如何做好个人生物识别信息的保护与监管
如何做好个人生物识别信息的保护与监管
作者:***
来源:《人民论坛》2020年第24期
        【关键词】个人生物识别信息 个人信息 民法典 【中图分类号】D92 【文献标识码】A
        近年发生在浙江省杭州市的“人脸识别第一案”成为舆论关注的焦点。浙江某大学教授因为不满进动物园也要“刷脸”,将“杭州野生动物世界”告上法庭。该案引发人们从法律层面思考个人生物识别信息的保护和监管问题。
        个人生物识别信息是指通过运用科学技术手段对人的身体特征进行数字化处理后得到的信息。我国《信息安全技术 个人信息安全规范》规定的个人生物识别信息包括自然人的身体、生理特征的相关信息,如指纹、声纹、掌纹、耳廓、虹膜、面部特征、个人基因等。个人生物识别信息是现代科技的产物,其已成为大数据时代个人身份信息的新形态。随着人工智能、区块链等技术和相关产业的飞速发展,个人生物识别信息的获取、收集、存储和应用技术越发成熟,通过数据形式表现出来的个人生物识别信息在通讯、交通、医学、金融、商
业交易等领域备受青睐,极大地满足了社会发展的需求并促进了交易的便捷。但是另一方面,生物识别信息的泄露可能使个人处在潜在的高度危险之中,具有重大的安全隐患。个人生物识别信息一旦被信息控制者泄露、非法提供或者滥用,极易导致信息主体的个人名誉、身份健康受到损害或遭受歧视性待遇,从而危害个人的财产与人身安全。在《中华人民共和国民法典》(以下简称《民法典》)颁布的背景之下,探讨如何加强个人生物识别信息的保护与监管显得尤为必要。
        《民法典》第1034条规定,自然人的个人信息受法律保护。个人生物识别信息属于个人信息的范畴。个人生物识别信息可以分别表达为个人生物身体和生理识别信息与个人生物行为特征识别信息,它们直接反映自然人独一无二与不可替代性的身体、生理或行为特征,具有强烈的人身属性。个人的身体、生理特征包括指纹、掌纹信息以及脸部信息等。例如,指纹和掌纹信息是由人的指纹、掌纹因遗传与环境共同作用产生的信息;声纹信息是由电声学仪器显示的自然人言语信息的声波频谱;耳廓、虹膜和面部信息分别是对自然人耳朵、眼睛与脸部特征进行数字化处理的个人信息;人体行为识别信息系通过计算机对人体的运动进行检测、提取,并对相关特征进行分类和行为识别,其在智能监控、机器人、人机交互、虚拟现实、智能家居、智能安防、运动员辅助训练等方面极具应用价值。个人生物
杭州野生动物园门票
识别信息与个人一般信息,例如电话号码、、身份证号码等相比具有显著差异,后者以信息主体的社会性特征为基础,它们外在于人本身;而前者直接反映信息主体内在的身体、生理和行为本质属性,不仅具有更高程度的可识别性,而且与自然人的人身不可分割,属于高度敏感的个人信息。个人生物识别信息作为高度敏感信息,相较其他个人信息具有更强的人格属性。个人生物识别信息一旦被泄露或者被盗窃,会造成不可弥补的损害,无法像证件、密码等一般个人信息被盗后可以进行更换、补办或者索回,信息主体将被迫永久退出与个人生物识别信息认证相关的所有活动。
        由于个人生物识别信息具有高度的人格属性,因此与隐私权具有密切联系。《民法典》第1034条第2款规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”个人信息与隐私权存在重叠之处:两者的关系可以表达为纯粹的个人隐私、隐私性信息与纯粹的个人信息。隐私性信息意指通过数据形式表达的个人隐私,是隐私与纯粹的个人信息交叉的部分。个人生物识别信息包含的身体、生理及行为特征,均属于隐私性信息。相比个人生物行为特征识别信息,个人生物身体与生理识别信息的隐私属性更强。个人生物识别信息具有非常高的身体指向性和高度私密性,与信息主体的人格尊严密切相关,对其予以公开或非法利用将会给信息主体造成重大影响。个人
