867 浏览摘要
生物识别技术是指通过生物传感器收集个人的生物特征,结合现在的计算机技术和生物技术,对个人生物识别信息进行采集、存储、加工和利用的技术,包括指纹识别、人脸识别、虹膜识别、掌纹识别和步态识别等。由于生物识别特征具有的便携性、不易伪造或丢失、身份识别上更准确等特点,生物识别技术被广泛运用在安防、考勤、金融支付、家居、零售等商业场景。由于生物识别特征具有收集的非接触性、唯一性、和其他信息的关联性、不能更换等特点,使得生物识别信息如果被泄露或者滥用,相对于一般信息泄露而言,对个人的伤害更大, 将会对信息主体造成不可逆的损害。因此有必要对生物识别信息予以更严格和更周密的保护。
国外对于生物识别信息的保护发展出了不同的模式。其中有代表性的主要有两种途径:一种通过民事、刑事、行政等途径的综合保护,将生物识别信息放在一般个人信息保护立法之中,比较典型的是欧盟《一般数据保护条例》和德国的
《联邦数据保护法》。一种是对生物识别信息的保护通过隐私权保护的方式进行, 如美国伊利诺伊州、德克萨斯州等州专门出台的生物识别信息立法。
我国没有对于生物识别信息的保护进行专门的立法。我国的《个人信息保护法(草案)》第 29 条提出了“个人敏感信息”的概念,将“个人生物特征”定义为“个
人敏感信息”,规定了处理敏感信息的特殊原则。我国《民法典》第 1034 条规定个人信息包括生物识别信息,个人信息中的私密信息适用隐私法的规定,没有规定的适用个人信息保护的规定,据此,区分私密信息和非私密信息是用以区分隐私和个人信息的区别,决定了信息的保护是采用隐私权保护方法还是个人信息的保护方法。
通过隐私权对生物识别信息进行保护还存在着以下困境:(1)对于生物识别信息定性不明,生物识别信息中哪些信息属于私密信息能够纳入隐私权法的规制之中尚未明晰。(2)生物识别信息的处理多在计算机系统内部进行,涉及多方主体,隐私权纠纷属于一般侵权行为,采用过错责任,由于生物识别信息侵权的隐秘性,信息管理者和信息权人承担的证明责任畸轻畸重。(3)由于生物识别信息不同于人身侵权和财产侵权,往往不会发生物理性的损害,对于实质性损害的认定存在着较大困难,同时由于生物识别信息与人身权益紧密相关,哪些后果属于严重精神损害也尚未明晰。
因此,本文从生物识别信息的权利属性、归责原则及证明责任、损害后果的认定等方面入手,以完善个人生物识别信息的权益定位和保护路径,对于生物识别信息权益的保护和诉讼救济制度提出自己的建议。
关键词:个人生物识别信息;隐私权;个人信息侵权;权利救济
目录
摘要
目录
绪论
一 研究背景及意义
二 国内外研究状况及水平
三 研究思路与方法
四、本文创新点及不足
第一章 生物识别信息概述
第一节 个人生物识别信息的概念
一个人生物识别信息的内涵8
二 生物识别信息的种类
第二节 个人生物识别信息的特征
一生物识别信息的唯一性
二 生物识别信息的不可变更性
三 生物识别信息的非接触性
四 生物识别信息的关联性
第三节 个人生物识别信息和隐私的区别
一 部分生物识别信息不具备隐私的“私密性”
二 生物识别信息与公共利益密切相关
三 生物识别信息是主动性的权利
第二章 比较法视野下生物识别信息的保护现状
第一节 生物识别信息的综合保护
一欧盟《一般数据保护条例》
二 德国的个人信息权立法模式
第二节 生物识别信息的隐私权保护
一美国的一般隐私法规制路径
二 美国生物识别信息的特别立法
第三章 我国生物识别信息隐私权保护路径的困境
第一节 个人生物识别信息超出传统隐私法规范射程
一 未对个人信息进行区分保护
二 生物识别信息与“私密信息”的界定未明晰
第二节 个人生物识别信息侵权因果关系认定复杂
一侵权主体及环节证明困难
二 “算法黑箱”下个人举证困难
第三节 被侵权人所受损害程度难以判断
一实质性损害认定不清
三 非财产损害认定困难
第四章 我国生物识别信息隐私权保护路径的完善
第一节 厘清生物识别信息的权利属性
一明确私密信息的认定标准
二 非私密信息的生物识别信息的特殊保护
第二节 生物识别信息侵权的归责原则和证明责任
一过错推定下的举证责任倒置
二 多个处理者的连带责任
第三节 生物识别信息侵权损害结果的认定
一实质性损害的认定
二 对于精神损害进行宽泛解释
结语
参考文献
致谢
绪论
一 研究背景及意义
依托于互联网技术的革新和人工智能的发展,产生了和传统身份鉴定技术不同的身份识别技术——生物识别技术。生物识别技术是指通过使用自然人的生物识别信息,如面部信息、耳廓、掌纹、声纹、步态等,借助计算机视觉技术分析和生物统计算法,实现自然人的身份识别与认证。相较于证件、钥匙等体外物和账号密码、在线签名等电子身份认证方式需要随身携带、容易遗失和易于复制等特点,生物识别技术不需要随身携带,具备便携性、不易伪造或丢失、身份识别上具备更高的准确性等特点,生物识别技术被广泛运用在电子证件、海关边检、门禁安防、支付考勤等场景。
当人脸识别技术给社会带来便利和效率的同时,隐忧也随即浮现。技术的迅猛发展不仅将生物识别信息的精确性极大的提升,也和其他私密信息关联,挖掘生物信息更大的价值。人脸识别不仅应用于身份验证场景,用以识别“我是谁”, 还可以通过分析画像数据库并进行标签画像场景,结合算法预测“我是什么样的人”,个人隐私面临更大的暴露风险。2021 年我国 315 晚会曝光了使用人脸识别的商户和提供识别服务的供应商,商店使用带有人脸分析的数字摄像头,在未经同意的情况下捕捉顾客的面部特征,还根据输出的数据手动为消费者添加“标签” 信息,建立自己的“白名单”。
生物识别信息与个人一般信息不同,例如电话地址电子账户等,遭到泄露可以更换和改变,个人生物特征伴随人的一生,具有唯一性和不变性。每个人的生物特征都是唯一的,伴随人从出生至死亡。除非经过外力作用,自然人不能更改自己的面部特征和虹膜组织,个人的步态细节和声纹参数也在相当长时间内具备稳定性;同时,由于生物识别信息大规模计算、集中存储的特点,容易发生大规模数据泄露。这些生物信息一经泄露,将会对个人造成无法复原的、不可逆的损害,信息主体。信息的处理者、收集者和存储者将失去对数据的控制,个人信息将得不到有效的保护。
因此,世界各国加速了生物识别信息的保护步伐,对于生物信息的保护的制度化、法律化成为立法发展的新趋势。欧盟对于个人信息的法律保护的探索居于世界前列,对个人生物特征的信息保护的相关规定,主要规定在《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)之中,GDPR 适用于成员国各国,将包含生物识别信息在内的个人信息视为一种新的综合性权益,涵盖了生物识别信息在公共和商业领域的处理和使用。美国认为信息具有隐私属性,将个人信息放入隐私中进行保护。美国目前没有联邦层面的统一立法用以规制生物识别信息的处理,但是出现了州层面的生物识别信息的独立立法,明确生物识别信息的定义和范围,对于生物识别信息的收集、存储和例外情形等作出相应规定。除了美国和欧盟,其他国家和地区也出现了生物识别信息有关的指引性文件。
我国《民法典》回应了大数据时代技术发展带来的挑战,将生物识别信息、健康信息等纳入个人信息的范围,但生物识别信息不同于一般的个人信息,我国
