陸海娜 趙賡

引言

生物識(shí)別技術(shù)，是一種通過(guò)自動(dòng)技術(shù)對(duì)人體固有的生物特性和行為特征進(jìn)行識(shí)別，然后與數(shù)據(jù)庫(kù)的模板數(shù)據(jù)進(jìn)行比較，從而確定個(gè)人身份的技術(shù)。1參見(jiàn)張鐸：《生物識(shí)別技術(shù)基礎(chǔ)》，武漢大學(xué)出版社2009年版，第1頁(yè)。相比于其他身份鑒定方法，生物識(shí)別技術(shù)具有安全、便捷的優(yōu)勢(shì)。近幾年，我國(guó)生物識(shí)別產(chǎn)業(yè)迅速發(fā)展，商業(yè)利用人臉、指紋等生物識(shí)別信息的范圍越來(lái)越廣，使用方式也越來(lái)越多樣化。1根據(jù)前瞻產(chǎn)業(yè)研究院的報(bào)告，預(yù)計(jì)到2023年，我國(guó)生物識(shí)別行業(yè)市場(chǎng)規(guī)模將達(dá)到379億元。參見(jiàn)前瞻產(chǎn)業(yè)研究院：《2021—2026年中國(guó)生物識(shí)別技術(shù)行業(yè)市場(chǎng)調(diào)研與投資預(yù)測(cè)分析報(bào)告》。但是，我國(guó)對(duì)生物識(shí)別信息的保護(hù)現(xiàn)狀卻不容樂(lè)觀，實(shí)踐中在信息收集和披露、損害救濟(jì)等方面存在不少問(wèn)題。2例如，有報(bào)告顯示，我國(guó)一些應(yīng)用軟件存在著過(guò)度收集個(gè)人生物識(shí)別信息的問(wèn)題。參見(jiàn)中國(guó)消費(fèi)者協(xié)會(huì)：《100款A(yù)pp個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》，載中國(guó)消費(fèi)者協(xié)會(huì)網(wǎng)，http://www.cca.org.cn/jmxf/detail/28310.html。有報(bào)道稱(chēng)，有商家公開(kāi)出售大量“人臉數(shù)據(jù)”。參見(jiàn)《17萬(wàn)條“人臉數(shù)據(jù)”遭公開(kāi)售賣(mài)，覆蓋超2000人！》，載搜狐網(wǎng)，http://www.sohu.com/a/343495053_100017041。此外，“人臉識(shí)別第一案”也引出了生物識(shí)別信息救濟(jì)方面的問(wèn)題。參見(jiàn)《人臉識(shí)別第一案：技術(shù)濫用下的隱私之殤》，載《三聯(lián)生活周刊》2019年第46期，第108—113頁(yè)。諸如商業(yè)濫用個(gè)人生物識(shí)別信息的問(wèn)題，主要反映出我國(guó)現(xiàn)行法律對(duì)生物識(shí)別信息商業(yè)利用規(guī)范的不足。我國(guó)現(xiàn)行法律中僅有《中華人民共和國(guó)民法典》和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》在“個(gè)人信息”的定義中提到了“生物識(shí)別信息”3參見(jiàn)《中華人民共和國(guó)民法典》第1034條、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第76條。，尚未針對(duì)生物識(shí)別信息保護(hù)作出專(zhuān)門(mén)規(guī)定。《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡(jiǎn)稱(chēng)“《個(gè)人信息保護(hù)指南》”）、《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱(chēng)“《個(gè)人信息安全規(guī)范》”）以及《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等規(guī)范性文件雖然區(qū)分了“個(gè)人信息”和“個(gè)人敏感信息”，將生物識(shí)別信息列入“個(gè)人敏感信息”，規(guī)定了更嚴(yán)格的保護(hù)措施，但它們均為非強(qiáng)制性的國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)。4參見(jiàn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（GB/Z 28828—2012），5.2—5.5；《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273—2020），5—7；《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171—2020），6。立法的缺失使得個(gè)人在強(qiáng)勢(shì)企業(yè)收集利用其生物信息時(shí)顯得軟弱無(wú)力。

個(gè)人生物識(shí)別信息涉及到隱私權(quán)等基本權(quán)利，其性質(zhì)與其他敏感信息不同：個(gè)人生物識(shí)別信息涉及到人的身體，對(duì)個(gè)人身體自主控制的權(quán)利是隱私權(quán)最核心的內(nèi)涵。尤其是人臉識(shí)別技術(shù)，具有非接觸性、侵入性強(qiáng)等特點(diǎn)，一旦被濫用可能會(huì)對(duì)個(gè)人生活造成難以恢復(fù)的災(zāi)難性影響。而且即便沒(méi)有被濫用等后果，一個(gè)人如何處理關(guān)于自身身體的信息，本質(zhì)上也是個(gè)人自主權(quán)的一部分，是個(gè)人尊嚴(yán)的體現(xiàn)。因此，對(duì)個(gè)人生物識(shí)別信息的法律保護(hù)，需要從信息收集、儲(chǔ)存、披露以及損害救濟(jì)等方面作出相比其他個(gè)人信息更為嚴(yán)格的規(guī)定。

《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案二次審議稿）》（以下簡(jiǎn)稱(chēng)“《個(gè)人信息保護(hù)法（草案二次審議稿）》”）從立法層面區(qū)分了一般個(gè)人信息和敏感個(gè)人信息，規(guī)定了處理敏感個(gè)人信息應(yīng)當(dāng)向個(gè)人告知處理的必要性和對(duì)個(gè)人的影響，并指出法律、行政法規(guī)可以對(duì)處理敏感個(gè)人信息作出更嚴(yán)格的限制。5參見(jiàn)《個(gè)人信息保護(hù)法（草案二次審議稿）》第31條、第32條。對(duì)于生物識(shí)別信息，《個(gè)人信息保護(hù)法（草案二次審議稿）》將“個(gè)人生物特征”列入“敏感個(gè)人信息”中，并規(guī)定“在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、個(gè)人身份特征信息只能用于維護(hù)公共安全的目的，不得公開(kāi)或者向他人提供，取得個(gè)人單獨(dú)同意的除外”1參見(jiàn)《個(gè)人信息保護(hù)法（草案二次審議稿）》第27條。。盡管《個(gè)人信息保護(hù)法（草案二次審議稿）》已在生物識(shí)別信息保護(hù)專(zhuān)門(mén)規(guī)定上邁出一步，但目前仍存在許多未決的問(wèn)題。

我國(guó)學(xué)術(shù)界對(duì)個(gè)人信息保護(hù)的研究成果已經(jīng)非常豐富，但對(duì)于個(gè)人生物識(shí)別信息保護(hù)方面的研究還較少。本文嘗試從比較法的角度，從已有的他國(guó)法律經(jīng)驗(yàn)出發(fā)，為我國(guó)進(jìn)一步完善這方面的法律提出建議。

比較各國(guó)實(shí)踐，美國(guó)較早地對(duì)生物識(shí)別技術(shù)進(jìn)行商業(yè)利用，也較早地面臨生物識(shí)別信息法律保護(hù)的問(wèn)題。伊利諾伊州、德克薩斯州和華盛頓州都先后對(duì)生物識(shí)別信息進(jìn)行了專(zhuān)門(mén)立法保護(hù)。前兩個(gè)州的立法基本采取了嚴(yán)格保護(hù)生物信息的進(jìn)路，而華盛頓州則采取了對(duì)商業(yè)利用更為友好的進(jìn)路。兩種進(jìn)路是不同立法理念和利益方博弈的結(jié)果，也展現(xiàn)了不同進(jìn)路對(duì)各種權(quán)利和利益平衡的考量。中國(guó)和美國(guó)的法律制度雖然有很大差異，但是同樣面臨著大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的法律難題。因此，從功能主義的角度，美國(guó)生物識(shí)別信息商業(yè)利用的立法和實(shí)踐經(jīng)驗(yàn)對(duì)我國(guó)相關(guān)法律制度的完善也有參考價(jià)值。

一、伊利諾伊州《生物識(shí)別信息隱私法》和德克薩斯州《生物特征符獲取或使用法》

2008年，美國(guó)伊利諾伊州通過(guò)了《生物識(shí)別信息隱私法》（Biometric Information Privacy Act，以下簡(jiǎn)稱(chēng)“BIPA”）。作為美國(guó)第一部對(duì)商業(yè)利用生物識(shí)別信息進(jìn)行專(zhuān)門(mén)保護(hù)的法律，BIPA對(duì)“私營(yíng)實(shí)體”在個(gè)人生物識(shí)別信息的收集、保護(hù)、使用和銷(xiāo)毀以及個(gè)人信息主體的救濟(jì)手段等方面作出了較為詳盡的規(guī)定，并經(jīng)過(guò)判例法不斷發(fā)展。2BIPA所規(guī)制的“私營(yíng)實(shí)體”指?jìng)€(gè)人、合伙企業(yè)、公司（corporation）、有限責(zé)任公司（limited liability company）、協(xié)會(huì)或者其他組織。其中，與中國(guó)的“有限責(zé)任公司”不同，美國(guó)的“有限責(zé)任公司”（limited liability company）實(shí)際上是一種股份公司與合伙相結(jié)合的公司組織形式。See Illinois Complied Statutes Chapter 740§14/10 (2008); Robert B. Taylor, Limited Liability Company, 26 Maryland Bar Journal 48, 48-50(1993).BIPA通過(guò)后一年，德克薩斯州通過(guò)了《生物特征符獲取或使用法》（Capture or Use of Biometric Identifier Act，以下簡(jiǎn)稱(chēng)“CUBI”），該法在規(guī)范內(nèi)容上與BIPA非常相似。BIPA和CUBI被認(rèn)為是“美國(guó)第一代生物識(shí)別信息隱私法”3Michelle J. Anderson & Jim Halpert, Washington Become the Third State with a Biometric Privacy Law: Five Key Differences, 1 RAIL: The Journal of Robotics, Artificial Intelligence & Law 41, 41-46 (2018).，其特點(diǎn)是對(duì)生物識(shí)別信息進(jìn)行嚴(yán)格的保護(hù)。

（一）嚴(yán)格保護(hù)的進(jìn)路

1. 立法目的與概念定義

伊利諾伊州BIPA的出臺(tái)具有偶然性。由于伊利諾伊州一家運(yùn)營(yíng)指紋識(shí)別系統(tǒng)的公司破產(chǎn)，大量被收集了指紋的用戶(hù)開(kāi)始擔(dān)心他們的生物識(shí)別信息會(huì)被任意處理。1See Charles N. Insler, How to Ride the Litigation Rollercoaster Driven by the Biometric Information Privacy Act,43 Southern Illinois University Law Journal 819 (2019).生物特征具有獨(dú)特性和不可變更性，一旦泄露便是終身泄露，會(huì)有極大的身份被盜竊的風(fēng)險(xiǎn)，并且難以恢復(fù)原狀。在此背景下，伊利諾伊州議會(huì)注意到了人們對(duì)生物識(shí)別信息安全性的焦慮、公眾對(duì)新技術(shù)的警惕以及生物識(shí)別技術(shù)商用化潛在的未知風(fēng)險(xiǎn)。2See Illinois Complied Statutes Chapter 740§14/5 (2008).出于這種對(duì)生物識(shí)別技術(shù)商業(yè)利用高度警惕的態(tài)度，BIPA的規(guī)范內(nèi)容對(duì)生物識(shí)別信息的保護(hù)作出了嚴(yán)格的規(guī)定。同時(shí)，由于BIPA在文本中明確了其立法目的，使得法院在具體判例中也傾向于采取嚴(yán)格保護(hù)個(gè)人信息主體權(quán)益的態(tài)度。

美國(guó)生物識(shí)別隱私法在概念上區(qū)分了“生物特征符”（biometric identifier）和“生物識(shí)別信息”（biometric information）。BIPA將“生物特征符”定義為“視網(wǎng)膜或虹膜的掃描、指紋、聲紋、手或臉的幾何掃描”3See Illinois Complied Statutes Chapter 740§14/10 (2008).。CUBI的定義與之相似。4See Texas Business and Commerce Code § 503.001 (a) (2009).BIPA進(jìn)一步規(guī)定該法所稱(chēng)的“生物特征符”不包括筆跡、簽名、照片以及用于科學(xué)和醫(yī)療的人體數(shù)據(jù)等。5See Illinois Complied Statutes Chapter 740§14/10 (2008).“生物識(shí)別信息”的定義則是建構(gòu)在對(duì)“生物特征符”的定義之上的。根據(jù)BIPA，“生物識(shí)別信息”是指基于“生物特征符”產(chǎn)生的信息（無(wú)論該信息是如何獲得、轉(zhuǎn)換、儲(chǔ)存或者共享的）；基于“生物特征符”定義所排除的項(xiàng)目或過(guò)程所產(chǎn)生的信息都不屬于“生物識(shí)別信息”。6See Illinois Complied Statutes Chapter 740§14/10 (2008).

