域外個(gè)人生物識(shí)別信息保護(hù)模式考察

來(lái)源：人民法院報(bào)

作者：孫戈,張榮釗

2025-01-24 08:37:01

原標(biāo)題：域外個(gè)人生物識(shí)別信息保護(hù)模式考察

來(lái)源：人民法院報(bào)

原標(biāo)題：域外個(gè)人生物識(shí)別信息保護(hù)模式考察

來(lái)源：人民法院報(bào)

個(gè)人生物識(shí)別信息是指通過(guò)生物特征識(shí)別技術(shù)獲取的、能夠單獨(dú)或者與其他信息結(jié)合識(shí)別該自然人身份的個(gè)人生物特征信息及相關(guān)信息，包括但不限于指紋、人臉、虹膜、掌紋、靜脈、聲紋、眼紋、步態(tài)、筆跡等生物特征樣本數(shù)據(jù)與模板。個(gè)人生物識(shí)別信息具有精準(zhǔn)識(shí)別性、不可變更性、易采集性等特點(diǎn)，一旦被不當(dāng)使用，將會(huì)對(duì)信息主體的人身財(cái)產(chǎn)權(quán)利產(chǎn)生不可逆的損害。因此，域外國(guó)家在對(duì)個(gè)人信息建構(gòu)整體保障機(jī)制的同時(shí)，對(duì)個(gè)人生物識(shí)別信息進(jìn)行了重點(diǎn)保護(hù)，主要分為專門(mén)立法保護(hù)、綜合立法保護(hù)、行業(yè)規(guī)范保護(hù)三種模式。

□ 孫戈張榮釗

專門(mén)立法保護(hù)

專門(mén)立法保護(hù)模式通過(guò)制定專門(mén)法律對(duì)個(gè)人生物識(shí)別信息施以保護(hù)，代表國(guó)家是美國(guó)。2020年，美國(guó)《國(guó)家生物識(shí)別信息隱私法》正式出臺(tái)，該法以2008年美國(guó)伊利諾伊州《生物識(shí)別信息隱私法》為參照，標(biāo)志著美國(guó)在聯(lián)邦和州層面均確立了對(duì)個(gè)人生物識(shí)別信息的專門(mén)立法保護(hù)。

該模式的核心特征如下：

第一，保護(hù)進(jìn)路具有差異化。立法基于個(gè)人生物識(shí)別信息使用主體的不同作出了區(qū)分規(guī)定：對(duì)于政府或公共機(jī)構(gòu)，現(xiàn)有法律主要規(guī)定了合目的性的限制條件，即以概括性授權(quán)的方式賦予上述主體基于公共管理的目的使用個(gè)人生物識(shí)別信息的權(quán)限，例如《生物識(shí)別信息隱私法》第29條規(guī)定，國(guó)家機(jī)關(guān)或?yàn)橄嚓P(guān)單位工作的承包商、分包商、代理人不受個(gè)人生物識(shí)別信息使用規(guī)則的限制。對(duì)于個(gè)人或非政府實(shí)體，使用個(gè)人生物識(shí)別信息必須滿足“知情-同意”要件。例如，《國(guó)家生物識(shí)別信息隱私法》明確禁止私人實(shí)體出于商業(yè)目的獲取個(gè)人生物識(shí)別信息，除非事先獲得信息主體的明確授權(quán)同意。

第二，保護(hù)范圍涉及信息的全生命周期。《國(guó)家生物識(shí)別信息隱私法》從數(shù)據(jù)的收集、儲(chǔ)存、使用、保管、披露、傳輸以及銷毀七個(gè)環(huán)節(jié)，對(duì)個(gè)人生物識(shí)別信息的保護(hù)措施作出規(guī)定，建立起對(duì)個(gè)人生物識(shí)別信息的全方位、無(wú)死角、多維度的立體保護(hù)機(jī)制。

第三，救濟(jì)途徑以民事?lián)p害賠償為主，行政和刑事救濟(jì)措施相對(duì)弱化。針對(duì)侵犯?jìng)€(gè)人生物識(shí)別信息的行為，《生物識(shí)別信息隱私法》和《國(guó)家生物識(shí)別信息隱私法》均賦予信息主體獲取民事?lián)p害賠償、申請(qǐng)行政禁令、要求給予刑事罰金的權(quán)利。然而，因證明困難和危害后果不顯著等問(wèn)題，在具體實(shí)踐中，美國(guó)聯(lián)邦和各州對(duì)于個(gè)人生物識(shí)別信息受到侵犯的信息主體主要提供民事救濟(jì)。行政或刑事救濟(jì)難以充分發(fā)揮作用，少有的刑法規(guī)制也多集中于“身份盜竊”領(lǐng)域。

