。人臉識別技術(shù)的公共應(yīng)用推動了數(shù)字技術(shù)在公共服務(wù)領(lǐng)域的全方位應(yīng)用，提升了城市管理與服務(wù)的數(shù)字化水平，加快了智慧城市的建設(shè)進程?？偨Y(jié)來說，通常的使用場景有：（1）國家管理領(lǐng)域的居民身份登記、出入境邊檢、刑事偵查等；（2）社會安全領(lǐng)域如酒店住宿、機場、火車站、汽車站的身份驗證等；（3）安保系統(tǒng)的門禁出入、幼兒園接送、校園管理等；（4）用人單位管理中職工人臉或指紋考勤等。在上述使用場景中確實存在技術(shù)不法利用、信息泄露、信息濫用三重風險，數(shù)據(jù)庫的保存與管理機構(gòu)應(yīng)加強技術(shù)安保措施，①The California Consumer Privacy Act, Sec.9(b).在制度建設(shè)中應(yīng)明確數(shù)據(jù)庫控制者的技術(shù)保護要求、相關(guān)法律責任、救濟渠道等。關(guān)于生物信息庫的公共使用，歐盟第29條工作組在《關(guān)于對成員國簽發(fā)護照和旅行證件的安全特征和生物特征標準的理事會條例第2252/2004號的觀點》中提出，歐盟委員會和成員國應(yīng)保證：（1）只有主管當局才能訪問存儲在芯片中的個人生物數(shù)據(jù)，成員國應(yīng)建立主管當局的名單登記冊；（2）不支持擴大訪問控制（Extended Access Control）的主體讀取到歐洲公民的護照，包括指紋數(shù)據(jù)；（3）出于核實（比對）目的在護照和身份證上使用生物識別技術(shù)時，必須也要有技術(shù)上的限制。總結(jié)與借鑒該規(guī)制思路，出于公共管理目的使用公民生物識別信息時，收集與使用主體原則上應(yīng)做到：（1）嚴格審核采集與使用公民生物信息的主體資格，立法需明確某些國家機關(guān)存在使用生物信息的履職需求及對應(yīng)的授權(quán)；（2）嚴格限制訪問主體的范圍，原則上可訪問生物信息數(shù)據(jù)庫的主體只能是國家機關(guān)；（3）用做識別比對使用的數(shù)據(jù)庫必須有高度安全的技術(shù)保護措施，立法需設(shè)置具體的技術(shù)標準。

2.（非國家機關(guān)）公共安全使用的規(guī)范性。

非國家機關(guān)（如學校、酒店、用人單位、游樂場等私營主體）出于學生管理、住宿安全、員工考勤、園區(qū)秩序等非盈利目的使用生物認識信息作比對使用，或者在學校管理中將生物識別信息用于學生行為特征分析與課堂管理?？梢钥闯?，上述使用與純商業(yè)盈利使用的目的不同，該類用途具有公共管理或安全價值。但是該類主體的使用正當性基礎(chǔ)是什么？一方面，在權(quán)力來源上，是否可基于行政委托賦予某些非國家機關(guān)收集、使用生物識別信息的權(quán)力？另一方面，在技術(shù)監(jiān)管上，私營主體是否有權(quán)操作與應(yīng)用生物識別技術(shù)，如人臉識別與行為特征分析的技術(shù)工具？本文認為答案取決于信息使用是否出于社會安全目的、抑或私營管理目的？兩種目的在價值位階上存在優(yōu)先性，社會公共利益（強制性）＞公民個人權(quán)利（自主性）＞企業(yè)管理效益（協(xié)商性），公共利益目的應(yīng)在一定條件下被支持，如校園管理與住宿管理等。例如，學校在課堂上應(yīng)用生物識別技術(shù)監(jiān)督學生的考勤、課堂表現(xiàn)、行為特征等，一定條件下是可以被允許的，但前提必須是獲得用戶同意或者行政機關(guān)授權(quán)?；诠补芾砟康模瑖覚C關(guān)可通過行政委托授予某些私營組織使用生物識別技術(shù)與生物識別信息的權(quán)力。

