以下文章來源于江西社會科學 ，作者張勇

江西社會科學.

《江西社會科學》是江西省社會科學院主管主辦的綜合性學術理論月刊，系全國中文核心期刊、中國人文社會科學核心期刊、CSSCI來源期刊、國家社科基金資助期刊。學術是生命，創(chuàng)新是靈魂，傳承學術，創(chuàng)新理論，是《江西社會科學》不倦的追求。

張勇

華東政法大學刑事法學院教授、博士生導師

隨著人臉識別等生物識別技術的廣泛應用，個人生物識別信息作為一種特殊的個人敏感信息，所蘊含的個人信息權利應受到法律保護。在此基礎上，應當確立風險預防及利益平衡原則以保障個人生物信息安全。在生物信息安全法律領域，我國現(xiàn)有的私法和公法保護模式都難以實現(xiàn)體系化保護。我國應以網絡安全法、生物安全法、個人信息保護法、數據安全法等綜合性立法為契機，通過相關行政法與刑法的銜接協(xié)調，構建個人生物信息安全的法律法規(guī)體系。

個人生物識別信息，即自然人可識別的生理或行為特征，從中提取可識別、可重復的生物特征樣本、模板、模型等識別數據或數據的聚合。隨著生物、醫(yī)學與信息技術的不斷發(fā)展，個人的面部、指紋、視虹膜、基因（DNA）等生物信息識別技術被廣泛應用到治安防控、政府治理、醫(yī)療衛(wèi)生、軌道交通等社會生活領域。生物識別技術發(fā)展所帶來的身份驗證、人體試驗、器官移植、輔助生殖技術、基因編輯及重組等問題，都可能會侵犯個人信息數據權利，危及生物信息安全甚至國家安全。如何防范生物識別技術應用的安全風險，構建個人生物信息安全的法律法規(guī)體系，成為法學理論界和司法實務界共同關注的問題。

除了國家立法機關已頒布實施的《網絡安全法》《民法典》《生物安全法》之外，《個人信息保護法（草案）》《數據安全法》已經向社會征求意見。這些重要立法都與個人生物信息安全保護密切相關。2020年12月7日，中共中央印發(fā)《法治社會建設實施綱要（2020—2025年）》，提出要完善網絡信息服務方面的法律法規(guī)，完善網絡安全法配套規(guī)定和標準體系，研究制定個人信息保護法等。如何依法規(guī)范個人生物識別技術的研發(fā)和應用，確定侵犯個人生物識別信息權利的法律責任，構建危害生物信息安全行為的制裁體系，本文將對此展開討論。

一、人臉識別：個人生物信息的安全隱憂

人臉識別（Face Recognition）又稱面部識別，作為一種識別個人身份信息的新型技術，其主要特征是非接觸性、主體唯一性和不易復制性，同時也具有無須攜帶、易于采集、成本低廉等特點。信息采集者只要通過設置普通攝像頭等傳感器，加上面部識別的軟件和算法的運用，無須接觸自然人個體便可實現(xiàn)面部信息的抓取與存儲。在不同的動態(tài)場景中，可以自動檢測定位、跟蹤采集、比對提取、分離存儲個體的臉部特征信息，通過與數據庫中已登記的面貌進行核實以確認自然人身份，或在數據庫中搜索是否存在指定人像的完整流程。目前，從出入境識別、違法行為曝光到刑事案件中的身份核查，從直銷銀行的人臉識別客戶身份驗證、3D人臉識別解鎖智能手機到移動端刷臉支付，人臉識別的應用范圍越來越廣。手機廠商推出的新一代手機中，刷臉解鎖已經替代了指紋解鎖，許多支付系統(tǒng)也紛紛采用人臉識別技術。運用海量數據挖掘和神經網絡技術的人臉識別系統(tǒng)已成為人工智能、區(qū)塊鏈商業(yè)應用的新領域。我國工業(yè)與信息化部于2019年9月27日發(fā)布的《關于促進網絡安全產業(yè)發(fā)展的指導意見(征求意見稿)》指出，國家支持構建基于人臉識別等識別技術的網絡身份認證體系。

應當看到，個人生物識別信息需要結合信息網絡技術才能形成，由此改變了個人生物信息的不可復制和不可變更的基本屬性。人臉識別的非接觸性特征也更容易產生個人信息侵權問題。人臉可以被模仿，“變臉”和“換臉”不存在什么技術困難。相對于其他個人信息，人臉識別應用的數據存儲、傳輸流程存在嚴重的隱私侵權和安全受損風險；而一旦人臉識別信息被泄露或冒用，就可能會對信息主體造成永久性傷害和難以彌補的損失。2018年4月，美國Facebook公司因其開發(fā)使用的“面部印記”功能遭到消費者團體起訴，起訴書指控Facebook在未經同意的情況下定期進行照片掃描和生物特征匹配。同時，F(xiàn)acebook還提供訪問接口，允許微軟、亞馬遜和Apple等合作機構讀取、發(fā)送和刪除用戶個人信息。又如，當下新冠肺炎疫情肆虐全球，很多人居家隔離或工作，對Zoom和其他數字通信工具的需求劇增。但據媒體報道，美國公司SpaceX和NASA已禁止員工使用Zoom的視頻會議應用程序，因其存在“嚴重的隱私和安全問題”。

