查看原文
其他

褚婧一 | 论生物识别信息界定中的识别标准及我国的建构

褚婧一 华中科技大学学报社会科学版
2024-09-23

CSSCI来源期刊  中文核心期刊  中国人文社会科学核心期刊 


作者简介 




褚婧一,中国政法大学法学院博士研究生、比利时荷语鲁汶大学访问研究员


原文刊登于《华中科技大学学报(社科版)》2023年第四期第85至第97页





论生物识别信息界定中的识别标准

及我国的建构





摘要

 Abstract

识别标准是生物识别信息概念的核心要素,也是厘清其与一般个人信息、敏感个人信息关系的重要依据。当下,生物隐私立法呈现出界定生物识别信息的两种路径:一种是基于特定信息处理活动产生的生物识别信息,另一种则是根据数据来源产生的生物特征信息。从欧盟立法经验看,前者以“已识别”为标准,存在过于依赖信息处理者主观目的与保护范围较为狭窄的不足;后者以“可识别与已识别”为标准,虽扩宽了保护范围,但易与医疗健康信息和生物技术概念相混淆,且存在沦为“笼筐式”概念的风险。鉴于此,我国应以“直接识别+已识别”构建生物识别信息的识别标准,并在规制法中构建“生物特征数据”概念,以弥补保护法中较高识别标准所带来的局限性。

键词

Key words

生物识别信息;生物特征信息;可识别;已识别;唯一性识别

一、问题的提出

生物识别信息是个人信息保护领域的重要法律概念,因关涉个人独特的生物特征而往往被认定为特殊种类的个人信息,享有更高程度的保护,然而,目前立法与学术研究似乎尚未在“何为生物识别信息”这一基础问题上得出统一的答案。纵观各国立法,对生物识别信息的界定呈现出两种路径。第一种是目前大多数国家立法所采用的以特定信息处理活动为标准展开的界定。生物识别信息作为与科技紧密相关的法律概念,是基于特定处理活动产生的、能够识别或验证自然人身份(identity)的生物信息。例如,欧盟《通用数据保护条例》第4条规定,生物识别信息为“基于特定技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够帮助或实现对自然人的唯一性识别,例如脸部形象或指纹数据”。第二种是以数据来源作为界定标准,将生物识别信息视为反映身体特征的信息。例如,美国得克萨斯州《商业法典》以“生物标识符”指代“生物特征信息”,并在§503.001(a)中采用列举的方法提出“生物标识符是指视网膜或虹膜扫描、指纹、声纹、掌纹或面部几何形状的记录”。

就两种界定方式中的识别标准而言,前者以信息“能够帮助或实现对自然人的唯一性识别”为前提,这一标准高于一般个人信息的识别标准;后者则不再将身份识别视为必要条件,在识别标准上没有额外的要求,只要满足一般个人信息的可识别性即可。两种识别标准对应当下不同类型的生物信息处理技术或处理活动,由此产生对个人信息权益保护的不同范围。2018年未来隐私论坛发布了《人脸识别技术在商业应用中的隐私原则》。该报告将人脸识别分为以下五种技术类型:第一种,检测(detection),该技术可以辨别视频或图像中的个人或其特定身体部位,回答如“图像中一共有多少张人脸”等问题;第二种,归类(characterization),该技术可根据人的身体特征展开类别的归纳,如男性与女性、年龄段、表情开心或失落等;第三种,跟踪(tracking),这一技术可以在不识别信息主体具体身份的前提下通过辨别个体的显著特征来展开持续性追踪,回答如“有多少顾客多次出入某一商店”“人们排队等待了多久”等问题;第四种,验证(verification),即一对一(1∶1)地核验特定主体的身份,如常见的上下班打卡系统;第五种,识别(identification),即一对多(1∶n)地在群体中将特定的个体挑出,如警方追捕逃犯的识别系统。若将五种技术类型代入上述两种界定方式之中,那么仅有验证与识别技术具有身份确认的功能,能够帮助或实现第一种界定方式中的“唯一性识别”,由此产生较窄的个人信息权益保护范围;而检测、归类与跟踪技术虽不以身份识别为前提,但其涉及的信息仍具有识别信息主体的可能性,可作为间接可识别个人信息而受到保护。因此,第二种界定方式则可以涵盖五种技术类型,产生更为宽泛的个人信息权益保护。

值得注意的是,上述两种界定方式在目前的欧盟立法中均有所体现。《通用数据保护条例》中“生物识别信息”的法律概念体现了基于特定处理活动的界定思路。2022年4月欧盟议会颁布的《关于<人工智能法案>的报告草案》(以下简称《报告草案》)提出了“生物特征信息”(biometrics-based data)的概念,这一概念依据第二种界定方式而产生。与生物识别信息不同,《报告草案》中修正意见第64项指出生物特征信息是“能够以及无法(may or may not)帮助或实现对自然人唯一性识别”的信息。为便于区分,本文将基于特定技术处理界定的生物信息称为生物识别信息,将基于数据来源界定的生物信息称为生物特征信息,二者共同隶属于广义的生物识别信息。

总之,无论是对生物识别信息的两种界定方式,还是基于不同界定产生的生物识别信息与生物特征信息的不同分类,其最终都归溯至“如何界定生物识别信息中识别标准”的问题。具言之,生物识别信息与生物特征信息概念内识别要素的具体内涵是什么,二者的识别标准又存在何种差异?不同的识别标准对于生物识别信息与生物特征信息概念本身及其在“一般个人信息—敏感个人信息”的层次定位中分别产生了何种影响、反映了哪些局限与不足?鉴于我国尚未在立法与司法中对生物识别信息的内涵予以明确,欧盟的相关立法实践与学术探讨可为我国提供经验的借鉴,本文由是回应我国应在个人信息保护法体系内对生物识别信息设定何种识别标准,以实现对这一特殊种类个人信息的归入与择出。