（二）界定生物識別信息商業(yè)應(yīng)用的法律邊界

實現(xiàn)數(shù)字合成技術(shù)革命的神經(jīng)網(wǎng)絡(luò)，引發(fā)創(chuàng)新型深度合成應(yīng)用不斷涌現(xiàn)。例如，數(shù)字虛擬人目前已應(yīng)用于多個領(lǐng)域，包括虛擬主持、智能家居等，提升了人們的工作、生活體驗。隨著深度合成技術(shù)的進一步發(fā)展，并通過與現(xiàn)有商業(yè)模式或服務(wù)模式的結(jié)合，將會創(chuàng)造出更便利、更高效的智能產(chǎn)品與服務(wù)，個人、組織以及整個社會因此而受益。響應(yīng)該技術(shù)發(fā)展趨勢，經(jīng)營性組織或個人在收集與使用人臉等生物識別信息時應(yīng)遵守的行為邊界如何界定？私營主體使用生物識別技術(shù)的正當性與合理性又如何體現(xiàn)于規(guī)范設(shè)置中，涉及的具體問題包括收集權(quán)限的來源、明示告知的落實、用戶自治的協(xié)商、收集范圍的限制等事項。

1.生物識別信息商業(yè)應(yīng)用的合規(guī)疑慮與制度缺失。

2019年微軟刪除了世界上最大的公開的人臉識別數(shù)據(jù)庫MS-Celeb，該數(shù)據(jù)庫包含1,000萬張人臉圖像，但在刪除之前已有多個商業(yè)組織使用MS-Celeb數(shù)據(jù)庫，并且在移除后仍可正常訪問與使用。數(shù)據(jù)庫中很多圖像來自公眾人物且未得到他們的授權(quán)，MS-Celeb數(shù)據(jù)庫通過“知識共享”（Creative Commons）許可證抓取與搜索圖像。②GDPR, Art.4(13).此外，杜克大學研究人員建造的Duke MTMC監(jiān)控數(shù)據(jù)庫與斯坦福大學的Brainwash數(shù)據(jù)庫也被各自的單位刪除，上述數(shù)據(jù)庫均可訓練建立人臉識別模型。反觀我國目前的數(shù)據(jù)產(chǎn)業(yè)中，某數(shù)據(jù)企業(yè)的官網(wǎng)上列有人臉識別的數(shù)據(jù)產(chǎn)品與業(yè)務(wù)，①技術(shù)上可利用區(qū)塊鏈分布式儲存模式保障數(shù)據(jù)庫安全。原理是：區(qū)塊鏈技術(shù)以去中心化的節(jié)點信息公開或共享，讓個人可掌控自己的個人數(shù)據(jù)。例如，個人身份證號碼在區(qū)塊鏈上的信息可能被轉(zhuǎn)換為一串密文。在辦理酒店入住時僅需通過應(yīng)用將身份證號碼密文發(fā)送給酒店，酒店將信息同區(qū)塊鏈應(yīng)用上的加密數(shù)據(jù)比對，并不需要知道個人的任何真實信息，僅需加密數(shù)據(jù)比對結(jié)果。參見《區(qū)塊鏈如何解決數(shù)據(jù)安全問題？》，https://blog.csdn.net/weixin_42673075/article/details/81906732，最后訪問時間：2019年11月18日。對比來看，我國對生物特征信息在商業(yè)上的合法使用尚不夠謹慎。鑒于我國法律體系中目前確實缺乏相關(guān)具體規(guī)定，生物數(shù)據(jù)商業(yè)運營可能侵犯個人的隱私權(quán)、肖像權(quán)、名譽權(quán)等，存在一定的合規(guī)風險。目前各界均認識到生物識別信息商業(yè)應(yīng)用正面臨的社會風險與法律挑戰(zhàn)，但我國法律體系尚無明確應(yīng)對規(guī)范。制度缺失主要表現(xiàn)為：（1）未明確可被商業(yè)使用的生物識別信息范圍；（2）未明確生物信息可被使用的商業(yè)場景范圍；（3）未明確私營主體為了公共管理使用生物信息的適格條件；（4）未設(shè)置使用生物識別技術(shù)的行政監(jiān)管制度。

2.明確生物識別信息商業(yè)領(lǐng)域中的使用范圍與使用類型。

一方面，不是所有類型的生物特征信息均可用于商業(yè)盈利目的，例如對于虹膜、指紋等可唯一識別特定個體的生物信息，其商業(yè)使用原則上應(yīng)被絕對禁止。另一方面，基于社會安全與管理目的，生物識別信息被用于身份核驗在一定條件下應(yīng)被允許。對于其他商業(yè)用途，由于可能發(fā)生視頻偽造、聲音合成等欺詐行為，應(yīng)結(jié)合具體應(yīng)用場景確定商業(yè)使用規(guī)則。

