個人生物識別信息的保護與監(jiān)管路徑

個人生物識別信息技術在諸多領域得到廣泛的應用，有關個人生物識別信息的收集、儲存、利用等已經(jīng)發(fā)展成為一個龐大的產(chǎn)業(yè)。一方面，法律要保護生物識別信息主體的人格尊嚴和自由，保障其追求人格完整和發(fā)展的自主能力，避免個人生物識別信息的泄露或非法使用危害信息主體的人格尊嚴和自由價值。個人作為目的性的存在，只有消除個人對“信息化形象”被他人操控的疑慮和恐慌，才能有自尊并受到他人尊重地生存與生活。另一方面，個人生物識別信息包含巨大的經(jīng)濟價值，可以被進行大規(guī)模的處理與應用。法律要適應技術進步與經(jīng)濟發(fā)展，平衡個人生物識別信息主體隱私、利用期待與控制者的數(shù)據(jù)利用和管理的需要。從現(xiàn)實生活看，對于個人生物識別信息的收集、利用等大體可以分為三個方面：一是政府或者政府授權機構基于社會公共安全的需要收集與利用個人生物識別信息，典型的情形如機場、高鐵等領域在實施安檢時使用人臉識別系統(tǒng)；二是商業(yè)組織如銀行、電子支付平臺（支付寶、微信等）等對于交易主體的生物識別信息進行收集和利用；三是特定的機構基于管理的需要對個人生物識別信息的收集和利用。例如學校、公園等機構要求進入內(nèi)部空間時使用“人臉識別系統(tǒng)”。上述情形可以劃分為基于公共利益的需要與基于商業(yè)利益的需要而收集、使用個人生物識別信息兩種類型。

基于公共利益收集和利用個人生物識別信息及其限度

在個人生物識別信息保護領域，國家扮演著多重角色。對于個人生物識別信息的商業(yè)化利用而言，國家大體上處于超然于個人生物識別信息主體與信息控制者雙方利益的中立地位，其以社會管理者身份通過制定法律和實施法律調和信息主體的信息歸屬、信息自決權與信息控制者的數(shù)據(jù)利用、數(shù)據(jù)財產(chǎn)利益之間的矛盾。從現(xiàn)實情況來看，為了公共利益的需要，國家實際上已經(jīng)成為個人生物識別信息最大的收集、處理、儲存和利用者，其本身是作為生物識別信息獨立的利益相關者而出現(xiàn)的。相應地，國家就從個人生物識別信息商業(yè)化利用中的中立地位轉變?yōu)榧婢咝畔⒗谜吆凸芾碚叩碾p重身份角色。國家對個人生物識別信息的收集與利用可以極大地發(fā)揮個人生物識別信息的價值，從而有效地保障公共安全與社會公共利益。但是正如前文所述，個人生物識別信息的應用有重大安全風險，因此政府機關或授權機構在收集個人生物識別信息時必須基于公共利益的要求并遵循法定程序，符合比例原則下目的性、必要性和比例性的要求，兼顧收集目標的實現(xiàn)和保護信息主體的權益。《民法典》第1035條規(guī)定，處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理。