在我國，個人生物識別信息數據被盜或過度濫用的問題層出不窮，引人關注的“刷屏”級換臉APP“ZAO”經歷了從爆紅到爆黑的“曇花一現(xiàn)”。這一應用項目所采用的格式化用戶協(xié)議存在過度攫取用戶授權和單方強加用戶義務的嫌疑，從而引起社會公眾的普遍擔憂。又如，在設置了人臉識別攝像頭的商場、車站等公共場所，消費者甚至不知道自己會被拍攝。公民個人的相關隱私權益無法得到有效保障。以人臉識別廁紙機為例，用戶進入攝像頭范圍后就被“刷臉”，僅僅是為了防止其多用廁紙，至于人臉數據怎樣被存儲、是否能被刪除、是否被用于其他用途等問題，該機器并沒有進行任何說明，明顯存在過度收集個人生物識別信息的問題。從司法實踐來看，國內涉及人臉識別侵權訴訟或刑事犯罪的案件也屢屢發(fā)生。例如，2019年10月，浙江理工大學副教授郭兵因不同意杭州野生動物世界使用人臉識別對其進行用戶認證而提起侵權訴訟，被稱為“人臉識別第一案”；2020年11月20日法院判決野生動物世界賠償郭兵合同利益損失及交通費一千余元，刪除原告辦理指紋年卡時提交的包括照片在內的面部特征信息。又如，張某、余某等侵犯公民個人信息案，被告人張某等購買2000萬條公民身份信息，使用軟件將他人頭像照片制作成3D頭像，用以支付寶人臉識別認證、注冊支付寶賬號從而獲取紅包獎勵，共獲利4萬元。近年來，我國相關部門和機構頒布實施了諸多個人信息保護的國家行業(yè)標準，對于個人生物識別信息的收集和使用提出了具體合規(guī)標準。2019年6月25日，全國信息安全標準化技術委員會公布《信息技術 安全技術 生物特征識別信息的保護要求（征求意見稿）》（以下簡稱《生物識別信息保護要求（征求意見稿）》）；2020年3月6日出臺《信息安全技術 個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》），在2017年該規(guī)范文件舊版本的基礎上，細化與完善了個人生物識別信息在收集、存儲和共享三個方面的保護要求，對于人臉識別技術的合規(guī)使用具有重要的指引作用。2020年11月27日，工信部組織發(fā)布了《APP收集使用個人信息最小必要評估規(guī)范 人臉信息》團體標準（以下簡稱《APP人臉信息規(guī)范》），明確了APP收集使用個人信息的“最小必要”原則，并對收集、存儲、使用、刪除人臉信息的行為進行了具體規(guī)范。須指出，作為國家行業(yè)標準的《個人信息安全規(guī)范》不是強制性法律標準，而是推薦性行業(yè)標準，因而對個人信息保護的要求也更加嚴格?？偟膩砜矗覈嘘P個人信息安全的法律法規(guī)和行業(yè)規(guī)范多頭迭出，但能夠起到提綱挈領和體系協(xié)調作用的“個人信息保護法”尚未出臺。相對于網絡信息安全保障，在公民個人信息權益保護方面的立法顯得尤為不足。上述行業(yè)規(guī)范能否作為認定侵犯公民個人信息犯罪的前置性規(guī)范，也是值得探討的問題。

二、個人生物信息安全法益的法律保護

隨著計算機科學與基因組技術的融合，個人生物識別信息從傳統(tǒng)的“基因信息”和“遺傳資源信息”脫離出來，已具有人體生物特征的計算機數據庫、數據處理、基因序列信息、生物系統(tǒng)的計算機分析與軟件設計等內涵。個人信息保護原則是個人生物識別信息利用的最起碼規(guī)則，而對個人生物識別信息的權利屬性和法益內容進行界定，是對其實施法律保護的邏輯前提。面對個人生物識別技術風險增大、違法犯罪趨于嚴重的態(tài)勢，我國立法與司法應當在保護個人生物識別信息權利的基礎上，以風險預防及利益平衡理念和原則為引導，對個人生物信息安全法益實行多層次、等級化和體系化的法律保護。

個人生物識別信息的權利屬性

《APP人臉信息規(guī)范》第3.1條規(guī)定，“人臉識別”即基于個體的人臉特征，對個體進行識別的過程；第3.3條規(guī)定，“人臉信息”即對自然人的人臉特征進行技術處理得到的、能夠單獨或者與其他信息結合識別該自然人身份的個人信息?！渡镒R別信息保護要求（征求意見稿）》第3.1.3條規(guī)定，個人生物識別信息基本特征在于，可檢測到的個體生理或行為特征，可以從其中提取可識別的、可重復的生物特征。第3.1.9條規(guī)定，生物特征識別屬性即由生物測定樣本估計或導出的生物特征數據對象的描述性屬性。同時，第4.1條規(guī)定，個體生理特征包括但不限于指紋、人臉、虹膜、聲紋、手型、指靜脈/掌靜脈、視網膜、DNA、掌紋等，個體行為特征則包括步態(tài)、簽名、語音等。個人生物特征識別系統(tǒng)包括數據采集、存儲、注冊、辨識、驗證五個子系統(tǒng)，通常將個人生物特征識別的關聯(lián)信息與其他個人信息綁定在一起，以保證包含生物識別信息記錄在內的信息安全性。因此，所謂“生物識別”并非僅是對自然人生理特征的識別，而且將生物識別信息與個人身份、金融、行為、位置、偏好等信息對接，使得個人生物識別信息的法律屬性具有更強的多元化、復雜化的特點。

從國外立法來看，歐盟《一般數據保護條例》（GDPR）、英國《數據保護法案》、日本《個人信息保護法》等法律法規(guī)都對“生物識別數據”做出專門規(guī)定。我國《網絡安全法》規(guī)定，個人生物識別信息屬于“直接可識別”到個人身份的隱私敏感信息，其必須經過計算機的相關生物識別程序的識別才能生成相關信息數據。《個人信息安全規(guī)范》第3.2條規(guī)定，個人生物識別信息屬于個人敏感信息，在收集信息授權同意、隱私政策制定、傳輸與存儲、訪問控制措施、目的限制、共享與轉讓、公開披露、應急處置和報告、數據控制者的義務與責任等方面，須以個人敏感信息的嚴格標準加以保護。根據《生物識別信息保護要求（征求意見稿）》第3.1.7條的規(guī)定，個人生物識別信息所涉及的權利包括其在整個生命周期的收集、轉移、使用、存儲、歸檔、處置和更新的權利。從權利內容來看，個人生物識別信息權利包括知情權、同意權、查詢權、更正權、刪除權、利用權和公開權等權利。

