程昌春，楊振銳

(1.福建師范大學法學院，福建 福州 350108；2.福建師范大學馬克思主義學院，福建 福州 350108)

電子科學技術提升了信息處理主體收集、存儲、共享和處理圖像及信息的能力，人臉識別技術就是這類科技發(fā)展的最新產物。[1]人臉識別技術作為生物識別技術中的一種，能夠便捷地在眾多情形下認證自然人身份，并逐步應用于社會生活的各個領域，如安防、支付系統(tǒng)、交通、App個人身份綁定等。[2]人臉識別技術相較于傳統(tǒng)的自然人身份認證方式，具有信息捕捉的便利性及信息比對的高效性等優(yōu)勢，在效率至上的社會環(huán)境中，人臉識別技術受到追捧，同時也促進了對生物識別技術的研究。本文集中探討支付系統(tǒng)中人臉識別技術應用的規(guī)制。支付系統(tǒng)的人臉識別技術不僅涉及個人的人臉信息收集，也與個人的財產安全密切相關。在社會管理效率提升的同時，也伴隨著數據被盜、個人信息被侵犯的風險。[2]

我國尚未制定專門的法律體系以保障生物識別技術涉及的自然人信息，市場對于生物識別技術的廣泛應用誘發(fā)了一系列法律問題，這就要求生物信息技術的信息處理主體應當建立商業(yè)自治規(guī)則，合理合法地保障自然人的生物信息安全。支付寶App在將生物識別技術應用于支付系統(tǒng)時，率先制定了生物識別技術服務通用規(guī)則以保障自然人的個人信息權利。但該通用規(guī)則作為自然人使用支付寶人臉識別技術必須同意的前置條款，內容過于粗糙，條款過于稀疏，難以起到真正的保護作用，應當逐步完善。當然，除支付寶以外，其他的信息處理主體利用生物識別技術收集、使用、處理生物信息的情形也隨處可見，本文以支付寶生物識別技術為例，展開對類似生物識別技術通用規(guī)則的完善。

一、生物識別技術通用規(guī)則的應用

生物識別技術在當今社會的各領域得到廣泛應用。以人臉識別技術為例，其屬于生物識別技術中的一種。2013年7月，芬蘭創(chuàng)業(yè)公司Uniqul推出了第一款刷臉支付系統(tǒng)，這是人臉識別技術應用于支付領域的開端。[3]此后，英國、美國及日本等國家也開始推行人臉識別支付系統(tǒng)。中國也在生物識別技術的發(fā)展潮流中不斷深化對人臉識別技術的研究，并將其應用于多個領域，而不僅僅局限于支付系統(tǒng)。

(一)支付寶生物識別技術

支付寶生物識別技術包含指紋支付和手機刷臉支付兩種方式，以支付寶刷臉支付為例，延展到對個人生物信息的保障與規(guī)制。2015年，支付寶在德國漢諾威展上對刷臉支付技術進行了相關展示之后，支付寶不斷擴展刷臉支付的應用領域。如2017年，支付寶在國內進行首次商用試點，在肯德基的概念餐廳KPRO上線刷臉支付，后續(xù)又擴展到商場、超市、餐廳及品牌零售等多種場景。支付寶主要采取三維人臉識別技術，為提高活體檢測的正確率，還采取硬件系統(tǒng)和軟件系統(tǒng)相結合的方式來辨別面部信息采集的真實性，避免照片、視頻合成及其他軟件虛擬面部信息蒙混過關。

(二)生物識別技術服務通用規(guī)則

生物識別服務通用規(guī)則是自然人使用人臉識別技術前必須同意的條款，其由信息處理主體一方單獨制定，具有格式條款的性質。生物識別服務通用規(guī)則是指為重復使用而由支付平臺經營者一方預先擬定，并在締結合同時向相對人提出的條款，具有事先擬定、重復使用、不可協商以及定型化的法律特征。[4]格式條款具有典型的不可協商性，限制了信息主體與信息處理主體平等對話的機會。[5]以支付寶的《生物識別服務通用規(guī)則》(以下簡稱《通用規(guī)則》)為例，傳統(tǒng)的消費合同需要交易雙方協商一致產生，但支付寶的《通用規(guī)則》并未經過雙方協商一致，而是由支付寶單方面制定。用戶在是否使用刷臉支付方式時，只有拒絕或接受條款兩種選擇，沒有與支付寶平臺協商的余地，如若拒絕接受條款，則無法使用刷臉支付的功能。

