以下文章來源于江西社會(huì)科學(xué) ，作者張勇

江西社會(huì)科學(xué).

《江西社會(huì)科學(xué)》是江西省社會(huì)科學(xué)院主管主辦的綜合性學(xué)術(shù)理論月刊，系全國(guó)中文核心期刊、中國(guó)人文社會(huì)科學(xué)核心期刊、CSSCI來源期刊、國(guó)家社科基金資助期刊。學(xué)術(shù)是生命，創(chuàng)新是靈魂，傳承學(xué)術(shù)，創(chuàng)新理論，是《江西社會(huì)科學(xué)》不倦的追求。

張勇

華東政法大學(xué)刑事法學(xué)院教授、博士生導(dǎo)師

隨著人臉識(shí)別等生物識(shí)別技術(shù)的廣泛應(yīng)用，個(gè)人生物識(shí)別信息作為一種特殊的個(gè)人敏感信息，所蘊(yùn)含的個(gè)人信息權(quán)利應(yīng)受到法律保護(hù)。在此基礎(chǔ)上，應(yīng)當(dāng)確立風(fēng)險(xiǎn)預(yù)防及利益平衡原則以保障個(gè)人生物信息安全。在生物信息安全法律領(lǐng)域，我國(guó)現(xiàn)有的私法和公法保護(hù)模式都難以實(shí)現(xiàn)體系化保護(hù)。我國(guó)應(yīng)以網(wǎng)絡(luò)安全法、生物安全法、個(gè)人信息保護(hù)法、數(shù)據(jù)安全法等綜合性立法為契機(jī)，通過相關(guān)行政法與刑法的銜接協(xié)調(diào)，構(gòu)建個(gè)人生物信息安全的法律法規(guī)體系。

個(gè)人生物識(shí)別信息，即自然人可識(shí)別的生理或行為特征，從中提取可識(shí)別、可重復(fù)的生物特征樣本、模板、模型等識(shí)別數(shù)據(jù)或數(shù)據(jù)的聚合。隨著生物、醫(yī)學(xué)與信息技術(shù)的不斷發(fā)展，個(gè)人的面部、指紋、視虹膜、基因（DNA）等生物信息識(shí)別技術(shù)被廣泛應(yīng)用到治安防控、政府治理、醫(yī)療衛(wèi)生、軌道交通等社會(huì)生活領(lǐng)域。生物識(shí)別技術(shù)發(fā)展所帶來的身份驗(yàn)證、人體試驗(yàn)、器官移植、輔助生殖技術(shù)、基因編輯及重組等問題，都可能會(huì)侵犯?jìng)€(gè)人信息數(shù)據(jù)權(quán)利，危及生物信息安全甚至國(guó)家安全。如何防范生物識(shí)別技術(shù)應(yīng)用的安全風(fēng)險(xiǎn)，構(gòu)建個(gè)人生物信息安全的法律法規(guī)體系，成為法學(xué)理論界和司法實(shí)務(wù)界共同關(guān)注的問題。

除了國(guó)家立法機(jī)關(guān)已頒布實(shí)施的《網(wǎng)絡(luò)安全法》《民法典》《生物安全法》之外，《個(gè)人信息保護(hù)法（草案）》《數(shù)據(jù)安全法》已經(jīng)向社會(huì)征求意見。這些重要立法都與個(gè)人生物信息安全保護(hù)密切相關(guān)。2020年12月7日，中共中央印發(fā)《法治社會(huì)建設(shè)實(shí)施綱要（2020—2025年）》，提出要完善網(wǎng)絡(luò)信息服務(wù)方面的法律法規(guī)，完善網(wǎng)絡(luò)安全法配套規(guī)定和標(biāo)準(zhǔn)體系，研究制定個(gè)人信息保護(hù)法等。如何依法規(guī)范個(gè)人生物識(shí)別技術(shù)的研發(fā)和應(yīng)用，確定侵犯?jìng)€(gè)人生物識(shí)別信息權(quán)利的法律責(zé)任，構(gòu)建危害生物信息安全行為的制裁體系，本文將對(duì)此展開討論。

一、人臉識(shí)別：個(gè)人生物信息的安全隱憂

人臉識(shí)別（Face Recognition）又稱面部識(shí)別，作為一種識(shí)別個(gè)人身份信息的新型技術(shù)，其主要特征是非接觸性、主體唯一性和不易復(fù)制性，同時(shí)也具有無(wú)須攜帶、易于采集、成本低廉等特點(diǎn)。信息采集者只要通過設(shè)置普通攝像頭等傳感器，加上面部識(shí)別的軟件和算法的運(yùn)用，無(wú)須接觸自然人個(gè)體便可實(shí)現(xiàn)面部信息的抓取與存儲(chǔ)。在不同的動(dòng)態(tài)場(chǎng)景中，可以自動(dòng)檢測(cè)定位、跟蹤采集、比對(duì)提取、分離存儲(chǔ)個(gè)體的臉部特征信息，通過與數(shù)據(jù)庫(kù)中已登記的面貌進(jìn)行核實(shí)以確認(rèn)自然人身份，或在數(shù)據(jù)庫(kù)中搜索是否存在指定人像的完整流程。目前，從出入境識(shí)別、違法行為曝光到刑事案件中的身份核查，從直銷銀行的人臉識(shí)別客戶身份驗(yàn)證、3D人臉識(shí)別解鎖智能手機(jī)到移動(dòng)端刷臉支付，人臉識(shí)別的應(yīng)用范圍越來越廣。手機(jī)廠商推出的新一代手機(jī)中，刷臉解鎖已經(jīng)替代了指紋解鎖，許多支付系統(tǒng)也紛紛采用人臉識(shí)別技術(shù)。運(yùn)用海量數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)技術(shù)的人臉識(shí)別系統(tǒng)已成為人工智能、區(qū)塊鏈商業(yè)應(yīng)用的新領(lǐng)域。我國(guó)工業(yè)與信息化部于2019年9月27日發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》指出，國(guó)家支持構(gòu)建基于人臉識(shí)別等識(shí)別技術(shù)的網(wǎng)絡(luò)身份認(rèn)證體系。

應(yīng)當(dāng)看到，個(gè)人生物識(shí)別信息需要結(jié)合信息網(wǎng)絡(luò)技術(shù)才能形成，由此改變了個(gè)人生物信息的不可復(fù)制和不可變更的基本屬性。人臉識(shí)別的非接觸性特征也更容易產(chǎn)生個(gè)人信息侵權(quán)問題。人臉可以被模仿，“變臉”和“換臉”不存在什么技術(shù)困難。相對(duì)于其他個(gè)人信息，人臉識(shí)別應(yīng)用的數(shù)據(jù)存儲(chǔ)、傳輸流程存在嚴(yán)重的隱私侵權(quán)和安全受損風(fēng)險(xiǎn)；而一旦人臉識(shí)別信息被泄露或冒用，就可能會(huì)對(duì)信息主體造成永久性傷害和難以彌補(bǔ)的損失。2018年4月，美國(guó)Facebook公司因其開發(fā)使用的“面部印記”功能遭到消費(fèi)者團(tuán)體起訴，起訴書指控Facebook在未經(jīng)同意的情況下定期進(jìn)行照片掃描和生物特征匹配。同時(shí)，F(xiàn)acebook還提供訪問接口，允許微軟、亞馬遜和Apple等合作機(jī)構(gòu)讀取、發(fā)送和刪除用戶個(gè)人信息。又如，當(dāng)下新冠肺炎疫情肆虐全球，很多人居家隔離或工作，對(duì)Zoom和其他數(shù)字通信工具的需求劇增。但據(jù)媒體報(bào)道，美國(guó)公司SpaceX和NASA已禁止員工使用Zoom的視頻會(huì)議應(yīng)用程序，因其存在“嚴(yán)重的隱私和安全問題”。