判例法對(duì)“生物特征符”和“生物識(shí)別信息”的概念做了進(jìn)一步的明確。在里維拉等訴谷歌案（Rivera et al.v.Google Inc.）中，原被告針對(duì)通過(guò)對(duì)用戶(hù)上傳到云服務(wù)中的照片進(jìn)行人臉掃描所獲得的人臉模板是否屬于BIPA所規(guī)定的“生物特征符”產(chǎn)生爭(zhēng)議。由于BIPA規(guī)定照片不屬于該法所稱(chēng)的“生物特征符”，被告認(rèn)為對(duì)照片進(jìn)行的人臉識(shí)別不受BIPA的保護(hù)。對(duì)此，法院認(rèn)定，BIPA沒(méi)有對(duì)獲取生物特征符的方式作出限制，以不同方式收集到的生物特征符并不會(huì)因其收集方式的不同而導(dǎo)致性質(zhì)上的不同；無(wú)論收集者將生物特征符轉(zhuǎn)換成何種形式，只要所得到的信息可以用來(lái)對(duì)個(gè)人進(jìn)行識(shí)別，就受到BIPA的保護(hù)。對(duì)本人面部進(jìn)行掃描得到的人臉模板，和從照片或視頻中生成的人臉模板都屬于BIPA所規(guī)定的“生物特征符”。7See Rivera v. Google Inc., 238 F. Supp. 3d 1093-1095 (N.D. Ill. 2017).法院指出，“生物特征符”和“生物識(shí)別信息”區(qū)分的意義在于，前者是生物特征測(cè)量的集合，后者是將這些測(cè)量轉(zhuǎn)換成不同的可用的形式；前者只是用于識(shí)別一個(gè)人的、特定的、基于生物學(xué)的測(cè)量，并不涉及測(cè)量是如何進(jìn)行的，而后者確保收集者不能通過(guò)將生物特征符轉(zhuǎn)換成某種其他形式來(lái)規(guī)避法律。8See Rivera v. Google Inc., 238 F. Supp. 3d 1096 (N.D. Ill. 2017).

2. 數(shù)據(jù)收集、保護(hù)、使用和銷(xiāo)毀規(guī)則

在數(shù)據(jù)收集上，BIPA要求私營(yíng)實(shí)體在收集生物特征數(shù)據(jù)（biometric data）之前，必須通知個(gè)人（或者其合法的代理人）其生物特征符或生物識(shí)別信息正在被收集，并告知收集和儲(chǔ)存這些數(shù)據(jù)的目的和時(shí)間長(zhǎng)短；這些告知必須是書(shū)面形式，并且個(gè)人（或者其合法的代理人）必須提供同意的書(shū)面聲明。1See Illinois Complied Statutes Chapter 740§14/15 (b) (2008).CUBI同樣要求收集者在收集生物特征數(shù)據(jù)前對(duì)被收集者進(jìn)行通知并獲得同意。2See Texas Business and Commerce Code § 503.001 (b) (2009).但與BIPA不同，CUBI在通知和同意的具體形式上并沒(méi)有作出要求。

在生物特征數(shù)據(jù)的保護(hù)標(biāo)準(zhǔn)上，BIPA要求私營(yíng)實(shí)體必須將生物識(shí)別信息作為機(jī)密和敏感的信息對(duì)待，并給予與其他敏感和機(jī)密信息相同或更高的保護(hù)，以“該私營(yíng)實(shí)體行業(yè)內(nèi)的合理注意標(biāo)準(zhǔn)”來(lái)儲(chǔ)存、傳輸和保護(hù)這些信息。3See Illinois Complied Statutes Chapter 740 §14/15 (e) (2008).而CUBI規(guī)定，出于商業(yè)目的而獲取的個(gè)人生物特征符的擁有者，應(yīng)當(dāng)以與該人儲(chǔ)存、傳輸和保護(hù)其擁有的任何其他機(jī)密信息相同或更具保護(hù)性的方式，合理謹(jǐn)慎地儲(chǔ)存、傳輸和保護(hù)生物特征符，防止其被披露。4See Texas Business and Commerce Code § 503.001 (c) (2009).因此，與BIPA相似，CUBI的保護(hù)標(biāo)準(zhǔn)同樣可以分為兩個(gè)部分：第一個(gè)標(biāo)準(zhǔn)是要求生物特征數(shù)據(jù)的擁有者采用與其他機(jī)密信息相同或更高的標(biāo)準(zhǔn)進(jìn)行保護(hù)，這一點(diǎn)與BIPA的規(guī)定相同；第二個(gè)標(biāo)準(zhǔn)是“合理謹(jǐn)慎”，其僅是一種“常規(guī)的客觀標(biāo)準(zhǔn)”5Michael A. Rivera, Face Off: An Examination of State Biometric Privacy Statutes & Data Harm Remedies, 29 Fordham Intellectual Property, Media & Entertainment Law Journal 571, 591 (2019).，這一點(diǎn)與BIPA規(guī)定的“行業(yè)內(nèi)合理注意標(biāo)準(zhǔn)”略有不同。

對(duì)于生物特征數(shù)據(jù)的使用，BIPA要求私營(yíng)實(shí)體不得向第三方出售、出租、交換生物特征符和生物識(shí)別信息，或者以其他方式從保有的生物特征符和生物識(shí)別信息中牟利。6See Illinois Complied Statutes Chapter 740 §14/15 (c) (2008).私營(yíng)實(shí)體僅能在以下4種情況下，才能披露其所保有的生物特征符或生物識(shí)別信息：（1）信息主體同意披露；（2）信息主體授權(quán)或要求的金融交易需要披露；（3）聯(lián)邦法律、州的法律或者市政條例要求披露；（4）有合法管轄權(quán)的法院發(fā)出令狀或傳票要求披露。7See Illinois Complied Statutes Chapter 740 §14/15 (d) (2008).CUBI原則上禁止出租、出售或者以其他方式披露生物特征數(shù)據(jù)，僅有4種例外情形：（1）信息主體同意在其失蹤或死亡的情況下，為識(shí)別目的而披露；（2）為完成信息主體所要求或授權(quán)的金融交易；（3）聯(lián)邦法或州法要求或允許披露；（4）為了執(zhí)行搜查令，由執(zhí)法機(jī)構(gòu)或向執(zhí)法機(jī)構(gòu)進(jìn)行披露。8See Texas Business and Commerce Code § 503.001 (c) (2009).因此，BIPA對(duì)利用生物特征數(shù)據(jù)牟利的行為采取絕對(duì)禁止的態(tài)度，僅允許在4種法定例外情形下披露數(shù)據(jù)。相比之下，CUBI將例外情形的適用范圍擴(kuò)大到了出售、出租等牟利行為。

關(guān)于生物特征數(shù)據(jù)的銷(xiāo)毀規(guī)則，BIPA要求私營(yíng)實(shí)體必須制定一項(xiàng)書(shū)面政策，并向公眾公開(kāi)；建立一個(gè)數(shù)據(jù)保留時(shí)間表和準(zhǔn)則，在最初收集和保存生物特征符或生物識(shí)別信息的目的已經(jīng)被滿(mǎn)足的情況下，或者個(gè)人與私營(yíng)實(shí)體最后一次互動(dòng)后的三年內(nèi)（以先發(fā)生者為準(zhǔn)），永久銷(xiāo)毀這些信息；除非有具有合法管轄權(quán)的法院發(fā)出有效的令狀或傳票，否則擁有生物特征符或生物識(shí)別信息的私營(yíng)實(shí)體必須遵守其制定的數(shù)據(jù)保留時(shí)間表和準(zhǔn)則。1See Illinois Complied Statutes Chapter 740§14/15(a) (2008).CUBI規(guī)定，個(gè)人生物特征符的擁有者，應(yīng)當(dāng)在合理時(shí)間內(nèi)銷(xiāo)毀生物特征符，并且不得遲于收集該生物特征符的目的實(shí)現(xiàn)之日起的一年內(nèi)。2See Texas Business and Commerce Code § 503.001 (c) (2009).此外，如果雇主出于安全目的收集雇員的生物特征符，當(dāng)雇傭關(guān)系終止時(shí)，生物特征符的收集目的推定為終止，將適用該法規(guī)定的目的實(shí)現(xiàn)后一年內(nèi)銷(xiāo)毀數(shù)據(jù)的規(guī)定。3See Texas Business and Commerce Code § 503.001 (c-2) (2009).可見(jiàn)，CUBI規(guī)定的數(shù)據(jù)保存期限更短，更為嚴(yán)格。并且，對(duì)雇員的生物特征數(shù)據(jù)保存時(shí)間作出了創(chuàng)新性的規(guī)定。但是，BIPA的規(guī)定更為全面，還要求收集者在與信息主體最后一次互動(dòng)后的三年內(nèi)必須銷(xiāo)毀數(shù)據(jù)。此外，BIPA要求私營(yíng)實(shí)體制定并公開(kāi)書(shū)面政策，能“激勵(lì)私營(yíng)實(shí)體在收集生物特征數(shù)據(jù)時(shí)進(jìn)行合規(guī)的考慮，理想情況下，有助于防止今后出現(xiàn)訴訟；并且，可以幫助消費(fèi)者作出更好的選擇”4Michael A. Rivera, Face Off: An Examination of State Biometric Privacy Statutes & Data Harm Remedies, 29 Fordham Intellectual Property, Media & Entertainment Law Journal 571, 603 (2019).。

3. 救濟(jì)規(guī)則

BIPA規(guī)定，任何因違反該法的行為而受到損害的人，勝訴后可就每一侵權(quán)行為要求賠償：因過(guò)失違法而造成損害的，賠償數(shù)額為實(shí)際損失額或1,000美元；因故意或者重大過(guò)失違法而造成損害的，賠償數(shù)額為實(shí)際損失額或5,000美元。此外，被侵害人勝訴后可以獲得律師費(fèi)用和其他合理費(fèi)用的賠償，以及禁止令等其他救濟(jì)。5See Illinois Complied Statutes Chapter 740§14/20 (2008).