《民法典》并未因其所具有的不可更改性和人格属性加以特殊保护,随着生物识别技术与我们的生活密切交织,人脸支付、店内人脸搜集、动物园刷脸入园案向现有的司法救济提出了新的挑战,对个人生物识别信息的司法救济的民事法律制度亟需优化。因此,本文对于生物识别信息的侵权救济切入,对于当前生物识别信息的侵权救济路径进行现状,指出在生物识别信息保护和救济中存在的问题并提出具体建议。
二 国内外研究状况及水平
(一)国内研究综述
《民法总则》第 111 条规定了个人信息的保护,个人信息权益被确定为民事权利。《网络安全法》中也对包含生物识别信息在内的个人信息有所规定,《民法典》第 1034 条明确了个人信息的“可识别性”,将生物识别信息包含在个人信息之中,生物识别信息中的私密信息适用隐私权的规定,没有规定的适用个人信息保护的规定,第 1035 条规定了处理个人信息的“知情同意”原则,但是对于如何在信息处理中实现和贯彻该原则没有规定。我国的《网络安全法》和《民法典》都没有区分一般信息和敏感信息,没有回应由于生物识别信息的特殊性所提出的特殊保护需求,现有法律也没有确认生物识别信息的独立权利地位,只是作为人格权益进行保护。2021 年 3 月提交审议的《个人信息保护法》草案第 29 条将个人生物特征确定为个人敏感信息,规定了敏感信息的处理需要满足“目的特定” 和必要性规则。
对于生物识别的研究,国内学术关注度自 2014 年开始逐步升温,受到多个学科学者的关注与研究,但大部分集中于计算机和自动化等工科领域,着重于研究生物识别的发展前景及其安全性。对于生物识别技术中的隐私保护和个人权利救济,近两年才受到关注。于是,笔者将包含生物识别信息在内的个人信息入手, 进行检索,
1、个人信息的保护
(1)对于个人信息和隐私的关系,学者王利明认为个人信息权与隐私存在着诸多差别:相较于隐私,个人信息侧重于可识别性,是一种积极的可以主动利用的权利,与国家安全联系密切。3学者张新宝认为个人信息与隐私存在着交叉关系,个人信息汇中涉及个人私密信息的属于隐私,而具有公开性的个人信息不属于隐私,有必要区分个人敏感隐私信息和一般信息。4
(2)对于个人信息的权属,有学者认为个人信息同时涉及财产权。隐私权、名誉权、肖像权等权利,是一种综合性的权利。5有学者认为个人信息和民事权益关系密切,对于其人格权和财产权权属尚有争议,如果认为个人信息属于财产权,那么很难界定其到底是物权还是债权,与现有的财产权体系不符,因为, 从这个意义上,不能将个人信息完全界定为一种财立权6。王利明认为隐私权的保护不能替代个人信息权的保护,有必要对个人信息权加以确认并与隐私权加以区分,在人权权法中明确个人信息权的性质,将之作为单独的具体人格权加以保护。
7张新宝提出需要强化对个人敏感隐私信息的保护,促进对于个人一般信息的利
用,国家有必要制定一部统一的个人信息保护法。8杨立新对于《民法总则》中规定的个人信息属于法益还是权益进行了探讨,他认为,个人身份信息与个人隐私信息是独立的人格利益,具有相互独立性,个人信息仅仅以隐私权的保护方法保护不够完善,将个人信息界定为个人信息权,对个人信息应以财产损害赔偿和精神损害赔偿进行救济,对于个人信息的保护方法,信息权人可以根据诉请的责任方式不同,择一选择人格权请求权或侵权损害赔偿请求权进行救济。9
(3)对于个人信息的保护。范为认为大数据的时代给公民隐私带来新的威胁,信息主体对自身信息的控制力日益减弱,传统的静态“知情同意”原则无法满足保护用户权利和行业高速发展的需要,有必要借鉴欧美的“场景风险管理”理念并加以改进,通过信息利用的具体场景,实行风险评估和风险控制。10
(4)对于个人敏感信息和私密信息的界分,学界观点并不一致。张新宝教授认为私密信息等于个人敏感信息,程啸教授认为两者存在重合但是并不一致。12私密信息是从信息与人格尊严的相关度来评判,而敏感信息主要是从非法处理所带来的后果来考量,两者并不完全一致。
2、生物识别信息的保护
(1)对于生物识别信息的特殊性,学者付微明认为个人生物识别信息是自然人独一无二的个人特征、一旦泄露,由于其无法更改和替换,只能放弃该生物识别特征的使用。13学者潘林青认为包含生物识别信息在内的个人敏感信息因其敏感度及使用风险的不同,有必要与一般个人信息区开来并实行特殊保护,但我国《民法典》并未对此进行界分,司法裁判中对于敏感信息也缺乏统一标准。《民法典》将个人信息分为一般信息和私密信息,但是生物识别信息不私密却具有高度敏感性,应当代之以敏感信息进行定义和列举。14
(2)对于个人生物识别信息的保护,刘越学者认为应当以财产权进行保护保护认为生物识别信息与自然人人格和身体密切相关联,应当作为特殊的财产加以保护,信息主体拥有的类似于财产权的占用、使用、支配效力大于通过隐私权保护的方法。在具体的操作上可以借鉴版权的分类收费标准,个人可以基于生物识别信息的财产权收取类似版权的费用15。但这一观点受到大量学者的反对,如果将生物识别信息作为财产权,首先如何定价即存在问题,如果被泄露或者买卖, 原信息主体会因失去所有权而无法救济。16对于个人生物识别信息的刑法规制, 王德政学者认为,由于生物识别信息的特殊性,有必要在《刑法》中加以特殊的保护,需要设计不同的构成要件和量刑标准。
(3)对于个人生物识别信息的民事诉讼救济,学者付微明认为生物识别信息纳入隐私权进行保护在诉讼上面临较大困难,由于生物识别信息侵权的多体现在违反了“程序性义务”,与侵犯隐私权的“实质性损害”认定标准完全不契合,侵权主体也难以证明损害及其因果关系,因此,有必要明确个人信息权独立的法律地位并完善民事诉讼救济制度,保护个人生物识别信息相关权益。18有学者认为, 生物识别信息属于综合性民事权益,叠加了人格权属性和财产权属性。我国《民法典》和《网络安全法》没有敏感信息的概念,将生物识别信息作为一般信息进行保护,不利于其特殊保护地位,按照现有法律规定,侵犯个人私密信息采用隐私权救济进行保护,则需要构建对生物识别信息的特别保护规则、采用过错推定的归责原则,明确损害赔偿认定标准。
(二)国外有关研究
1、国外立法
欧美将个人生物识别信息与一般个人信息区分开,对生物识别信息作为敏感信息加以保护,但立法模式有所不同,欧盟采用的是以《通用数据保护条例》为中心的综合立法模式,即综合民法、刑法、行政法的保护措施,把不同类型和性质的个人信息置于统一的个人信息保护法之内,将损害分为物质损害和非物质损害,采用过错推定。美国采用的是专门立法模式,由于美国的隐私权没有具体人格权和一般人格权之分,隐私权类似于大陆法系的一般人格权,伊利诺伊州《生物识别信息隐私法案》(BIPA)和加利福尼亚州《消费者隐私法案》都将生物识别信息作为隐私进行保护,对于个人救济采用违约损害赔偿救济,可以在实际损害和法定赔偿中择一进行。同时,也出现了不少针对生物识别个人信息侵权的诉讼。
2、国外司法实践
关于生物识别技术的使用与个人隐私的关系,在 1973 年的 United States v. Dionisio 案中,法院判词写到:“没有人可以合理的期待外界不知道自己的声音, 如同他期待他的脸对于其他人是个谜一样”。