我們將個人生物識別信息進一步分為可識別個體生物特征的個人隱私信息、一般個人信息和個人數據三種，其權利屬性也有所差別。首先，一般個人信息具有人格權屬性，可謂“信息主體人格的外在標志”。但個人信息所蘊含的權利并不限于隱私權，后者則是其最重要、最核心的內容。個人信息權的法律保護屬于弱保護，而隱私權的法律保護則屬于強保護，大多數一般個人信息不需要權利主體明示同意也可收集，但對于個人私密敏感信息不能僅僅通過知情同意權加以保護，對于個人生物識別信息應優(yōu)先適用更為積極的隱私權保護。其次，個人隱私信息屬于人格利益但不包含財產屬性，不具有任何財產屬性的交易價值，不可利用且受法律絕對保護?！叭说淖杂膳c尊嚴價值不可動搖，互聯(lián)網絡時代亦如是。”再次，一般個人信息亦屬于人格利益但可包含財產屬性，這種人格利益基于信息主體的同意，轉化為具體財產利益后，可以進行交易。不少數據企業(yè)采用“去識別化”或匿名化技術手段，對個人信息進行“脫敏”或“漂白”，使其成為普通的數據。同樣，個人生物識別信息經過去識別化技術處理之后，僅具有個人信息數據的財產屬性，可以自由使用、轉讓，而為其他數據主體所利用。然而，隨著再識別技術的發(fā)展，“匿名化”已變成一個相對的概念，完全不能復原的匿名化個人信息是比較少見的。不過，通過去識別化信息技術，結合再識別的風險管理，“去識別化”仍然是數據企業(yè)合規(guī)收集、使用個人生物識別信息的有效途徑。

個人生物識別信息的安全法益

個人生物識別信息屬于自然人固有的生理特征或行為特征，生物識別身份驗證技術本身具有客觀性、中立性，一般不具有違法性和可罰性；但正因為如此，反而更容易被不法分子利用法律漏洞進行不當收集或濫用。概括起來，生物識別技術帶來的個人信息安全風險包括以下情形：未經授權的或不必要的收集；未經授權之使用或披露；不當比對；錯誤匹配；不當儲存或不當傳輸；功能蠕變（creep function）等。在大數據背景下，個人生物信息安全越來越依賴技術保障，然而目前個人生物特征識別技術尚不夠成熟，存在一定的技術缺陷和管理風險。同時，隨著國際上生物資源數字序列信息的提取、跨境轉移和利用，許多國家面臨著所謂“生物數字盜版”的生物信息跨國傳輸問題。一些發(fā)達國家通過多種途徑集聚各類生物信息，進行生物信息資源的控制與爭奪，而輸出國遺傳信息資源流失的風險不斷增大，已經上升到公共安全和國家安全層面，人類遺傳基因的生物信息資源已成為國際戰(zhàn)略博弈的新領域。面對國際上愈加激烈的遺傳基因資源控制與爭奪態(tài)勢，我國必須運用法律強制手段保障生物信息安全，防止生物信息資源流失。

從個人生物信息安全的法益屬性來看，生物識別技術雖然以自然人為對象，但其涉及的社會利益關系不限于公民個體，而是包括與個人生物識別活動相關的技術服務者、經營者、使用者和管理者。即使是從公民個人權利角度，個人生物信息事關個人身份、隱私、人身、財產等各方面的利益與安全，已經不能僅僅用傳統(tǒng)民法上的某種單一權利加以限定。個人生物識別信息所蘊含的保護法益內容逐漸呈現(xiàn)出復合性、多元化特征，從個體的人格權擴展至公共利益、社會秩序和國家安全。對此，有學者提倡法律應著力保護“數據安全法益”，即數據的保密性、完整性和可用性的保護，維護數據在社會往來中的安全性和可信賴性?！稊祿踩ā返?條規(guī)定：“數據安全，是指通過采取必要措施，保障數據得到有效保護和合法利用，并持續(xù)處于安全狀態(tài)的能力?！蔽覈F(xiàn)行的《網絡安全法》中有關個人信息保護的內容，也是著重從保障信息網絡安全的角度做出的規(guī)定，該法對網絡運營者提出的義務要求，就不僅僅是從個人信息權利保護的角度考慮的，而《網絡安全法》作為《刑法》中侵犯公民個人信息罪等相關罪名的前置性法律規(guī)范，其法益保護價值取向也必然反映在這些罪名的構成要件要素當中。

三、個人生物信息安全風險預防及利益平衡

個人生物識別信息的權利保護和價值利用是一枚硬幣的兩面，自由與安全的價值取向既是對立的，又統(tǒng)一于個人生物識別信息權利保護和價值利用的關系當中，兩者缺一不可。在風險社會背景下，需要確立風險預防的理念，并以利益平衡原則為補充，作為構建個人生物信息安全保護法律體系的觀念基礎。

個人生物信息安全的風險預防法律原則

作為一種法律理念，“風險預防”較早地出現(xiàn)在生態(tài)環(huán)境保護領域。當生態(tài)環(huán)境遇到嚴重的或不可逆轉的損害或威脅時，即使不能在科學上找到明確證據證明某種行為必將產生實際危害，也應當采取法律防范措施以避免該行為的發(fā)生?！帮L險預防”是相對于“損害預防”而言的，前者針對的“危害”具有不確定性、未然性，而后者的“損害”是指已現(xiàn)實存在或已產生客觀損害結果，“不確定性”是風險預防的核心概念。將風險預防原則確立為生物安全立法的基本原則，是由生物技術發(fā)展所帶來的高風險性和嚴重危害性所決定的。就像SARS、新冠病毒性肺炎疫情一樣，一旦生物安全潛在風險轉化為現(xiàn)實損害，與生態(tài)環(huán)境災難一樣無法逆轉且危害嚴重。生物安全風險的不確定性、突發(fā)性及不可預測性要求相關法律法規(guī)要采取具有相對靈活性、開放性的立法模式，在預防和控制風險時留有法律操作的空間。確立生物安全保護的風險預防原則，用以指導生物安全立法和司法實踐，是十分必要的，這也符合人類命運共同體的價值理念。

