个人生物识别信息的界定_焦艳玲.pdf

法学研究重庆大学学报(社会科学版)2023 年第 29 卷第 3 期JOURNAL OF CHONGQING UNIVERSITY(Social Science Edition)Vol.29 No.3 2023Doi:10.11835/j.issn.1008-5831.fx.2021.12.001欢迎按以下格式引用:焦艳玲.个人生物识别信息的界定J.重庆大学学报(社会科学版),2023(3):200-211.Doi:10.11835/j.issn.1008-5831.fx.2021.12.001.Citation Format:JIAO Yanling.The definition of personal biometric informationJ.Journal of Chongqing University(Social Science Edition),2023(3):200-211.Doi:10.11835/j.issn.1008-5831.fx.2021.12.001.基金项目:2021 年度天津市哲学社会科学规划项目“个人生物识别信息的民法保护”(20BFX163)作者简介:焦艳玲,天津师范大学法学院教授,Email:cn_lily 。个人生物识别信息的界定焦艳玲(天津师范大学 法学院,天津 300387)摘要:生物识别信息是对自然人的生物特征进行特定技术处理所形成的信息。个人生物特征具有不变性和唯一性的特点,这使生物识别能够一劳永逸地实现对个人身份的鉴别。经过特定技术处理所形成的生物识别信息也具有这些特点,因此任何对于生物识别信息的攻击都可能对个人产生不可逆转的影响。现实生活中,商业化收集的泛滥、限制行动自由、售卖和窃取、深度伪造以及诈骗已经成为侵害生物识别信息的重要表现。保护个人生物识别信息安全迫在眉睫,而准确界定生物识别信息是首要前提。综观国外立法经验,生物识别信息的构成应当聚焦三个要素:个人生物特征之反映、特定技术处理之环节、唯一性识别之功能。此三项要素也是认定生物识别信息的关键。生物识别信息可以通过含有个人生物特征的图像来采集,但是该图像仅仅是个人生物特征的反映。在没有进行特定技术处理之前,图像本身并不构成生物识别信息,无论该图像是电子图像抑或纸质照片。生物识别信息的本质是对个人生物特征进行的测量,即所谓的“特定技术处理”,至于测量的方式则在所不问。无论进行面对面的真人测量抑或从含有个人生物特征的图像中测量,所得的信息都是生物识别信息。单纯对于个人生物特征的描述不构成生物识别信息,个人生物特征的样本也须与生物识别信息区分开来。目前我国法律文件对于生物识别信息定义的认识还存在许多偏差,概念混淆、内涵不明、外延短缺是主要问题。未来我国的生物识别信息定义应当遵循三个原则:揭示生物识别信息的本质、反映生物识别信息的要素、兼顾技术更新的速度。为此有必要从内涵和外延两方面着手:内涵规定本质与构成,从而为技术更迭可能出现的新情况提供解释的空间;外延进行开放式列举,以引导当下的理论与实践。就内涵而言,可概括为“对自然人的生物特征进行特定技术处理(测量)所形成的能够唯一性识别自然人身份的信息”。就外延而言,可以进行常态化列举,同时使用“包括但不限于”的表述使生物识别信息的范围不受列举的限制。关键词:生物识别信息;个人生物特征;生物特征样本;生物特征测量;个人信息保护中图分类号:TP391.41;D923 文献标志码:A 文章编号:1008-5831(2023)03-0200-12焦艳玲 个人生物识别信息的界定一、缘起:数字时代的生物识别信息危机生物识别普及化应用的速度令人惊叹。声纹控制、指纹解锁、人脸支付,一系列生物识别的应用以铺天盖地之势袭来,住宅小区、职场、图书馆、公园、机场、车站,一时间生物识别无处不在1。生物识别就像一个巨大的宝藏,其价值令人垂涎,其风险令人生畏。生物识别是利用人体固有的生物特征对个人身份进行鉴别的技术。