关于生物识别技术对个人隐私的侵犯,有学者认为用面部识别技术扫描面部类似于“感官增强”,该项技术并未赋予政府新的感知和搜查能力,将人脸数字化并进行类似于高效翻阅照片簿的方法,不属于窥探个人隐私。
在 2012 年 United States v. Jones 中,无论被告人的行踪是否是公开的,长期的 GPS 监视仍然侵犯了公民对于隐私权的合理期待,法院的一致意见认为即使一个人可能对公共信息部分的隐私没有合理的期望,但个人在聚合这些数据时对隐私有合理的期望。
有学者对于敏感信息的特殊保护提出了批判:信息时代几乎所有的数据都属于个人信息,对于个人信息的特别保护只会增加监管压力和企业成本,阻碍行业的发展,因此,对于信息加以区分和保护是低效益的。2019 年的 Rosenbach v. Six Flags Entertainment Corporation 案中,伊利诺伊州最高法院认为因为商业实体违反 BIBP,原告无需证明实际损害和不利后果即可请求追偿,这也符合 BIBP 预防和震慑的立法目的。
对于生物识别信息,美国把生物识别信息放入隐私权的规制之中进行保护, 欧洲则认为属于综合性的权利,通过民事、行政、刑事的方法进行保护,基本都认同了个人生物识别信息的敏感性地位,我国没有区分信息的敏感程度,但是有私密信息的概念,对于私密信息的保护采用隐私权保护路径,非私密的生物识别信息视为一般信息,采用个人信息保护的规制路径。
三 研究思路与方法
本文运用了文献分析法,由于现阶段关于生物识别信息的研究尚不充分,笔者主要从个人信息保护和生物识别信息的保护进行文献检索,总结个人信息和个人生物识别信息的保护路径和立法原意,通过对学者前辈的研究成果的阅读分析来促进自己对于生物识别信息保护的理解。
本文采用了比较研究法,对其他国家的立法、判例和信息自决权和隐私权进行比较分析,提炼出具有代表性的国家立法的共同点和不同点,从判例和学说的阅读和分析入手,找出国外制度演进和实际应用的发展脉络。
本文采用了案例分析法,通过对国内外裁判观点的分析,结合具体案情,在同的案例判决中发现法院裁判的价值考量和所应用的具体规则,找出具体应用中存在的问题,并提出解决思路。
四、本文创新点及不足
本文问题的研究是一个比较新颖的课题,生物识别技术作为新兴技术被广泛运用,正值《民法典》施行之际,《个人信息保护法(草案)》25已经公布,与此同时新型案例已经开始出现,本文不仅从经典案例出发,也对近年来的新型个人信息侵权案例展开研究,结合近年来国外对于生物识别信息的法律保护的条款,在分析国外相关案例的处理路径的基础上,给出自己的建议。
本文的研究还有不足之处,虽然检索了大量的国内外法规和案件,但完全吻合的案件仍不是很多,相关文献资料也较为有限,故笔者的论述尚有不足,不够深入。笔者从个人生物识别信息救济的角度,对我国《民法典》中规定的隐私权保护路径所提出制度完善,鉴于目前国内法律法规对该问题仍未有明确规定,本文仅依据他国经验,从部分学者的观点出发提出的完善建议,仅代表个人拙见。
第一章 生物识别信息概述
第一节 个人生物识别信息的概念
生物识别技术是指利用自然人的唯一身份标识符如指纹、DNA 样本、虹膜、面部特征等具有可识别性和唯一性的生物特征进行身份识别和验证的技术,生物识别系统和算法通过对生物特征的收集和处理,将物理特征输出为数字信息,进而形成特征模板。由于每个人的生物识别特征都是独特唯一的,生物识别符不容易被盗窃、丢失,生物识别技术相对于传统身份认证技术而言,更加安全、稳定、精确,因此,被广泛的作为身份认证的方式被使用,“刷脸支付”、“刷脸登录”、“指纹打卡”被广泛的应用于我们生活中的各种场景,本次疫情也成为该项技术推广应用的催化剂,由于生物识别非接触式的特点,“刷脸认证”在门禁、考勤、金融支付、远程业务办理等领域被普遍的使用。不同国家和地区对于生物识别信息的表述并不完全一致。其中,美国伊利诺伊州《生物识别信息隐私法案》(Biometric Information Privacy Act ,简称 BIPA)将“生物识别符(biometric identifier)”定义为“视网膜或虹膜扫描、指纹、声纹、手部或面部几何结构扫描”26,生物识别信息(biometric information)即是基于生物识别符的信息,同时,将书写样本、书面签名、照片、用于有效科学试验的人体生物样本、人口统计学数据、纹身描述或身高等物理描述,体重、头发颜色或眼睛颜色排除在生物识别信息之外27。德克萨斯州《生物特征识别法》(The Texas Capture or Use of Biometric Identifier Act , 简称 CUBI) “生物识别码”是指视网膜或虹膜扫描、指纹、声纹或手或脸的几何记录。28欧盟 GDPR 第 1 章一般条款中的第 4 条第 14 款则采用的是生物识别数据
(biometric data)这一概念,将其定义为:“基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,例如脸部形象或指纹数据。”
一 个人生物识别信息的内涵
1、能够识别身份
由于每个人的都具有与众不同的、唯一的面部特征、虹膜、指纹、步态等生物特征,可以用于身份识别,用以确定自然人的身份。在动态场景中通过光学、声学等感应器,结合计算机算法进行生物特征跟踪采集、分类、定位和提取,可以实现个人身份认证。生物识别技术的特点和优势就在于它对于身份特征的可识别性,可以用以区分不同自然人的身份。
2016 年通过的《网络安全法》第 76 条将个人信息定义为“电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,同时, 将个人生物识别信息包含在个人信息之内,说明了对于个人信息识别个人身份的要求,《民法典》第 1034 条将个人信息定义为“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。生物识别信息明确包括在个人信息之内。说明生物识别信息需要满足个人信息的“识别特定自然人”的要求。而第 1038 条“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。”对于无法识别并且无法复原推演出特定人的信息排除出个人信息之列,说明“可识别性”对于是否属于个人信息的判定具有关键性作用。
欧盟对于 2016 年通过的《一般数据保护条例》(GDPR)的立法说明第 26 条对于“可识别性”有详细的说明:“数据保护原则应适用于任何有关已识别或可识别自然人的信息。”30以上识别要考虑所有合理的客观因素,综合直接或间接的合理手段,因此 GDPR 不包含对于匿名信息的处理。GDPR 的可识别性不仅指可以确定特地自然人的信息,也包含在信息加工拼凑的基础上可以推测出的自然人信息。
2、经过特定计算机处理
