【摘 要】 在個(gè)人生物識別信息風(fēng)險(xiǎn)化的時(shí)代，要對生物識別信息提供區(qū)別于一般個(gè)人信息的專門保護(hù)，才能適應(yīng)技術(shù)的迅猛發(fā)展。特別保護(hù)首先需要遵循區(qū)別于一般個(gè)人信息保護(hù)的基本原則，故本文在借鑒歐盟個(gè)人信息保護(hù)經(jīng)驗(yàn)的基礎(chǔ)上，結(jié)合中國國情，探討個(gè)人生物信息識別信息保護(hù)的基本原則，旨在為防止個(gè)人生物識別信息的濫用提供原則基礎(chǔ)。

【關(guān)鍵詞】 個(gè)人生物識別信息 保護(hù)原則

由于人工智能技術(shù)的革新，生物識別技術(shù)在日常生活中出現(xiàn)的頻率越來越高。生物識別技術(shù)出現(xiàn)在連鎖便利店、手機(jī)支付app、住宅小區(qū)、企事業(yè)單位為生活提供便利的同時(shí)，也出現(xiàn)在信息買賣黑市中等待交易，利用深偽技術(shù)的詐騙也層出不窮。目前，我國對于數(shù)據(jù)安全問題，在不當(dāng)獲取和使用問題方面已發(fā)布了相關(guān)規(guī)范。但法律總會滯后于現(xiàn)實(shí)，在生物識別信息的采集、運(yùn)用和共享方面的規(guī)制依然不夠。規(guī)則的制定需要遵循一定的原則。在此，筆者分析歐盟現(xiàn)有關(guān)于生物識別信息法律保護(hù)的原則，在結(jié)合中國國情下，分析出切實(shí)可行的生物識別信息保護(hù)的一般法律原則。

一、個(gè)人生物識別信息的概念和特征

生物識別技術(shù)是指通過辨別人的生物或行為特征等生物識別信息如指紋、虹膜、人臉、掌紋等確定其身份的技術(shù)。目前，該技術(shù)已被廣泛運(yùn)用到如居民身份證、個(gè)人計(jì)算機(jī)、手機(jī)、安全門禁、零售店支付以及銀行等領(lǐng)域。在國內(nèi)外法律理論與實(shí)踐中，生物識別信息屬于一種個(gè)人信息，由個(gè)人信息保護(hù)法或者專門針對生物識別信息的特別法律文件提供保護(hù)。[1]

個(gè)人生物識別技術(shù)在使用維度相比普通的密碼方式具有便捷性、衛(wèi)生性、不可替代性和高度安全性等特征。但由此歸集而成的信息具有唯一識別性和穩(wěn)定性等優(yōu)缺點(diǎn)并存的特點(diǎn)。正是因?yàn)檫@些特點(diǎn)，給生物識別信息的保護(hù)帶來了諸多困難，信息一經(jīng)采集幾乎不需要二次更新便可永久使用，甚至不需許可就能收集。據(jù)此，在個(gè)人生物識別信息的各個(gè)環(huán)節(jié)都要遵循相應(yīng)的原則。他山之石，可以攻玉，借鑒現(xiàn)行的域外經(jīng)驗(yàn)，總結(jié)經(jīng)驗(yàn)和缺點(diǎn)，可以更好的對我國生物識別的保護(hù)提供思路。

二、歐盟生物識別信息的保護(hù)原則

歐盟的數(shù)據(jù)保護(hù)經(jīng)驗(yàn)，相比美國的技術(shù)壁壘型規(guī)則對于我國更有借鑒意義。歐盟在個(gè)人信息保護(hù)方面采用的是立法型規(guī)則，制定嚴(yán)格的使用限制和高額處罰，實(shí)現(xiàn)對個(gè)人信息的保護(hù)，對我國數(shù)據(jù)安全技術(shù)相對滯后的現(xiàn)狀更有借鑒意義。歐盟gdpr設(shè)立了個(gè)人敏感信息的專門分類用以區(qū)分該信息的特殊性，明確規(guī)定生物識別信息屬于個(gè)人敏感信息的子分類，適用特殊保護(hù)的標(biāo)準(zhǔn)，并且在一般數(shù)據(jù)保護(hù)合法、公平、透明、目的限制、數(shù)據(jù)最小化、存儲限制、完整性、機(jī)密性、安全性原則的基礎(chǔ)上建立以下特殊原則來強(qiáng)化對生物識別信息的專門保護(hù)：[2]

1.禁止處理原則，即包括自然人、法人、公共機(jī)構(gòu)、行政機(jī)關(guān)或其他非法人組織在內(nèi)的“控制者”“處理人”“第三方”在通常情況下無權(quán)“僅以識別自然人為目的”處理個(gè)人生物識別信息。