换换爱结局生物识别信息不同于纯粹的隐私(如自然人的私生活安宁和不愿为他人知晓的私密空间、私密活动等)。依据《民法典》第1032条的规定,后者是隐私权保护的主要对象,直接涉及到个人人格尊严与自由的部分。尽管个人生物识别信息属于个人信息与隐私权交叉的范畴,但是个人生物识别信息的法律结构显然远远超出了传统隐私权所形成的权利主体(自然人)-权利客体(隐私)-义务人的模式。这是因为,单个信息的财产价值非常有限,即使是个人生物识别信息,信息主体除对其享有使用价值的期待之外,更为重要的是隐私期待。但是,个人生物识别信息的主体不限于信息本身的主体,个人生物识别信息主体可以自主控制或允许数据控制者利用,从而发挥该信息的经济与社会价值,这是传统的隐私权观念所不具备的。因此,单个个人生物识别信息的保护可以适用于隐私权规范,但是一旦涉及个人生物识别信息的数据控制者,则应当适用个人信息相关规范。
        个人生物识别信息技术在诸多领域得到广泛的应用,有关个人生物识别信息的收集、储存、利用等已经发展成为一个庞大的产业。一方面,法律要保护生物识别信息主体的人格尊严和自由,保障其追求人格完整和发展的自主能力,避免个人生物识别信息的泄露或非法使用危害信息主体的人格尊严和自由价值。个人作为目的性的存在,只有消除个人对“信息化形象”被他人操控的疑虑和恐慌,才能有自尊并受到他人尊重地生存与生活。另
一方面,个人生物识别信息包含巨大的经济价值,可以被进行大规模的处理与应用。法律要适应技术进步与经济发展,平衡个人生物识别信息主体隐私、利用期待与控制者的数据利用和管理的需要。从现实生活看,对于个人生物识别信息的收集、利用等大体可以分为三个方面:一是政府或者政府授权机构基于社会公共安全的需要收集与利用个人生物识别信息,典型的情形如机场、高铁等领域在实施安检时使用人脸识别系统;二是商业组织如银行、电子支付平台(支付寶、等)等对于交易主体的生物识别信息进行收集和利用;三是特定的机构基于管理的需要对个人生物识别信息的收集和利用。例如学校、公园等机构要求进入内部空间时使用“人脸识别系统”。上述情形可以划分为基于公共利益的需要与基于商业利益的需要而收集、使用个人生物识别信息两种类型。
中秋祝福语 简洁大气2020        在个人生物识别信息保护领域,国家扮演着多重角。对于个人生物识别信息的商业化利用而言,国家大体上处于超然于个人生物识别信息主体与信息控制者双方利益的中立地位,其以社会管理者身份通过制定法律和实施法律调和信息主体的信息归属、信息自决权与信息控制者的数据利用、数据财产利益之间的矛盾。从现实情况来看,为了公共利益的需要,国家实际上已经成为个人生物识别信息最大的收集、处理、储存和利用者,其本身是作为生物识别信息独立的利益相关者而出现的。相应地,国家就从个人生物识别信息
商业化利用中的中立地位转变为兼具信息利用者和管理者的双重身份角。国家对个人生物识别信息的收集与利用可以极大地发挥个人生物识别信息的价值,从而有效地保障公共安全与社会公共利益。但是正如前文所述,个人生物识别信息的应用有重大安全风险,因此政府机关或授权机构在收集个人生物识别信息时必须基于公共利益的要求并遵循法定程序,符合比例原则下目的性、必要性和比例性的要求,兼顾收集目标的实现和保护信息主体的权益。《民法典》第1035条规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。
