个人生物识别信息是指通过生物特征识别技术获取的、能够单独或者与其他信息结合识别该自然人身份的个人生物特征信息及相关信息,包括但不限于指纹、人脸、虹膜、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据与模板。个人生物识别信息具有精准识别性、不可变更性、易采集性等特点,一旦被不当使用,将会对信息主体的人身财产权利产生不可逆的损害。因此,域外国家在对个人信息建构整体保障机制的同时,对个人生物识别信息进行了重点保护,主要分为专门立法保护、综合立法保护、行业规范保护三种模式。
专门立法保护
专门立法保护模式通过制定专门法律对个人生物识别信息施以保护,代表国家是美国。2020年,美国《国家生物识别信息隐私法》正式出台,该法以2008年美国伊利诺伊州《生物识别信息隐私法》为参照,标志着美国在联邦和州层面均确立了对个人生物识别信息的专门立法保护。
该模式的核心特征如下:
第一,保护进路具有差异化。立法基于个人生物识别信息使用主体的不同作出了区分规定:对于政府或公共机构,现有法律主要规定了合目的性的限制条件,即以概括性授权的方式赋予上述主体基于公共管理的目的使用个人生物识别信息的权限,例如《生物识别信息隐私法》第29条规定,国家机关或为相关单位工作的承包商、分包商、代理人不受个人生物识别信息使用规则的限制。对于个人或非政府实体,使用个人生物识别信息必须满足“知情-同意”要件。例如,《国家生物识别信息隐私法》明确禁止私人实体出于商业目的获取个人生物识别信息,除非事先获得信息主体的明确授权同意。
第二,保护范围涉及信息的全生命周期。《国家生物识别信息隐私法》从数据的收集、储存、使用、保管、披露、传输以及销毁七个环节,对个人生物识别信息的保护措施作出规定,建立起对个人生物识别信息的全方位、无死角、多维度的立体保护机制。
第三,救济途径以民事损害赔偿为主,行政和刑事救济措施相对弱化。针对侵犯个人生物识别信息的行为,《生物识别信息隐私法》和《国家生物识别信息隐私法》均赋予信息主体获取民事损害赔偿、申请行政禁令、要求给予刑事罚金的权利。然而,因证明困难和危害后果不显著等问题,在具体实践中,美国联邦和各州对于个人生物识别信息受到侵犯的信息主体主要提供民事救济。行政或刑事救济难以充分发挥作用,少有的刑法规制也多集中于“身份盗窃”领域。
综合立法保护
综合立法保护模式是指出台统一的个人信息保护法,在整体规制的框架下对个人生物识别信息进行规范保护的模式。该模式的显著特征在于将不同类型的个人信息纳入统一规范体系,代表国家为欧盟各国、日本和印度。
在综合立法保护模式下,各国对个人信息进行了较为细致的区分,根据信息敏感性和人身关联性对个人信息实行分级保护,其中个人生物识别信息的保护位阶较高。例如,欧盟《通用数据保护条例》将个人生物识别信息视为个人敏感数据,并给予特别保护,甚至对其中部分数据作出了禁止使用的规定(如基因数据)。日本《个人信息保护法》将个人信息分为一般个人信息与敏感个人信息,DNA序列、面部外观、指纹和掌纹等个人生物识别信息属于敏感个人信息,使用上述信息会受到更多限制。印度《个人数据保护法案》对数据、个人数据与数字个人数据进行了明确区分,其中数字个人数据是指以数字形式收集的或以非数字形式收集但随后数字化的可识别到个人或有关个人的数据,包括指纹、虹膜等在内的个人生物识别信息均属此范畴,使用此类数据必须满足合法原则、目的限制原则、数据最小化原则、安全原则、存储限制原则等一系列限制性要求。
相较于专门立法保护模式,综合立法保护模式下个人生物识别信息所适用的救济措施更为丰富,该模式不拘泥于单一的民事救济手段,而是为信息主体建立起完整的“民-行-刑”救济机制。以欧盟《通用数据保护条例》为例,信息主体不但享有包括被遗忘权、更正权、限制处理权、数据转移权与反对权等在内的诸多民事权利,还可以获得行政救济。该条例规定,信息主体在提出民事诉讼前有权直接向数据监管机构提起申诉,而无须以发生实际损害结果为条件。根据侵权主体的不同程度的违法行为,行政管理机构可对其处以1000万欧元至2%企业年收入或2000万欧元至4%企业年收入(取两者中的较高者)的罚款。日本《个人信息保护法》也在民事救济之外规定了行政和刑事救济措施,违反该法有关规定的数据处理者、数据接收者可能面临10万日元以下的罚款;构成犯罪的则会面临6个月以下、1年以下或两年以下有期徒刑,或30万日元以下至1亿日元以下的罚金。
行业规范保护
行业规范保护模式是指在缺乏强制性法律法规的情况下,由行业协会、组织或企业自身制定和实施的行为准则、最佳实践指南或标准,来规范个人生物识别技术的应用、保护个人生物识别信息。一些未能建立个人信息保护法律体系的国家(如赞比亚等),以及虽然出台了个人信息保护的相关法律,但缺少个人生物识别信息内容的国家(如阿根廷、菲律宾、新加坡等),通常需要参照国际组织或行业协会的标准文件来规范个人生物识别信息的使用。目前,国际标准化组织制定的《信息安全、网络安全和隐私保护——生物识别信息保护规范》以及《信息技术安全技术隐私框架规范》是最具代表性的行业规范,上述规范对个人生物识别信息的使用规制涉及收集、存储、处理、共享和销毁等。
行业规范保护模式能够在强制性规范缺位的情况下补齐个人生物识别信息保护的短板,具有一定的灵活性、前瞻性。对于个人生物识别信息保护立法滞后、规范缺乏的国家和地区,行业规范能够迅速回应技术、市场和消费者关于个人生物识别信息保护的需求,更好地应对新技术带来的技术风险和法律挑战。例如在阿根廷,随着数字支付和电子银行的兴起,传统密码存在较大的安全隐患,各大银行逐渐开始运用生物识别技术等无密码认证方式保障交易安全和效率。由于该国缺乏相关法律规定,不少银行和支付平台开始参照《线上快速身份验证国际技术标准》来规范相关技术的使用。
但行业规范保护模式缺乏强制问责机制。无论是专门立法保护模式还是综合立法保护模式,使用个人生物识别信息的主体违反相关法律规范都将面临法律责任,但行业规范缺少国家强制力作为后盾支撑,当信息使用主体违反相关规定时,该模式通常只能通过公开批评、降低行业声誉或营造市场消费压力等方式来敦促有关主体承担责任、履行义务,这种依赖行业内的道德压力、市场竞争力和声誉影响来促使参与者遵守相关标准的规制模式,难以实现刚性监督和良好的惩戒效果。尤其是对于一些处于监管盲区或具有市场支配地位的强势企业,行业规范难以起到真正的约束作用。
(本文系山东大学人文社会科学“全面依法治国战略实施中的数据运用与数据治理”创新团队项目的阶段性研究成果)
(作者单位:山东大学法学院)