1. 个人生物识别信息合理使用的一般理论
1.1. 个人生物识别信息的概念及基本特征
1.1.1. 个人生物识别信息的概念
我国《个人信息保护法》第28条采取“定义 + 列举”的方法,明确规定了敏感个人信息的含义,并列举了一系列属于敏感个人信息范畴的个人信息具体类型,其中就包括个人生物识别信息。个人生物识别信息虽然作为敏感个人信息的下位概念,但其具体内涵并未在《个人信息保护法》中得以明确,仅在《信息安全技术个人信息安全规范》中明确规定了个人生物识别信息的种类,如面部特征、基因信息、指纹及声音特征等各类关于自然人的生物标识。关于个人生物识别信息的具体内涵,学界展开了深入的探讨。郭春镇认为,人脸就是个人生物识别信息[1]。郑文阳认为,个人生物识别信息是一种用于识别个体的生理或行为特征的信息,以便确定其身份[2]。焦艳玲则对个人生物识别信息与个人生物特征的内涵进行了进一步区分,使个人生物识别信息的内涵和边界更加清晰。其主张,个人生物特征与生俱来,具有天然的客观性,个人生物识别信息则是经过了人工干预而在后天形成的数据,个人生物识别信息是通过特定技术处理将个人生物特征转化而来[3]。综上所述,个人生物识别信息指的是利用生物识别技术对个人的生物特征或行为特征进行数据化处理后所获得的可以直接识别和对应特定自然人的个人信息。包括但不限于面部、指纹、基因序列等身体特征信息,以及自然人步态、眼球追踪等行为习惯特征信息。
1.1.2. 个人生物识别信息的基本特征
1) 人身对应性
个人生物识别信息承载着独立自然人的某些独一无二的生物体征和行为特征,它与特定的自然人是一一对应的关系,由于个人生物识别信息的内容可以明确指向具体特定的自然人,因而通过甄别个人生物识别信息是准确地识别和验证特定自然人身份的重要方式。例如,用户在银行开户时,只需要提交一种个人生物识别信息,如面部信息、指纹信息,就能够绑定身份证,在后续办理银行业务过程中仅凭借刷脸或输入指纹即可完成,无需验证其他个人信息。因为个人生物识别信息具有直接的指向性,只能与唯一和特定的自然人相匹配,所以个人生物识别信息足以显著区分该自然人与其他主体,无需其他个人信息的辅助识别,直接、快速识别个人身份。由于个人生物识别信息具有人身对应性,一旦个人生物信息过度使用和遭受侵害、泄露,个人的财产不可避免地遭受威胁。因此,保护个人生物识别信息的安全性和隐私性具有重要意义。
2) 高度稳定性
个人生物识别信息与个人生物特征与行为特征直接相关,而个人生物特征与生俱来,难以撤销和变更。个人生物识别信息与其他个人信息相比具有高度的稳定性。例如,个人账户信息、密码和手机号泄露后可以及时变更该类信息,防止个人信息遭受进一步损害。而个人生物识别信息泄露后,其损害后因其与个人生物体征息息相关,更改非常困难。个人生物识别信息一旦遭受违法侵害,造成的损失既不可挽回,又难以通过变更个人生物识别信息阻止损害扩大。因此,为确保个人生物识别信息的安全,必须严格规范处理这些信息的机构的行为,并引导其合理使用个人生物识别信息。
3) 较强敏感性
个人生物识别信息涉及个人生物体征,一般个人信息通常无法直接准确识别特定的信息主体,需要间接结合其他个人信息匹配和识别到特定的信息主体。然而,因为个人生物识别信息指向性唯一,所以它可以独立而快速地对特定信息主体进行识别。当个人生物识别信息被泄露、盗用或冒用,就等同于打开了特定信息主体的完整档案,个人生物识别信息被不法利用的危险性骤增,并且该特定信息主体将丧失独立控制其自身个人信息能力,其财产可能遭受损失,甚至其人格尊严和自由受到极大的侵害。例如,个人健康信息作为个人的身体和心理状态的重要信息,其隐私性极高。一旦其暴露,可能遭受他人的歧视或是不公平待遇。正是由于个人生物识别信息可精准识别特定主体身份,其风险程度和敏感程度远高于一般个人信息,因此,合理处理个人生物识别信息,需要建立较为严密的处理规则。