        政府机关或者授权的机构在收集、处理、利用个人生物识别信息时应当遵循以下具体规则:一是收集主体必须有明确的法律依据或者经明确的授权。政府机关或相关机构对于个人生物识别信息的收集必须具有法定的依据和授权事项,并明确告知相对人该法律依据和授权事项以及不提供个人生物识别信息的法律后果。政府机关或授权机构不得超越职权收集个人生物识别信息。二是政府机关或者授权机构不得为公共利益之外的目的利用个人生物识别信息。为维护国家安全和公共安全,政府机关可以利用个人生物识别信息。例如,公安机关或税务机关可以在刑事侦查、追查税款等特定情形之下进行个人生物识别信息比对。但是在此之外,不得为非公共利益的目的储存、处理或利用个人生物識别信息。
为支持学术研究,授权机构也可以利用个人生物识别信息,但是须无害于个体的人格利益,相关研究人员或机构应当对使用的个人生物识别信息采取妥善的保护措施。三是个人生物识别信息处分要严格限制。政府机关或授权机构非经许可不得向他人转让个人生物识别信息,尤其是禁止以营利为目的向任何机构有偿转让个人生物识别信息。由于信息技术日益发达,政府部门之间共享政府数据,或者政府部门与商业公司之间互相共享数据越来越常见。例如,在新冠肺炎疫情期间,腾讯、阿里巴巴等商业机构通过自己的数据与技术给疫情防控提供了大量的数据(其中包括人脸识别、指纹等数据)。这其中既包括政府授权平台公司利用自己的技术优势直接参与防控,也包括它们对已有数据的加工和处理。通过对政府数据与社会数据的共享和充分发掘,可以准确识别个人的行动轨迹、个人的感染情况以及相关密切接触者的健康状况,充分发挥数字化防控的最大效能。为避免泄露个人生物识别信息,有必要构建一套统一的、法定的数据交换标准,形成规范的数据格式,在公开时要去标识化处理,并选择恰当的方式和范围。
        近年来,商业公司或特定机构对个人生物识别信息的收集和利用有愈演愈烈的趋势。商业公司或特定机构对于个人生物识别信息的收集和利用通常并非基于公共利益的目的。为保护个人生物识别信息,必须在立法、司法以及行政层面加强相应的监管,
python的用途
        个人生物识别信息的商业利用取决于信息控制者与生物识别信息主体之间的权利义务配置。个人生物识别信息的利用主要涉及信息的收集、信息的储存、信息的加工和处理以及信息的使用,每一个过程都可能涉及到信息的隐私化和隐私的信息化。过度限制生物识别信息的利用会影响人们通过信息造福社会。法律规范应当妥当平衡个人生物识别信息利益的保护与个人生物识别信息资源有效利用之间的关系。学校、公园等基于自身管理的需要采用生物识别信息系统,虽名为“公共安全的需要”,但是显然不符合比例原则的要求,这些单位通常无权收集和利用个人生物识别信息。
        商业公司或特定机构在收集和利用个人生物识别信息时,应在技术标准、制度规范、法律约束等各个方面适用严格的条件和程序。具体来说:一是商业公司或特定机构在收集和利用个人生物识别信息前须向个体进行充分的告知,获取个体的明示同意。二是商业公司或特定机构公开处理个人生物识别信息的规定,明示处理个人生物识别信息的目的、方式和范围,不得超出规定的目的收集、处理、利用个人生物识别信息,必要情况下的目的变更应当有法律的许可或取得个体的明确同意。三是商业公司或特定机构应妥善保管个人生物识别信息,相关收集、储存、使用、加工、传输、提供、公开应当严格遵循法律、行政法规的规定。
        (作者为武汉大学法学院教授、博导,武汉大学网络治理研究院研究员)
        【参考文献】
端午节祝福语简短语句>美德格言        ①张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》,2015年第3期。
        ②李永军:《论〈民法总则〉中个人隐私与信息“二元制”保护及请求权基础》,《浙江工商大学学报》,2017年第3期。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。