浅析个人生物识别信息在大数据背景的风险挑战及法律保护

浅析个人生物识别信息在大数据背景的风险挑战及法律保护

作者：如皋市人民法院 汤天意

摘要：个人生物识别信息是个人信息的一种类型，是运用特定技术对人的身体、生理或行为特征进行数字化处理后得到的一种信息。在大数据时代中，虽然人脸识别、指纹识别等个人生物识别信息的广泛运用极大地提高了经济效益和社会效益，但是在其收集、使用、存储等过程中也面临着巨大的风险与挑战。当前，我国法律对个人生物识别信息的保护缺位，亟需在两个层面构建起专门的法律保护体系：一是经由《民法典》确立对其保护的基本法依据，二是加快推进《个人信息保护法》的制定，为个人生物识别信息规定严密的保护措施。

关键词：个人生物识别信息；法律属性；风险与挑战；法律保护

引言

随着信息技术和生物科技的发展，个人生物识别信息被广泛运用于人们的日常生活。指纹识别、人脸识别等识别技术给企业考勤、小区安保、日常出行与消费、疫情防控等各领域都带来了极大的方便，但与此同时大数据背景下个人生物识别信息也面临着很多风险与挑战，如在信息收集、使用过程中，不正当行为频发；在信息存储过程中，一旦保护技术出现安全漏洞，个人生物识别信息泄露或被非法获取，会造成严重的损害后果。因此，我国需要完善相关法律规范，建立起专门的法律保护体系，来更好地应对大数据背景下个人生物识别信息面临的风险与挑战，发挥出更大的经济效益和社会效益。

个人生物识别信息的概念和特征

（一） 个人信息

对于个人信息的概念，《网络安全法》、《民法典》等相关法律都作出了明确规定。《民法典》第一千零三十四条第二款规定：“个人信息，是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”

简而言之，个人信息是能够单独识别出特定自然人，或者能够结合其他信息识别出特定自然人的一种信息，其具有可识别性特征。

（二） 个人生物识别信息

个人生物识别信息是运用现代生物识别技术对人的身体、生理或行为特征进行数字化处理后得到的一种信息。这种信息能准确识别出特定自然人身份且一般无法改变，因而具有高度的可识别性和不可替代性。具体来说，个人生物识别信息分为身体信息和行为信息。身体信息是个人先天的生理信息，包括面部图像、指纹、手掌静脉、视网膜、虹膜和 DNA 样本等；行为信息是个人后天形成的行为信息，包括笔迹、打字节奏、步态和声音等。[1]

随着大数据的不断发展，个人生物识别信息的使用范围也不断扩大。人脸信息通常会被使用在以下场合：办理银行、保险等金融业务时，验证身份所必需的人脸识别环节；乘坐高铁、火车出行时，进站须刷身份证同时进行人脸识别；乃至学信网、各种正规考试报名时，验证身份都必须要求进行人脸识别验证。指纹信息则会在下列场合使用：企业考勤用到的指纹打卡；智能手机以及指纹门锁等使用的指纹解锁；日常消费使用支付宝的指纹支付等等。

（三） 个人生物识别信息的特征和法律属性

个人生物识别信息是一种特殊的个人信息，与一般个人信息相比，个人生物识别信息与自然人的身体属性密切关联而且不可替代，已经成为大数据时代下验证自然人身份的重要信息。

1.特征

个人生物识别信息是每个人自出生时就拥有的，它们直接反映自然人独一无二与不可替代的身体、生理或行为特征，具有强烈的人身属性和高度的可识别性。大多数个人生物识别信息无法更改，如自然人的指纹、虹膜等，因此，个人生物识别信息还具有唯一性、不可替代性和终身性等特征。

正是因为个人生物识别信息具有更高的可识别性和独特性，其能更加准确迅速地确认自然人身份和其他相关信息，所以一旦被泄露或者滥用，可能会造成更为严重的损害结果，或严重侵害信息主体的人格尊严与自由，或给信息主体带来巨大的财产损失。例如，通过利用互联网技术合成人脸信息、声纹信息进行诈骗，这种诈骗方式能够更加轻易地获得受害人的信任，得手的可能性更大。

2. 法律属性

个人信息权益是一种新型的综合性民事权益，其中涉及到人格尊严与自由、人身安全与安宁、财产利益和诸多其他要素。个人生物识别信息作为个人信息的一种类型也同样如此。

第一，基本人权属性，既包括传统人权在大数据时代下的数字化呈现及保护，还包括随着科学技术发展而出现的新型数据信息权利及保护，其本质依旧是基本人权，是在科学技术和信息数据发展中作为人而应该享有的权利；[2]