在以数字技术作为运算规则的当代,个人的生物特征经过计算机程序的处理变身为一串代码,这些代码成为生物识别信息最常见的形态。代码化的生物识别信息可以用来对个人的行为进行实时查询和验证,因此常被冠以“个人数字身份”的称谓2。个人的生物特征转变为有价值的社会资源正是通过这种数字化的进程实现的,而无论个人是否接受,这种趋势都不会改变3。有观点认为,生物识别将推动身份认证领域的一场革命4。因为生物识别信息安全、可靠又便捷,任何传统的身份认证方式都无法比拟5。但不容忽视的是,代码化了的生物识别信息极易遭受侵害,损害后果比其他个人信息严重得多。现实中生物识别的应用场景多种多样,诱发的个人信息保护风险形态各异。第一,生物识别信息商业化收集的泛滥。目前我国尚无对生物识别信息收集和使用的禁止性规定,商业公司为了分得市场的一杯羹,对生物识别信息的收集和利用充满了热情。2019 年换脸软件“ZAO”受到手机用户的疯狂追捧,当用户享受与影视剧偶像同台飙戏的快乐时,其人脸信息已被软件公司永久性占有。软件公司在用户协议中载明“同意 ZAO 及其关联公司和用户对用户内容进行永久免费、不可撤销地修改与编辑”,这样的协议充斥着霸王条款的味道,即使形式上取得了用户的同意,又能在多大程度上反映用户的真意6?第二,对抗生物识别的人格自由困境。生物识别已然成为信息社会下难以抗拒的洪流,以个人之力对抗这股洪流常常会遭遇人格自由的困境,乃至于在现实世界中寸步难行。一个典型的场景是将生物识别应用于门禁,当住宅小区、职场、公园等场所安装了生物识别系统,其结果是个人若不同意交出生物识别信息就无法正常生活。2019 年郭冰因杭州野生动物世界强制用户使用人脸识别入园诉至杭州富阳区法院,这个被称为“人脸识别第一案”的事件才第一次引起了国人对于生物识别应用边界的思考7。第三,深度伪造。深度伪造(deepfake)俗称“换脸”,实质上是通过生物识别技术实现移花接木。在国外,利用人脸信息进行深度伪造进而嫁接于不雅视频以羞辱他人的行为已经拥有了专门的称谓“色情报复”8。由于受害人没有真实地出现在视频里,并且人脸信息多从受害人自愿上传到网络的照片中提取,深度伪造很难成立隐私侵权和肖像侵权,但是它对于受害人名誉的破坏却现实存在。第四,生物识别信息的售卖和窃取。生物识别信息由于强大的身份识别功能而具有巨大的商业利用价值,对于饥渴寻找潜在客户的商家而言无疑是一笔巨大的财富,在此背景下买卖生物识别信息成为一桩生意就不难理解了。北京青年报曾曝出网络商城中有人售卖人脸信息,2 000 多人的17 万条信息被公开叫卖,每个人都有 50 张以上的照片,每张照片配套一份数据文件,内容涵盖人脸的 106 处关键点9。除故意售卖以外,个人生物识别信息遭黑客窃取在国内外亦不罕见。第五,生物识别信息泄露诱发财产诈骗。生物识别具有便携、保密、安全和不被遗忘的多重优势,随着技术成本的下降,生物识别的应用场景越来越多元化。目前手机应用、智能家居、智能安防102 重庆大学学报(社会科学版)2023 年第 29 卷第 3 期 和互联网金融已成为生物识别技术应用的核心领域10。然而当人们不断让渡个人信息以换取生活的便利时,信息泄露和被滥用的风险亦成倍增加。2020 年张富等人利用软件将他人照片制作成 3D头像,进而通过人脸识别认证骗取他人支付宝钱财,被衢州市中级人民法院判决成立侵犯公民个人信息罪和诈骗罪。在商业应用比较成熟的人脸识别领域,近年来发生的刑事案件逐年增多,就2017 至 2019 年法院审结的案件有 16 件,其中仅 2019 年就有 11 件11。不少学者认识到,生物识别信息的安全风险以自然人为对象,但涉及的利益关系涵盖了生物识别活动的服务者、经营者、管理者、使用者甚至国家12。党的二十大报告提出,加强个人信息保护是推进国家安全体系和能力现代化、维护国家安全和社会稳定的重要方面。而加强对生物识别信息的保护则是当前最突出的任务。