褚婧一

一、問題的提出

生物識別信息是個人信息保護領(lǐng)域的重要法律概念,因關(guān)涉?zhèn)€人獨特的生物特征而往往被認(rèn)定為特殊種類的個人信息,享有更高程度的保護,然而,目前立法與學(xué)術(shù)研究似乎尚未在“何為生物識別信息”這一基礎(chǔ)問題上得出統(tǒng)一的答案?？v觀各國立法,對生物識別信息的界定呈現(xiàn)出兩種路徑。第一種是目前大多數(shù)國家立法所采用的以特定信息處理活動為標(biāo)準(zhǔn)展開的界定。生物識別信息作為與科技緊密相關(guān)的法律概念,是基于特定處理活動產(chǎn)生的、能夠識別或驗證自然人身份(identity)的生物信息。例如,歐盟《通用數(shù)據(jù)保護條例》第4條規(guī)定,生物識別信息為“基于特定技術(shù)處理自然人的相關(guān)身體、生理或行為特征而得出的個人數(shù)據(jù),這種個人數(shù)據(jù)能夠幫助或?qū)崿F(xiàn)對自然人的唯一性識別,例如臉部形象或指紋數(shù)據(jù)(1)“‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data.” Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), Article 4(14)(2).”。第二種是以數(shù)據(jù)來源作為界定標(biāo)準(zhǔn),將生物識別信息視為反映身體特征的信息。例如,美國得克薩斯州《商業(yè)法典》以“生物標(biāo)識符”指代“生物特征信息”,并在§503.001(a)中采用列舉的方法提出“生物標(biāo)識符是指視網(wǎng)膜或虹膜掃描、指紋、聲紋、掌紋或面部幾何形狀的記錄(2)“‘Biometric identifier’ means a retina or iris scan, fingerprint, voiceprint, or record of hand or face geometry.” Texas, Business And Commerce Code§503.001(a).”。

就兩種界定方式中的識別標(biāo)準(zhǔn)而言,前者以信息“能夠幫助或?qū)崿F(xiàn)對自然人的唯一性識別”為前提,這一標(biāo)準(zhǔn)高于一般個人信息的識別標(biāo)準(zhǔn);后者則不再將身份識別視為必要條件,在識別標(biāo)準(zhǔn)上沒有額外的要求,只要滿足一般個人信息的可識別性即可。兩種識別標(biāo)準(zhǔn)對應(yīng)當(dāng)下不同類型的生物信息處理技術(shù)或處理活動,由此產(chǎn)生對個人信息權(quán)益保護的不同范圍。2018年未來隱私論壇發(fā)布了《人臉識別技術(shù)在商業(yè)應(yīng)用中的隱私原則》(3)Future of Privacy Forum. Privacy Principles for Facial Recognition Technology in Commercial Applications[EB/OL].(2018-09)[2023-04-13]. Future of Privacy Forum, https://fpf.org/wp-content/uploads/2019/03/Final-Privacy-Principles-Edits-1.pdf.。該報告將人臉識別分為以下五種技術(shù)類型:第一種,檢測(detec-tion),該技術(shù)可以辨別視頻或圖像中的個人或其特定身體部位,回答如“圖像中一共有多少張人臉”等問題;第二種,歸類(characterization),該技術(shù)可根據(jù)人的身體特征展開類別的歸納,如男性與女性、年齡段、表情開心或失落等;第三種,跟蹤(tracking),這一技術(shù)可以在不識別信息主體具體身份的前提下通過辨別個體的顯著特征來展開持續(xù)性追蹤,回答如“有多少顧客多次出入某一商店”“人們排隊等待了多久”等問題;第四種,驗證(verification),即一對一(1∶1)地核驗特定主體的身份,如常見的上下班打卡系統(tǒng);第五種,識別(identification),即一對多(1∶n)地在群體中將特定的個體挑出,如警方追捕逃犯的識別系統(tǒng)[1]110。若將五種技術(shù)類型代入上述兩種界定方式之中,那么僅有驗證與識別技術(shù)具有身份確認(rèn)的功能,能夠幫助或?qū)崿F(xiàn)第一種界定方式中的“唯一性識別”,由此產(chǎn)生較窄的個人信息權(quán)益保護范圍;而檢測、歸類與跟蹤技術(shù)雖不以身份識別為前提,但其涉及的信息仍具有識別信息主體的可能性,可作為間接可識別個人信息而受到保護。因此,第二種界定方式則可以涵蓋五種技術(shù)類型,產(chǎn)生更為寬泛的個人信息權(quán)益保護。

值得注意的是,上述兩種界定方式在目前的歐盟立法中均有所體現(xiàn)?！锻ㄓ脭?shù)據(jù)保護條例》中“生物識別信息”的法律概念體現(xiàn)了基于特定處理活動的界定思路。2022年4月歐盟議會頒布的《關(guān)于<人工智能法案>的報告草案》(以下簡稱《報告草案》)提出了“生物特征信息”(biometrics-based data)的概念,這一概念依據(jù)第二種界定方式而產(chǎn)生。與生物識別信息不同,《報告草案》中修正意見第64項指出生物特征信息是“能夠以及無法(may or may not)幫助或?qū)崿F(xiàn)對自然人唯一性識別”的信息(4)“(33a) ‘biometrics-based data’ means data resulting from specific technical processing relating to physical, physiological or behavioural signals of a natural person, such as facial expressions, movements, pulse frequency, voice, key strikes or gait, which may or may not allow or confirm the unique identification of a natural person.” European Parliament, IMCO-LIBE Draft Report on the EU’s Artificial Intelligence (AI) Act[EB/OL].(2022-04-20)[2023-04-13]. European Parliament, https://www.europarl.europa.eu/doceo/document/CJ40-PR-731563_EN.pdf.。為便于區(qū)分,本文將基于特定技術(shù)處理界定的生物信息稱為生物識別信息,將基于數(shù)據(jù)來源界定的生物信息稱為生物特征信息,二者共同隸屬于廣義的生物識別信息。

總之,無論是對生物識別信息的兩種界定方式,還是基于不同界定產(chǎn)生的生物識別信息與生物特征信息的不同分類,其最終都?xì)w溯至“如何界定生物識別信息中識別標(biāo)準(zhǔn)”的問題。具言之,生物識別信息與生物特征信息概念內(nèi)識別要素的具體內(nèi)涵是什么,二者的識別標(biāo)準(zhǔn)又存在何種差異?不同的識別標(biāo)準(zhǔn)對于生物識別信息與生物特征信息概念本身及其在“一般個人信息—敏感個人信息”的層次定位中分別產(chǎn)生了何種影響、反映了哪些局限與不足?鑒于我國尚未在立法與司法中對生物識別信息的內(nèi)涵予以明確,歐盟的相關(guān)立法實踐與學(xué)術(shù)探討可為我國提供經(jīng)驗的借鑒,本文由是回應(yīng)我國應(yīng)在個人信息保護法體系內(nèi)對生物識別信息設(shè)定何種識別標(biāo)準(zhǔn),以實現(xiàn)對這一特殊種類個人信息的歸入與擇出。

伴隨對人臉識別法律規(guī)制研究的深入,生物識別信息逐漸引發(fā)我國學(xué)者的關(guān)注。當(dāng)下對生物識別信息的研究更多從數(shù)據(jù)安全的視角展開,在微觀層面探討公私法法律保護機制的構(gòu)建或應(yīng)用風(fēng)險之監(jiān)管[2][3][4][5][6],在宏觀上討論綜合立法或單獨立法的模式選擇[7][8][9],從而達(dá)到保障生物識別信息安全、規(guī)制生物識別技術(shù)發(fā)展的目的。若將視角置于生物識別信息法律概念的基礎(chǔ)理論研究,學(xué)者們則達(dá)成了如下共識:首先,基于自然人的生物特征,生物識別信息具有唯一性、不變性與識別性的特點(5)曾昌則在上述三個要素的基礎(chǔ)上補充了該類信息具有可分離性,信息處理者未經(jīng)信息主體同意而剝離相關(guān)生物識別信息應(yīng)視為侵權(quán),從而增強信息主體對于該類信息的控制權(quán)。參見:曾昌.分離困境與整合路徑:大數(shù)據(jù)時代下個人生物識別信息保護制度之完善[J].云南社會科學(xué),2021(5):114-122.,較強的人身屬性使之與人的尊嚴(yán)緊密關(guān)聯(lián);其次,我國立法在生物識別信息的問題上存在法律概念不清、權(quán)利義務(wù)不明以及救濟機制薄弱的缺陷;最后,未來在構(gòu)建我國生物識別信息的法律意涵上,學(xué)者普遍認(rèn)同以“反映自然人生物特征”“特定技術(shù)處理”與“能夠唯一性識別自然人身份”三個要素來厘定其內(nèi)涵[10][11][12][13]。筆者認(rèn)為,目前的研究雖成果豐碩但也呈現(xiàn)出兩方面的不足:一方面,生物識別信息是與生物技術(shù)相關(guān)的法律概念,對生物識別信息的研究應(yīng)以技術(shù)的規(guī)制法和個人信息權(quán)益的保護法為一體兩面,不應(yīng)做分割處理;另一方面,生物識別信息概念之核心與癥結(jié)均在于“識別”一詞,“識別”直接決定了其保護范圍和在個人信息體系中的定位,而目前的研究尚未關(guān)注這一點。