第二，一般人格权属性，生物识别信息是每个人都享有的独特信息，其使用和保护都涉及到人格平等、独立、自由、尊严的问题；

第三，隐私权属性，由于生物识别信息在消费支付、交通通行等诸方面的重要性，大多数信息主体都不希望自己的信息被他人所知晓；

第四，财产权属性，大数据时代下，个人生物识别信息敏感程度与商业利用价值较高，且极具脆弱性，一旦遭到泄露或破坏可能会给信息主体带来巨大的财产损害。

大数据背景下个人生物识别信息面临的风险与挑战

互联网信息数据和生物识别技术的日益发展，促进了个人生物识别信息的获取、收集、存储和共享等。正如上文提到的银行、保险机构、支付平台等主体为了追求高效率，普遍使用了人脸识别、指纹识别技术进行身份认证；在新冠疫情暴发后，许多公共场所通过人脸识别门禁系统采集个人生物识别信息实施防疫管控。很显然在这些场合下，采集并使用个人生物识别信息具有合理性和必要性，不仅提升了身份认证的准确性，而且还极大地提高了效率，给人们的日常生活带来便利，发挥了极大的社会效益。

但是，事物都具有两面性。正因为个人生物识别信息高度的可识别性、唯一性，其属于个人敏感信息，在很多场合或系统中留下自己的人脸信息、指纹信息存在着很大的安全隐患，社会公众也对信息安全问题存在疑虑。社会生活中的很多事件表明，大数据背景下个人生物识别信息面临着很大的风险与挑战。

（一）信息收集过程

个人生物识别信息是通过特殊的生物识别技术收集起来，再经计算机程序进行数字化处理后得到的信息。因此，只有掌握相关技术的网络服务提供者可以对个人生物识别信息进行收集。在信息收集过程中，网络服务提供者很可能违反合法、正当、必要的原则，或者未获得信息主体的知情同意。

正如极具典型意义的国内“人脸识别第一案”，原告郭兵以杭州野生动物世界启用人脸识别入园的行为属于强制收集个人面部特征，违反了消费者权益保护法，起诉至法院。

具体案情如下：2020年4月，郭兵在杭州野生动物世界办理了年卡，有效期为一年。根据动物园方的要求，每次入园，游客需在闸机上同时验证年卡和指纹。到同年10月，杭州野生动物世界将年卡系统升级为人脸识别，且无其他入园方式。2020年10月26日，郭兵以杭州野生动物世界未经其同意强制收集个人生物识别信息、严重违反消费者权益保护法等法律相关规定为由，将杭州野生动物世界起诉至杭州市富阳区法院。

该案原告的请求权基础为《消费者权益保护法》第29条规定：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。”原指纹信息足以满足动物世界的经营需求，后要求录入的人脸信息并无必要。从理论上来讲，“必要”一般指的是要达到某一个服务目的，其采取的方式对权益受影响的消费者的损害应该最小。但是与指纹信息相比，人脸信息更容易与游客本人进行匹配，一旦泄露或被非法获取会造成更严重的损害。故在社会生活中很常见的动物园、一般小区门禁等非必要场合收集并使用人脸信息违法了必要性原则，给个人生物识别信息带来了潜在的风险与挑战。

（二）信息使用过程

目前，社会生活的诸多领域都在使用人脸信息、指纹信息等个人生物识别信息，在使用过程中，信息持有者很有可能出于谋取利益或其他目的，不正当使用个人生物识别信息。

2019年8月，某网络科技公司推出1款名叫“ZAO”的AI换脸App，用户将自己的照片上传后即可与一众明星实现换脸。而引起广泛关注的是其用户协议涉嫌违法。该软件的用户协议规定“在您上传及/或发布用户内容以前，您同意或者确保实际权利人同意授予ZAO及其关联公司以及ZAO用户全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”。虽之后修改了部分用户协议，但依然保留“您同意对用户内容进行网络信息传播的权利”。[3]

换脸App“ZAO”的用户协议保留了对用户内容的网络信息传播权，App对用户信息的后续使用不为人所知。假如该App将人脸信息非法贩卖以谋取利益，这无疑会侵犯到信息主体的隐私权和肖像权；再如通过AI技术将人脸信息剪辑接入淫秽视频，这会降低信息主体的社会评价，从而侵害其名誉权。因此，该用户协议引起了用户对信息持有者可能非法使用人脸信息，导致损害自身隐私权、肖像权、名誉权等的担忧甚至恐慌。