《生物識別信息保護要求（征求意見稿）》第5.1條針對“生物特征識別系統(tǒng)信息安全保護要求”提出了以下原則：其一，保密性原則。在生物特征數據的存儲和傳輸過程中，生物特征識別系統(tǒng)各部件之間的通信通道可能會被竊聽、讀取、插入或修改，而用戶并不知道已建立的鏈接遭受了攻擊。對此，應當使用SM2或SM4加密算法對信息數據進行保密處理，未經信息主體授權不得訪問或披露；可以通過將生物特征參考存儲在個人令牌或卡上進行數據分離，或使用僅身份管理系統(tǒng)的操作人員或數據主體可知的密鑰對生物特征參考進行加密。其二，完整性原則。生物特征識別系統(tǒng)應通過訪問控制來實現(xiàn)數據的完整性保護，防止未經授權訪問生物特征數據，或通過使用加密技術進行完整性檢查。其三，可更新性與可撤銷性原則。根據該《生物識別信息保護要求（征求意見稿）》第3.1.10條規(guī)定，如果攻擊者非法獲取、泄露或未經授權訪問生物特征參考樣本、模板或模型，如護照上的面部圖像、居民身份證上的指紋細節(jié)模板、數據庫中用于識別說話人的高斯混合模型，就需要撤銷和更新受侵害者的參考樣本，并將合法的數據主體與新的生物特征參考樣本聯(lián)系起來。

在個人生物信息安全領域，生物識別技術的研發(fā)者、服務者、經營者和利用者違法違規(guī)收集和使用個人生物識別信息的行為，主要涉及侵犯公民個人信息罪及其他關聯(lián)罪名。究竟是將法益性質界定為個人法益、公共法益還是國家法益，將直接決定或影響著刑法中相關罪名的認定和處刑輕重。同時，對刑法中相關罪名的構成要件設置和司法認定，也需要依托前置性行政法律規(guī)范及行業(yè)標準，針對不同安全等級的個人生物信息識別行為，設定生物信息安全法益保護的命令性義務、禁止性規(guī)范及刑事責任，設置刑事風險防范的法律底線，側重體現(xiàn)對于生物信息安全保護的特殊要求。例如，個人生物識別信息的收集者、使用者在向信息主體征求授權同意時，應向其明確告知收集目的、處理方式、使用范圍、再度披露規(guī)則等，并且在后續(xù)的二次使用中，仍需再次征求用戶的明確授權。用戶可以隨時行使更正、刪除和注銷生物特征識別信息的權利，不需要任何前置條件即可當場實現(xiàn)與即時生效。對于這些較為嚴格的生物信息安全保護的義務要求，司法機關在認定侵犯公民個人信息罪、拒不履行信息網絡安全管理義務罪的時候，就可以作為認定前置性法律規(guī)范、進行刑事違法性判斷的參考依據，這樣才能夠盡可能地防范生物信息安全風險，從根本上避免阻礙生物信息識別技術的創(chuàng)新發(fā)展。

個人生物信息安全保護的利益平衡

在風險社會背景下，保障公共安全與保護個人隱私之間不是非此即彼的利益衡量問題，而是如何共生共存的利益協(xié)調問題。其實，公共安全與個人隱私之間并不存在實質沖突，個人隱私保護沒有必要讓步于公共安全保障，公共安全保障也不能以犧牲個人隱私為代價。有學者指出，在應用與開發(fā)個人信息數據過程中不僅應追求個體利益最大化，還要保證社會利益的最大化，為追求個體利益而犧牲社會利益的做法是無法持續(xù)發(fā)展的，這就需要在社會利益和個體利益之間創(chuàng)建一種利益平衡機制。確定個人信息數據的權利歸屬、實行權利與義務相匹配是實現(xiàn)個體利益與社會利益之間協(xié)調的前提基礎。

對于個人生物識別信息來說，法律同樣面臨著如何在保護和利用、自由與安全之間進行利益平衡和價值選擇的問題。比較來說，在個人生物識別信息的商業(yè)使用方面，大多數歐美國家持謹慎態(tài)度。歐盟保護人臉識別數據的核心法律是《通用數據保護法規(guī)》（GDPR）。根據GDPR的規(guī)定人臉識別技術的商業(yè)應用可適用的例外情形是數據主體已明確表示同意，“同意”的方式須“自由給予、明確、具體、不含混”，數據主體任何形式的被動同意均不符合規(guī)定。比較而言，我國對于個人生物識別技術的開發(fā)和應用持較為積極的態(tài)度。然而，從利益平衡角度，應當分類分層地明確個人生物信息權利主體、生物識別技術的研發(fā)者、個人生物信息的收集者和使用者、生物信息安全的管理者等各方利益主體的權責關系，避免個人生物識別信息數據濫用。對于人臉識別來說，其商業(yè)性應用與公共性應用應該有所區(qū)別，公共利益目的是隱私個體權利的抗辯事由之一，在一定情況下可以超越個體隱私權利以維護社會整體效率與安全，但人臉識別的商業(yè)應用則必須以個體隱私權利保護為前提。對于人臉識別信息來說，一般情況下不允許搜集者以“共享”或“開放平臺”等方式進行利用，更不得未經用戶事先授權和再次授權就進行轉讓使用。人臉識別技術應用同樣涉及多個主體之間的合意以及權責分配等問題，需要受到公平正義價值的評價與約束。個人生物識別信息的收集者、利用者和數據系統(tǒng)的管理者，也是借助個人生物信息安全風險的獲利群體，應當作為風險義務和責任的主要承擔者，法律應當對個人信息權利主體予以適當的傾斜保護，從實質上實現(xiàn)公正和利益平衡。

