论坛 | 生物识别信息法律规制的国际经验与启示
近年来,生物识别技术在公共安全、智能安防、移动支付等领域快速发展和不断推广。但是,由于生物识别信息具有与个人身份强相关等属性,导致对生物识别信息的开发、利用过程中暗含诸多数据安全风险。目前,多个国家意识到生物识别信息保护的重要性和紧迫性,着手推进相关的立法进程。通过对相关国家生物识别信息法律规制现状和司法实践情况进行分析,可以为构建和完善我国生物识别信息保护法律制度提供参考。
一、生物识别信息应用暗藏数据安全风险
生物识别作为一种新型智能化的身份识别方式,已经在公共安全、金融、安防、交通、教育等领域得到广泛应用。根据前瞻产业研究院的报告,中国生物识别技术行业市场规模在2021年有望突破340亿美元。有预测称,生物识别会先于人工智能进入大规模应用阶段。实践中,生物识别信息具有防伪性好、私密性强、方便携带、难遗忘等特征,被认为是一种更加准确、便捷的身份认证方式。
由于生物识别信息自身的特性,其在开发利用中暴露出诸多数据安全风险。第一,生物识别信息一般可单独识别特定个人身份,与其他类型的个人信息相比,敏感性更强,对其收集、使用、存储等的安全要求更高。例如,印度政府构建的全球最大的居民生物身份数据库Aadhaar,就屡屡传出泄露丑闻,深受质疑。第二,生物识别信息具有唯一性、不可变更性,一旦被窃取或滥用即无法再撤销或修改。第三,一些生物识别信息具有公开性(如人脸、声纹等),容易被他人获取,并通过技术合成伪造个人身份。
由于个人生物识别信息的高度敏感性,对其的不当收集、使用或信息泄露,不仅会对个人信息及人身财产权利带来损害,大量的个人生物识别信息泄露还会对国家整体数据安全产生影响。
二、多国立法强化保护生物识别信息
考虑到生物识别信息开发的巨大价值及其数据安全风险,欧美等发达国家以及印度、巴西等新兴经济实体都着手在立法中对生物识别信息进行规定。通过对欧盟《通用数据保护条例》(GDPR)、美国加利福尼亚州《2018消费者隐私法》(CCPA)、印度《2018个人数据保护法案(草案)》、巴西《通用数据保护法》以及美国伊利诺伊州《生物信息隐私法》(2008年)、德克萨斯州《生物识别信息获取、使用法》(2009年)、华盛顿特区《生物识别信息法》(2017年)进行比较研究,分析主要国家对生物识别信息规制的主要内容与趋势。
(一)生物识别信息规制的立法模式
目前,有关生物识别信息保护的立法主要包括两种立法模式,一种是在统一的个人信息/数据保护立法中对个人生物识别信息进行规定,如GDPR、印度《2018个人数据保护法案(草案)》、巴西《通用数据保护法》等。此类立法模式将个人生物识别信息作为敏感个人信息的一类加强保护。另一种是出台专门的个人生物识别信息保护法案,以美国伊利诺伊州、德克萨斯州、华盛顿特区为典型代表(马萨诸塞州、纽约州、特拉华州、阿拉斯加州、密歇根州等多个州都在考虑制定出台生物识别信息保护法案)。目前,多数国家采用在一般性数据立法中加强规定的立法模式,专门的生物识别信息立法仅存在于美国的州层面。美国这种特有的立法模式,与美国联邦层面没有统一的数据保护法,各州针对个人信息保护实践中的具体问题(如数据泄露等)出台州层面立法的模式有关。
(二)生物识别信息的定义范围
一般性数据立法主要通过“定义+列举”的方式明确生物识别信息的范围。GDPR规定“个人生物识别信息是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识”,并列举了人脸数据、指纹数据等。CCPA及印度《2018个人数据保护法案(草案)》都进一步丰富了生物识别信息的类型。CCPA中增加了能够提取出生物识别数据的模板(如面部打印、声音记录等),以及包含识别信息的点击模式或节奏、步态模式或节奏以及睡眠、健康或运动数据。印度《2018个人数据保护法案(草案)》增加了对数据主体的行为特征进行测量产生的个人数据等。
美国州层面的专门立法都是通过列举的方式明确保护的范围。其中,伊利诺伊州《生物信息隐私法》的规定最为详细,明确生物识别信息包括视网膜或虹膜扫描图、指纹、声纹、手或脸的几何扫描图形,以及任何基于生物标识可识别特定个人的信息。同时,伊利诺伊州还明确生物识别信息不包括书写样本、书写签名、照片、用于有效科学测试或筛选的人类生物样本、人口统计数据、纹身描述或身体描述。
