作者:郑文阳,西南政法大学数字法治政府研究院研究员。
一、问题的提出
当前,诸多国家和地区出台了关于生物识别信息保护的法律规定。美国对个人生物识别信息保护采取隐私权保护模式,在联邦层面出台了个人生物识别信息保护的法案,如2020年出台的《国家生物特征信息隐私法》(National Biometric Information Privacy Act 2020),即针对私主体获取和利用生物特征信息的目的和方式提出了具体要求。此外,美国各州也针对个人生物识别信息的保护出台了单独法案,如伊利诺伊州《生物识别信息隐私法》(Biometric Information Privacy Act,BI-PA)、加利福尼亚州《消费者隐私法》(California Consumer Privacy Act,CC-PA)等对个人生物识别信息的收集、使用、保护、处理、销毁等内容作了细致规定。在欧盟,《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)对于个人生物识别信息的保护采取了严格的规定:首先,GDPR将个人生物识别信息划分为“基因数据”和“生物性识别数据”两类,前者侧重于自然人生理或健康信息,后者侧重于自然人身体、生理或行为信息,均具有独特性;其次,GDPR将上述两类数据划分为特殊类型的个人数据,原则上禁止对其进行处理,除非是基于个人核心利益、公共利益、确有处理必要等11类例外情况而必须处理的方可对其进行处理;最后,GDPR设置了严格的个人信息处理原则,包括合法合理、透明、目的限制等一系列原则,并规定了权利救济途径。我国《民法典》第1034条、《网络安全法》第76条、《个人信息保护法》第28条等法律法规,虽然对个人生物识别信息保护作了专门规定,最高人民法院和最高人民检察院也相继出台了有关办理涉及个人生物识别信息案件的司法解释,但是,我国在个人生物识别信息保护方面所采取的特殊规制,仍存在一定不足。如在个人生物识别信息获取目的方面,我国法律规定,应具有特定目的和充分必要性。但这一表述较为模糊,具体的目的设定不够明确,导致现实中出现物业要求业主录入人脸信息、自行安装人脸采集设备、违法收集人脸信息等现象。在获取方式方面,美国个人生物识别信息保护规定要求信息处理者制定相应政策规则、确定信息留存时间;我国只在告知同意原则要求下设置了单独同意或书面同意条件,对信息留存时间只进行了实现处理目的必要最短时间的模糊规定,存在“医疗机构过度采集生物识别信息”的现象。在信息保护方面,美国要求对个人生物识别信息采取同保护其他机密或敏感信息相同或更严格的方式加以保护;我国法律对相关保护措施并未作明确规定,存在诸如“AI换脸”频发的现象。“AI换脸”等行为往往存在很大的转化为犯罪行为的风险,如通过深度人脸技术,伪造人脸信息,入侵特定个人账户等。
上述情形表明,应加强对人脸生物识别信息的保护,对人脸生物信息的采集、存储应当采取严格的保护措施,严格限定使用场景,否则会导致严重的生物信息安全隐患。当然,必须承认,对个人生物识别信息的保护与合理利用,具有重要的意义。因为如果过度强调对个人生物识别信息的利用,可能会诱发信息滥用风险;而如果片面强调对个人生物识别信息的保护,则会妨碍信息的正常流通。这也表明,探明个人生物识别信息风险演化、建立适应公共数据融合下的个人生物识别信息保护机制,已成为数字治理研究中的重要课题。那么,个人生物识别信息保护到底有什么特殊性?如何通过合理的法律制度设计,以实现在个人生物识别信息保护与利用之间的平衡?这是本文试图探讨的主题。
二、个人生物识别信息保护的特殊性
(一)个人生物识别信息应用的特殊表现:身份识别