伴随对人脸识别法律规制研究的深入,生物识别信息逐渐引发我国学者的关注。当下对生物识别信息的研究更多从数据安全的视角展开,在微观层面探讨公私法法律保护机制的构建或应用风险之监管,在宏观上讨论综合立法或单独立法的模式选择,从而达到保障生物识别信息安全、规制生物识别技术发展的目的。若将视角置于生物识别信息法律概念的基础理论研究,学者们则达成了如下共识:首先,基于自然人的生物特征,生物识别信息具有唯一性、不变性与识别性的特点,较强的人身属性使之与人的尊严紧密关联;其次,我国立法在生物识别信息的问题上存在法律概念不清、权利义务不明以及救济机制薄弱的缺陷;最后,未来在构建我国生物识别信息的法律意涵上,学者普遍认同以“反映自然人生物特征”“特定技术处理”与“能够唯一性识别自然人身份”三个要素来厘定其内涵。笔者认为,目前的研究虽成果丰硕但也呈现出两方面的不足:一方面,生物识别信息是与生物技术相关的法律概念,对生物识别信息的研究应以技术的规制法和个人信息权益的保护法为一体两面,不应做分割处理;另一方面,生物识别信息概念之核心与症结均在于“识别”一词,“识别”直接决定了其保护范围和在个人信息体系中的定位,而目前的研究尚未关注这一点。

二、生物识别信息中识别标准的释义及其局限性

我国《个人信息保护法》第28条将生物识别信息作为敏感个人信息的一种类型予以保护,相关立法尚未就生物识别信息的法律概念给出明确的定义。从欧盟与美国的生物隐私立法来看(表1),识别特定个体是生物识别信息界定的关键要素,也是其存在的目的要件。鉴于欧盟个人信息保护立法的概念体系较为成熟且对我国立法产生了深远影响,本文以欧盟《通用数据保护条例》中采纳的“帮助或实现对自然人的唯一性识别”标准为例展开具体分析。

(一)技术释义:经由生物比对的识别或验证

生物识别信息是与生物科技紧密相关的法律概念,识别标准的阐释也需要从技术概念的厘定而出发。《通用数据保护条例》第4条第14项将生物识别信息的识别标准界定为“帮助或实现对自然人的唯一性识别”,序言第51段为其提供了具体的阐释:“对照片的加工处理不能天然地认为是对生物识别信息这一特殊种类个人信息的加工处理,只有在通过特定技术手段开展对自然人的唯一性识别或验证时才能将其认定为处理生物识别信息。”由是,生物识别信息识别标准的判断则转为对“通过特定技术手段开展对自然人的唯一性识别或验证”的解释。其中,经由特定技术处理是生成生物识别信息的前提条件,而其处理的目的则在于开展唯一性识别或验证。

在解释何为“特定技术处理”之前有必要引入如下两个生物技术领域的概念:生物样本信息与生物模型信息。生物样本信息是指对生物特征的模拟或数字化记录,该信息是对生物特征的原始处理,进而将特征转化为标识,如人脸照片。若以特定算法应用于生物样本信息,开展重要特征的提取与归类,并将结果转译成字符或标签,那么这一过程称为特征提取。生物模型信息则是特征提取后的数学建模,例如基于人脸照片中的关键点集而形成的面部建模。如序言第51段所述,人脸照片是对人面部特征的图像化展示,属于生物样本信息,不能天然认为是生物识别信息。

虽然《通用数据保护条例》并未对何为“特定技术处理”着以更多的笔墨,但在法律解释上其可同开展“唯一性识别或验证”结合理解。具言之,识别与验证是相互区分的技术手段或信息处理活动。识别是一对多的生物比对,通过将测量信息与预先存在的生物数据库信息相比对以识别未知的个体,可理解为在群体之中挑出特定的个体;验证则是一对一的生物比对,从而证实或确认被测量个体与特定信息主体是否同一。由此,生物比对是识别与验证的共同流程,也是“特定技术处理”的具体指向。

生物识别技术中的生物比对可归纳为以下七个步骤:(1)以某种测量技术介入自然人的身体、生理或行为特征;(2)建模,在模型(template)中标识测量结果;(3)将该模型以字符串或代码的形式表示,并将其关联至被测量的个体,该模型则成为标准模型(master template);(4)将标准模型存储至生物数据库中;(5)对新的被测量个体就相同的生物特征展开测量,并建立实时模型(live template);(6)将实时模型与标准模型进行比对;(7)应用算法输出比对结果。结合序言第51段,照片作为原始的生物样本信息不能被认定为生物识别信息,以特定技术手段从照片中提取出的人脸特征信息或人脸模型信息也并不一定是生物识别信息,只有在其用于经由生物比对的识别或验证时才可认定为生物识别信息。

综上所述,生物识别信息中的识别标准为“帮助或实现对自然人的唯一性识别”,这一标准的技术释义则为“经由生物比对的识别或验证”,生物识别信息以对特定信息主体的识别或验证为目的而存在。与欧盟类似,美国生物隐私的专门立法或综合立法中也基本将生物识别信息的范畴限制为以识别或验证为目的的生物信息。