（1）生物識別信息的商業(yè)使用范圍。

生物信息安全問題不在于識別技術(shù)的應(yīng)用，而在于商業(yè)應(yīng)用目的及范圍。例如，美國加利佛尼亞州已出臺《AB730法案》，規(guī)定發(fā)布政治人物行為和言論的虛假音頻行為是犯罪。②CC（Creative Commons）授權(quán)屬于網(wǎng)絡(luò)版權(quán)協(xié)議，數(shù)據(jù)庫可被復制或使用，并支持學術(shù)與商業(yè)使用。如何確立生物識別信息的商業(yè)使用范圍？本文認為，在使用目的上，公共管理利益＞公民個人權(quán)利＞企業(yè)管理效益與商業(yè)營利利益。基于該價值位階，生物識別信息可用于商業(yè)使用的基本原則為：對于社會管理范疇的商業(yè)使用如酒店住宿與校園管理等，基于行政委托或授權(quán)訪問數(shù)據(jù)庫機制，在一定條件下應(yīng)被允許；對于商業(yè)盈利范疇的商業(yè)使用如數(shù)據(jù)企業(yè)出售人臉識別數(shù)據(jù)產(chǎn)品或業(yè)務(wù)或者APP中人臉替換行為，針對具體的商業(yè)應(yīng)用場景，該類商業(yè)收集權(quán)限與使用范圍需設(shè)置嚴格的行業(yè)標準與規(guī)范，尤其是對于移動終端App中的后臺自啟動、關(guān)聯(lián)啟動、私自調(diào)用權(quán)限、錄音、拍照等擅自收集或上傳生物識別信息的行為。

（2）可商業(yè)使用的生物識別信息類型。

首先分析生物識別信息的概念與安全特性，生物信息包括人體先天具有的生理特性（如指紋、人臉、視網(wǎng)膜、虹膜、聲紋等）和后天形成的行為特征（如筆跡、聲音、步態(tài)等）。根據(jù)CCPA規(guī)定，生物識別信息包括但不限于虹膜圖像、視網(wǎng)膜、指紋、臉、手、手掌、靜脈紋路、語音錄音以及一個生物標識符的模板（an identifier template），例如可被提取的面紋編碼（faceprint）、細節(jié)模板（a minutiae template）或一個聲紋，以及按鍵模式或節(jié)奏（keystroke patterns or rhythms）、步態(tài)模式或節(jié)奏（gait patterns or rhythms）、包含識別性信息的睡眠、健康或運動數(shù)據(jù)。③例如，亞洲明星人臉圖像數(shù)據(jù)庫包括1萬名亞洲明星的人臉數(shù)據(jù)，1000人的售價是1.5萬元，3000人的售價是3.6萬元，https://www.datatang.com/index.html，最后訪問時間：2020年6月1日。對于不同的生物特征，突破其唯一識別性的技術(shù)難度是不同的?；谏镒R別信息在隱私性、唯一性與穩(wěn)定性上的差異，需設(shè)置分類分級保護標準。具體來說：指紋識別具有易于采集、識別率高、使用方便等優(yōu)點，被廣泛應(yīng)用于移動終端的用戶身份認證或交易驗證等場景，但是指紋獲取、偽造成本低，易被不法分子仿冒，使用風險較高；人臉識別是將樣本特征項與指定范圍內(nèi)所有模板特征項進行比對，具有低成本、用戶體驗好等特點，正被逐漸應(yīng)用于客戶端登錄、解鎖、小額支付等場景，但是人臉日常暴露在外，泄露風險極高；人體虹膜終身不變，穩(wěn)定性高，因此適合應(yīng)用于金融保險柜、武裝押運等身份認證安全要求較高的場景，在理論上虹膜不容易被假冒，但虹膜識別在使用中容易被虹膜視頻、仿真人眼等假體攻擊；聲紋識別具有低隱私性、支持雙向傳遞信號、交互便捷等特點，可應(yīng)用于登錄、轉(zhuǎn)賬、支付等金融場景，但是隨著人體年齡增長逐漸出現(xiàn)差異，導致聲紋抗時變性差，對聲紋識別系統(tǒng)設(shè)計提出較高要求。①California Assembly Bill No.730, Chapter 493, Elections:deceptive audio or visual media, Approved by Governor on October 03, 2019.所以劃定可用于商業(yè)應(yīng)用的生物識別信息范圍時應(yīng)考慮到各類生物特征自身的安全穩(wěn)定性，②The California Consumer Privacy Act, Rule 1798.140(b).例如對于可唯一識別特定主體的生物特征信息需設(shè)立最高級別的保護。對此，生物技術(shù)行業(yè)的監(jiān)管部門應(yīng)適時出臺具體的技術(shù)參考標準，③任兆麟：《生物識別身份認證技術(shù)在金融業(yè)的應(yīng)用研究》，《西部金融》2019年第5期，第57-60頁。為立法中的法律要求提供參照。