二、生物識別技術服務通用規(guī)則的意義

(一)生物識別技術服務通用規(guī)則具有時代性

生物識別技術服務通用規(guī)則是信息時代的產物，具有鮮明的時代性。信息時代的來臨，社會對生活的效率和便捷性要求逐步提高，生物識別技術的普及和廣泛應用就是對時代需求的回應。生物識別技術是以搜集自然人生物信息為技術核心，在運用過程中能夠快速核驗自然身份的科技手段。[6]由于自然人生物信息具備不可逆的特征，因此，要求生物信息處理主體應當嚴格運用生物識別技術，妥善使用自然人生物信息。生物識別技術通用規(guī)則在生物識別技術飛速發(fā)展的環(huán)境下應運而生，這是生物信息處理主體對自我行為的約束方式，也是保障生物信息主體信息安全的途徑，更是響應科技信息時代號召的產物。

(二)生物識別技術服務通用規(guī)則具有實踐性

生物識別技術服務通用規(guī)則是生物信息處理主體與生物信息主體簽訂的合同，對雙方都具有法律約束力，具有實踐性。在個人信息法律保障制度尚未健全的情況下，生物識別技術的飛速發(fā)展容易誘發(fā)一系列問題，不利于保障信息主體的信息安全。生物識別技術服務通用規(guī)則的廣泛應用有助于提高信息處理的責任意識和風險意識，有助于信息處理主體對信息主體盡到更加嚴格的保護義務。同時，當信息安全受到侵犯時，信息主體也能依據信息服務通用規(guī)則尋求法律救濟。此類通用規(guī)則能夠被切實地運用到生活中。

(三)支付寶生物識別服務通用規(guī)則具有示范性

支付寶《通用規(guī)則》規(guī)定了對個人信息使用的基本規(guī)則，保障了個人的知情同意權，確定了可能使用支付寶平臺收集人臉信息的基本場景。越來越多的實地場景為了實現無接觸、無介質化的智慧服務，紛紛將人臉識別技術嵌入門禁、借閱、物品存放、遠程預約以及內部考勤和管理系統(tǒng)。[7]《通用規(guī)則》是一種開端和向導，引導其他信息處理主體在收集、使用和處理類似于人臉信息這種敏感信息時，應當在保障信息主體知情同意權的情況下，采取書面協議等形式，確保生物識別技術的合法使用?！锻ㄓ靡?guī)則》可以保障生物識別技術的安全使用，不斷完善的《通用規(guī)則》還增加了信息處理主體的安保義務，保障合理、合法的收集、使用和處理個人的生物信息，不得濫用、任意販賣、刪除個人信息。支付寶《通用規(guī)則》的制定和完善具有示范作用，其他收集、利用、處理個人生物信息的主體也應當制定類似條款，以保護個人生物識別信息的安全使用。

三、生物識別技術通用規(guī)則的不足

(一)信息主體難以參與規(guī)則制定

《通用規(guī)則》是信息處理主體與信息相對人之間訂立的合同，由支付寶平臺一方單獨制定，信息主體若想使用刷臉支付或指紋支付的功能，只能同意合同條款的內容。該類型的通則限制了信息主體就生物識別技術規(guī)則與平臺進行平等協商的機會。在支付寶《通用規(guī)則》的開篇寫明，如若生物信息被采集主體對規(guī)則有疑問，可以與支付寶平臺即信息處理平臺聯系，信息處理主體可以提供說明和解釋。此處雖然為使用者提供了與支付寶平臺溝通的可能性，但僅表達了單方面的解釋和說明義務，平臺使用者依舊不能參與條款的制定與條款的更改，同時也沒有提供咨詢的具體方式，增加了使用者與平臺協商的難度。

