個人生物識別信息的保護與監管路徑

個人生物識別信息技術在諸多領域得到廣泛的應用，有關個人生物識別信息的收集、儲存、利用等已經發展成為一個龐大的產業。一方面，法律要保護生物識別信息主體的人格尊嚴和自由，保障其追求人格完整和發展的自主能力，避免個人生物識別信息的泄露或非法使用危害信息主體的人格尊嚴和自由價值。個人作為目的性的存在，只有消除個人對“信息化形象”被他人操控的疑慮和恐慌，才能有自尊并受到他人尊重地生存與生活。另一方面，個人生物識別信息包含巨大的經濟價值，可以被進行大規模的處理與應用。法律要適應技術進步與經濟發展，平衡個人生物識別信息主體隱私、利用期待與控制者的數據利用和管理的需要。從現實生活看，對于個人生物識別信息的收集、利用等大體可以分為三個方面：一是政府或者政府授權機構基于社會公共安全的需要收集與利用個人生物識別信息，典型的情形如機場、高鐵等領域在實施安檢時使用人臉識別系統；二是商業組織如銀行、電子支付平臺（支付寶、微信等）等對于交易主體的生物識別信息進行收集和利用；三是特定的機構基于管理的需要對個人生物識別信息的收集和利用。例如學校、公園等機構要求進入內部空間時使用“人臉識別系統”。上述情形可以劃分為基于公共利益的需要與基于商業利益的需要而收集、使用個人生物識別信息兩種類型。

基于公共利益收集和利用個人生物識別信息及其限度

在個人生物識別信息保護領域，國家扮演著多重角色。對于個人生物識別信息的商業化利用而言，國家大體上處于超然于個人生物識別信息主體與信息控制者雙方利益的中立地位，其以社會管理者身份通過制定法律和實施法律調和信息主體的信息歸屬、信息自決權與信息控制者的數據利用、數據財產利益之間的矛盾。從現實情況來看，為了公共利益的需要，國家實際上已經成為個人生物識別信息最大的收集、處理、儲存和利用者，其本身是作為生物識別信息獨立的利益相關者而出現的。相應地，國家就從個人生物識別信息商業化利用中的中立地位轉變為兼具信息利用者和管理者的雙重身份角色。國家對個人生物識別信息的收集與利用可以極大地發揮個人生物識別信息的價值，從而有效地保障公共安全與社會公共利益。但是正如前文所述，個人生物識別信息的應用有重大安全風險，因此政府機關或授權機構在收集個人生物識別信息時必須基于公共利益的要求并遵循法定程序，符合比例原則下目的性、必要性和比例性的要求，兼顧收集目標的實現和保護信息主體的權益?！睹穹ǖ洹返?035條規定，處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理。

政府機關或者授權的機構在收集、處理、利用個人生物識別信息時應當遵循以下具體規則：一是收集主體必須有明確的法律依據或者經明確的授權。政府機關或相關機構對于個人生物識別信息的收集必須具有法定的依據和授權事項，并明確告知相對人該法律依據和授權事項以及不提供個人生物識別信息的法律后果。政府機關或授權機構不得超越職權收集個人生物識別信息。二是政府機關或者授權機構不得為公共利益之外的目的利用個人生物識別信息。為維護國家安全和公共安全，政府機關可以利用個人生物識別信息。例如，公安機關或稅務機關可以在刑事偵查、追查稅款等特定情形之下進行個人生物識別信息比對。但是在此之外，不得為非公共利益的目的儲存、處理或利用個人生物識別信息。為支持學術研究，授權機構也可以利用個人生物識別信息，但是須無害于個體的人格利益，相關研究人員或機構應當對使用的個人生物識別信息采取妥善的保護措施。三是個人生物識別信息處分要嚴格限制。政府機關或授權機構非經許可不得向他人轉讓個人生物識別信息，尤其是禁止以營利為目的向任何機構有償轉讓個人生物識別信息。由于信息技術日益發達，政府部門之間共享政府數據，或者政府部門與商業公司之間互相共享數據越來越常見。例如，在新冠肺炎疫情期間，騰訊、阿里巴巴等商業機構通過自己的數據與技術給疫情防控提供了大量的數據（其中包括人臉識別、指紋等數據）。這其中既包括政府授權平臺公司利用自己的技術優勢直接參與防控，也包括它們對已有數據的加工和處理。通過對政府數據與社會數據的共享和充分發掘，可以準確識別個人的行動軌跡、個人的感染情況以及相關密切接觸者的健康狀況，充分發揮數字化防控的最大效能。為避免泄露個人生物識別信息，有必要構建一套統一的、法定的數據交換標準，形成規范的數據格式，在公開時要去標識化處理，并選擇恰當的方式和范圍。

非基于公共利益收集和利用個人生物識別信息的保護和監管

近年來，商業公司或特定機構對個人生物識別信息的收集和利用有愈演愈烈的趨勢。商業公司或特定機構對于個人生物識別信息的收集和利用通常并非基于公共利益的目的。為保護個人生物識別信息，必須在立法、司法以及行政層面加強相應的監管，

個人生物識別信息的商業利用取決于信息控制者與生物識別信息主體之間的權利義務配置。個人生物識別信息的利用主要涉及信息的收集、信息的儲存、信息的加工和處理以及信息的使用，每一個過程都可能涉及到信息的隱私化和隱私的信息化。過度限制生物識別信息的利用會影響人們通過信息造福社會。法律規范應當妥當平衡個人生物識別信息利益的保護與個人生物識別信息資源有效利用之間的關系。學校、公園等基于自身管理的需要采用生物識別信息系統，雖名為“公共安全的需要”，但是顯然不符合比例原則的要求，這些單位通常無權收集和利用個人生物識別信息。

商業公司或特定機構在收集和利用個人生物識別信息時，應在技術標準、制度規范、法律約束等各個方面適用嚴格的條件和程序。具體來說：一是商業公司或特定機構在收集和利用個人生物識別信息前須向個體進行充分的告知，獲取個體的明示同意。二是商業公司或特定機構公開處理個人生物識別信息的規定，明示處理個人生物識別信息的目的、方式和范圍，不得超出規定的目的收集、處理、利用個人生物識別信息，必要情況下的目的變更應當有法律的許可或取得個體的明確同意。三是商業公司或特定機構應妥善保管個人生物識別信息，相關收集、儲存、使用、加工、傳輸、提供、公開應當嚴格遵循法律、行政法規的規定。

（作者為武漢大學法學院教授、博導，武漢大學網絡治理研究院研究員）

【參考文獻】

①張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》，2015年第3期。

②李永軍：《論〈民法總則〉中個人隱私與信息“二元制”保護及請求權基礎》，《浙江工商大學學報》，2017年第3期。

③許可：《數據保護的三重進路——評新浪微博訴脈脈不正當競爭案》，《上海大學學報（社會科學版）》，2017年第6期。

④葉名怡：《個人信息的侵權法保護》，《法學研究》，2018年第4期。

⑤胡文濤：《我國個人敏感信息界定之構想》，《中國法學》，2018年第5期。

⑥陳宗波：《我國生物信息安全法律規制》，《社會科學家》，2019年第1期。

⑦高富平：《論個人信息保護的目的——以個人信息保護法益區分為核心》，《法商研究》，2019年第1期。

責編/于洪清 美編/楊玲玲

聲明：本文為人民論壇雜志社原創內容，任何單位或個人轉載請回復本微信號獲得授權，轉載時務必標明來源及作者，否則追究法律責任。