我国生物识别信息界定的司法适用困境与出路*
2022-07-07肖冬梅
张 琪,肖冬梅
0 引言
生物识别技术的快速发展和广泛应用,在促进经济发展、推动社会进步的同时,也引发社会公众对于生物识别信息的安全隐忧。生物识别信息因其主体唯一性和不可变更性而有别于其他个人信息,一经泄露或滥用,将会对信息主体造成不可逆的危害。2021年11月1日实施的《个人信息保护法》第28条第1款将 “生物识别信息” 纳入 “敏感个人信息” 范围进行特殊保护,遗憾的是未对 “生物识别信息” 作出界定。《人民检察院办理网络犯罪案件规定》《深圳经济特区数据条例》和相关国家标准虽然对 “生物识别信息” 或 “生物识别数据” “生物特征识别信息” “生物特征识别数据” 等类似概念进行界定,但适用范围有限。这意味着司法机关在对 “生物识别信息” 进行认定时缺乏明确的法律依据。与此同时,现有 “生物识别信息” 或类似概念的边界模糊且滞后于技术发展,无法为《个人信息保护法》中 “生物识别信息” 概念的明确提供参照。另外,现有研究聚焦于生物识别信息的法律属性、特点、保护和风险监管等,而生物识别信息界定的研究还处于起步阶段。崔丽[1]、杨铜铜[2]、胡鹏鹏[3]等强调生物识别信息界定的重要性和意义;魏广萍[4]认为应对生物特征信息采取广泛定义来扩大保护范围;曾昌[5]、商希雪[6]、焦艳玲[7]等虽对生物识别信息作出初步界定,但对生物识别信息的内涵和外延分歧较大,不足以为立法完善和司法实践提供理论支撑。本文旨在通过梳理我国现有 “生物识别信息” 和类似概念的界定,考察欧盟、美国相关立法例,为我国科学界定 “生物识别信息” 提供参考。
1 我国生物识别信息的界定现状与司法适用困境
1.1 界定现状
我国对 “生物识别信息” 和类似概念的界定散见于司法解释、地方性法规和国家标准。
在司法解释层面,2021年1月22日发布的《人民检察院办理网络犯罪案件规定》第27条将 “生物识别信息” 等 “用户身份信息” 作为电子数据中的一类。第62条通过 “定义+列举” 的方式专门针对 “生物识别信息” 这一称谓作出界定。定义部分从技术原理(计算机利用)、人体特征(人体所固有的生理特征或行为特征)、识别目的(个人身份识别)三方面明晰内涵;列举部分从生理特征和行为特征两方面展开,其中生理特征包括人脸、指纹、声纹、虹膜、DNA等,行为特征包括步态、击键习惯等。
在地方性法规层面,2021年7月6日发布的《深圳经济特区数据条例》第2条第4项同样采取 “定义+列举” 的方式界定 “生物识别数据” 。定义部分从人体特征(自然人的身体、生理、行为等生物特征)、技术原理(进行处理)、识别目的(能够识别自然人独特标识)三方面进行明确;列举部分包括基因、指纹、声纹、掌纹、耳廓、虹膜和面部识别特征等。
在国家标准层面,2019年6月18日发布的《生物特征识别信息的保护要求(征求意见稿)》第3.1.4条则采用 “定义式” ,将 “生物特征识别数据” 界定为 “生物特征样本、生物特性、生物特征模型、生物性质、原始描述数据的生物特征识别特征,或上述数据的聚合” 。2021年10月11日发布的《信息安全技术 生物特征识别信息保护基本要求》第3.3条仅给出 “生物特征识别信息” 定义,从人体特征(自然人的物理、生物或行为特征)、技术原理(技术处理)、识别方式(单独或者与其他信息结合)以及识别目的(识别该自然人身份)四方面进行明确。此外,该标准以 “注” 的方式列举面部识别特征、虹膜、指纹、基因、声纹、步态、掌纹、耳廓和眼纹等种类。
1.2 司法适用困境
(1)既有规定适用范围有限,无法在全国统一适用。《人民检察院办理网络犯罪案件规定》虽已对 “生物识别信息” 这一称谓作出界定,但仅用于规范人民检察院办理网络犯罪案件,民事侵权方面并无相应规范。《深圳经济特区数据条例》对 “生物识别数据” 这一类似概念所做的界定只能在该市行政区域范围内适用。《信息安全技术 生物特征识别信息保护基本要求》《生物特征识别信息的保护要求(征求意见稿)》均为国家推荐性标准,对 “生物特征识别信息” 和 “生物特征识别数据” 的界定于司法上不具有强制力。上述既有规定的适用范围有限,意味着各司法主体在对 “生物识别信息” 进行认定时缺乏明确的法律依据,面临法律适用的困境。