值得關注的是，區(qū)塊鏈技術逐漸應用于生物信息商業(yè)領域，實現(xiàn)與生物識別技術的融合。如科創(chuàng)公司Nebula Genomics公司推出基于區(qū)塊鏈技術的匿名DNA測序隱私功能，用戶可以用加密貨幣購買全基因組測序并提交其樣本，并允許用戶自行處理測序信息。有學者指出，區(qū)塊鏈的核心價值在于“私密性、準確性和可驗證性”，與個人生物信息識別技術屬性具有內在共通性。因此，生物識別技術也被應用于區(qū)塊鏈產品，以提高對用戶的數字貨幣、私鑰以及身份信息存儲的安全性。如，HYPR公司與比特幣交易安全平臺BitGo聯(lián)合開發(fā)生物認證與區(qū)塊鏈融合的新技術，客戶通過HYPR的生物識別進行安全登陸，加上BitGo的多重簽名技術，實現(xiàn)用戶信息安全的雙重保障。不少國家政府機構開展了區(qū)塊鏈身份驗證項目，采用基于生物識別技術的認證機制，建立自主身份管理系統(tǒng)。須指出，區(qū)塊鏈“去中心化”的特點天然排斥監(jiān)管，但是如果缺乏必要的法律規(guī)范和政府監(jiān)管，也會增加市場交易的風險。在區(qū)塊鏈產業(yè)化過程中，往往通過加密算法對賬本的數據進行“哈?；碧幚恚瑢诮灰子涗浿械膫€人信息以哈希值的形式體現(xiàn)，從而在區(qū)塊鏈背景下實現(xiàn)了個人信息的匿名化，使其成為不具有可識別性的數據。哈希函數具有單向和不可逆的特點，但哈希化技術含量和程度仍然存在逆轉風險，并非不可破解，區(qū)塊鏈業(yè)者面臨著違規(guī)陷阱甚至刑事風險。為了避免給區(qū)塊鏈產業(yè)發(fā)展帶來不必要的障礙和困難，如果區(qū)塊鏈業(yè)者在將個人信息記錄到區(qū)塊鏈上時運用匿名化技術手段，并切實履行了保護個人信息安全的合理義務，盡最大努力采取技術措施確保哈?；畔⒌哪涿?，則該哈希化信息就不再屬于法律意義上的個人信息。這樣既保護了區(qū)塊鏈背景下的個人信息安全，又避免給區(qū)塊鏈產業(yè)帶來過高的發(fā)展門檻和應用成本。對個人生物信息來說，這同樣能夠在個人生物信息權利保護和價值利用、生物信息安全風險防范和區(qū)塊鏈產業(yè)發(fā)展之間取得利益平衡，值得肯定。

四、個人生物信息安全保護的立法模式

在生物安全領域，個人生物信息安全的法律保護一直受到國際社會的關注和重視，相關的專門性國際條約及行業(yè)標準主要是《生物多樣性公約》《生物多樣性公約卡塔赫納生物安全議定書》《信息技術—安全技術—生物測定信息保護標準》等，其中也包含著人類基因信息保護和利用的規(guī)制內容。在個人生物信息安全保護方面，美國和歐盟等發(fā)達國家立法相對比較完善。我國雖然制定實施了不少與個人生物信息有關的法律法規(guī)、部門規(guī)章以及行業(yè)標準等規(guī)范性文件，但仍缺少綜合性、專門性立法，法律法規(guī)體系并不完善。以下予以比較研究。

個人生物信息安全的私法保護

從國外立法來看，美國和歐盟等發(fā)達國家和地區(qū)出于保護本國遺傳資源以及本國利益的考慮，對人體基因信息能否獲得專利問題普遍持肯定態(tài)度，專利制度在生物信息法律保護方面居于很重要的地位。然而，因掣肘于專利權保護所造成的壟斷，其立法首要目標并不在于安全價值的考慮，其所能發(fā)揮的作用當然也是有限的。對于個人生物識別信息安全的保護仍然主要體現(xiàn)在個人隱私權、信息數據權利的民事法律保護方面。在我國，對個人生物識別信息的保護來自于民法、消費者權益保護法等法律法規(guī)中有關隱私權、名譽權的保護規(guī)定，以及個人信息保護的法律法規(guī)、行業(yè)規(guī)范。如《侵權責任法》第２條只是原則性、概括性地確認了隱私權的存在，對于生物識別信息的隱私法律保護而言顯得尤為不足。由于個人信息的財產價值難以估算，且以人格權為基礎的財產賠償數額也比較有限，侵犯個人生物識別信息的行為也很難通過《侵權責任法》的現(xiàn)有規(guī)定獲得有效的賠償。2020年5月頒布的《中華人民共和國民法典》（以下簡稱《民法典》）人格權編第799條第1款對個人生物識別信息也提供了多重保護：一是可以受到肖像權的保護；二是采取偷拍偷錄等方式采集個人生物識別信息構成對隱私權的侵害；三是除了肖像權、隱私權保護之外，還可以適用個人信息保護的規(guī)定。值得注意的是，根據《民法典》第1036條的規(guī)定，合理處理自然人自行公開的或其他已經合法公開的信息，除該自然人明確拒絕或者處理該信息侵害其重大利益的之外，行為人不承擔民事責任。據此，個人信息分為公開的個人信息和非公開的個人信息，公開的個人信息限于“合法公開”的個人信息，而不包括非法公開的個人信息。而對于個人信息是否屬于“合法公開”，行為人主觀上是很難認識到的，在無法證明的情況下，只能按有利于被告的原則處理?？梢?，即使在現(xiàn)有民法典框架之下，對個人生物識別信息的民事權利保護仍然是不足的，對于個人生物信息安全更難以直接給予保障和救濟。