GDPR 对于生物识别信息进行定义时也指出“是通过特定技术处理处理的自然人的身体、生理或行为特征而得出的个人信息”31。经过特定技术处理是形成生物识别信息的前提条件,没有经过特定技术处理的生物特征不在生物识别信息范围之列。BIPA 将将书写样本、书面签名、照片、身高体重等物理描述排除在生物识别信息之外。32华盛顿州州长于 2017 年 5 月 16 日签署通过了《华盛顿生物特征隐私法案》(Washington bill)。《华盛顿生物特征隐私法案》将“生物特征识别信息”定义为“通过自动测量个人的生物特征,如面部信息、指纹、声纹、虹膜或其他用于识别特定个人的独特生物模式或特征而产生的数据”33。将生物学标识符定义为通过自动测量获得的由个体的生物学特征生成的数据。规定生物识别符是指通过自动测量方式所获得的个人的生物学特征而生成的数据。
相比较传统的个人信息,比如姓名电话身高体重等信息,不需要经过特定计算机处理,个人生物识别信息比如人脸特征指纹声纹等需要经过计算机识别和处理。以人脸识别为例,需要经过图像采集、定位、预处理、比对这些步骤,才能达到识别身份的目的。生物识别信息不同于传统个人信息,是大数据时代需要经过相关技术处理才能用以识别个人身份的一种特殊信息。
二 生物识别信息的种类
生物识别是指根据人类的生理特征和物理特征实现个人身份信息认证的技术,基于生物识别技术可以得到具备唯一性的个体数据(即个人生物识别信息) 用于进行个体的身份信息认证。由于生物识别技术这一新兴技术商业化进程较快,种类不断丰富,因此并无对个人生物识别信息的具体权威定义。
美国、欧盟等发达国家在生物识别领域发展最早,立法较为完善。美国和欧盟均将可识别性作为个人生物识别信息的核心要素,但其侧重点有所不同。欧盟侧重抽象概念定义,GDPR 第 4 条第 1 款指出,“个人数据”指已经被识别或可被识别的自然人相关的任何信息。当判断自然人是否可被识别时应考虑现有技术的发展、时间等客观因素。美国加州消费者隐私法则采用抽象定义结合不完全举例进行定义,具体描述为“包括个人的视网膜、声纹、以及包含识别信息的击键模式、步态模式或节奏等”。我国最新修订生效的《个人信息安全规范》(GB/T 35273-2020)中,将个人基因、指纹、声纹、虹膜、掌纹、耳廓、面部识别特征等归属为个人生物识别信息。
通过以上相关文献法案可以看出,个人生物识别信息的外延会随着科技的发展会得到进一步的扩充。整体而言,个人生物识别信息包含生理特征信息和行为特征信息两种,其中生理特征包括个人的生物特性和物理特征信息,生理特征包含声纹、虹膜、静脉图案、耳道形状等,行为特征包括步态、笔迹等。现将目前应用比较广泛的生物识别信息进行具体描述。
(一)基因识别
基因是控制个体性状特征的遗传单元,形状特征表现为发色、身高、单双眼皮等外部特征和免疫力、骨骼强度等内部特征,只要不同个体间存在差异便一定会在基因层面上有所不同,即基因的多态性。每个独立的个体都有各自独特的基因组,包含我们所有的遗传信息。通过测量人体的 DNA 序列与已有数据库对比便可以准确实现人体的身份信息识别(DNA 测序流程如图 1 所示)。目前,人类基因库已经收集识别绝大多数基因数据信息,配合神经网络等工具开发了多种基因识别方法,对比识别准确率达 99.9%。
(二)声纹识别
图 1 DNA 测序流程图
声纹是语音信号经过处理后得到的波谱信息。声纹的影响因素主要包括发声器官的生理结构差异和个人的发声习惯等两部分。前者主要是由人类发声器官, 如舌头、口腔、鼻腔、咽腔等生理构造上的不同导致的,好比不同型号的汽车车鸣会有所不同。后者是由不同个体发声时的发生习惯不同导致的,比如有人说话快有人说话慢,有人发音强有人发音弱等。不同的发声器官构造和不同的发音习惯使得不同个体的言语信息经过声电转换后得到不同的声波图谱,从而便可以实现个人的身份信息认证35。声纹识别技术的原理是将语音信号采集为电信号,不同的发音对应不同的电压值,经过端点检测和降噪处理后得到对应的波形特征图谱,再将足量的波形特征图谱进行特征提取,建立专属的声纹库。当需要进行识别时,将提取到的声纹特征参数与声纹库中特征参数进行对比,参数匹配则通过识别(具体声纹识别流程图如图 2 所示)。目前声纹识别技术已经较为成熟,市场上广泛使用的声纹识别准确率已达 99.1%以上。
图 2 声纹识别流程图
(三)虹膜识别
虹膜是人眼瞳孔和巩膜之间的有色肌肉组织。虹膜的形成除了受基因影响外更多的是受胚胎发育环境的随机因素影响,由于不同个体的胚胎发育环境如环境、母体特征等完全不同且随机因素影响较多,故不同个体的虹膜外观特征会出现较大差异。由于虹膜的主要纹理再孕育期间 9 个月便已基本成型一旦形成便难以更改,只有通过及其精密的手术才能修改且需承担视力衰退的风险,故具备较好的稳定性,另外由于虹膜属于内部器官,采集时需要一定规范的完整扫描,具备良好的隐蔽性和安全性,是当下最完美的身份识别方法。虹膜的具体识别流程为先获取虹膜扫描图像,经过图像处理后得到特征图像,再将处理后的图像进行特征提取,收集提取到的特征建立虹膜数据库,进行身份识别时将提取的虹膜特征与数据库中的虹膜特征进行对比验证36。具体操作流程如图 3 所示。虹膜识别对硬件条件如摄像头、显卡等提出了较高要求,当硬件条件一致时应用不同的深度学习算法结果也会存在差异,当下较为稳定的虹膜识别算法准确率为 98.5%。
(四)掌纹识别
掌纹是人体手掌表面的纹路。掌纹的成形除了受基因、生活环境、健康状况影响外还具备较强的随机性,由于成型条件复杂且随机性较高,故不同个体的掌纹千差万别。掌纹识别的具体流程为手掌拍摄获取手掌图像,随后进行如灰度处理、均衡化、二值化、边缘提取、角点检测等图像处理,在处理后的图像中提取特征点,再根据特征点进行轮廓定位,提取相应的掌纹特征并建立掌纹数据库, 当进行身份识别时再将提取到的特征与掌纹数据库进行比对验证37(具体操作流程如图 4 所示)。随着科技的发展,相比于指纹而言,掌纹范围更大,存储的信息更多,提取到的特征点更为明显,具备更高的检测准确率,目前检测准确率可达 98.2%。同时,随着各个学科的交叉,掌纹识别已经不仅仅局限于手掌表面纹路的识别,还包括手掌表面光谱和手掌皮下静脉识别,通过这些识别方式可以获得更高的准确率。
(五)人脸识别
图 4 掌纹识别流程图
现实世界中人脸是我们识别对方身份的最直观依据,根据不同的相貌特点区分对方的身份,进而进行人际交往活动。不同的个体往往拥有不同的容貌,这里的容貌便对应着不同的面部特征。人脸识别技术便是根据脸部特征进行身份识别,是当下应用最广泛的识别技术之一。人脸识别的具体实现流程为人脸拍摄获取人脸图像,而后通过各种训练器进行图像训练从而获取有效的人脸图像,进而提取人脸特征,建立相应的人脸特征库。当进行身份识别时再将提取到的特征与人脸特征库中注册的人脸特征进行比对验证38(识别流程如图 5 所示)。但由于
现实世界中长相相似的人数较多,因而识别误差也会较大。根据 2019 年世界图像识别数据库ImageNet 官方数据显示,人类肉眼识别准确率为 94.81%,基于人工智能的人脸识别准确率为 98.43%。
(六)耳廓识别
图 5 人脸识别流程图
