韓 飛，周志山

（1.義烏工商職業(yè)技術(shù)學院 馬克思主義學院，浙江 義烏 322000；2.浙江師范大學 馬克思主義學院，浙江 金華 321004）

近年來，隨著人工智能的迅速發(fā)展，包括人體指紋、臉像、虹膜，以及多模態(tài)融合等各類愈發(fā)成熟的生物特征識別技術(shù)，正逐漸成為現(xiàn)代社會廣大人民群眾實現(xiàn)便捷化個人安全驗證的首選方式。但限于當下配套的法律規(guī)范尚不健全且行政管理亦未完全到位，致使一部分生物特征識別技術(shù)很容易在數(shù)字經(jīng)濟中被非法使用，而屢屢發(fā)生的個人生物識別信息泄露事件更引發(fā)了社會廣泛關(guān)注和公眾普遍憂慮。同時，從中國裁判文書網(wǎng)上調(diào)閱的相關(guān)案例也表明，數(shù)字經(jīng)濟發(fā)展過程中出現(xiàn)的諸多個人生物識別信息安全違法犯罪行為不但會給經(jīng)濟發(fā)展和社會穩(wěn)定帶來極大隱患，而且還很可能觸發(fā)難以預(yù)料的網(wǎng)絡(luò)輿情危機。對此，本文擬從個人生物識別信息的商品價值研究出發(fā)，深入剖析數(shù)字經(jīng)濟中存在的個人生物識別信息安全隱患及其背后隱藏的法律漏洞，進而嘗試從引領(lǐng)技術(shù)標準、完善立法保障、增強行業(yè)自律等多個維度提出科學而有效的保護策略。

一、個人生物識別信息商品化及其社會效益

自進入21世紀以來，基于生物特征的自動身份識別技術(shù)在計算機領(lǐng)域所取得的一系列重大創(chuàng)新成果，已促使世界各國爭先恐后地應(yīng)用新技術(shù)來助推數(shù)字經(jīng)濟的全面提速?？呻S之而來頻繁爆發(fā)的大量個人生物識別信息被濫用、盜用，甚至被當作“信息商品”進行交易的情況，卻又使得數(shù)字經(jīng)濟發(fā)展過程中存在的信任危機和商業(yè)風險變得愈加凸顯。故此，加快開展個人生物識別信息商品化研究，理性看待新技術(shù)創(chuàng)造的社會效益就具有特別重要的現(xiàn)實意義。

（一）個人生物識別信息的含義與特點

一般來講，包括指紋、臉像、掌形等可識別自然人生理特性與生物特征的信息，都可被稱為個人生物識別信息。尤其伴隨現(xiàn)代生物特征識別技術(shù)的不斷進步和進入大規(guī)模應(yīng)用階段以后，人們先通過將個人生物識別信息轉(zhuǎn)換為數(shù)字信息，并直接儲存在計算機硬盤或云盤中，再利用可靠的匹配算法來完成驗證及個人身份識別。于是，越來越多的國家都在想方設(shè)法按照人人皆有生物識別信息的共通性、單個市場交易主體身上生物識別信息的獨特性、大部分生物識別信息不會因年齡和環(huán)境變化而改變的穩(wěn)定性，以及偽造難度極高的不可復(fù)制性等特點，試圖將生物特征識別技術(shù)更廣泛地應(yīng)用在智能家居控制、門禁系統(tǒng)開關(guān)、簽證信息比對、文件真?zhèn)螜z驗、人員身份核查、深度反恐防恐等各個行業(yè)領(lǐng)域，以期盡快把整個經(jīng)濟社會帶入跨越式發(fā)展的新階段。