然而，對(duì)于“損害”的判斷標(biāo)準(zhǔn)，一直存在著較大的爭(zhēng)議，不同的法院也在實(shí)踐中作出過(guò)不同的判決。6See e.g. Mc Collough v. Smarte Carte, Inc., No. 16-cv-3777, 2016 WL 4077108 (N.D. Ill. 2016); Sekura v. Krishna Schaumberg Tan, Inc., No. 2016 CH 4945 (Ill. Cir. Ct. 2017).最終，伊利諾伊州最高法院在羅森巴赫訴六旗娛樂(lè)公司案（Rosenbachv.Six Flags Entertainment）中確定，BIPA所規(guī)定的“損害”指合法權(quán)利遭到侵犯、剝奪或者其他不利影響；信息主體無(wú)需證明其受到的實(shí)際損失，信息收集者和控制者對(duì)BIPA程序性要求的違反即構(gòu)成對(duì)信息主體的“損害”。7See Rosenbach v. Six Flags, 2019 IL 123186, p. 10-11.法院還進(jìn)一步指出，BIPA規(guī)定的“程序性的保護(hù)”，在當(dāng)今數(shù)字時(shí)代具有重要的意義。個(gè)人獨(dú)特的生物特征符在被泄露或?yàn)E用后是無(wú)法更改的，一旦私營(yíng)實(shí)體未遵守法定程序，個(gè)人的生物信息隱私權(quán)就立刻煙消云散了。 BIPA使得收集生物特征數(shù)據(jù)的企業(yè)必須謹(jǐn)慎行事，這是法律本身的合理意圖，因?yàn)?，無(wú)論企業(yè)為滿(mǎn)足法律要求而可能產(chǎn)生多高的費(fèi)用，與生物識(shí)別信息得不到適當(dāng)保護(hù)可能造成的重大的、不可逆轉(zhuǎn)的損害相比，這些費(fèi)用顯得微不足道；公眾利益與安全必須放在優(yōu)先地位。8See Rosenbach v. Six Flags, 2019 IL 123186, p. 11-13.

在救濟(jì)方式上，CUBI與BIPA有較大的不同，CUBI并未賦予個(gè)人提起民事訴訟的權(quán)利。根據(jù)CUBI的規(guī)定，違反該法的人，對(duì)于每次違反將受到不超過(guò)25,000美元的民事處罰。州總檢察長(zhǎng)（State Attorney General）可以提起訴訟以獲得民事罰款。1See Texas Business and Commerce Code § 503.001 (d) (2009).相比較而言，CUBI不論是在救濟(jì)方式的種類(lèi)還是幅度上均弱于BIPA。CUBI的救濟(jì)規(guī)則給了數(shù)據(jù)收集和控制者一個(gè)最高賠償額度的保護(hù)。并且，由于未賦予個(gè)人訴訟權(quán)利，數(shù)據(jù)收集和擁有者也免于應(yīng)對(duì)大量的個(gè)人訴訟。此外，CUBI也未像BIPA一樣，賦予信息主體金錢(qián)賠償之外的救濟(jì)手段（如申請(qǐng)禁止令）。

有學(xué)者指出，BIPA關(guān)于私人訴訟的救濟(jì)模式也許是該法“最獨(dú)特和最重要的一個(gè)方面”2Michael A. Rivera, Face Off: An Examination of State Biometric Privacy Statutes & Data Harm Remedies, 29 Fordham Intellectual Property, Media & Entertainment Law Journal 571, 603 (2019).。在美國(guó)有關(guān)數(shù)據(jù)保護(hù)的法律中，很少有明確規(guī)定個(gè)人訴訟權(quán)的。賦予個(gè)人訴訟權(quán)，既給予了信息主體一個(gè)有力的救濟(jì)途徑，也有利于督促信息收集者和控制者嚴(yán)格遵守法律。此外，通過(guò)大量判例法的發(fā)展，生物識(shí)別信息保護(hù)的法律規(guī)則和法理也能得到進(jìn)一步的豐富。

（二）嚴(yán)格保護(hù)進(jìn)路產(chǎn)生的問(wèn)題

從信息主體的角度看，BIPA和CUBI的嚴(yán)格保護(hù)進(jìn)路較好地保護(hù)了信息主體的隱私權(quán)；但是從權(quán)利和利益平衡的角度看，這種相當(dāng)嚴(yán)格的保護(hù)也會(huì)產(chǎn)生一些負(fù)面影響，主要體現(xiàn)在對(duì)表達(dá)自由的限制和影響對(duì)個(gè)人生物識(shí)別信息的正當(dāng)商業(yè)利用。

1. 對(duì)表達(dá)自由的限制

有學(xué)者認(rèn)為，BIPA等生物識(shí)別隱私法對(duì)個(gè)人生物識(shí)別信息的嚴(yán)格保護(hù)限制了表達(dá)自由，違反了美國(guó)憲法第一修正案。谷歌、臉書(shū)等公司都在從用戶(hù)照片中創(chuàng)建人臉模板的那一刻起觸犯了BIPA。但是，創(chuàng)建人臉模板屬于創(chuàng)造信息，而B(niǎo)IPA對(duì)這種信息創(chuàng)造的限制實(shí)際上是對(duì)表達(dá)自由的限制。由于從照片中獲取的數(shù)據(jù)并沒(méi)有用于廣告或市場(chǎng)營(yíng)銷(xiāo)，因此，這種觀點(diǎn)認(rèn)為BIPA和與它相似的生物識(shí)別隱私法構(gòu)成了基于內(nèi)容的、對(duì)非商業(yè)性表達(dá)的歧視性限制。3See Jane Bambauer & James E. Rogers, Biometric Privacy Laws: How a Little-Known Illinois Law Made Facebook Illegal, Program on Economics & Privacy (21 June 2017), https://pep.gmu.edu/2017/06/21/new-paperbiometric-privacy-laws-how-a-little-known-illinois-law-made-facebook-illegal/.

表達(dá)自由是美國(guó)信息理論的一個(gè)重要基礎(chǔ)理論。言論表達(dá)常常需要通過(guò)一定的信息來(lái)實(shí)現(xiàn)，因此在美國(guó)，信息被認(rèn)定為表達(dá)自由所保護(hù)的對(duì)象。例如，在《紐約時(shí)報(bào)》訴沙利文案（New York Times Co.v.Sullivan）中，美國(guó)聯(lián)邦最高法院認(rèn)為，對(duì)公共人物個(gè)人信息的使用受到言論自由的保護(hù)。4See New York Times Co. v. Sullivan, 376 U.S. 254 (1964).早期，美國(guó)聯(lián)邦最高法院曾經(jīng)認(rèn)為，美國(guó)憲法并不保護(hù)商業(yè)言論。但這一立場(chǎng)在弗吉尼亞州藥事管理局訴弗吉尼亞州消費(fèi)者委員會(huì)案（Va.Pharmacy Bd.v.Va. Consumer Council）中得到了轉(zhuǎn)變。在該案中，聯(lián)邦最高法院認(rèn)定，廣告商對(duì)藥品價(jià)格信息的傳播受言論自由條款的保護(hù)，弗吉尼亞州立法對(duì)其進(jìn)行的限制無(wú)效。聯(lián)邦最高法院指出，商業(yè)信息的自由流動(dòng)對(duì)自由企業(yè)體系的合理資源配置具有不可或缺的意義，因?yàn)樗軐?duì)大量的企業(yè)決策提供信息，從而驅(qū)動(dòng)商業(yè)體系的有效運(yùn)行。1See Va. Pharmacy Bd. v. Va. Consumer Council, 425 U.S. 748 (1976).由此，出于商業(yè)目的，對(duì)信息各種形式的創(chuàng)造和使用也常常被視為商業(yè)言論表達(dá)，從而受到美國(guó)憲法言論自由條款的保護(hù)。

在索雷爾訴艾美仕健康公司案（Sorrellv.IMS Health Inc.）中，美國(guó)聯(lián)邦最高法院認(rèn)定，對(duì)個(gè)人處方信息的獲取和使用受憲法言論自由條款的保護(hù)。藥店將其接收的個(gè)人處方信息賣(mài)給數(shù)據(jù)挖掘者，數(shù)據(jù)挖掘者生成關(guān)于處方行為的報(bào)告，并將其出售給制藥商，制藥商則依此來(lái)改變其營(yíng)銷(xiāo)策略。佛蒙特州《處方保密法》規(guī)定，除非獲得信息主體的同意，否則藥店不得銷(xiāo)售或出于營(yíng)銷(xiāo)目的披露處方信息，制藥商也不能將處方信息用于營(yíng)銷(xiāo)。但該法也規(guī)定了一些例外情形，如用于醫(yī)療研究等。在該案中，聯(lián)邦最高法院認(rèn)為：佛蒙特州《處方保密法》的規(guī)定構(gòu)成了基于內(nèi)容（禁止藥店銷(xiāo)售和披露，以及禁止制藥商用于營(yíng)銷(xiāo)，但是允許醫(yī)療研究等例外情形對(duì)處方信息的使用）和言論者（藥店和制藥商）歧視性的限制，因此違反了美國(guó)憲法對(duì)言論自由的保護(hù)。2See Sorrell v. IMS Health Inc., 131 S. Ct. 2653 (2011).

綜上所述，美國(guó)聯(lián)邦最高法院已經(jīng)在一系列的判例中，將商業(yè)領(lǐng)域中各種形式的信息創(chuàng)造、獲取和傳播認(rèn)定為受憲法保護(hù)的言論表達(dá)。表達(dá)自由的權(quán)利保護(hù)人們?cè)诠矆?chǎng)所交流的權(quán)利。而“交流”包括任何意圖被公眾理解或部分理解的象征性的表達(dá)行為。3Joseph Raz, Free Expression and Personal Identification, 11 Oxford Journal of Legal Studies 303 (1991).信息創(chuàng)造、獲取和傳播之所以能成為言論或表達(dá)自由保護(hù)的對(duì)象，原因在于信息具有公共性，進(jìn)而具有非競(jìng)爭(zhēng)性和非排他性，是一種處于公共領(lǐng)域的資源。4See Charlotte Hess & Elinor Ostrom, Ideas, Artifacts, and Facilities: Information as a Common-Pool Resource, 66 Law and Contemporary Problems 111, 111-145 (2003).人類(lèi)社會(huì)的不斷進(jìn)步，正是通過(guò)信息的公開(kāi)、流動(dòng)以及對(duì)思想成果的使用來(lái)實(shí)現(xiàn)的。

2. 對(duì)個(gè)人生物識(shí)別信息的合理商業(yè)利用造成阻礙

對(duì)于美國(guó)第一代生物識(shí)別信息隱私法的另一個(gè)批評(píng)是，為了保護(hù)個(gè)人隱私而進(jìn)行過(guò)于嚴(yán)格的規(guī)制，這會(huì)阻礙許多依賴(lài)生物識(shí)別來(lái)提供安全的新技術(shù)的應(yīng)用，妨礙信息行業(yè)的發(fā)展，最終導(dǎo)致“企業(yè)和消費(fèi)者都被剝奪了使用生物識(shí)別技術(shù)來(lái)提高安全性的權(quán)利”5See Lauren Stewart, Big Data Discrimination: Maintaining Protection of Individual Privacy without Disincentivizing Businesses’ Use of Biometric Data to Enhance Security, 60 Boston College Law Review 349, 380(2019).。

例如，美國(guó)奈斯特公司（Nest）生產(chǎn)了一種門(mén)鈴，配有人臉識(shí)別技術(shù)的攝像頭，可以區(qū)分已知的和未知的面部，從而為房主提供更大的安全性。但是奈斯特公司在伊利諾伊州銷(xiāo)售該門(mén)鈴時(shí)，門(mén)鈴的人臉識(shí)別功能被禁用，因?yàn)锽IPA要求在收集生物特征數(shù)據(jù)之前，必須進(jìn)行書(shū)面的通知并獲得書(shū)面的同意。然而，每次有訪(fǎng)客出現(xiàn)在房主門(mén)前時(shí)，向訪(fǎng)客發(fā)出書(shū)面通知并要求獲得書(shū)面同意是不現(xiàn)實(shí)的。6Learn More about Familiar Face Detection and Managing Your Library, Nest Support, https://nest.com/support/article/Familiar-face-alerts.