在我國(guó)，個(gè)人生物識(shí)別信息數(shù)據(jù)被盜或過度濫用的問題層出不窮，引人關(guān)注的“刷屏”級(jí)換臉APP“ZAO”經(jīng)歷了從爆紅到爆黑的“曇花一現(xiàn)”。這一應(yīng)用項(xiàng)目所采用的格式化用戶協(xié)議存在過度攫取用戶授權(quán)和單方強(qiáng)加用戶義務(wù)的嫌疑，從而引起社會(huì)公眾的普遍擔(dān)憂。又如，在設(shè)置了人臉識(shí)別攝像頭的商場(chǎng)、車站等公共場(chǎng)所，消費(fèi)者甚至不知道自己會(huì)被拍攝。公民個(gè)人的相關(guān)隱私權(quán)益無(wú)法得到有效保障。以人臉識(shí)別廁紙機(jī)為例，用戶進(jìn)入攝像頭范圍后就被“刷臉”，僅僅是為了防止其多用廁紙，至于人臉數(shù)據(jù)怎樣被存儲(chǔ)、是否能被刪除、是否被用于其他用途等問題，該機(jī)器并沒有進(jìn)行任何說明，明顯存在過度收集個(gè)人生物識(shí)別信息的問題。從司法實(shí)踐來看，國(guó)內(nèi)涉及人臉識(shí)別侵權(quán)訴訟或刑事犯罪的案件也屢屢發(fā)生。例如，2019年10月，浙江理工大學(xué)副教授郭兵因不同意杭州野生動(dòng)物世界使用人臉識(shí)別對(duì)其進(jìn)行用戶認(rèn)證而提起侵權(quán)訴訟，被稱為“人臉識(shí)別第一案”；2020年11月20日法院判決野生動(dòng)物世界賠償郭兵合同利益損失及交通費(fèi)一千余元，刪除原告辦理指紋年卡時(shí)提交的包括照片在內(nèi)的面部特征信息。又如，張某、余某等侵犯公民個(gè)人信息案，被告人張某等購(gòu)買2000萬(wàn)條公民身份信息，使用軟件將他人頭像照片制作成3D頭像，用以支付寶人臉識(shí)別認(rèn)證、注冊(cè)支付寶賬號(hào)從而獲取紅包獎(jiǎng)勵(lì)，共獲利4萬(wàn)元。近年來，我國(guó)相關(guān)部門和機(jī)構(gòu)頒布實(shí)施了諸多個(gè)人信息保護(hù)的國(guó)家行業(yè)標(biāo)準(zhǔn)，對(duì)于個(gè)人生物識(shí)別信息的收集和使用提出了具體合規(guī)標(biāo)準(zhǔn)。2019年6月25日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)公布《信息技術(shù) 安全技術(shù) 生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》（以下簡(jiǎn)稱《生物識(shí)別信息保護(hù)要求（征求意見稿）》）；2020年3月6日出臺(tái)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《個(gè)人信息安全規(guī)范》），在2017年該規(guī)范文件舊版本的基礎(chǔ)上，細(xì)化與完善了個(gè)人生物識(shí)別信息在收集、存儲(chǔ)和共享三個(gè)方面的保護(hù)要求，對(duì)于人臉識(shí)別技術(shù)的合規(guī)使用具有重要的指引作用。2020年11月27日，工信部組織發(fā)布了《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 人臉信息》團(tuán)體標(biāo)準(zhǔn)（以下簡(jiǎn)稱《APP人臉信息規(guī)范》），明確了APP收集使用個(gè)人信息的“最小必要”原則，并對(duì)收集、存儲(chǔ)、使用、刪除人臉信息的行為進(jìn)行了具體規(guī)范。須指出，作為國(guó)家行業(yè)標(biāo)準(zhǔn)的《個(gè)人信息安全規(guī)范》不是強(qiáng)制性法律標(biāo)準(zhǔn)，而是推薦性行業(yè)標(biāo)準(zhǔn)，因而對(duì)個(gè)人信息保護(hù)的要求也更加嚴(yán)格。總的來看，我國(guó)有關(guān)個(gè)人信息安全的法律法規(guī)和行業(yè)規(guī)范多頭迭出，但能夠起到提綱挈領(lǐng)和體系協(xié)調(diào)作用的“個(gè)人信息保護(hù)法”尚未出臺(tái)。相對(duì)于網(wǎng)絡(luò)信息安全保障，在公民個(gè)人信息權(quán)益保護(hù)方面的立法顯得尤為不足。上述行業(yè)規(guī)范能否作為認(rèn)定侵犯公民個(gè)人信息犯罪的前置性規(guī)范，也是值得探討的問題。

二、個(gè)人生物信息安全法益的法律保護(hù)

隨著計(jì)算機(jī)科學(xué)與基因組技術(shù)的融合，個(gè)人生物識(shí)別信息從傳統(tǒng)的“基因信息”和“遺傳資源信息”脫離出來，已具有人體生物特征的計(jì)算機(jī)數(shù)據(jù)庫(kù)、數(shù)據(jù)處理、基因序列信息、生物系統(tǒng)的計(jì)算機(jī)分析與軟件設(shè)計(jì)等內(nèi)涵。個(gè)人信息保護(hù)原則是個(gè)人生物識(shí)別信息利用的最起碼規(guī)則，而對(duì)個(gè)人生物識(shí)別信息的權(quán)利屬性和法益內(nèi)容進(jìn)行界定，是對(duì)其實(shí)施法律保護(hù)的邏輯前提。面對(duì)個(gè)人生物識(shí)別技術(shù)風(fēng)險(xiǎn)增大、違法犯罪趨于嚴(yán)重的態(tài)勢(shì)，我國(guó)立法與司法應(yīng)當(dāng)在保護(hù)個(gè)人生物識(shí)別信息權(quán)利的基礎(chǔ)上，以風(fēng)險(xiǎn)預(yù)防及利益平衡理念和原則為引導(dǎo)，對(duì)個(gè)人生物信息安全法益實(shí)行多層次、等級(jí)化和體系化的法律保護(hù)。

個(gè)人生物識(shí)別信息的權(quán)利屬性

《APP人臉信息規(guī)范》第3.1條規(guī)定，“人臉識(shí)別”即基于個(gè)體的人臉特征，對(duì)個(gè)體進(jìn)行識(shí)別的過程；第3.3條規(guī)定，“人臉信息”即對(duì)自然人的人臉特征進(jìn)行技術(shù)處理得到的、能夠單獨(dú)或者與其他信息結(jié)合識(shí)別該自然人身份的個(gè)人信息。《生物識(shí)別信息保護(hù)要求（征求意見稿）》第3.1.3條規(guī)定，個(gè)人生物識(shí)別信息基本特征在于，可檢測(cè)到的個(gè)體生理或行為特征，可以從其中提取可識(shí)別的、可重復(fù)的生物特征。第3.1.9條規(guī)定，生物特征識(shí)別屬性即由生物測(cè)定樣本估計(jì)或?qū)С龅纳锾卣鲾?shù)據(jù)對(duì)象的描述性屬性。同時(shí)，第4.1條規(guī)定，個(gè)體生理特征包括但不限于指紋、人臉、虹膜、聲紋、手型、指靜脈/掌靜脈、視網(wǎng)膜、DNA、掌紋等，個(gè)體行為特征則包括步態(tài)、簽名、語(yǔ)音等。個(gè)人生物特征識(shí)別系統(tǒng)包括數(shù)據(jù)采集、存儲(chǔ)、注冊(cè)、辨識(shí)、驗(yàn)證五個(gè)子系統(tǒng)，通常將個(gè)人生物特征識(shí)別的關(guān)聯(lián)信息與其他個(gè)人信息綁定在一起，以保證包含生物識(shí)別信息記錄在內(nèi)的信息安全性。因此，所謂“生物識(shí)別”并非僅是對(duì)自然人生理特征的識(shí)別，而且將生物識(shí)別信息與個(gè)人身份、金融、行為、位置、偏好等信息對(duì)接，使得個(gè)人生物識(shí)別信息的法律屬性具有更強(qiáng)的多元化、復(fù)雜化的特點(diǎn)。

從國(guó)外立法來看，歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）、英國(guó)《數(shù)據(jù)保護(hù)法案》、日本《個(gè)人信息保護(hù)法》等法律法規(guī)都對(duì)“生物識(shí)別數(shù)據(jù)”做出專門規(guī)定。我國(guó)《網(wǎng)絡(luò)安全法》規(guī)定，個(gè)人生物識(shí)別信息屬于“直接可識(shí)別”到個(gè)人身份的隱私敏感信息，其必須經(jīng)過計(jì)算機(jī)的相關(guān)生物識(shí)別程序的識(shí)別才能生成相關(guān)信息數(shù)據(jù)。《個(gè)人信息安全規(guī)范》第3.2條規(guī)定，個(gè)人生物識(shí)別信息屬于個(gè)人敏感信息，在收集信息授權(quán)同意、隱私政策制定、傳輸與存儲(chǔ)、訪問控制措施、目的限制、共享與轉(zhuǎn)讓、公開披露、應(yīng)急處置和報(bào)告、數(shù)據(jù)控制者的義務(wù)與責(zé)任等方面，須以個(gè)人敏感信息的嚴(yán)格標(biāo)準(zhǔn)加以保護(hù)。根據(jù)《生物識(shí)別信息保護(hù)要求（征求意見稿）》第3.1.7條的規(guī)定，個(gè)人生物識(shí)別信息所涉及的權(quán)利包括其在整個(gè)生命周期的收集、轉(zhuǎn)移、使用、存儲(chǔ)、歸檔、處置和更新的權(quán)利。從權(quán)利內(nèi)容來看，個(gè)人生物識(shí)別信息權(quán)利包括知情權(quán)、同意權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)、利用權(quán)和公開權(quán)等權(quán)利。