二、生物識別信息中識別標(biāo)準(zhǔn)的釋義及其局限性

我國《個人信息保護法》第28條將生物識別信息作為敏感個人信息的一種類型予以保護,相關(guān)立法尚未就生物識別信息的法律概念給出明確的定義。從歐盟與美國的生物隱私立法來看(表1),識別特定個體是生物識別信息界定的關(guān)鍵要素,也是其存在的目的要件[14]。鑒于歐盟個人信息保護立法的概念體系較為成熟且對我國立法產(chǎn)生了深遠(yuǎn)影響,本文以歐盟《通用數(shù)據(jù)保護條例》中采納的“幫助或?qū)崿F(xiàn)對自然人的唯一性識別”標(biāo)準(zhǔn)為例展開具體分析。

表1 歐盟與美國立法對生物識別信息的概念界定

(一)技術(shù)釋義:經(jīng)由生物比對的識別或驗證

生物識別信息是與生物科技緊密相關(guān)的法律概念,識別標(biāo)準(zhǔn)的闡釋也需要從技術(shù)概念的厘定而出發(fā)?！锻ㄓ脭?shù)據(jù)保護條例》第4條第14項將生物識別信息的識別標(biāo)準(zhǔn)界定為“幫助或?qū)崿F(xiàn)對自然人的唯一性識別”,序言第51段為其提供了具體的闡釋:“對照片的加工處理不能天然地認(rèn)為是對生物識別信息這一特殊種類個人信息的加工處理,只有在通過特定技術(shù)手段開展對自然人的唯一性識別或驗證時才能將其認(rèn)定為處理生物識別信息?！庇墒?生物識別信息識別標(biāo)準(zhǔn)的判斷則轉(zhuǎn)為對“通過特定技術(shù)手段開展對自然人的唯一性識別或驗證”的解釋。其中,經(jīng)由特定技術(shù)處理是生成生物識別信息的前提條件,而其處理的目的則在于開展唯一性識別或驗證。

在解釋何為“特定技術(shù)處理”之前有必要引入如下兩個生物技術(shù)領(lǐng)域的概念:生物樣本信息與生物模型信息。生物樣本信息是指對生物特征的模擬或數(shù)字化記錄,該信息是對生物特征的原始處理,進(jìn)而將特征轉(zhuǎn)化為標(biāo)識,如人臉照片[14]。若以特定算法應(yīng)用于生物樣本信息,開展重要特征的提取與歸類,并將結(jié)果轉(zhuǎn)譯成字符或標(biāo)簽,那么這一過程稱為特征提取。生物模型信息則是特征提取后的數(shù)學(xué)建模,例如基于人臉照片中的關(guān)鍵點集而形成的面部建模(6)ISO/IEC 2382-37: 2022 Information technology - Vocabulary - Part 37: Biometrics Term 37.03.21 [EB/OL].(2022)[2023-04-13]. ISO,https://www.iso.org/obp/ui/#iso:std:iso-iec:2382:-37:ed-3:v1:en.。如序言第51段所述,人臉照片是對人面部特征的圖像化展示,屬于生物樣本信息,不能天然認(rèn)為是生物識別信息。

雖然《通用數(shù)據(jù)保護條例》并未對何為“特定技術(shù)處理”著以更多的筆墨,但在法律解釋上其可同開展“唯一性識別或驗證”結(jié)合理解。具言之,識別與驗證是相互區(qū)分的技術(shù)手段或信息處理活動。識別是一對多的生物比對,通過將測量信息與預(yù)先存在的生物數(shù)據(jù)庫信息相比對以識別未知的個體,可理解為在群體之中挑出特定的個體;驗證則是一對一的生物比對,從而證實或確認(rèn)被測量個體與特定信息主體是否同一[15]。由此,生物比對是識別與驗證的共同流程,也是“特定技術(shù)處理”的具體指向。

生物識別技術(shù)中的生物比對可歸納為以下七個步驟:(1)以某種測量技術(shù)介入自然人的身體、生理或行為特征;(2)建模,在模型(template)中標(biāo)識測量結(jié)果;(3)將該模型以字符串或代碼的形式表示,并將其關(guān)聯(lián)至被測量的個體,該模型則成為標(biāo)準(zhǔn)模型(master template);(4)將標(biāo)準(zhǔn)模型存儲至生物數(shù)據(jù)庫中;(5)對新的被測量個體就相同的生物特征展開測量,并建立實時模型(live template);(6)將實時模型與標(biāo)準(zhǔn)模型進(jìn)行比對;(7)應(yīng)用算法輸出比對結(jié)果[1]212。結(jié)合序言第51段,照片作為原始的生物樣本信息不能被認(rèn)定為生物識別信息,以特定技術(shù)手段從照片中提取出的人臉特征信息或人臉模型信息也并不一定是生物識別信息,只有在其用于經(jīng)由生物比對的識別或驗證時才可認(rèn)定為生物識別信息。

綜上所述,生物識別信息中的識別標(biāo)準(zhǔn)為“幫助或?qū)崿F(xiàn)對自然人的唯一性識別”,這一標(biāo)準(zhǔn)的技術(shù)釋義則為“經(jīng)由生物比對的識別或驗證”,生物識別信息以對特定信息主體的識別或驗證為目的而存在。與歐盟類似,美國生物隱私的專門立法或綜合立法中也基本將生物識別信息的范疇限制為以識別或驗證為目的的生物信息(7)Rice T, When is a biometric no longer a biometric?[EB/OL].(2022-05-19)[2023-04-13]. Future of Privacy Forum, https://fpf.org/blog/when-is-a-biometric-no-longer-a-biometric/.。

(二)法律釋義:基于生物識別身份的已識別

我國《個人信息保護法》將個人信息分為一般個人信息與敏感個人信息,并將生物識別信息作為敏感個人信息的一種類型予以保護。歐盟在《通用數(shù)據(jù)保護條例》第9條第1款中同樣將生物識別信息作為敏感個人信息的一種類型予以列舉,但與我國不同的是,歐盟定義下的敏感個人信息并未涵蓋生物識別信息的完整范圍,即二者是交叉重合的關(guān)系[15]。據(jù)此,與自然人的身體、生理或行為特征有關(guān)的生物信息在歐盟立法中可歸納為“一般個人信息”“生物識別信息”“敏感個人信息”三種類型(表2),各自對應(yīng)的識別標(biāo)準(zhǔn)從左至右依次升高。

表2 《通用數(shù)據(jù)保護條例》中生物信息的類型

1.“幫助或?qū)崿F(xiàn)唯一性識別”高于“已識別或可識別”

生物識別信息首先歸屬于個人信息,生物信息想要成為生物識別信息,則首先應(yīng)當(dāng)滿足個人信息可識別性的判斷。從識別標(biāo)準(zhǔn)的角度看,個人信息的可識別性是生物識別信息判斷的門檻條件。不可否認(rèn)個人信息可識別性是一個廣受爭議的法律概念,其內(nèi)涵具有較大的不確定性,盡管如此,相關(guān)立法文本與學(xué)術(shù)討論仍為劃定其基本邊界提供了指引。

