個人生物識別信息的保護(hù)與監(jiān)管路徑
個人生物識別信息技術(shù)在諸多領(lǐng)域得到廣泛的應(yīng)用,有關(guān)個人生物識別信息的收集、儲存、利用等已經(jīng)發(fā)展成為一個龐大的產(chǎn)業(yè)。一方面,法律要保護(hù)生物識別信息主體的人格尊嚴(yán)和自由,保障其追求人格完整和發(fā)展的自主能力,避免個人生物識別信息的泄露或非法使用危害信息主體的人格尊嚴(yán)和自由價值。個人作為目的性的存在,只有消除個人對“信息化形象”被他人操控的疑慮和恐慌,才能有自尊并受到他人尊重地生存與生活。另一方面,個人生物識別信息包含巨大的經(jīng)濟(jì)價值,可以被進(jìn)行大規(guī)模的處理與應(yīng)用。法律要適應(yīng)技術(shù)進(jìn)步與經(jīng)濟(jì)發(fā)展,平衡個人生物識別信息主體隱私、利用期待與控制者的數(shù)據(jù)利用和管理的需要。從現(xiàn)實(shí)生活看,對于個人生物識別信息的收集、利用等大體可以分為三個方面:一是政府或者政府授權(quán)機(jī)構(gòu)基于社會公共安全的需要收集與利用個人生物識別信息,典型的情形如機(jī)場、高鐵等領(lǐng)域在實(shí)施安檢時使用人臉識別系統(tǒng);二是商業(yè)組織如銀行、電子支付平臺(支付寶、微信等)等對于交易主體的生物識別信息進(jìn)行收集和利用;三是特定的機(jī)構(gòu)基于管理的需要對個人生物識別信息的收集和利用。例如學(xué)校、公園等機(jī)構(gòu)要求進(jìn)入內(nèi)部空間時使用“人臉識別系統(tǒng)”。上述情形可以劃分為基于公共利益的需要與基于商業(yè)利益的需要而收集、使用個人生物識別信息兩種類型。
基于公共利益收集和利用個人生物識別信息及其限度
在個人生物識別信息保護(hù)領(lǐng)域,國家扮演著多重角色。對于個人生物識別信息的商業(yè)化利用而言,國家大體上處于超然于個人生物識別信息主體與信息控制者雙方利益的中立地位,其以社會管理者身份通過制定法律和實(shí)施法律調(diào)和信息主體的信息歸屬、信息自決權(quán)與信息控制者的數(shù)據(jù)利用、數(shù)據(jù)財產(chǎn)利益之間的矛盾。從現(xiàn)實(shí)情況來看,為了公共利益的需要,國家實(shí)際上已經(jīng)成為個人生物識別信息最大的收集、處理、儲存和利用者,其本身是作為生物識別信息獨(dú)立的利益相關(guān)者而出現(xiàn)的。相應(yīng)地,國家就從個人生物識別信息商業(yè)化利用中的中立地位轉(zhuǎn)變?yōu)榧婢咝畔⒗谜吆凸芾碚叩碾p重身份角色。國家對個人生物識別信息的收集與利用可以極大地發(fā)揮個人生物識別信息的價值,從而有效地保障公共安全與社會公共利益。但是正如前文所述,個人生物識別信息的應(yīng)用有重大安全風(fēng)險,因此政府機(jī)關(guān)或授權(quán)機(jī)構(gòu)在收集個人生物識別信息時必須基于公共利益的要求并遵循法定程序,符合比例原則下目的性、必要性和比例性的要求,兼顧收集目標(biāo)的實(shí)現(xiàn)和保護(hù)信息主體的權(quán)益。《民法典》第1035條規(guī)定,處理個人信息的,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得過度處理。
政府機(jī)關(guān)或者授權(quán)的機(jī)構(gòu)在收集、處理、利用個人生物識別信息時應(yīng)當(dāng)遵循以下具體規(guī)則:一是收集主體必須有明確的法律依據(jù)或者經(jīng)明確的授權(quán)。政府機(jī)關(guān)或相關(guān)機(jī)構(gòu)對于個人生物識別信息的收集必須具有法定的依據(jù)和授權(quán)事項(xiàng),并明確告知相對人該法律依據(jù)和授權(quán)事項(xiàng)以及不提供個人生物識別信息的法律后果。政府機(jī)關(guān)或授權(quán)機(jī)構(gòu)不得超越職權(quán)收集個人生物識別信息。二是政府機(jī)關(guān)或者授權(quán)機(jī)構(gòu)不得為公共利益之外的目的利用個人生物識別信息。為維護(hù)國家安全和公共安全,政府機(jī)關(guān)可以利用個人生物識別信息。例如,公安機(jī)關(guān)或稅務(wù)機(jī)關(guān)可以在刑事偵查、追查稅款等特定情形之下進(jìn)行個人生物識別信息比對。但是在此之外,不得為非公共利益的目的儲存、處理或利用個人生物識別信息。為支持學(xué)術(shù)研究,授權(quán)機(jī)構(gòu)也可以利用個人生物識別信息,但是須無害于個體的人格利益,相關(guān)研究人員或機(jī)構(gòu)應(yīng)當(dāng)對使用的個人生物識別信息采取妥善的保護(hù)措施。三是個人生物識別信息處分要嚴(yán)格限制。