我們將個(gè)人生物識(shí)別信息進(jìn)一步分為可識(shí)別個(gè)體生物特征的個(gè)人隱私信息、一般個(gè)人信息和個(gè)人數(shù)據(jù)三種，其權(quán)利屬性也有所差別。首先，一般個(gè)人信息具有人格權(quán)屬性，可謂“信息主體人格的外在標(biāo)志”。但個(gè)人信息所蘊(yùn)含的權(quán)利并不限于隱私權(quán)，后者則是其最重要、最核心的內(nèi)容。個(gè)人信息權(quán)的法律保護(hù)屬于弱保護(hù)，而隱私權(quán)的法律保護(hù)則屬于強(qiáng)保護(hù)，大多數(shù)一般個(gè)人信息不需要權(quán)利主體明示同意也可收集，但對(duì)于個(gè)人私密敏感信息不能僅僅通過知情同意權(quán)加以保護(hù)，對(duì)于個(gè)人生物識(shí)別信息應(yīng)優(yōu)先適用更為積極的隱私權(quán)保護(hù)。其次，個(gè)人隱私信息屬于人格利益但不包含財(cái)產(chǎn)屬性，不具有任何財(cái)產(chǎn)屬性的交易價(jià)值，不可利用且受法律絕對(duì)保護(hù)?！叭说淖杂膳c尊嚴(yán)價(jià)值不可動(dòng)搖，互聯(lián)網(wǎng)絡(luò)時(shí)代亦如是。”再次，一般個(gè)人信息亦屬于人格利益但可包含財(cái)產(chǎn)屬性，這種人格利益基于信息主體的同意，轉(zhuǎn)化為具體財(cái)產(chǎn)利益后，可以進(jìn)行交易。不少數(shù)據(jù)企業(yè)采用“去識(shí)別化”或匿名化技術(shù)手段，對(duì)個(gè)人信息進(jìn)行“脫敏”或“漂白”，使其成為普通的數(shù)據(jù)。同樣，個(gè)人生物識(shí)別信息經(jīng)過去識(shí)別化技術(shù)處理之后，僅具有個(gè)人信息數(shù)據(jù)的財(cái)產(chǎn)屬性，可以自由使用、轉(zhuǎn)讓，而為其他數(shù)據(jù)主體所利用。然而，隨著再識(shí)別技術(shù)的發(fā)展，“匿名化”已變成一個(gè)相對(duì)的概念，完全不能復(fù)原的匿名化個(gè)人信息是比較少見的。不過，通過去識(shí)別化信息技術(shù)，結(jié)合再識(shí)別的風(fēng)險(xiǎn)管理，“去識(shí)別化”仍然是數(shù)據(jù)企業(yè)合規(guī)收集、使用個(gè)人生物識(shí)別信息的有效途徑。

個(gè)人生物識(shí)別信息的安全法益

個(gè)人生物識(shí)別信息屬于自然人固有的生理特征或行為特征，生物識(shí)別身份驗(yàn)證技術(shù)本身具有客觀性、中立性，一般不具有違法性和可罰性；但正因?yàn)槿绱?，反而更容易被不法分子利用法律漏洞進(jìn)行不當(dāng)收集或?yàn)E用。概括起來，生物識(shí)別技術(shù)帶來的個(gè)人信息安全風(fēng)險(xiǎn)包括以下情形：未經(jīng)授權(quán)的或不必要的收集；未經(jīng)授權(quán)之使用或披露；不當(dāng)比對(duì)；錯(cuò)誤匹配；不當(dāng)儲(chǔ)存或不當(dāng)傳輸；功能蠕變（creep function）等。在大數(shù)據(jù)背景下，個(gè)人生物信息安全越來越依賴技術(shù)保障，然而目前個(gè)人生物特征識(shí)別技術(shù)尚不夠成熟，存在一定的技術(shù)缺陷和管理風(fēng)險(xiǎn)。同時(shí)，隨著國(guó)際上生物資源數(shù)字序列信息的提取、跨境轉(zhuǎn)移和利用，許多國(guó)家面臨著所謂“生物數(shù)字盜版”的生物信息跨國(guó)傳輸問題。一些發(fā)達(dá)國(guó)家通過多種途徑集聚各類生物信息，進(jìn)行生物信息資源的控制與爭(zhēng)奪，而輸出國(guó)遺傳信息資源流失的風(fēng)險(xiǎn)不斷增大，已經(jīng)上升到公共安全和國(guó)家安全層面，人類遺傳基因的生物信息資源已成為國(guó)際戰(zhàn)略博弈的新領(lǐng)域。面對(duì)國(guó)際上愈加激烈的遺傳基因資源控制與爭(zhēng)奪態(tài)勢(shì)，我國(guó)必須運(yùn)用法律強(qiáng)制手段保障生物信息安全，防止生物信息資源流失。

從個(gè)人生物信息安全的法益屬性來看，生物識(shí)別技術(shù)雖然以自然人為對(duì)象，但其涉及的社會(huì)利益關(guān)系不限于公民個(gè)體，而是包括與個(gè)人生物識(shí)別活動(dòng)相關(guān)的技術(shù)服務(wù)者、經(jīng)營(yíng)者、使用者和管理者。即使是從公民個(gè)人權(quán)利角度，個(gè)人生物信息事關(guān)個(gè)人身份、隱私、人身、財(cái)產(chǎn)等各方面的利益與安全，已經(jīng)不能僅僅用傳統(tǒng)民法上的某種單一權(quán)利加以限定。個(gè)人生物識(shí)別信息所蘊(yùn)含的保護(hù)法益內(nèi)容逐漸呈現(xiàn)出復(fù)合性、多元化特征，從個(gè)體的人格權(quán)擴(kuò)展至公共利益、社會(huì)秩序和國(guó)家安全。對(duì)此，有學(xué)者提倡法律應(yīng)著力保護(hù)“數(shù)據(jù)安全法益”，即數(shù)據(jù)的保密性、完整性和可用性的保護(hù)，維護(hù)數(shù)據(jù)在社會(huì)往來中的安全性和可信賴性。《數(shù)據(jù)安全法》第3條規(guī)定：“數(shù)據(jù)安全，是指通過采取必要措施，保障數(shù)據(jù)得到有效保護(hù)和合法利用，并持續(xù)處于安全狀態(tài)的能力?！蔽覈?guó)現(xiàn)行的《網(wǎng)絡(luò)安全法》中有關(guān)個(gè)人信息保護(hù)的內(nèi)容，也是著重從保障信息網(wǎng)絡(luò)安全的角度做出的規(guī)定，該法對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出的義務(wù)要求，就不僅僅是從個(gè)人信息權(quán)利保護(hù)的角度考慮的，而《網(wǎng)絡(luò)安全法》作為《刑法》中侵犯公民個(gè)人信息罪等相關(guān)罪名的前置性法律規(guī)范，其法益保護(hù)價(jià)值取向也必然反映在這些罪名的構(gòu)成要件要素當(dāng)中。

三、個(gè)人生物信息安全風(fēng)險(xiǎn)預(yù)防及利益平衡

個(gè)人生物識(shí)別信息的權(quán)利保護(hù)和價(jià)值利用是一枚硬幣的兩面，自由與安全的價(jià)值取向既是對(duì)立的，又統(tǒng)一于個(gè)人生物識(shí)別信息權(quán)利保護(hù)和價(jià)值利用的關(guān)系當(dāng)中，兩者缺一不可。在風(fēng)險(xiǎn)社會(huì)背景下，需要確立風(fēng)險(xiǎn)預(yù)防的理念，并以利益平衡原則為補(bǔ)充，作為構(gòu)建個(gè)人生物信息安全保護(hù)法律體系的觀念基礎(chǔ)。