首先,《通用數(shù)據(jù)保護條例》第4條第1項對“個人信息”的界定中提出,“‘個人信息’指的是任何已識別(identified)或可識別(identifiable)的自然人相關(guān)的信息;一個可識別的自然人是一個能夠被直接(directly)或間接(indirectly)識別的個體”。第29條工作組(Article 29 Working Party)在《關(guān)于個人信息概念的意見》中將“已識別”解釋為“在群體中,特定個體可以與群體中的其他成員相區(qū)分(distinguished)”,“可識別”是指“盡管尚未達(dá)到已識別,但仍有被識別的可能性”(8)Article 29 Working Party. Opinion 4/2007 on the concept of personal data (WP 136, 20 June 2007)[EB/OL].(2007-06-20)[2023-04-13]. Article 29 Working Party, https://www.clinicalstudydatarequest.com/Documents/Privacy-European-guidance.pdf. 需要說明的是,該意見不具有法律強制力,僅具有一定的法律解釋功能。。此外,序言第26段在判斷可識別與否時提到,所有能夠采用的合理方法都應(yīng)被考慮在內(nèi)。由此可見,“已識別”與“可識別”最終都指向了對信息主體識別的可能性(identifiability)。所以,盡管第29條工作組在解釋“識別”一詞的內(nèi)涵時采用了“與群體中其他成員相區(qū)分”“在群體中將特定個體挑出”等表述,但筆者認(rèn)為更為準(zhǔn)確地表達(dá)這一識別可能性的解釋則是“放大/聚焦于(zoom on)一個有血有肉的個體”。質(zhì)言之,個人信息的可識別性可理解為在特定環(huán)境下(9)不可否認(rèn),個人信息的可識別性需要考慮特定的場景(context)。第29條工作組認(rèn)為,“信息關(guān)聯(lián)的信息主體能否被識別依賴于特定的場景”(“the question of whether the individual to whom the information relates is identified or not depend on the circumstances of the case”)。依據(jù)特定信息聚焦于特定信息主體的可能性。例如,在一個班級之中,“男性/女性”這樣的性別信息基本不會具有識別的可能性,但如果是“女性+身高160cm+體重50kg+嘴角有一顆痣”這樣的信息則具有聚焦于特定信息主體的可能。

其次,如果說“識別”是一個在人群中拿著放大鏡趨近于特定個體的過程,那么“已識別”則是實現(xiàn)了對信息主體的聚焦,而“可識別”則為無限趨近但尚未聚焦于特定個體,盡管聚焦的可能性是極大的。鑒于直接與間接識別同樣是識別特定個體的兩種方式,筆者認(rèn)為在生物信息的范疇內(nèi),以直接識別和間接識別劃分識別方式、已識別和可識別作為識別可能性的分類,可以得出如表3所示的四種具體的識別類型。

表3 生物信息的識別類型[16]

最后,值得注意的是,表3為生物信息識別標(biāo)準(zhǔn)的類型化,而非生物識別信息中識別標(biāo)準(zhǔn)的類型化。如前文所述,個人信息的可識別性是一個門檻性的標(biāo)準(zhǔn),即要想成為生物識別信息,其首先應(yīng)當(dāng)是個人信息。在對個人信息的識別性標(biāo)準(zhǔn)闡述后,有必要進(jìn)一步明確為何生物識別信息的識別標(biāo)準(zhǔn)高于個人信息,以及高出部分的具體表現(xiàn)。

結(jié)合上文的技術(shù)釋義,生物識別信息的識別標(biāo)準(zhǔn)體現(xiàn)在經(jīng)由生物比對的識別與驗證兩項生物技術(shù)上;從法律意涵來看,識別與驗證僅能對應(yīng)個人信息的已識別標(biāo)準(zhǔn),而將可識別標(biāo)準(zhǔn)排除在外。具言之,識別與驗證以生物比對為共同流程。生物比對是一種基于測量而探尋被測量數(shù)據(jù)與先前已記錄數(shù)據(jù)的相似度與匹配度的活動,而先前記錄的數(shù)據(jù)則可稱為信息主體的生物識別身份(biometric identity)[14]。與市民身份(civil identity)(如父親、丈夫)和法律身份(legal identity)(如完全民事行為能力人)不同,生物識別身份并不需要識別出信息主體的姓名、職業(yè)、社會關(guān)系等具體身份信息,也不需要追求個性化推薦中詳盡的標(biāo)簽化與用戶畫像,而僅指測量樣本與先前存儲信息來源于同一信息主體[14]。從生物識別身份的角度看,“幫助(allow)自然人的唯一性識別”,由于是在群體中將特定信息主體挑出的過程,故而其是指建立生物識別身份的識別技術(shù);“實現(xiàn)(confirm)自然人的唯一性識別”,由于是驗證某信息主體是否是其所主張的信息主體的過程,其先前存儲的信息往往存儲于單一的設(shè)備中,如身份證、護照,屬于單一的數(shù)據(jù)庫(single database),因此它指向的是驗證生物識別身份的驗證技術(shù)[14]。

由此,一方面,由于識別與驗證均需要生物識別身份的存在,故這兩項信息處理活動均要求信息主體具有已識別的特征,即可以清晰地識別出信息主體。而可識別這一逐漸向信息主體走進(jìn)的標(biāo)準(zhǔn)難以建立明確的生物識別身份,所以生物識別信息的識別標(biāo)準(zhǔn)高于一般個人信息的識別標(biāo)準(zhǔn)。另一方面,生物識別信息與一般個人信息識別對象的差異表現(xiàn)在生物識別身份上,即一般個人信息可能會需要建立市民身份,如信息主體的姓名、身份證號等,從而將其特定化,而旨在對比生物特征是否同一的生物識別身份則并非個人信息所必需。

2.“幫助或?qū)崿F(xiàn)唯一性識別”低于“實現(xiàn)唯一性識別”

《通用數(shù)據(jù)保護條例》第9條將“為了識別特定自然人的生物識別信息”作為特殊類型個人信息納入敏感個人信息的保護范圍,而實際上敏感個人信息與生物識別信息是相互交叉的法律概念。敏感個人信息的可識別標(biāo)準(zhǔn)為“唯一性識別”(unique identification),此為個人信息可識別性體系中的最高標(biāo)準(zhǔn)[14]。學(xué)界普遍認(rèn)為第9條第1款中“以實現(xiàn)唯一性識別特定自然人的生物識別信息”在技術(shù)類型上僅包含識別技術(shù),不包括驗證技術(shù)[1][15]。因此,生物識別信息中僅有以識別為目的的部分可以作為敏感個人信息享有更高程度的保護,生物識別信息的識別標(biāo)準(zhǔn)低于敏感個人信息的識別標(biāo)準(zhǔn)。

究其原因,相較于驗證目的,以識別為目的的生物識別信息將對信息主體的基本權(quán)利和自由產(chǎn)生更大的風(fēng)險。一方面,從生物識別信息存儲的基礎(chǔ)數(shù)據(jù)庫來看,由于識別是一對多的信息處理活動,其需要相較于驗證技術(shù)更為龐大的基礎(chǔ)數(shù)據(jù)庫,由此產(chǎn)生更為嚴(yán)重的信息安全風(fēng)險。加之驗證技術(shù)往往僅需將基礎(chǔ)數(shù)據(jù)存儲于單一的設(shè)備之上,如身份證、工卡等,且驗證過程無需其他信息主體的參與,因此產(chǎn)生信息安全隱患的風(fēng)險更小。例如,機場登機時通過將人臉信息與身份證面部圖像提取出的面部模型相比對來驗證登機人與身份證信息主體是否匹配,在此過程中基礎(chǔ)信息存儲于身份證之上且并無其他信息主體參與驗證過程,僅為一對一的信息對比[1]213。另一方面,從技術(shù)功能的角度看,驗證的目的是核對信息主體匹配與否,而識別技術(shù)的目的則更為復(fù)雜,并在不當(dāng)利用時可能存在歧視的風(fēng)險,例如基于有色人種的識別等,將對被識別對象的基本權(quán)利產(chǎn)生威脅。