（二）數(shù)字經(jīng)濟衍生出的個人生物識別信息商品化

數(shù)字經(jīng)濟（又稱信息經(jīng)濟）時代里，信息商品化指的是將信息的使用、交換、開發(fā)都納入商品經(jīng)濟軌道之中。這既促成市場中各類企業(yè)或個體消費者對信息商品的需求呈現(xiàn)數(shù)量不斷增加、檔次日漸提升的新趨勢，又由于急需的信息產(chǎn)品數(shù)量和品種供不應(yīng)求而催生出專門從事信息產(chǎn)品交換的信息市場。信息市場的出現(xiàn)，一方面令生物識別信息產(chǎn)品變得能同其他商品一樣可以在市場中自由流通，實現(xiàn)信息供需雙方間的等價交換；另一方面又幫助企業(yè)利用生物識別信息隨時能夠從市場中獲取急需的生產(chǎn)資料，形成更大經(jīng)濟效益，并推動整個社會商品經(jīng)濟保持平穩(wěn)增長和持續(xù)繁榮。美國咨詢機構(gòu)Transparency Market Research估算，2020年全球生物識別技術(shù)市場規(guī)模已達到233億美元［1］。由于許多成熟的生物特征識別技術(shù)已被世界各國廣泛應(yīng)用，不僅像嵌入式心電圖傳感器、雙目生物識別攝像頭、生物指紋掃描儀等信息識別硬件產(chǎn)品成為信息市場“新寵”外，很快就連個人生物識別信息也在眾多西方發(fā)達國家成為可以自由交易的商品在互聯(lián)網(wǎng)上被販賣。例如，英國有很多個人主動提供的重要生物識別信息，在網(wǎng)上售價常常達到5～10英鎊（約合人民幣87～174元）。

（三）生物特征識別技術(shù)助推社會經(jīng)濟結(jié)構(gòu)轉(zhuǎn)型升級

作為工業(yè)社會發(fā)展的最新產(chǎn)物之一，生物特征識別技術(shù)正逐步取代PIN碼、磁條等傳統(tǒng)密碼驗證方式，成為包括教育、金融、社保、安防、司法等各個社會領(lǐng)域中最被看好的一項信息技術(shù)資源。中國公安系統(tǒng)就較早地采用加入指紋信息的新一代身份證，以實現(xiàn)遠程身份核查。2013年，以蘋果在iPhone 5S上推出Touch ID為標志，生物特征識別技術(shù)開始被民用化地移植到智能手機、iPad等移動終端，并正式成為公眾消費品，大大方便了人們通過手機網(wǎng)上銀行直接辦理各類在線業(yè)務(wù)。由此可見，把日趨成熟的生物特征識別技術(shù)應(yīng)用到經(jīng)濟或社會生活的各個領(lǐng)域，既有利于促進網(wǎng)絡(luò)信息科技，特別是大數(shù)據(jù)技術(shù)在人工智能領(lǐng)域?qū)崿F(xiàn)更加便民的信息化服務(wù)，又能幫助企業(yè)創(chuàng)造更高生產(chǎn)效率、形成更多經(jīng)濟效益。同時，這也有助于引導一個國家的經(jīng)濟結(jié)構(gòu)從傳統(tǒng)工業(yè)經(jīng)濟朝著數(shù)字經(jīng)濟加快轉(zhuǎn)型升級，能進一步培育和提升現(xiàn)代化經(jīng)濟體系的全方位國際競爭力，保障整個社會經(jīng)濟建設(shè)獲得長期繁榮穩(wěn)定發(fā)展。

二、數(shù)字經(jīng)濟中的個人生物識別信息安全隱患及其成因

在生物特征識別技術(shù)被廣泛應(yīng)用于車站、機場、銀行、電子商務(wù)等各類應(yīng)用場景的今天，生物識別產(chǎn)品因其愈趨低廉的售價和簡易的操作流程倍受政府、企業(yè)、學校、家庭，乃至軍隊等各類市場交易主體的普遍歡迎。但任何一種新技術(shù)都是把雙刃劍，人們一邊在盡情享受著生物特征識別技術(shù)帶來的全新體驗，另一邊卻并未意識到這種新技術(shù)在預(yù)防攻擊性和保障安全性方面正遭遇前所未有的嚴峻挑戰(zhàn)。