(二)法律释义:基于生物识别身份的已识别

我国《个人信息保护法》将个人信息分为一般个人信息与敏感个人信息,并将生物识别信息作为敏感个人信息的一种类型予以保护。欧盟在《通用数据保护条例》第9条第1款中同样将生物识别信息作为敏感个人信息的一种类型予以列举,但与我国不同的是,欧盟定义下的敏感个人信息并未涵盖生物识别信息的完整范围,即二者是交叉重合的关系。据此,与自然人的身体、生理或行为特征有关的生物信息在欧盟立法中可归纳为“一般个人信息”“生物识别信息”“敏感个人信息”三种类型(表2),各自对应的识别标准从左至右依次升高。

1.“帮助或实现唯一性识别”高于“已识别或可识别”

生物识别信息首先归属于个人信息,生物信息想要成为生物识别信息,则首先应当满足个人信息可识别性的判断。从识别标准的角度看,个人信息的可识别性是生物识别信息判断的门槛条件。不可否认个人信息可识别性是一个广受争议的法律概念,其内涵具有较大的不确定性,尽管如此,相关立法文本与学术讨论仍为划定其基本边界提供了指引。

首先,《通用数据保护条例》第4条第1项对“个人信息”的界定中提出,“‘个人信息’指的是任何已识别(identified)或可识别(identifiable)的自然人相关的信息;一个可识别的自然人是一个能够被直接(directly)或间接(indirectly)识别的个体”。第29条工作组(Article 29 Working Party)在《关于个人信息概念的意见》中将“已识别”解释为“在群体中,特定个体可以与群体中的其他成员相区分(distinguished)”,“可识别”是指“尽管尚未达到已识别,但仍有被识别的可能性”。此外,序言第26段在判断可识别与否时提到,所有能够采用的合理方法都应被考虑在内。由此可见,“已识别”与“可识别”最终都指向了对信息主体识别的可能性(identifiability)。所以,尽管第29条工作组在解释“识别”一词的内涵时采用了“与群体中其他成员相区分”“在群体中将特定个体挑出”等表述,但笔者认为更为准确地表达这一识别可能性的解释则是“放大/聚焦于(zoom on)一个有血有肉的个体”。质言之,个人信息的可识别性可理解为在特定环境下依据特定信息聚焦于特定信息主体的可能性。例如,在一个班级之中,“男性/女性”这样的性别信息基本不会具有识别的可能性,但如果是“女性+身高160cm+体重50kg+嘴角有一颗痣”这样的信息则具有聚焦于特定信息主体的可能。

其次,如果说“识别”是一个在人群中拿着放大镜趋近于特定个体的过程,那么“已识别”则是实现了对信息主体的聚焦,而“可识别”则为无限趋近但尚未聚焦于特定个体,尽管聚焦的可能性是极大的。鉴于直接与间接识别同样是识别特定个体的两种方式,笔者认为在生物信息的范畴内,以直接识别和间接识别划分识别方式、已识别和可识别作为识别可能性的分类,可以得出如表3所示的四种具体的识别类型。

最后,值得注意的是,表3为生物信息识别标准的类型化,而非生物识别信息中识别标准的类型化。如前文所述,个人信息的可识别性是一个门槛性的标准,即要想成为生物识别信息,其首先应当是个人信息。在对个人信息的识别性标准阐述后,有必要进一步明确为何生物识别信息的识别标准高于个人信息,以及高出部分的具体表现。

结合上文的技术释义,生物识别信息的识别标准体现在经由生物比对的识别与验证两项生物技术上;从法律意涵来看,识别与验证仅能对应个人信息的已识别标准,而将可识别标准排除在外。具言之,识别与验证以生物比对为共同流程。生物比对是一种基于测量而探寻被测量数据与先前已记录数据的相似度与匹配度的活动,而先前记录的数据则可称为信息主体的生物识别身份(biometric identity)。与市民身份(civil identity)(如父亲、丈夫)和法律身份(legal identity)(如完全民事行为能力人)不同,生物识别身份并不需要识别出信息主体的姓名、职业、社会关系等具体身份信息,也不需要追求个性化推荐中详尽的标签化与用户画像,而仅指测量样本与先前存储信息来源于同一信息主体。从生物识别身份的角度看,“帮助(allow)自然人的唯一性识别”,由于是在群体中将特定信息主体挑出的过程,故而其是指建立生物识别身份的识别技术;“实现(confirm)自然人的唯一性识别”,由于是验证某信息主体是否是其所主张的信息主体的过程,其先前存储的信息往往存储于单一的设备中,如身份证、护照,属于单一的数据库(single database),因此它指向的是验证生物识别身份的验证技术。

由此,一方面,由于识别与验证均需要生物识别身份的存在,故这两项信息处理活动均要求信息主体具有已识别的特征,即可以清晰地识别出信息主体。而可识别这一逐渐向信息主体走进的标准难以建立明确的生物识别身份,所以生物识别信息的识别标准高于一般个人信息的识别标准。另一方面,生物识别信息与一般个人信息识别对象的差异表现在生物识别身份上,即一般个人信息可能会需要建立市民身份,如信息主体的姓名、身份证号等,从而将其特定化,而旨在对比生物特征是否同一的生物识别身份则并非个人信息所必需。

2.“帮助或实现唯一性识别”低于“实现唯一性识别”

《通用数据保护条例》第9条将“为了识别特定自然人的生物识别信息”作为特殊类型个人信息纳入敏感个人信息的保护范围,而实际上敏感个人信息与生物识别信息是相互交叉的法律概念。敏感个人信息的可识别标准为“唯一性识别”(unique identification),此为个人信息可识别性体系中的最高标准。学界普遍认为第9条第1款中“以实现唯一性识别特定自然人的生物识别信息”在技术类型上仅包含识别技术,不包括验证技术。因此,生物识别信息中仅有以识别为目的的部分可以作为敏感个人信息享有更高程度的保护,生物识别信息的识别标准低于敏感个人信息的识别标准。