（三）信息存储过程

关于信息的存储安全问题，是个人生物识别信息所面临的最大风险。前文分析特征时已经提到，由于生物识别信息的特殊性，一旦泄露或被非法获取，可能会造成信息主体人格尊严和财产安全遭受损害。比如因疫情防控的要求，一名密切接触者在不知情的情况下途径多地，官方在寻找排查时，必须公布其基本信息、活动路线等个人信息，从而导致了很多相关人群对其产生埋怨与谩骂。假如该密切接触者的人脸信息等敏感生物识别信息泄露，就会损害到其隐私权、人格尊严甚至名誉权，影响其正常生活。

目前，大数据技术仍处于初始发展阶段，网络服务提供者往往更加追求大数据带来的商业价值，所以技术开发者会对个人生物识别信息的收集、使用过程投入更多的注意力和精力，而忽视信息的存储安全，这样不利于对信息主体的人格尊严与财产权利进行保护。一旦信息存储安全受到破坏，信息泄露或被非法获取，极易导致信息主体的个人名誉、身份健康受到损害或遭受歧视性待遇，从而危害个人的人格尊严与财产安全。

个人生物识别信息的法律保护

（一）我国的立法保护现状

目前，我国尚无一部系统性法律对个人信息进行保护。关于个人信息的法律保护，散见于《民法典》《网络安全法》《全国人大关于加强网络信息保护的决定》《消费者权益保护法》等法律法规。针对个人信息保护的专门立法，如今尚处于草案阶段，但是《个人信息保护法（草案）》也并未着重突出个人生物识别信息的地位并进行特殊保护。

但是在部分法律规范中可以找到个人生物识别信息保护的相关条款。例如，2020年3月新修订的《信息安全技术个人信息安全规范》明确规定个人生物识别信息属于个人敏感信息，并对个人敏感信息进行了特殊保护：传输和存储个人敏感信息时，应采用加密等安全措施；共享、转让个人敏感信息前，信息处理者负有告知义务，且必须事先征得信息主体的明示同意等。[4]

由此可见，我国虽然存在针对个人生物识别信息保护的法律规范，但缺乏直接性的、完整独立的专门立法。由于个人生物识别信息的特殊性与重要性，我国应当通过专门地系统性立法对个人生物识别信息的收集、使用、存储等行为进行规范，对无序收集、不规范保存、不正当使用以及不及时删除等行为进行事先规制，以此来保护社会公众的信息安全，明确个人生物识别信息的使用范围，平衡私人权益与社会公共利益之间的矛盾。

（二）《民法典》提供基本法依据

2021年1月1日《中华人民共和国民法典》正式施行，其将原本的民事单行法律予以整合，具有更强的体系性、逻辑性。大数据时代下的民法典编纂，需要回应时代产生的新问题，个人信息保护即为信息时代的一个热点问题。《民法典》通过第一千零三十四条至一千零三十九条六个条文对个人信息保护做出专门规定，同时也将“生物识别信息”规定在个人信息的定义内，无疑为个人生物识别信息受到法律保护提供了基本法依据。

但《民法典》未对个人敏感信息与个人一般信息进行区分，忽视了两者保护方式的区别和保护程度的差异，不利于明确个人生物识别信息的特殊保护地位，也未对其进行特殊保护。因此，在个人信息保护的单行立法中对个人生物识别信息进行准确定位并予以特殊保护，显得尤为重要。

（三）《个人信息保护法》提供具体保护措施

根据前文之分析可以看出，个人生物识别信息与自然人的人格尊严与自由、人身安全与安宁、财产利益和诸多其他要素密切相关，属于高度敏感的个人信息。因此，在立法上应当倾向于保护信息主体的权益，明确收集、使用个人生物识别信息的原则，严格限制个人生物识别信息的适用范围，在个人信息保护的专门立法中对个人生物识别信息予以专门保护。

第一，明确个人生物识别信息的特殊地位。目前，《个人信息保护法（草案）》中已经明确将个人生物识别信息归类于敏感个人信息。[5]

第二，加强信息处理者的通知义务，完善信息主体的知情同意制度。信息处理者在收集、使用生物识别信息时，应当获取信息主体的明示同意，例如以电子或其他可保存的方式获取信息主体口头同意或书面同意。与此同时，信息处理者还应当以显著方式、清晰易懂的语言告知信息主体其收集使用的个人信息类型、目的、保存期限以及可能对个人产生的影响等重要事项；