綜合立法保護(hù)

綜合立法保護(hù)模式是指出臺(tái)統(tǒng)一的個(gè)人信息保護(hù)法，在整體規(guī)制的框架下對(duì)個(gè)人生物識(shí)別信息進(jìn)行規(guī)范保護(hù)的模式。該模式的顯著特征在于將不同類型的個(gè)人信息納入統(tǒng)一規(guī)范體系，代表國(guó)家為歐盟各國(guó)、日本和印度。

在綜合立法保護(hù)模式下，各國(guó)對(duì)個(gè)人信息進(jìn)行了較為細(xì)致的區(qū)分，根據(jù)信息敏感性和人身關(guān)聯(lián)性對(duì)個(gè)人信息實(shí)行分級(jí)保護(hù)，其中個(gè)人生物識(shí)別信息的保護(hù)位階較高。例如，歐盟《通用數(shù)據(jù)保護(hù)條例》將個(gè)人生物識(shí)別信息視為個(gè)人敏感數(shù)據(jù)，并給予特別保護(hù)，甚至對(duì)其中部分?jǐn)?shù)據(jù)作出了禁止使用的規(guī)定（如基因數(shù)據(jù)）。日本《個(gè)人信息保護(hù)法》將個(gè)人信息分為一般個(gè)人信息與敏感個(gè)人信息，DNA序列、面部外觀、指紋和掌紋等個(gè)人生物識(shí)別信息屬于敏感個(gè)人信息，使用上述信息會(huì)受到更多限制。印度《個(gè)人數(shù)據(jù)保護(hù)法案》對(duì)數(shù)據(jù)、個(gè)人數(shù)據(jù)與數(shù)字個(gè)人數(shù)據(jù)進(jìn)行了明確區(qū)分，其中數(shù)字個(gè)人數(shù)據(jù)是指以數(shù)字形式收集的或以非數(shù)字形式收集但隨后數(shù)字化的可識(shí)別到個(gè)人或有關(guān)個(gè)人的數(shù)據(jù)，包括指紋、虹膜等在內(nèi)的個(gè)人生物識(shí)別信息均屬此范疇，使用此類數(shù)據(jù)必須滿足合法原則、目的限制原則、數(shù)據(jù)最小化原則、安全原則、存儲(chǔ)限制原則等一系列限制性要求。

相較于專門(mén)立法保護(hù)模式，綜合立法保護(hù)模式下個(gè)人生物識(shí)別信息所適用的救濟(jì)措施更為豐富，該模式不拘泥于單一的民事救濟(jì)手段，而是為信息主體建立起完整的“民-行-刑”救濟(jì)機(jī)制。以歐盟《通用數(shù)據(jù)保護(hù)條例》為例，信息主體不但享有包括被遺忘權(quán)、更正權(quán)、限制處理權(quán)、數(shù)據(jù)轉(zhuǎn)移權(quán)與反對(duì)權(quán)等在內(nèi)的諸多民事權(quán)利，還可以獲得行政救濟(jì)。該條例規(guī)定，信息主體在提出民事訴訟前有權(quán)直接向數(shù)據(jù)監(jiān)管機(jī)構(gòu)提起申訴，而無(wú)須以發(fā)生實(shí)際損害結(jié)果為條件。根據(jù)侵權(quán)主體的不同程度的違法行為，行政管理機(jī)構(gòu)可對(duì)其處以1000萬(wàn)歐元至2%企業(yè)年收入或2000萬(wàn)歐元至4%企業(yè)年收入（取兩者中的較高者）的罰款。日本《個(gè)人信息保護(hù)法》也在民事救濟(jì)之外規(guī)定了行政和刑事救濟(jì)措施，違反該法有關(guān)規(guī)定的數(shù)據(jù)處理者、數(shù)據(jù)接收者可能面臨10萬(wàn)日元以下的罰款；構(gòu)成犯罪的則會(huì)面臨6個(gè)月以下、1年以下或兩年以下有期徒刑，或30萬(wàn)日元以下至1億日元以下的罰金。

行業(yè)規(guī)范保護(hù)