1.2. 个人生物识别信息的合理使用制度的基本内涵解读
著作权法上的合理使用制度,是指在法律规定的情形下,他人可以未经过著作权人同意,直接使用作品,且无需支付费用[4]。著作权法中的合理使用制度,是基于促进知识传播和兼顾社会公共利益的需要,而赋予他人在合理范围内无偿使用著作权人的作品的特殊权利。由于该权利具有法定性和正当性,著作权人对作品享有的排他性专有权受到一定的限制。同样的,在数字经济时代,数据成为数字经济发展的战略性资源[5]。个人生物识别信息涉及信息主体隐私的敏感个人信息,如若放任信息处理者随意滥用个人生物信息,势必对信息主体的人身和财产权益造成威胁;然而,一旦严禁信息处理者处理个人生物识别信息,将不利于发挥个人生物识别信息的利用价值,影响数字经济的发展。
为了充分释放个人信息的价值和促进数字经济的发展,1983年,德国法院通过人口普查案首次明确了“个人信息合理使用”的理念,开创了个人信息领域中的合理使用制度。欧盟相继在《通用数据保护条例》中明确规定,信息处理者可以合理使用个人信息的六类情形。随后,我国《民法典》1036条和《个人信息保护法》第13条也规定了多类合理使用个人信息的情形。基于我国现行《民法典》和《个人信息保护法》有关个人信息合理使用的规定,程啸教授认为,个人信息的合理使用,是指信息处理者在法律规定的具体情形下和合理范围内使用不产生否定的法律后果[6]。因此,结合数字经济时代处理个人生物识别信息的现实需要和个人信息合理使用的基本内涵,个人生物识别信息合理使用的内涵可进一步解读为:在法律规定的特定情形下,个人信息处理者基于法定的情形,在合理范围内无偿使用个人生物识别信息,可以豁免其未经信息主体同意擅自使用个人信息的责任。
2. 构建个人生物识别信息合理使用制度的正当基础
2.1. 实现个人生物识别信息在商业化应用中的经济价值
伴随着数字化、信息化以及网络化时代的快速发展,个人生物识别信息作为一种新兴的个人信息形式逐渐崭露头角。其在市场经济交易过程中展现出了巨大的价值,其应用前景和发展空间也日益扩大。对个人生物识别信息的开发和创新性运用不仅有助于保护国家和社会的利益,还能推动产品制造、日常生活服务以及网络运营等多个方面的效能提升在商业盈利和公共管理方面。例如,在电子商务、金融交易等领域中,使用个人生物识别信息可有效降低身份冒用、密码破解等风险,保障用户交易过程中的资金安全和提高交易的便捷性;在经营者可以根据用户的生物特征和行为数据,推送更符合其需求的商品或服务,提升消费者的满意度和体验感。然而,正是因为个人生物识别信息的在经济社会中的价值不容小觑,在其广泛应用过程中被肆意获取、非法交易或被滥用和盗用现象屡见不鲜。在积极推动个人生物识别信息商业化应用的同时,也需要强化和规范个人生物识别信息的合理使用,保障用户的合法权益和数据安全。
2.2. 平衡个人信息权益和社会公共利益的需要