此外，BIPA的損害救濟(jì)規(guī)則也會(huì)對(duì)生物識(shí)別產(chǎn)業(yè)的發(fā)展帶來(lái)阻礙。伊利諾伊州最高法院在前述羅森巴赫案中確定，信息收集和控制者違反程序性義務(wù)，即使未對(duì)個(gè)人信息主體造成實(shí)際損害，也需要承擔(dān)BIPA規(guī)定的賠償責(zé)任。僅違反程序性義務(wù)即需承擔(dān)賠償責(zé)任，固然有利于降低個(gè)人信息主體在侵權(quán)損害賠償中的證明責(zé)任，促進(jìn)信息收集者、控制者遵守程序性義務(wù)，從而強(qiáng)化對(duì)個(gè)人信息主體的保護(hù)力度。但是，對(duì)信息業(yè)者而言，這樣的判決結(jié)果無(wú)疑會(huì)使信息業(yè)者面臨巨大的賠償風(fēng)險(xiǎn)。1See Boyd Garriott, How Patel v. Facebook Might Tee up a Privacy Battle at the Supreme Court, Wiley Connect (16 October 2019), https://www.wileyconnect.com/home/2019/10/16/how-patel-v-facebook-might-tee-up-a-privacybattle-at-the-supreme-court.

同時(shí)，由于BIPA規(guī)定了個(gè)人訴訟權(quán)，導(dǎo)致近年來(lái)基于BIPA的訴訟激增，這給信息業(yè)者造成了相當(dāng)大的訴訟負(fù)擔(dān)。僅2018年和2019年上半年，就有213起B(yǎng)IPA訴訟案件提交到法院。2See BIPA Update: Class Actions on the Rise in Illinois Courts, Holland & Knight (22 July 2019), https://www.hklaw.com/en/insights/publications/2019/07/bipa-update-class-actions-on-the-rise-in-illinoiscourts#:～:text=According%20to%20Courthouse%20News%20Service%2C%20213%20BIPA%20cases,at%20 employers%20utilizing%20fingerprint%20technology%20for%20timekeeping%20purposes.不僅案件數(shù)量增加，案件所需時(shí)長(zhǎng)也往往因案件本身的復(fù)雜性而大大延長(zhǎng)。2015年提起的針對(duì)臉書(shū)公司的訴訟案件經(jīng)歷了長(zhǎng)達(dá)五年的漫長(zhǎng)訴訟過(guò)程才得到最終判決。3See In re Facebook Biometric Information Privacy Litig., No. 15-cv-03747 (N.D. Cal.).

此外，BIPA法定的賠償數(shù)額過(guò)高，以至于在實(shí)踐中并不能得到實(shí)現(xiàn)。BIPA規(guī)定每一個(gè)因私營(yíng)實(shí)體過(guò)失違法而受到損害的人可以獲得至少1,000美元的賠償（如因故意或重大過(guò)失違法則為5,000美元），另外還有訴訟費(fèi)等賠償；而集體訴訟的形式又會(huì)進(jìn)一步成倍放大賠償數(shù)額。以2016年12月伊利諾伊州庫(kù)克縣法院批準(zhǔn)的第一份BIPA和解協(xié)議為例。由于是針對(duì)L.A. Tan公司提出的集體訴訟，該和解協(xié)議最終確定的金額為150萬(wàn)美元（其中包括60萬(wàn)美元的律師費(fèi)），每個(gè)提出索賠的原告獲得125—150美元的賠償。4See Jonathan Bilyk, L.A. Tan Settles Fingerprint Scan Privacy Class Action for $1.5M; Attorneys Get $600K, Cook County Report (9 December 2016), https://cookcountyrecord.com/stories/511056103-l-a-tan-settles-fingerprintscan-privacy-class-action-for-1-5m-attorneys-get-600k.在針對(duì)臉書(shū)公司的集體訴訟案件中，法院也認(rèn)為BIPA法定賠償數(shù)額過(guò)高，因此，案件最終以達(dá)成和解協(xié)議而結(jié)束。臉書(shū)公司將向一項(xiàng)基金支付6.5億美元，但據(jù)測(cè)算，每一個(gè)個(gè)人只能獲得200—400美元。5See Lorraine Swanson, Illinois Facebook Users Can Claim up to $400 in Class Action Suit, MSN (23 September 2020), https://www.msn.com/en-us/lifestyle/lifestyle-buzz/illinois-facebook-users-can-claim-up-to-dollar400-inclass-action-suit/ar-BB19kuiN.

二、華盛頓州《生物識(shí)別隱私法》

BIPA和CUBI通過(guò)后，美國(guó)各州生物識(shí)別隱私保護(hù)立法在一段時(shí)間內(nèi)陷入了停滯。多個(gè)州試圖通過(guò)保護(hù)消費(fèi)者生物特征數(shù)據(jù)的立法，6華盛頓州、阿拉斯加州、蒙大拿州、新罕布什爾州、康涅狄格州以及紐約州都提出綜合性生物識(shí)別保護(hù)立法。See Jared Bennett, Saving Face: Facebook Wants Access without Limits, The Center for Public Integrity (31 July 2017), https://www.publicintegrity.org/2017/07/31/21027/saving-face-facebook-wants-access-without-limits.但直到2017年，華盛頓州才通過(guò)了《生物識(shí)別隱私法》（Washington Biometric Privacy Act，以下簡(jiǎn)稱(chēng)“WBPA”），成為美國(guó)第三個(gè)進(jìn)行生物識(shí)別隱私專(zhuān)門(mén)立法的州。在WBPA的制定過(guò)程中，BIPA和CUBI的嚴(yán)格保護(hù)所引發(fā)的爭(zhēng)議日益凸顯。同時(shí)，臉書(shū)和谷歌之類(lèi)的大型高科技企業(yè)也雇傭了游說(shuō)團(tuán)體去積極影響該法案的制定，使得WBPA在規(guī)范內(nèi)容上更多地考慮了生物識(shí)別信息商業(yè)利用的利益，對(duì)商業(yè)利用比較友好。1Kartikay Mehrotra, Tech Companies Are Pushing back against Biometric Privacy Laws, Bloomberg (20 July 2017), https://www.bloomberg.com/news/articles/2017-07-20/tech-companies-are-pushing-back-againstbiometricprivacy-laws.

（一）對(duì)生物識(shí)別信息商業(yè)利用的友好進(jìn)路

1.立法目的與概念定義

立法目的上，WBPA指出，立法機(jī)關(guān)發(fā)現(xiàn)，出于商業(yè)、安全和便利的目的，華盛頓州的公民越來(lái)越多地被要求公開(kāi)其敏感的生物信息，這些生物信息被用于識(shí)別特定、唯一的個(gè)人。在未經(jīng)信息主體的同意或其不知情的情況下，收集和銷(xiāo)售個(gè)人生物特征數(shù)據(jù)的情況令人擔(dān)憂(yōu)。因此，立法機(jī)關(guān)要求生物特征數(shù)據(jù)收集者披露其如何使用這些數(shù)據(jù)，并在將個(gè)人的生物特征數(shù)據(jù)錄入數(shù)據(jù)庫(kù)或在數(shù)據(jù)庫(kù)中進(jìn)行更改、使用之前向該個(gè)人發(fā)出通知并獲得其同意。2See Washington Revised Code § 19.375.900 (2017).

與BIPA在立法目的中體現(xiàn)的對(duì)生物識(shí)別技術(shù)的警惕和嚴(yán)格保護(hù)態(tài)度不同，WBPA在立法目的上，僅僅是為了規(guī)范數(shù)據(jù)收集者和控制者對(duì)生物特征數(shù)據(jù)的收集和使用行為。

根據(jù)WBPA，“生物特征符”是指“通過(guò)自動(dòng)測(cè)量個(gè)人生物特征（如指紋、聲紋、視網(wǎng)膜、虹膜或其他用于識(shí)別特定個(gè)體的獨(dú)特生物特征）而產(chǎn)生的數(shù)據(jù)”。3See Washington Revised Code § 19.375.010 (1) (2017).與BIPA相似，WBPA還進(jìn)一步對(duì)定義所不包括的內(nèi)容進(jìn)行了列舉。根據(jù)該法，“生物特征符”不包括物理或數(shù)字照片、視頻或音頻記錄或由此產(chǎn)生的數(shù)據(jù)，也不包括醫(yī)療方面的信息。4See Washington Revised Code § 19.375.010 (5) (2017).

此外，WBPA還對(duì)一些新的概念進(jìn)行了定義?！颁浫搿保╡nroll）是指獲取個(gè)人生物特征符后，將其轉(zhuǎn)換為無(wú)法重建為原始輸出圖像的參照模板，并將其存儲(chǔ)在用于與特定個(gè)人生物特征符相匹配的數(shù)據(jù)庫(kù)中。WBPA還區(qū)分了“商業(yè)目的”和“安全目的”?！吧虡I(yè)目的”是指為銷(xiāo)售商品或服務(wù)而向第三方出售或披露生物特征符的目的，這種商品或服務(wù)并不涉及首次獲得個(gè)人生物特征符的初始交易；“安全目的”指防止行竊、欺詐或任何其他盜用或盜竊有價(jià)值的東西（包括有形和無(wú)形的物品、服務(wù)）的目的，以及其他保護(hù)軟件、賬戶(hù)、應(yīng)用程序、在線(xiàn)服務(wù)等安全或完整性的目的。5See Washington Revised Code § 19.375.010 (4), (8) (2017).