政府機(jī)關(guān)或授權(quán)機(jī)構(gòu)非經(jīng)許可不得向他人轉(zhuǎn)讓個人生物識別信息,尤其是禁止以營利為目的向任何機(jī)構(gòu)有償轉(zhuǎn)讓個人生物識別信息。由于信息技術(shù)日益發(fā)達(dá),政府部門之間共享政府?dāng)?shù)據(jù),或者政府部門與商業(yè)公司之間互相共享數(shù)據(jù)越來越常見。例如,在新冠肺炎疫情期間,騰訊、阿里巴巴等商業(yè)機(jī)構(gòu)通過自己的數(shù)據(jù)與技術(shù)給疫情防控提供了大量的數(shù)據(jù)(其中包括人臉識別、指紋等數(shù)據(jù))。這其中既包括政府授權(quán)平臺公司利用自己的技術(shù)優(yōu)勢直接參與防控,也包括它們對已有數(shù)據(jù)的加工和處理。通過對政府?dāng)?shù)據(jù)與社會數(shù)據(jù)的共享和充分發(fā)掘,可以準(zhǔn)確識別個人的行動軌跡、個人的感染情況以及相關(guān)密切接觸者的健康狀況,充分發(fā)揮數(shù)字化防控的最大效能。為避免泄露個人生物識別信息,有必要構(gòu)建一套統(tǒng)一的、法定的數(shù)據(jù)交換標(biāo)準(zhǔn),形成規(guī)范的數(shù)據(jù)格式,在公開時要去標(biāo)識化處理,并選擇恰當(dāng)?shù)姆绞胶头秶?/p>
非基于公共利益收集和利用個人生物識別信息的保護(hù)和監(jiān)管
近年來,商業(yè)公司或特定機(jī)構(gòu)對個人生物識別信息的收集和利用有愈演愈烈的趨勢。商業(yè)公司或特定機(jī)構(gòu)對于個人生物識別信息的收集和利用通常并非基于公共利益的目的。為保護(hù)個人生物識別信息,必須在立法、司法以及行政層面加強(qiáng)相應(yīng)的監(jiān)管,
個人生物識別信息的商業(yè)利用取決于信息控制者與生物識別信息主體之間的權(quán)利義務(wù)配置。個人生物識別信息的利用主要涉及信息的收集、信息的儲存、信息的加工和處理以及信息的使用,每一個過程都可能涉及到信息的隱私化和隱私的信息化。過度限制生物識別信息的利用會影響人們通過信息造福社會。法律規(guī)范應(yīng)當(dāng)妥當(dāng)平衡個人生物識別信息利益的保護(hù)與個人生物識別信息資源有效利用之間的關(guān)系。學(xué)校、公園等基于自身管理的需要采用生物識別信息系統(tǒng),雖名為“公共安全的需要”,但是顯然不符合比例原則的要求,這些單位通常無權(quán)收集和利用個人生物識別信息。
商業(yè)公司或特定機(jī)構(gòu)在收集和利用個人生物識別信息時,應(yīng)在技術(shù)標(biāo)準(zhǔn)、制度規(guī)范、法律約束等各個方面適用嚴(yán)格的條件和程序。具體來說:一是商業(yè)公司或特定機(jī)構(gòu)在收集和利用個人生物識別信息前須向個體進(jìn)行充分的告知,獲取個體的明示同意。二是商業(yè)公司或特定機(jī)構(gòu)公開處理個人生物識別信息的規(guī)定,明示處理個人生物識別信息的目的、方式和范圍,不得超出規(guī)定的目的收集、處理、利用個人生物識別信息,必要情況下的目的變更應(yīng)當(dāng)有法律的許可或取得個體的明確同意。三是商業(yè)公司或特定機(jī)構(gòu)應(yīng)妥善保管個人生物識別信息,相關(guān)收集、儲存、使用、加工、傳輸、提供、公開應(yīng)當(dāng)嚴(yán)格遵循法律、行政法規(guī)的規(guī)定。
(作者為武漢大學(xué)法學(xué)院教授、博導(dǎo),武漢大學(xué)網(wǎng)絡(luò)治理研究院研究員)
【參考文獻(xiàn)】
①張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》,《中國法學(xué)》,2015年第3期。
②李永軍:《論〈民法總則〉中個人隱私與信息“二元制”保護(hù)及請求權(quán)基礎(chǔ)》,《浙江工商大學(xué)學(xué)報》,2017年第3期。
③許可:《數(shù)據(jù)保護(hù)的三重進(jìn)路——評新浪微博訴脈脈不正當(dāng)競爭案》,《上海大學(xué)學(xué)報(社會科學(xué)版)》,2017年第6期。
④葉名怡:《個人信息的侵權(quán)法保護(hù)》,《法學(xué)研究》,2018年第4期。
⑤胡文濤:《我國個人敏感信息界定之構(gòu)想》,《中國法學(xué)》,2018年第5期。
⑥陳宗波:《我國生物信息安全法律規(guī)制》,《社會科學(xué)家》,2019年第1期。
⑦高富平:《論個人信息保護(hù)的目的——以個人信息保護(hù)法益區(qū)分為核心》,《法商研究》,2019年第1期。
責(zé)編/于洪清 美編/楊玲玲
聲明:本文為人民論壇雜志社原創(chuàng)內(nèi)容,任何單位或個人轉(zhuǎn)載請回復(fù)本微信號獲得授權(quán),轉(zhuǎn)載時務(wù)必標(biāo)明來源及作者,否則追究法律責(zé)任。