究其原因,相较于验证目的,以识别为目的的生物识别信息将对信息主体的基本权利和自由产生更大的风险。一方面,从生物识别信息存储的基础数据库来看,由于识别是一对多的信息处理活动,其需要相较于验证技术更为庞大的基础数据库,由此产生更为严重的信息安全风险。加之验证技术往往仅需将基础数据存储于单一的设备之上,如身份证、工卡等,且验证过程无需其他信息主体的参与,因此产生信息安全隐患的风险更小。例如,机场登机时通过将人脸信息与身份证面部图像提取出的面部模型相比对来验证登机人与身份证信息主体是否匹配,在此过程中基础信息存储于身份证之上且并无其他信息主体参与验证过程,仅为一对一的信息对比。另一方面,从技术功能的角度看,验证的目的是核对信息主体匹配与否,而识别技术的目的则更为复杂,并在不当利用时可能存在歧视的风险,例如基于有色人种的识别等,将对被识别对象的基本权利产生威胁。

(三)概念局限:过于依赖信息处理者的主观目的

生物识别信息的识别标准介于一般个人信息与敏感个人信息之间,然而,这样的识别标准在自身的概念内涵、与一般个人信息与敏感个人信息识别标准的衔接上均存在一定的局限。

首先,“帮助或实现唯一性识别”的识别标准将生物识别信息限定于以识别或验证为目的的范畴内,而该目的属于个人信息处理者的主观范畴,由此将产生如下三个问题。

第一,个人信息处理者真实的信息处理意图往往是难以知晓的,且其主观目的存在变更的可能性。当生物识别信息因可能被纳入敏感个人信息而要求信息处理者承担更为严格的信息保护义务时,信息处理者可能会对其真实的识别与验证目的有所隐瞒。

第二,依赖信息处理者的主观目的判断生物信息是否属于生物识别信息,在具体操作上仍缺乏明确的法律指引。对此,可以假设如下三种情形:(1)信息处理者在采集指纹信息时并没有识别的目的,但是伴随信息处理者业务范围的扩展,随后在信息处理活动中具备了识别目的,那么指纹信息作为生物识别信息的时间点应从何时起算?该情境中,假设指纹信息被存储于生物数据库之中,在信息处理者具有识别目的后该数据库实则没有发生任何变化,生物信息或生物识别信息均处于存储状态之中,因此风险性几乎没有变化。(2)信息处理者A在采集、存储生物信息时具有日后用于识别的处理目的,但是事实上识别技术的应用将发生在50年之后,此时的生物信息属于生物识别信息吗?笔者认为,该问题是难以回答的,可以参考两个对比情形:其一,信息处理者B采集、存储生物识别信息时打算在1个月后将该信息用于识别目的,此时该信息应被认定为生物识别信息;其二,信息处理者C在采集、存储生物信息时没有识别目的,但是在50年之后伴随业务的扩展而具有了应用识别技术的意图,那么此时对C而言其因处理敏感个人信息而需承担的额外信息保护义务是从50年后起算的。若严格按照信息处理者主观意图的判断标准,那么A在此前50年内就需要承担敏感个人信息的保护义务,但实际上其与C在对生物数据库的使用上并不存在差异,因此对A而言承担该义务可能是不公平的。(3)若信息处理者D对其所存储的生物数据库并没有识别或验证的技术处理目的,但其合作者E期望将该信息用于识别,那么同一数据库是否对D而言属于一般个人信息、而对E而言属于生物识别信息呢?

第三,过于依赖信息处理者主观目的将可能在实践中对生物数据库产生存储与使用相割裂的困境。由于识别和验证技术需要经由生物比对,属于信息使用的过程,而在此之前生物信息的采集与存储则往往难以判断或容易隐藏信息处理者的主观处理意图,由此引发存储与使用相割裂的风险,即信息处理者积极开展生物信息的采集与存储活动,而对生物数据库的使用则保持谨慎的态度。然而,作为个人信息的生物信息其采集与存储同样存在严重的风险,如信息的过当采集和生物数据库泄露等。

其次,由于生物识别信息的可识别性在技术上要求经由生物比对活动,大量的生物样本信息被排除在外,该类信息则仅能归属为一般个人信息,因此产生了生物识别信息的可识别性标准是否过高而导致其保护范围狭窄?以人脸图像为例,依据《通用数据保护条例》序言第51条,不以识别和验证为目的的照片不能被认定为生物识别信息,而只有当其应用于如上目的时,从照片中提取出的以生物比对为目的的面部模型信息方能成为生物识别信息。这一判断实则引发人们对于照片图库信息保护的隐忧,因照片虽作为原始的生物样本信息不直接用于生物比对,但其是生物模型信息的来源,且照片中往往含有隐私的背景信息,所以照片图库仍隐含严重的信息泄露风险。故而,即使生物数据库中的信息未用于进一步的信息处理活动,该数据库也应采取更高的安全保护措施。

最后,生物识别信息的识别标准客观上导致了同敏感个人信息中其他类型信息衔接的矛盾。《通用数据保护条例》第9条第1款在列举敏感个人信息项下的具体类型时以对信息主体基本权利的风险作为判断的标准,如“显示种族或民族背景、政治观念、宗教或哲学信仰、性生活与性取向”等,该标准从信息的属性出发将对个人隐私有较大危害且泄露将可能造成社会歧视、减损人的尊严的数据类型列为特殊种类的个人信息。反观这一条款对生物识别信息的列举,即“为了识别特定自然人的生物识别信息”,其以信息处理技术或处理目的作为是否归入敏感个人信息的判断条件,与其他种类敏感个人信息的判断条件产生冲突。