耳廓即耳朵的外形轮廓,耳廓主要在胚胎 5-9 周发育成形具备唯一性。耳廓识别就是对耳朵进行三维特征提取进行个人身份识别的技术。耳廓的形态并不会随着人体脸部表情、年龄等的变化而明显变化,较人脸识别而言具备更强的稳定性。耳廓识别的具体流程为耳廓拍摄获取耳廓图像,而后通过训练器进行图像训练获取有效的耳廓图像,进而进行耳廓定位提取耳廓特征,建立相应的耳廓特征库39(耳廓识别流程图如图 6 所示)。
图 6 耳廓识别流程图
35参见黄卓垚、李一伦、滕东东:《基于光学体全息的耳廓识别技术的研究,载《中山大学学报》2009 年第C2 期。
(七)指纹识别
指纹是人类手指皮肤上的纹路,包括纹路中的断点、交叉点等。指纹主要在胚胎在 4 个月左右发育成形,其成形具备随机性,号称每一个指纹都是独一无二的,因而具备唯一性,且指纹一旦成型便难以改变,即便短暂的磨损后也会随着时间重新恢复。指纹识别便是通过提取指纹的纹路特征进行身份识别的技术。指纹识别的具体流程为获取指纹图像,进行图像平滑、图像分割、图像增强、图像二值化、图像细化等指纹图像预处理操作,得到处理后指纹图像,进而提取图像的各个特征点,建立相应的指纹特征库40(指纹识别流程图如图 7 所示)。根据当下国家信息安全研究显示,当不考虑指尖压力对指纹的形变影响时,指纹识别具备极高的准确率,当考虑指压影响时,综合识别准确率为 95%41。
图 7 指纹识别流程图
通过以上详细描述可知,采用新的算法、步骤或技术手段,个人生物识别信息的外延将会一直得到更新和补充。因此,对“生物识别信息”应当结合当下的技术手段进行超前性的定义,同时采用不完全举例的方式对其进行补充,以保证权利人自身的信息权益,规范商业实体对个人生物识别信息的收集和使用行为。
第二节 个人生物识别信息的特征
一 生物识别信息的唯一性
个人生物识别信息是指直接采集于人体,通过自然人具有的唯一生理特征自
36参见崔若涵、姜文斌、柴俊、陆增洁、安帅:《基于 DSP 的指纹识别方法的研究》,载《中国新通信》
2020 年 3 期。
37参见赖彦彤、祁颖、何原野:《智能手机指纹识别技术研究综述》,载《信息安全研究》2019 年第 5期。
动进行身份鉴别、对应特定自然人的信息。相比于一般个人信息,生物识别信息的唯一性使其不易被仿冒,难以伪造。人脸识别系统是根据人脸的唯一性、独特性和差异性,可使得它在个人身份认证和识别中与传统技术相比具有先天的优势。指纹并不完全是遗传特征,即使拥有相同的编码基因,我们的左手拇指与右手拇指的指纹也不相同,即使一对同卵双胞胎之间的指纹也不相同,人的指纹具有唯一性,并且在人的一生中不会改变,适合作为人类身份的长期标记,指纹匹配是最广泛使用和最可靠的生物识别技术之一。每个人都有独一无二的虹膜纹理, 即便是同一人的左右眼或同卵双胞胎,其虹膜纹理也有显着差异,虹膜识别技术正是通过对比虹膜图像特征之间的相似性来确定人的身份。
与一般个人信息相比,生物识别信息具有唯一性。自然人可能同时拥有几个手机号或者支付账号,却只能拥有一张人脸,每张脸对应一个自然人,人脸信息对于自然人而言是唯一的。以国内“云闪付”支付为例,登录云闪付 APP 点击“人脸支付”功能,通过录入人脸图像完成人脸采集,开通后使用支付功能时通过摄像头对人脸进行算法处理,验证通过后自动将面部信息与个人账户相关联,实现支付过程,人脸支付中,不需要额外的密码,仅凭借刷脸即可完成支付。开通后在后续人脸支付过程中,只需要验证人脸信息可以单独完成支付过程,人脸信息可以单独用于身份验证,不需要验证其他信息。
二 生物识别信息的不可变更性
生物识别信息具有稳定性和不可修改性。指纹、面部、血管等生理特征与生俱来,无可改变。而声音、步态等行为特征尽管是后天形成的,会随着主体状态和环境方式等发生变化,但是在一段时间内也具有相对稳定性,不易更改。人们说话过程中语音特征和发音特征几乎是固定的。步态分析也存在稳定性问题,一个人的步态会因为身体健康和功能受损、体重变化而有所不同,但不同的腿骨长度、肌肉强度、重心高度差异的存在决定了步态的稳定性。
相比于个人的银行卡号,手机号码,个人生物识别信息具有更高的稳定性, 不难以被修改。个人可以改变自己的居住地址,还银行卡号,却给自己换一张脸或者更改指纹和虹膜颜色难度更大。如果要改变自己的面部特征,只能通过整容等方式,甚至在不改变面部关键点特征的微整容也不影响生物识别系统的判定, 即使整容达到无法识别原有信息的程度,但整容后形成新的面部特征可以构成信息的面部信息,同样可以用于识别。
由于指纹、手形、虹膜、声音、脸相和 DNA 等生理特征与生俱来、不可更改的特点,使得生物特征识别具有更高的安全性和稳定性,在多个领域应用广泛。当个人的账号密码泄露时,我们可以更换密码,重设密码后可以继续使用此账号,
但是如果个人生物识别信息泄露,比如指纹模被复制,我们却无法更换自己的手指指纹,一旦遭到泄露,就是永久泄露,常规的更改密码或发放新令牌的补救措施无法实现,只能关闭指纹验证功能,代之使用其他信息验证。因此,个人生物识别信息的泄露对于自然人的影响更大,更难以补救,影响更为深远。
三 生物识别信息的非接触性
生物识别信息具有公共价值,这和其自身的公共性有重要关联,大多数生物识别信息不具备私密的特征。我们的生物识别信息容易暴露在各种场所,可以在我们未察觉的情况下被搜集和处理,而不为我们所知。生物识别信息识别信息在获取和处理上具有非接触性的特征,不同于物理上的搜集和处理,人脸识别和声纹识别可以在信息主体毫不知情的情况下发生,以 315 期间被点名的万店掌公司摄像头为例,在门店内安装不易被察觉的摄像头,在顾客不知情并且没有取得授权同意的情况之下,即可收集顾客面部信息,并且根据收集的信息将顾客进行标签分类。容易被收集的不仅仅是面部信息、声纹、指纹信息等也由于其非接触性和留有痕迹的特征,在信息主体不知情的情况下被收集和处理。42同时,由于生物识别信息侵权大多数通过网络侵权表现出来,由于网络技术的隐秘性,侵权过程很难留下痕迹,信息主体对于侵权行为毫不知情,即使发现了侵权行为,信息管理人也可以对证据进行删除或修改。
四 生物识别信息的关联性
生物识别特征所包含的信息远远大于普通个人信息,在大数据时代,我们的大量信息被记录,生物识别信息能够关联其他信息,使得侵害生物信息的损害比一般个人信息更大。相比较一般个人信息,比如电话号码、邮箱号码等信息,生物识别技术可以利用人脸识别这一单个的信息,综合个人其他数据,与特定个人匹配,推测出个人的行动轨迹和偏好,形成对特定人的整体信息,甚至可以根据面部信息识别亲属和家族,但是我们很难仅仅根据电话号码或者邮箱等一般个人信息推测其他信息。由于个人生物特征具备一定的遗传属性,比如面部特征、瞳孔颜色等,这种特征在家庭、家族和人种中具有一定的稳定性,因此,生物识别信息泄露,带来的影响和伤害超出信息本体本身,还可以扩散至其他人。
第三节个人生物识别信息和隐私的区别
一 部分生物识别信息不具备隐私的“私密性”
