数字社会个人生物识别信息应用法律研究
发表时间:2025-06-18 15:46:14 来源:宁夏法学会 作者:
数字社会个人生物识别信息应用法律研究
——以法益区分为视角
石嘴山市红果子地区人民检察院 于成芳
摘要:数字社会个人生物识别信息被广泛应用于个人身份识别,掀起了新一轮的身份认证革命,但应用中存在的非法收集、滥用、泄露等问题也对个人生物识别信息安全提出了挑战。本文从个人生物识别信息应用的角度出发,以个人生物识别信息的法益区分视角,通过对个人生物识别信息基本概念的阐述,对我国应用现状分析,认为个人生物识别信息应用立法呈现公法与私法平行规范向二者融合规范的趋势。这种立法现状没有对个人生物识别信息的公私法益进行区分,将所有的应用行为统一置于一种应用场景下规范,不利于个人生物识别信息应用的有序发展。在梳理出应用限制、应用规则、分类分级管理机制上存在的问题后,笔者认为,我国应结合个人生物识别信息法益属性多元的特点,分别从私权应用和公权应用的角度对应用行为予以规范,护航个人生物识别信息安全。
关键词:个人生物识别信息应用,私法益,公法益,法益区分
一、个人生物识别信息概述及法益分析
(一)个人生物识别信息概述
国内现行立法对于个人生物识别信息这一概念无明确定义,《中华人民共和国网络安全法》、《民法典》均将个人生物识别信息与其他一般个人信息并列;《中华人民共和国个人信息保护法》将生物识别信息纳入个人敏感信心范畴,与宗教信仰、医疗健康等信息并列。《信息安全技术个人信息安全规范》中采用列举的方式对“个人生物识别信息”进行明确,认为个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。
笔者认为,随着个人生物识别技术的发展,个人生物识别信息的种类也将进一步丰富,但其本质不变,可将其定义为:通过对自然人生物特征的技术处理从而形成能够对自然人进行身份识别信息,包括生理特征信息和行为特征信息。此类信息具有唯一性、可识别性、稳定性和高度敏感性。
(二)个人生物识别信息的法益分析
1.私法益
个人生物识别信息基于个人生物特征产生,能够实现个人身份的认证,鲜明地指向单一主体,事关个人的基本权利,私法益是其最直接的内涵。以王利明教授为代表的学者认为个人信息是一种民事利益。王利明教授认为《民法通则》和《民法典》中从未使用“个人信息权”这一表述,表明立法者仅是认为个人信息应该受到保护,享有受法律保护的利益,而不是将其确定为一项具体的人格权利。杨立新教授则持相反意见,主张个人信息是一种民事权利,强调个人信息是一种具体的民事权利,与隐私权、肖像权等具体人格权属于并列关系,即“个人信息权”,单纯依据《民法总则》和《民法典》中“个人信息”的表述判断,没有充分的法理和法律依据。
笔者认为,个人信息是一种民事利益。我国对个人信息法法律研究起步较晚,且在较长一段时间内将其纳入隐私权范畴,现阶段对于个人信息的内涵和外延研究还不成熟,缺乏统一共识,此情境下将其确定为一项独立的民事权利,理论依据不足,具有跳跃性,应先将其视为一种新型的民事利益予以保护。因此个人生物识别信息在私法上仍属于民事利益。这一信息具体承载了四方面的权利内容,即一般人格权属性、.隐私权属性、身体权属性、财产权属性。
2.公法益
个人生物识别信息被广泛应用于社会管理和国防安保领域,应用目的、应用场景的特殊性决定了这类信息法益的复合型、多元型,其法益内涵超越了传统意义上公民个人层面的权利,扩展到了公共利益和国家安全利益。