(三)概念局限:過于依賴信息處理者的主觀目的

生物識別信息的識別標(biāo)準(zhǔn)介于一般個人信息與敏感個人信息之間,然而,這樣的識別標(biāo)準(zhǔn)在自身的概念內(nèi)涵、與一般個人信息與敏感個人信息識別標(biāo)準(zhǔn)的銜接上均存在一定的局限。

首先,“幫助或?qū)崿F(xiàn)唯一性識別”的識別標(biāo)準(zhǔn)將生物識別信息限定于以識別或驗證為目的的范疇內(nèi),而該目的屬于個人信息處理者的主觀范疇,由此將產(chǎn)生如下三個問題。

第一,個人信息處理者真實的信息處理意圖往往是難以知曉的,且其主觀目的存在變更的可能性。當(dāng)生物識別信息因可能被納入敏感個人信息而要求信息處理者承擔(dān)更為嚴(yán)格的信息保護義務(wù)時,信息處理者可能會對其真實的識別與驗證目的有所隱瞞。

第二,依賴信息處理者的主觀目的判斷生物信息是否屬于生物識別信息,在具體操作上仍缺乏明確的法律指引。對此,可以假設(shè)如下三種情形:(1)信息處理者在采集指紋信息時并沒有識別的目的,但是伴隨信息處理者業(yè)務(wù)范圍的擴展,隨后在信息處理活動中具備了識別目的,那么指紋信息作為生物識別信息的時間點應(yīng)從何時起算?該情境中,假設(shè)指紋信息被存儲于生物數(shù)據(jù)庫之中,在信息處理者具有識別目的后該數(shù)據(jù)庫實則沒有發(fā)生任何變化,生物信息或生物識別信息均處于存儲狀態(tài)之中,因此風(fēng)險性幾乎沒有變化。(2)信息處理者A在采集、存儲生物信息時具有日后用于識別的處理目的,但是事實上識別技術(shù)的應(yīng)用將發(fā)生在50年之后,此時的生物信息屬于生物識別信息嗎?筆者認(rèn)為,該問題是難以回答的,可以參考兩個對比情形:其一,信息處理者B采集、存儲生物識別信息時打算在1個月后將該信息用于識別目的,此時該信息應(yīng)被認(rèn)定為生物識別信息;其二,信息處理者C在采集、存儲生物信息時沒有識別目的,但是在50年之后伴隨業(yè)務(wù)的擴展而具有了應(yīng)用識別技術(shù)的意圖,那么此時對C而言其因處理敏感個人信息而需承擔(dān)的額外信息保護義務(wù)是從50年后起算的。若嚴(yán)格按照信息處理者主觀意圖的判斷標(biāo)準(zhǔn),那么A在此前50年內(nèi)就需要承擔(dān)敏感個人信息的保護義務(wù),但實際上其與C在對生物數(shù)據(jù)庫的使用上并不存在差異,因此對A而言承擔(dān)該義務(wù)可能是不公平的。(3)若信息處理者D對其所存儲的生物數(shù)據(jù)庫并沒有識別或驗證的技術(shù)處理目的,但其合作者E期望將該信息用于識別,那么同一數(shù)據(jù)庫是否對D而言屬于一般個人信息、而對E而言屬于生物識別信息呢?

第三,過于依賴信息處理者主觀目的將可能在實踐中對生物數(shù)據(jù)庫產(chǎn)生存儲與使用相割裂的困境[15]。由于識別和驗證技術(shù)需要經(jīng)由生物比對,屬于信息使用的過程,而在此之前生物信息的采集與存儲則往往難以判斷或容易隱藏信息處理者的主觀處理意圖,由此引發(fā)存儲與使用相割裂的風(fēng)險,即信息處理者積極開展生物信息的采集與存儲活動,而對生物數(shù)據(jù)庫的使用則保持謹(jǐn)慎的態(tài)度。然而,作為個人信息的生物信息其采集與存儲同樣存在嚴(yán)重的風(fēng)險,如信息的過當(dāng)采集和生物數(shù)據(jù)庫泄露等。

其次,由于生物識別信息的可識別性在技術(shù)上要求經(jīng)由生物比對活動,大量的生物樣本信息被排除在外,該類信息則僅能歸屬為一般個人信息,因此產(chǎn)生了生物識別信息的可識別性標(biāo)準(zhǔn)是否過高而導(dǎo)致其保護范圍狹窄?以人臉圖像為例,依據(jù)《通用數(shù)據(jù)保護條例》序言第51條,不以識別和驗證為目的的照片不能被認(rèn)定為生物識別信息,而只有當(dāng)其應(yīng)用于如上目的時,從照片中提取出的以生物比對為目的的面部模型信息方能成為生物識別信息。這一判斷實則引發(fā)人們對于照片圖庫信息保護的隱憂,因照片雖作為原始的生物樣本信息不直接用于生物比對,但其是生物模型信息的來源,且照片中往往含有隱私的背景信息,所以照片圖庫仍隱含嚴(yán)重的信息泄露風(fēng)險。故而,即使生物數(shù)據(jù)庫中的信息未用于進(jìn)一步的信息處理活動,該數(shù)據(jù)庫也應(yīng)采取更高的安全保護措施。

最后,生物識別信息的識別標(biāo)準(zhǔn)客觀上導(dǎo)致了同敏感個人信息中其他類型信息銜接的矛盾?！锻ㄓ脭?shù)據(jù)保護條例》第9條第1款在列舉敏感個人信息項下的具體類型時以對信息主體基本權(quán)利的風(fēng)險作為判斷的標(biāo)準(zhǔn),如“顯示種族或民族背景、政治觀念、宗教或哲學(xué)信仰、性生活與性取向”等,該標(biāo)準(zhǔn)從信息的屬性出發(fā)將對個人隱私有較大危害且泄露將可能造成社會歧視、減損人的尊嚴(yán)的數(shù)據(jù)類型列為特殊種類的個人信息。反觀這一條款對生物識別信息的列舉,即“為了識別特定自然人的生物識別信息”,其以信息處理技術(shù)或處理目的作為是否歸入敏感個人信息的判斷條件,與其他種類敏感個人信息的判斷條件產(chǎn)生沖突。

三、生物特征信息中識別標(biāo)準(zhǔn)的擴容及其解釋困境

由于對識別標(biāo)準(zhǔn)的嚴(yán)格限定,生物識別信息概念下的個人信息權(quán)益的保護范圍較為有限。伴隨生物科技的發(fā)展,這一概念愈發(fā)受到挑戰(zhàn),以數(shù)據(jù)來源為標(biāo)準(zhǔn)界定生物信息并適當(dāng)放寬識別標(biāo)準(zhǔn)成為新的討論方向,生物特征信息的概念逐漸被學(xué)者提出并討論。歐盟在2021年4月頒布的《人工智能法案(草案)》中采用了與《通用數(shù)據(jù)保護條例》相同的生物識別信息概念,但這一概念引起了廣泛的爭議,原因在于其對應(yīng)的是以識別和身份驗證為目的的第一代生物科技,已落后于當(dāng)下人工智能技術(shù)的發(fā)展。隨后,學(xué)界圍繞這一概念展開熱烈討論,具有代表性的觀點為在歐盟公民權(quán)利和憲法事務(wù)政策司發(fā)布的專家報告《生物識別與行為探測》中克里斯汀·溫德斯特建議增加“生物特征信息”的概念(10)Wendehorst C, Duller Y. Biometric Recognition and Behavioural Detection: Assessing the ethical aspects of biometric recognition and behavioural detection techniques with a focus on their current and future use in public spaces[EB/OL].(2021-08)[2023-04-13].Policy Department for Citizens’ Rights and Constitutional Affairs &Directorate-General for Internal Policies, https://www.europarl.europa.eu/RegData/etudes/STUD/2021/696968/IPOL_STU(2021)696968_EN.pdf.。這一建議在2021年11月發(fā)布的《人工智能法案(草案)》(修正版)中得以體現(xiàn),即新一版立法文本在第3條第33項界定中刪除了“能夠識別或確定自然人的獨特標(biāo)識”的表述(11)Council of the European Union. Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts - Presidency compromise text (2021/0106(COD))[EB/OL].(2021-11)[2023-04-13]. Council of the European Union, https://data.consilium.europa.eu/doc/document/ST-14278-2021-INIT/en/pdf.。這一修改得到了學(xué)術(shù)界的普遍認(rèn)可,同時也引發(fā)了是否應(yīng)在《通用數(shù)據(jù)保護條例》中引入“生物特征信息”的討論(12)Team AI Regulation. The age of AI regulation: new report includes contribution by Prof Christakis on facial recognition[EB/OL].(2022-03-04)[2023-04-13]. AI-Regulation.com, https://ai-regulation.com/the-age-of-ai-regulation-new-report-includes-contribution-by-prof-christakis-on-facial-recognition/.。在美國生物隱私保護領(lǐng)域具有代表性的《伊利諾伊州生物隱私法案》中,其以“生物標(biāo)識符”的概念幫助界定“生物識別信息”。在最近的判例法中,法院認(rèn)為即便特定的信息主體并未被識別,但只要相關(guān)生物信息被用于面部識別軟件系統(tǒng),則仍可認(rèn)定是對生物標(biāo)識符的信息處理(13)Monroy v. Shutterfly, Inc., Case No. 16 C 10984 (N.D. Ill. Sep. 15, 2017)[EB/OL].(2017-09-15)[2023-04-13]. https://casetext.com/case/monroy-v-shutterfly-inc; In re Facebook Biometric Info. Privacy Litig. - 185 F. Supp. 3d 1155 (N.D. Cal. 2016)[EB/OL].(2016-05-05)[2023-04-13]. https://www.lexisnexis.com/community/casebrief/p/casebrief-in-re-facebook-biometric-info-privacy-litig.。由此可見,在歐美立法中生物識別信息的識別標(biāo)準(zhǔn)仍備受爭議,且新近立法呈現(xiàn)出降低識別標(biāo)準(zhǔn)的可能性。