我国《个人信息保护法》并未对个人生物识别信息概念作出明确规定,只在《GB/T 35273—2020信息安全技术个人信息安全规范》中对“个人生物识别信息”作了列举:“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等”。《民法典》第1034条将生物识别信息纳入个人信息范畴,《个人信息保护法》第28条则将生物识别信息纳入敏感个人信息范畴。结合《人民检察院办理网络犯罪案件规定》第62条规定,我们可以梳理出个人生物识别信息具有如下核心要素,而且这些核心要素的直接指向就是身份识别:(1)以自然人的生物或行为特征信息为基础。虽然《个人信息保护法》对个人生物识别信息的内涵与范围未作明确规定,但不可否认的是,个人生物识别信息是一种用于识别个体的生理或行为特征的信息,以便确定其身份。这些信息包括但不限于面部、指纹、声纹、虹膜、静脉以及基因序列等身体特征信息,以及自然人键盘使用、步态、眼球追踪(VR)等行为习惯特征信息,具有唯一性、可靠性、稳定性等特点。有学者提出生物信息识别技术(Biometric Information Recognition)是指通过收集自然人的身体和行为特征自动识别个体的一种技术,可见个人生物识别信息的范围应涵盖自然人的身体和行为特征。这些生物特征信息都是自然人身上固有的属性,不容易被简单地复制和模拟,可以作为唯一标识某一自然人身份的信息。尽管生物特征数据库包含从几十个到数百万个登记的模板,但它们总是基于匹配个人的生物特征与参考模板进行甄别,因此生物识别系统可以瞬间验证特定人的身份。《个人信息保护法》在明确个人信息权利属性基础上,从法律层面为个人生物识别信息保护提供了规范依据,确保个人生物识别信息的依法取得、合理利用、有效保护。个人生物识别信息概念是个人生物识别信息保护制度建立的基础,但“生物识别信息”或类似概念的界定,存在适用范围有限、边界模糊和滞后于技术发展等难题。生物特征具有唯一性、可靠性和稳定性等特点。基于此,生物识别信息也具有唯一性。(2)以身份信息为一般对比物。身份信息在身份认证中具有关键作用。个人的身份信息通常由其姓名、性别、身份证号码等身份标识信息构成,特征数据的确定性极高,属于个人隐私的范畴。通常情况下,生物识别技术方法主要分为基于光学成像或其他非接触式传感器的方法、基于电子信息技术的方法两种。基于光学成像或其他非接触式传感器的生物识别技术方法主要包括指纹识别、人脸识别、虹膜识别等技术,而基于电子信息技术的生物识别技术方法则包括声纹识别、静脉识别等技术。在进行个人生物识别时,身份信息被运用于将生物或行为特征信息与具体个体进行比对,以确定该个体的身份状态和身份标识。个人生物识别系统一般由硬件和软件两部分组成,主要依赖于个人自身的生物或行为特征信息、外部的生物识别技术完成对个人的识别。为确保对个人生物信息识别的准确性和可靠性,必须对身份信息和生物或行为特征信息与特定个人进行精准匹配。在实际应用中,生物或行为特征信息往往与个人信息或其他敏感信息关联在一起。例如,在进行面部识别时,存储的模板信息可能包含一个人的面部照片,而该照片通常会与该人的姓名、身份证号等身份信息相对应。(3)以算法匹配为关键过程。算法匹配是个人生物识别信息应用中非常重要的环节,目前主要有基于灰度直方图和统计特征的算法。在个人生物识别信息应用中,算法匹配是一项至关重要的任务,通常采用人工智能、模式识别、机器学习等先进技术,将采集得到的生物或行为特征信息与存储的模板信息进行比对,以判断匹配是否成功。这些算法包括特征距离法、模板匹配法、统计学方法以及神经网络法等。其中,特征距离法通过计算生物特征之间的相似度来进行匹配;模板匹配法则比对生物特征的某些特定点位置信息;统计学方法则将互相独立的特征组合起来进行比对;神经网络法可以从大量数据中自主学习特征并进行匹配。对于最终的身份验证或识别结果而言,这些匹配算法的精度和可靠性是至关重要的因素。在实际应用中,技术使用者需要根据采集数据类型、应用场景等因素进行综合考虑,选用合适的算法进行数据处理和比对。
(二)个人生物识别信息规范身份的特殊面向:敏感个人信息