（一）個人生物識別信息遭遇不法侵權(quán)案接踵而至

2017年9月，浙江松陽判決特大信息侵權(quán)案，有超過7億條信息遭泄露［2］。2020年2月，浙江衢州判決“中國人臉數(shù)據(jù)刑事第一案”，該案犯罪團伙非法使用了547個依靠人臉識別認證的實名支付寶賬戶［3］。2020年9月，廣西南寧又發(fā)生一起置業(yè)顧問誘導十多名房產(chǎn)業(yè)主在毫無防范的情況下使用手機app進行刷臉驗證，并給受害人造成數(shù)十萬到上百萬元不等的巨大經(jīng)濟損失案件。①央視網(wǎng).廣西南寧:十幾名業(yè)主刷臉賣房被騙超千萬元［EB/OL］.（2020-12-10）［2021-01-12］.http://tv.cctv.com/2020/12/10/VIDEXGdyjEKE0SC80Via9Xx5201210.shtml.2020年11月，浙江富陽法院判決“野生動物世界”賠償原告1038元，并刪除原告辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息［4］。該案件被稱作是“中國人臉識別第一案”，其判決結(jié)果更令人們意識到：指紋、臉像等個人生物識別信息在被人們當作數(shù)字經(jīng)濟的商品交易媒介來使用時，必須同時做好足夠的信息安全保障工作，以及認真維護好公民合法的個人信息權(quán)益，否則一旦給不法分子提供可乘之機，將必然會引發(fā)大量難以預(yù)料的個人信息安全風險隱患。例如，中國裁判文書網(wǎng)的統(tǒng)計數(shù)據(jù)顯示，在2019—2020年與“刷臉支付”有關(guān)的裁判文書共發(fā)布64篇，從沿海到內(nèi)地的20多個省市皆有分布。

（二）個人生物識別信息泄露給數(shù)字經(jīng)濟發(fā)展帶來嚴重危害

隨著支付寶和微信支付的日益普及，越來越多的人都已習慣于用指紋或刷臉等生物特征識別技術(shù)來完成網(wǎng)上個人的數(shù)字身份認證，并在超過常規(guī)的交易金額限制時，可同樣依靠個人生物識別信息來提供更嚴格標準、更高要求的信用授權(quán)。但與此同時，鑒于個人生物識別信息具有唯一性的特點，即便經(jīng)過整容后的人臉仍會有很多未實施整形部位的特征依舊能夠被生物識別技術(shù)有效獲?。?］，實現(xiàn)超乎人們想象的精準比對效果，這進一步導致違規(guī)采集、運輸公民個人生物識別信息，乃至被非法盜用變得更為容易，也更難預(yù)防。事實上，個人隱私信息被無意識、無察覺泄漏的巨大隱患，已不僅令公民的合法權(quán)益隨時可能遭遇難以防范的有意侵害或其他潛在威脅，而且還將迫使受害者連鎖反應(yīng)地不得不在發(fā)現(xiàn)安全隱患的第一時間立即采取手機號碼更換、門禁系統(tǒng)再設(shè)置、銀行賬戶臨時凍結(jié)等一系列煩瑣、復(fù)雜的緊急應(yīng)對措施，從而給公民個人日常生活帶來極大妨礙。同時，個人生物識別信息泄露也會給數(shù)字經(jīng)濟中的生產(chǎn)經(jīng)營企業(yè)帶來諸多不利影響，如后疫情時代里企業(yè)法人因無法安全地利用個人生物識別信息來通過互聯(lián)網(wǎng)及時簽訂交易合同，或完成合同約定的本方義務(wù)而造成難以估量的重大經(jīng)濟損失。此外，社會信用體系同樣會因信息泄露而產(chǎn)生不小的危機，近期被國家市場監(jiān)督管理總局依法立案調(diào)查的某集團控股有限公司，就是采用以生物特征識別技術(shù)為支撐的支付寶等第三方支付工具，引導數(shù)字經(jīng)濟的廣大線上交易主體采用指紋或刷臉來完成商品或服務(wù)訂購，以提高用戶“黏性”，再利用大數(shù)據(jù)實現(xiàn)對不同數(shù)字經(jīng)濟交易主體的精準分析，形成市場優(yōu)勢和壟斷地位，阻斷市場的公平競爭環(huán)境。故此，只有打破地區(qū)封鎖和行業(yè)壟斷，清除數(shù)字經(jīng)濟中的信息技術(shù)壁壘，確保人們的個人生物識別信息在使用過程中采取加密傳輸和存儲，以及嚴格的權(quán)限控制、審計追蹤等監(jiān)察措施，真正達到信息環(huán)境的安全可靠，才能更好地建設(shè)和健全數(shù)字經(jīng)濟時代全覆蓋的社會信用體系。