(2)既有 “生物识别信息” 或类似概念的边界模糊且滞后于技术发展,无法为我国科学界定 “生物识别信息” 提供现成参照。
一方面,《人民检察院办理网络犯罪案件规定》未清晰表达 “生物识别信息” 的内涵,且落后于生物识别技术的高速发展和应用。一是该界定中 “计算机” 这一表述无法确切概括生物识别的技术原理。生物识别信息的产生依赖于生物识别技术,其范围会随着生物识别技术的发展而处于动态变化中,因而准确表达生物识别技术的原理有助于把握生物识别信息的内涵。生物识别进行身份鉴定,不仅依赖计算机技术,还需结合光学、声学、生物传感器和生物统计学原理等高科技手段[8]123。二是该界定仅列举几种常见的生物识别信息,无法满足社会公众对技术高速发展所带来的新型生物识别信息保护需求。
另一方面, “生物识别信息” 类似概念的界定也具有局限性。《深圳经济特区数据条例》在定义中罗列出身体、生理、行为3种生物特征,但列举的种类仅和身体、生理特征相关;《信息安全技术生物特征识别信息的保护要求(征求意见稿)》的界定过于抽象,需要另行结合该标准的其他条款理解 “生物特征样本” “生物特性” “生物特征模型” “生物性质” 以及 “原始描述数据” 的含义;《信息安全技术生物 特征识别信息保护基本要求》中规定 “生物特征识别数据” 可 “与其他信息结合” 识别到自然人身份,相比于其他界定扩大了 “生物特征识别数据” 的范围,这模糊了 “生物特征识别数据” 和 “其他信息” 的边界。
2 域外生物识别信息界定的立法例考察
2.1 欧盟
欧盟相关立法中主要采用 “biometric data” 这一称谓。根据柯林斯词典解释, “biometric” 为形容词,既可以翻译成 “生物识别的” “生物特征的” ,又可翻译为 “生物的” 。因此, “biometric data” 就可被翻译成 “生物识别数据” “生物特征数据” “生物数据” “生物特征识别数据” 等多种称谓,这与我国部分称谓相一致。本文将其翻译为 “生物识别数据” 。
欧盟2018年5月25日颁布的《通用数据保护条例》(General DataProtectionRegulation,GDPR)设置专门条款(第4条),采用 “定义+列举” 方式界定 “生物识别数据” 。定义部分从技术原理(特定技术处理)、人体特征(身体、生理或行为特征)和识别目的(确认自然人独特身份)展开;列举部分包括面部图像、指纹数据。GDPR第9条将 “唯一识别自然人的生物识别数据 “列入 “特殊类型个人数据” ,在一般情况下禁止使用生物识别数据进行唯一识别,体现出欧盟谨慎的立法态度。值得注意的是,与我国大多数规范性文件将 “DNA” “基因” 列入 “生物识别信息” 的做法不同,GDPR第9条中的 “遗传数据” 独立于 “生物识别数据” 而存在。
2.2 美国
美国相关立法中主要有 “biometric data” “biometric information” “biometric identifier” 3种称谓,以不同方式指向个体特有的可测量的生物学或行为特征①。本文将后两者分别翻译为 “生物识别信息” 和 “生物识别标识符” 。
2.2.1 美国各州生物识别信息的立法界定
美国在州层面对于 “生物识别信息” 或类似概念的界定散见于各州专门的生物识别信息保护法案或相关的隐私、数据保护法案。
专门的生物识别信息保护法案分别为伊利诺伊州《生物识别信息隐私法案》(National Biometric Information Privacy Act,BIPA)、德克萨斯州《生物特征符获取或使用法》(CaptureorUseofBiometricIdentifiers,CUBI)和华盛顿州《生物识别隐私法》(Biometric InformationPrivacyAct,WBPA)。美国伊利诺伊州2008年颁布的BIPA最早对 “生物识别信息” 作出界定。该法第10条将 “生物识别信息” 定义为基于识别个人 “生物识别标识符” 的任何信息,无论该生物识别信息是如何被获得、转换、存储或共享,不包括 “生物识别标识符” 排除的项目或程序中获取的信息。该法案对 “生物识别标识符” 采取 “列举+排除” 式的界定。