2. 數(shù)據(jù)收集、保存、使用和銷(xiāo)毀規(guī)則

在具體的數(shù)據(jù)保護(hù)規(guī)則上，WBPA明確區(qū)分了“商業(yè)目的”與“安全目的”，并在此基礎(chǔ)上作出了不同的規(guī)定。根據(jù)該法，為了實(shí)現(xiàn)安全目的而收集、獲取或錄入并儲(chǔ)存生物特征符，并不要求私營(yíng)實(shí)體提供通知并獲得同意。1See Washington Revised Code § 19.375.020 (7) (2017).這一規(guī)定免除了私營(yíng)實(shí)體將生物識(shí)別技術(shù)用于安全目的時(shí)，通知被收集者并獲得同意的義務(wù)。比較而言，盡管CUBI也包含“商業(yè)目的”的限制，但由于其并未對(duì)商業(yè)目的作出定義，并且“是否包含了安全目的也尚不明確”2Lauren Stewart, Big Data Discrimination: Maintaining Protection of Individual Privacy without Disincentivizing Businesses’ Use of Biometric Data to Enhance Security, 60 Boston College Law Review 349, 378 (2019).，因此CUBI并未在其規(guī)范內(nèi)容上體現(xiàn)出在商業(yè)利用中因?yàn)樯锾卣鲾?shù)據(jù)使用目的的不同而導(dǎo)致的規(guī)則不同。

在生物特征數(shù)據(jù)的收集上，與BIPA和CUBI不同，WBPA只對(duì)數(shù)據(jù)收集者將生物特征數(shù)據(jù)錄入數(shù)據(jù)庫(kù)的行為進(jìn)行規(guī)制。根據(jù)WBPA，收集者需要事先通知被收集者，取得同意，或者提供一種機(jī)制防止生物特征符被用于商業(yè)目的，否則，不能將生物特征符錄入到數(shù)據(jù)庫(kù)中。3See Washington Revised Code § 19.375.020 (1) (2017).這種規(guī)制方法具有以下優(yōu)點(diǎn)：第一，有利于提高生物特征數(shù)據(jù)的安全性。WBPA對(duì)“錄入”的定義明確了生物特征數(shù)據(jù)應(yīng)當(dāng)被存儲(chǔ)的特點(diǎn)格式，要求將生物特征符轉(zhuǎn)換為不能從數(shù)據(jù)重建為原始圖像的模板。由于這種模板可以使得竊取生物特征數(shù)據(jù)的黑客無(wú)法輕松地從數(shù)據(jù)重建原始的識(shí)別符，這將導(dǎo)致生物特征符更難被竊取。第二，更為靈活。WBPA只要求私營(yíng)實(shí)體滿(mǎn)足發(fā)出通知并獲得同意，或者提供一種防止數(shù)據(jù)被用于商業(yè)目的的機(jī)制，符合這兩個(gè)條件中的一個(gè)即可。第三，收集者負(fù)擔(dān)更輕。可以避免僅短暫收集生物特征數(shù)據(jù)而不將其儲(chǔ)存在數(shù)據(jù)庫(kù)的私營(yíng)實(shí)體受到各種嚴(yán)格的限制。第四，可以避免對(duì)表達(dá)自由造成限制的問(wèn)題。與BIPA不同，WBPA并未對(duì)通知和同意的具體形式作出規(guī)定，只要求通知是“通過(guò)合理設(shè)計(jì)為受影響的人可隨時(shí)獲得的程序”作出的；對(duì)于通知和同意的內(nèi)容也僅規(guī)定“確切的通知和同意類(lèi)型視情況而定”。4See Washington Revised Code § 19.375.020 (2) (2017).

在生物特征數(shù)據(jù)的保護(hù)標(biāo)準(zhǔn)上，與BIPA和CUBI的兩個(gè)要求不同，WBPA只要求生物特征數(shù)據(jù)的控制者“采取合理謹(jǐn)慎的措施，防止未經(jīng)授權(quán)的人對(duì)生物特征數(shù)據(jù)的訪(fǎng)問(wèn)和獲取”5See Washington Revised Code § 19.375.010 (4) (2017).。WBPA的保護(hù)標(biāo)準(zhǔn)僅僅是一個(gè)客觀的合理謹(jǐn)慎標(biāo)準(zhǔn)，類(lèi)似于CUBI的第二個(gè)標(biāo)準(zhǔn)。因此，WBPA的保護(hù)標(biāo)準(zhǔn)低于BIPA和CUBI。

對(duì)于生物特征數(shù)據(jù)的使用，與BIPA和CUBI相同，WBPA原則上禁止出售、出租或者以其他方式披露生物特征符。同時(shí)，WBPA也規(guī)定了與BIPA和CUBI相似的4個(gè)數(shù)據(jù)披露的例外情形：（1）獲得信息主體的同意；（2）法律要求披露；（3）法院指令要求披露；（4）披露是為完成主體授權(quán)的金融交易所必需的。其中，WBPA在完成金融交易所必需的披露中，增加了對(duì)數(shù)據(jù)接收方的要求：數(shù)據(jù)接收方必須維護(hù)數(shù)據(jù)機(jī)密性，并且除非依據(jù)該法獲得允許，否則不可再次披露生物特征符。此外，與BIPA和CUBI不同的是，WBPA進(jìn)一步增加了數(shù)據(jù)披露的例外情形，具體包括：（1）符合該法通知、同意和數(shù)據(jù)保護(hù)要求的；（2）為提供信息主體訂閱、請(qǐng)求或明確授權(quán)的產(chǎn)品或服務(wù)所必需的；（3）第三方以合同方式承諾不會(huì)出于商業(yè)目的而再次披露生物特征符，以及不會(huì)以與該法要求所不符合的方式，將生物特征符錄入數(shù)據(jù)庫(kù)以用于商業(yè)目的；（4）用于準(zhǔn)備訴訟，或者回應(yīng)或參加司法程序。與CUBI相同，WBPA也允許在例外情形下出售、出租生物特征符。1See Washington Revised Code § 19.375.020 (3) (2017).由此可見(jiàn)，WBPA為生物特征數(shù)據(jù)的出售、出租和披露留出了較大的空間。另外，WBPA規(guī)定，如果沒(méi)有獲得同意，生物特征符不得以實(shí)質(zhì)上不同于最初所規(guī)定的條款的方式使用或披露。2See Washington Revised Code § 19.375.020 (5) (2017).

對(duì)于生物特征數(shù)據(jù)的保存時(shí)間，WBPA只要求生物特征數(shù)據(jù)的控制者保留數(shù)據(jù)的時(shí)間不得超過(guò)為實(shí)現(xiàn)其目的所必需且合理的時(shí)間。這些目的包括遵守法律規(guī)定的保留時(shí)間、安全目的以及為已經(jīng)錄入了的生物特征數(shù)據(jù)提供服務(wù)。3See Washington Revised Code § 19.375.020 (4) (2017).因此，相對(duì)于BIPA和CUBI，WBPA對(duì)數(shù)據(jù)保存時(shí)間的規(guī)定更靈活，但也最不確定。

3.救濟(jì)規(guī)則

與CUBI相似，WBPA并未賦予個(gè)人提起民事訴訟的權(quán)利，只能通過(guò)州總檢察長(zhǎng)來(lái)進(jìn)行起訴。但與CUBI所規(guī)定的單獨(dú)的執(zhí)行機(jī)制不同，WBPA的執(zhí)行機(jī)制是通過(guò)《華盛頓州消費(fèi)者保護(hù)法》來(lái)進(jìn)行的。根據(jù)WBPA，違反該法的行為，將被視為不公平或欺騙性的行為或者不公平的競(jìng)爭(zhēng)方法而適用消費(fèi)者保護(hù)法的相關(guān)規(guī)定。4See Washington Revised Code § 19.375.030 (2017).然而，《華盛頓州消費(fèi)者保護(hù)法》對(duì)每一個(gè)不公平或欺騙性的行為或者不公平競(jìng)爭(zhēng)方法的最高民事處罰為2,000美元。5See Washington Revised Code § 19.86.140 (2012).因此，WBPA在救濟(jì)力度上甚至還弱于CUBI。

（二）對(duì)個(gè)人生物識(shí)別信息保護(hù)的不足

1. 規(guī)范上的漏洞

在“生物特征符”的定義上，與BIPA和CUBI相比，WBPA的一個(gè)明顯的區(qū)別是其并未明確將“臉部的幾何掃描”放入定義中。同時(shí)，其還明確將“物理或數(shù)字照片”排除在定義之外。這可能會(huì)導(dǎo)致法院在司法實(shí)踐中將從照片中產(chǎn)生的人臉幾何模板排除在該法的保護(hù)范圍外。但另一方面，WBPA在其定義中還有“或其他用于識(shí)別特定個(gè)體的獨(dú)特生物特征”的兜底規(guī)定，并且該法排除了“視頻或音頻記錄或由此產(chǎn)生的數(shù)據(jù)”，卻沒(méi)有在“物理或數(shù)字照片”后加上“或由此產(chǎn)生的數(shù)據(jù)”。這又使得從WBPA定義的文本中，有解釋出包含照片中產(chǎn)生的人臉幾何模板的可能。WBPA這種立法上的模糊與其立法時(shí)的背景有關(guān)。從2015年起，不少企業(yè)因?yàn)閷?duì)用戶(hù)上傳的照片進(jìn)行人臉識(shí)別而遭到起訴。其中的一個(gè)重要爭(zhēng)議就是從照片中獲取的人臉數(shù)據(jù)是否受BIPA的保護(hù)。6See e.g. Norberg v. Shutter fly, Inc., 152 F. Supp. 3d 1103 (2015); In re Facebook Biometric Info. Privacy Litig.,185 F. Supp. 3d 1155 (N.D. Cal. 2016); Rivera v. Google Inc., 238 F. Supp. 3d 1093-1095 (N.D. Ill. 2017).然而，從實(shí)踐中來(lái)看，爬蟲(chóng)工具爬取網(wǎng)絡(luò)上的人臉照片已經(jīng)成為人臉數(shù)據(jù)的重要來(lái)源之一1See Louise Matsakis, Scraping the Web Is a Powerful Tool. Clearview AI Abused It, WIRED (25 January 2020),https://www.wired.com/story/clearview-ai-scraping-web/.，而這些公開(kāi)的數(shù)據(jù)倘若與個(gè)人身份信息相匹配，將會(huì)侵犯到個(gè)人隱私。WBPA的這種模糊態(tài)度無(wú)疑會(huì)使得個(gè)人生物識(shí)別信息的安全處于嚴(yán)重的危險(xiǎn)之中。

此外，WBPA對(duì)“生物特征符”是否包括從視頻或音頻記錄中產(chǎn)生的聲紋也不確定。該法在其定義中明確提到了聲紋，但隨后又將“視頻或音頻記錄或由此產(chǎn)生的數(shù)據(jù)”排除在外。然而，在現(xiàn)實(shí)中一些聲紋實(shí)際上可能是從視頻或音頻記錄中產(chǎn)生的數(shù)據(jù)。

WBPA關(guān)于“安全目的”的規(guī)定也存在漏洞。該法對(duì)“安全目的”的定義過(guò)于廣泛，同時(shí)，定義中的“其他目的”也容易被擴(kuò)大解釋。因此，該規(guī)定會(huì)減損WBPA的實(shí)際效力。2See Michael A. Rivera, Face Off: An Examination of State Biometric Privacy Statutes & Data Harm Remedies, 29 Fordham Intellectual Property, Media & Entertainment Law Journal 571, 603 (2019).從生物識(shí)別技術(shù)在現(xiàn)實(shí)生活中的應(yīng)用來(lái)看，雖然生物識(shí)別并不僅僅被用作一種安全手段，但安全手段確實(shí)占了生物識(shí)別用途的大部分。3See Alexandro Pando, Beyond Security: Biometrics Integration into Everyday Life, Forbes (4 August 2017), https://www.forbes.com/sites/forbestechcouncil/2017/08/04/beyond-security-biometrics-integration-into-everydaylife/#38724d81431f.在對(duì)生物識(shí)別信息的商業(yè)利用中，很多利用形式都可以被解釋為具有保護(hù)有形或無(wú)形的物品、服務(wù)或空間的安全和完整性的目的。而根據(jù)WBPA的規(guī)定，為了實(shí)現(xiàn)“安全目的”而收集并儲(chǔ)存生物特征數(shù)據(jù)的，可以免除通知和獲得同意的義務(wù)。這將使得在生物識(shí)別信息商業(yè)利用的大部分場(chǎng)景中，收集者可以在不通知信息主體并獲得同意的情況下，收集并儲(chǔ)存生物特征數(shù)據(jù)，進(jìn)而產(chǎn)生收集者過(guò)度收集，造成個(gè)人生物識(shí)別信息安全風(fēng)險(xiǎn)的問(wèn)題。