个人生物识别信息本质上就是敏感个人信息。敏感个人信息的保护起源于隐私权的保护,是随着隐私权的保护法律体系不断完善和发展而逐渐形成的,是个人隐私保护的一部分。早在1960年代,美国就出现了第一部针对个人隐私权的立法《公民自由法案》(Civil Rights Act)。1974年美国参众两院通过了《隐私权法》(The Privacy Act),旨在限制政府机构收集、使用和披露个人信息的行为,该法案规定了个人信息的使用范围、获取方式、保存期限、访问权限等。在欧洲,欧盟2018年出台的《通用数据保护条例》(GDPR)为欧盟内所有成员国的公民赋予了更强的隐私权利,并严格规范了企业在收集、使用和保护个人数据时必须遵守的标准和程序;规定了许多关键概念和原则,例如“透明度”“目的限制”“数据最小化”“正确性”以及“存储期限”等,要求企业需要事先告知用户他们将收集哪些数据,如何使用这些数据,并获得用户的授权同意。GDPR亦对生物识别数据的收集、处理和使用作出严格的规定,其中包括了严格的认证、风险评估、法律依据等方面的要求。GDPR关于“生物识别数据”的定义强调了两点,一个是特殊技术处理(specific technical processing),另一个是可以用于个人身份的识别(unique identification of that natural person);两个特征叠加在一起才能使得相关数据成为生物识别数据。此外,欧美国家还有很多其他法律法规和司法判例,如《人权法案》(Human Rights Act)、《欧洲人权公约》(European Convention on Human Rights)、《禁止酷刑公约》(Convention against Torture)等,对隐私权进行了保护。
生物识别技术是新兴商业应用和公共管理中技术运用的代表,具有广阔的市场应用前景。个人生物识别信息被视为敏感个人信息在信息时代所发展出的新维度,因此,我们需要重新思考敏感个人信息与个人生物识别信息的关系。个人生物识别信息通常与个人身份或特定行为相关联。一方面,个人生物识别信息属于敏感个人信息的一部分,属于个人身体特征的一部分;另一方面,个人生物识别信息的保护机制可以适用于敏感个人信息,例如在实现身份验证、支付安全等方面发挥作用。结合前文论述,个人生物识别信息保护具有如下特征:(1)法律对个人生物识别信息的保护比对其他敏感个人信息的保护规定更加具体。个人生物识别信息属于具体的信息,主要作为公共安全、反恐怖、金融等领域的重要技术手段;而其他敏感个人信息是一种更广泛的权利,涵盖了个人生活中多方面的内容,涉及的权利主要是信息保护权和自主控制权等。根据《个人信息保护法》第28条规定,敏感个人信息包含了个人生物识别信息,但不仅限于生物识别信息。敏感个人信息的范畴更加广泛,个人生物识别信息只是敏感个人信息的形式之一。有学者基于敏感个人信息需符合一定条件进行分析,反对将全部的生物识别信息纳入敏感个人信息的范畴;对此,需要建立更为细致的识别标准,划分一般和敏感的个人生物识别信息。美国和欧盟在其个人信息保护实践中发展出了个人信息的“场景理论”,即根据个人信息的应用情景判断特定信息是否属于敏感个人信息。对于涉及个人敏感领域的生物识别信息,信息处理者应承担更强的保护义务,需在严格遵循告知同意原则下收集处理个人生物识别信息,并仅在事先确定的使用范围内处理相关信息。对于涉及个人一般领域的生物识别信息,信息处理者只需承担一般保护义务,可以将经过处理的个人生物识别信息在合理范围内加以利用。对公共领域的生物识别信息,信息处理者则承担相对较弱的保护义务,将其充分运用于社会管理或商业经营,以提高生物识别信息的利用效率,尽可能地发挥其价值。在不同的应用场景下,可对于生物识别信息保护区分为强保护、一般保护和弱保护。(2)在信息处理规则层面,个人生物识别信息保护比其他敏感个人信息保护更为严格。处理其他敏感个人信息和个人生物识别信息都需要取得权利人的明确同意,但在实践中,其区别在于取得同意的程序、方式和具体要求有所不同。在处理其他敏感个人信息时,信息处理者通常需要取得权利人的明确同意,并向其告知收集、使用、存储、转移等方面的具体事项。《民法典》虽未对敏感个人信息予以权利化处理,但将其纳入了公法保护。个人生物识别信息因可以精准地辨认出该个人身份的信息,属于特殊类别的敏感个人数据,具有更高的风险和敏感性,其处理需要遵循更严格的规则和要求,通常不仅需要取得权利人的明示同意,而且需要告知信息被处理者将进行的风险评估和数据保护措施等相关信息;这对于保护民事主体的合法权益,维护国家安全至关重要。传统的个人信息处理以征得个体许可使用为主要规则,即通过严格的“告知—同意”规则充分尊重个人的信息自决权;依据该规则,外部主体难以实现对个人信息的任意取得,个体才是信息的主要处理者;但伴随科技的进步,数据技术的诞生降低了外部主体取得个人信息的门槛,致使“私法确立的‘知情—同意’等形式平等和自治范式,亦无法扭转个人生物识别信息实际控制权向数字技术优势方移转之趋势”。