總體上，我國個人生物識別信息的民事權利保護模式主要有三種路徑：人格權模式、財產權模式、人格權與財產權的復合模式。其一，人格權保護模式主張將個人生物識別信息視為具有人格權的基本屬性，將其作為個人私密敏感信息進行保護。其二，財產權保護模式認為，個人生物識別信息具備財產性質，應賦予其財產權保護，但其又不是完全的財產，因為它不能被繼承、贈予、遺贈等，保護隱私最容易的途徑是將個人信息的控制作為數據主體擁有的財產權。其三，復合保護模式主張，將人體基因視為人格和財產的復合體，即把人體基因視為知識產品。還有學者提出，將人體基因及基因信息視為人格性財產權。比較來看，首先，單純的人格權模式無法對個人生物識別信息專利及商業(yè)化所帶來的可分享的財產利益予以充分保護。與傳統(tǒng)的隱私權保護方法相比，隱私權是強調“不干涉”的權利，財產權則是一種積極的權利。通過財產權保護，個人生物識別信息所有權人能夠擁有一系列權利包括控制、占有、轉讓。其次，對個人生物識別信息財產權益的承認并不與相關的人格權相矛盾。承認個人生物識別信息的財產權屬性，更有利于保護合法的相關信息交易，解決糾紛，保護信息主體的合法權益。再次，如果單純采用財產權模式來界定個人基因信息的法律屬性，則可能造成對人體基因信息的人格權屬性的忽略，在否定其主體地位的同時，還可能會帶來物化人格的風險。

須指出，相對于美國與歐盟來說，我國目前尚未形成具體明確的個人信息權利保護模式。無論對個人生物識別信息采取何種保護模式，現(xiàn)行民事立法都是從基本民事權利角度作出的粗線條規(guī)定，無法為特定場景下個人信息權利的保護確定具體規(guī)則。例如，在個人隱私政策中，相關企業(yè)機構在取得收集或使用公民個人信息的授權時，對于取得用戶授權的行為方式是否妥當，能否產生取得授權的效力等，民事立法無法提供具體的判斷標準。筆者主張，我國應以人格權和財產權的雙重機制對其予以保護，為平衡人格價值和科技進步、經濟發(fā)展之間的沖突提供可行的通道。以人格權的保護機制確保供體對個人生物識別信息使用情況的控制和支配，以財產權的保護機制維護其對生物信息技術進步利益的合理分享。未來的個人生物信息保護立法應考慮到其商業(yè)性使用價值財產權的正當訴求，建立個人生物信息權利損害的民事訴訟救濟機制，明確侵害個人生物識別信息權利的“損害”認定與賠償標準，完善相關民事訴訟損害賠償的舉證原則與責任制度等。

個人生物信息安全的公法保護

首先，在行政法領域，我國與個人生物信息安全相關的法律規(guī)范多散見于《網絡安全法》《傳染病防治法》《人類遺傳資源管理條例》《基因工程安全管理辦法》《人類輔助生殖技術管理辦法》《涉及人的生物醫(yī)學研究倫理審查辦法》等法律法規(guī)、部委規(guī)章及專門規(guī)范文件。如《人類遺傳資源管理條例》規(guī)定采集人類遺傳資源信息須符合個人信息收集的一般法律要求，但并未建立起與其敏感隱私特征相適應的特殊保護制度。《個人信息安全規(guī)范》較為詳細地規(guī)定了個人生物識別信息在收集、存儲和共享等環(huán)節(jié)的安全保護要求。在涉及人臉識別、聲紋識別等生物識別信息的項目，網絡運營者須專門設計獲得用戶同意的環(huán)節(jié)，這也意味著當用戶提起爭議時，信息業(yè)者負有更多的舉證責任?！渡锾卣髯R別信息保護要求（征求意見稿）》第5.1條提出了生物特征識別系統(tǒng)的保密性、完整性、可更新性與可撤銷性等方面的原則和具體要求；第6.4條也提出在生物特征識別信息生命周期管理中有關采集、傳輸、使用、存儲、歸檔與數據備份、廢棄階段的義務要求，除非法律法規(guī)另有規(guī)定，否則在收集、訪問、處理或修改、使用生物特征識別信息之前，有關組織應獲得主體的同意；系統(tǒng)安全與隱私政策應保證存儲、控制和處理過程中生物特征識別信息的安全等?！禔PP人臉信息規(guī)范》第6.1至6.4條詳細規(guī)定了收集、存儲、使用、刪除個人信息過程中的“最小必要規(guī)范”。例如，其第6.1.c）規(guī)定，收集人臉信息應遵循“最小必要”原則，收集前應通過隱私協(xié)議等方式向人臉信息主體告知相關信息，不應超過人臉信息主體“告知同意”的范圍。上述國家行業(yè)標準和規(guī)范雖不具有法律效力，但能起到生物識別技術風險防范和合規(guī)性指導作用，也能為將來生物信息安全立法提供經驗基礎。

