原標題：域外個人生物識別信息保護模式考察

來源：人民法院報

原標題：域外個人生物識別信息保護模式考察

來源：人民法院報

個人生物識別信息是指通過生物特征識別技術獲取的、能夠單獨或者與其他信息結合識別該自然人身份的個人生物特征信息及相關信息，包括但不限于指紋、人臉、虹膜、掌紋、靜脈、聲紋、眼紋、步態、筆跡等生物特征樣本數據與模板。個人生物識別信息具有精準識別性、不可變更性、易采集性等特點，一旦被不當使用，將會對信息主體的人身財產權利產生不可逆的損害。因此，域外國家在對個人信息建構整體保障機制的同時，對個人生物識別信息進行了重點保護，主要分為專門立法保護、綜合立法保護、行業規范保護三種模式。

□ 孫戈 張榮釗

專門立法保護

專門立法保護模式通過制定專門法律對個人生物識別信息施以保護，代表國家是美國。2020年，美國《國家生物識別信息隱私法》正式出臺，該法以2008年美國伊利諾伊州《生物識別信息隱私法》為參照，標志著美國在聯邦和州層面均確立了對個人生物識別信息的專門立法保護。

該模式的核心特征如下：

第一，保護進路具有差異化。立法基于個人生物識別信息使用主體的不同作出了區分規定：對于政府或公共機構，現有法律主要規定了合目的性的限制條件，即以概括性授權的方式賦予上述主體基于公共管理的目的使用個人生物識別信息的權限，例如《生物識別信息隱私法》第29條規定，國家機關或為相關單位工作的承包商、分包商、代理人不受個人生物識別信息使用規則的限制。對于個人或非政府實體，使用個人生物識別信息必須滿足“知情-同意”要件。例如，《國家生物識別信息隱私法》明確禁止私人實體出于商業目的獲取個人生物識別信息，除非事先獲得信息主體的明確授權同意。

第二，保護范圍涉及信息的全生命周期?！秶疑镒R別信息隱私法》從數據的收集、儲存、使用、保管、披露、傳輸以及銷毀七個環節，對個人生物識別信息的保護措施作出規定，建立起對個人生物識別信息的全方位、無死角、多維度的立體保護機制。

第三，救濟途徑以民事損害賠償為主，行政和刑事救濟措施相對弱化。針對侵犯個人生物識別信息的行為，《生物識別信息隱私法》和《國家生物識別信息隱私法》均賦予信息主體獲取民事損害賠償、申請行政禁令、要求給予刑事罰金的權利。然而，因證明困難和危害后果不顯著等問題，在具體實踐中，美國聯邦和各州對于個人生物識別信息受到侵犯的信息主體主要提供民事救濟。行政或刑事救濟難以充分發揮作用，少有的刑法規制也多集中于“身份盜竊”領域。

綜合立法保護

綜合立法保護模式是指出臺統一的個人信息保護法，在整體規制的框架下對個人生物識別信息進行規范保護的模式。該模式的顯著特征在于將不同類型的個人信息納入統一規范體系，代表國家為歐盟各國、日本和印度。

在綜合立法保護模式下，各國對個人信息進行了較為細致的區分，根據信息敏感性和人身關聯性對個人信息實行分級保護，其中個人生物識別信息的保護位階較高。例如，歐盟《通用數據保護條例》將個人生物識別信息視為個人敏感數據，并給予特別保護，甚至對其中部分數據作出了禁止使用的規定（如基因數據）。日本《個人信息保護法》將個人信息分為一般個人信息與敏感個人信息，DNA序列、面部外觀、指紋和掌紋等個人生物識別信息屬于敏感個人信息，使用上述信息會受到更多限制。印度《個人數據保護法案》對數據、個人數據與數字個人數據進行了明確區分，其中數字個人數據是指以數字形式收集的或以非數字形式收集但隨后數字化的可識別到個人或有關個人的數據，包括指紋、虹膜等在內的個人生物識別信息均屬此范疇，使用此類數據必須滿足合法原則、目的限制原則、數據最小化原則、安全原則、存儲限制原則等一系列限制性要求。