公法益其实是私法益的集合,个人生物识别信息只有在社会层面的大规模应用才具有公共利益性,在数字化的社会管理背景下,这一特征日益明显。个人生物识别信息的应用改变了传统依靠人工手动统计进行身份识别的管理模式,节省了身份识别的人力、物力和时间成本,提升了社会管理的精度和准度,促进了社会管理效率。从公权力机构的应用目的来看,个人生物识别信息展现了极强的公共属性。公安机关强制采集公民指纹识别信息并将其嵌入公民身份证中,在刑事侦查中对于锁定犯罪嫌疑人、追捕罪犯等方面指纹识别信息发挥了巨大优势,体现了此类信息保障公共安全的重要作用;政府在公共场所安装人脸识别系统,在高考、社保、金融等领域强制采集公民人脸识别信息,是实现社会监控职能的需要,有利于维护公众秩序。同时,个人生物识别信息本身也是一种基础的公共数据资源。国家进行宏观调控、科学决策必须以数据为参考,个人生物识别信息提高了公共服务精准性和有效性。以新冠疫情防控为例,实现精准防控的前提是对公民的精准识别,个人生物识别信息资源高度契合了疫情防控的需求。
3.国家法益
个人生物识别信息承载着国家利益,关乎国家安全,具有重要战略价值。恐怖主义是威胁国家安全的重要因素之一,精准识别恐怖分子是反恐工作的重点和难点,个人生物识别信息在出入境检查工作中的应用让这一问题不再成为困扰。同时,在生物安全即国家安全的新形势下,个人生物识别信息的战略价值日益显现。在现代国家间的博弈中,信息战、生物战已经打响,个人生物识别信息的跨境流通增加了信息的应用风险,一些国家通过对基因识别信息等人类遗传性信息的收集、窃取,控制、掠夺人类遗传信息资源,甚至进行与病毒研究结合。在这种背景下,个人生物识别信息不仅仅是个人的信息,更是国家的信息,关乎国家整体安全。
二、我国个人生物识别信息应用的现状及问题
(一)应用实践现状
2015年1月4日,国内首家互联网银行深圳前海微众银行通过应用人脸识别信息完成第一笔放贷业务,标志着生物识别技术正式走进公众视野,并随着移动通信的迅猛发展以及智能移动终端的日渐普及,个人生物识别信息产业呈现高增长态势发展。目前,我国生物识别产业在全球仍处于中等水平,但增长速度高于全球平均水平,随着信息安全、金融交易、社会公共管理等领域的大规模应用,未来我国生物识别技术行业在步入成熟期前还会有一个高速的增长阶段。
从应用主体来看,私人领域应用需求逐年上升。个人生物识别信息最早应用于政府和军方等公共领域,但随着国家大数据战略的推进,数据资源的进一步开放共享,个人生物识别信息的商业应用价值不断凸显,私人领域的应用需求迎来发展浪潮。从应用种类来看,均衡化发展趋势明
显。个人生物识别信息种类较多,指纹识别信息因便利性、安全性、识别成本等综合性优势最早受到青睐,甚至出现一统天下的应用局面。但随着生物识别技术更新,技术应用成本不断降低,安全性更高、使用更便捷、外在因素影响更低的人脸识别信息、声纹识别信息、虹膜识别信息的市场占有率逐渐上升,应用的均衡性不断提高。从应用目的来看,行为预测功能不断强化。随着信息数据库的进一步拓展与技术的深度融合,个人生物识别信息的应用不再局限于单一的身份识别,行为预测功能不断强化。在新的应用阶段,通过对人脸识别信息、步态信息、基因信息等多种信息的技术融合和深度分析,能够判断个人情绪状态,预测个人行为。
(二)应用实践中侵权行为的表现形式
互联网时代,在侵权方式的隐蔽性和侵权手段的技术性同时作用下,个人生物识别信息应用侵权现象屡见不鲜,个人生物识别信息的“唯一性”受到严重挑战,科技应用的负面影响令人担忧。在手机App中植入安全漏洞,再通过电脑端软件操作,只需几秒钟,便可控制“千里之外”的手机摄像头、扬声器进行偷拍、窃听。“窃听风云”上演的背后是个人生物识别信息泄露的风险。下文针对常见的应用侵权行为展开分析:
1.违规收集个人生物识别信息
个人生物识别信息的违规收集,包含两种侵权行为,即非法收集和过度收集。第一种侵权表现为应用主体利用技术手段,往往通过隐蔽的方式,未经信息主体同意,甚至在信息主体不知情的情况下非法采集他人生物识别信息;第二种侵权表现为信息主体同意收集其某一种类型的个人生物识别信息,但应用主体超过同意权限,收集多种类型的个人生物识别信息。因人脸识别具有自然性和不易察觉性,所以人脸识别信息成为违规收集的重灾区,收集随意性大,应用风险难以掌控。
2.泄露个人生物识别信息
个人生物识别信息的泄露指应用主体在合法采集个人生物识别信息后,在信息存储或信息传输过程中,因技术保障不到位、风险防控能力不足导致的信息泄露行为。个人生物识别信息是计算机技术与生物识别技术的深度融合的产物,在应用中会将采集的信息进行数据化的转换,因此此类信息的应用需要以更高级别技术为支撑,以更安全的存储、运输方法为保障。但实践中,商业应用主体出于成本考虑,随意降低了应用的技术条件,造成信息泄露的风险加大。2019年2月“深网视界”发生大规模的数据泄露事件,造成超过 250 万人的信息数据被窃取,并有超过680 万条信息数据疑似遭遇泄露,这其中就包括身份证信息、人脸识别图像等,严重威胁被采集者的权利、自由和财产安全。
3.非法使用个人生物识别信息
个人生物识别信息的应用应遵循最小必要原则,但实践中一些应用主体为追求便利,利用信息主体信息保护意识淡薄的弱点,在使用一般个人信息就能达到使用目的的条件下,盲目跟风使用个人生物识别信息。如物业公司出于小区安全保障的需要,采集并使用业主的个人生物识别信息。此外,一些应用主体在信息收集后,“阳奉阴违”,擅自更改应用范围和方式,却未履行告知义务,也构成应用侵权。如商家合法收集客户人脸识别信息后,使用人脸识别信息分析客户的情绪状况、年龄状况、消费情况,属于过度使用的侵权行为。
三、我国个人生物识别信息应用存在的问题
(一)未区分不同法益的应用限制
个人生物识别信息的应用目的分为两种:一是基于公共利益的应用,通常是出于维护社会秩序和安全的需要,应用主体多为国家机关,受益主体是不特定的大多数人;二是基于私人利益的应用,一般是为追求商业利益的需要,应用主体多为企业和个人,受益主体是特定主体。目前在个人生物识别信息的应用中,这两种不同性质的应用并无明显的界限。《个人信息保护法》第二十八条第二款对敏感个人信息的处理提出了“特定目的”这一概念,但却并未对此作进一步解释说明,并不能成为判断应用目的合法性的依据。
传统研究中,将个人信息定位为一种私法益,将个人生物识别信息的应用侵权问题归结于私人主体对个人权益的侵犯,在立法中将所有应用行为置于同一维度之下,对应用目的不加区分的统一进行限制或许可。这种限制虽然能在一定程度上遏制私人主体的不合理应用行为,但也容易造成过度保护或保护不足,不利于为个人生物识别信息的应用搭建良好的法律框架,阻碍了个人生物识别信息技术的革新与发展。此外,这种应用限制忽略了公共领域的应用行为。在数字社会中,公权力机构已经成为了个人生物识别信息的最大收集者、应用者,与私人主体相比,公权力机构获得的信息更多、范围更广、真实程度更高,其对个人生物识别信息的侵权风险也最大,风险治理的责任也最大。在一种场景下,个人信息保护可能会促进某种权益,但一旦场景变化,个人信息保护就不但无法促进某种权益,反而可能妨碍另一种合法权益的实现。实践中,政府多头重复收集情况严重,滥采滥用问题突出,审查机制漏洞明显。公权力的应用边界不明确,导致公共利益虚化、泛化现象严重,公权利机关的应用行为甚至更容易成为侵犯公民个人生物识别信息的应用主体。