其次，在刑事法領域，由于個人基因信息技術發(fā)展所帶來的人體試驗、器官移植、輔助生殖技術、基因編輯及重組等問題日趨嚴重，不少國家對上述行為規(guī)定相關罪名予以刑事懲處。如，1994年《法國刑法典》第六章明確規(guī)定了處罰基因泄露行為，對于DNA鑒定中侵犯他人個人基因隱私的行為進行刑事懲處。在刑法典之外，不少國家的專門性立法中規(guī)定了刑事責任條款，如德國1990年的《胚胎保護法》、澳大利亞的《禁止克隆人法案2002》和《基因技術法案2000》、韓國的《生物安全與技術法》、日本的《克隆技術限制法》等。法國《公共衛(wèi)生法典》中的《人體尊重法》規(guī)定人體及其生成物的不可轉讓性，禁止他們成為商業(yè)交易的對象，禁止代理胎兒，包括基因檢查規(guī)則等。如果違反了這些規(guī)則，將被判處1年至7年的監(jiān)禁刑及10萬法郎到70萬法郎的罰金。德國《胚胎保護法》第5條第1、2項規(guī)定：“改變人類生殖系細胞遺傳信息的，處以5年以下的自由刑或者罰金。將人為改變了的遺傳信息的人體生殖細胞用于受精的，處相同刑罰。”美國1998年《防止身份盜竊及假冒法》規(guī)定，故意轉移、使用生物識別信息用于違法活動的行為構成“身份盜竊”罪。2003年美國的《身份盜竊處罰增強法》進一步將非法“占有”識別他人的方法規(guī)定為“身份盜竊”罪。須指出，上述附屬刑法規(guī)范均發(fā)揮著與刑法基本規(guī)范同樣重要的定罪量刑作用，且更具靈活性、協(xié)調性，值得我國立法借鑒。我國于2019年制定出臺了《人類遺傳資源管理條例》，在“法律責任”一章規(guī)定了非法采集、保藏、利用、對外提供人類遺傳資源的行政責任和刑事責任。根據現(xiàn)行《刑法》的規(guī)定，我國可以將違反該條例規(guī)定的行為認定為犯罪，如將故意或過失泄露被列為國家秘密的基因資源、資料的行為認定為故意或過失泄露國家秘密罪，為境外竊取、刺探、售賣、非法提供國家秘密、情報罪等，但也有不少行為是刑法典中現(xiàn)有罪名無法涵蓋的。從立法完善角度，我們可考慮以當前生物安全立法或修法為契機，通過制定或修訂相關行政法律法規(guī)中的刑事責任條款，設置“非法利用胚胎罪”等罪名，實現(xiàn)刑法與行政法規(guī)范的有效銜接，本文在此不贅述。

個人生物信息安全的綜合法律保護

目前，我國《個人信息保護法（草案）》在《民法典》基礎上，建構了我國個人信息保護的單行法律框架。草案第5條、第6條分別規(guī)定了個人信息處理的方式和目的。第5條規(guī)定“處理個人信息應當采用合法、正當的方式”；第6條規(guī)定“處理個人信息應當具有明確、合理的目的”。同時，該草案將“告知—同意”確立為信息處理的核心規(guī)則，告知義務是信息主體的主要義務?！稊祿踩ā返谒恼乱?guī)定了數據安全保護義務，其中第29條規(guī)定，“任何組織、個人收集數據，必須采取合法、正當的方式,不得竊取或者以其他非法方式獲取數據”，“應當在法律、行政法規(guī)規(guī)定的目的和范圍內收集、使用數據，不得超過必要的限度”。然而，與國外立法相比，我國個人信息保護的法律法規(guī)相互之間有機協(xié)調不夠，實施起來難免出現(xiàn)立法空白、規(guī)范沖突和不銜接等問題。個人生物信息保護法益的復合性、多元化，決定了僅靠私法保護模式或是公法保護模式均無法有效保障其安全，因而有必要對我國生物安全法律保護作出系統(tǒng)性的制度安排。從立法完善的角度，應當設定企業(yè)生物識別技術及其應用的行業(yè)標準、認證評價機制、安防制度以及許可制度，明確規(guī)定個人生物信息識別的禁止性與限定性規(guī)范、個人生物信息權的基本內容，以及互聯(lián)網企業(yè)在采集、存儲、使用、傳輸、保管、披露、銷毀個人生物識別信息中的法律義務和責任等。同時，我國還需要通過立法設置國家層面的數據保護監(jiān)管機構，并于地方設置下級機構，明確監(jiān)管機構對各種實體數據處理行為的審查權、許可權、調查權、檢查權、命令權和司法介入權，以及糾紛調處權，受理控訴、申訴權，以保證實現(xiàn)個人生物信息安全管理的目標。在此方面，2020年10月頒布的《中華人民共和國生物安全法》作為一部綜合性立法，應當能夠適應我國生物多樣性保護和生物安全保障的制度需求。在該法的統(tǒng)領和協(xié)調下，其他各專門法、單行法具體設置應對生物信息安全風險的法律規(guī)則，處理好行政法、民法、刑法等相關法律法規(guī)之間的關系，從公法和私法的不同層面進行法律保護，構建個人生物信息安全保護的法律體系。

五、個人生物信息安全法律保護的體系化

在個人生物信息安全保護的法律法規(guī)體系中，刑法規(guī)范也是其中的重要的子系統(tǒng)。由于生物信息安全法益屬性具有復合性、復雜性、間接性和多變性的特點，刑法不可能靠一己之力遏制危害生物安全的違法犯罪。刑法作為法律體系中的保障法，其與民法和行政法之間具有緊密的關聯(lián)性和從屬性。因此，立法機關應當將相關違法犯罪行為放置在整個生物信息安全保護的法律體系之中加以考量，保證刑法規(guī)范適用的統(tǒng)一性和協(xié)調性。以下主要討論個人生物信息安全領域的刑法前置規(guī)范、附屬刑法規(guī)范兩個問題，從中尋求相關行政立法、行業(yè)規(guī)范與刑法規(guī)范之間的銜接，協(xié)調問題的解決路徑。