行業(yè)規(guī)范保護(hù)模式是指在缺乏強(qiáng)制性法律法規(guī)的情況下，由行業(yè)協(xié)會(huì)、組織或企業(yè)自身制定和實(shí)施的行為準(zhǔn)則、最佳實(shí)踐指南或標(biāo)準(zhǔn)，來(lái)規(guī)范個(gè)人生物識(shí)別技術(shù)的應(yīng)用、保護(hù)個(gè)人生物識(shí)別信息。一些未能建立個(gè)人信息保護(hù)法律體系的國(guó)家（如贊比亞等），以及雖然出臺(tái)了個(gè)人信息保護(hù)的相關(guān)法律，但缺少個(gè)人生物識(shí)別信息內(nèi)容的國(guó)家（如阿根廷、菲律賓、新加坡等），通常需要參照國(guó)際組織或行業(yè)協(xié)會(huì)的標(biāo)準(zhǔn)文件來(lái)規(guī)范個(gè)人生物識(shí)別信息的使用。目前，國(guó)際標(biāo)準(zhǔn)化組織制定的《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)——生物識(shí)別信息保護(hù)規(guī)范》以及《信息技術(shù)安全技術(shù)隱私框架規(guī)范》是最具代表性的行業(yè)規(guī)范，上述規(guī)范對(duì)個(gè)人生物識(shí)別信息的使用規(guī)制涉及收集、存儲(chǔ)、處理、共享和銷毀等。

行業(yè)規(guī)范保護(hù)模式能夠在強(qiáng)制性規(guī)范缺位的情況下補(bǔ)齊個(gè)人生物識(shí)別信息保護(hù)的短板，具有一定的靈活性、前瞻性。對(duì)于個(gè)人生物識(shí)別信息保護(hù)立法滯后、規(guī)范缺乏的國(guó)家和地區(qū)，行業(yè)規(guī)范能夠迅速回應(yīng)技術(shù)、市場(chǎng)和消費(fèi)者關(guān)于個(gè)人生物識(shí)別信息保護(hù)的需求，更好地應(yīng)對(duì)新技術(shù)帶來(lái)的技術(shù)風(fēng)險(xiǎn)和法律挑戰(zhàn)。例如在阿根廷，隨著數(shù)字支付和電子銀行的興起，傳統(tǒng)密碼存在較大的安全隱患，各大銀行逐漸開(kāi)始運(yùn)用生物識(shí)別技術(shù)等無(wú)密碼認(rèn)證方式保障交易安全和效率。由于該國(guó)缺乏相關(guān)法律規(guī)定，不少銀行和支付平臺(tái)開(kāi)始參照《線上快速身份驗(yàn)證國(guó)際技術(shù)標(biāo)準(zhǔn)》來(lái)規(guī)范相關(guān)技術(shù)的使用。

但行業(yè)規(guī)范保護(hù)模式缺乏強(qiáng)制問(wèn)責(zé)機(jī)制。無(wú)論是專門(mén)立法保護(hù)模式還是綜合立法保護(hù)模式，使用個(gè)人生物識(shí)別信息的主體違反相關(guān)法律規(guī)范都將面臨法律責(zé)任，但行業(yè)規(guī)范缺少國(guó)家強(qiáng)制力作為后盾支撐，當(dāng)信息使用主體違反相關(guān)規(guī)定時(shí)，該模式通常只能通過(guò)公開(kāi)批評(píng)、降低行業(yè)聲譽(yù)或營(yíng)造市場(chǎng)消費(fèi)壓力等方式來(lái)敦促有關(guān)主體承擔(dān)責(zé)任、履行義務(wù)，這種依賴行業(yè)內(nèi)的道德壓力、市場(chǎng)競(jìng)爭(zhēng)力和聲譽(yù)影響來(lái)促使參與者遵守相關(guān)標(biāo)準(zhǔn)的規(guī)制模式，難以實(shí)現(xiàn)剛性監(jiān)督和良好的懲戒效果。尤其是對(duì)于一些處于監(jiān)管盲區(qū)或具有市場(chǎng)支配地位的強(qiáng)勢(shì)企業(yè)，行業(yè)規(guī)范難以起到真正的約束作用。

（本文系山東大學(xué)人文社會(huì)科學(xué)“全面依法治國(guó)戰(zhàn)略實(shí)施中的數(shù)據(jù)運(yùn)用與數(shù)據(jù)治理”創(chuàng)新團(tuán)隊(duì)項(xiàng)目的階段性研究成果）

（作者單位：山東大學(xué)法學(xué)院）

想爆料？請(qǐng)登錄《陽(yáng)光連線》（ https://minsheng.iqilu.com/）、撥打新聞熱線0531-66661234或96678，或登錄齊魯網(wǎng)官方微博（@齊魯網(wǎng)）提供新聞線索。齊魯網(wǎng)廣告熱線0531-81695052，誠(chéng)邀合作伙伴。