三、生物特征信息中识别标准的扩容及其解释困境

由于对识别标准的严格限定,生物识别信息概念下的个人信息权益的保护范围较为有限。伴随生物科技的发展,这一概念愈发受到挑战,以数据来源为标准界定生物信息并适当放宽识别标准成为新的讨论方向,生物特征信息的概念逐渐被学者提出并讨论。欧盟在2021年4月颁布的《人工智能法案(草案)》中采用了与《通用数据保护条例》相同的生物识别信息概念,但这一概念引起了广泛的争议,原因在于其对应的是以识别和身份验证为目的的第一代生物科技,已落后于当下人工智能技术的发展。随后,学界围绕这一概念展开热烈讨论,具有代表性的观点为在欧盟公民权利和宪法事务政策司发布的专家报告《生物识别与行为探测》中克里斯汀·温德斯特建议增加“生物特征信息”的概念。这一建议在2021年11月发布的《人工智能法案(草案)》(修正版)中得以体现,即新一版立法文本在第3条第33项界定中删除了“能够识别或确定自然人的独特标识”的表述。这一修改得到了学术界的普遍认可,同时也引发了是否应在《通用数据保护条例》中引入“生物特征信息”的讨论。在美国生物隐私保护领域具有代表性的《伊利诺伊州生物隐私法案》中,其以“生物标识符”的概念帮助界定“生物识别信息”。在最近的判例法中,法院认为即便特定的信息主体并未被识别,但只要相关生物信息被用于面部识别软件系统,则仍可认定是对生物标识符的信息处理。由此可见,在欧美立法中生物识别信息的识别标准仍备受争议,且新近立法呈现出降低识别标准的可能性。

(一)概念扩容:以间接识别为主的可识别与已识别

 生物特征信息是指“基于特定技术处理自然人的相关身体、生理、行为信号或特征而得出的个人数据,例如面部表情、动作、脉搏频率、声音、击键频率或步态,能够以及无法(may or may not)帮助或实现对自然人的唯一性识别(的信息都可以包括在内)”。与生物识别信息相比这一概念有两处明显的不同:其一,从技术角度看,生物特征信息的列举事项与生物识别信息相比增加了“信号”(signal)一词,“脉搏频率、步态”等相较于“面部信息、指纹信息”反映了一种动态的生物特征,两个概念存在技术范围上的差异;其二,从法律角度看,“帮助或实现对自然人的唯一性识别”前增加了“能够以及无法”,这是其与生物识别信息识别标准差异的直观体现,也是争议之所在。

从法律意涵看,生物特征信息以已识别与可识别为识别标准,不再局限于生物识别身份的构建与核验的已识别标准,这一扩容的依据在于概念中“能够以及无法”这一语词的加入。由此,在个人信息保护可识别性的最低基准上,生物特征信息的识别标准涵盖了(1)能够“帮助或实现对自然人的唯一性识别”的生物识别信息,以及(2)无法“帮助或实现对自然人的唯一性识别”、但满足一般个人信息可识别性的生物信息。而第(2)项情形的加入使得生物特征信息并未提出比一般个人信息的识别标准更高的要求,所以尽管生物特征信息的概念中突出了生物识别信息的已识别标准,但一般个人信息的已识别与可识别标准仍为生物特征信息可识别性的整体标准。

从技术视角分析,批评者认为生物识别信息主要因应了以识别和验证为主要技术表现的第一代生物技术发展的需要,而伴随第二代生物技术中不以生物身份识别为前提的探测、归类、追踪技术的发展,生物识别信息的高识别标准已难以适应技术发展的需要,所以生物特征信息的概念得以出现。因此,生物特征信息在技术类型上扩展至探测、归类、追踪技术,识别标准相应降低且以表3中具体识别类型中的可识别与间接识别为其主要表现。

一方面,以情感计算为代表的第二代生物技术使得大量生物特征信息以非唯一标识符的形式存在,与已识别信息相比,生物特征信息内可识别信息将占据更大的比例。从技术的发展来看,第一代生物科技以识别与验证技术为主,基于对指纹信息、面部信息等强生物信息(strong biometric)的处理,构建与核验信息主体的生物识别身份,人脸识别便是典型的第一代生物技术。伴随人工智能向情感智能的发展,以探测、归类、跟踪为典型表现的第二代生物科技更多基于对弱生物信息(weak biometric)的处理,即以动态为表现形式且识别性较弱或难以识别的信息,从而对信息主体(既包括个体也包括群体)展开画像处理(profile)。情感计算作为第二代生物科技的典型表现,是指能够感知、理解、模仿和影响人类情感的智能科技。相较于人脸识别,情感计算的特殊之处在于其输入与输出信息都不必具备针对信息主体的可识别性(non-personally identifying),因此已识别的权重将被削弱,可识别成为是否构成生物特征信息的主要判断。例如,部分汽车厂商研发了应用情感计算技术的智能安全系统,该系统能够实时检测司机的情绪,在司机情绪不稳定时自动播放舒缓的音乐以帮助其平复心情,提高安全驾驶的可能。在以面部表情测量为依据的智能安全系统内,输入端的面部表情信息(如眉毛弯曲弧度、嘴角弯曲程度)与输出端的情绪状况(如紧张、焦虑)并非唯一标识符且难以回溯至特定的信息主体,但汽车司机在使用前往往会注册相关个人档案,此时上述生物特征信息可能为直接或间接识别的可识别信息。