列举部分为穷尽式列举,包括视网膜或虹膜扫描、指纹、声纹、手部几何扫描和面部几何扫描。排除部分包括5类情形,分别为原始样本或外貌描述、器官捐赠移植、生物样本、医疗保健以及医学影像。关于 “生物识别信息” 和 “生物识别标识符” 的关系,美国法院在里维拉诉谷歌案(Rivera v.Google Inc.)案中阐述。该案双方当事人就里维拉上传到谷歌云服务上的照片进行的人脸扫描后创建人脸模板,是否属于BIPA中的 “生物识别信息” 产生争议,法院指出 “生物识别标识符” 是一组用于识别个人、基于生物学的测量,而 “生物识别信息” 是将这些测量转换成其他可用的形式。换言之,虽然原始的照片本身不属于 “生物识别标识符” ,但若对其进行技术处理后可识别特定个人,该行为就落入BIPA的规制范围。随后德克萨斯州于2009年通过CUBI,对 “生物识别标识符” 采取 “列举式” 的界定,该界定与BIPA列举范围相同,未含有排除范围。华盛顿州于2017年6月16日通过的WBPA则是美国第三个专门保护生物识别信息的立法。该法采取 “定义+列举+排除” 的方式界定 “生物识别信息” 。定义部分包括技术原理(自动测量)、人体特征(生物特征或其他独特的生物模式或特征)和识别目的(识别特定个人)。列举部分为不完全列举模式,包括指纹、声纹、眼睛视网膜和虹膜等。排除部分包括两类情形:物理形式或数字形式的照片、视频、音频;医疗保健治疗、支付或运营而收集、使用或存储的信息。
相关的隐私、数据保护法案分别为加利福尼亚州《消费者隐私法案》(CaliforniaConsumer Privacy Act,CCPA)、《隐私权法》(California PrivacyRightsAct,CPRA)和弗吉尼亚州《消费者数据保护法》(Consumer Data Protection Act,CDPA)。加利福尼亚州为加强消费者个人信息保护,于2018年6月通过CCPA,采取 “定义+列举” 的方式对 “生物识别信息” 进行界定。定义部分从人体特征(生理、生物或行为特征,包括个人DNA)、识别方式(单独、相互结合或与其他可识别数据结合)和识别目的(识别个人身份)三方面展开。列举部分为不完全列举模式,包括虹膜、视网膜、指纹、人脸、手部、掌纹、静脉模式、声纹、击键习惯、步态以及包含识别信息的睡眠、健康、锻炼数据。2020年11月3日,加利福尼亚州通过CPRA,意图对CCPA进行修正,但并未对 “生物识别信息” 的内涵与外延进行修改。弗吉尼亚州2021年1月29日通过的CDPA对 “生物识别数据” 的界定与WBPA中 “生物识别标识符” 的界定相一致。
2.2.2 美国联邦生物识别信息的立法界定
美国联邦层面没有专门的生物识别信息立法, “生物识别信息” 或类似概念的界定出现在相关草案中。
2019年12月3日,为保护公民个人数据权利,Maria Cantwell提出《消费者在线隐私权法案(草 案)》(Consumer Online Privacy Rights Act,COPRA),建议采用 “定义+列举+排除” 的方式对 “生物识别信息” 进行界定。定义部分包括技术原理(测量或特定技术处理)和人体特征(生物、身体或生理特征)。可见,该界定并不要求识别到特定个人,只要和人体特征相关即为 “生物识别信息” 。列举部分为不完全列举形式,包括指纹、声纹、虹膜或视网膜扫描、面部扫描或面部模板、DNA和步态。排除部分仅列举伊利诺伊州BIPA中排除的第一类情形,但附加 “该等数据不用于识别个人独特的生物、身体或生理特征” 的限定语。同月,为建立统一的隐私法,Roger Wicker提出《2019年美国消费者数据隐私法案(草案)》(Consumer Data Privacy Act of 2019,CDPA),对 “生物识别信息” 的界定与CCPA、CPRA一致。2020年3月12日,Mr.Moran提出《2020年消费者数据隐私和安全法(草 案)》(Consumer Data Privacy and Security Act of 2020,CDPSA),建议对 “生物识别信息” 采取 “定义式” 界定,包括技术原理(特定技术处理)、人体特征(身体、生物、生理、基因、行为方面的特征)与识别目的(能够识别个人)。