个人信息权益是数字经济时代中出现的新型人格权益[7]。同样的,个人生物识别信息权益也是一项兼具人身权益和财产权益的新型人格权益,其具备个体属性和社会属性双重属性。个人生物识别信息的双重属性意味着立法在注重保护个人生物识别信息权益的同时,应适当兼顾社会公共利益以促进经济社会的发展。数字经济时代,合理使用个人生物识别信息,必须以国家总体安全观为指导,以维护人民安全和社会公共利益为宗旨,坚决维护人民群众的生命及财产安全[8]。社会公共利益是社会公众共同承认和追求的利益,个体的私人利益抽象总和构成了社会整体利益,维护社会公共利益在本质上是维护每个独立个体的私人利益。因此,合理利用个人生物识别信息,既保障了社会公共利益,又对提升个体的私人利益具有深远意义。例如,政府要搜集和利用个人生物识别信息,可以为社会公众提供便捷的公共服务和维持安定的社会秩序;企业有必要将个人生物识别信息用于市场分析,精准定位消费者需求和助推产业结构升级;科研机构进行科学研究时利用个人生物识别信息,可以促进科技进步与技术创新,进而提升社会公众的生活质量。信息处理者以合法、正当方式在必要限度获取和使用个人生物识别信息,既能够防止个人生物识别信息被滥用、泄露的同时,又有利于促进经济社会发展、增进社会公共利益和提升社会整体福祉,最终也有助于充分实现个人利益。因此,我国在立法层面设计了个人生物识别信息的合理使用制度,有效地平衡了个人信息权益和社会公共利益。
2.3. 弥补处理个人信息“同意”原则的不足
同意原则是处理个人生物识别信息的基本原则。该原则要求在处理个人生物识别信息时,信息处理者必须首先获得信息主体的明确同意后,才能进一步在合理范围内处理个人生物识别信息。在个人生物识别信息处理的实践中,同意原则的弊端逐渐显露。一方面,在高速信息化的时代,信息主体难以耗尽大量的时间和精力去研究冗长、枯燥和专业性强的隐私政策与用户协议,因此,信息主体往往在不理解隐私政策的情况下快速、盲目授权信息处理者使用其个人生物识别信息,其与处理者达成的用户协议未真正体现用户的真实意愿。另一方面,信息处理者通常处于强势地位,若信息主体拒绝信息处理者处理个人生物识别信息,将失去享受某项服务的权利。而信息主体为享受处理者提供的服务,往往向信息处理者妥协,丧失“同意”的真正自主权。而构建个人生物识别信息的合理使用制度,可以有效弥补知情同意规则的缺陷。该制度在保护个人隐私权的前提下,明确规定了个人生物识别信息的处理者应当在几种法定的具体情形下合理范围内使用个人生物识别信息。一方面,能够减轻用户的阅读和理解隐私政策的负担,简化处理个人生物识别信息的流程,进而提高个人生物识别信息的利用效率。另一方面,合理使用制度可以明确规定信息处理者使用个人生物识别信息的范围、目的、方式和必要限度,有效防止信息处理者凭借强势地位侵害个人信息主体权益的不法行为。合理使用个人生物识别信息的制度弥补了同意原则的缺陷,两者相互补充,构成了处理个人生物识别信息的正当基础。
3. 个人生物识别信息合理使用制度现存的问题
3.1. 个人生物识别信息的合理使用缺乏具体规则指引
目前法律规范对个人生物识别信息的合理使用规范仅停留在原则性规定,缺乏可操作性的规范和个人生物识别信息的使用场景的具体考量。例如,《个人信息保护法》第26条规定,为维护公共安全,政府部门可以收集个人生物识别信息。然而,该规定只是笼统规定政府享有收集个人生物识别信息的权利,政府具体如何收集、使用个人生物识别信息才构成合理使用个人生物识别信息尚不清晰。虽然《人脸识别司法解释》对《个人信息保护法》第26条规定进行了部分细化,但是“突发事件”、“紧急情况”和“社会公共安全”等词语具有不确定性,法院在具体案件中判断是否属于合理使用时易出现理解不一的情况,过度使用个人生物识别信息可能被认定为合理使用。鉴于我国目前在个人生物识别信息的使用上还没有明确的规范,我们应该制定更为具体的规范和限制措施,这包括考虑场景化、避免信息滥用和确保具体规范操作的可行性。
3.2. 个人生物识别信息合理使用的认定标准不明确
