以下文章來源于江西社會(huì)科學(xué) ,，作者張勇

江西社會(huì)科學(xué).

《江西社會(huì)科學(xué)》是江西省社會(huì)科學(xué)院主管主辦的綜合性學(xué)術(shù)理論月刊，系全國中文核心期刊,、中國人文社會(huì)科學(xué)核心期刊,、CSSCI來源期刊、國家社科基金資助期刊,。學(xué)術(shù)是生命,，創(chuàng)新是靈魂，傳承學(xué)術(shù),，創(chuàng)新理論,，是《江西社會(huì)科學(xué)》不倦的追求。

張勇

華東政法大學(xué)刑事法學(xué)院教授,、博士生導(dǎo)師

隨著人臉識(shí)別等生物識(shí)別技術(shù)的廣泛應(yīng)用,，個(gè)人生物識(shí)別信息作為一種特殊的個(gè)人敏感信息，所蘊(yùn)含的個(gè)人信息權(quán)利應(yīng)受到法律保護(hù),。在此基礎(chǔ)上,，應(yīng)當(dāng)確立風(fēng)險(xiǎn)預(yù)防及利益平衡原則以保障個(gè)人生物信息安全。在生物信息安全法律領(lǐng)域,，我國現(xiàn)有的私法和公法保護(hù)模式都難以實(shí)現(xiàn)體系化保護(hù),。我國應(yīng)以網(wǎng)絡(luò)安全法、生物安全法,、個(gè)人信息保護(hù)法,、數(shù)據(jù)安全法等綜合性立法為契機(jī)，通過相關(guān)行政法與刑法的銜接協(xié)調(diào),，構(gòu)建個(gè)人生物信息安全的法律法規(guī)體系,。

個(gè)人生物識(shí)別信息，即自然人可識(shí)別的生理或行為特征,，從中提取可識(shí)別,、可重復(fù)的生物特征樣本、模板,、模型等識(shí)別數(shù)據(jù)或數(shù)據(jù)的聚合,。隨著生物,、醫(yī)學(xué)與信息技術(shù)的不斷發(fā)展，個(gè)人的面部,、指紋,、視虹膜、基因（DNA）等生物信息識(shí)別技術(shù)被廣泛應(yīng)用到治安防控,、政府治理、醫(yī)療衛(wèi)生,、軌道交通等社會(huì)生活領(lǐng)域,。生物識(shí)別技術(shù)發(fā)展所帶來的身份驗(yàn)證、人體試驗(yàn),、器官移植,、輔助生殖技術(shù)、基因編輯及重組等問題,，都可能會(huì)侵犯個(gè)人信息數(shù)據(jù)權(quán)利,，危及生物信息安全甚至國家安全。如何防范生物識(shí)別技術(shù)應(yīng)用的安全風(fēng)險(xiǎn),，構(gòu)建個(gè)人生物信息安全的法律法規(guī)體系,，成為法學(xué)理論界和司法實(shí)務(wù)界共同關(guān)注的問題。

除了國家立法機(jī)關(guān)已頒布實(shí)施的《網(wǎng)絡(luò)安全法》《民法典》《生物安全法》之外,，《個(gè)人信息保護(hù)法（草案）》《數(shù)據(jù)安全法》已經(jīng)向社會(huì)征求意見,。這些重要立法都與個(gè)人生物信息安全保護(hù)密切相關(guān)。2020年12月7日,，中共中央印發(fā)《法治社會(huì)建設(shè)實(shí)施綱要（2020—2025年）》,，提出要完善網(wǎng)絡(luò)信息服務(wù)方面的法律法規(guī)，完善網(wǎng)絡(luò)安全法配套規(guī)定和標(biāo)準(zhǔn)體系,，研究制定個(gè)人信息保護(hù)法等,。如何依法規(guī)范個(gè)人生物識(shí)別技術(shù)的研發(fā)和應(yīng)用，確定侵犯個(gè)人生物識(shí)別信息權(quán)利的法律責(zé)任,，構(gòu)建危害生物信息安全行為的制裁體系,，本文將對此展開討論。

一,、人臉識(shí)別：個(gè)人生物信息的安全隱憂

人臉識(shí)別（Face Recognition）又稱面部識(shí)別,，作為一種識(shí)別個(gè)人身份信息的新型技術(shù)，其主要特征是非接觸性,、主體唯一性和不易復(fù)制性,，同時(shí)也具有無須攜帶、易于采集,、成本低廉等特點(diǎn),。信息采集者只要通過設(shè)置普通攝像頭等傳感器,，加上面部識(shí)別的軟件和算法的運(yùn)用，無須接觸自然人個(gè)體便可實(shí)現(xiàn)面部信息的抓取與存儲(chǔ),。在不同的動(dòng)態(tài)場景中,，可以自動(dòng)檢測定位、跟蹤采集,、比對提取,、分離存儲(chǔ)個(gè)體的臉部特征信息，通過與數(shù)據(jù)庫中已登記的面貌進(jìn)行核實(shí)以確認(rèn)自然人身份,，或在數(shù)據(jù)庫中搜索是否存在指定人像的完整流程,。目前，從出入境識(shí)別,、違法行為曝光到刑事案件中的身份核查,，從直銷銀行的人臉識(shí)別客戶身份驗(yàn)證、3D人臉識(shí)別解鎖智能手機(jī)到移動(dòng)端刷臉支付,，人臉識(shí)別的應(yīng)用范圍越來越廣,。手機(jī)廠商推出的新一代手機(jī)中，刷臉解鎖已經(jīng)替代了指紋解鎖,，許多支付系統(tǒng)也紛紛采用人臉識(shí)別技術(shù),。運(yùn)用海量數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)技術(shù)的人臉識(shí)別系統(tǒng)已成為人工智能、區(qū)塊鏈商業(yè)應(yīng)用的新領(lǐng)域,。我國工業(yè)與信息化部于2019年9月27日發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》指出,，國家支持構(gòu)建基于人臉識(shí)別等識(shí)別技術(shù)的網(wǎng)絡(luò)身份認(rèn)證體系。