Sens.Jeff Merkley和Bernie Sanders于2020年8月10日提出的《国家生物识别信息隐私法(草案)》(National Biometric Information PrivacyAct,NBIPA)对 “生物识别信息” 的界定也值得注意。该草案以BIPA为蓝本,有待成为联邦层面专门的生物识别信息保护法案,采用 “定义+列举+排除” 方式界定 “生物识别信息” 。定义部分包括人体特征(个人步态特征或其他不可变特征)和识别目的(具有识别性)。列举部分为不完全列举模式,相较于BIPA列举的种类更广泛,包括视网膜或虹膜扫描、声纹、面纹、指纹、掌纹、步态等。排除范围除未保留 “生物材料” 这类情形外,其余部分则与BIPA保持一致。
2.3 可借鉴之处
欧盟、美国相关立法例均认为生物识别信息是人体特征的反映,均认可 “唯一/单独识别” 识别方式,并对 “识别到特定个人” 的识别目的达成一致。欧盟、美国对 “生物识别信息” 或其类似概念界定的差异主要体现在3个方面。
(1)界定方式的差异。欧盟GDPR采取 “定义+列举” 的界定方式阐述 “生物识别数据” 的内涵和外延。概因美国尚无统一的生物识别信息保护法案,美国州层面、联邦层面对于 “生物识别信息” 或其类似概念的界定方式显现出多元化格局,除 “定义+列举” 外,还存在 “定义式” “列举式” “列举+排除” 和 “定义+列举+排除” 4种界定方式。较为明显的是,美国立法趋势更倾向于 “定义+列举+排除” 这一界定方式。
(2)概念定义的差异。欧盟GDPR用 “特定技术处理” 这一表述来阐述生物识别的技术原理,美国相关立法例则还存在 “通过测量/自动测量” 的表述;欧盟GDPR仅罗列了身体、生理、行为3类人体特征,而美国相关立法例则还罗列了生物、基因、DNA等人体特征;欧盟GDPR将 “生物识别数据” 限定于 “唯一识别” ,而美国立法例还存在 “相互结合” 和 “与其他可识别数据结合” 的识别方式。
(3)种类列举的差异。欧盟GDPR仅列举出面部图像、指纹数据两类,而美国相关立法例更倾向于列举多种类型。可见,无论是从界定方式看,还是从概念定义和种类列举看,相较于欧盟谨慎的立法态度, “美国趋于囊括尽可能多的生物特征及相关数据”[9]。
欧盟与美国对 “生物识别信息” 或类似概念的界定对我国立法存在可鉴之处。
(1)美国华盛顿州WBPA、弗吉尼亚州CDPA以及参议院法案COPRA、NBIPA所采取的 “定义+列举+排除” 的界定方式,在尽可能明确多种类型的同时,又考虑了一定的排除范围,能够指导司法适用,降低司法成本。本文赞同这种界定方式,但认为 “生物识别信息” 的范围不宜过度扩张,应考虑其与被结合信息的界限。
(2)欧盟GDPR和美国参议院法案COPRA、CDPSA中所采用的 “特定技术处理” ,相较于 “计算机利用” “通过测量/自动测量” 等,更能准确概括生物识别技术的原理。
(3)加利福尼亚州CCPA、CPRA和参议院法案CDPA中 “相互结合” 的表述,明确表达了两种确认自然人身份的方式,分别是 “A生物识别信息+B生物识别信息” 与 “生物识别信息+其他可识别信息(如行踪轨迹信息)” 。这种表述科学地认识了生物识别技术的多种功能且应合了多生物识别技术融合的发展趋势。
(4)不可变更性是生物识别信息的重要特征之一,美国参议院法案NBIPA在 “生物识别信息” 的定义中表明其 “不可变” 的特征,能够进一步降低司法成本、节约司法资源。
3 我国生物识别信息的界定构想
3.1 我国生物识别信息界定可采取的方式
现有生物识别信息的界定方式主要有 “定义式” “列举式” “定义+列举” “列举+排除” “定义+列举+排除” 5种方式。
“定义式” 即仅给出生物识别信息的抽象概念,并不明确种类。本文认为对 “生物识别信息” 进行界定时不宜采取此种界定方式。单纯地给出生物识别信息的概念无法直接对某种信息是否属于生物识别信息作出判断,会造成司法适用困难。《信息安全技术 生物特征识别信息保护基本要求》虽对 “生物特征识别信息” 采取定义式的界定方式,但以 “注” 的方式列举类型,因此其实际上是通过定义式的界定和 “注” 的种类列举展现 “生物特征识别信息” 的内涵与外延。而《生物特征识别信息的保护要求(征求意见稿)》系采取 “定义式” 界定,从而需要结合该标准的其他条款才能理解 “生物特征识别数据” 。