(二)支付寶生物識別技術服務通用規(guī)則條款的欠缺

第一，《通用規(guī)則》支付寶刷臉驗證服務1.1寫明，為了便于信息主體在支付寶客戶端及不同商家更好地使用刷臉支付功能，支付寶采取1對1人臉信息比對方式來驗證信息主體的身份信息，主體在使用支付寶刷臉支付功能的過程中，需要同意支付寶對人臉信息進行必要的使用和處理。此條款體現了知情同意原則，保障了人臉信息主體的知情權和同意權，同時也說明了對人臉信息的使用方式。但此條款及后文均沒有清晰地闡釋對人臉識別收集的最終處理和歸屬路徑。

第二，《通用規(guī)則》支付寶刷臉驗證服務1.2、1.3、1.4、1.5、1.6、1.7等條款中，細化了支付寶平臺可能使用人臉信息的具體場景，但對具體的操作描述過于模糊。例如，支付寶驗證服務規(guī)則1.4中只說明在必要時對人臉信息與有法律法規(guī)允許或政府機關授權的機構保存的人臉信息進行比對驗證，并沒有對其中的必要性進行界定，必要性的外延過于模糊，不利于人臉信息安全保護。

第三，《通用規(guī)則》支付寶刷臉驗證服務1.8規(guī)定，努力在現有技術能力基礎之上保障刷臉驗證服務有效、正常運行，并將盡力提升刷臉驗證身份結果的準確性等內容。該條款說明刷臉技術水平還不夠完善，在無法驗證時可以選擇重新驗證或者聯系客服，在支付寶平臺認為可能存在風險時可以暫停提供刷臉驗證服務，但關于可能存在風險并沒有具體的界定。在人臉信息主體沒有參與條款制定的前提下，該通用服務規(guī)則對人臉信息的保護力度仍需不斷提高。

第四，《通用規(guī)則》還規(guī)定了支付寶平臺的生物識別技術與手機或其他設備廠商提供的生物識別功能的關系，警示生物識別信息主體對自己信息須加強保護、提高關注度。但條款未就相關設備與支付寶的生物識別技術作出清晰的界定和劃分，對于設備與支付寶平臺的生物識別信息也沒有給出具體的處理路徑。

(三)生物識別技術服務通用規(guī)則法律規(guī)制不足

1.生物識別技術運用的國外立法保護

歐盟已于2016年4月14日通過的《通用數據保護條例》(General Data Protection Regulations, GDPR)，并于2018年5月25日開始強制執(zhí)行。GDPR主要適用于歐盟組織內部有關組織對個人信息的收集、利用、儲存和處理。其第4條第11款主要闡釋了數據處理者搜集和處理個人數據應當取得數據主體的同意，這是保護個人數據的前提。荷蘭《個人數據保護法》(Personal Data Protection Act，DPA)也規(guī)定，處理個人數據必須取得數據主體的同意。[8]歐盟議會批準通過《統(tǒng)一數據保護條例》中對合法性原則的規(guī)定，并立即生效。[9]《美國聯邦貿易委員會正當信息通則》對選擇或同意原則予以明確規(guī)定，消費者擁有兩種類型的選擇或同意機制可供選擇。[10]國際社會將同意視作信息處理活動的合法性原則，同時也肯定在信息處理活動中還存在其他合法性基礎。[11]GDPR除規(guī)定數據主體的個人知情同意權之外，還規(guī)定了數據主體訪問請求、拒絕權、修正權、刪除權、數據便攜權等保護數據主體數據安全的權利，以更加完整地保護數據主體的數據安全。