(一)概念擴容:以間接識別為主的可識別與已識別

生物特征信息是指“基于特定技術(shù)處理自然人的相關(guān)身體、生理、行為信號或特征而得出的個人數(shù)據(jù),例如面部表情、動作、脈搏頻率、聲音、擊鍵頻率或步態(tài),能夠以及無法(may or may not)幫助或?qū)崿F(xiàn)對自然人的唯一性識別(的信息都可以包括在內(nèi))”(14)European Parliament, IMCO-LIBE Draft Report on the EU’s Artificial Intelligence (AI) Act [EB/OL].(2022-04-20)[2023-04-13]. European Parliament, https://www.europarl.europa.eu/doceo/document/CJ40-PR-731563_EN.pdf.。與生物識別信息相比這一概念有兩處明顯的不同:其一,從技術(shù)角度看,生物特征信息的列舉事項與生物識別信息相比增加了“信號”(signal)一詞,“脈搏頻率、步態(tài)”等相較于“面部信息、指紋信息”反映了一種動態(tài)的生物特征,兩個概念存在技術(shù)范圍上的差異;其二,從法律角度看,“幫助或?qū)崿F(xiàn)對自然人的唯一性識別”前增加了“能夠以及無法”,這是其與生物識別信息識別標(biāo)準(zhǔn)差異的直觀體現(xiàn),也是爭議之所在。

從法律意涵看,生物特征信息以已識別與可識別為識別標(biāo)準(zhǔn),不再局限于生物識別身份的構(gòu)建與核驗的已識別標(biāo)準(zhǔn),這一擴容的依據(jù)在于概念中“能夠以及無法”這一語詞的加入。由此,在個人信息保護可識別性的最低基準(zhǔn)上,生物特征信息的識別標(biāo)準(zhǔn)涵蓋了(1)能夠“幫助或?qū)崿F(xiàn)對自然人的唯一性識別”的生物識別信息,以及(2)無法“幫助或?qū)崿F(xiàn)對自然人的唯一性識別”、但滿足一般個人信息可識別性的生物信息。而第(2)項情形的加入使得生物特征信息并未提出比一般個人信息的識別標(biāo)準(zhǔn)更高的要求,所以盡管生物特征信息的概念中突出了生物識別信息的已識別標(biāo)準(zhǔn),但一般個人信息的已識別與可識別標(biāo)準(zhǔn)仍為生物特征信息可識別性的整體標(biāo)準(zhǔn)。

從技術(shù)視角分析,批評者認(rèn)為生物識別信息主要因應(yīng)了以識別和驗證為主要技術(shù)表現(xiàn)的第一代生物技術(shù)發(fā)展的需要,而伴隨第二代生物技術(shù)中不以生物身份識別為前提的探測、歸類、追蹤技術(shù)的發(fā)展,生物識別信息的高識別標(biāo)準(zhǔn)已難以適應(yīng)技術(shù)發(fā)展的需要,所以生物特征信息的概念得以出現(xiàn)。因此,生物特征信息在技術(shù)類型上擴展至探測、歸類、追蹤技術(shù),識別標(biāo)準(zhǔn)相應(yīng)降低且以表3中具體識別類型中的可識別與間接識別為其主要表現(xiàn)。

一方面,以情感計算為代表的第二代生物技術(shù)使得大量生物特征信息以非唯一標(biāo)識符的形式存在,與已識別信息相比,生物特征信息內(nèi)可識別信息將占據(jù)更大的比例(15)如果將“識別標(biāo)準(zhǔn)”理解為聚焦于特定信息主體的可能性,“已識別”為聚焦目的的達(dá)成,“可識別”則是無限趨近于特定信息主體,從而實現(xiàn)聚焦的高度可能性。生物特征信息更加關(guān)注“可識別”,即趨近的過程而非聚焦的結(jié)果。。從技術(shù)的發(fā)展來看,第一代生物科技以識別與驗證技術(shù)為主,基于對指紋信息、面部信息等強生物信息(strong biometric)的處理,構(gòu)建與核驗信息主體的生物識別身份,人臉識別便是典型的第一代生物技術(shù)。伴隨人工智能向情感智能的發(fā)展,以探測、歸類、跟蹤為典型表現(xiàn)的第二代生物科技更多基于對弱生物信息(weak biometric)的處理,即以動態(tài)為表現(xiàn)形式且識別性較弱或難以識別的信息,從而對信息主體(既包括個體也包括群體)展開畫像處理(profile)(16)Wendehorst C, Duller Y. Biometric Recognition and Behavioural Detection: Assessing the ethical aspects of biometric recognition and behavioural detection techniques with a focus on their current and future use in public spaces[EB/OL].(2021-08)[2023-04-13].Policy Department for Citizens’ Rights and Constitutional Affairs &Directorate-General for Internal Policies, https://www.europarl.europa.eu/RegData/etudes/STUD/2021/696968/IPOL_STU(2021)696968_EN.pdf.。情感計算作為第二代生物科技的典型表現(xiàn),是指能夠感知、理解、模仿和影響人類情感的智能科技(17)Somers M. Emotion AI, Explained[EB/OL].(2019-03-08)[2023-04-13]. MIT Management Sloan School, https://mitsloan.mit.edu/ideas-made-to-matter/emotion-ai-explained.。相較于人臉識別,情感計算的特殊之處在于其輸入與輸出信息都不必具備針對信息主體的可識別性(non-personally identifying)[17],因此已識別的權(quán)重將被削弱,可識別成為是否構(gòu)成生物特征信息的主要判斷。例如,部分汽車廠商研發(fā)了應(yīng)用情感計算技術(shù)的智能安全系統(tǒng),該系統(tǒng)能夠?qū)崟r檢測司機的情緒,在司機情緒不穩(wěn)定時自動播放舒緩的音樂以幫助其平復(fù)心情,提高安全駕駛的可能[18]。在以面部表情測量為依據(jù)的智能安全系統(tǒng)內(nèi),輸入端的面部表情信息(如眉毛彎曲弧度、嘴角彎曲程度)與輸出端的情緒狀況(如緊張、焦慮)并非唯一標(biāo)識符且難以回溯至特定的信息主體,但汽車司機在使用前往往會注冊相關(guān)個人檔案,此時上述生物特征信息可能為直接或間接識別的可識別信息。