目前,一般性数据立法对于生物识别信息的定义范围有不断更新、扩充的趋势。未来,随着新的生物识别信息类型出现,其范围将会进一步扩大。专门立法由于对生物识别信息的保护义务规定严格,因而对于其范围也通过肯定列举的方式进行了严格的限定。
(三)生物识别信息的保护主体
GDPR、印度《2018个人数据保护法案(草案)》及巴西《通用数据保护法》规制的对象为数据控制者和数据处理者,即统一对参与数据处理活动的主体进行规制。而CCPA则只针对营业收入较高、用户较多或主要以用户个人信息作为收入来源的企业规定消费者隐私保护的义务。美国三个州出台的生物识别信息专门立法则只适用于私营主体,不适用政府部门。美国州层面的个人信息保护立法呈现出不对所有的数据处理主体进行“一刀切”规定的趋势,而是聚焦于具有更多、更重要的个人信息保护义务主体之上。
(四)生物识别信息的保护规则
GDPR、印度《2018个人数据保护法案(草案)》及巴西《通用数据保护法》都将生物信息纳入敏感个人信息进行保护。对于敏感个人信息,以禁止收集、处理为原则,并单独列举可以收集、使用的例外情形,如数据主体明确同意、为科研需要和公共活动需要等。印度《2018个人数据保护法案(草案)》还规定,数据受托人使用个人敏感数据(如遗传数据或者生物识别数据),应事先通过“数据保护影响评估”。
美国州层面的生物识别信息专门立法主要从数据生命周期的五个方面对生物识别信息的保护措施进行规定。第一,收集生物识别信息前需通知个人;第二,只有在满足立法中列举的特定情形下才能对生物识别信息进行出售、披露;第三,企业需对生物识别信息进行特殊的安全防护;第四,仅限于满足生物识别信息收集时的目的才能对生物识别信息进行留存;第五,在生物识别信息不必要时需对其进行删除、销毁。2008年出台的美国伊利诺伊州《生物信息隐私法》规定更为严格,要求企业要以书面形式告知用户对其生物识别信息的收集、存储、使用,并取得用户的书面同意,还规定企业应当公开书面生物识别数据政策,建立数据留存、销毁的计划、指南;在满足收集的目的或收集满3年后应销毁用户生物识别数据。但是,由于技术发展和应用普及,目前伊利诺伊州此种强管制的规定与实践发展显现出明显的不适应。德克萨斯州和华盛顿特区的立法已经体现出对企业义务放松规制的趋势,对通知和同意的形式、企业的法律责任等规定趋于灵活。
(五)生物识别信息保护的法律责任
两种立法模式都明确了违反生物识别信息保护义务的法律责任。一般性数据保护立法呈现出加大处罚力度的趋势,GDPR、印度《2018个人数据保护法案(草案)》、巴西《通用数据保护法》都规定违反个人数据保护的最高可执行一千万欧元(5亿卢比、5千万雷亚尔)或企业上一年总营业额2%的罚款。CCPA还规定,消费者可因企业违反隐私保护规定提起民事诉讼,企业需为每个消费者赔偿100~750美元。
美国三个州生物识别信息专门立法在法律责任方面的规定相差最大。伊利诺伊州规定的法律责任最为严格,个人可提出民事赔偿诉讼,公司过失违法的处1000美元违约金或实际损害赔偿金,故意违法的处5000美元违约金或实际损害赔偿金。德克萨斯州《生物识别信息获取、使用法》授权司法部长可对违反生物识别信息保护进行处以为2.5万美元的处罚,华盛顿特区《生物识别信息法》则未规定个人提起诉讼权利。
三、生物识别信息保护司法实践情况
目前,因生物识别信息提起诉讼的案件主要发生在美国。自2016年起,美国消费者因企业违反生物识别信息保护规定提起多起集体诉讼,脸书(Facebook)、谷歌等大型互联网企业均在被诉之列。就目前相关案件判决情况,美国法院就承担生物识别信息保护法律责任的认定存在争议。
2016年3月,用户向谷歌提起集体诉讼,认为谷歌对用户在“谷歌照片”中上传的照片进行分析建立面部模型,既没有公布收集用户生物识别信息的政策,也未获得用户的书面同意。2019年1月,谷歌案法官以原告无法证明因谷歌公司的行为造成“具体损害”而驳回了原告起诉。
在另一起案件中,法院则做出了完全相反的判决。2017年12月,伊利诺伊州一位市民因其儿子办理六旗主题公园(Six Flags)的季卡时被要求提供指纹信息而向法院提起诉讼,认为六旗主题公园既没有公布收集用户生物识别信息的政策,也未获得用户的书面同意,违反了伊利诺伊州《生物信息隐私法》的规定。伊利诺伊州上诉法院判决认为,原告未能证明合法权利受到损害,未支持原告的诉讼请求。伊利诺伊州最高法院在2019年1月推翻了原审法院的判决,认为生物特征隐私是一项基本的民事权利,个人无需证明受到实际损害就可起诉自身权利受到侵害。