（三）產(chǎn)生個人生物識別信息安全隱患的主要成因

一方面，由于我國尚未對個人生物識別信息進行詳細的安全標準界定，這使得社會上許多已廣泛應(yīng)用個人信息的政府機關(guān)、企事業(yè)單位等都可能在缺乏法律監(jiān)督的情況下隨意使用生物特征識別技術(shù)去采集、錄入和保存?zhèn)€人信息。同時，還有不少為政府機關(guān)、企事業(yè)單位提供生物特征識別技術(shù)產(chǎn)品服務(wù)的市場供應(yīng)商亦未形成足夠的信息安全意識，其使用的信息設(shè)備終端也未采取最先進、最高級的安全防護措施，結(jié)果這類信息服務(wù)供應(yīng)商用于業(yè)務(wù)開展的數(shù)據(jù)平臺也就自然而然地成了“黑客”首選攻擊的對象。往往一次成功的網(wǎng)絡(luò)竊取就可以令數(shù)千，乃至上萬條數(shù)字個人信息被徹底泄露。另外，在數(shù)字經(jīng)濟發(fā)展過程中對個人生物識別信息采集規(guī)范的落實不到位更是個人信息安全標準不完善的典型表現(xiàn)。鑒于在個人生物識別信息的收集、存儲、處理等各環(huán)節(jié)中既沒有明確規(guī)范采集者的責任和義務(wù)，又沒有具體規(guī)范被采集者維護自己個人信息的選擇權(quán)與知情權(quán)，這就導致一旦有交易活動主體被侵權(quán)，往往當事人自己還搞不清楚是否曾經(jīng)盲目地簽署過隱私授權(quán)協(xié)議。

另一方面，當前除個人生物識別信息安全標準缺失與規(guī)范不到位外，更關(guān)鍵的問題還在于現(xiàn)行法律法規(guī)對個人信息保護存在諸多漏洞。首先，在立法層面還僅停留在個人信息保護的框架構(gòu)建上，如新出臺的《中華人民共和國民法典》雖然對個人信息保護范圍做了新的界定，但仍有不少問題存在爭議，包括現(xiàn)行有效法律對個人生物識別信息案件大多還缺乏實踐可操作性。其次，在司法層面存在因維權(quán)成本過高，致使一部分在數(shù)字經(jīng)濟活動中被侵權(quán)的受害者無奈選擇放棄使用“法律武器”來維護自己的個人生物識別信息權(quán)益。這反映了個人生物識別信息權(quán)益的受害者一邊必須為“誰主張誰舉證”而承擔舉證責任風險所苦惱，另一邊還要顧忌現(xiàn)行法律能給予受害者的賠償很可能遠小于打官司維權(quán)所需付出的較高成本。此外，一些地區(qū)的行政監(jiān)管層也存在失職失責等問題，包括未能為保障數(shù)字經(jīng)濟主體中的個人生物識別信息安全構(gòu)建統(tǒng)一的管理和監(jiān)督職能部門；也未對從事信息服務(wù)管理的行業(yè)出現(xiàn)侵犯個人生物識別信息安全的情況制定和采用行政強制措施以及時加以阻止，等等。

三、數(shù)字經(jīng)濟中保護個人生物識別信息安全的有效對策

受新冠疫情影響，國內(nèi)外市場環(huán)境都變得異常復(fù)雜，要實現(xiàn)在風險可控前提下穩(wěn)妥應(yīng)用生物識別這一前沿技術(shù)，更好地保障數(shù)字經(jīng)濟交易主體信息安全、中小企業(yè)數(shù)據(jù)資產(chǎn)安全，以及維護好國家金融安全，就必須從厘清個人生物識別信息保護的安全邊界和責任機制，提升生物識別技術(shù)標準的先進性與可靠性，加強信息安全立法保障與提高行政執(zhí)法效能，推進行業(yè)自律和構(gòu)建科學的信息安全監(jiān)管體系，以及宣傳公益廣告增強公民信息安全防范意識等多個維度來制定有效對策。