另一方面,因為第二代生物技術(shù)所獲取的生物信息往往是動態(tài)的、零碎的、片段式的,需要一系列生物特征的結(jié)合方能達(dá)到識別標(biāo)準(zhǔn),因此間接識別的方式將被更多地運用于生物特征信息的判斷。這一點在情感計算技術(shù)中不難理解,這一技術(shù)的輸入端(如皮膚溫度、心跳頻率等)和輸出端的情感狀態(tài)信息均為非唯一標(biāo)識符信息,單憑上述信息難以放大或聚焦于特定的信息主體,但是若在特定的情景中生成如“膚色為黑色+皮膚溫度為36℃+情緒激動”的信息則有回溯至特定信息主體的可能。

(二)解釋困境:識別標(biāo)準(zhǔn)的雜糅易引發(fā)概念的混同

盡管總體上生物特征信息的識別標(biāo)準(zhǔn)與一般個人信息無異,但其“能夠以及無法幫助或?qū)崿F(xiàn)對自然人的唯一性識別”的表述實則是對生物識別信息與一般個人信息識別標(biāo)準(zhǔn)的雜糅。當(dāng)信息“能夠幫助或?qū)崿F(xiàn)對自然人的唯一性識別”時,該信息為生物識別信息;當(dāng)信息“無法幫助或?qū)崿F(xiàn)對自然人的唯一性識別”時,該信息為一般個人信息。這種雜糅對生物特征信息概念自身產(chǎn)生了隱患:其一,唯一性識別的存在目的實則被刪除,而新的保護目的尚未言明;其二,生物識別信息與一般個人信息都被囊括其中,使其可能成為“籠筐式”概念,并破壞了“一般個人信息—生物識別信息—敏感個人信息”這一階梯式識別標(biāo)準(zhǔn)的結(jié)構(gòu);其三,將較高危險性的識別、驗證技術(shù)與較低危險性的探測、歸納、跟蹤技術(shù)置于同一位階,還忽視了不同類型生物技術(shù)間的風(fēng)險差異與規(guī)制需求。更為嚴(yán)重的是,這種雜糅并未帶來保護法范圍內(nèi)的功能改進(jìn),而更具識別梯度差異的生物識別信息與一般個人信息仍能獲得同樣的功能。

同時,生物特征信息概念還帶來了同保護法內(nèi)醫(yī)療健康信息概念的混同。我國《個人信息保護法》第28條將特定情形下的醫(yī)療健康信息作為敏感個人信息予以保護,醫(yī)療健康信息成為與生物識別信息相并列的法律概念。歐盟《通用數(shù)據(jù)保護條例》第4條中將“關(guān)于健康的信息”(data concerning health)定義為“與自然人的身體或精神健康相關(guān)且顯示其健康狀態(tài)的信息”。當(dāng)生物特征信息不再著眼于生物識別身份的構(gòu)建與確認(rèn),數(shù)據(jù)來源具有較大重合度的醫(yī)療健康信息將與其產(chǎn)生的信息范圍的重疊,尤其在數(shù)字化醫(yī)療的背景下,被收集的患者信息呈指數(shù)型增長,歐盟學(xué)者就原“關(guān)于健康的信息”概念提出擴展其概念范圍的需要,指出“非直接關(guān)于健康的信息”也屬于健康信息[19]。歐盟數(shù)據(jù)保護委員會(EDPB)也認(rèn)為,通過與其他數(shù)據(jù)的交叉引用從而揭示健康狀況或健康風(fēng)險的信息也應(yīng)屬于健康信息(18)European Data Protection Board. Guidelines 03/2020 on the processing of data concerning health for the purpose of scientific research in the context of the COVID-19 outbreak[EB/OL].(2020-04-21)[2023-04-13]. European Data Protection Board, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_en.pdf.。例如,在根據(jù)患者一段時間內(nèi)的血壓值數(shù)據(jù)判斷其有無患心臟病風(fēng)險的情境中,血壓值數(shù)據(jù)是患者有無患心臟病風(fēng)險這一醫(yī)療健康信息的基礎(chǔ)信息,所以其既是生物特征信息也是醫(yī)療健康信息。

此外,作為法律概念的生物特征信息也易與生物特征識別技術(shù)的相關(guān)概念產(chǎn)生混淆。由于不再以唯一性識別為目的,生物特征信息概念中的“基于特定技術(shù)處理”將不再指向建立在生物識別身份技術(shù)上的生物比對,所以此處“特定技術(shù)處理”的具體內(nèi)涵尚不可知。倘若“特定技術(shù)處理”僅僅指以電子方式記錄人的相關(guān)身體、生理、行為特征,那么生物樣本信息與生物模型信息都能夠視為生物特征信息。在技術(shù)領(lǐng)域中,生物特征數(shù)據(jù)則被定義為生物樣本數(shù)據(jù)或生物樣本數(shù)據(jù)的集合,作為一個指向生物技術(shù)處理過程中所創(chuàng)造的計算機數(shù)據(jù)的寬泛概念,它包括了原始傳感器觀察數(shù)據(jù)、生物樣本和模型等。但生物特征數(shù)據(jù)與生物特征信息的區(qū)別在于其并不一定指向具體的個人,例如匿名化的生物數(shù)據(jù)也可被視為生物特征數(shù)據(jù)[20]。當(dāng)法律領(lǐng)域的生物特征信息擴大識別標(biāo)準(zhǔn)后,其范圍與作為技術(shù)概念的生物特征數(shù)據(jù)具有較大的重合,由此導(dǎo)致法律概念與技術(shù)概念之間的混淆。

綜上所述,筆者認(rèn)為保護法范圍內(nèi)不能以生物特征信息取代生物識別信息。

四、我國生物識別信息中識別標(biāo)準(zhǔn)的建構(gòu)及其填補

(一)規(guī)范省思:概念混淆與分類不清的立法困境

我國個人信息保護法的立法過程體現(xiàn)了對生物特征信息與生物識別信息的考量,如《個人信息保護法(草案二次審議稿)》第29條敏感個人信息的列舉事項中使用了“個人生物特征”的表述,而頒布的《個人信息保護法》第28條列舉事項中則改為“生物識別信息”。盡管立法機關(guān)并未對如此更改的理由展開說明,但至少可以看出我國語境中“生物特征”并不等同于“生物識別”。然而,由于目前立法尚未對生物識別信息的法律概念給出明確的界定,因此生物識別信息在現(xiàn)行法中面臨著雙重尷尬處境,亟須構(gòu)建相應(yīng)的識別標(biāo)準(zhǔn)。

1.以生物特征信息的屬性界定生物識別信息

誠如前文所述,生物識別信息區(qū)別于生物特征信息的關(guān)鍵在于對識別標(biāo)準(zhǔn)的要求,二者因共同作用于自然人的身體、生理或行為特征而容易在概念上產(chǎn)生一定的混淆。在最高人民法院發(fā)布的典型案例之“郭兵訴杭州野生動物世界有限公司服務(wù)合同糾紛案”中,法官認(rèn)為生物識別信息“深度體現(xiàn)自然人的生理和行為特征,具備較強的人格屬性”(19)“生物識別信息作為敏感的個人信息,深度體現(xiàn)自然人的生理和行為特征,具備較強的人格屬性,一旦被泄露或者非法使用,可能導(dǎo)致個人受到歧視或者人身、財產(chǎn)安全受到不測危害,故更應(yīng)謹(jǐn)慎處理和嚴(yán)格保護?！眳⒁娮罡呷嗣穹ㄔ喊l(fā)布十四起人民法院服務(wù)和保障長三角一體化發(fā)展典型案例之八:郭兵訴杭州野生動物世界有限公司服務(wù)合同糾紛案[EB/OL].(2021-11-02)[2023-04-13]. 北大法寶,https://www.pkulaw.com/pfnl/c05aeed05a57db0a9c8cdb249a67170f07b273878a3aecbabdfb.html?keyword=%E7%94%9F%E7%89%A9%E8%AF%86%E5%88%AB%E4%BF%A1%E6%81%AF&way=listView.。另外,對于該案中所涉及的指紋信息和面部特征信息,法官并未從這兩種信息的性質(zhì)屬性出發(fā)論述其是否歸屬于生物識別信息,而是直接根據(jù)《信息安全技術(shù)個人信息安全規(guī)范》中明確的列舉事項將其納入生物識別信息的范疇。筆者認(rèn)為,上述裁判存在以下兩個問題:第一,無論是生物識別信息還是生物特征信息,其針對的對象均為具有人格屬性的身體、生理與行為特征。不可否認(rèn)這是概念界定中的重要因素,但不能僅憑數(shù)據(jù)來源界定生物識別信息,否則將與生物特征信息的概念相混淆。第二,雖然法官在本案中依據(jù)《信息安全技術(shù)個人信息安全規(guī)范》展開生物識別信息與否的判斷并無問題,但值得思考的是這一國家標(biāo)準(zhǔn)是對生物識別信息種類的窮盡式列舉嗎?鑒于該規(guī)范同樣未對生物識別信息的概念進(jìn)行闡述且立法層級較低,因此現(xiàn)行法在生物識別信息外延的判斷上仍力顯不足(20)例如,對于未列舉的腦電波信息、骨骼肌活動信息、皮膚溫度信息等生物特征信息能否納入生物識別信息的范圍則難以判斷,這類信息同樣是具有人格屬性且反映身體、生理與行為特征的信息,但是往往不具有直接識別的功能,需要結(jié)合其他信息才具有識別至信息主體的可能性。。