個(gè)人生物信息安全的風(fēng)險(xiǎn)預(yù)防法律原則

作為一種法律理念，“風(fēng)險(xiǎn)預(yù)防”較早地出現(xiàn)在生態(tài)環(huán)境保護(hù)領(lǐng)域。當(dāng)生態(tài)環(huán)境遇到嚴(yán)重的或不可逆轉(zhuǎn)的損害或威脅時(shí)，即使不能在科學(xué)上找到明確證據(jù)證明某種行為必將產(chǎn)生實(shí)際危害，也應(yīng)當(dāng)采取法律防范措施以避免該行為的發(fā)生?！帮L(fēng)險(xiǎn)預(yù)防”是相對(duì)于“損害預(yù)防”而言的，前者針對(duì)的“危害”具有不確定性、未然性，而后者的“損害”是指已現(xiàn)實(shí)存在或已產(chǎn)生客觀損害結(jié)果，“不確定性”是風(fēng)險(xiǎn)預(yù)防的核心概念。將風(fēng)險(xiǎn)預(yù)防原則確立為生物安全立法的基本原則，是由生物技術(shù)發(fā)展所帶來的高風(fēng)險(xiǎn)性和嚴(yán)重危害性所決定的。就像SARS、新冠病毒性肺炎疫情一樣，一旦生物安全潛在風(fēng)險(xiǎn)轉(zhuǎn)化為現(xiàn)實(shí)損害，與生態(tài)環(huán)境災(zāi)難一樣無(wú)法逆轉(zhuǎn)且危害嚴(yán)重。生物安全風(fēng)險(xiǎn)的不確定性、突發(fā)性及不可預(yù)測(cè)性要求相關(guān)法律法規(guī)要采取具有相對(duì)靈活性、開放性的立法模式，在預(yù)防和控制風(fēng)險(xiǎn)時(shí)留有法律操作的空間。確立生物安全保護(hù)的風(fēng)險(xiǎn)預(yù)防原則，用以指導(dǎo)生物安全立法和司法實(shí)踐，是十分必要的，這也符合人類命運(yùn)共同體的價(jià)值理念。

《生物識(shí)別信息保護(hù)要求（征求意見稿）》第5.1條針對(duì)“生物特征識(shí)別系統(tǒng)信息安全保護(hù)要求”提出了以下原則：其一，保密性原則。在生物特征數(shù)據(jù)的存儲(chǔ)和傳輸過程中，生物特征識(shí)別系統(tǒng)各部件之間的通信通道可能會(huì)被竊聽、讀取、插入或修改，而用戶并不知道已建立的鏈接遭受了攻擊。對(duì)此，應(yīng)當(dāng)使用SM2或SM4加密算法對(duì)信息數(shù)據(jù)進(jìn)行保密處理，未經(jīng)信息主體授權(quán)不得訪問或披露；可以通過將生物特征參考存儲(chǔ)在個(gè)人令牌或卡上進(jìn)行數(shù)據(jù)分離，或使用僅身份管理系統(tǒng)的操作人員或數(shù)據(jù)主體可知的密鑰對(duì)生物特征參考進(jìn)行加密。其二，完整性原則。生物特征識(shí)別系統(tǒng)應(yīng)通過訪問控制來實(shí)現(xiàn)數(shù)據(jù)的完整性保護(hù)，防止未經(jīng)授權(quán)訪問生物特征數(shù)據(jù)，或通過使用加密技術(shù)進(jìn)行完整性檢查。其三，可更新性與可撤銷性原則。根據(jù)該《生物識(shí)別信息保護(hù)要求（征求意見稿）》第3.1.10條規(guī)定，如果攻擊者非法獲取、泄露或未經(jīng)授權(quán)訪問生物特征參考樣本、模板或模型，如護(hù)照上的面部圖像、居民身份證上的指紋細(xì)節(jié)模板、數(shù)據(jù)庫(kù)中用于識(shí)別說話人的高斯混合模型，就需要撤銷和更新受侵害者的參考樣本，并將合法的數(shù)據(jù)主體與新的生物特征參考樣本聯(lián)系起來。

在個(gè)人生物信息安全領(lǐng)域，生物識(shí)別技術(shù)的研發(fā)者、服務(wù)者、經(jīng)營(yíng)者和利用者違法違規(guī)收集和使用個(gè)人生物識(shí)別信息的行為，主要涉及侵犯公民個(gè)人信息罪及其他關(guān)聯(lián)罪名。究竟是將法益性質(zhì)界定為個(gè)人法益、公共法益還是國(guó)家法益，將直接決定或影響著刑法中相關(guān)罪名的認(rèn)定和處刑輕重。同時(shí)，對(duì)刑法中相關(guān)罪名的構(gòu)成要件設(shè)置和司法認(rèn)定，也需要依托前置性行政法律規(guī)范及行業(yè)標(biāo)準(zhǔn)，針對(duì)不同安全等級(jí)的個(gè)人生物信息識(shí)別行為，設(shè)定生物信息安全法益保護(hù)的命令性義務(wù)、禁止性規(guī)范及刑事責(zé)任，設(shè)置刑事風(fēng)險(xiǎn)防范的法律底線，側(cè)重體現(xiàn)對(duì)于生物信息安全保護(hù)的特殊要求。例如，個(gè)人生物識(shí)別信息的收集者、使用者在向信息主體征求授權(quán)同意時(shí)，應(yīng)向其明確告知收集目的、處理方式、使用范圍、再度披露規(guī)則等，并且在后續(xù)的二次使用中，仍需再次征求用戶的明確授權(quán)。用戶可以隨時(shí)行使更正、刪除和注銷生物特征識(shí)別信息的權(quán)利，不需要任何前置條件即可當(dāng)場(chǎng)實(shí)現(xiàn)與即時(shí)生效。對(duì)于這些較為嚴(yán)格的生物信息安全保護(hù)的義務(wù)要求，司法機(jī)關(guān)在認(rèn)定侵犯公民個(gè)人信息罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的時(shí)候，就可以作為認(rèn)定前置性法律規(guī)范、進(jìn)行刑事違法性判斷的參考依據(jù)，這樣才能夠盡可能地防范生物信息安全風(fēng)險(xiǎn)，從根本上避免阻礙生物信息識(shí)別技術(shù)的創(chuàng)新發(fā)展。

個(gè)人生物信息安全保護(hù)的利益平衡

在風(fēng)險(xiǎn)社會(huì)背景下，保障公共安全與保護(hù)個(gè)人隱私之間不是非此即彼的利益衡量問題，而是如何共生共存的利益協(xié)調(diào)問題。其實(shí)，公共安全與個(gè)人隱私之間并不存在實(shí)質(zhì)沖突，個(gè)人隱私保護(hù)沒有必要讓步于公共安全保障，公共安全保障也不能以犧牲個(gè)人隱私為代價(jià)。有學(xué)者指出，在應(yīng)用與開發(fā)個(gè)人信息數(shù)據(jù)過程中不僅應(yīng)追求個(gè)體利益最大化，還要保證社會(huì)利益的最大化，為追求個(gè)體利益而犧牲社會(huì)利益的做法是無(wú)法持續(xù)發(fā)展的，這就需要在社會(huì)利益和個(gè)體利益之間創(chuàng)建一種利益平衡機(jī)制。確定個(gè)人信息數(shù)據(jù)的權(quán)利歸屬、實(shí)行權(quán)利與義務(wù)相匹配是實(shí)現(xiàn)個(gè)體利益與社會(huì)利益之間協(xié)調(diào)的前提基礎(chǔ)。

對(duì)于個(gè)人生物識(shí)別信息來說，法律同樣面臨著如何在保護(hù)和利用、自由與安全之間進(jìn)行利益平衡和價(jià)值選擇的問題。比較來說，在個(gè)人生物識(shí)別信息的商業(yè)使用方面，大多數(shù)歐美國(guó)家持謹(jǐn)慎態(tài)度。歐盟保護(hù)人臉識(shí)別數(shù)據(jù)的核心法律是《通用數(shù)據(jù)保護(hù)法規(guī)》（GDPR）。根據(jù)GDPR的規(guī)定人臉識(shí)別技術(shù)的商業(yè)應(yīng)用可適用的例外情形是數(shù)據(jù)主體已明確表示同意，“同意”的方式須“自由給予、明確、具體、不含混”，數(shù)據(jù)主體任何形式的被動(dòng)同意均不符合規(guī)定。比較而言，我國(guó)對(duì)于個(gè)人生物識(shí)別技術(shù)的開發(fā)和應(yīng)用持較為積極的態(tài)度。然而，從利益平衡角度，應(yīng)當(dāng)分類分層地明確個(gè)人生物信息權(quán)利主體、生物識(shí)別技術(shù)的研發(fā)者、個(gè)人生物信息的收集者和使用者、生物信息安全的管理者等各方利益主體的權(quán)責(zé)關(guān)系，避免個(gè)人生物識(shí)別信息數(shù)據(jù)濫用。對(duì)于人臉識(shí)別來說，其商業(yè)性應(yīng)用與公共性應(yīng)用應(yīng)該有所區(qū)別，公共利益目的是隱私個(gè)體權(quán)利的抗辯事由之一，在一定情況下可以超越個(gè)體隱私權(quán)利以維護(hù)社會(huì)整體效率與安全，但人臉識(shí)別的商業(yè)應(yīng)用則必須以個(gè)體隱私權(quán)利保護(hù)為前提。對(duì)于人臉識(shí)別信息來說，一般情況下不允許搜集者以“共享”或“開放平臺(tái)”等方式進(jìn)行利用，更不得未經(jīng)用戶事先授權(quán)和再次授權(quán)就進(jìn)行轉(zhuǎn)讓使用。人臉識(shí)別技術(shù)應(yīng)用同樣涉及多個(gè)主體之間的合意以及權(quán)責(zé)分配等問題，需要受到公平正義價(jià)值的評(píng)價(jià)與約束。個(gè)人生物識(shí)別信息的收集者、利用者和數(shù)據(jù)系統(tǒng)的管理者，也是借助個(gè)人生物信息安全風(fēng)險(xiǎn)的獲利群體，應(yīng)當(dāng)作為風(fēng)險(xiǎn)義務(wù)和責(zé)任的主要承擔(dān)者，法律應(yīng)當(dāng)對(duì)個(gè)人信息權(quán)利主體予以適當(dāng)?shù)膬A斜保護(hù)，從實(shí)質(zhì)上實(shí)現(xiàn)公正和利益平衡。