“列举式” 即直接逐项列举生物识别信息的种类,包括穷尽式列举和非穷尽式列举。这两种列举式界定均不适用于生物识别信息。
(1)穷尽式列举无法涵盖生物识别信息的所有种类。生物识别信息的种类会随着生物识别技术的发展和提高而不断增加,类型尚无法穷尽。德克萨斯州CUBI列举的5种类型,已经无法涵盖现有生物识别技术能够识别出的生物特征信息种类。穷尽式列举的滞后性和局限性使生物识别信息无法在实践中被灵活适用,无法为生物识别信息留有解释空间。
(2)非穷尽列举式虽能克服穷尽式列举的滞后性,以应对生物识别技术的快速发展,但是缺乏统一的判断标准,存在较高的滥用风险。
“定义+列举” 即在说明生物识别信息抽象概念的同时列举生物识别信息的种类。此种界定方式能够在一定程度上弥补单纯 “定义式” 的不确定性、穷尽式列举的滞后性和非穷尽式列举标准缺失的局限,这也是我国立法和学者比较青睐的界定方式。欧盟GDPR、加利福尼亚州CCPA、CPRA和美国参议院法案CDPA也采用这种界定方式。
“列举+排除” 即对生物识别信息进行穷尽式列举后,又列出生物识别信息的排除范围,但该种界定方式未解决穷尽式列举的滞后性。德克萨斯州CUBI、伊利诺伊州BIPA所列举的类型已经落后于技术发展。但BIPA所列举的排除范围,有效区分了生物识别信息本身和生物识别信息来源,并将 “医疗保健” 场景对生物识别信息的利用,规定为豁免事由,进一步明确了 “生物识别信息” 的边界。
“定义+列举+排除” 即说明生物识别信息的抽象概念、列举生物识别信息种类的同时,又给出生物识别信息的排除范围。这一界定方式集合了 “定义+列举” “列举+排除” 的优点。相对于 “定义+列举” ,该种界定方式使生物识别信息的内涵和外延更加清晰;相对于 “列举+排除” ,该种界定方式能够回应生物识别技术的发展,为新型生物识别信息留有解释空间。本文认为此乃最优界定方式。
3.2 我国生物识别信息的明确定义
采取 “定义+列举+排除” 的方式界定 “生物识别信息” ,首先要明确定义。 “生物识别信息” 的定义是鉴定生物识别信息种类的判断标准,其应能清晰、明确地阐述 “生物识别信息” 的内涵,灵活应对生物识别技术的发展趋势,为司法机关提供认定依据。现有定义聚焦于 “技术原理” “人体特征” “识别方式” “识别目的” 四要素,以此明确 “生物识别信息” 或其类似概念的内涵。前3种要素尚存争议,但对 “识别目的” 这一要素已达成共识,即为识别到个人。
“技术原理” 要素有时会被忽略,但事实上明确 “技术原理” 有助于正确把握 “生物识别信息” 的内涵, “技术原理” 这一要素应是 “生物识别信息” 定义中不可或缺的要素之一。生物识别系统提取人的手背静脉图像、指纹、面部等原始生物识别信息,从而利用该原始生物识别信息进行特征提取和特征匹配[10]4-5。由此,生物识别实际上是一个从人体生物识别信息来源(照片、身体部位)中提取生物识别原始信息(自然人生物特征的样本、图像),再从生物识别原始信息中提取生物识别比对信息的过程。相对于 “计算机利用” “通过测量” “自动测量” “技术处理” 等表述,欧盟GDPR和美国参议院法案COPRA、CDPSA所采用的 “特定技术处理” 这一表述显然对于生物识别技术原理的概括更为精确。根据GDPR导言第51条,照片的处理不应被系统地视为对特殊类别的个人数据的处理,只有通过允许对自然人进行唯一识别或认证的特定技术手段进行处理时,才被生物识别数据的定义所涵盖。因此,GDPR第4条的 “特定技术” 是指对自然人进行唯一识别或身份认证的技术,而不仅仅是单纯的测量、扫描或计算机技术。在此需要说明的是, “特定技术处理” 仅限于提取、识别和匹配,而非技术挖掘,不能将生物识别信息(原始信息和比对信息)视为对信息处理所形成的成果。
“人体特征” 要素解决生物识别信息究竟与人体哪些特征相关的问题。要解决该问题,需对现有身体、生物、生理、行为、基因、DNA等相关概念进行辨析,明确其区别与联系。