2.將生物識別信息全部歸屬于敏感個人信息

現(xiàn)行法中生物識別信息面臨的另一困境則是其在個人信息體系中的定位,即與一般個人信息和敏感個人信息的關(guān)系?，F(xiàn)行立法不但未將三者的關(guān)系予以明確,而且立法之間還存在一定的不一致性。這種不一致性體現(xiàn)在生物識別信息是應(yīng)適用一般個人信息保護規(guī)則,還是應(yīng)適用敏感個人信息的特殊保護規(guī)則?一方面,以《民法典》第1034條為代表,立法者在界定個人信息時將生物識別信息作為一般個人信息的一種類型予以列舉,《網(wǎng)絡(luò)安全法》第76條采取了同樣的表述方式;另一方面,《個人信息保護法》及其相關(guān)立法和裁判將生物識別信息整體視為敏感個人信息,即敏感個人信息包括全部的生物識別信息?！秱€人信息保護法》第28條將生物識別信息作為敏感個人信息的一種子類型予以列舉,《信息安全技術(shù)個人信息安全規(guī)范》中提到“個人敏感信息包括身份證件號碼、個人生物識別信息等”。由是,上述的立法規(guī)范實則產(chǎn)生了兩個命題,即“生物識別信息是一般個人信息的子類型”與“生物識別信息是敏感個人信息的子類型”。

對于“生物識別信息是一般個人信息的子類型”,筆者認(rèn)為這樣的判斷并無不對。一般個人信息是個人信息保護法體系中最基本的法律概念,換句話說,某種信息要獲得個人信息保護法的保護,則其首先應(yīng)當(dāng)是個人信息。因此,生物識別信息、敏感個人信息都可以理解為一般個人信息的子概念。但是,一般個人信息的子類型并不意味著其應(yīng)受到一般個人信息保護機制的保護,而應(yīng)按照信息屬性進(jìn)一步判斷其是否歸屬于保護力度更高的敏感個人信息。因此,針對第一個命題,更為科學(xué)的表述應(yīng)當(dāng)是“生物識別信息是一般個人信息的子類型,但是其不一定僅得到一般個人信息保護機制的保護”。

對于“生物識別信息是敏感個人信息的子類型”,筆者則反對將全部的生物識別信息納入敏感個人信息的范疇。首先,我國與歐盟都對敏感個人信息設(shè)置了更為嚴(yán)格的信息處理規(guī)則,即“一般禁止+例外”規(guī)則,如我國原則上禁止敏感個人信息的處理,只有在《個人信息保護法》第28條第二款規(guī)定的“具有特定的目的+充分的必要性+采取嚴(yán)格的保護措施”的情形下方可處理。因此,作為受到嚴(yán)格保護的敏感個人信息,其范圍不宜過寬,否則將減損這一特殊保護機制的效果。其次,敏感個人信息受到保護的理由是,“一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害”,那么從理論上講,生物識別信息應(yīng)當(dāng)滿足這一定性條件方可被認(rèn)定為敏感個人信息。最后,生物識別信息中并非所有信息都滿足上述定性條件,生物技術(shù)的發(fā)展與特定的信息處理場景都會使得納入敏感個人信息的生物識別信息的范圍發(fā)生動態(tài)變化[21]。

總之,基于生物識別信息在現(xiàn)行法中面臨的困境,可歸納出建構(gòu)其識別標(biāo)準(zhǔn)的三點理由:其一,識別標(biāo)準(zhǔn)是生物識別信息概念的關(guān)鍵因素,這一標(biāo)準(zhǔn)的建構(gòu)有助于厘清生物識別信息的內(nèi)涵與外延;其二,生物識別信息作為一般個人信息的子類型,其識別標(biāo)準(zhǔn)為何是不可回避的問題;其三,可識別標(biāo)準(zhǔn)的建構(gòu)可輔助敏感個人信息的定性判斷,從而劃定可以歸入敏感個人信息的生物識別信息的范圍(21)歐盟學(xué)者也提出,在判斷何種生物識別信息可作為敏感信息保護時應(yīng)以信息屬性判斷為主、目的判斷為輔(the nature over the purpose)。Sumer B. When do the images of biometric characteristics qualify as special categories of data under the GDPR? a systemic approach to biometric data processing[J]. 2022 International conference of the biometrics special interest group (BIOSIG), 2022:1-6.。

(二)標(biāo)準(zhǔn)建構(gòu):以直接識別和已識別為標(biāo)準(zhǔn)內(nèi)涵

生物識別信息識別標(biāo)準(zhǔn)的建構(gòu)既不是就其名稱以“可識別”統(tǒng)而概之,也不是基于歐盟與美國的兩種界定模式在生物識別信息與生物特征信息之間擇一接收,而是在已識別與可識別、直接識別與間接識別之間作出符合我國立法背景與技術(shù)發(fā)展趨勢的理性選擇。

“已識別+直接識別”。從現(xiàn)有規(guī)范中關(guān)于生物識別信息的列舉事項看,“生物識別信息是直接識別的已識別信息,信息所涉及的生物特征是信息主體的唯一標(biāo)識符”已成為不證自明的命題。例如,《信息安全技術(shù)個人信息安全規(guī)范》中列舉的個人基因、聲紋、掌紋、指紋、面部識別特征等,江必新等學(xué)者將上述列舉事項的特征歸納為“具有個人專屬性而足以辨識個人身份”[22]268,這也與學(xué)界普遍認(rèn)為的生物識別信息具有唯一識別性的觀點相一致。

“已識別+間接識別”。上述判斷引申出“生物識別信息能否是間接識別的已識別信息”的問題,即通過一系列非唯一標(biāo)識符的生物特征信息的結(jié)合,將信息主體特定化。這種觀點在2019年6月發(fā)布的《信息技術(shù) 安全技術(shù) 生物特征識別信息的保護要求(征求意見稿)》初顯,該文件將“生物特征”界定為具有可識別的特點,從而實現(xiàn)自動識別個體的目的;在界定“生物特征識別數(shù)據(jù)”之時使用了“或上述數(shù)據(jù)的集合”的表述,且將與生物樣本展開比對的“生物特征參考”的范圍厘定為“一個生物特征樣本或一組生物特征,也可以是由多個特征組成的生物特征識別模型”(22)關(guān)于國家標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 生物特征識別信息的保護要求(征求意見稿)》征求意見的通知[EB/OL].(2019-06-25)[2023-04-13]. 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會官網(wǎng),https://www.tc260.org.cn/front/bzzqyjDetail.html?id=2019062517593232888&norm_id=20180929110002&recode_id=34875.。雖然目前這一國家標(biāo)準(zhǔn)還處于建議稿的階段,且內(nèi)容偏于技術(shù)方向,但伴隨生物技術(shù)的發(fā)展,以一系列特定生物特征信息開展信息主體識別的生物技術(shù)會不斷出現(xiàn)與發(fā)展,單獨的生物特征信息并不具備已識別功能,特定的結(jié)合才可以識別出特定個體。