值得關(guān)注的是，區(qū)塊鏈技術(shù)逐漸應(yīng)用于生物信息商業(yè)領(lǐng)域，實(shí)現(xiàn)與生物識(shí)別技術(shù)的融合。如科創(chuàng)公司Nebula Genomics公司推出基于區(qū)塊鏈技術(shù)的匿名DNA測(cè)序隱私功能，用戶可以用加密貨幣購(gòu)買全基因組測(cè)序并提交其樣本，并允許用戶自行處理測(cè)序信息。有學(xué)者指出，區(qū)塊鏈的核心價(jià)值在于“私密性、準(zhǔn)確性和可驗(yàn)證性”，與個(gè)人生物信息識(shí)別技術(shù)屬性具有內(nèi)在共通性。因此，生物識(shí)別技術(shù)也被應(yīng)用于區(qū)塊鏈產(chǎn)品，以提高對(duì)用戶的數(shù)字貨幣、私鑰以及身份信息存儲(chǔ)的安全性。如，HYPR公司與比特幣交易安全平臺(tái)BitGo聯(lián)合開發(fā)生物認(rèn)證與區(qū)塊鏈融合的新技術(shù)，客戶通過HYPR的生物識(shí)別進(jìn)行安全登陸，加上BitGo的多重簽名技術(shù)，實(shí)現(xiàn)用戶信息安全的雙重保障。不少國(guó)家政府機(jī)構(gòu)開展了區(qū)塊鏈身份驗(yàn)證項(xiàng)目，采用基于生物識(shí)別技術(shù)的認(rèn)證機(jī)制，建立自主身份管理系統(tǒng)。須指出，區(qū)塊鏈“去中心化”的特點(diǎn)天然排斥監(jiān)管，但是如果缺乏必要的法律規(guī)范和政府監(jiān)管，也會(huì)增加市場(chǎng)交易的風(fēng)險(xiǎn)。在區(qū)塊鏈產(chǎn)業(yè)化過程中，往往通過加密算法對(duì)賬本的數(shù)據(jù)進(jìn)行“哈?；碧幚?，將包含在交易記錄中的個(gè)人信息以哈希值的形式體現(xiàn)，從而在區(qū)塊鏈背景下實(shí)現(xiàn)了個(gè)人信息的匿名化，使其成為不具有可識(shí)別性的數(shù)據(jù)。哈希函數(shù)具有單向和不可逆的特點(diǎn)，但哈希化技術(shù)含量和程度仍然存在逆轉(zhuǎn)風(fēng)險(xiǎn)，并非不可破解，區(qū)塊鏈業(yè)者面臨著違規(guī)陷阱甚至刑事風(fēng)險(xiǎn)。為了避免給區(qū)塊鏈產(chǎn)業(yè)發(fā)展帶來不必要的障礙和困難，如果區(qū)塊鏈業(yè)者在將個(gè)人信息記錄到區(qū)塊鏈上時(shí)運(yùn)用匿名化技術(shù)手段，并切實(shí)履行了保護(hù)個(gè)人信息安全的合理義務(wù)，盡最大努力采取技術(shù)措施確保哈希化信息的匿名化，則該哈希化信息就不再屬于法律意義上的個(gè)人信息。這樣既保護(hù)了區(qū)塊鏈背景下的個(gè)人信息安全，又避免給區(qū)塊鏈產(chǎn)業(yè)帶來過高的發(fā)展門檻和應(yīng)用成本。對(duì)個(gè)人生物信息來說，這同樣能夠在個(gè)人生物信息權(quán)利保護(hù)和價(jià)值利用、生物信息安全風(fēng)險(xiǎn)防范和區(qū)塊鏈產(chǎn)業(yè)發(fā)展之間取得利益平衡，值得肯定。

四、個(gè)人生物信息安全保護(hù)的立法模式

在生物安全領(lǐng)域，個(gè)人生物信息安全的法律保護(hù)一直受到國(guó)際社會(huì)的關(guān)注和重視，相關(guān)的專門性國(guó)際條約及行業(yè)標(biāo)準(zhǔn)主要是《生物多樣性公約》《生物多樣性公約卡塔赫納生物安全議定書》《信息技術(shù)—安全技術(shù)—生物測(cè)定信息保護(hù)標(biāo)準(zhǔn)》等，其中也包含著人類基因信息保護(hù)和利用的規(guī)制內(nèi)容。在個(gè)人生物信息安全保護(hù)方面，美國(guó)和歐盟等發(fā)達(dá)國(guó)家立法相對(duì)比較完善。我國(guó)雖然制定實(shí)施了不少與個(gè)人生物信息有關(guān)的法律法規(guī)、部門規(guī)章以及行業(yè)標(biāo)準(zhǔn)等規(guī)范性文件，但仍缺少綜合性、專門性立法，法律法規(guī)體系并不完善。以下予以比較研究。

個(gè)人生物信息安全的私法保護(hù)

從國(guó)外立法來看，美國(guó)和歐盟等發(fā)達(dá)國(guó)家和地區(qū)出于保護(hù)本國(guó)遺傳資源以及本國(guó)利益的考慮，對(duì)人體基因信息能否獲得專利問題普遍持肯定態(tài)度，專利制度在生物信息法律保護(hù)方面居于很重要的地位。然而，因掣肘于專利權(quán)保護(hù)所造成的壟斷，其立法首要目標(biāo)并不在于安全價(jià)值的考慮，其所能發(fā)揮的作用當(dāng)然也是有限的。對(duì)于個(gè)人生物識(shí)別信息安全的保護(hù)仍然主要體現(xiàn)在個(gè)人隱私權(quán)、信息數(shù)據(jù)權(quán)利的民事法律保護(hù)方面。在我國(guó)，對(duì)個(gè)人生物識(shí)別信息的保護(hù)來自于民法、消費(fèi)者權(quán)益保護(hù)法等法律法規(guī)中有關(guān)隱私權(quán)、名譽(yù)權(quán)的保護(hù)規(guī)定，以及個(gè)人信息保護(hù)的法律法規(guī)、行業(yè)規(guī)范。如《侵權(quán)責(zé)任法》第２條只是原則性、概括性地確認(rèn)了隱私權(quán)的存在，對(duì)于生物識(shí)別信息的隱私法律保護(hù)而言顯得尤為不足。由于個(gè)人信息的財(cái)產(chǎn)價(jià)值難以估算，且以人格權(quán)為基礎(chǔ)的財(cái)產(chǎn)賠償數(shù)額也比較有限，侵犯?jìng)€(gè)人生物識(shí)別信息的行為也很難通過《侵權(quán)責(zé)任法》的現(xiàn)有規(guī)定獲得有效的賠償。2020年5月頒布的《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱《民法典》）人格權(quán)編第799條第1款對(duì)個(gè)人生物識(shí)別信息也提供了多重保護(hù)：一是可以受到肖像權(quán)的保護(hù)；二是采取偷拍偷錄等方式采集個(gè)人生物識(shí)別信息構(gòu)成對(duì)隱私權(quán)的侵害；三是除了肖像權(quán)、隱私權(quán)保護(hù)之外，還可以適用個(gè)人信息保護(hù)的規(guī)定。值得注意的是，根據(jù)《民法典》第1036條的規(guī)定，合理處理自然人自行公開的或其他已經(jīng)合法公開的信息，除該自然人明確拒絕或者處理該信息侵害其重大利益的之外，行為人不承擔(dān)民事責(zé)任。據(jù)此，個(gè)人信息分為公開的個(gè)人信息和非公開的個(gè)人信息，公開的個(gè)人信息限于“合法公開”的個(gè)人信息，而不包括非法公開的個(gè)人信息。而對(duì)于個(gè)人信息是否屬于“合法公開”，行為人主觀上是很難認(rèn)識(shí)到的，在無(wú)法證明的情況下，只能按有利于被告的原則處理?？梢姡词乖诂F(xiàn)有民法典框架之下，對(duì)個(gè)人生物識(shí)別信息的民事權(quán)利保護(hù)仍然是不足的，對(duì)于個(gè)人生物信息安全更難以直接給予保障和救濟(jì)。