随着民法典和个人信息保护法对个人生物识别信息的确认,主张建立民事、行政、刑事多元协调保护机制的建议获得广泛支持13,而以专门法律或者在个人信息保护法中增设专章进行保护的建议也不在少数14。然而目前法律仅仅提到一个抽象的概念,什么是生物识别信息,其包括哪些类型,具体又该如何认定,这些问题尚不清晰。对于“生物识别信息”这个富含科技色彩的词汇,大众的理解仍然停留在感性层面。为避免认识偏差和法律适用的混乱,有必要对生物识别信息进行清晰界定,这是加强生物识别信息保护的首要前提。二、生物识别信息的构成:域外立法的启示(一)生物识别的基本原理肖像权于照相机发明后始受重视,声音权因窃听器和录像机的使用而被认可15。个人生物信息作为人格标识受到关注,是基于生物识别技术的迅猛发展。生物识别又称生物特征识别,是利用人体固有的生物特征对个人身份进行鉴别,它有两种工作模式:其一为认证,即在有怀疑对象的前提下将某人与怀疑对象直接比对,从而回答“是他么”的疑问;其二为识别,即从庞大的数据库中找到与某人最为匹配的身份,以此解决“他是谁”的困惑16。从生物识别技术的发展历程看,早期生物识别的工作模式主要是认证,例如将指纹、签名的检材和样本进行比对和分析,以此来验证某人是否具有特定的身份。由于是一对一的比较,工作量小,针对性强,所以采用人工方式即可进行。可是随着计算机技术的发展,海量生物信息的收集和存储已成为可能,生物识别的工作模式渐渐转向了识别。特别是计算机技术与光学、声学、医学、生物传感器技术、生物统计学原理相结合之后,一系列新型的生物识别如人脸识别、视网膜识别、基因识别不断涌现,以往的人工识别也被计算机自动识别所取代。生物识别之所以能够鉴别身份,与个人的生物特征密不可分。个人生物特征是个人所固有的生理特征和行为特征,其最显著的特点是具有不变性:要么难以改变,要么不能改变。恒久不变的特点实现了人工智能对生命体识别的一劳永逸,这正是生物识别能够鉴别个人身份的根源17。当然,并非所有的生物特征都能鉴别身份,可以在技术上推广使用的生物识别方法要求某项生物特征必须满足:(1)普遍性(每个人都有);(2)唯一性(至少在某一方面任何人都不同);(3)可测量性;(4)可收集性;(5)可重复性。目前可以用来鉴别身份的生物特征包括生理特征和行为特征,前者主要是指纹特征、人脸特征、虹膜特征、声纹特征、手型特征、指静脉和掌静脉特征、视网膜特征、DNA202参见:衢州市中级人民法院(2019)浙 08 刑终 333 号刑事裁定书。焦艳玲 个人生物识别信息的界定特征、掌纹特征等,后者则涉及签名特征、步态特征、语音特征和击键方式等。生物特征是生物识别的基石,它的不变性和唯一性为生物识别应用提供了坚实的保障,而在此基础上形成的生物识别信息也具有上述特性,故任何对于生物识别信息的攻击都可能对个人产生不可逆转的影响。(二)生物识别信息的核心要素在世界范围内,生物识别信息并没有统一的定义,各国采用的称谓也不尽相同,不过定义之间存在一些共性,从中或可尝试提取生物识别信息的核心要素。欧盟的通用数据保护条例(简称 GDPR)将能够唯一识别自然人身份的生物特征数据列入“特殊类别的个人数据”,原则上禁止对该信息进行任何形式的处理。根据 GDPR 的规定,“生物特征数据”是指自然人的身体、生理或者行为特征在经过特定技术处理后所产生的个人数据,该数据能够确认自然人的独特身份,例如面部图像的数据或者指纹数据。欧盟立法对许多国家产生了影响,英国的数据保护法采用了与 GDPR 相似的规定,该法第 205 条对“生物特征数据”的定义是:对个体的身体、生理或者行为特性进行特定技术处理所产生的个人数据,这些数据可以唯一地识别个人的身份,例如面部图像或者指纹数据。印度的个人数据保护法第 3 条也采用了“生物特征数据”的称谓,其定义是:对数据主体的身体、生理、行为特征进行测量或者技术处理所产生的面部图像、指纹、虹膜扫描或者任何其他类似的个人数据,这些数据能够唯一地确认自然人身份。在美国,越来越多的民众意识到自己的生物识别信息正在遭受政府过度监控、