政府機關或者授權的機構在收集、處理、利用個人生物識別信息時應當遵循以下具體規(guī)則：一是收集主體必須有明確的法律依據(jù)或者經(jīng)明確的授權。政府機關或相關機構對于個人生物識別信息的收集必須具有法定的依據(jù)和授權事項，并明確告知相對人該法律依據(jù)和授權事項以及不提供個人生物識別信息的法律后果。政府機關或授權機構不得超越職權收集個人生物識別信息。二是政府機關或者授權機構不得為公共利益之外的目的利用個人生物識別信息。為維護國家安全和公共安全，政府機關可以利用個人生物識別信息。例如，公安機關或稅務機關可以在刑事偵查、追查稅款等特定情形之下進行個人生物識別信息比對。但是在此之外，不得為非公共利益的目的儲存、處理或利用個人生物識別信息。為支持學術研究，授權機構也可以利用個人生物識別信息，但是須無害于個體的人格利益，相關研究人員或機構應當對使用的個人生物識別信息采取妥善的保護措施。三是個人生物識別信息處分要嚴格限制。政府機關或授權機構非經(jīng)許可不得向他人轉讓個人生物識別信息，尤其是禁止以營利為目的向任何機構有償轉讓個人生物識別信息。由于信息技術日益發(fā)達，政府部門之間共享政府數(shù)據(jù)，或者政府部門與商業(yè)公司之間互相共享數(shù)據(jù)越來越常見。例如，在新冠肺炎疫情期間，騰訊、阿里巴巴等商業(yè)機構通過自己的數(shù)據(jù)與技術給疫情防控提供了大量的數(shù)據(jù)（其中包括人臉識別、指紋等數(shù)據(jù)）。這其中既包括政府授權平臺公司利用自己的技術優(yōu)勢直接參與防控，也包括它們對已有數(shù)據(jù)的加工和處理。通過對政府數(shù)據(jù)與社會數(shù)據(jù)的共享和充分發(fā)掘，可以準確識別個人的行動軌跡、個人的感染情況以及相關密切接觸者的健康狀況，充分發(fā)揮數(shù)字化防控的最大效能。為避免泄露個人生物識別信息，有必要構建一套統(tǒng)一的、法定的數(shù)據(jù)交換標準，形成規(guī)范的數(shù)據(jù)格式，在公開時要去標識化處理，并選擇恰當?shù)姆绞胶头秶?/p>

非基于公共利益收集和利用個人生物識別信息的保護和監(jiān)管

近年來，商業(yè)公司或特定機構對個人生物識別信息的收集和利用有愈演愈烈的趨勢。商業(yè)公司或特定機構對于個人生物識別信息的收集和利用通常并非基于公共利益的目的。為保護個人生物識別信息，必須在立法、司法以及行政層面加強相應的監(jiān)管，

個人生物識別信息的商業(yè)利用取決于信息控制者與生物識別信息主體之間的權利義務配置。個人生物識別信息的利用主要涉及信息的收集、信息的儲存、信息的加工和處理以及信息的使用，每一個過程都可能涉及到信息的隱私化和隱私的信息化。過度限制生物識別信息的利用會影響人們通過信息造福社會。法律規(guī)范應當妥當平衡個人生物識別信息利益的保護與個人生物識別信息資源有效利用之間的關系。學校、公園等基于自身管理的需要采用生物識別信息系統(tǒng)，雖名為“公共安全的需要”，但是顯然不符合比例原則的要求，這些單位通常無權收集和利用個人生物識別信息。

商業(yè)公司或特定機構在收集和利用個人生物識別信息時，應在技術標準、制度規(guī)范、法律約束等各個方面適用嚴格的條件和程序。具體來說：一是商業(yè)公司或特定機構在收集和利用個人生物識別信息前須向個體進行充分的告知，獲取個體的明示同意。二是商業(yè)公司或特定機構公開處理個人生物識別信息的規(guī)定，明示處理個人生物識別信息的目的、方式和范圍，不得超出規(guī)定的目的收集、處理、利用個人生物識別信息，必要情況下的目的變更應當有法律的許可或取得個體的明確同意。三是商業(yè)公司或特定機構應妥善保管個人生物識別信息，相關收集、儲存、使用、加工、傳輸、提供、公開應當嚴格遵循法律、行政法規(guī)的規(guī)定。

（作者為武漢大學法學院教授、博導，武漢大學網(wǎng)絡治理研究院研究員）

【參考文獻】

①張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》，2015年第3期。

②李永軍：《論〈民法總則〉中個人隱私與信息“二元制”保護及請求權基礎》，《浙江工商大學學報》，2017年第3期。

③許可：《數(shù)據(jù)保護的三重進路——評新浪微博訴脈脈不正當競爭案》，《上海大學學報（社會科學版）》，2017年第6期。

④葉名怡：《個人信息的侵權法保護》，《法學研究》，2018年第4期。

⑤胡文濤：《我國個人敏感信息界定之構想》，《中國法學》，2018年第5期。

⑥陳宗波：《我國生物信息安全法律規(guī)制》，《社會科學家》，2019年第1期。

⑦高富平：《論個人信息保護的目的——以個人信息保護法益區(qū)分為核心》，《法商研究》，2019年第1期。

責編/于洪清 美編/楊玲玲

聲明：本文為人民論壇雜志社原創(chuàng)內(nèi)容，任何單位或個人轉載請回復本微信號獲得授權，轉載時務必標明來源及作者，否則追究法律責任。