總體上，我國(guó)個(gè)人生物識(shí)別信息的民事權(quán)利保護(hù)模式主要有三種路徑：人格權(quán)模式、財(cái)產(chǎn)權(quán)模式、人格權(quán)與財(cái)產(chǎn)權(quán)的復(fù)合模式。其一，人格權(quán)保護(hù)模式主張將個(gè)人生物識(shí)別信息視為具有人格權(quán)的基本屬性，將其作為個(gè)人私密敏感信息進(jìn)行保護(hù)。其二，財(cái)產(chǎn)權(quán)保護(hù)模式認(rèn)為，個(gè)人生物識(shí)別信息具備財(cái)產(chǎn)性質(zhì)，應(yīng)賦予其財(cái)產(chǎn)權(quán)保護(hù)，但其又不是完全的財(cái)產(chǎn)，因?yàn)樗荒鼙焕^承、贈(zèng)予、遺贈(zèng)等，保護(hù)隱私最容易的途徑是將個(gè)人信息的控制作為數(shù)據(jù)主體擁有的財(cái)產(chǎn)權(quán)。其三，復(fù)合保護(hù)模式主張，將人體基因視為人格和財(cái)產(chǎn)的復(fù)合體，即把人體基因視為知識(shí)產(chǎn)品。還有學(xué)者提出，將人體基因及基因信息視為人格性財(cái)產(chǎn)權(quán)。比較來看，首先，單純的人格權(quán)模式無(wú)法對(duì)個(gè)人生物識(shí)別信息專利及商業(yè)化所帶來的可分享的財(cái)產(chǎn)利益予以充分保護(hù)。與傳統(tǒng)的隱私權(quán)保護(hù)方法相比，隱私權(quán)是強(qiáng)調(diào)“不干涉”的權(quán)利，財(cái)產(chǎn)權(quán)則是一種積極的權(quán)利。通過財(cái)產(chǎn)權(quán)保護(hù)，個(gè)人生物識(shí)別信息所有權(quán)人能夠擁有一系列權(quán)利包括控制、占有、轉(zhuǎn)讓。其次，對(duì)個(gè)人生物識(shí)別信息財(cái)產(chǎn)權(quán)益的承認(rèn)并不與相關(guān)的人格權(quán)相矛盾。承認(rèn)個(gè)人生物識(shí)別信息的財(cái)產(chǎn)權(quán)屬性，更有利于保護(hù)合法的相關(guān)信息交易，解決糾紛，保護(hù)信息主體的合法權(quán)益。再次，如果單純采用財(cái)產(chǎn)權(quán)模式來界定個(gè)人基因信息的法律屬性，則可能造成對(duì)人體基因信息的人格權(quán)屬性的忽略，在否定其主體地位的同時(shí)，還可能會(huì)帶來物化人格的風(fēng)險(xiǎn)。

須指出，相對(duì)于美國(guó)與歐盟來說，我國(guó)目前尚未形成具體明確的個(gè)人信息權(quán)利保護(hù)模式。無(wú)論對(duì)個(gè)人生物識(shí)別信息采取何種保護(hù)模式，現(xiàn)行民事立法都是從基本民事權(quán)利角度作出的粗線條規(guī)定，無(wú)法為特定場(chǎng)景下個(gè)人信息權(quán)利的保護(hù)確定具體規(guī)則。例如，在個(gè)人隱私政策中，相關(guān)企業(yè)機(jī)構(gòu)在取得收集或使用公民個(gè)人信息的授權(quán)時(shí)，對(duì)于取得用戶授權(quán)的行為方式是否妥當(dāng)，能否產(chǎn)生取得授權(quán)的效力等，民事立法無(wú)法提供具體的判斷標(biāo)準(zhǔn)。筆者主張，我國(guó)應(yīng)以人格權(quán)和財(cái)產(chǎn)權(quán)的雙重機(jī)制對(duì)其予以保護(hù)，為平衡人格價(jià)值和科技進(jìn)步、經(jīng)濟(jì)發(fā)展之間的沖突提供可行的通道。以人格權(quán)的保護(hù)機(jī)制確保供體對(duì)個(gè)人生物識(shí)別信息使用情況的控制和支配，以財(cái)產(chǎn)權(quán)的保護(hù)機(jī)制維護(hù)其對(duì)生物信息技術(shù)進(jìn)步利益的合理分享。未來的個(gè)人生物信息保護(hù)立法應(yīng)考慮到其商業(yè)性使用價(jià)值財(cái)產(chǎn)權(quán)的正當(dāng)訴求，建立個(gè)人生物信息權(quán)利損害的民事訴訟救濟(jì)機(jī)制，明確侵害個(gè)人生物識(shí)別信息權(quán)利的“損害”認(rèn)定與賠償標(biāo)準(zhǔn)，完善相關(guān)民事訴訟損害賠償?shù)呐e證原則與責(zé)任制度等。

個(gè)人生物信息安全的公法保護(hù)

首先，在行政法領(lǐng)域，我國(guó)與個(gè)人生物信息安全相關(guān)的法律規(guī)范多散見于《網(wǎng)絡(luò)安全法》《傳染病防治法》《人類遺傳資源管理?xiàng)l例》《基因工程安全管理辦法》《人類輔助生殖技術(shù)管理辦法》《涉及人的生物醫(yī)學(xué)研究倫理審查辦法》等法律法規(guī)、部委規(guī)章及專門規(guī)范文件。如《人類遺傳資源管理?xiàng)l例》規(guī)定采集人類遺傳資源信息須符合個(gè)人信息收集的一般法律要求，但并未建立起與其敏感隱私特征相適應(yīng)的特殊保護(hù)制度。《個(gè)人信息安全規(guī)范》較為詳細(xì)地規(guī)定了個(gè)人生物識(shí)別信息在收集、存儲(chǔ)和共享等環(huán)節(jié)的安全保護(hù)要求。在涉及人臉識(shí)別、聲紋識(shí)別等生物識(shí)別信息的項(xiàng)目，網(wǎng)絡(luò)運(yùn)營(yíng)者須專門設(shè)計(jì)獲得用戶同意的環(huán)節(jié)，這也意味著當(dāng)用戶提起爭(zhēng)議時(shí)，信息業(yè)者負(fù)有更多的舉證責(zé)任。《生物特征識(shí)別信息保護(hù)要求（征求意見稿）》第5.1條提出了生物特征識(shí)別系統(tǒng)的保密性、完整性、可更新性與可撤銷性等方面的原則和具體要求；第6.4條也提出在生物特征識(shí)別信息生命周期管理中有關(guān)采集、傳輸、使用、存儲(chǔ)、歸檔與數(shù)據(jù)備份、廢棄階段的義務(wù)要求，除非法律法規(guī)另有規(guī)定，否則在收集、訪問、處理或修改、使用生物特征識(shí)別信息之前，有關(guān)組織應(yīng)獲得主體的同意；系統(tǒng)安全與隱私政策應(yīng)保證存儲(chǔ)、控制和處理過程中生物特征識(shí)別信息的安全等?！禔PP人臉信息規(guī)范》第6.1至6.4條詳細(xì)規(guī)定了收集、存儲(chǔ)、使用、刪除個(gè)人信息過程中的“最小必要規(guī)范”。例如，其第6.1.c）規(guī)定，收集人臉信息應(yīng)遵循“最小必要”原則，收集前應(yīng)通過隱私協(xié)議等方式向人臉信息主體告知相關(guān)信息，不應(yīng)超過人臉信息主體“告知同意”的范圍。上述國(guó)家行業(yè)標(biāo)準(zhǔn)和規(guī)范雖不具有法律效力，但能起到生物識(shí)別技術(shù)風(fēng)險(xiǎn)防范和合規(guī)性指導(dǎo)作用，也能為將來生物信息安全立法提供經(jīng)驗(yàn)基礎(chǔ)。