另一方面,因为第二代生物技术所获取的生物信息往往是动态的、零碎的、片段式的,需要一系列生物特征的结合方能达到识别标准,因此间接识别的方式将被更多地运用于生物特征信息的判断。这一点在情感计算技术中不难理解,这一技术的输入端(如皮肤温度、心跳频率等)和输出端的情感状态信息均为非唯一标识符信息,单凭上述信息难以放大或聚焦于特定的信息主体,但是若在特定的情景中生成如“肤色为黑色+皮肤温度为36℃+情绪激动”的信息则有回溯至特定信息主体的可能。

(二)解释困境:识别标准的杂糅易引发概念的混同

尽管总体上生物特征信息的识别标准与一般个人信息无异,但其“能够以及无法帮助或实现对自然人的唯一性识别”的表述实则是对生物识别信息与一般个人信息识别标准的杂糅。当信息“能够帮助或实现对自然人的唯一性识别”时,该信息为生物识别信息;当信息“无法帮助或实现对自然人的唯一性识别”时,该信息为一般个人信息。这种杂糅对生物特征信息概念自身产生了隐患:其一,唯一性识别的存在目的实则被删除,而新的保护目的尚未言明;其二,生物识别信息与一般个人信息都被囊括其中,使其可能成为“笼筐式”概念,并破坏了“一般个人信息—生物识别信息—敏感个人信息”这一阶梯式识别标准的结构;其三,将较高危险性的识别、验证技术与较低危险性的探测、归纳、跟踪技术置于同一位阶,还忽视了不同类型生物技术间的风险差异与规制需求。更为严重的是,这种杂糅并未带来保护法范围内的功能改进,而更具识别梯度差异的生物识别信息与一般个人信息仍能获得同样的功能。

同时,生物特征信息概念还带来了同保护法内医疗健康信息概念的混同。我国《个人信息保护法》第28条将特定情形下的医疗健康信息作为敏感个人信息予以保护,医疗健康信息成为与生物识别信息相并列的法律概念。欧盟《通用数据保护条例》第4条中将“关于健康的信息”(data concerning health)定义为“与自然人的身体或精神健康相关且显示其健康状态的信息”。当生物特征信息不再着眼于生物识别身份的构建与确认,数据来源具有较大重合度的医疗健康信息将与其产生的信息范围的重叠,尤其在数字化医疗的背景下,被收集的患者信息呈指数型增长,欧盟学者就原“关于健康的信息”概念提出扩展其概念范围的需要,指出“非直接关于健康的信息”也属于健康信息。欧盟数据保护委员会(EDPB)也认为,通过与其他数据的交叉引用从而揭示健康状况或健康风险的信息也应属于健康信息。例如,在根据患者一段时间内的血压值数据判断其有无患心脏病风险的情境中,血压值数据是患者有无患心脏病风险这一医疗健康信息的基础信息,所以其既是生物特征信息也是医疗健康信息。

此外,作为法律概念的生物特征信息也易与生物特征识别技术的相关概念产生混淆。由于不再以唯一性识别为目的,生物特征信息概念中的“基于特定技术处理”将不再指向建立在生物识别身份技术上的生物比对,所以此处“特定技术处理”的具体内涵尚不可知。倘若“特定技术处理”仅仅指以电子方式记录人的相关身体、生理、行为特征,那么生物样本信息与生物模型信息都能够视为生物特征信息。在技术领域中,生物特征数据则被定义为生物样本数据或生物样本数据的集合,作为一个指向生物技术处理过程中所创造的计算机数据的宽泛概念,它包括了原始传感器观察数据、生物样本和模型等。但生物特征数据与生物特征信息的区别在于其并不一定指向具体的个人,例如匿名化的生物数据也可被视为生物特征数据。当法律领域的生物特征信息扩大识别标准后,其范围与作为技术概念的生物特征数据具有较大的重合,由此导致法律概念与技术概念之间的混淆。

综上所述,笔者认为保护法范围内不能以生物特征信息取代生物识别信息。

四、我国生物识别信息中识别标准的建构及其填补

(一)规范省思:概念混淆与分类不清的立法困境

我国个人信息保护法的立法过程体现了对生物特征信息与生物识别信息的考量,如《个人信息保护法(草案二次审议稿)》第29条敏感个人信息的列举事项中使用了“个人生物特征”的表述,而颁布的《个人信息保护法》第28条列举事项中则改为“生物识别信息”。尽管立法机关并未对如此更改的理由展开说明,但至少可以看出我国语境中“生物特征”并不等同于“生物识别”。然而,由于目前立法尚未对生物识别信息的法律概念给出明确的界定,因此生物识别信息在现行法中面临着双重尴尬处境,亟须构建相应的识别标准。

1.以生物特征信息的属性界定生物识别信息

诚如前文所述,生物识别信息区别于生物特征信息的关键在于对识别标准的要求,二者因共同作用于自然人的身体、生理或行为特征而容易在概念上产生一定的混淆。在最高人民法院发布的典型案例之“郭兵诉杭州野生动物世界有限公司服务合同纠纷案”中,法官认为生物识别信息“深度体现自然人的生理和行为特征,具备较强的人格属性”。另外,对于该案中所涉及的指纹信息和面部特征信息,法官并未从这两种信息的性质属性出发论述其是否归属于生物识别信息,而是直接根据《信息安全技术个人信息安全规范》中明确的列举事项将其纳入生物识别信息的范畴。笔者认为,上述裁判存在以下两个问题:第一,无论是生物识别信息还是生物特征信息,其针对的对象均为具有人格属性的身体、生理与行为特征。不可否认这是概念界定中的重要因素,但不能仅凭数据来源界定生物识别信息,否则将与生物特征信息的概念相混淆。第二,虽然法官在本案中依据《信息安全技术个人信息安全规范》展开生物识别信息与否的判断并无问题,但值得思考的是这一国家标准是对生物识别信息种类的穷尽式列举吗?鉴于该规范同样未对生物识别信息的概念进行阐述且立法层级较低,因此现行法在生物识别信息外延的判断上仍力显不足。

