【摘要】個人生物識別信息屬于個人信息的范疇,但又具有收集上的不可控性與不可更改性等特點。因此,在加強個人信息保護的總體趨勢下,應當特別關注個人生物識別信息的收集與處理。要通過專門立法加以規(guī)范,避免非法收集和處理生物識別信息的行為,以免給廣大人民群眾的人身、財產安全乃至國家安全造成威脅甚至損害。
【關鍵詞】個人信息 生物識別信息 法律保護 【中圖分類號】D92 【文獻標識碼】A
個人生物識別信息,也稱生物識別信息,簡單地說,就是可以直接或間接識別特定自然人的,以自然人的生理特性與行為特征為內容的信息,如自然人的臉部特征、指紋、虹膜、聲音、基因、步態(tài)、筆跡等。個人生物識別信息與自然人的姓名、出生日期、身份證件號碼等信息同屬于個人信息。在現代社會,個人信息的收集與處理對于網絡信息科技尤其是人工智能、大數據技術的發(fā)展,乃至整個數字經濟的健康發(fā)展,至關重要。要在確保信息流動與合理利用的同時,有效地加強個人信息保護。
現代社會中收集與處理個人信息的特點及其風險
現代社會是信息社會、網絡時代。網絡信息科技的發(fā)展,使得能夠被收集的個人信息越來越廣泛。除了姓名、身份證號碼、家庭地址、電話號碼等傳統(tǒng)的個人信息之外,個人生物識別信息(如指紋、人臉、虹膜等)、行蹤信息、網絡賬號等新型的個人信息也越來越多地被收集和處理。甚至一些其本身不足以識別特定自然人的信息,如愛好、習慣、興趣、性別、年齡、職業(yè)等,由于算法技術的發(fā)展,將之與其他信息結合后也能識別出特定的自然人,故此這些信息也成為非常重要的個人信息而被收集和處理。
不僅如此,現代社會收集與處理個人信息的方式也發(fā)生了巨大的變化。以往對個人信息的收集方式是由自然人主動提交,政府、企業(yè)等主體收集后手工記載在紙質文檔或錄入電子檔案中加以存儲。這種情形中,不僅信息收集的效率、數量和范圍有限,而且由于缺乏相應的算法技術與足夠的算力,也難以對其進行高效地分析利用。然而,現代網絡信息技術已將現代社會生活高度數字化(或數據化),無處不在的攝像頭、Cookie技術和各種傳感器可以自動地收集與存儲個人信息。這種個人信息被大規(guī)模、自動化地收集和存儲的情形變得越來越普遍,幾乎無處不在、無時不在。
每天通過各種自動化技術收集來的無數自然人的個人信息匯集成為海量的個人數據。飛速發(fā)展的人工智能技術也使得對海量數據的分析與使用變得更加簡便高效且用途越來越廣泛。因此,個人信息被濫用的可能性被極大地增加了,由此產生的侵害自然人民事權益的風險也不斷升高。例如,各種網絡平臺通過分析和利用海量的個人信息,對目標群體做人格畫像,實施精準營銷,甚至行為操縱,可能嚴重危害自然人的人格尊嚴,妨害人格的自由發(fā)展。更嚴重的是,對于包含個人生物信息等敏感信息在內的海量數據,如果保管不善而被泄露甚至被非法出售或利用,就會出現犯罪分子利用這些非法取得的個人信息對受害人進行精準詐騙或者實施其他違法犯罪行為的問題。
我國法律對個人信息收集與處理的規(guī)范
在我國,包括生物識別信息在內的個人信息的法律保護經歷了一個“從無到有”,“從刑法保護為主到公法與私法并重”的發(fā)展歷程。2005年十屆全國人大常委會第十四次會議通過的《中華人民共和國刑法修正案(五)》中增設的“竊取、收買、非法提供信用卡信息罪”(第177條之一第2款),是我國法律上第一個關于侵害公民個人信息犯罪的法律規(guī)定。2009年十一屆全國人大常委會第七次會議審議通過的《中華人民共和國刑法修正案(七)》新增第253條之一,首次將竊取或以其他方式非法獲取公民個人信息、出售或非法提供公民個人信息的行為情節(jié)嚴重的規(guī)定為犯罪行為,進而納入刑事打擊的范圍。2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》對網絡服務提供者和其他企業(yè)事業(yè)單位、國家機關及其工作人員在收集、使用、保管公民個人電子信息中應當遵循的原則、承擔的義務及法律責任作出了具體的規(guī)定。在此基礎上,2017年6月1日起施行的《中華人民共和國網絡安全法》第76條第5項明確地界定了個人信息的涵義,并首次明確地將生物識別信息納入個人信息當中,給予相應的保護。
2013年十二屆全國人大常委會第二次會議修訂《中華人民共和國消費者權益保護法》時,在原第14條中新增了消費者“享有個人信息依法得到保護的權利”,并在第50條就侵害該權利的民事責任作出了規(guī)定。這是我國法律首次從民事權利的角度對個人信息作出的規(guī)定。2017年10月1日起施行的《中華人民共和國民法總則》第111條規(guī)定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”此外,該法第127條還規(guī)定:“法律對數據、網絡虛擬財產的保護有規(guī)定的,依照其規(guī)定。”
2020年5月28日第十三屆全國人民代表大會第三次會議通過的《中華人民共和國民法典》(以下簡稱《民法典》)對個人信息保護作出了詳細的規(guī)定?!睹穹ǖ洹返?034條第2款在界定個人信息時,明確地將“生物識別信息”作為個人信息的一類?!睹穹ǖ洹返谒木?ldquo;人格權”不僅在第一章“一般規(guī)定”和第五章“名譽權和榮譽權”中分別就個人信息的合理使用(第999條)以及信用信息的更正、刪除和處理(第1029-1030條)等作出了規(guī)定,還專門在第六章“隱私權與個人信息保護”中,使用六個條文(第1034條至第1039條),對個人信息處理的涵義、私密信息的法律適用、個人信息處理的原則與合法性要件、侵害個人信息的免責事由、個人信息權益的具體內容、保護個人信息安全的義務以及國家機關、承擔行政職能的法定機構及其工作人員對個人信息的保密義務等重大基本問題作出了詳細的規(guī)定。