其次，在刑事法領(lǐng)域，由于個(gè)人基因信息技術(shù)發(fā)展所帶來的人體試驗(yàn)、器官移植、輔助生殖技術(shù)、基因編輯及重組等問題日趨嚴(yán)重，不少國(guó)家對(duì)上述行為規(guī)定相關(guān)罪名予以刑事懲處。如，1994年《法國(guó)刑法典》第六章明確規(guī)定了處罰基因泄露行為，對(duì)于DNA鑒定中侵犯他人個(gè)人基因隱私的行為進(jìn)行刑事懲處。在刑法典之外，不少國(guó)家的專門性立法中規(guī)定了刑事責(zé)任條款，如德國(guó)1990年的《胚胎保護(hù)法》、澳大利亞的《禁止克隆人法案2002》和《基因技術(shù)法案2000》、韓國(guó)的《生物安全與技術(shù)法》、日本的《克隆技術(shù)限制法》等。法國(guó)《公共衛(wèi)生法典》中的《人體尊重法》規(guī)定人體及其生成物的不可轉(zhuǎn)讓性，禁止他們成為商業(yè)交易的對(duì)象，禁止代理胎兒，包括基因檢查規(guī)則等。如果違反了這些規(guī)則，將被判處1年至7年的監(jiān)禁刑及10萬(wàn)法郎到70萬(wàn)法郎的罰金。德國(guó)《胚胎保護(hù)法》第5條第1、2項(xiàng)規(guī)定：“改變?nèi)祟惿诚导?xì)胞遺傳信息的，處以5年以下的自由刑或者罰金。將人為改變了的遺傳信息的人體生殖細(xì)胞用于受精的，處相同刑罰?！泵绹?guó)1998年《防止身份盜竊及假冒法》規(guī)定，故意轉(zhuǎn)移、使用生物識(shí)別信息用于違法活動(dòng)的行為構(gòu)成“身份盜竊”罪。2003年美國(guó)的《身份盜竊處罰增強(qiáng)法》進(jìn)一步將非法“占有”識(shí)別他人的方法規(guī)定為“身份盜竊”罪。須指出，上述附屬刑法規(guī)范均發(fā)揮著與刑法基本規(guī)范同樣重要的定罪量刑作用，且更具靈活性、協(xié)調(diào)性，值得我國(guó)立法借鑒。我國(guó)于2019年制定出臺(tái)了《人類遺傳資源管理?xiàng)l例》，在“法律責(zé)任”一章規(guī)定了非法采集、保藏、利用、對(duì)外提供人類遺傳資源的行政責(zé)任和刑事責(zé)任。根據(jù)現(xiàn)行《刑法》的規(guī)定，我國(guó)可以將違反該條例規(guī)定的行為認(rèn)定為犯罪，如將故意或過失泄露被列為國(guó)家秘密的基因資源、資料的行為認(rèn)定為故意或過失泄露國(guó)家秘密罪，為境外竊取、刺探、售賣、非法提供國(guó)家秘密、情報(bào)罪等，但也有不少行為是刑法典中現(xiàn)有罪名無(wú)法涵蓋的。從立法完善角度，我們可考慮以當(dāng)前生物安全立法或修法為契機(jī)，通過制定或修訂相關(guān)行政法律法規(guī)中的刑事責(zé)任條款，設(shè)置“非法利用胚胎罪”等罪名，實(shí)現(xiàn)刑法與行政法規(guī)范的有效銜接，本文在此不贅述。

個(gè)人生物信息安全的綜合法律保護(hù)

目前，我國(guó)《個(gè)人信息保護(hù)法（草案）》在《民法典》基礎(chǔ)上，建構(gòu)了我國(guó)個(gè)人信息保護(hù)的單行法律框架。草案第5條、第6條分別規(guī)定了個(gè)人信息處理的方式和目的。第5條規(guī)定“處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞健?；?條規(guī)定“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的”。同時(shí)，該草案將“告知—同意”確立為信息處理的核心規(guī)則，告知義務(wù)是信息主體的主要義務(wù)?！稊?shù)據(jù)安全法》第四章規(guī)定了數(shù)據(jù)安全保護(hù)義務(wù)，其中第29條規(guī)定，“任何組織、個(gè)人收集數(shù)據(jù)，必須采取合法、正當(dāng)?shù)姆绞?不得竊取或者以其他非法方式獲取數(shù)據(jù)”，“應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)，不得超過必要的限度”。然而，與國(guó)外立法相比，我國(guó)個(gè)人信息保護(hù)的法律法規(guī)相互之間有機(jī)協(xié)調(diào)不夠，實(shí)施起來難免出現(xiàn)立法空白、規(guī)范沖突和不銜接等問題。個(gè)人生物信息保護(hù)法益的復(fù)合性、多元化，決定了僅靠私法保護(hù)模式或是公法保護(hù)模式均無(wú)法有效保障其安全，因而有必要對(duì)我國(guó)生物安全法律保護(hù)作出系統(tǒng)性的制度安排。從立法完善的角度，應(yīng)當(dāng)設(shè)定企業(yè)生物識(shí)別技術(shù)及其應(yīng)用的行業(yè)標(biāo)準(zhǔn)、認(rèn)證評(píng)價(jià)機(jī)制、安防制度以及許可制度，明確規(guī)定個(gè)人生物信息識(shí)別的禁止性與限定性規(guī)范、個(gè)人生物信息權(quán)的基本內(nèi)容，以及互聯(lián)網(wǎng)企業(yè)在采集、存儲(chǔ)、使用、傳輸、保管、披露、銷毀個(gè)人生物識(shí)別信息中的法律義務(wù)和責(zé)任等。同時(shí)，我國(guó)還需要通過立法設(shè)置國(guó)家層面的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)，并于地方設(shè)置下級(jí)機(jī)構(gòu)，明確監(jiān)管機(jī)構(gòu)對(duì)各種實(shí)體數(shù)據(jù)處理行為的審查權(quán)、許可權(quán)、調(diào)查權(quán)、檢查權(quán)、命令權(quán)和司法介入權(quán)，以及糾紛調(diào)處權(quán)，受理控訴、申訴權(quán)，以保證實(shí)現(xiàn)個(gè)人生物信息安全管理的目標(biāo)。在此方面，2020年10月頒布的《中華人民共和國(guó)生物安全法》作為一部綜合性立法，應(yīng)當(dāng)能夠適應(yīng)我國(guó)生物多樣性保護(hù)和生物安全保障的制度需求。在該法的統(tǒng)領(lǐng)和協(xié)調(diào)下，其他各專門法、單行法具體設(shè)置應(yīng)對(duì)生物信息安全風(fēng)險(xiǎn)的法律規(guī)則，處理好行政法、民法、刑法等相關(guān)法律法規(guī)之間的關(guān)系，從公法和私法的不同層面進(jìn)行法律保護(hù)，構(gòu)建個(gè)人生物信息安全保護(hù)的法律體系。

五、個(gè)人生物信息安全法律保護(hù)的體系化

在個(gè)人生物信息安全保護(hù)的法律法規(guī)體系中，刑法規(guī)范也是其中的重要的子系統(tǒng)。由于生物信息安全法益屬性具有復(fù)合性、復(fù)雜性、間接性和多變性的特點(diǎn)，刑法不可能靠一己之力遏制危害生物安全的違法犯罪。刑法作為法律體系中的保障法，其與民法和行政法之間具有緊密的關(guān)聯(lián)性和從屬性。因此，立法機(jī)關(guān)應(yīng)當(dāng)將相關(guān)違法犯罪行為放置在整個(gè)生物信息安全保護(hù)的法律體系之中加以考量，保證刑法規(guī)范適用的統(tǒng)一性和協(xié)調(diào)性。以下主要討論個(gè)人生物信息安全領(lǐng)域的刑法前置規(guī)范、附屬刑法規(guī)范兩個(gè)問題，從中尋求相關(guān)行政立法、行業(yè)規(guī)范與刑法規(guī)范之間的銜接，協(xié)調(diào)問題的解決路徑。