在規(guī)制范圍上，WBPA由于“商業(yè)目的”的定義使其在對(duì)數(shù)據(jù)收集者的規(guī)制上出現(xiàn)漏洞。由于該法僅適用于向第三方銷(xiāo)售或披露的行為，數(shù)據(jù)收集者對(duì)生物特征符內(nèi)部的使用行為便不受規(guī)制。4See Lara Tumeh, Washington’s New Biometric Privacy Statute and How It Compares to Illinois and Texas Law,Bloomberg Law (13 October 2017), https://news.bloomberglaw.com/privacy-and-data-security/washingtons-newbiometric-privacy-statute-and-how-it-compares-to-illinois-and-texas-law.此外，“商業(yè)目的”的定義將獲得個(gè)人生物特征符的初始交易排除在外，因此，WBPA也僅僅是對(duì)部分出于銷(xiāo)售目的而使用生物特征符的行為進(jìn)行規(guī)制。

在信息披露上，WBPA擴(kuò)大了允許披露的情形。只要披露是為提供信息主體訂閱、請(qǐng)求或明確授權(quán)的產(chǎn)品或服務(wù)所必需的，甚至只要求第三方以合同方式承諾不會(huì)再次披露并且遵守該法即可。這就增加了信息泄露的風(fēng)險(xiǎn)。而在保護(hù)標(biāo)準(zhǔn)上，WBPA僅要求采取合理謹(jǐn)慎的措施以防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)和獲取，并未規(guī)定相比一般個(gè)人信息更高的保護(hù)標(biāo)準(zhǔn)。在信息保存期限上，WBPA僅規(guī)定不得超過(guò)實(shí)現(xiàn)目的所必需且合理的時(shí)間。該法所規(guī)定的“合理謹(jǐn)慎”和“必需且合理”都是相對(duì)不確定的，這在實(shí)踐中并不利于對(duì)個(gè)人生物識(shí)別信息的保護(hù)。

2. 救濟(jì)手段的不足

CUBI和WBPA都沒(méi)有賦予個(gè)人提起訴訟的權(quán)利，只能由州總檢察長(zhǎng)進(jìn)行起訴。州總檢察長(zhǎng)訴訟的模式源于美國(guó)消費(fèi)者保護(hù)法的訴訟機(jī)制。20世紀(jì)60—70年代，在美國(guó)聯(lián)邦貿(mào)易委員會(huì)的推動(dòng)下，美國(guó)各州陸續(xù)采用了“不公平和欺騙性行為”（Unfair and Deceptive Practices，以下簡(jiǎn)稱(chēng)“UDAP”）法規(guī)，并在州總檢察長(zhǎng)辦公室下設(shè)立了消費(fèi)者保護(hù)司。由于對(duì)于隱私和數(shù)據(jù)安全的調(diào)查往往涉及較為復(fù)雜的技術(shù)性問(wèn)題，消費(fèi)者在查清案件事實(shí)上存在困難。20世紀(jì)90年代后，州總檢察長(zhǎng)辦公室開(kāi)始通過(guò)UDAP法規(guī)來(lái)保護(hù)消費(fèi)者免受商業(yè)行為對(duì)其隱私的侵害。此外，州總檢察長(zhǎng)訴訟的模式也可以避免消費(fèi)者濫訴。1See Danielle K. Citron, The Privacy Policymaking of State Attorneys General, 92 Notre Dame Law Review 747,753-754 (2016).

然而，這種模式也受到質(zhì)疑。由于總檢察長(zhǎng)辦公室對(duì)是否提起訴訟擁有最終的決定權(quán)，因此，受到侵害的消費(fèi)者無(wú)法控制自己的追索權(quán)。并且，由于州總檢察長(zhǎng)是民選官員，因此，難免會(huì)受到利益團(tuán)體游說(shuō)，被選舉政治所影響。2See Emily Myers & Ayeisha Cox, The Authority of State Attorneys General and Their Efforts on 21st Century Policing, The Book of the States 2016, http://www.knowledgecenter.csg.org/kc/system/files/Myers Cox 2016.pdf.在個(gè)人信息的侵權(quán)案件中，州總檢察長(zhǎng)訴訟模式下，由于訴訟的最終決定權(quán)并不掌握在消費(fèi)者手中，生物識(shí)別信息的主體很有可能無(wú)法獲得充分救濟(jì)。

從救濟(jì)方式看，WBPA對(duì)違法者每次違法行為的最高處罰金額僅為2,000美元。相對(duì)于利用生物識(shí)別信息所獲得的利益而言，這樣的處罰數(shù)額難以產(chǎn)生足夠的震懾力。而對(duì)于信息主體因生物識(shí)別信息泄露或?yàn)E用而可能遭受的損害而言，這樣的救濟(jì)是不充分的。因此，WBPA救濟(jì)規(guī)則可能導(dǎo)致法律實(shí)施效果不理想。

三、美國(guó)州立法經(jīng)驗(yàn)的啟示與反思

從BIPA到WBPA，美國(guó)三部州一級(jí)的立法形成了兩種立法傾向：嚴(yán)格保護(hù)進(jìn)路和商業(yè)友好進(jìn)路，二者均有各自的優(yōu)缺點(diǎn)。兩種不同進(jìn)路背后的立法理念及其各自的法律實(shí)踐和社會(huì)后果值得參考。在考量立法進(jìn)路時(shí)需要充分考慮到生物識(shí)別信息的雙重屬性，既要保護(hù)好信息主體的隱私權(quán)，也要照顧到個(gè)人信息所具有的公共性、正當(dāng)?shù)纳虡I(yè)利用需求和表達(dá)自由。在進(jìn)行具體規(guī)制時(shí)，可以通過(guò)完善信息區(qū)分、場(chǎng)景化行為主義規(guī)制模式以及公私結(jié)合的救濟(jì)途徑來(lái)實(shí)現(xiàn)對(duì)生物識(shí)別信息雙重屬性的兼顧。

（一）充分考量生物識(shí)別信息的雙重屬性

美國(guó)的法律實(shí)踐展示了個(gè)人生物識(shí)別信息的雙重屬性。從人權(quán)保護(hù)的角度看，個(gè)人生物識(shí)別信息也涉及到隱私權(quán)（right to a private life）和表達(dá)自由（freedom of expression）這兩個(gè)相互關(guān)聯(lián)并常常沖突的權(quán)利。

1948年《世界人權(quán)宣言》將隱私權(quán)作為一項(xiàng)基本人權(quán)加以保護(hù)。1950年《歐洲人權(quán)公約》緊隨其后，保護(hù)尊重私人生活的權(quán)利。1966年聯(lián)合國(guó)通過(guò)的《公民權(quán)利和政治權(quán)利國(guó)際公約》也明確保護(hù)隱私權(quán)。1981年，歐洲理事會(huì)發(fā)布了《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》。12012年歐洲委員會(huì)通過(guò)公約修正案，刪除了“自動(dòng)化”，改名為《個(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)公約》。2000年《歐盟基本權(quán)利憲章》將個(gè)人數(shù)據(jù)保護(hù)確定為一項(xiàng)基本權(quán)利。2《歐盟基本權(quán)利憲章》第8條第1款規(guī)定：“每個(gè)人都有權(quán)保護(hù)涉及自身的個(gè)人數(shù)據(jù)?！痹诿绹?guó)，學(xué)者沃倫（Samuel Warren）和布蘭德斯（Louis Brandeis）在著名的《論隱私權(quán)》中，首次提出“隱私權(quán)”的概念，并將其定義為“個(gè)人獨(dú)處的權(quán)利”。3See Samuel D. Warren & Louis D. Brandeis, Right to Privacy, 4 Harvard Law Review 193, 193-220 (1890-1891).進(jìn)入信息時(shí)代，學(xué)者威斯?。ˋlan F. Westin）將“隱私權(quán)”定義為“個(gè)人、群體或者機(jī)構(gòu)自主決定什么時(shí)候、如何以及在多大程度上將有關(guān)自身的信息披露給他人的權(quán)利”，4See Alan F. Westin, Privacy and Freedom, Atheneum, 1967, p. 7.由此形成了“信息隱私權(quán)”。美國(guó)聯(lián)邦最高法院在1977年惠倫訴羅（Whalenv.Roe）案的判決中指出，受憲法保護(hù)的隱私領(lǐng)域的利益包括“防止披露個(gè)人事務(wù)中所體現(xiàn)出的個(gè)人利益”5Whalen v. Roe, 433 U.S. 425 (1977), p. 599-600.，從而從法律層面正式確立了信息隱私權(quán)。

但是信息主體對(duì)個(gè)人信息的權(quán)利不是一項(xiàng)絕對(duì)權(quán)利?！稓W洲人權(quán)公約》第10條和《公民權(quán)利和政治權(quán)利國(guó)際公約》第19條保護(hù)表達(dá)自由，其中包括接受和傳播信息和思想的自由?！秱€(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)公約》在其序言中指出，“個(gè)人數(shù)據(jù)保護(hù)的權(quán)利應(yīng)當(dāng)就其社會(huì)作用加以考慮，并且應(yīng)當(dāng)與包括表達(dá)自由在內(nèi)的其他人權(quán)和基本自由相協(xié)調(diào)”，要將“查閱官方文件權(quán)利的原則考慮在內(nèi)”，認(rèn)識(shí)到“促進(jìn)人與人之間信息的自由流通之必要性”。歐盟《一般數(shù)據(jù)保護(hù)條例》的聲明（Recital）條款第4條也明確指出“保護(hù)個(gè)人數(shù)據(jù)的權(quán)利不是絕對(duì)權(quán)利，必須根據(jù)比例原則，考慮其在社會(huì)中的作用，并且與其他權(quán)利進(jìn)行權(quán)衡”。在美國(guó)，信息隱私權(quán)在理論和法律層面的確立，使得個(gè)人獲得了對(duì)個(gè)人信息的控制權(quán)利。但這種權(quán)利也不是絕對(duì)的，如前文所述，美國(guó)聯(lián)邦最高法院在一系列的判例中確定了言論自由包括信息創(chuàng)造、獲取和傳播的自由。信息隱私權(quán)必須與信息和表達(dá)自由相平衡。

從理論上看，個(gè)人信息具有公共性。施瓦茨（Paul M. Schwartz）教授認(rèn)為，個(gè)人信息的交換會(huì)形成“隱私公共空間”（privacy commons）?！靶畔㈦[私像干凈的空氣或國(guó)防一樣，發(fā)揮著作為一種公共物品的功能”，因此，信息隱私可以被看作是一種需要一定程度的社會(huì)和法律控制來(lái)構(gòu)建和維護(hù)的公共空間。6See Paul M. Schwartz, Property, Privacy, and Personal Data, 117 Harvard Law Review 2056, 2084-2090 (2004).費(fèi)爾菲爾德（Joshua A. T.Fair field）和恩格爾（Christoph Engel）教授也認(rèn)為信息隱私具有公共性，并指出，“對(duì)隱私公共物品性質(zhì)的忽視將導(dǎo)致隱私政策誤入歧途”。他們解釋了過(guò)度重視個(gè)人隱私保護(hù)實(shí)際上會(huì)導(dǎo)致對(duì)他人隱私和社會(huì)利益的損害，因此，需要通過(guò)促進(jìn)社會(huì)在隱私方面的集體行動(dòng)（collective action），才能避免或補(bǔ)救這一“社會(huì)困境”。7See Joshua A. T. Fair field & Christoph Engel, Privacy as a Public Good, 65 Duke Law Journal 385, 385-458 (2015).