2.生物識別技術運用的國內立法不足

目前，我國《民法典》人格權編和《網絡安全法》均未區(qū)分敏感信息與一般信息，生物識別技術下的人臉信息只能作為一般個人信息進行保護?！睹穹ǖ洹啡烁駲嗑? 034條第2款將個人信息與隱私權共同規(guī)定在一章中，不利于明確包含面部特征信息在內的生物識別信息的特殊保護地位。[12]2020年10月21日，《個人信息保護草案》公布并公開征求意見，該草案是我國第一部針對個人信息進行系統(tǒng)保護的法律(草案)。《個人信息保護草案》總則第3條規(guī)定了該法的適用范圍和適用對象，第4條對個人信息的內涵及個人信息的處理進行了清晰的界定；第2章規(guī)定了處理個人信息的規(guī)則，其中包含知情同意原則等一般規(guī)定，種族、民族、宗教信仰、個人生物特征等敏感個人信息的處理規(guī)則以及國家機關處理個人信息的特別規(guī)定。2020年8月20日，第十三屆全國人大常委會第十三次會議表決通過《個人信息保護法》，并從2021 年11月1日開始施行。該法不僅涵蓋了前述草案對個人生物信息保護的內容，還強調不得過度收集個人信息，不得非法買賣、提供或者公開他人的個人信息，在公共場所安裝圖像采集設備應設置提示標等。《個人信息保護法》的出臺，強化了對個人生物信息的實體保護，但就生物識別技術服務通用規(guī)則對生物識別信息使用、的規(guī)制。

(四)生物識別服務通用規(guī)則的司法救濟不足

《個人信息保護法》的出臺，落實了對個人生物信息的實體保護，強化了個人信息收集時信息主體的知情同意原則，并強調不得過度收集個人信息。此法注重對個人信息的實體保護，為生物識別服務通用規(guī)則的條款制定提供法律指引，導致個人信息受到侵犯時生物識別服務通用規(guī)則往往作為使用某項服務必須同意的前置規(guī)則，這就要求在不斷強化個人信息保護法的時代，不僅應當將《個人信息保護法》落到實處，也應當強化司法救濟，做到全方位、寬領域地保護個人生物信息安全。

四、生物識別技術服務通用規(guī)則的完善

(一)提高對生物識別信息的保護

目前，生物識別個人信息在我國作為一般信息予以保護，不同于歐美國家將其明確界定為個人敏感信息。我國《民法典》將其與個人信息規(guī)定放在一起，可知我國的生物識別生物信息只能適用一般個人信息的保護規(guī)則。而無論是歐盟的《通用數據保護條例》，還是美國各州的相關法案，對于個人生物識別信息的共同規(guī)則是“禁止處理、明示同意、法定必要”[13]。禁止處理，指原則上禁止信息主體以外的他人利用生物識別技術識別及處理個人生物識別信息；明示同意，指經生物信息主體明確以書面形式表示同意，信息處理主體可在特定的范圍內處理此類信息，即在明示同意的范圍內處理生物信息；法定必要，即法律規(guī)定的信息處理主體在特定條件下可以處理信息主體的信息而無須經生物識別信息主體同意，通常包括社會公共利益等條件。上述三大規(guī)則，是以禁止處理為原則，以明示同意、法定必要為例外。美國伊利諾伊州的《生物識別信息隱私法案》還賦予生物識別信息主體以知情權、同意權、信息自決權三大權利，以及三大禁止規(guī)范即：禁止未經生物識別信息主體同意而收集、儲存、使用、披露或以其他方式傳播生物信息主體的生物識別信息；禁止購買、通過貿易接收、出售、租賃、交易個人生物識別信息；禁止信息主體的生物識別信息中獲取利益。[14]

信息處理主體的生物識別服務通用規(guī)則可以在借鑒歐美法律規(guī)定基礎上，細化對規(guī)則的制定和完善，在保證知情同意原則的前提下，保障信息主體對自己生物信息的收集、使用以及最終處理的方式，完善規(guī)則的內容。同時，信息處理主體應提升信息保護意識。在人臉識別的過程中，人臉信息相當于傳統(tǒng)形式下的密碼，一旦泄露便會對信息主體的人身安全及財產安全造成威脅。因此，需要明確對生物信息采集的過程、使用與最終處理規(guī)則，不僅要防止人臉信息被泄露，更要防止惡意擴張生物識別信息的使用目的。