第三，明确规定收集、使用、保存个人生物识别信息的原则与条件。目前，《个人信息保护法（草案）》规定了“个人信息处理者具有特定的目的和充分的必要性，方可处理敏感个人信息”。首先，在信息的收集过程中，信息处理者必须确保其收集个人生物识别信息具有合法性目的，具有正当性基础；必须确定收集敏感性较低的其他信息不能达到相同效果，即要符合必要性原则。其次，在信息的使用过程中，信息处理者必须严格遵守合法、合理和透明原则、目的限制原则，正当、合理、必要地使用个人生物识别信息。最后，在信息的保存过程中，信息处理者必须加强保密安全措施，使用后必须及时删除，防止信息泄露给信息主体带来的损害。

第四，明确个人生物识别信息的保护主体，落实相关主体的保护责任，同时明确规定侵权责任。目前草案规定了国家网信部门以及县级以上地方人民政府有关部门承担个人信息保护的相关工作。但是由于科学技术进步，社会生活中各领域都有可能存在不规范处理个人生物识别信息的情况，仅国家机关无法完全保护相关主体的权益。因此，可以寻求社会力量的帮助，如呼吁成立专门的保护协会或者定期进行宣传教育，发动群众进行监督举报。

总结

大数据时代下，人脸信息、指纹信息等个人生物识别信息由于具有强烈的人身属性和高度可识别性，提高了核验自然人身份的效率和准确性。其在银行、保险、出行、支付等领域发挥了巨大的作用，提高了社会管理和社会生活的效率，也改变了社会管理的形式和人们的生活方式。

但与此同时，信息处理者的过度收集、不正当使用、不安全存储等行为都导致了个人生物识别信息面临着巨大的风险与挑战，一旦被泄露或者滥用，可能会严重侵害信息主体的人格尊严与自由，或给信息主体带来巨大的财产损失。当前我国法律对个人生物识别信息的保护力度还不够，应当在个人信息保护的单行立法中明确生物识别信息属于敏感个人信息的地位，并规定信息收集、使用、存储等处理过程中原则和具体要求，以此来保障个人生物识别信息主体的人格尊严和自由、隐私权、财产权等合法权益，同时发挥出最大的经济效益和社会效益。

参考文献：

[1]冉克平.论个人生物识别信息及其法律保护[J].社会科学辑刊,2020(06):111-120.

[2]胡鹏鹏.大数据背景下个人生物识别信息的立法保护研究[J].信息安全研究,2020,6(09):798-806.

[3]惠宁宁.中国人脸识别第一案[J].人民法治,2019(24):50-51.

[4]毛亚楠.人脸识别第一案：告的是什么[J].方圆,2019(24):14-17.

[5]罗斌,李卓雄.个人生物识别信息民事法律保护比较研究——我国“人脸识别第一案”的启示[J].当代传播,2021(01):77-81.

[6]朱振明.论个人生物识别信息的特性及法律保护[J].黑龙江生态工程职业学院学报,2021,34(01):76-79.

[7]潘林青.面部特征信息法律保护的技术诱因、理论基础及其规范构造[J].西北民族大学学报(哲学社会科学版),2020(06):75-85.

[8]邢会强.人脸识别的法律规制[J].比较法研究,2020(05):51-63.

[9]杨铜铜.论个人生物识别信息保护的立法路径[J/OL].北京理工大学学报(社会科学版):1-15[2021-02-24].

[1]邱建华、冯敬：《生物特征识别——身份认证的革命》，清华大学出版社2016年版，第13页。

[2]参见罗斌,李卓雄.个人生物识别信息民事法律保护比较研究——我国“人脸识别第一案”的启示[J].当代传播,2021(01):77-81.

[3]参见中国新闻网．换脸协议暴露公民个人信息保护短板[EB/OL].(2019-09-02)[2019-12-11]. http://www.chinanews.com/sh/2019/09-02/8944314.shtml

[4]参见邢会强.人脸识别的法律规制[J].比较法研究,2020(05):51-63.

[5]参见《个人信息保护法（草案）》第二十九条第二款：“敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”

特别声明：本网站上刊载的任何信息，仅供您浏览和参考之用，请您对相关信息自行辨别及判断，本网站不承担任何责任；本网站部分内容转自互联网，如您知悉或认为本站刊载的内容存在任何版权问题，请及时联系本站网络服务提供者或进行网上留言，本站将在第一时间核实并采取删除、屏蔽、断开链接等必要措施。网络服务提供者联系电话：15652571727。