（一）厘清個人生物識別信息保護的安全邊界和責任機制

未來社會生活中“數(shù)字”體驗無處不在，尤其當人們身處數(shù)字經(jīng)濟時代里，普遍都會用到以“刷臉”為代表的各類先進生物特征識別技術(shù)。但由于人們主要的生物體表特征都暴露在外、沒有衣物遮擋，不具備較強的隱蔽性，因而難以有效保障數(shù)字經(jīng)濟中的個人生物識別信息不被非法偷拍或盜用。雖然，2020版《信息安全技術(shù)個人信息安全規(guī)范》已要求在收集個人生物識別信息前必須征得主體授權(quán)同意，但未來在這一安全規(guī)范基礎(chǔ)上，還須做到既要從行政法規(guī)角度出發(fā)來科學劃定個人生物識別信息保護的安全邊界，又要對從事制造生物識別技術(shù)產(chǎn)品的企業(yè)資質(zhì)、產(chǎn)品安全標準和市場準入標準，以及就信息數(shù)據(jù)的儲存資質(zhì)與時限、使用權(quán)限等方面清晰地界定好安全責任機制，以確保所有與生物識別技術(shù)相關(guān)的生產(chǎn)企業(yè)和提供產(chǎn)品應(yīng)用服務(wù)的企業(yè)都能按照嚴格規(guī)定要求提高個人信息安全監(jiān)管上的足夠的透明度。

（二）提升生物識別技術(shù)標準的先進性與可靠性

技術(shù)標準如同社會法律法規(guī)，是整個市場經(jīng)濟當中推動生物技術(shù)應(yīng)用行業(yè)發(fā)展至關(guān)重要的前提條件；同時爭當國際標準的引領(lǐng)者亦是我國生物識別技術(shù)設(shè)備制造企業(yè)走向海外市場的重要途徑。針對信息市場中現(xiàn)有生物識別技術(shù)普遍存在的安全隱私保護問題，一方面，政府應(yīng)責無旁貸地不斷增加科研院所開展個人信息保護關(guān)鍵技術(shù)研發(fā)的專項基金，加大必不可少的研發(fā)人才補助，完善技術(shù)創(chuàng)新保障措施。另一方面，政府也可考慮采取與科技創(chuàng)新型企業(yè)簽訂委托技術(shù)開發(fā)合同的方式，全面建立個人生物識別信息的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)管機制，做好個人生物識別信息終端、傳輸、平臺三位一體的安全防護，改進多模態(tài)生物識別算法的容侵能力，搭建個人隱私信息的安全屏障。此外，還要通過出臺相關(guān)政策，以便使政府能更好地支持和鼓勵有較強實力的科技創(chuàng)新型企業(yè)同國際公益性標準協(xié)會組織展開協(xié)作，加緊追趕國際上生物識別技術(shù)向多模態(tài)融合發(fā)展轉(zhuǎn)變的趨勢，及時形成一套國內(nèi)國際市場上都能通用的標準化應(yīng)用準則。

（三）加強信息安全立法保障與提高行政執(zhí)法效能

過去由于缺乏相關(guān)立法保障，在許多侵犯公民個人信息的案例中，往往侵權(quán)者獲得的利益巨大，而違法被查后所需付出的代價較小、行政處罰也偏輕，致使實際中現(xiàn)有法律條文或行政法規(guī)都還難以對數(shù)字經(jīng)濟交易中頻繁出現(xiàn)的非法盜取或出售個人生物識別信息行為起到有效預(yù)防和嚴厲打擊的理想效果。例如，新施行的《民法典》雖然已經(jīng)把個人生物識別信息納入新的個人信息界定范圍之中，但并未具體到對生物識別信息采集主體、采集信息條件與范圍、特定的信息儲存與管理方式，以及相應(yīng)的法律責任等內(nèi)容做出細致的解釋和說明。故此，要想更好地調(diào)節(jié)個人生物識別信息安全和數(shù)字經(jīng)濟發(fā)展之間的平衡關(guān)系，就須加緊推動個人信息保護法的盡早出臺，以完善個人信息處理規(guī)則，明確個人信息保護監(jiān)管職責［6］。與此同時，各地方政府也應(yīng)積極設(shè)立專門獨立的個人信息保護機構(gòu)，統(tǒng)一管理個人生物識別信息，更有利于從根本上解決以往人社局、民政局、房管局等多個地方行政管理部門之間因為對個人信息管理的權(quán)力范圍、安全規(guī)則、保管時效不同而極易產(chǎn)生的管理混亂或沖突。只有通過設(shè)立專門獨立的信息安全執(zhí)法機構(gòu)，才能既有效增強數(shù)字經(jīng)濟交易過程中個人生物識別信息管理強制力，構(gòu)建起專業(yè)合法的信息調(diào)查取證機構(gòu)，提高行政執(zhí)法效能；又能更好地推動以政府授權(quán)的第三方監(jiān)管部門做到及時制止和嚴厲打擊數(shù)字經(jīng)濟發(fā)展過程中隨時可能出現(xiàn)的泄露個人生物識別信息等違法行為，并公示相關(guān)責任主體以提高人們的警惕意識。