实践中知情—同意原则的规范作用会因为技术的不断发展而被削弱,个人信息处理者和个人生物识别信息所有人处于实质上的不平等地位,不少个人信息处理者会通过服务限制的方式,迫使个人生物识别信息所有人为其收集信息开放权限,即通过信息被处理者“一键同意”获得对其信息的处理权利。例如,很多软件要求个人提供手机的全部权限,以实现对诸如短信、相册、指纹等私密信息的攫取。因此,在个人生物识别信息的处理规则层面,我们不仅需要继续重申知情—同意规则的规范作用,而且需进一步探讨更深层次的法律规制方式。(3)在商业利用和公共利用限制层面,敏感个人信息比个人生物识别信息限制的内容更多。这主要源于敏感个人信息不仅包括生物识别信息,而且包括宗教信仰以及不满十四周岁未成年人的个人信息等众多内容。即使敏感个人信息主体主动公开个人敏感信息,其他主体也不能理所当然将此情形视为敏感个人信息主体同意将其信息用于商业目的和公共利用目的。如对不满十四周岁未成年人的个人信息的处理,不仅需要获得其监护人或法定代理人的同意,而且其敏感个人信息的商业化利用也受到明确的严格限制。而个人生物识别信息,当前正在被大规模地运用于商业领域。例如,在金融领域,银行可以使用生物识别技术来确认客户身份;在零售行业,商家可以通过识别顾客的面容实现购买流程的自动化;在公共管理和安全保障中,高铁站、机场可以使用人脸识别技术加速安全检查等。商业化应用高速扩张必然伴随着风险扩张,生物识别技术在促进信息处理者采集、储存、传输便利的同时,也带来了信息采集未授权、储存高风险、传输不透明、处理不合规等风险。
因此,虽然生物识别技术在商业领域的应用具有广阔的前景,但对其的合理利用则需要制定相应的规范和保护措施以平衡创新发展和个人生物识别信息保护的关系。因为伴随大数据、区块链、元宇宙等信息技术的快速发展,个人生物识别信息被大规模应用的趋势越来越明显。实践中,还有些网络平台在获取个人生物识别信息之后,采取分级分类的方式,进而采取差异化商业服务模式。将数据作为商品进行流通,已经成为推动数字经济发展的重要共识,但不受监管的数据流通却引发了社会的信任危机。因为涉及指纹、面部信息等更具私密性的个人生物识别信息,承载着人格尊严和隐私等人格利益,与自然人的主体性关联更为紧密;这些信息一旦被滥用,会带来更为严重的社会后果。因此,法律对这些信息的保护规则设定,应更具针对性。
(三)个人生物识别信息保护的突出问题:信息特殊性与保护普遍性的冲突
第一,个体属性是个人生物识别信息保护的基本属性。个体属性是个人生物识别信息最鲜明的属性,主要表现为个人对生物识别信息一定的自决权,其范围涵盖信息知情、同意、复制、删除、解释等多项权益;个人生物识别信息的利用受知情—同意原则的限制。个人生物识别信息自决权充分体现了信息主体对信息数据的掌控,凸显了个人生物识别信息附属于信息主体的特征。个人生物识别信息牵涉个体的人格权利、隐私权利和财产权利,而其处理者包括公、私主体,若对个人生物识别信息的处理活动不加规制,就可能严重侵害个人权利。以人脸信息为例,各类各处的监控设备完全可以不经过自然人的同意对之进行录像拍摄;这种拍摄往往具有极大的隐秘性,自然人可能完全不知道其人脸信息在何时何地被何种主体所收集。而即使搜集人脸信息的主体是公权力主体,其也不应不加辨别地随意搜集自然人的个人生物识别信息。因此,《北京市公共安全图像信息系统管理办法》规定了公共安全图像信息系统的安装区域,并作了限制规定,明确公共安全图像信息采集活动不得侵犯公民隐私。《个人信息保护法》也明确规定,公共场所安装图像采集、身份识别的设备,必须出于维护公共安全目的,所收集的信息也只能用于维护公共安全。第二,个人生物识别信息保护背后附着的公共利益日渐凸显。个人生物识别信息在一定程度上与整个社会公共利益密切相关,个人对其生物识别信息不再享有绝对排他的自决权。《个人信息保护法》第13条第4、5款分别规定了个人信息的处理规则,将保护公共利益列为知情同意规则的例外;为了公共利益的需要,即使信息主体不同意,相关主体依然可以依法处理个人生物识别信息。