作為特殊的一類(lèi)個(gè)人信息，生物識(shí)別信息同樣具有雙重屬性。一方面，生物識(shí)別信息承載著信息主體人格尊嚴(yán)、隱私權(quán)等基本權(quán)利。并且，由于具有專(zhuān)屬、唯一以及不可變更等特性，生物識(shí)別信息具有更高的敏感度。生物識(shí)別信息能更好地標(biāo)識(shí)個(gè)人，一旦和其他信息相結(jié)合，便能精準(zhǔn)地勾勒信息主體的社交網(wǎng)絡(luò)、行為偏好等，形成數(shù)字畫(huà)像。臉書(shū)、谷歌等公司推出的引發(fā)大量BIPA訴訟的人臉識(shí)別功能就是這樣的例子。對(duì)用戶(hù)照片進(jìn)行人臉識(shí)別，并做出標(biāo)簽，會(huì)使得個(gè)人生活更多地暴露給其他人。大數(shù)據(jù)時(shí)代，“這種在海量數(shù)據(jù)中進(jìn)行篩選的能力，有可能抹去人們?cè)诠采詈退饺松钪g精心構(gòu)建的界限”1See A. J. McClurg, In the Face of Danger: Facial Recognition and the Limits of Privacy Law, 120 Harvard Law Review 1870, 1874 (2007).， 進(jìn)而對(duì)個(gè)人隱私造成侵害。對(duì)個(gè)人隱私的侵害還可能對(duì)個(gè)人聲譽(yù)產(chǎn)生負(fù)面影響，進(jìn)而侵害個(gè)人的人格尊嚴(yán)。一個(gè)明顯的例子是，美國(guó)俄亥俄州的新聞主播凱瑟琳·博斯利（Catherine Bosley）到佛羅里達(dá)州度假，由于她認(rèn)為周?chē)际悄吧耍虼藚⒓恿恕皾馮恤”比賽。但隨后照片和視頻被傳到網(wǎng)上，她也因此被電視臺(tái)解雇。2See Connie Schultz, Bare Facts Don’t Tell Whole Story, PLAIN DEALER (Cleveland), 29 January 2004, at Fi,LEXIS, News Library, Clevpd File.對(duì)此，有學(xué)者指出，“由于人臉?biāo)阉饕?，發(fā)生在博斯利身上的事很可能會(huì)更頻繁地發(fā)生在其他人身上”3Jim Barr Coleman, Digital Photography and the Internet, Rethinking Privacy Law, 13 Journal of Intellectual Property Law 205, 205-207 (2005).。

但另一方面，生物識(shí)別信息也具有公共性，涉及公共利益，而非完全處于個(gè)人領(lǐng)域內(nèi)?，F(xiàn)代社會(huì)個(gè)人很難完全獨(dú)立于世。例如，人總是生活在一定的社群之內(nèi)，人臉、聲紋、步態(tài)等個(gè)人生物識(shí)別信息不可避免地會(huì)在一定的公共領(lǐng)域內(nèi)被收集、儲(chǔ)存并進(jìn)行一定程度的流通。當(dāng)個(gè)人出現(xiàn)在商店、餐館等公共場(chǎng)所時(shí)，其生物識(shí)別信息也必然會(huì)被同一場(chǎng)所內(nèi)的其他人獲取和識(shí)別。在這樣的場(chǎng)景下，個(gè)人不可能主張對(duì)自己生物識(shí)別信息的絕對(duì)控制權(quán)。同時(shí)，生物識(shí)別信息的利用也有著促進(jìn)社會(huì)公共利益的方面。生物識(shí)別技術(shù)在安全認(rèn)證領(lǐng)域的應(yīng)用，對(duì)于保護(hù)個(gè)人人身和財(cái)產(chǎn)安全有著重要的作用，有利于維護(hù)社會(huì)治安。此外，生物識(shí)別技術(shù)還能運(yùn)用于社會(huì)治理領(lǐng)域，提升社會(huì)管理水平，例如打擊“號(hào)販子”、便利養(yǎng)老金發(fā)放等。4參見(jiàn)王丹娜：《生物識(shí)別：傳統(tǒng)信息安全在新技術(shù)環(huán)境的創(chuàng)新應(yīng)用》，載《中國(guó)信息安全》2019年第2期，第60—64頁(yè)。因此，在生物識(shí)別信息的保護(hù)中，也應(yīng)當(dāng)注意到個(gè)人信息的公共性，從而避免過(guò)度保護(hù)導(dǎo)致的對(duì)其他權(quán)利的損害。

（二）完善商業(yè)利用生物識(shí)別信息法律規(guī)則的路徑

個(gè)人生物識(shí)別信息的雙重屬性，使得立法者必須在不同權(quán)利和利益之間進(jìn)行平衡。本文提出，可以通過(guò)完善信息區(qū)分、場(chǎng)景化行為主義的規(guī)制以及公私結(jié)合的救濟(jì)路徑來(lái)構(gòu)建商業(yè)利用生物識(shí)別信息的法律規(guī)則。

1. 完善信息區(qū)分

不同的個(gè)人信息有著不同的敏感度，不同信息的處理對(duì)個(gè)人隱私造成的風(fēng)險(xiǎn)也不相同。5參見(jiàn)孔令杰：《個(gè)人資料隱私的法律保護(hù)》，武漢大學(xué)出版社2009年版，第213頁(yè)。個(gè)人一般信息（如手機(jī)號(hào)碼、家庭住址等）被泄露或?yàn)E用的損害后果較為輕微（例如垃圾信息對(duì)私人生活安寧的干擾），達(dá)不到嚴(yán)重?fù)p害的程度。1參見(jiàn)吳標(biāo)兵、許和隆：《個(gè)人信息的邊界、敏感度與中心度研究——基于專(zhuān)家和公眾認(rèn)知的數(shù)據(jù)分析》，載《南京郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2018年第5期，第44—53頁(yè)。相比較而言，生物特征具有唯一、不可更改的特性，生物識(shí)別信息一旦被泄露或?yàn)E用，極有可能發(fā)生身份被竊取等情況，嚴(yán)重威脅信息主體的人格權(quán)、財(cái)產(chǎn)權(quán)等基本權(quán)利，并且，這樣的損害難以獲得完全的恢復(fù)。因此，在對(duì)個(gè)人信息的法律保護(hù)上，需要對(duì)生物識(shí)別信息的儲(chǔ)存和利用進(jìn)行相比一般個(gè)人信息更嚴(yán)格的規(guī)制。

從域外立法上看，不少?lài)?guó)家和地區(qū)已經(jīng)在立法中對(duì)個(gè)人信息的類(lèi)型進(jìn)行了區(qū)分，進(jìn)而提供不同的保護(hù)?！秱€(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)公約》最早區(qū)分了個(gè)人一般信息和個(gè)人敏感信息。歐盟《一般數(shù)據(jù)保護(hù)條例》第4條和第9條將基因數(shù)據(jù)和經(jīng)處理可識(shí)別特定個(gè)人的生物特征數(shù)據(jù)納入個(gè)人敏感數(shù)據(jù)當(dāng)中，原則上禁止處理。從BIPA到WBPA，美國(guó)現(xiàn)行的三部生物識(shí)別隱私法都將生物識(shí)別信息與其他個(gè)人信息相區(qū)別，規(guī)定了專(zhuān)門(mén)的保護(hù)規(guī)則。特別是，BIPA和CUBI分別定義了生物識(shí)別信息和敏感信息；在生物識(shí)別信息的保護(hù)標(biāo)準(zhǔn)上，明確規(guī)定要采用比其他敏感和機(jī)密信息相同或更高的標(biāo)準(zhǔn)。

信息區(qū)分在我國(guó)已經(jīng)有著一定的基礎(chǔ)。如前文所述，《個(gè)人信息保護(hù)指南》《個(gè)人信息安全規(guī)范》《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》都明確區(qū)分了個(gè)人一般信息和個(gè)人敏感信息。在學(xué)界，也有不少學(xué)者提出對(duì)個(gè)人信息進(jìn)行分類(lèi)保護(hù)或者對(duì)敏感的個(gè)人信息進(jìn)行特別規(guī)定。2參見(jiàn)張新寶：《從隱私到個(gè)人信息：利益再衡量的理論與制度安排》，載《中國(guó)法學(xué)》2015年第3期，第38—59頁(yè)；鞠曄、王平：《云計(jì)算背景下歐盟消費(fèi)者個(gè)人敏感數(shù)據(jù)的法律保護(hù)》，載《法學(xué)雜志》2014年第8期，第79—85頁(yè)；胡文濤：《我國(guó)個(gè)人敏感信息界定之構(gòu)想》，載《中國(guó)法學(xué)》2018年第5期，第235—254頁(yè)；田野、張晨輝：《論敏感個(gè)人信息的法律保護(hù)》，載《河南社會(huì)科學(xué)》2019年第7期，第43—49頁(yè)。還有學(xué)者進(jìn)一步提出，應(yīng)當(dāng)在各類(lèi)個(gè)人信息單行法律法規(guī)中對(duì)敏感的個(gè)人信息進(jìn)行特別規(guī)定。3參見(jiàn)張鵬：《論敏感個(gè)人信息在個(gè)人征信中的運(yùn)用》，載《蘇州大學(xué)學(xué)報(bào)》2012年第3期，第97—103頁(yè)?！秱€(gè)人信息保護(hù)法（草案二次審議稿）》已經(jīng)初步確立了信息區(qū)分。因此，我國(guó)可在未來(lái)的立法中結(jié)合國(guó)內(nèi)外立法和理論經(jīng)驗(yàn)，在法律、行政法規(guī)中進(jìn)一步完善信息區(qū)分，對(duì)生物識(shí)別信息等敏感信息規(guī)定信息收集、儲(chǔ)存、處理等不同環(huán)節(jié)的更為嚴(yán)格的保護(hù)規(guī)則。

2.場(chǎng)景化行為主義的規(guī)制方式

生物識(shí)別信息的敏感性要求更高的保護(hù)，但并不意味著絕對(duì)的保護(hù)。實(shí)際上，生物識(shí)別技術(shù)在不同的場(chǎng)景下和不同的信息處理環(huán)節(jié)中，對(duì)生物識(shí)別信息安全所帶來(lái)的風(fēng)險(xiǎn)程度是不同的。因此，可以通過(guò)場(chǎng)景化行為主義的規(guī)制方式來(lái)實(shí)現(xiàn)生物識(shí)別信息的高度敏感性與一定的公共性之間的平衡。