2.将生物识别信息全部归属于敏感个人信息

现行法中生物识别信息面临的另一困境则是其在个人信息体系中的定位,即与一般个人信息和敏感个人信息的关系。现行立法不但未将三者的关系予以明确,而且立法之间还存在一定的不一致性。这种不一致性体现在生物识别信息是应适用一般个人信息保护规则,还是应适用敏感个人信息的特殊保护规则?一方面,以《民法典》第1034条为代表,立法者在界定个人信息时将生物识别信息作为一般个人信息的一种类型予以列举,《网络安全法》第76条采取了同样的表述方式;另一方面,《个人信息保护法》及其相关立法和裁判将生物识别信息整体视为敏感个人信息,即敏感个人信息包括全部的生物识别信息。《个人信息保护法》第28条将生物识别信息作为敏感个人信息的一种子类型予以列举,《信息安全技术个人信息安全规范》中提到“个人敏感信息包括身份证件号码、个人生物识别信息等”。由是,上述的立法规范实则产生了两个命题,即“生物识别信息是一般个人信息的子类型”与“生物识别信息是敏感个人信息的子类型”。

对于“生物识别信息是一般个人信息的子类型”,笔者认为这样的判断并无不对。一般个人信息是个人信息保护法体系中最基本的法律概念,换句话说,某种信息要获得个人信息保护法的保护,则其首先应当是个人信息。因此,生物识别信息、敏感个人信息都可以理解为一般个人信息的子概念。但是,一般个人信息的子类型并不意味着其应受到一般个人信息保护机制的保护,而应按照信息属性进一步判断其是否归属于保护力度更高的敏感个人信息。因此,针对第一个命题,更为科学的表述应当是“生物识别信息是一般个人信息的子类型,但是其不一定仅得到一般个人信息保护机制的保护”。

对于“生物识别信息是敏感个人信息的子类型”,笔者则反对将全部的生物识别信息纳入敏感个人信息的范畴。首先,我国与欧盟都对敏感个人信息设置了更为严格的信息处理规则,即“一般禁止+例外”规则,如我国原则上禁止敏感个人信息的处理,只有在《个人信息保护法》第28条第二款规定的“具有特定的目的+充分的必要性+采取严格的保护措施”的情形下方可处理。因此,作为受到严格保护的敏感个人信息,其范围不宜过宽,否则将减损这一特殊保护机制的效果。其次,敏感个人信息受到保护的理由是,“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”,那么从理论上讲,生物识别信息应当满足这一定性条件方可被认定为敏感个人信息。最后,生物识别信息中并非所有信息都满足上述定性条件,生物技术的发展与特定的信息处理场景都会使得纳入敏感个人信息的生物识别信息的范围发生动态变化。

总之,基于生物识别信息在现行法中面临的困境,可归纳出建构其识别标准的三点理由:其一,识别标准是生物识别信息概念的关键因素,这一标准的建构有助于厘清生物识别信息的内涵与外延;其二,生物识别信息作为一般个人信息的子类型,其识别标准为何是不可回避的问题;其三,可识别标准的建构可辅助敏感个人信息的定性判断,从而划定可以归入敏感个人信息的生物识别信息的范围。

(二)标准建构:以直接识别和已识别为标准内涵

生物识别信息识别标准的建构既不是就其名称以“可识别”统而概之,也不是基于欧盟与美国的两种界定模式在生物识别信息与生物特征信息之间择一接收,而是在已识别与可识别、直接识别与间接识别之间作出符合我国立法背景与技术发展趋势的理性选择。

“已识别+直接识别”从现有规范中关于生物识别信息的列举事项看,“生物识别信息是直接识别的已识别信息,信息所涉及的生物特征是信息主体的唯一标识符”已成为不证自明的命题。例如,《信息安全技术个人信息安全规范》中列举的个人基因、声纹、掌纹、指纹、面部识别特征等,江必新等学者将上述列举事项的特征归纳为“具有个人专属性而足以辨识个人身份”,这也与学界普遍认为的生物识别信息具有唯一识别性的观点相一致。

“已识别+间接识别”。上述判断引申出“生物识别信息能否是间接识别的已识别信息”的问题,即通过一系列非唯一标识符的生物特征信息的结合,将信息主体特定化。这种观点在2019年6月发布的《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》初显,该文件将“生物特征”界定为具有可识别的特点,从而实现自动识别个体的目的;在界定“生物特征识别数据”之时使用了“或上述数据的集合”的表述,且将与生物样本展开比对的“生物特征参考”的范围厘定为“一个生物特征样本或一组生物特征,也可以是由多个特征组成的生物特征识别模型”。虽然目前这一国家标准还处于建议稿的阶段,且内容偏于技术方向,但伴随生物技术的发展,以一系列特定生物特征信息开展信息主体识别的生物技术会不断出现与发展,单独的生物特征信息并不具备已识别功能,特定的结合才可以识别出特定个体。

“可识别”。与“已识别+间接识别”不同,可识别的特殊性在于单独或者一系列生物特征信息的结合尚难以特定化信息主体,但是结合必要且容易获取的额外信息则足以开展信息主体的识别。不可否认,生物特征信息与其他个人信息往往具有较强的关联性,正如《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》引言中所述,“生物特征识别系统通常将生物特征识别关联信息与其他个人信息绑定在一起,以鉴别个人”。