如果只承认个人生物识别信息的个体属性,将信息自决权视为完全排他的独占性权利,则对公共安全的维护带来巨大风险。因此,在设定个人生物识别信息保护的法律制度时,应当坚持对个人利益影响最小、公共利益优先等原则,使个人利益与公共利益之间互相协调。无论是在刑事领域追踪犯罪,通过人脸识别技术锁定犯罪嫌疑人,还是在社会管理领域实现全面监管,如通过收集个人生物信息确定特定主体的活动路径,个人生物信息的广泛利用对公共安全和社会管理均具有重要意义。第三,个人生物识别信息保护理念的转变。《个人信息保护法》明确提出了对个人生物识别信息的保护要求,并强调了保护与利用的平衡。个人生物识别信息是个人敏感信息的一种,需要得到严格的保护。在特定情况下,如为了维护国家安全、公共安全、重大公共利益等,有关主体可使用个人生物识别信息,但必须基于明确的合法目的、合理的方式,并采取切实可行的防范措施,严格限制数据使用和访问权限,避免个人生物识别信息的滥用和泄漏。
三、个人生物识别信息保护中应当实现三个向度的价值平衡
我国的《个人信息保护法》已经从规范层面明确了个人信息保护的基本理念——保护与利用的平衡;只要遵循个人信息处理的合法、正当、必要和诚信原则,法律鼓励对个人信息的合法利用。
(一)静态与动态的平衡
从本质上来说,个人生物识别信息的保护和利用是静态和动态的结合,是过程与目标的统一。(1)个人生物识别信息保护与利用的平衡,首先是静态的平衡。《个人信息保护法》第1条已经明确了保护与利用平衡的立法目标,并通过一系列立法条文强化了上述理念。如第四章授予个人在个人信息处理中享有充分的权利,包含知情权、决定权、查阅权、复制权等,此种规定皆是为了强化个人信息保护,明确个人对个人信息的所有权。因此,不可误认为个人生物识别信息处理者只承担保护的义务,而不享有利用的权利。《个人信息保护法》之所以格外注重个人生物识别信息处理者的义务,主要是因为个人生物识别信息处理者,特别是网络平台,在个人生物识别信息处理中处于绝对优势地位。网络平台能够快速全面收集处理个人生物识别信息,立法强化其义务是为了从实质上确保个人与信息处理者地位的平等。《个人信息保护法》全文皆体现了此种平衡的立法理念,体现了立法者的这一价值追求。此外,《数据安全法》也为个人生物识别信息保护与利用提供了参考,如第二、三、四章,分别规定了数据安全与发展、安全制度、安全保护义务内容,其中提到开展数据活动的原则:有利于经济社会发展、增进人民福祉、符合社会公德伦理;加强风险监测和实施定期风险评估;以合法、正当方式获取数据;数据收集和使用不得超过必要限度等,以法条规定体现了安全与利用之间的静态平衡。(2)个人生物识别信息保护与利用的平衡,难点是动态的平衡。在实践中真正落实立法关于保护与利用平衡的价值理念,牵涉监管执法的问题,而监管执法所面临的实际情况往往变幻莫测。法条只能确立执法的规则,却难以穷尽所有的具体执法情形,这就引发了在执法中如何推动保护与利用平衡的难题。动态平衡的实现,需要执法者深刻理解立法的本质,还应该具有较强的执法能力,以确保同类案件执法效果的统一。实现上述目标的关键在于针对具体情况合理判断。客观而言,上述平衡的实现并没有统一的公式可以套用,只有在实践中不断探索积累经验。
(二)个人利益与公共利益的平衡
个人生物识别信息的个体属性意味着法律应当注重保护个人利益,其公共属性则意味着法律必须注重保障公共利益。个人生物识别信息的规模化、数字化利用,需整合私法控制的端口式保护与公法规制的过程式保护。个人生物识别信息保护与利用的平衡实质上就是为了实现个人利益与公共利益的平衡;其中,维护个人利益的主要方式就是对个人生物识别信息进行保护,维护公共利益的主要方式就是要注重对个人生物识别信息的利用。当然,随着时代的发展,个人生物识别信息的保护或者利用重心也会不断发生变化。例如,特定时期,为了维护公共利益,有关主体可能会强化对个人生物识别信息的收集和利用。在传统的私法保护模式下,知情—同意构成了信息处理的基本原则,如果违背该原则,则构成对个人生物识别信息自决权的侵犯。实践中,知情—同意原则往往会流于形式,为此,有学者提出,应根据个人生物识别信息的保护要求和安全威胁分别建立保护性能和安全性能分级规制制度以完善知情—同意的制度。