虽然《个人信息保护法》第5条规定,在收集和处理个人信息时必须严格遵守合法、正当和必要的原则,然而现行法律并未明确和细化合法、正当和必要原则的具体内涵,进而导致信息处理者收集和处理个人生物识别信息时缺乏明确的行为指引。此外,虽然《个人信息保护法》第6条规定,使用个人信息的目的必须具有明确且合理,处理个人信息必须与处理目的直接相关。然而,目前法律未明确规定个人生物识别信息的哪些使用目的是属于合理、正当的范畴。在实践中,个人生物识别信息集中运用在公共安全、社会治理和金融支付等领域,但个人生物识别信息在实践中的具体用途是否合法正当,是否符合合理使用个人生物识别信息的要求,以及是否侵犯信息主体隐私权,需要更加具体的认定标准予以明确和指导。缺乏对个人生物识别信息合理使用认定标准的清晰定义,极易增加滥用个人生物识别信息的风险。
3.3. 个人生物识别信息合理使用的立法规范零散,体系化不足
目前有关个人生物识别信息的法律条款分散在《数据安全法》《民法典》和《个人信息保护法》等多部法律和相关司法解释之中,法律规范的碎片化和不完备性导致其无法有效回应现实需求,缺乏一个系统化的规范个人生物识别信息合理使用和保护的机制,给个人生物识别信息的安全和隐私保护带来很大挑战。同时,虽然国内已有相关机构对个人生物识别信息进行监管,但其权责并不明确,缺乏足够的执法权威和实际执行力,导致监管效果不够显著,进一步明确监管机构的职责范围和执法权力,并建立完善的监管体系和执法机制,确保监管的有效性和可行性。为此,应该出台更为专项、系统的个人生物识别信息保护法规,从而建立起一套完整、合理、可操作的制度体系,确保个人生物识别信息的合理使用和保护,维护公民个人权利和隐私安全。
4. 个人生物识别信息合理使用制度的完善进路
4.1. 完善个人生物识别信息合理使用的具体规则
个人生物识别信息作为敏感信息的重要类型,《个人信息保护法》第13条所规定的几类合理使用个人信息的情形应当同样适用于合理处理个人生物识别信息的情形。在处理个人生物识别信息时,应首先格遵循《个人信息保护法》第28条中规定的“特定目的”和“充分必要”性,才可以进一步适用《个人信息保护法》第13条第1款第2项至第7项中的合理使用情形,进而避免滥用个人生物识别信息的合理使用制度。同时,《个人信息保护法》第13条中规定了在履行法定职责或义务的情形下,可在合理范围内处理敏感个人信息乃至个人生物识别信息。此处的“法定职责”和“法定义务”必须由法律进行明确和细化。换言之,政府在收集和使用个人生物识别信息时,必须有相关法律依据和授权事项,并清楚地告知信息主体信息使用的目的和方式,不得越权收集和使用个人的个人生物识别信息,同时,还应当遵循比例原则,需要适当兼顾信息主体的权益,权衡履行法定义务所达到的价值与信息主体可能受到的损失[9]。此外,《个人信息保护法》第13条第4项规定了在应对突发事件和公共卫生事件时合理使用个人信息的情形。此种情形下必须达到危及信息主体和其他自然人生命健康和财产安全,情况危急,没有任何一种方法可以帮助信息主体和其他自然人摆脱危机,才能将处理个人生物识别信息的行为认定为合理使用行为。同时,收集和利用个人生物识别信息的内容、数量和方式必须具有充分的必要性,足以处理好突发事件和公共卫生事件[10]。
4.2. 明确个人生物识别信息合理使用的认定标准