第一步,厘清 “身体特征” 和 “生理特征” 的关系。 “身体” 一般指各系统器官、组织构成的统一整体,侧重结构性;而 “生理” 指生物机体的生命活动和各个器官的机能,侧重功能性[11]1。但是人体的结构和功能往往密切相关,器官的结构总是同其功能相适应[12]2。现有研究生物识别技术原理的学者实际上混同了 “身体特征” 与 “生理特征” 的内涵。董凤服称生物特征分为 “生理特征” 和 “行为特征”[13]71;邱建华等认为生物特征识别技术主要通过可测量的 “身体” 或 “行为” 等生物特征进行身份认证[14]13。因此, “身体特征” 与 “生理特征” 不能完全等同,应被同时列入抽象概念中。
第二步,厘清 “生物” 特征与其他特征的关系。生物识别技术利用 “生物特征” 进行个人身份识别[13]71,一般认为 “生物特征” 是其他特征的上位概念。另外,相对于仅列举上位概念,一定程度上的分类可使生物识别信息的判断标准更为清晰。因此,不应将 “生物” 特征列入抽象概念中。
第三步,厘清 “基因” 和 “DNA” 之间的关系。学界通常将 “基因识别” 等同于 “DNA识别” ,其识别对象主要为蛋白质编码基因,还包括RNA基因等具有一定生物学功能的因子[15]47。由于基因与自然人的生理特征息息相关,因此可将 “基因” 或 “DNA” 列为生理特征。虽然欧盟GDPR将 “基因数据” 独立于 “生物识别数据” ,但该种分类不适用于我国立法。首先,欧盟GDPR虽意识到基因数据的特殊性,但该种界定方式会产生基因数据是否属于 “生物识别数据” 的争议。实质上,基因信息完全符合生物识别信息的唯一性和不可变更性。我国《基因识别数据安全要求(征求意见稿)》虽是专门规定基因识别数据安全要求的国家标准,但根据编制说明,旨在一定程度上弥补我国在生物特征识别数据的安全规范上的劣势。可见,该标准认为基因信息属于生物特征识别数据。其次,《个人信息保护法》并未将 “基因识别信息” 单独作为一类敏感个人信息,为使其得到有效保护,应在司法解释中将其列为生物识别信息种类之一。
“识别方式” 这一要素解决生物识别信息是否必须单独识别特定自然人身份的问题。商希雪提出唯一识别性是判定生物识别信息的前提条件,认为生物特征信息必须可以单独识别个人身份[6]。曾昌认为只有不需关联其他信息就可直接识别个人才能被称为生物识别信息[5]。但本文认为唯一识别性不应成为对生物识别信息的限制,其原因在于:首先,根据《生物特征识别信息的保护要求(征求意见稿)》,生物特征识别系统并非只有利用单独的生物识别信息直接识别到个人这一种形式,还存在间接识别到个人(如结合指纹的细节点和面部的特征系数)的可能。虽不可否认生物识别信息对于单个自然人的唯一性,但不能忽视两种或以上生物识别技术的中大型应用系统具有更大的市场价值[16]45。在疫情防控中,单一生物识别技术无法同时满足社会公众对于 “戴口罩” “非接触” “筛高温” 的防疫需求,而多模态生物识别可应用在多场景,能够充分发挥不同生物识别技术的优势,或将成为后疫情时代的常态化标配[17]。其次,生物识别技术除具有验证 “1∶1比对” 和识别 “1∶N比对” 两种功能外,还具有 “特征分析” 功能[18]241。以人脸识别为例,这种 “特征分析” 功能体现为从面部图像中推断出个人的性取向、情绪等,但这些从面部图像中推断的特征也有可能与其他数据(如位置数据)结合以识别到特定个人[19]。间接识别到人的生物识别信息一旦被泄露,其危害也不容小觑。因此,不应局限于 “单个” 生物识别信息 “唯一” 识别自然人身份,生物识别信息应可以 “A生物识别信息+B生物识别信息” 和 “生物识别信息+其他可识别信息” 两种识别方式进行身份识别。此外,在承认上述两种间接识别方式的同时,也模糊了生物识别信息与其他可识别信息的界限,应在 “生物识别信息” 的定义中明确其 “唯一性” 和 “不可变更性” ,防止将被结合的其他可识别信息认定为生物识别信息。《深圳经济特区数据条例》的定义中 “独特” 一词就是对 “唯一性” 的表达,而 “不可变更性” 则可借鉴美国参议院法案NBIPA中 “不可变” 的表述。
综上所述,经语序调整,应将 “生物识别信息” 定义为:通过特定技术对自然人不可变的身体、生理或行为等独特生物特征进行处理所得到的,单独、相互结合或与其他可识别信息结合以确认自然人身份的信息。