在个人生物识别信息的个体属性向个体与公共双重属性变迁过程中,科技手段发挥了重大作用。如具有强大计算能力的外卖平台、网约车平台等可通过算法等技术手段将收集到的信息有效分类精准投递到个人,但这些平台的运行往往会收集公民的个人生物识别信息。以面部识别为例,一方面,借助刷脸的身份识别机制,公共监控更为高效、能迅速地在公共空间中识别出特定个人;另一方面,刷脸的识别分析机制,进一步强化了监控设备快速形成个人数据形象和持续监视、追踪功能,极易对个人基本权利造成侵害,而个人对此却难以察觉。为了规制信息处理者任意收集、使用他人个人生物识别信息的行为,就必须严格按照比例原则的要求,限制有关主体对个人生物识别信息的收集利用。立法者必须贯彻比例原则来设定个人生物识别信息的使用规则,以推动个人生物识别信息保护与利用的均衡发展。
(三)私法保护与公法保护的平衡
当前,我国的立法规范并未将个人生物识别信息作为一项单独的权利进行保障,而是将其作为公民个人信息的一种,以个人信息权的模式来进行确认和保障。无论是《民法典》还是《个人信息保护法》的规定,都并未直接使用个人生物识别信息权的称谓,因此,大多数学者将个人生物识别信息视为一项权益而非权利。不过,也有学者认为,虽然上述法律并未直接使用个人生物识别信息权的称谓,但结合立法原意和立法条文的内容,我们可以从目的解释和体系解释的角度将个人生物识别信息解释为一项权利。如王锡锌教授从《宪法》第38条“人格尊严不受侵犯”规定出发,提出了个人生物识别信息受保护是一项公民的基本权利。对个人生物识别信息的保护,应注重依靠多领域的法律。第一,应将个人生物识别信息的保护和利用提升至宪法层面,以加强对个人生物识别信息免受公权力之不当侵害的保障,有效规避潜在风险。第二,《民法典》使用个人信息权益的表述对个人生物识别信息提供私法保护,体现了信息保护与利用的平衡。个人生物识别信息具有一定的财产权属性,未来当采取隐私权和财产权的复合保护模式对其提供保护可能更为妥当。第三,《个人信息保护法》通过规定一系列的权利,如知情权、决定权、查阅权、复制权等来充实个人生物识别信息保护的内涵。第四,对个人生物识别信息的保护离不开公法。如《个人信息安全规范》在个人敏感信息部分较为详细地规定了面部识别特征、指纹、掌纹等内容;现行《刑法》规定了侵犯个人信息的犯罪类型,但不够全面;最高人民法院和最高人民检察院发布的一些典型案例、指导性案例,已经注重对个人生物识别信息的刑法保护。
四、平衡个体权利与公共利益中应坚持的基本原则
(一)合法性原则:行政机关的自我约束
合法性原则是宪法和行政法所明确规定的一项基本原则,是行政执法的基础性原则,也是行政机关应当坚守的底线原则。合法性原则意味着,行政主体的任何行政行为都要依照既有的规范性依据展开,否则将是对公权力运行边界的突破。合法性原则其实就是行政主体根据法律所进行的规范边界性要求和自我约束,防止自身过度用权。作为一种公共管理原则,合法性原则的根本目的是确保行政主体行使行政权力时能够尽可能地保护个人的基本权利,避免行政部门滥用权力或过度干预个人自由,在有效维护公共利益的同时,尽量减少对个人自由的影响。个人生物识别信息作为极具特殊性的一类个人信息,与个人财产和人身利益、公共利益密切相关,因而,行政机关在执法过程中必须将合法性原则作为个人生物识别信息保护中的基础性执法原则。“对自然人信息的处理,从客观上讲,就是对自然人的个人信息权益的侵入或影响,倘若不能满足合法依据或者合法理由,该行为从法律层面便会被认定为破坏个人信息权益的违法行为。”《个人信息保护法》的诞生,某种程度上就是为了弥补以往私法保护模式的不足,强化对个人生物识别信息的公法保护。《个人信息保护法》新增加了事前和事中的监管措施,希望改变以往信息侵权才能获得救济的不利局面。而事前和事中监管则主要依靠行政机关,如《个人信息保护法》第五章关于个人信息处理者应该履行的义务,第六章个人信息保护部门的职责等规定。当然,强调事前预防事中监管,并非要抛弃或者取代事后救济,事后救济仍然具有重要的价值,且行政机关在事后救济阶段依然可以发挥其独特作用。如《个人信息保护法》第62条第2、4款就明确规定行政机关“接受、处理与个人信息保护有关的投诉、举报”“调查、处理违法个人信息处理活动”。