首先，在我國刑法中，與個人生物信息安全保護相關的罪名包括：侵犯公民個人信息罪、拒不履行信息安全管理義務罪、非法侵入和破壞計算機系統(tǒng)罪、假冒專利罪、非法經營罪、妨害傳染病防治罪、非法行醫(yī)罪、故意或過失泄露國家秘密罪等。上述罪名或多或少、直接或間接地涉及個人生物信息安全法益的保護。同時，在上述罪名中，存在大量的“違反國家規(guī)定”“違反……管理規(guī)定”“違反……法規(guī)”等空白罪狀，對此，行政法律法規(guī)、部門規(guī)章及行業(yè)規(guī)范文件成為填補空白罪狀的根據。判斷行為刑事違法性以行為人違反前置性法律法規(guī)為前提，對于行政法律法規(guī)及行業(yè)規(guī)范中的違法違規(guī)行為，需要進行違法性的層次性判斷，即“出行入刑”，形成刑行關系的銜接協(xié)調。然而，我國行政法律法規(guī)帶有很強的部門立法特點，存在委托立法和行業(yè)立法現(xiàn)象和問題，不少行政法律法規(guī)關注部門利益和行業(yè)保護，法律體系的觀念意識不強；加上各部門法的立法修法時間不一致，立法過程往往比較倉促，欠缺系統(tǒng)性的通盤考慮；在制定行政立法中的刑事責任條款時缺乏對既有刑法規(guī)范的充分研究，沒有顧及或疏忽了刑法的相關規(guī)定，缺乏整體立法的協(xié)調性，導致刑法與行政法之間出現(xiàn)不銜接，甚至互相沖突的問題，因而需要通過構建和完善刑法前置性行政法律規(guī)范這個制度鏈接點加以解決。

其次，根據《網絡安全法》的規(guī)定，網絡服務經營者在運用生物識別技術收集個人信息時，原則上應經過被收集者同意，并遵循合法、正當、必要的原則。在此情況下，我國《個人信息安全規(guī)范》等相關行業(yè)標準指南提供了立法框架樣本。（1）個人生物識別信息的收集。《個人信息安全規(guī)范》第5.4條規(guī)定，網絡運營者收集個人生物識別信息應征得個人信息主體的明示同意。即使已取得個人信息主體的同意，網絡運營者仍應僅收集達到目的所需的最少個人生物識別信息，以最大限度降低損害風險。（2）個人生物識別信息的存儲。2020年《個人信息安全規(guī)范》第6.3條規(guī)定，可采取的存儲措施包括但不限于：僅存儲個人生物識別信息的摘要信息，且該摘要信息應具備不可逆性，即無法回溯至原始信息；在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認證等功能；在使用面部識別特征、指紋、掌紋、虹膜等實現(xiàn)識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。網絡運營者應將個人生物識別信息與個人身份信息分開存儲，同時，還需將這兩者的控制權限分配給不同的操作人員，以實現(xiàn)分隔效果。（3）對個人金融信息特定類別的特殊要求。根據《個人信息安全規(guī)范》第9.2條規(guī)定，網絡運營者確因業(yè)務需要，確需共享、轉讓的，應單獨向個人信息主體告知目的并征得其明示同意、涉及的個人生物識別信息類型、數據接收方的具體身份和數據安全能力等?？梢姡秱€人信息安全規(guī)范》以“不應共享、轉讓”為原則，只有當出現(xiàn)業(yè)務需要或滿足“告知同意”要求的例外情形時，網絡運營者方可進行個人生物識別信息的共享或轉讓，且應當采取加密安全措施或進行安全評估。上述推薦性國家標準，在立法過程中均可有選擇性地納入法律規(guī)制中。另須指出，行業(yè)規(guī)范并不具有法律效力，對個人生物識別信息的規(guī)制范圍更廣，安全義務要求更高；而刑法是從懲治犯罪活動角度出發(fā)，所規(guī)制的入罪門檻必須是個人生物識別信息保護的“最低安全基線”。為了避免刑事打擊范圍過大，刑法應將個人生物信息安全行業(yè)規(guī)范作為前置性規(guī)范的參考依據，但不宜直接將其作為判斷刑事違法性、認定犯罪的法律根據。

六、結語

個人生物信息法益的多元屬性涵蓋了其對隱私權、人格權、財產權及安全法益的保護，決定了其合理使用和權利保護的多元價值。在生物安全風險因素和潛在威脅因素突發(fā)、增升的情況下，追求公共安全成為國家和社會公眾的普遍心態(tài)和立法目標選擇。應當看到，我國個人信息安全保護立法存在“碎片化”和規(guī)范沖突問題，這是由于對個人生物識別信息的權利屬性界定模糊不清，加上不同部門法的立法價值目標存在差異所致?？梢哉f，“碎片化”是一種立法常態(tài)，雖然會對法律體系造成一定沖突，但沒有破壞法律體系的整體性及適用效力。不同的部門法各有其調整對象和范圍，相互之間存在交叉競合、沖突矛盾的情況在所難免。單一的民法、行政法或刑法無法完成多元化價值目標的實現(xiàn)，特別是刑法居于后盾法、保障法地位，若將其作為“急先鋒”和“主力軍”來抗制生物識別技術帶來的安全風險，非但不能實現(xiàn)個人生物信息安全法益保護，反而會喪失個體權利的保障功能?？傊?，我國需要以網絡安全法、生物安全法、個人信息保護法、數據安全法等綜合性立法為契機，構建個人生物識別信息安全保護的法律體系，發(fā)揮各個部門法在保護權利和保障安全方面的功能，實現(xiàn)行政立法與刑法規(guī)范的良性互動、附屬刑法規(guī)范的實質化，以促進個人生物信息安全法律法規(guī)內外部的銜接協(xié)調。

原文鏈接

張勇 ▏個人生物信息安全的法律保護——以人臉識別為例《江西社會科學》簡介

《江西社會科學》（Jiangxi Social Sciences）是江西省社會科學院主辦的綜合性學術月刊，1980年12月創(chuàng)刊。經過多年發(fā)展，《江西社會科學》以正確的辦刊方向、高雅的學術品位、淳厚的大家風范，成為CSSCI來源期刊、全國中文核心期刊、中國人文社會科學核心期刊，并多次獲得華東地區(qū)優(yōu)秀期刊獎、江西省優(yōu)秀期刊獎。

原標題：《張勇：個人生物信息安全的法律保護——以人臉識別為例》

閱讀原文