“可識別”。與“已識別+間接識別”不同,可識別的特殊性在于單獨或者一系列生物特征信息的結(jié)合尚難以特定化信息主體,但是結(jié)合必要且容易獲取的額外信息則足以開展信息主體的識別。不可否認(rèn),生物特征信息與其他個人信息往往具有較強的關(guān)聯(lián)性[11],正如《信息技術(shù) 安全技術(shù) 生物特征識別信息的保護要求(征求意見稿)》引言中所述,“生物特征識別系統(tǒng)通常將生物特征識別關(guān)聯(lián)信息與其他個人信息綁定在一起,以鑒別個人”。

筆者認(rèn)為,“已識別+間接識別”與“可識別”的情形不應(yīng)納入識別標(biāo)準(zhǔn)之中,理由在于,無論是特定生物特征信息的結(jié)合還是特定特征信息與其他種類個人信息的結(jié)合,這兩種結(jié)合方式都具有較強的專業(yè)性和不確定性。若將“已識別+間接識別”與“可識別”納入生物識別信息的識別標(biāo)準(zhǔn)范疇內(nèi),那么,其一,生物技術(shù)使用者的專業(yè)水平將直接影響生物識別信息范圍的判斷,例如可能出現(xiàn)針對同一系列的生物特征信息的結(jié)合,技術(shù)水平較高的信息處理者能夠以其識別信息主體,而技術(shù)水平較低的信息處理者可能無法做到。因此,暫且不論信息處理者是否有惡意的主觀目的,其客觀的生物技術(shù)水平也將影響其對是否構(gòu)成生物識別信息的判斷。其二,生物技術(shù)發(fā)展的整體水平也將對生物識別信息的范圍產(chǎn)生直接影響,一段時間內(nèi)特定生物特征信息的結(jié)合可能不會產(chǎn)生識別的效果,但技術(shù)的進(jìn)步將有可能使之在未來產(chǎn)生定位至特定信息主體的可能。其三,必要的額外信息的加入將使生物識別信息處于一個生物特征信息的邊界狀態(tài),因為通常情境下任何生物特征信息與姓名、身份證號等額外信息的結(jié)合都會產(chǎn)生識別效果,所以這將導(dǎo)致生物識別信息走向生物特征信息。

(三)填補路徑:以規(guī)制法彌補保護法的范圍局限性

當(dāng)將生物識別信息的識別標(biāo)準(zhǔn)界定為“直接識別+已識別”時,不可回避過于依賴信息處理者的主觀目的及保護范圍較為狹窄的問題,對此,筆者建議在以《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》和《個人信息保護法》為三大支柱的數(shù)據(jù)法體系內(nèi)[23],從規(guī)制法的視角強化信息處理者的責(zé)任,從而彌補保護法的局限。

首先有必要厘清這樣一個基本邏輯:生物識別信息作為一個與生物技術(shù)緊密相關(guān)的法律概念,承載著維護生物信息安全與信息主體權(quán)利保護的立法目的,因此對信息應(yīng)用風(fēng)險的監(jiān)管與對信息主體的權(quán)益保護則成為生物識別信息研究的一體兩面,前者為規(guī)制法視角,后者為保護法的視角。但是,并非生物識別信息的所有法律問題都要放在保護法的范圍內(nèi)解決,保護法并非萬能,而是有其特定的保護范圍與保護目的。例如,《通用數(shù)據(jù)保護條例》作為保護法旨在保護個人的基本權(quán)利,保護對象是已識別或可識別的自然人;《人工智能法案(草案)》作為規(guī)制法則意在為公共利益提供較高程度的保護,而公共利益包括了健康、安全和個人的基本權(quán)利。由此,對個人基本權(quán)利的保護只是該規(guī)制法立法目的之一,且在內(nèi)涵更為廣泛的“公共利益”項下存在,故而其保護對象不限于自然人,還包括特定的群體等(23)Belkadi L. The Proposed Artificial Intelligence Act and Biometric Systems: A Peek Into the Conceptual Maze (Part II)[EB/OL].(2021-11-03)[2023-04-13]. Center for IT &IP Law, https://www.law.kuleuven.be/citip/blog/the-proposed-artificial-intelligence-act-and-biometric-systems-part-ii/.。在我國數(shù)據(jù)法體系中,《個人信息保護法》以“保護個人信息權(quán)益”為立法目的,其保護法的地位不言自明;《網(wǎng)絡(luò)安全法》以“保障網(wǎng)絡(luò)安全,維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益”為首要立法目的,《數(shù)據(jù)安全法》旨在“規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全”,二者則從規(guī)制法的角度在公共利益、經(jīng)濟發(fā)展、科技創(chuàng)新與個人隱私之間探尋平衡。

保護法與規(guī)制法并非割裂與對立,同一法律問題的解決需要二者的協(xié)調(diào)與配合。數(shù)據(jù)分級分類保護制度是貫穿數(shù)據(jù)法的一條主線,可分為橫向的數(shù)據(jù)分類制度和縱向的數(shù)據(jù)分級制度。數(shù)據(jù)分類制度的目的在于根據(jù)規(guī)范對象確定適用法,而數(shù)據(jù)分級制度則主要依據(jù)數(shù)據(jù)的風(fēng)險程度設(shè)置處理者責(zé)任[23]。在數(shù)據(jù)分類制度中,《個人信息保護法》規(guī)范的是“個人信息”,《網(wǎng)絡(luò)安全法》則針對“網(wǎng)絡(luò)數(shù)據(jù)與網(wǎng)絡(luò)信息”,而《數(shù)據(jù)安全法》則規(guī)范電子或其他方式記錄的“數(shù)據(jù)”。數(shù)據(jù)是信息的形式載體,而信息是數(shù)據(jù)所要呈現(xiàn)的內(nèi)容[24],數(shù)據(jù)的處理可能使其具備識別功能從而轉(zhuǎn)化成信息,因此《數(shù)據(jù)安全法》中的“數(shù)據(jù)”可能轉(zhuǎn)化為《個人信息保護法》中的“個人信息”并受其保護。在厘定三者規(guī)制對象范圍之后,筆者認(rèn)為相對于保護法中的“生物識別信息”,有必要在規(guī)制法中設(shè)置“生物特征信息”以及“生物特征數(shù)據(jù)”的概念,以實現(xiàn)對生物信息安全的全面保護(表4)。另外,在數(shù)據(jù)分級制度之中,除《個人信息保護法》的一般個人信息與敏感個人信息的層次劃分外,《數(shù)據(jù)安全法》中構(gòu)建了“重要數(shù)據(jù)”與“核心數(shù)據(jù)”的概念,《網(wǎng)絡(luò)安全法》中設(shè)置了“關(guān)鍵信息”的分類,而與生物有關(guān)的信息與數(shù)據(jù)是否或在多大范圍內(nèi)歸入特殊規(guī)制的范圍則留待明確。

表4 生物識別信息在數(shù)據(jù)分類制度中的呈現(xiàn)

規(guī)制法從生物信息、生物數(shù)據(jù)安全與處理者責(zé)任的角度與保護法中的信息主體權(quán)益保護并駕齊驅(qū),構(gòu)成生物識別信息的數(shù)據(jù)法保護機制?！秱€人信息保護法》中的生物識別信息也在《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》中找到了生物特征信息與生物特征數(shù)據(jù)的對應(yīng)概念,從而彌補了保護法中保護范圍的局限。

五、結(jié)語

識別是生物識別信息界定的關(guān)鍵因素,也是其存在的目的與理由。基于歐盟的立法經(jīng)驗,本文提出以“直接識別+已識別”作為識別標(biāo)準(zhǔn)的內(nèi)涵,即生物識別信息所涉及的生物特征須為信息主體的唯一標(biāo)識符,不依賴于其他生物特征信息或額外信息即能夠識別或驗證信息主體的生物識別身份。這一標(biāo)準(zhǔn)高于一般個人信息的可識別或已識別標(biāo)準(zhǔn),同時也可輔助敏感個人信息的定性判斷。誠然,較高的識別標(biāo)準(zhǔn)引發(fā)保護法范圍局限的問題,但可考慮在規(guī)制法的范圍內(nèi)構(gòu)建“生物特征信息”或“生物特征數(shù)據(jù)”的概念以進(jìn)行彌補。最后,識別標(biāo)準(zhǔn)的研究只是生物識別信息研究的起點,情感計算技術(shù)的出現(xiàn)提出了“情感信息是否屬于生物識別信息”等新問題留待學(xué)者共同研究。