可见,行政机关在个人生物识别信息保护中,覆盖了事前、事中和事后三个阶段,这也意味着,行政机关在每一个环节的行政行为中,都必须遵循合法性原则。行政主体获取个人生物识别信息利用的法定权限,并不代表其就能够在法律的名义下恣意行使其所具有的行政权力,而只是拥有了其行使行政权力、实施公共管理的合法性基础和规范依据。因而,具体的行政行为实施仍应满足以下要求:一是主体合法。例如,在突发公共卫生事件的背景下,行政机关应根据《关于做好个人信息保护利用大数据支撑联防联控工作的通知》第1条、《传染病防治法》第7条的规定以及《突发公共卫生事件应急条例》第40条的规定收集和使用个人信息。依照上述规定,疫情防控中合法的信息收集主体主要包括四类:各级人民政府及其部门;国务院卫生行政主管部门及其依法授权的机构;各级疾病预防控制机构及医疗机构;街道、乡镇以及居民委员会和村民委员会。显然,上述四类主体之外的其他主体收集、利用相关的个人信息,显属主体不合法,违背合法性原则。二是内容合法。依据《个人信息保护法》第13条规定,有权主体应当在法律规定范围内行使相关权利。三是应当依法追责。依据《个人信息保护法》《政府信息公开条例》《突发公共卫生事件应急条例》《突发事件应对法》等法律法规,应对在疫情防控中泄露个人信息者追究相应责任。
(二)安全性原则:个体信息的风险抵御
由于个人生物识别信息的安全风险系数较高,安全原则自然也应成为行政主体在平衡个人生物识别信息利用和保护冲突时所应坚守的原则。原因在于,行政主体是个人生物识别信息收集的最权威和最主要主体,也是个人生物识别信息利用的最重要主体。而且,安全原则应当以一种保障性、兜底性原则的形态而存在,发挥预防社会风险的功能。安全原则也可称为安全性保障原则、安全性保护原则。之所以将安全原则作为行政主体在利用和保护个人生物识别信息的保障性原则,其根据就在于执法应实现公共利益和个人利益之间的平衡。行政主体在收集、利用、处理、销毁公民个人生物识别信息的过程中,应当全程贯穿安全理念;即便在合法、正当的利用目的下,行政机关也应当注重遵循安全原则,以避免对公民个人人身或财产造成巨大风险。安全原则意味着个人信息的处理者负有特殊的安全管理义务。这种安全管理义务的规定,对个人信息处理者提出了很高的执法要求,本质上是为了防范包括个人生物识别信息在内的各类个人信息的泄露。如《个人信息保护法》第51条规定了一般情况下个人生物识别信息处理者应该承担的义务包括制定内部管理制度和操作流程,采取相应的加密、去标识化等安全技术措施。这些规定都是为了尽量降低个人生物识别信息在采集利用过程中可能发生的信息泄露滥用等风险,确保个人生物识别信息利用合法合规。针对利用个人信息进行自动化决策,向境外提供个人信息等存在潜在安全风险的情形,《个人信息保护法》第55条规定了个人生物识别信息处理者的安全评估义务;企业应以前提条件、目的条件、内部条件、外部条件为主体内容,构建个人信息跨境提供的专项合规计划。这意味着,即便是商业利用个人生物识别信息,政府机关的监督管理和安全保障等仍是其中不能缺少的环节,行政主体仍应以安全原则为核心承担相应的兜底监管义务。
(三)比例原则:利益冲突的平衡
“利益”大致可以划分为个体利益、群体利益、制度利益和公共利益,同“双方当事人之间的各种利益”“案件判决结果对类似群体的利益”“法律制度中的利益”和“涉及经济秩序和社会公德的利益”一一对应。而在个人生物识别信息保护和利用中个人利益与公共利益的矛盾最为巨大。一般来说,当个人利益与公共利益发生冲突时,大多数情况下个人利益都不得不做出让步;比例原则要求执法者应时刻铭记最小侵害的标准,在目的明确和目的限制的基础上,尽量减少个人利益的牺牲,防止个人权利受到不当克减。因维护公共利益的需要而不得不克减公民个人权利时,必须符合侵害最小原则,否则可能导致个人权利被无限牺牲。比例原则应当是行政主体在保护和利用公民个人生物识别信息过程中应当遵循的核心原则,即便是前述的合法性原则和安全原则也应当被统合于比例原则之内。原因在于,我国的《宪法》规定之中无论是关于权利的保障还是权力的限制等内容,都蕴含了比例原则的基本精神。