(二)未区分不同法益应用下的具体规则
我国《网络安全法》、《民法典》、《数据安全保护法》、《个人信息保护法》在信息收集、使用等方面提出了信息的处理准则,形成了以信息自决权为核心的“知情同意原则”。这一原则强化了信息主体对信息的控制权,是信息范围有限情境下的信息保护制度构建,但在个人生物识别信息应用中适用性并不强。个人生物识别信息种类的多样性、权益属性的复杂性以及应用场景的多元化,决定了个人生物识别信息的应用规则不能一成不变。在私法益应用中,私人主体通过书面告知机制,将信息收集、处理的所有内容均罗列在户协议和隐私政策中,个人生物识别信的相关内容也掺杂其中,给信息主体制造阅读困难,信息主体通常并无耐心认真阅读并研判,告知流于形式,“知情同意”机制难以真正落实。在公法益的应用中,公权力机构基于维护公共利益的需要,通常并不履行告知义务,将个人生物识别信息的应用视为履行职能的强制性手段,如交通运输领域的刷脸安检、刑事侦查活动的指纹识别等。因此知情同意原则本质上是对个人生物识别信息公私法益的双重属性的忽略,是应用原则的混同,并不具有普适性。
(三)未建立不同法益应用下的分类分级管理机制
个人生物识别信息既包括自然人的生理特征信息也包括行为特征信息,从信息的敏感度来讲,生理特征信息敏感度远高于行为特征信息,同时,就生理特征信息来说,其敏感度也不尽相同。人脸识别信息、指纹识别信息、声纹识别信息敏感度相对较低且易收集伪模仿造,还会随着个体年龄的变化发生较大的改变,稳定性也较差,而瞳孔识别信息、基因识别信息敏感度明显高于前者,一经形成终生不变。建立个人生物识别信息的分类分级管理机制是有序应用的前提,但目前的法律中缺乏对此类信息的细化分析,未建立个人生物识别信息的分类分级标准,对于不同情况下个人生物识别信息的应用主体、应用内容、方式以及流通共享范围均未明确,也未对应用技术风险及信息管控进行综合研判。作为个人信息最全面、最新的立法,《个人信息保护法》仅在第五十一条提出对个人信息实行分类管理的要求,至于如何分类、遵循何种标准均不得而知,分类分级缺乏可操作性的实施方案。这种将不同种类的个人生物识别信息混为一体的模式,容易导致信息主体、应用主体、监管者三方信任缺失,已不能适应数字社会的发展需要。
四、个人生物识别信息应用的法律完善建议
个人生物识别信息的商业化应用是不可逆的发展趋势,我国也应在借鉴域外经验的基础上,构建具有中国特色的个人生物识别信息保护体系。具体来说,应以公私法益区分为视角,引入场景理论,分别对私权应用和公权应用予以完善,共同推动个人生物识别信息应用发展。
(一)私法益应用的完善建议
1.遵循禁止应用的限制
私法益目的应用绝大部分是在商业场景下的应用,应用仍以基础性的身份识别功能为主,其中人脸识别、指纹验证、声纹解锁的应用最为广泛。然而经营者追逐利益的本性,应用中买卖、出租、交易等获利的行为极易导致信息泄露,甚至还可能引发伦理冲突和法律风险。一些商业主体通过对个人生物识别信息的融合利用,实现对个人的精准画像和精准推销,在此种应用场景下,个人的年龄、性别、行踪轨迹、情绪状况、健康状况等信息也一览无遗。因此应当禁止商业场景下的个人生物识别信息应用行为,但这禁止应用的原则并不完全绝对的,某些特定情况下还还应综合应用场景进一步研判分析。