個(gè)人信息保護(hù)應(yīng)當(dāng)根據(jù)信息收集、儲(chǔ)存、處理等不同環(huán)節(jié)所可能侵犯?jìng)€(gè)人與社會(huì)的權(quán)益而進(jìn)行不同程度的規(guī)制，以確保個(gè)人信息流通的各個(gè)環(huán)節(jié)都能得到法律的合理介入。4參見(jiàn)丁曉東：《個(gè)人信息的雙重屬性與行為主義規(guī)制》，載《法學(xué)家》2020年第1期，第64—76頁(yè)。對(duì)于生物識(shí)別信息，本文認(rèn)為，生物特征數(shù)據(jù)僅僅是對(duì)個(gè)人生物特征的數(shù)字化表述，并不直接與具體個(gè)人身份信息相關(guān)聯(lián)，對(duì)生物特征數(shù)據(jù)的采集并不會(huì)直接對(duì)個(gè)人信息主體的權(quán)利造成損害，只有當(dāng)數(shù)據(jù)經(jīng)過(guò)一定的處理，才有侵害個(gè)人信息主體權(quán)利的可能。因此，在生物識(shí)別信息的法律規(guī)制中，可以根據(jù)場(chǎng)景的不同采取不同的收集規(guī)則，一定程度上采取相對(duì)寬松的規(guī)制方式，以利于生物識(shí)別信息公共價(jià)值的實(shí)現(xiàn)。對(duì)于信息的儲(chǔ)存和披露，由于生物識(shí)別信息的高度敏感性，應(yīng)當(dāng)采取比一般個(gè)人信息更嚴(yán)格的規(guī)則。具體而言，可以借鑒BIPA和CUBI，規(guī)定信息控制者必須以和其他敏感信息相同或更高的標(biāo)準(zhǔn)儲(chǔ)存、傳輸和保護(hù)生物識(shí)別信息，并通過(guò)強(qiáng)制性國(guó)家標(biāo)準(zhǔn)等規(guī)范，確定加密、分段等儲(chǔ)存和傳輸方式；要求信息收集者、控制者在保存一定的期限后必須刪除；此外，應(yīng)當(dāng)嚴(yán)格禁止信息出租、出售或者其他披露行為，并將例外情形嚴(yán)格限制在法律要求、主體同意或授權(quán)的金融交易需要等范圍內(nèi)。

個(gè)人信息是高度場(chǎng)景化的，不同場(chǎng)景下的個(gè)人信息可能需要不同程度的規(guī)制。1See Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA Law Review 1701, 1701-1778 (2010); Paul M. Schwartz & Daniel J. Solove, The PII Problem: Privacy and a New Concept of Personally Identifiable Information, 86 New York University Law Review 1814, 1814-1894 (2011).生物識(shí)別信息也是如此。生物識(shí)別主要有兩種應(yīng)用方式：“驗(yàn)證”（Verification）和“辨識(shí)”（Identification）。前者是“1對(duì)1”的驗(yàn)證，即通過(guò)比較被識(shí)別對(duì)象的生物特征數(shù)據(jù)和數(shù)據(jù)庫(kù)的模板數(shù)據(jù)，判斷被識(shí)別對(duì)象和數(shù)據(jù)庫(kù)模板數(shù)據(jù)的主體是否為同一個(gè)人；后者是“1對(duì)N”的辨識(shí)，即通過(guò)將個(gè)人的生物特征數(shù)據(jù)與數(shù)據(jù)庫(kù)中存儲(chǔ)的所有記錄進(jìn)行比較來(lái)確定被識(shí)別對(duì)象的身份。2See Robin Feldman, Considerations on the Emerging Implementation of Biometric Technology, 25 Hastings Communications and Entertainment Law Journal 653, 655-656 (2003).“1對(duì)1”的驗(yàn)證廣泛應(yīng)用于門(mén)禁系統(tǒng)、手機(jī)解鎖、微信和支付寶的支付程序等。而線(xiàn)下零售中，商店通過(guò)攝像頭記錄顧客行為軌跡和面部表情等，來(lái)分析顧客對(duì)商品的需求，則屬于生物識(shí)別技術(shù)辨識(shí)身份的應(yīng)用場(chǎng)景。相比較而言，生物識(shí)別技術(shù)的風(fēng)險(xiǎn)主要集中于“1對(duì)N”辨識(shí)的應(yīng)用場(chǎng)景中。

對(duì)于“1對(duì)1”的驗(yàn)證場(chǎng)景，本文認(rèn)為，可在數(shù)據(jù)收集規(guī)則上降低規(guī)制力度，以實(shí)現(xiàn)生物識(shí)別信息的公共性和利用價(jià)值。在門(mén)禁系統(tǒng)等應(yīng)用場(chǎng)景中，收集數(shù)據(jù)時(shí)，向被識(shí)別對(duì)象發(fā)出通知并獲得明示的同意，既不現(xiàn)實(shí)也無(wú)必要。因此，可以在身份驗(yàn)證的場(chǎng)景中，推定進(jìn)入一定識(shí)別范圍內(nèi)的被識(shí)別對(duì)象同意；或者借鑒WBPA的模式，僅在需要將數(shù)據(jù)儲(chǔ)存在數(shù)據(jù)庫(kù)時(shí)，要求通知并獲得同意。對(duì)于“1對(duì)N”辨識(shí)的應(yīng)用場(chǎng)景，由于其具有辨識(shí)個(gè)人的功能，因此需要在數(shù)據(jù)收集規(guī)則上加以更嚴(yán)格規(guī)制，要求收集者明確告知并獲得同意，數(shù)據(jù)用途也應(yīng)當(dāng)受到嚴(yán)格的限制。

3.公私結(jié)合的救濟(jì)途徑

在救濟(jì)途徑上，BIPA采用了私人訴訟模式，而CUBI和WBPA則采用了州總檢察長(zhǎng)訴訟模式，但如前文所述，這兩種救濟(jì)模式均存在不足。伊利諾伊州通過(guò)羅森巴赫案確立了對(duì)BIPA程序性規(guī)定的違反即構(gòu)成侵權(quán)的規(guī)則，但這樣的判決是否合憲仍存在著爭(zhēng)議。1美國(guó)聯(lián)邦最高法院在斯波基奧公司訴羅賓斯（Spokeo Inc. v. Robins）案中認(rèn)為，根據(jù)美國(guó)《憲法》第3條，原告必須受到實(shí)際損害才有資格提起訴訟，不能“僅僅主張一個(gè)沒(méi)有任何具體損害的、純粹程序上的違法”。因此，伊利諾伊州最高法院對(duì)羅森巴赫案的判決存在著是否違反美國(guó)聯(lián)邦最高法院斯波基奧公司案判決的爭(zhēng)議。See Spokeo Inc. v. Robins, 136 S. Ct. 1540 (2016).在我國(guó)，信息收集者、控制者僅違反程序性規(guī)定是否構(gòu)成侵權(quán)，同樣也并無(wú)定論。2參見(jiàn)高富平：《個(gè)人信息保護(hù)：從個(gè)人控制到社會(huì)控制》，載《法學(xué)研究》2018年第3期，第84—101頁(yè)。在損害的認(rèn)定、因果關(guān)系等信息侵權(quán)理論問(wèn)題還沒(méi)有解決的情況下，如果廣泛賦予個(gè)人訴訟權(quán)，可能導(dǎo)致與伊利諾伊州相似的過(guò)度訴訟的情況出現(xiàn)，進(jìn)而降低救濟(jì)效率。此外，由于技術(shù)的專(zhuān)業(yè)性，對(duì)信息侵權(quán)案件的事實(shí)調(diào)查也需要專(zhuān)業(yè)機(jī)構(gòu)的介入。而CUBI和WBPA的州總檢察長(zhǎng)訴訟模式雖有助于查清事實(shí)、提高救濟(jì)效率，但也面臨著剝奪了信息主體訴訟權(quán)利的問(wèn)題。

從域外立法趨勢(shì)上看，由于個(gè)人信息的公共屬性越來(lái)越明顯，近年來(lái)，美歐主要的數(shù)據(jù)保護(hù)法都采取公法保護(hù)為主、有限賦予個(gè)人訴訟權(quán)的路徑。3參見(jiàn)王融、黃致韜：《邁向行政規(guī)制的個(gè)人信息保護(hù)：GDPR與CCPA處罰制度比較》，載搜狐網(wǎng)，https://www.sohu.com/a/381134650_455313。2018年頒布、2020年生效的美國(guó)《加州消費(fèi)者隱私法》（California Consumer Protection Regulations）在救濟(jì)途徑上，規(guī)定了州總檢察長(zhǎng)具有廣泛的規(guī)制權(quán)力，同時(shí)，也賦予了個(gè)人對(duì)于“未加密和未經(jīng)授權(quán)的個(gè)人信息”在信息收集者、控制者違反程序義務(wù)而“受到未經(jīng)授權(quán)的訪(fǎng)問(wèn)和過(guò)濾、盜竊或泄露的影響”的情況下提起訴訟的權(quán)利。4See California Consumer Protection Regulations 1798.150 (a), (c).由于英美法律傳統(tǒng)并不嚴(yán)格區(qū)分公法和私法，行政執(zhí)行的程序也通過(guò)民事訴訟程序來(lái)實(shí)現(xiàn)。5See Robert A. Kagan, Adversarial Legalism: The American Way of Law, Harvard University Press, 2001, p. 3-15.因此，美國(guó)州總檢察長(zhǎng)訴訟的模式本質(zhì)上是行政處罰的程序。行政規(guī)制為主有利于提高救濟(jì)效率，同時(shí)，有限地賦予個(gè)人訴訟權(quán)，有利于保障個(gè)人信息主體在因數(shù)據(jù)泄露等特定類(lèi)型的信息侵權(quán)案件中獲得充分救濟(jì)的權(quán)利。

我國(guó)在未來(lái)生物識(shí)別信息商業(yè)利用的立法規(guī)制中，可以借鑒公法保護(hù)為主、有限賦予個(gè)人訴訟權(quán)的模式。相比美國(guó)的州總檢察長(zhǎng)是民選職位、更易受到選舉政治的影響，我國(guó)的檢察機(jī)關(guān)更易從公共利益平衡的角度起訴濫用個(gè)人生物識(shí)別信息的商業(yè)行為；還可以通過(guò)專(zhuān)門(mén)的信息監(jiān)管機(jī)構(gòu)、強(qiáng)化對(duì)監(jiān)管機(jī)構(gòu)的授權(quán)等方式，對(duì)信息收集者、控制者進(jìn)行有效的監(jiān)管，及時(shí)糾正違法違規(guī)行為，并通過(guò)行政責(zé)任乃至刑事責(zé)任對(duì)違法違規(guī)行為形成震懾效應(yīng)。同時(shí)，有限地賦予個(gè)人在生物識(shí)別信息泄露等特定類(lèi)型的信息侵權(quán)案件中的訴訟權(quán)，以實(shí)現(xiàn)對(duì)個(gè)人權(quán)利的保障。

結(jié)語(yǔ)

美國(guó)法的兩種不同立法傾向及其相應(yīng)的問(wèn)題，反映了生物識(shí)別信息具有高度敏感性和一定的公共性。生物識(shí)別信息的高度敏感性要求在立法上采取區(qū)別于其他個(gè)人信息的更嚴(yán)格的保護(hù)規(guī)則。但是，過(guò)度的保護(hù)會(huì)妨礙生物識(shí)別信息公共性?xún)r(jià)值的實(shí)現(xiàn)，損害社會(huì)利益，因此，需要根據(jù)場(chǎng)景和信息處理環(huán)節(jié)的不同作出場(chǎng)景化行為主義的規(guī)制。此外，在救濟(jì)規(guī)則上，應(yīng)該通過(guò)公法保護(hù)為主、有限保障個(gè)人訴訟權(quán)的模式，以實(shí)現(xiàn)對(duì)生物識(shí)別信息的有效規(guī)制。