3.3 我国生物识别信息应纳入的种类
《出境入境管理法》等虽未对 “生物识别信息” 或其类似概念进行界定,但也列举了一些类型。此外,2018年英国信息专员办公室发布的《特殊数据的处理指南》也对身体、生理以及行为类生物识别技术进行了较详细的列举。这些明示或暗含的类型应在 “生物识别信息” 的界定中予以考虑。统计上述种类,共23种(见表1)。
表1 生物识别信息的种类统计
“生物识别信息” 的种类应尽可能明确。对于各国规定频次较高的种类,已成为社会共识,理应予以认可;对于规定频次较低的种类,需结合 “生物识别信息” 的定义和生物识别技术的各类应用场景做进一步判断。本文建议将手部(指纹、指静脉、掌静脉、手型、掌纹)、人脸、虹膜、声纹、视网膜、眼纹、耳廓、基因(DNA)列为身体、生理类特征生物识别信息;将步态、击键习惯、心律、手写签名列为行为类特征生物识别信息。主要理由如下。
(1)身体、生理类特征生物识别信息中,指纹、人脸、虹膜、声纹、视网膜、掌纹、基因(DNA)、手型是规定频次较高的生物识别信息。被列入生物识别信息频率较高的种类一般较为契合公众认可度,且上述生物识别技术也在社会中运用广泛。指静脉、掌静脉、耳廓、眼纹等虽出现频率较低,但此4种类型符合生物识别信息的唯一性和不可变更性,并且已经随着技术发展在生活中得以应用,一旦泄漏或被滥用,都会产生重大风险。此四种类型也应在 “生物识别信息” 界定中进行列明。其一,指静脉、掌静脉等利用体内信息进行识别的第二代生物识别技术已经被广泛运用在门禁考勤中[20]119-120,生物识别信息的种类范围应结合生物识别技术的发展而适时调整。其二,耳廓生物识别技术基于外耳轮廓和特征点信息提取来识别个人,其稳定性甚至要大于人脸[21]8。虽耳廓识别可能会受到头发遮盖的影响,便捷性不高,但不能否认其为生物识别信息本身。其三,眼纹识别技术利用眼白的可见静脉图案进行身份识别,即使容貌变化大,眼纹识别技术也能够基于独一无二的眼纹进行精准识别。蚂蚁金服旗下蚂蚁佐罗(ZOLOZ)研发的眼纹识别技术可对同卵四胞胎进行精准识别,目前这一技术已在普通手机上进行了应用[22]。具有潜在应用价值的眼纹识别技术,也将眼纹这一新型生物识别信息置于被泄露和滥用的风险之中,应将其确定为 “生物识别信息” 的一种。
本文不赞同将肖像、静脉模式、疾病3类列入生物识别信息。其一,肖像虽是用相片、录像、摄影等载体表现出来的某个人外部形象的客观反映,但是一般仅凭肉眼观察即可识别该自然人,无需通过 “特定技术” 来识别特定自然人,与生物识别信息的抽象概念不符;其二,静脉模式类生物识别技术目前主要体现为指静脉、掌静脉和眼纹识别技术,因此没有必要单独将静脉模式列入生理特征类生物识别信息中;其三,疾病与病人之间是多对多的关系,并不符合生物识别信息的唯一性,将其视为医疗健康信息更为合理。
(2)步态和击键习惯是较受各国认可的行为特征类生物识别信息。心律、签名两类识别信息虽未得到较高认可度,但其对应的生物识别技术在各自应用的行业领域发挥着不可小觑的作用。心律识别即根据心脏的跳动频率来进行身份识别的技术,利用心律信息解锁和启动汽车的心脏钥匙技术被广泛用于汽车和智能交通场景[23]。《汽车数据安全管理若干规定(试行)》正是意识到了心律识别信息的利用价值,才将其列为生物识别特征信息。签名同步态、击键习惯具有一定程度的不可变更性。随着电子签章服务的普及,签名识别技术判断各种确认性文件的签署上得以广泛运用,签名识别信息一旦被泄露,该自然人极有可能面临法律风险,考虑到签名信息的敏感性,有必要将其列入生物识别信息。
本文不赞同将语音和含有识别信息的睡眠、健康、训练信息列入行为特征类生物识别信息。其一,语音识别技术侧重于对语音内容的识别与理解,通常与声纹识别技术结合应用提高声纹身份认证系统的安全性能[24]33-34,用于身份认证的实际为声纹识别技术。其二,睡眠、健康、训练信息虽能体现一定程度的规律性,但相对于步态和击键习惯,这种规律性易被打破;且实践中,睡眠、健康、训练信息往往应用于可穿戴设备场景,用于评估穿戴者的整体状态,将其列为医疗健康信息更为适宜。其三,眼球追踪技术的原理是对视线进行追踪和检测或者实现对视线移动方向的预判,通常是与虹膜识别结合应用加强人体活体检测[25]44-45,其灵活性与生物识别信息的稳定性与不可变更性并不相符。