此外,2016年5月,多名用户针对Facebook的图片标签功能提起集体诉讼,认为Facebook未经用户同意收集用户生物识别信息,并存储在Facebook面部识别数据库中。只要用户上传照片,Facebook的系统就会自动分辨出镜头中的面孔与之前上传照片中的人脸匹配,最后鉴别出个人身份。2019年8月,美国第九巡回上诉法院驳回了Facebook要求撤销集体诉讼的请求,将该案退还给旧金山地方法官进行审理。目前,该案最终的审理结果尚未知晓,在谷歌案和六旗公园案审理结果存在矛盾和争议的背景下,该案的最终审理结果将会对同类案件产生重要影响。
四、对我国生物识别信息法律规制建议
目前,我国尚未出台生物识别信息专门的立法或文件,但是,相关法律法规对生物识别信息进行了规定。《网络安全法》规定:“个人信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。《中华人民共和国反恐怖主义法》规定,为调查恐怖活动嫌疑的需要,公安机关可以提取或者采集个人的生物识别信息。《中华人民共和国出境入境管理法》规定,申请办理外国人居留证件应留存个人生物识别信息。由此可见,我国将生物识别信息作为个人信息进行保护,对于能够收集、使用生物识别信息的情形,在专门立法中进行规定。此外,GB/T 35273-2017《信息安全技术 个人信息安全规范》将个人生物识别信息列为个人敏感信息。其中规定:收集个人敏感信息,应获得个人信息主体的明示同意;传输、存储个人敏感信息,应采用加密等安全措施;共享、转让个人敏感信息,应告知个人信息主体涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。
我国目前的立法尚未对生物识别信息的保护和利用进行强化规定,一方面不利于引导产业健康有序发展,另一方面还会增大生物识别信息滥用和泄露风险,威胁个人信息安全。因此,我国需要进一步完善生物识别信息保护法律制度。
(一)在统一立法中对生物识别信息进行规定
目前,《个人信息保护法》《数据安全法》已列入十三届全国人大常委立法规划。未来,在个人信息保护领域,我国更倾向于制定统一的立法对相关问题进行规定。同时,借鉴目前国外的立法经验,大多数国家还是采用在统一的个人信息保护立法中对生物识别信息进行规定。我国现行立法是将生物识别信息作为一类个人信息进行保护,建议在未来的个人信息保护法中考虑立法的衔接性和一致性,将生物识别信息列为敏感个人信息,对敏感个人信息进行加强保护。
(二)对生物识别信息进行全周期的制度设计
借鉴目前国外对生物识别信息保护的规定,以及GB/T 35273-2017《信息安全技术 个人信息安全规范》的内容,未来,我国这方面的立法,应从数据的全生命周期出发,对生物识别信息保护进行规定。第一,以禁止收集、使用为原则,列举可收集、使用的具体情形,如个人明示同意、为公共事业需求等。第二,存储生物识别信息必须对其采取加密处理和技术安全保障。第三,对留存个人生物识别信息的条件和时间限制以及个人生物识别信息的及时删除都需明确。
(三)明确生物识别信息保护的法律责任
参考其他国家关于生物识别信息保护法律责任的立法设计以及司法实践中落实法律责任的现实困难,建议我国在生物识别信息保护法律制度构建中明确个人有权因其生物识别信息被侵犯提起民事诉讼,并放松对个人的举证责任要求。同时,也应确立相关主管部门对违法收集、使用、共享生物识别信息行为的行政处罚权限。
(四)灵活的制度设计为创新发展留有空间
美国伊利诺伊州《生物信息隐私法》是目前世界上对生物识别信息保护规定最为严格的立法。由于其出台之后十多年来,生物识别信息技术和产业领域发生了巨大变化,其中很多过于严格的规定已经不适应发展的实际情况,不仅会加大创新型企业的合规成本,也增大了消费者滥诉的风险,对产业发展和司法实践都造成了一定困扰,伊利诺伊州内部对该法案的质疑和反对不断。基于我国生物识别快速发展的现实和国外立法的经验,我国对于生物识别信息保护的立法制度设计不宜过于严格,明确在保证个人对其生物识别信息的合法权益不被侵犯的前提下,宜为技术和产业发展留下充分的空间。
作者:中国信息通信研究院 赵淑钰
(本文刊登于《中国信息安全》杂志2019年第11期)