2.明示同意原則，即以上主體必須在自然人的明確表示同意下能在法定范圍內(nèi)進(jìn)行數(shù)據(jù)的處理和使用。

3.法定必須原則，則是為明示同意原則留下了使用的窗口，其規(guī)定在公共利益、社會利益、工作職責(zé)的必須下，上述信息的控制者可以在不經(jīng)信息主體的同意下使用其身份識別信息。

以上原則一定程度上兼顧了個(gè)人信息安全和公共利益保護(hù)的平衡，在此基礎(chǔ)上繼續(xù)探討中國生物識別信息保護(hù)的一般原則會更加切實(shí)可行。

三、生物識別信息保護(hù)特殊原則

1.禁止收集原則，即與歐盟gdpr的禁止處理原則一致，在沒有主管部門審批合格，具有相應(yīng)收集資質(zhì)的情況下相關(guān)個(gè)人、企事業(yè)單位、非法人組織無權(quán)進(jìn)行聲紋、指紋、面部信息的收集，更不談保存。在收集的源頭強(qiáng)化門檻限制，有助于對這類特殊信息的特別保護(hù)。

2.告知—同意原則，該原則是指在擁有收集資質(zhì)的收集主體在收集信息主體生物識別信息時(shí)信息主體擁有的被告知權(quán)，并且在獲得被告知主體明確同意的情況下才可以對生物識別信息進(jìn)行收集。該原則的內(nèi)涵為信息主體擁有是否同意該服務(wù)框架的平等選擇權(quán)，而不會承受不接受該條款的不利影響。比如在“人臉識別第一案”中，該原則的內(nèi)涵體現(xiàn)在郭先生不需要接受必須采取人臉識別的方式才能進(jìn)入動(dòng)物園的合同條款，而只接受驗(yàn)票入園。在這一原則下，信息主體選擇給予授權(quán)是對收集主體的隱私條款的正向支持，該主體信息安全保護(hù)機(jī)制的認(rèn)可，故會激勵(lì)信息收集主體對隱私安全的強(qiáng)化以增強(qiáng)該主體特別是企業(yè)主體的核心競爭力。

3.禁止他用原則，即在信息收集主體收集了該生物識別信息后，依照簽訂的協(xié)議和授權(quán)許可的范圍進(jìn)行使用，禁止用于其他的使用類別，對于信息的傳輸共享也要遵循告知—同意原則。

4.信息的退出原則，即在信息主體不認(rèn)可相關(guān)信息收集主體的使用方式和范圍后，賦予信息主體的刪除權(quán)，由于個(gè)人生物識別信息具有“一次收集，永久獲益”的特點(diǎn)，該信息經(jīng)過收集后幾乎不需要更新。所以在信息的退出時(shí)，更需要把該退出數(shù)據(jù)庫的權(quán)利賦予個(gè)人，明確個(gè)人的刪除權(quán)，相關(guān)收集機(jī)構(gòu)需要配合個(gè)人做到數(shù)據(jù)庫的永久刪除退出，對于已經(jīng)傳輸給另一主體的信息，也要配合刪除。

5.公共利益原則，即為了社會管理、公共利益、社會利益的需要，具有相應(yīng)資質(zhì)的行政機(jī)關(guān)或者其授權(quán)的組織可以不經(jīng)信息主體的同意收集、使用和共享該信息。該原則是為了公共安全和社會利益的考量，是個(gè)人的信息權(quán)利和公共利益最大化的流動(dòng)選擇。

四、結(jié)語

生物識別信息的保護(hù)事關(guān)個(gè)人權(quán)利的保護(hù)，也是國家生物安全的保護(hù)課題。面對該重大問題的挑戰(zhàn)，在厘清法律保護(hù)原則的基礎(chǔ)上，更要配套完善的法律法規(guī)保護(hù)體系和完備的監(jiān)管機(jī)制，才能保障生物識別信息的安全以及生物識別技術(shù)的法治化發(fā)展。

【注 釋】

[1] 劉越.論生物識別信息的財(cái)產(chǎn)權(quán)保護(hù)[J].法商研究，2016，33（06）：73-82.

[2] 參見歐盟GDPR第9條第2款第（b）至（j）項(xiàng)。

【參考文獻(xiàn)】

[1] 王德政.針對生物識別信息的刑法保護(hù)：現(xiàn)實(shí)境遇與完善路徑——以四川“人臉識別案”為切入點(diǎn)[J/OL].重慶大學(xué)學(xué)報(bào)（社會科學(xué)版）：1-12[2020-06-21].http：//kns.cnki.net/kcms/detail/50.1023.c.20200407.1725.006.html.

[2] 付微明.個(gè)人生物識別信息民事權(quán)利訴訟救濟(jì)問題研究[J].法學(xué)雜志，2020，41（03）：73-81.

作者簡介：吳蘭琦（1996—），女，漢族，湖南長沙，研究生在讀，湘潭大學(xué)，研究方向法律（法學(xué)）