隐私权的特点在于“私密性”,客体是“私密信息”,生物识别信息的特征是识别个人身份的属性。两者既有联系又存在区别。部分身份识别信息具备隐私所要求的私密性,没有公开的生物识别信息属于隐私,比如遗传信息、健康信息等, 一旦泄露不仅侵犯隐私权,也侵犯个人信息权,保护这些信息,也是出于防止个人信息泄露的目的。但是,生物识别信息无法完全归入隐私的范畴,有一些生物识别信息是对外公开的,具备使用上的公开性,比如个人面部信息暴露在公共环境中,指纹信息也容易被收集,这些信息由于其识别身份的特征,面容、声音公开是其验证身份的前提。同时,由于隐私一旦被保护、公开就被公众所知,失去其私密性,不再属于隐私。43因此,生物识别信息和隐私在关于个人私密生活中存在交叉,但是超过个人私密生活的生物识别信息不具备隐私的私密属性,无法归入隐私的范畴。
二 生物识别信息与公共利益密切相关
隐私权的内容是私人信息和私生活安宁,个人对于隐私具有绝对权和支配权,他人无权侵害,与公共利益无涉,并且不想被外界所知。而个人生物识别信息具备保护和利用两种属性,对于个人生理和行为特征的识别关系到公共利益和公共安全。在出于公共利益的目的进行身份识别时,由于生物识别快速、准确、高效的身份识别方式,能够促进公共利益的实现。比如疫情期间在机场火车站广泛使用的人脸识别体温检测仪,同时具备人脸识别和人体温度的测量功能,对于快速的身份识别和信息管理起到了重要作用,化解了可能威胁公共安全和利益的隐患。部分生物识别信息具备隐私的私密性,但是一旦涉及到公共利益,国家可以对这部分信息进行必要的收集和处理,这也是出于保护公民基本权利和自由的需要。
三 生物识别信息是主动性的权利
隐私权是私人信息免受他人或公权人侵扰的权利,由于具有很高的人身依附性,相对来说缺乏财产价值,是一种消极的、防御性、排除他人使用的权利,只有在被侵害后才能请求排除妨害,个人无法积极利用。个人生物识别信息是指个参见王利明:《论个人信息权在人格权法中的地位》,载《苏州大学学报》2012 年第 6 期。
人对于自己信息的支配和控制,不仅包含人格价值,还兼具财产价值,权利人除了被动防御以外,还能对其加以主动利用。个人生物识别信息是主动性的权利, 某些生物识别信息具有财产性价值,如米勒诉福特汽车公司案44中模仿明星的配音做的广告宣传,声音用于区分个人的独特身份,具有财产利益。
因此,由于隐私属于消极性的权利,对于隐私权的保护注重事后保护,体现在隐私侵权后的请求排除妨害和损害赔偿,只有在该项权利被侵害时才能主张此项权利,这种事后的救济缺少事前的预防。而生物识别信息主体能够对信息加以利用,个人享有多项诸如“知情同意”等多种权利,权利人有权请求删除、更改未经许可收集到的个人信息,阻断非法利用。因此,一方面需要加强对于生物识别信息的保护,另一方面要促进生物识别信息的合理利用,构建生物识别信息收集、处理的法律框架。促进信息保护和信息利用的平衡。生物识别信息的保护不仅在于防止生物识别信息的滥用,还在于信息主体对于信息的控制和合理利用。
第二章 比较法视野下生物识别信息的保护现状
对于生物识别信息的保护,分为两种不同的路径,一种是通过个人信息保护的方式,将生物识别信息放在一般个人信息保护立法之中,通过人格权保护的方式进行规范,把生物识别信息作为敏感或机密信息进行保护。在数据立法中对于生物识别信息进行规定,通过民事、刑事、行政的法律规范对于生物识别信息进行统一的保护,这以大陆法系国家为代表,比较典型的是欧盟《一般数据保护条例》和德国的《联邦数据保护法》,前者因其数据保护的严格性和成员国适用范围的广泛性而知名,后者以其立法的前瞻性、系统性而被广泛借鉴。不同于大陆法系国家的统一个人信息保护立法,美国对个人信息的保护通过隐私权保护的方式进行,或在隐私保护法案中规定对生物识别信息的保护,如《加利福尼亚消费者隐私法》,或专门出台了生物识别信息保护法案,如伊利诺伊州、德克萨斯州等州生物识别信息立法。
第一节 生物识别信息的综合保护
一 欧盟《一般数据保护条例》
大陆法系国家将个人信息从隐私权中分立出来,形成个人信息权,放入人格权保护的框架之中。个人生物识别信息中包含着多种综合权益,于是 GDPR 将个人生物识别信息作为一种新型的综合性权利,而非属于某一部门法的单一法益,通过民事、刑事、行政等多种部门法进行保护,由于美国通过隐私权的保护方法对个人信息进行保护,因此联邦和各州都将个人信息和隐私放在同一部法律中进行保护。
欧盟GDPR 确定了个人生物识别信息的定义,并将之定位为敏感信息,GDPR第 4 条第 14 款专门对生物识别信息进行了定义,认为生物识别信息基于自然人的身体、生理或行为特征,是一种“需要经过计算机处理用以确认个人身份的新型信息”,主要功能在于识别或者确定自然人的身份。GDPR 第 9 条规定了对于特殊个人数据的处理规则,确定了特殊数据的范围,民族、政治观念、宗教信仰、基因数据、可以用来识别特定自然人的生物识别信息、健康信息、性生活和性取向信息等,都属于特殊数据,具有更大的敏感性,应当禁止处理为个人生物识别信息的特殊保护提供了依据和前提。欧盟也是以可识别性来定义个人信息,不仅包含直接识别个人的信息,也包括可以间接识别个人的信息。
欧盟 GDPR 明确了对于包含生物识别信息在内的个人信息的处理需要遵循的原则:“合法性、合理性和透明度、目的限制、数据最小化、准确性、数据完整性和保密性原则”。对于特殊数据是需要遵循“禁止处理”的原则,除非基于数据主体的明确同意或者或者社会安全等根本利益,非盈利机构基于正当的目的处理个人数据时,数据仅限于在本实体内流动,不得向第三人公开。同时,第 9 条
第 4 款规定成员国对生物识别信息、基因数据、健康数据的处理可以做出进一步的限定。欧盟禁止除了数据主体以外的人处理个人信息,除非征得数据权人的明确同意,基于特定的目的,基于公共利益、科学历史研究是必要的,并且采取了保护措施的条件下,方能处理个人生物识别信息。
对于数据主体对于个人数据享有的权利,第 16 条至第 21 条做出了详细的规定。GDPR 赋予数据主体更正权、被遗忘权、限制处理权、传输和携带权等实体权利。数据主体可以更正不正确的信息、完善不充分的信息;规定了数据主体有权要求删除其信息、要求数据控制者限制处理的情形,对于数据的更正、擦除和限制处理,数据控制着具有通知的责任和义务,需要将此情况告知给每个被披露的接收者。信息主体有权获得提供给控制者的、经过整理的的个人数据,有权把此类数据从一个数据控制着传输给另一个数据控制者46。GDPR 对于信息权人赋予了可以用以保护个人信息和隐私权的大量实体权益。
对于个人信息的侵权救济,GDPR 第八章规定了数据主体有权向监管机构提起申诉或者寻求司法救济,并可以从数据控制者和处理者中获得赔偿。如果数据控制者和处理者违反了 GDPR,需要对造成的损失负责。
GDPR 对于损失的证明责任,做了详细的规定,数据控制者和处理者除非能够证明自己对于因为违反 GDPR 造成的损失不具有责任,否则,就得对违法后果负责。为了实现对于数据权利的有效保护,每个参与处理的数据控制者和处理者对于损失的承担负连带责任,在对外承担连带责任后,才能要求数据处理者和控制者承担属于自己的那部分损失。GDPR 对于信息控制者和处理者采用过错推定责任,需要证明自己没有过错方能免责,同时,可以看出,GDPR 对于损害也采用推定,需要自己证明对于损害的发生没有责任,才能不承担损害赔偿责任。对于损失承担,信息控制者和处理者才用得上连带责任。