《民法典》和《网络安全法》均规定了信息应用主体有明示义务,具体包括信息应用的目的、方式和范围,《个人信息保护法》对告知内容又进一步细化。实践中,应用主体的明示告知基本以格式条款代替,内容冗长,可读性不高,尽管信息主体签订了授权协议,但实质上其对信息采集者的身份、收集的目的、种类、用途、存储方式、风险防控措施等关键内容并不知情,或者知晓的并不全面,存在形式上的告知,实质上的刻意隐瞒嫌疑,信息主体的自决权无法保障。因此,在应用个人生物识别信息这一高度敏感的信息时,必须遵循强明示同意的应用原则,压实应用主体的明示告知义务,切实保障信息主体的知情权,确保信息主体的“同意”是其真实意思表示。告知时,必须做到内容简明真实,语言通俗易懂,涉及对信息主体权益影响的关键内容需以醒目的字体或颜色特别标注,同时对信息的主体“同意”行为也应有相应的判定标准。信息主体的“同意”应当是基于自由意志、无外在因素影响的情况下做出的肯定性行为,为获得某种服务而被迫或不得已同意或注册的行为不能视为真实的意思表示,不应认定为知情同意。
3.强化分类分级管理
分类分级管理强调对信息的精细划分,对应用主体的差异化管理。个人生物识别信息的敏感程度、采集方式、应用途径、风险防范要求均存在较大不同,若此对此类信息的管理采用同一标准,会导致利益失衡。在私法益的应用中,应根据应用场景,强化分类分级管控,精准评估,细化规范个人生物识别信息的应用行为,调和各方利益。我国应坚持场景理论,对私人主体的应用行为与侵权后果进行风险评估,依据不同场景下风险程度的强弱对个人生物识别信息的应用行为进行分类分级,结合具体案情对不同个人生物识别信息的风险进行分层规制,依据相应风险确定侵权主体相应的责任和义务。同时,还应根据私人主体资质的不同再次进行分级管理。对于信誉良好、信息风险治理能力强的私人主体,原则上可以提供更多的应用机会。监管部门也可依据此实行差异化监管,根据信息私人主体个人生物识别信息安全治理机制的建设程度确定监管力度、监管频次和监管重点,对尚未建立完备内部治理结构的私人主体,应加强日常监管频次,并禁止应用,着力提升监管效率。
(二)公法益应用的完善建议
1.明确公共利益的概念及范围
公法益的应用带有强烈的公共管理和服务的色彩,对此类个人生物识别信息应用治理,必须明确公共利益的目的和范围,既要防止公法益的过度使用也要防止应用不足导致的履职不畅。
公共利益的概念具有高度模糊性与歧义性,笔者认为,可以从三个角度理解这一概念:第一公共利益具有相对稳定性。公共利益是一个国家、一个民族、一定时期内多种利益权衡的结果,这一利益体现了特定历史时期下不特定主体共同的价值追求。但这种利益并非一成不变,而是随着社会实践的变化而变化。第二,公共利益具有整体性。公共利益代表不特定多数人的利益,是多数人认可的、接受的价值,超越了单个个人的利益,不是简单个人利益数字的叠加。第三,公共利益既抽象又具体。从宏观层面考虑,公共利益可以概括为社会秩序、社会安全、国家安全等内容,是一种抽象的价值导向。从微观层面看,这一概念又是具体的物化的利益形态,基础设施建设、发展教育、改善医疗环境都是维护公共利益的具体实践。
2.遵循合理使用的应用规则
合理使用原则源于著作权法的有关规定,笔者认为,这一原则在个人生物识别信息的公法益应用中同样适用,简单来说,在特定场景下,基于公法益的应用可以不经信息主体的同意。