（三）生物識別技術(shù)監(jiān)管的行政許可制度

目前，針對生物識別技術(shù)的全產(chǎn)業(yè)鏈，規(guī)范層面尚未界定明確的法律使用邊界。個人信息的獲取與收集行為由個人信息保護制度予以規(guī)范，而對于個人信息濫用行為，尤其是對生物識別信息的濫用，則需要一定水平的技術(shù)手段，存在行為操作門檻。刑法第285條規(guī)定了提供侵入、非法控制計算機系統(tǒng)程序、工具罪，那么是否可建立生物識別技術(shù)與工具交易管理的行政許可制度？本文認為是可行的，行政規(guī)管制度的規(guī)范目標為：一方面要鼓勵技術(shù)本身的發(fā)展；另一方面則有必要限制技術(shù)的私人獲取與使用門檻。當前網(wǎng)絡(luò)犯罪日益猖獗，本質(zhì)是因為犯罪工具在操作上變得更加容易與普及，大大降低了行為實施的技術(shù)門檻?？紤]到該前車之鑒，生物特征信息的立法保護思路可著重針對濫用行為之前的工具獲取階段，通過行政許可制度設(shè)置工具或技術(shù)的獲取與使用門檻?？傮w而言，原則上生物識別信息的商業(yè)應(yīng)用是可以被允許的，但是向私營主體提供相關(guān)技術(shù)工具可能是違法、甚至是犯罪行為。由此，在法律邊界的構(gòu)建過程中，對于個人生活中不必需的生物信息技術(shù)，尤其是關(guān)涉?zhèn)€人信息安全的技術(shù)工具，應(yīng)由行政機關(guān)嚴加管制。私營主體是否有權(quán)獲取與操作識別生物信息與分析行為特征的技術(shù)工具？在《行政許可法》的規(guī)制框架下，類似于《煙草專賣許可證管理辦法》《槍支管理辦法》等專門規(guī)范文件，國家應(yīng)設(shè)置專門的《生物識別技術(shù)應(yīng)用管理辦法》，提出相應(yīng)的管理規(guī)范及資格要求，例如生物信息識別應(yīng)用主體的資質(zhì)審核、設(shè)備安裝申請與技術(shù)安全檢驗等事項。

結(jié) 語

原則上，在個人本位與社會本位的價值趨向權(quán)衡中，公共利益優(yōu)先于個人私權(quán)。接下來，在保護私權(quán)的制度選擇上，生物識別信息應(yīng)適用個人信息保護與利用制度，而非人格權(quán)保護制度，但兩種制度模式并非互斥關(guān)系，而是在規(guī)范目的上各有側(cè)重。生物特征信息的特別保護將圍繞四個維度構(gòu)建法律邊界：（1）公民信息權(quán)利：增加收集階段的獲取限制，需經(jīng)被采集主體的明示且真實自愿的同意，④See Natgunanathan, Iynkaran, et al.Protection of Privacy in Biometric Data.IEEE Access (2016): 880-892; Kassin SM, Dror IE & Kukucka J.The forensic confirmation bias:problems, perspectives, and proposed solutions.J.Appl.Res.Mem.Cognit.2(2013): 42-52.但是信息自決權(quán)的落實不能僅依賴同意制度，需要企業(yè)的技術(shù)支持予以配合；（2）企業(yè)安全責任：增強企業(yè)數(shù)據(jù)安全責任與技術(shù)保護標準，不得泄露、由第三方保存或與第三方共享；（3）商業(yè)應(yīng)用限制：結(jié)合生物特征的安全性分類與具體商業(yè)使用場景，對于商業(yè)使用范圍與使用信息類型作出嚴格限制；（4）技術(shù)行政監(jiān)管：在公共使用目的之外，基于行政許可制度設(shè)立使用生物識別技術(shù)的法律門檻。