同时,GDPR 对于个人数据的保护也辅之以行政措施,监管机构有权对违反GDPR 的行为处以行政罚款,罚款时需要综合考虑个人数据类型、损害的程度、违法的主观目的、为了减少损失所采取的行动等进行综合考量,惩罚与违法行为成比例。同时,规定了惩罚的具体标准和上限:2000 万欧元的行政罚款或者营业额 4%,取两者更高的进行罚款。
二 德国的个人信息权立法模式
德国作为大陆法系的国家,在关于个人信息的人格权立法中也融合了英美法系国家的隐私权保护模式,并形成了信息自决权,并将信息自决权作为公民的基本权利,信息自决权具有宪法上基本人权的属性。
德国于 1977 年通过了《联邦数据保护法》(Federal Data Protection Act, BDSG),后来历经多次修正,2018 年 GDPR 在欧盟成员国实施后,同年德国也根据国情和法律适用的需要,通过了《德国数据保护调整和实施法》对现行的《联邦数据保护法》进行补充和完善。
德国确立了政府机构和商业组织处理个人信息需要遵循的原则,对于政府机关和商业机构收集处理个人信息的行为进行统一规制,建立了全面覆盖的个人信息保护体系。规定了信息收集和利用行为类型,对于信息主体享有的信息权作出了具体规定。将“个人数据”定义为:已识别或者可识别个人的任何信息,对于信息遵循可识别性的实质要求。信息主体享有广泛的信息权:请求告知权、更正权、删除权、封存权、获得赔偿权。此处值得一提的是信息的封存权,是指信息权人要求删除但是储存该信息具有合法依据时信息控制者应该对该信息予以封存。确立了信息处理的直接同意原则、目的原则和限制使用原则。德国《联邦数据保护法》中也规定了敏感信息的概念48,个人健康信息属于个人敏感信息,说明德国也对于敏感信息和一般信息有所区分。同时,对于人格权精神损害的赔偿不以造成“严重损害”为前提。
该部法律是对于个人数据保护的专门立法,对个人数据进行统一保护50,里面规定的处理个人信息的原则被广泛借鉴,规定的个人信息权对于大陆法系国家的立法和司法裁判仍然具备借鉴价值。在“微信读书侵权案——黄某与腾讯公司隐私权、个人信息权益网络侵权责任纠纷一案”的法院判决中,尽管法院没有说明引用的理论,但法院认为微信读书中用户同意的获取应该特别、独立,微信和微信读书是两款不同的应用,对于好友关系的获取应该分别进行同意51,这与德国的《联邦数据保护法》中的直接同意原则相呼应,同时,认为用户想用建立或者拒绝建立“信息化人设”的自由,用户的这种自我决定权与德国的信息自决权一脉相承。
第二节 生物识别信息的隐私权保护
美国 1974 年《隐私法》把个人信息归入隐私权进行保护,对于信息的收集、利用,保存和披露等行为采用隐私权规范路径护,美国的隐私权类似于大陆法系中的人格权,包含了一般人格权和具体人格权。目前美国联邦层面没有专门针对生物识别信息使用的法律,在联邦立法缺失的前提下,美国地方各州对于生物识别信息的规制出台了相应的法案。美国对于生物识别信息的保护分为两种路径: 一种是将生物识别信息和一般个人信息放在一起进行保护,将不加区分,采用同等保护程度的普通个人信息规制路径;一种是将生物识别信息从一般个人信息中独立出来,单独立法,采用更严格的规制路径或特别路径。
一 美国的一般隐私法规制路径
在欧盟《通用数据保护条例》正式生效一个月后,美国加利福尼亚州通过了
《2018 加利福尼亚消费者隐私法》(California Consumer Privacy Act of 2018,简称 CCPA)。由于谷歌、Facebook 等加州公司公司对个人信息的滥用以及由此产生的相关诉讼,公众对于个人隐私保护的呼声高涨,加州对于消费者隐私的保护走在各州前列,这部隐私法案对于其他各州的相关立法具有较大的借鉴意,这部法案旨在规制商业实体在消费者不知情的情况下利用个人隐私信息的行为。CCPA 对收集个人生物信息的规制与对一般个人信息的规制无异。
CCPA 中个人信息的定义十分宽泛,为能直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息,个人信息包含了个人生物特征信息。CCPA 对于生物特征信息作出了明确规定:是指:“个人的生理、生物或行为特征”,可以单独或者与其他数据结合来识别个人身份,生物特征信息包括但不限于“DNA、虹膜、视网膜、指纹、脸部、手掌、静脉图案和语音记录的图像,从其识别模板(例如面部印记、细节模板或声纹)可以被提取,以及包含识别信息的点击模式或节奏、步态模式或节奏以及睡眠、健康或运动数据。”52 相对于 GDPR,CCPA 对于生物特征信息的范围定义更为广泛。
对于消费者享有的权利,CCPA 赋予了多项权利以保护消费者的隐私信息, 包括请求数据披露权、删除权、选择退出权等,强化信息主体对个人信息的支配力。企业需要承担收到消费者请求后的 45 天内披露和提供信息的义务;消费者可以基于正当请求要求删除信息。与 GDPR 对与企业处理个信息所需的数据主体的统一不同,CCPA 更注重促进信息的合理利用,企业收集信息不需要取得消费者的事前同意,而是通过赋予消费者选择退出权,在信息的后续使用中用户可
以拒绝信息的售卖,消费者可以在信息处理的任何环节要求不将个人信息出售给第三方,这项规定对于消费者而言具有更强的操作性,也能促进信息的利用。
对于侵害消费隐私的损害赔偿,CCPA 规定消费者可以择一请求不低于 100
美元不高于 750 美元的赔偿或实际损害赔偿金,以数额较大者为准,该项赔偿以每次的违规行为计算,由于生物识别信息侵权多体现在批量化的信息处理,同时侵害多个消费者的权益,所以每项违规损害赔偿可能导致最终的损害赔偿计算金额特别大。但是 CCPA 规定消费者提起损害赔偿时需要提前通知商业实体,如果商业实体采取补救措施避免了后果的发生,那么无需对之前的损害承担赔偿责任。同时,CCPA 赋予检察长作为代表提起诉讼的权利,任何违反本法案的信息处理者或个人每次违规行为承担高达 7500 美元的罚款,但是需要提前 30 天通知经营实体,给予其补救时间,该条款是对于公司利益的有限让步。
二 美国生物识别信息的特别立法
美国出现了关于生物识别特征信息的专门立法,用以规范政府或企业收集处理个人生物特征的行为,对生物识别信息的定义特征、收集、使用、储存和救济作出相应的规定,这些立法对于同意的方式、储存时间、诉权、法律责任的规定并不相同。其中,以 2008 年《伊利诺伊州生物识别信息隐私法》、2009 年《德克萨斯州生物识别隐私法》、2020 年《华盛顿州面部识别法》规定的较为系统, 具有较大的借鉴意义。
(一)伊利诺伊州《生物识别信息隐私法案》(Biometr ic Infor mation Privacy
Act ,简称 BIPA)
BIPA 作为美国为了规范商业实体处理个人生物识别信息出台的第一部法案,对于法案的立法的依据和意图、生物识别符的范围、信息的收集、使用、保护、处理、存储、保留和销毁,私人实体的范围、书面许可的定义作出了详细的规定,BIPA 以其法案的系统性和对于私人实体的严格限制对美国其他州关于生物识别信息的保护有深远影响。