笔者认为,“已识别+间接识别”与“可识别”的情形不应纳入识别标准之中,理由在于,无论是特定生物特征信息的结合还是特定特征信息与其他种类个人信息的结合,这两种结合方式都具有较强的专业性和不确定性。若将“已识别+间接识别”与“可识别”纳入生物识别信息的识别标准范畴内,那么,其一,生物技术使用者的专业水平将直接影响生物识别信息范围的判断,例如可能出现针对同一系列的生物特征信息的结合,技术水平较高的信息处理者能够以其识别信息主体,而技术水平较低的信息处理者可能无法做到。因此,暂且不论信息处理者是否有恶意的主观目的,其客观的生物技术水平也将影响其对是否构成生物识别信息的判断。其二,生物技术发展的整体水平也将对生物识别信息的范围产生直接影响,一段时间内特定生物特征信息的结合可能不会产生识别的效果,但技术的进步将有可能使之在未来产生定位至特定信息主体的可能。其三,必要的额外信息的加入将使生物识别信息处于一个生物特征信息的边界状态,因为通常情境下任何生物特征信息与姓名、身份证号等额外信息的结合都会产生识别效果,所以这将导致生物识别信息走向生物特征信息。

(三)填补路径:以规制法弥补保护法的范围局限性

当将生物识别信息的识别标准界定为“直接识别+已识别”时,不可回避过于依赖信息处理者的主观目的及保护范围较为狭窄的问题,对此,笔者建议在以《数据安全法》《网络安全法》和《个人信息保护法》为三大支柱的数据法体系内,从规制法的视角强化信息处理者的责任,从而弥补保护法的局限。

首先有必要厘清这样一个基本逻辑:生物识别信息作为一个与生物技术紧密相关的法律概念,承载着维护生物信息安全与信息主体权利保护的立法目的,因此对信息应用风险的监管与对信息主体的权益保护则成为生物识别信息研究的一体两面,前者为规制法视角,后者为保护法的视角。但是,并非生物识别信息的所有法律问题都要放在保护法的范围内解决,保护法并非万能,而是有其特定的保护范围与保护目的。例如,《通用数据保护条例》作为保护法旨在保护个人的基本权利,保护对象是已识别或可识别的自然人;《人工智能法案(草案)》作为规制法则意在为公共利益提供较高程度的保护,而公共利益包括了健康、安全和个人的基本权利。由此,对个人基本权利的保护只是该规制法立法目的之一,且在内涵更为广泛的“公共利益”项下存在,故而其保护对象不限于自然人,还包括特定的群体等。在我国数据法体系中,《个人信息保护法》以“保护个人信息权益”为立法目的,其保护法的地位不言自明;《网络安全法》以“保障网络安全,维护网络空间主权和国家安全、社会公共利益”为首要立法目的,《数据安全法》旨在“规范数据处理活动,保障数据安全”,二者则从规制法的角度在公共利益、经济发展、科技创新与个人隐私之间探寻平衡。

保护法与规制法并非割裂与对立,同一法律问题的解决需要二者的协调与配合。数据分级分类保护制度是贯穿数据法的一条主线,可分为横向的数据分类制度和纵向的数据分级制度。数据分类制度的目的在于根据规范对象确定适用法,而数据分级制度则主要依据数据的风险程度设置处理者责任。在数据分类制度中,《个人信息保护法》规范的是“个人信息”,《网络安全法》则针对“网络数据与网络信息”,而《数据安全法》则规范电子或其他方式记录的“数据”。数据是信息的形式载体,而信息是数据所要呈现的内容,数据的处理可能使其具备识别功能从而转化成信息,因此《数据安全法》中的“数据”可能转化为《个人信息保护法》中的“个人信息”并受其保护。在厘定三者规制对象范围之后,笔者认为相对于保护法中的“生物识别信息”,有必要在规制法中设置“生物特征信息”以及“生物特征数据”的概念,以实现对生物信息安全的全面保护(表4)。另外,在数据分级制度之中,除《个人信息保护法》的一般个人信息与敏感个人信息的层次划分外,《数据安全法》中构建了“重要数据”与“核心数据”的概念,《网络安全法》中设置了“关键信息”的分类,而与生物有关的信息与数据是否或在多大范围内归入特殊规制的范围则留待明确。

规制法从生物信息、生物数据安全与处理者责任的角度与保护法中的信息主体权益保护并驾齐驱,构成生物识别信息的数据法保护机制。《个人信息保护法》中的生物识别信息也在《数据安全法》与《网络安全法》中找到了生物特征信息与生物特征数据的对应概念,从而弥补了保护法中保护范围的局限。

五、结 语

识别是生物识别信息界定的关键因素,也是其存在的目的与理由。基于欧盟的立法经验,本文提出以“直接识别+已识别”作为识别标准的内涵,即生物识别信息所涉及的生物特征须为信息主体的唯一标识符,不依赖于其他生物特征信息或额外信息即能够识别或验证信息主体的生物识别身份。这一标准高于一般个人信息的可识别或已识别标准,同时也可辅助敏感个人信息的定性判断。诚然,较高的识别标准引发保护法范围局限的问题,但可考虑在规制法的范围内构建“生物特征信息”或“生物特征数据”的概念以进行弥补。最后,识别标准的研究只是生物识别信息研究的起点,情感计算技术的出现提出了“情感信息是否属于生物识别信息”等新问题留待学者共同研究。

注:封面图片源于vcg.com

华中大社科学报

欢迎您的关注

点“阅读原文”了解更多

修改于
继续滑动看下一个
华中科技大学学报社会科学版
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存