首先，在我國(guó)刑法中，與個(gè)人生物信息安全保護(hù)相關(guān)的罪名包括：侵犯公民個(gè)人信息罪、拒不履行信息安全管理義務(wù)罪、非法侵入和破壞計(jì)算機(jī)系統(tǒng)罪、假冒專利罪、非法經(jīng)營(yíng)罪、妨害傳染病防治罪、非法行醫(yī)罪、故意或過失泄露國(guó)家秘密罪等。上述罪名或多或少、直接或間接地涉及個(gè)人生物信息安全法益的保護(hù)。同時(shí)，在上述罪名中，存在大量的“違反國(guó)家規(guī)定”“違反……管理規(guī)定”“違反……法規(guī)”等空白罪狀，對(duì)此，行政法律法規(guī)、部門規(guī)章及行業(yè)規(guī)范文件成為填補(bǔ)空白罪狀的根據(jù)。判斷行為刑事違法性以行為人違反前置性法律法規(guī)為前提，對(duì)于行政法律法規(guī)及行業(yè)規(guī)范中的違法違規(guī)行為，需要進(jìn)行違法性的層次性判斷，即“出行入刑”，形成刑行關(guān)系的銜接協(xié)調(diào)。然而，我國(guó)行政法律法規(guī)帶有很強(qiáng)的部門立法特點(diǎn)，存在委托立法和行業(yè)立法現(xiàn)象和問題，不少行政法律法規(guī)關(guān)注部門利益和行業(yè)保護(hù)，法律體系的觀念意識(shí)不強(qiáng)；加上各部門法的立法修法時(shí)間不一致，立法過程往往比較倉(cāng)促，欠缺系統(tǒng)性的通盤考慮；在制定行政立法中的刑事責(zé)任條款時(shí)缺乏對(duì)既有刑法規(guī)范的充分研究，沒有顧及或疏忽了刑法的相關(guān)規(guī)定，缺乏整體立法的協(xié)調(diào)性，導(dǎo)致刑法與行政法之間出現(xiàn)不銜接，甚至互相沖突的問題，因而需要通過構(gòu)建和完善刑法前置性行政法律規(guī)范這個(gè)制度鏈接點(diǎn)加以解決。

其次，根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，網(wǎng)絡(luò)服務(wù)經(jīng)營(yíng)者在運(yùn)用生物識(shí)別技術(shù)收集個(gè)人信息時(shí)，原則上應(yīng)經(jīng)過被收集者同意，并遵循合法、正當(dāng)、必要的原則。在此情況下，我國(guó)《個(gè)人信息安全規(guī)范》等相關(guān)行業(yè)標(biāo)準(zhǔn)指南提供了立法框架樣本。（1）個(gè)人生物識(shí)別信息的收集。《個(gè)人信息安全規(guī)范》第5.4條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集個(gè)人生物識(shí)別信息應(yīng)征得個(gè)人信息主體的明示同意。即使已取得個(gè)人信息主體的同意，網(wǎng)絡(luò)運(yùn)營(yíng)者仍應(yīng)僅收集達(dá)到目的所需的最少個(gè)人生物識(shí)別信息，以最大限度降低損害風(fēng)險(xiǎn)。（2）個(gè)人生物識(shí)別信息的存儲(chǔ)。2020年《個(gè)人信息安全規(guī)范》第6.3條規(guī)定，可采取的存儲(chǔ)措施包括但不限于：僅存儲(chǔ)個(gè)人生物識(shí)別信息的摘要信息，且該摘要信息應(yīng)具備不可逆性，即無(wú)法回溯至原始信息；在采集終端中直接使用個(gè)人生物識(shí)別信息實(shí)現(xiàn)身份識(shí)別、認(rèn)證等功能；在使用面部識(shí)別特征、指紋、掌紋、虹膜等實(shí)現(xiàn)識(shí)別身份、認(rèn)證等功能后刪除可提取個(gè)人生物識(shí)別信息的原始圖像。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)將個(gè)人生物識(shí)別信息與個(gè)人身份信息分開存儲(chǔ)，同時(shí)，還需將這兩者的控制權(quán)限分配給不同的操作人員，以實(shí)現(xiàn)分隔效果。（3）對(duì)個(gè)人金融信息特定類別的特殊要求。根據(jù)《個(gè)人信息安全規(guī)范》第9.2條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者確因業(yè)務(wù)需要，確需共享、轉(zhuǎn)讓的，應(yīng)單獨(dú)向個(gè)人信息主體告知目的并征得其明示同意、涉及的個(gè)人生物識(shí)別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等?？梢姡秱€(gè)人信息安全規(guī)范》以“不應(yīng)共享、轉(zhuǎn)讓”為原則，只有當(dāng)出現(xiàn)業(yè)務(wù)需要或滿足“告知同意”要求的例外情形時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者方可進(jìn)行個(gè)人生物識(shí)別信息的共享或轉(zhuǎn)讓，且應(yīng)當(dāng)采取加密安全措施或進(jìn)行安全評(píng)估。上述推薦性國(guó)家標(biāo)準(zhǔn)，在立法過程中均可有選擇性地納入法律規(guī)制中。另須指出，行業(yè)規(guī)范并不具有法律效力，對(duì)個(gè)人生物識(shí)別信息的規(guī)制范圍更廣，安全義務(wù)要求更高；而刑法是從懲治犯罪活動(dòng)角度出發(fā)，所規(guī)制的入罪門檻必須是個(gè)人生物識(shí)別信息保護(hù)的“最低安全基線”。為了避免刑事打擊范圍過大，刑法應(yīng)將個(gè)人生物信息安全行業(yè)規(guī)范作為前置性規(guī)范的參考依據(jù)，但不宜直接將其作為判斷刑事違法性、認(rèn)定犯罪的法律根據(jù)。

六、結(jié)語(yǔ)

個(gè)人生物信息法益的多元屬性涵蓋了其對(duì)隱私權(quán)、人格權(quán)、財(cái)產(chǎn)權(quán)及安全法益的保護(hù)，決定了其合理使用和權(quán)利保護(hù)的多元價(jià)值。在生物安全風(fēng)險(xiǎn)因素和潛在威脅因素突發(fā)、增升的情況下，追求公共安全成為國(guó)家和社會(huì)公眾的普遍心態(tài)和立法目標(biāo)選擇。應(yīng)當(dāng)看到，我國(guó)個(gè)人信息安全保護(hù)立法存在“碎片化”和規(guī)范沖突問題，這是由于對(duì)個(gè)人生物識(shí)別信息的權(quán)利屬性界定模糊不清，加上不同部門法的立法價(jià)值目標(biāo)存在差異所致。可以說，“碎片化”是一種立法常態(tài)，雖然會(huì)對(duì)法律體系造成一定沖突，但沒有破壞法律體系的整體性及適用效力。不同的部門法各有其調(diào)整對(duì)象和范圍，相互之間存在交叉競(jìng)合、沖突矛盾的情況在所難免。單一的民法、行政法或刑法無(wú)法完成多元化價(jià)值目標(biāo)的實(shí)現(xiàn)，特別是刑法居于后盾法、保障法地位，若將其作為“急先鋒”和“主力軍”來抗制生物識(shí)別技術(shù)帶來的安全風(fēng)險(xiǎn)，非但不能實(shí)現(xiàn)個(gè)人生物信息安全法益保護(hù)，反而會(huì)喪失個(gè)體權(quán)利的保障功能?？傊?，我國(guó)需要以網(wǎng)絡(luò)安全法、生物安全法、個(gè)人信息保護(hù)法、數(shù)據(jù)安全法等綜合性立法為契機(jī)，構(gòu)建個(gè)人生物識(shí)別信息安全保護(hù)的法律體系，發(fā)揮各個(gè)部門法在保護(hù)權(quán)利和保障安全方面的功能，實(shí)現(xiàn)行政立法與刑法規(guī)范的良性互動(dòng)、附屬刑法規(guī)范的實(shí)質(zhì)化，以促進(jìn)個(gè)人生物信息安全法律法規(guī)內(nèi)外部的銜接協(xié)調(diào)。

原文鏈接

張勇 ▏個(gè)人生物信息安全的法律保護(hù)——以人臉識(shí)別為例《江西社會(huì)科學(xué)》簡(jiǎn)介

《江西社會(huì)科學(xué)》（Jiangxi Social Sciences）是江西省社會(huì)科學(xué)院主辦的綜合性學(xué)術(shù)月刊，1980年12月創(chuàng)刊。經(jīng)過多年發(fā)展，《江西社會(huì)科學(xué)》以正確的辦刊方向、高雅的學(xué)術(shù)品位、淳厚的大家風(fēng)范，成為CSSCI來源期刊、全國(guó)中文核心期刊、中國(guó)人文社會(huì)科學(xué)核心期刊，并多次獲得華東地區(qū)優(yōu)秀期刊獎(jiǎng)、江西省優(yōu)秀期刊獎(jiǎng)。

原標(biāo)題：《張勇：個(gè)人生物信息安全的法律保護(hù)——以人臉識(shí)別為例》

閱讀原文