BIPA 对于个人信息进行了分类,采用不完全列举的方法定义了机密和敏感信息的范围,机密和敏感信息具备个人信息的可识别性,可以用来识别个人身份或者财物,将遗传标识、记忆检测信息、账号密码、账号号码,驾驶证号码等都归入机密和敏感信息的范畴,BIPA 对于机密和敏感信息规定范围较广,对于账号号码也归入机密和敏感信息的范围,实行更严格的保护。“生物标识符”包括对“脸部结构”的扫描,但照片不包含在内。
BIPA 要求采用书面通知和收到书面需要,才能收集和处理个人生物识别信息,并且需要说明使用的目的和时长,对于信息的储存时间,BIPA 要求在满足
25
第二章 比较法视野下生物识别信息的保护现状 收集和使用目的或者最后一个互动满三年内进行销毁,具体时间以两者中发生较早的为准。未经个人书面同意,不得收集、使用、购买、出售、披露或者发布个人生物识别信息。
BIPA 赋予了个人对于私人实体的诉权,因为商业实体违反 BIPA 导致损害
的,个人可以在州巡回法院或者联邦地区法院提起诉讼。在赔偿中,区分了故意和过失,因为过失而违反的,需要在赔偿 1000 美元或者实际损害中选择较大的
一个数额进行赔偿,如果是故意违反的,则需要赔偿 5000 美元和实际损害的较大值。可见,无论是故意还是过失,都需要进行赔偿,同时,个人还能申请禁令。
由于 BIPA 赋予个人以诉权,于是出现了很多个人提起的针对违反 BIPA 的诉讼。
2019 年的 Rosenbach v. Six Flags Entertainment Corporation 案中,伊利诺伊州最高法院认为因为商业实体违反 BIBP,原告无需证明实际损害和不利后果即可请求追偿,个人对于信息享有控制权,提起诉讼不要求造成“实际损害”,只要信息收集利用违反了法定程序,就可以提起诉讼。这也符合 BIBP 预防和震慑的立法目的。53
在 Facebook 违反 BIPA 的集体诉讼中,因为 Facebook 推出了一项名为“Tag Suggestions”的程序,可以对于用户上传到服务器的面部照片进行读取分析,提炼出几何数据,进而识别照片中的好友并制作标签建议。2016 年用户据此提起诉讼,认为 Facebook 未经用户书面同意,对于生物识别信息的收集、利用和保存违反了 BIPA 的规定,进而引发了集体诉讼。第九巡回法庭指出了 Facebook 的“标签建议”的后果:“一旦一个个人的脸模板被创建出来,Facebook 就可以在每天上传到 Facebook 的其他数亿张照片中使用它来识别该个人,以及确定个人何时出现在特定地点。Facebook 还可以识别照片中个人的 Facebook 好友或熟人。利用面部识别技术开发人脸模板侵犯了个人的私人事务和具体利益。”542020 年 1 月,Facebook 同意支付 5.5 亿美元用于和解以结束该项集体诉讼。55
自 2019 年,TikTok 用户向伊利诺伊州联邦法院提起了案件,这些案件被合并为集体诉讼进行审理。用户起诉声称 TikTok 在没有获得用户同意隐私协议的前提下,收集了用户的面部数据、地点和联系人,并且利用以上信息形成用户模板,分析用户偏好,用于广告投放和盈利。2021 年 3 月,TikTok 支付了 9200 万美元,以针对非法收集个人生物识别信息的集团诉讼达成和解。56在比较和解与
第二章 比较法视野下生物识别信息的保护现状潜在责任时,如果案件继续审理,并对 Facebook 作出判决,Facebook 的和解金额仅略低于其根据 BIPA 承担责任的 1.5%。和解的数额和其数字广告收入相比, 显得微不足道。
(二)德克萨斯州《德克萨斯州生物特征识别法》(The Texas Capture or Use
of Biometric Identifier Act,简称 CUBI)
2009 年生效的 CUBI 采用完全列举的方法,对于个人生物特征识别符定义为“面部模板记录、声纹、视网膜或虹膜扫描、指纹、手部记录”,任何人都不能为了商业目的而收集生物识别信息符,除非为了实现特定目的,提前通知并且取得了同意。不得对外出售、出租或者披露个人生物识别信息符,除非个人死亡或者失踪取得了相应和同意、或者完成授权的交易、或者为了响应法律或执法机关的要求和命令。
CUBI 要求对于个人生物信息的保护采用的是与机密信息相当或者具有更强保护性的方式,这也说明 CUBI 认为生物识别信息的重要性不同于一般个人信息,所保护的力度不应对于机密信息的保护力度,从侧面反映了 CUBI 对于不同信息梯度和价值有所区分,对于生物识别信息保护要求比一般信息严格。
对于生物识别信息的商业储存,CUBI 要求在合理期限内销毁,不得超过法律所规定的保护期限一年;如果出于安全的目的雇主收集员工的生物识别信息, 那么在雇佣关系结束后不得保存个人生物识别信息。
不同于 BIPA,CUBI 没有赋予个人以诉权,州检察长可以提起诉讼,追究民事责任,违反 CUBI 的行为将会受到最高可达 25000 美元的处罚。
(三)华盛顿州《面部识别法》( Facial recognition bill)
2020 年 3 月,华盛顿州通过了关于人脸识别的 SB 6280 法案,该法案将于
2021 年 7 月 1 日生效,该法案主要是用以规制地方公共机构使用人脸识别服务, 对于政府使用提出了诸多限制,要求提高政府在搜集和处理面部识别信息的透明度并建立问责机制,避免政府对于面试识别信息的过度收集和滥用,防止人脸识别技术的使用构成对公民隐私的持续监视,从而危害公民人身自由。尽管本文语境是在商业使用下个人生物识别信息的保护,讨论的信息处理者是商业实体而非公共机构,但是该法案对于人脸识别服务的规模使用要求仍然可以为本文问题的讨论提供借鉴作用。
对于人脸识别技术的使用,该法案并没有完全禁止,而是对于技术的合理使用和决策的实施提出了具体的原则,建立了问责、审查和测试的机制,比如要求在算法中排除人脸识别的歧视或者偏差,只有经过监管机构审批之后才能使用, 防止构成对于公民的监视,识别结果的披露和公开需要公开征询意见等,将科学技术的使用透明化。
法案首先对人脸识别技术进行定义:“是指分析人脸特征”从而实现“验证身份或持续跟踪”的技术,法案中的人脸图像,不仅包含静态图像,还包括动态图像,可以推知,此处包含个人照片等等能通过图像鉴别识别个人身份的静态图。“面部模板”通过人脸识别服务从一个或多个图像中提取人脸特征生成的人脸模式。如果在公共场所通过视频或者历史记录持续跟踪特定某个人的物理运动,即属于“持续监视”,如果使用人脸识别服务持续跟踪不明身份的个人,在首次登记面部模板后保留此模板超过 48 小时或者人脸识别所产生的数据能够关联其他数据达到可识别身份的目的,即构成“持续跟踪”。
准备开发、获取人脸识别服务的州必须提交意向通知,并形成问责报告,说明人脸识别服务供应商和版本、人脸识别数据的类型以及生成过程、使用及保留政策、安全措施等。同时,规定了需要设置人脸识别工作组,工作组中应该有消费者代表和提供服务的公司代表,包含少数族裔和弱势群体,防止技术使用造成对弱势群体的歧视。工作组的作用在碍于研究技术使用的准确性和有效性,保护公民的隐私和安全,促进技术的使用。