相較于專門立法保護模式，綜合立法保護模式下個人生物識別信息所適用的救濟措施更為豐富，該模式不拘泥于單一的民事救濟手段，而是為信息主體建立起完整的“民-行-刑”救濟機制。以歐盟《通用數據保護條例》為例，信息主體不但享有包括被遺忘權、更正權、限制處理權、數據轉移權與反對權等在內的諸多民事權利，還可以獲得行政救濟。該條例規定，信息主體在提出民事訴訟前有權直接向數據監管機構提起申訴，而無須以發生實際損害結果為條件。根據侵權主體的不同程度的違法行為，行政管理機構可對其處以1000萬歐元至2%企業年收入或2000萬歐元至4%企業年收入（取兩者中的較高者）的罰款。日本《個人信息保護法》也在民事救濟之外規定了行政和刑事救濟措施，違反該法有關規定的數據處理者、數據接收者可能面臨10萬日元以下的罰款；構成犯罪的則會面臨6個月以下、1年以下或兩年以下有期徒刑，或30萬日元以下至1億日元以下的罰金。

行業規范保護

行業規范保護模式是指在缺乏強制性法律法規的情況下，由行業協會、組織或企業自身制定和實施的行為準則、最佳實踐指南或標準，來規范個人生物識別技術的應用、保護個人生物識別信息。一些未能建立個人信息保護法律體系的國家（如贊比亞等），以及雖然出臺了個人信息保護的相關法律，但缺少個人生物識別信息內容的國家（如阿根廷、菲律賓、新加坡等），通常需要參照國際組織或行業協會的標準文件來規范個人生物識別信息的使用。目前，國際標準化組織制定的《信息安全、網絡安全和隱私保護——生物識別信息保護規范》以及《信息技術安全技術隱私框架規范》是最具代表性的行業規范，上述規范對個人生物識別信息的使用規制涉及收集、存儲、處理、共享和銷毀等。

行業規范保護模式能夠在強制性規范缺位的情況下補齊個人生物識別信息保護的短板，具有一定的靈活性、前瞻性。對于個人生物識別信息保護立法滯后、規范缺乏的國家和地區，行業規范能夠迅速回應技術、市場和消費者關于個人生物識別信息保護的需求，更好地應對新技術帶來的技術風險和法律挑戰。例如在阿根廷，隨著數字支付和電子銀行的興起，傳統密碼存在較大的安全隱患，各大銀行逐漸開始運用生物識別技術等無密碼認證方式保障交易安全和效率。由于該國缺乏相關法律規定，不少銀行和支付平臺開始參照《線上快速身份驗證國際技術標準》來規范相關技術的使用。

但行業規范保護模式缺乏強制問責機制。無論是專門立法保護模式還是綜合立法保護模式，使用個人生物識別信息的主體違反相關法律規范都將面臨法律責任，但行業規范缺少國家強制力作為后盾支撐，當信息使用主體違反相關規定時，該模式通常只能通過公開批評、降低行業聲譽或營造市場消費壓力等方式來敦促有關主體承擔責任、履行義務，這種依賴行業內的道德壓力、市場競爭力和聲譽影響來促使參與者遵守相關標準的規制模式，難以實現剛性監督和良好的懲戒效果。尤其是對于一些處于監管盲區或具有市場支配地位的強勢企業，行業規范難以起到真正的約束作用。

（本文系山東大學人文社會科學“全面依法治國戰略實施中的數據運用與數據治理”創新團隊項目的階段性研究成果）

（作者單位：山東大學法學院）

想爆料？請登錄《陽光連線》（ https://minsheng.iqilu.com/）、撥打新聞熱線0531-66661234或96678，或登錄齊魯網官方微博（@齊魯網）提供新聞線索。齊魯網廣告熱線0531-81695052，誠邀合作伙伴。