(3)生物识别信息的外延将会随着生物识别技术的发展不断扩展,因此生物识别信息不能局限于上述种类,应留有一定的灵活空间。
3.4 我国生物识别信息宜排除的范围
我国 “生物识别信息” 或其类似概念的界定未涉及排除范围,美国伊利诺伊州BIPA、华盛顿州WBPA、弗吉尼亚州CDPA以及参议院法案COPRA、NBIPA所确认的排除范围主要包含29种类型(见表2)。细究29种类型,除第21、22项外,其余27种类型实则均为未经技术处理的生物识别信息来源。生物识别信息来源虽可用于提取生物识别信息,但不能将其视为生物识别信息本身[26],理由见后。
表2 生物识别信息的排除范围统计
(1)生物识别信息来源不符合生物识别信息的唯一性和不可变更性。生物识别信息来源与自然人并不唯一对应且易变更,如手机里存储的同一自然人不同姿势的照片、不同内容的视频等,同一自然人不同时期的发色、体重等。
(2)生物识别信息的来源,除用于识别特定自然人外,还具有其他特殊价值。比如,血液等生物样本除用于提取生物识别信息外,其价值更多体现为治疗和救助患者。
(3)生物识别信息来源未经 “特定技术处理” ,不能成为 “生物识别信息” 。这也在多部文件中得到印证,欧盟数据保护委员会(EDPB)发布的《关于通过视频设备处理个人数据的指南》称没有经过专门技术处理的个人视频片段不能被视为生物识别数据[27]。英国信息专员办公室发布的《特殊数据的处理指南》中也有 “数字照片只有经过特定技术处理才是生物识别数据” 的类似说辞[28]。当然,根据美国的司法审判经验,样本、图像等生物识别信息来源若经过特定技术处理用于身份识别,则应当认可其为生物识别信息。目前我国司法实践中有混淆生物识别信息本身与生物识别信息来源的现象,如杭州市中级人民法院(浙01行初121号)行政判决书将 “人脸头像三面照” “口腔唾液” 与 “十指指纹” “双手掌纹” 一同认定为生物识别信息。这种认定扩大了生物识别信息的外延,若该案中的被申请人仅是单纯对 “人脸头像三面照” 和 “口腔唾液” 进行了收集、存储,并未通过特定技术从 “人脸头像三面照” 和 “口腔唾液” 中提取生物特征模板以识别原告身份,那么显然不能将其认定为生物识别信息。
第21、22项将 “医疗保健环境中从患者处获取的信息” 和 “为医疗保健治疗、支付或运营而收集、使用或存储的信息” 排除在外。然而《个人信息保护法》第38条已对 “生物识别信息” 与 “医疗健康信息” 进行了区分,故而应通过界定 “生物识别信息” 和 “医疗健康信息” 来明确彼此之间的界限,而不是将列入 “生物识别信息” 的排除范围。若要对医疗保健场景中生物识别信息的利用进行豁免,建议列入生物识别信息保护条文中的例外条款。
综上所述,借鉴美国参议院法案COPRA对排除范围的表述 “不用于识别个人唯一的生物、身体、生理特征” ,使排除目的更为明确。 “生物识别信息” 的排除范围宜规定为:未经特定技术处理用以确认自然人身份的生物识别信息来源。
4 结语
《个人信息保护法》已然实施, “生物识别信息” 界定的缺失将使司法实践面临法律适用的难题。考虑到当前生物识别技术的迅速发展以及生物识别信息泄露、滥用事件的频发,我国应尽快出台《个人信息保护法》的相关配套制度,明确界定 “生物识别信息” ,廓清其内涵和外延,为司法机关提供统一的认定标准。此外, “生物识别信息” 的界定还可为监管机关的执法、权利主体知情-同意权的行使以及图书馆等义务主体的个人信息处理合规提供明确指引。建议出台有关 “敏感个人信息” 的行政法规或司法解释,将 “生物识别信息” 界定为:
通过特定技术对自然人不可变的身体、生理或行为等独特生物特征进行处理所得到的,单独、相互结合或与其他可识别信息结合以确认自然人身份的信息。包括但不限于:(1)身体、生理特征:人脸、手部(指纹、指静脉、掌静脉、手型、掌纹)、虹膜、声纹、视网膜、耳廓、基因(DNA);(2)行为特征:步态、击键习惯、心律、手写签名。不包括:未经特定技术处理以确认自然人身份的生物识别信息来源。
注释
①Washington Final Bill Report,2017 Reg.Sess.H.B.1717.