从实践来看,公法益的应用场景一般为日常管理需要和应当突发公共事件需要。在日常管理中,由于涉及不特定多数人的需要,个人生物识别信息采集范围广、应用规模大,这种场景下履行告知义务成本高,难度大,不具有可操作性。同时,若明示告知后,未取得信息主体的同意授权,甚至会导致部分职能无法履行,最终不利于公共利益的实现,不符合公共利益优先的理念。如二代身份证强行采集公民的指纹信息、在重要公共场所安装人脸识别装置,应用目的明确,事关多数人利益,即使超出了个个人的合理预期,但符合公共利益需求,应视为正常的行政行为,不应遵循与私人主体一样的强明示同意原则。在突发公共事件中,由于情况紧急,条件有限,公权力机构为快速应对,将危害结果降到最低,可以不受知情同意原则限制,根据实际情况将权力进行合理扩张。当然,除上述特殊场景外,公权力机构还是应以保障信息主体的自决权为常态,遵循知情同意原则,最大程度上保障信息主体的合法权利。
3.降低分类分级管理要求
分类分级制度目的是促进个人生物识别信息的合理使用与流通,立法应根据应用主体的特点,制定宽严相济的风险分级制度。在公法益的应用中应实行较为宽松的分类分级管理标准,以方便使用为主。当个人生生物识别信息被用于政府治理时,评估的关键是该项应用是否满足优化公共政策、便利公众的使用目的和预期,避免超过合理使用的限度。事前已经对应用的必要性等要素进行研判分析,只有符合合理使用原则才会批准使用。其次,现阶段公法益的应用目标仍以基础的身份识别为主,只有在涉及突发公共事件时,才可能进行个人生物识别信息的深度分析。此场景下的应用对个人隐私、财产等具体权利侵犯的可能性较小。应用领域主要是刑事侦查、交通运输、疫情防控、社会保障、医疗服务等,应用具有严格的信息管控流程,信息泄露的风险小于私人主体的应用。最后,从风险治理意识和能力来看,公权力机构通常需要遵循严格的工作流程和工作纪律,或主动或被动的拥有一定的风险防控意识。同时,在风险治理上投入了大量的人力物力,基本上建立了相对成熟的风险治理机制,能够应对基本的风险。因此,在公法益的应用中,不应再层层加码,设置严格的分类分级管控标准及要求,增加应用障碍,影响个人生物识别信息的应用效果。
结语:新技术的应用与法律的进步相辅相成,只有形成良性循环,才能实现社会的进步与发展。生物识别信息应用的法治化,既是国家利益、社会公共利益与个人利益的平衡需要,也是建设法治国家、法治政府、法治社会必然要求。笔者希望本文对于个人生物识别信息应用的法律思考,能够为后来学者提供一定参考,共同促进我国个人生物识别信息保护的理论与实践探索。
参考文献
[1]杨立新.个人信息_法益抑或民事权利——对111条规定的“个人信息”之解读[J].法学论坛,2018(01).
[2]丁晓东.个人信息的双重属性与行为主义规制[J].法学家,2020(01).
[3]丁晓东 .论“数字人权”的新型权利特征[J].法律科学(西北政法大学学报),2022(06)[3].
[4]孙笑侠.身体权的法理——从《民法典》“身体权”到新技术进逼下的人权[J].中国法律评论,2020(06).
[5]张勇.敏感个人信息的公私法一体化保护[J].东方法学,2022(01).
[6]高志宏.个人信息保护的公共利益考量——以应对突发公共卫生事件为视角[J].东方法学,2022(03).
[7]洪延青.国家安全视野中的数据分类分级保护[J].中国法律评论,2021(05).
[8]褚婧一.论生物识别信息界定中的识别标准及我国的建构[J].华中科技大学学报(社会科学版),2023(04).
[9]朱沛智.个人生物识别信息侵权责任研究[J].甘肃政法大学,2024 (05).
[10]郑文阳.论个人生物识别信息保护中个体权利与公共利益的平衡[J].法律科学(西北政法大学学报),2024,42(02).
[11]孙楠.人脸识别技术应用的法律规制研究[D].吉林大学,2020.