(二)確保與現行法律有效銜接

從支付寶《通用規(guī)則》的內容可以看出，在制定通用規(guī)則的過程中，信息處理主體未盡到充分保障生物信息安全的義務。就人臉識別技術而言，無論何種個人信息處理主體在制定和執(zhí)行《通用規(guī)則》過程中，均應當充分保障生物信息安全，以防止損害信息主體的人身和財產安全。信息處理主體在制定規(guī)則在法律規(guī)制進程中，應當明確可采集自然人生物信息的應用場景、使用范圍、保管責任、違規(guī)處罰標準等，避免商家隨意越界采集、使用個人信息，有效規(guī)制商家對生物信息的合理保障，敦促商家妥善保管用戶個人生物信息，并對信息泄露行為有效追責。[15]據《個人信息保護法》第四條和第五條規(guī)定可知，人臉信息的處理包括人臉信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等內容。同時，信息收集主體在處理人臉信息時應當遵循合法、正當、必要和誠實信用原則。那么，信息處理主體所制定的生物識別技術服務通用規(guī)則的條款應當嚴格遵循《個人信息保護法》的新規(guī)定，做到在《個人信息保護法》的基本內容上有效規(guī)制生物識別技術服務通用規(guī)則的內容，對人臉信息所涉及的各個環(huán)節(jié)和可能性予以明晰，保障人臉信息的流動及歸屬合法、正當。

(三)細化生物識別技術服務通用規(guī)則的內容

目前，同類型的生物識別服務通用規(guī)則都比較簡略，條款規(guī)定也模棱兩可，難以凸顯對生物信息主體信息安全的保護。從《個人信息保護》的條款內容可知，人臉識別技術收集的人臉信息屬于個人敏感信息。個人敏感信息事關信息主體多方面的利益，處理主體應當更加謹慎，必須在現行法的基礎上，廣泛借鑒別國法律與相應法律條款，細化生物識別服務通用規(guī)則，完善人臉識別應用的調整規(guī)則、健全行業(yè)自律機制、勾勒企業(yè)合規(guī)方案，大幅降低侵權風險，有序推動產業(yè)發(fā)展。[16]當然，不同的信息處理主體在收集、使用和處理生物信息時的技術要求和使用程度各不相同，應在充分考慮自身技術條件、使用程度的基礎上，制定最有利于保護生物信息安全的生物通用規(guī)則，以達到維護社會信息安全的目的。

(四)強化生物識別服務通用規(guī)則的司法救濟

《通用規(guī)則》作為個人信息處理主體制定的條款，現有內容的模糊性會增強信息的不安全性，而《通用規(guī)則》中的法律責任劃分也尚待明確，即使是在個人信息受損的情形下，也難以獲得足夠的證據支持，尋求司法救濟。雖然《個人信息保護法》第60條規(guī)定了國家機關對個人信息的保護和監(jiān)督義務，且《個人信息保護法》第70條也規(guī)定眾多個人信息遭受信息處理主體侵害時，檢察院、法定消費者組織以及國家網信辦可以依法提請訴訟，但在實踐中由于《通用規(guī)則》的事前規(guī)避性會增大原告的舉證難度，受到損害的個人信息主體也難以依據《通用規(guī)則》的條款獲得法院支持。根據前文對支付寶《通用規(guī)則》條款的剖析，可以發(fā)現《通用規(guī)則》的內容本身沒有對雙方法律責任的劃分。另外，在此基礎上查詢了其他日常通用App的通用規(guī)則，事實上各類App都較少涉及個人信息受損后的司法救濟指引和法律責任劃分。那么，在《個人信息保護法》出臺的大背景下，如何強化個人信息保護的司法救濟及通用規(guī)則中的法律責任劃分，不僅是個人信息處理主體應當予以完善的內容，也是國家司法機關在訴訟過程中的證據認定環(huán)節(jié)應當予以考量的要點。

支付寶《生物識別技術通用規(guī)則》只是人臉識別技術應用規(guī)范的一個探索樣本，其他類似主體應在現有基礎上遵循法律和社會的要求，不斷完善規(guī)則內容；已經收集自然人生物信息但尚未制定相關規(guī)則的企業(yè)、單位等信息處理主體，應當盡快制定生物識別保護規(guī)則。在不斷完善法律強制力保障的前提下，繼續(xù)加強和完善信息處理主體的保障義務，提高生物信息主體的自我保護意識，為信息處理主體和信息主體提供正確的法律指引，確保生物識別技術信息處理的安全應用。