（四）推進行業(yè)自律和構(gòu)建科學的信息安全管理體系

在當代愈趨完善的社會主義市場經(jīng)濟體制下，個人生物識別信息安全保護的主體是信息采集者，其對數(shù)字經(jīng)濟發(fā)展中的個人信息安全負有不可推卸的重要責任。現(xiàn)在，通過積極采納有助于強化行業(yè)自律的各項政策措施，既能彌補我國現(xiàn)有法律在個人信息保護方面的漏洞或不足之處，又能提升信息采集者樹立堅守職業(yè)道德底線的責任意識，有助于認真做好個人生物識別信息安全儲存與有效利用工作，自覺維護好數(shù)字經(jīng)濟中的公民合法信息權(quán)益。有鑒于當今社會法制建設(shè)尚不十分健全，僅僅依靠行業(yè)自律來確保公民的個人信息安全仍顯力度不夠，故而須更加重視在各行各業(yè)中組織建立起適用于個人生物識別信息的科學安全管理體系。在此，信息安全管理體系的核心任務(wù)是要求確保嚴格按照生物特征識別信息安全管理標準，以先進的風險管理方法來制定實際可操作的信息安全管理體系，實現(xiàn)正確引導和全面監(jiān)督所有從事個人生物識別信息采集的組織機構(gòu)。例如，在實施行業(yè)自律的企業(yè)內(nèi)部管理制度之外，主動參考ISO27001標準來為從事信息采集的組織機構(gòu)構(gòu)建起一套科學的信息安全管理體系，就能在很大程度上更為有效地促使這些信息采集機構(gòu)認真履行職責、自覺接受來自各方的嚴格監(jiān)督，不斷提升數(shù)字經(jīng)濟中的個人生物識別信息安全管理成效［7］。

（五）借宣傳公益廣告增強公民信息安全防范意識

大多數(shù)廣告在傳統(tǒng)的市場交易過程中，遵循給予受眾滿意、愉快、信任的情感心理基礎(chǔ)，運用藝術(shù)的強大感染力來引發(fā)受眾的情緒記憶，提高廣告說服力和宣傳影響力。但與普通商業(yè)廣告不同的是，宣傳個人生物識別信息安全保障的警示教育類公益廣告在其傳播的核心內(nèi)容上，并非著眼于產(chǎn)品的市場推銷或通過塑造品牌來打造“粉絲經(jīng)濟”。相反，其更側(cè)重喚起人們的公益心以廣泛關(guān)注社會上出現(xiàn)的個人信息遭遇違法侵犯行為，以及由此引發(fā)重大財產(chǎn)損失或隱私泄露等性質(zhì)惡劣、影響深遠的社會問題。借助廣泛開展公益廣告宣傳活動的形式，既有助于提高數(shù)字經(jīng)濟發(fā)展過程中公民的個人信息安全防范意識，避免過去因缺乏必要的安全保護措施、或因?qū)€人生物識別信息做好防護的憂患意識不足，導致受害人在個人信息侵權(quán)違法事件發(fā)生時只能保持緘默，難以有效維護自己的合法權(quán)益，甚至令整個社會的數(shù)字經(jīng)濟發(fā)展也失去了不可或缺的安全信用體系屏障與法律保護。同時，亦有利于警醒廣大公民更加重視培育良好信息素養(yǎng)，主動學習個人生物識別信息安全防護相關(guān)基本知識，確保未來在遭遇不法侵害時懂得如何拿起法律武器來捍衛(wèi)權(quán)利，共同維護好數(shù)字經(jīng)濟時代正常的市場交易秩序。