数字经济时代,对个人生物识别信息采取过于绝对化的保护不利于信息产业的发展。在具体情形中认定处理个人生物识别信息的行为是否构成合理使用时,应当进一步明确认定个人生物识别信息合理使用中“合理性”的具体标准。具体可以从三方面展开:首先,应当明确个人生物识别信息的使用目的,确保个人生物识别信息仅用于特定目的,且使用目的必须合法和正当;确保只有经过认证的信息处理者或机构才能获取和使用个人生物识别信息;确保信息处理者处理个人生物识别信息的时间、范围和手段,是为实现其使用目的所必需的。例如,个人生物识别信息仅应当用于身份验证、授权、安全检查等合法目的,不得超出范围使用。其次,个人生物识别信息的采集和使用应当遵循必要性原则和最小侵害原则,仅收集和使用有利于实现合法、正当使用目的的必要信息;并且收集和使用个人生物识别信息的手段具有不可替代性和合法性,即除了合理使用个人生物识别信息已外没有更好的解决途径;同时,个人生物识别信息的存储期限应当严格限缩,在某些特殊情形下为了便于达成特定目的除了合理使用个人生物识别信息,别无他法,特定目的一旦实现后,合理使用个人生物识别信息的行为应立即终止,以减少个人信息泄露的风险,保护用户隐私。最后,应当对信息处理者在使用个人生物识别信息时可能给各方利益造成的影响进行评估。个人生物识别信息涉及信息主体个人利益、信息处理者商业利益和社会公共利益,在进行法律规制时最重要的是实现利益平衡[11]。社会公共利益是最重要的社会价值,处于第一位阶,优先于信息主体权益和信息处理者的利益。信息主体的人格利益处于法律保护的第二位阶,在不与公共利益冲突的情形下,优先于信息处理者的商业利益。信息从业者的商业利益处于第三位阶,在不损害公共利益和信息主体人格利益的前提下受到法律保护。当三者利益发生不和调和的矛盾时,应当根据各方利益的价值位阶高低抉择,以实现利益的最大化。
4.3. 健全个人生物识别信息合理使用的综合治理机制
我国个人信息保护法律领域,法律制定缺乏协调性和一致性,碎片化和片段化问题严重[12]。专门的法律可以在短时间内建立起综合的个人生物信息保护框架,具有较强的针对性。因此,笔者建议构建一套完善的专门的法律法规框架以完善的个人生物识别信息合理使用综合治理机制,在制定规范个人生物识别信息合理使用的专门性法律规范时,应当明确个人生物识别信息的权利和义务,明确个人数据所有权,保护用户的隐私和个人信息安全,同时,应当进一步将特定生物识别技术或领域的规制纳入立法考量之中,并且将综合保护模式的一般法律原则、监管措施和多层法律保护机制纳入具体立法之中[13]。除了制定专门性的法律规范之外,行业标准与规范的确立对于健全个人生物识别信息的合理利用综合治理机制具有重要意义。所有行业必须明确个人生物识别信息利用范围及条件,并制定行业标准对个人生物识别信息收集,储存及利用进行监管。同时,应建立健全数据管理与监控机制,政府监管部门应加强个人生物识别信息获取与利用的监管,及时发现并处理违规情况,降低侵害风险以确保用户数据安全。只有规范法律法规,制定行业标准以及建立监督机制,才能够有效地解决个人生物识别信息在利用过程中隐私泄露以及数据滥用的现象,保障个人生物识别信息得以安全地利用。
5. 结语
数字经济时代,个人生物识别信息在现代经济社会发展中的应用价值凸显。促进个人生物识别信息的开发和利用,能够回应信息化时代利用个人生物识别信息的现实诉求,赋能经济社会的发展。然而,无限度利用个人生物识别信息可能会引发信息安全问题,因此,需要构建个人生物识别信息的合理使用制度,以平衡信息保护与合理利用之间的关系。同时,通过明确个人生物识别信息合理使用的认定标准和具体处理规则,健全个人生物识别信息合理使用的综合治理机制等路径,进一步完善个人生物识别信息的合理使用制度,将推动个人生物识别信息的合理利用和安全、有序流动。
基金项目
江西省2023年度研究生创新专项资金项目,项目名称:个人信息合理使用制度研究,项目编号:(YC2023-S476)。