当下越来越多的学者认可比例原则的适用场域应该逐步扩展,实践中比例原则的适用已经超越了传统行政法范围,向民法、刑法等其他部门法领域延伸,并取得了较好的实施效果。客观而言,个人生物识别信息保护与利用之间存在较大张力,保护与利用的平衡实质上是个人利益与公共利益的平衡,比例原则是实现二者平衡的重要方式。《个人信息保护法》超越了传统私法保护的模式,对信息主体、信息处理者、国家机关三者的权利、义务、责任做了规定。比例原则适用的核心在于考量均衡性。《个人信息保护法》并未简单采用行政处罚的手段,而是鼓励企业通过合规的方式来弥补制度漏洞。在适用比例原则过程中,决不能将个人利益与公共利益对立起来,而应将二者统一于个人生物识别信息保护与利用的最终目标。比例原则的实质是协调适当性、必要性、最小损害性等,是行政合理性原则的具体体现,其中蕴含的均衡、公平等理念,具有普适性,在公私法范围内均有适用空间。立法是执法的前提,立法者在分配个人生物识别信息处理风险时,应遵循比例原则的要求,合理限制公民个人、企业与国家公权力机关的个人生物识别信息处理自由。《个人信息保护法》将个人信息划分为一般个人信息和敏感个人信息两大类。由于敏感个人信息的泄露和滥用对信息主体造成的危害显然更大,因而立法更应当强化对敏感个人信息的保护。《个人信息保护法》将个人生物识别信息列为个人敏感信息的一种,第13条第1款将知情—同意视为处理个人信息的一般规定,但第13条第2-7款则作了若干例外规定,明确为履行法定职责或法定义务的,可不遵循“知情—同意”规则。这一规定即体现了比例原则中的适当性要求。
比例原则适用的重点是行政行为的自我规范。不同于合法性原则从规范层面对行政机关权力运行边界进行整体约束和形式层面提出要求,比例原则更倾向于从实质层面对行政机关实施行政行为进行约束和规范,其主要作用是防止公权力机关不当限制公民权利。在个人生物识别信息保护领域,既要防止网络平台等私人主体侵犯个人生物识别信息,也要警惕公权力机关侵害个人生物识别信息,防止个人生物识别信息遭受权力机关和数据企业的侵犯。这是因为,公权力机关对公民的个人生物识别信息的侵权行为往往更加隐秘,更容易造成更严重的危害后果。为此,应规范相关执法行为:(1)规范行政机关的信息收集行为。行政机关代表国家公权力,在信息收集环节具有特殊的优势;公民本着对国家公权力的信任,大多会积极配合行政机关的信息收集行为,提供敏感个人信息。在此过程中,行政机关应该遵循必要性原则,防止过度收集分析个人生物识别信息,同时应要兼顾最小损害性原则,确保个人生物识别信息被合理收集和有效分析利用。如《个人信息保护法》第6条明确了信息收集的基本原则为“应当限于实现处理目的的最小范围,不得过度收集个人信息”。该条即充分体现了比例原则的必要性要求。(2)规范行政机关的信息处理行为。《个人信息保护法》第2章第3节专门针对国家机关处理个人生物识别信息做了特殊规定,第34条要求国家机关处理个人信息不得超出履行法定职责所必需的范围和限度。该条文即以目的限制为原则,明确了国家机关处理个人生物识别信息应是为了履行法定职责,并以比例原则必要性和最小损害性为依据,约束行政机关收集处理个人生物识别信息的范围和幅度,强调信息处理的目的是履行法定职责,维护社会稳定安全。行政机关不得过度分析个人生物识别信息,收集处理个人生物识别信息均应是为了履行法定职责。
五、结语
针对个人生物识别信息的制度设定,仅偏向于对个人生物识别信息保护而设定严格的保护标准,或者仅强化对个人生物识别信息的利用而淡化信息处理者的义务或忽视监管者的责任,均非正确的选择;确保个人利益和公共利益的平衡,才是数字时代个人生物识别信息保护和利用应当坚持的基本原则。因个人生物识别信息的保护已经跨越了公法和私法法域,因而,未来个人生物识别信息保护不仅要遵循《个人信息保护法》《民法典》的相关规定,而且应遵守《网络安全法》《数据安全法》等相关法律的规定。面对越来越庞杂的法律体系,行政机关在关涉个人生物识别信息利用和保护中的执法行为,应统一于合法性、安全性和比例性的执法原则,这样才有助于实现执法效果和社会效果的有机统一。
(原文刊载于《法律科学》2024年第2期)
《数字法治》专题由上海市法学会数字法学研究会特约供稿,专题统筹:秦前松。