應(yīng)當(dāng)看到,，個(gè)人生物識(shí)別信息需要結(jié)合信息網(wǎng)絡(luò)技術(shù)才能形成,，由此改變了個(gè)人生物信息的不可復(fù)制和不可變更的基本屬性。人臉識(shí)別的非接觸性特征也更容易產(chǎn)生個(gè)人信息侵權(quán)問題,。人臉可以被模仿,，“變臉”和“換臉”不存在什么技術(shù)困難。相對于其他個(gè)人信息,，人臉識(shí)別應(yīng)用的數(shù)據(jù)存儲(chǔ),、傳輸流程存在嚴(yán)重的隱私侵權(quán)和安全受損風(fēng)險(xiǎn)；而一旦人臉識(shí)別信息被泄露或冒用,，就可能會(huì)對信息主體造成永久性傷害和難以彌補(bǔ)的損失,。2018年4月，美國Facebook公司因其開發(fā)使用的“面部印記”功能遭到消費(fèi)者團(tuán)體起訴,，起訴書指控Facebook在未經(jīng)同意的情況下定期進(jìn)行照片掃描和生物特征匹配,。同時(shí)，F(xiàn)acebook還提供訪問接口，允許微軟,、亞馬遜和Apple等合作機(jī)構(gòu)讀取,、發(fā)送和刪除用戶個(gè)人信息。又如,，當(dāng)下新冠肺炎疫情肆虐全球,，很多人居家隔離或工作，對Zoom和其他數(shù)字通信工具的需求劇增,。但據(jù)媒體報(bào)道,，美國公司SpaceX和NASA已禁止員工使用Zoom的視頻會(huì)議應(yīng)用程序，因其存在“嚴(yán)重的隱私和安全問題”,。

在我國,，個(gè)人生物識(shí)別信息數(shù)據(jù)被盜或過度濫用的問題層出不窮，引人關(guān)注的“刷屏”級(jí)換臉APP“ZAO”經(jīng)歷了從爆紅到爆黑的“曇花一現(xiàn)”,。這一應(yīng)用項(xiàng)目所采用的格式化用戶協(xié)議存在過度攫取用戶授權(quán)和單方強(qiáng)加用戶義務(wù)的嫌疑，從而引起社會(huì)公眾的普遍擔(dān)憂,。又如,，在設(shè)置了人臉識(shí)別攝像頭的商場、車站等公共場所,，消費(fèi)者甚至不知道自己會(huì)被拍攝,。公民個(gè)人的相關(guān)隱私權(quán)益無法得到有效保障。以人臉識(shí)別廁紙機(jī)為例,，用戶進(jìn)入攝像頭范圍后就被“刷臉”,，僅僅是為了防止其多用廁紙，至于人臉數(shù)據(jù)怎樣被存儲(chǔ),、是否能被刪除,、是否被用于其他用途等問題，該機(jī)器并沒有進(jìn)行任何說明,，明顯存在過度收集個(gè)人生物識(shí)別信息的問題,。從司法實(shí)踐來看，國內(nèi)涉及人臉識(shí)別侵權(quán)訴訟或刑事犯罪的案件也屢屢發(fā)生,。例如,，2019年10月，浙江理工大學(xué)副教授郭兵因不同意杭州野生動(dòng)物世界使用人臉識(shí)別對其進(jìn)行用戶認(rèn)證而提起侵權(quán)訴訟,，被稱為“人臉識(shí)別第一案”,；2020年11月20日法院判決野生動(dòng)物世界賠償郭兵合同利益損失及交通費(fèi)一千余元，刪除原告辦理指紋年卡時(shí)提交的包括照片在內(nèi)的面部特征信息,。又如,，張某、余某等侵犯公民個(gè)人信息案,，被告人張某等購買2000萬條公民身份信息,，使用軟件將他人頭像照片制作成3D頭像,，用以支付寶人臉識(shí)別認(rèn)證、注冊支付寶賬號(hào)從而獲取紅包獎(jiǎng)勵(lì),，共獲利4萬元,。近年來，我國相關(guān)部門和機(jī)構(gòu)頒布實(shí)施了諸多個(gè)人信息保護(hù)的國家行業(yè)標(biāo)準(zhǔn),，對于個(gè)人生物識(shí)別信息的收集和使用提出了具體合規(guī)標(biāo)準(zhǔn),。2019年6月25日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)公布《信息技術(shù) 安全技術(shù) 生物特征識(shí)別信息的保護(hù)要求（征求意見稿）》（以下簡稱《生物識(shí)別信息保護(hù)要求（征求意見稿）》）,；2020年3月6日出臺(tái)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（以下簡稱《個(gè)人信息安全規(guī)范》）,，在2017年該規(guī)范文件舊版本的基礎(chǔ)上，細(xì)化與完善了個(gè)人生物識(shí)別信息在收集,、存儲(chǔ)和共享三個(gè)方面的保護(hù)要求,，對于人臉識(shí)別技術(shù)的合規(guī)使用具有重要的指引作用。2020年11月27日,，工信部組織發(fā)布了《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 人臉信息》團(tuán)體標(biāo)準(zhǔn)（以下簡稱《APP人臉信息規(guī)范》）,，明確了APP收集使用個(gè)人信息的“最小必要”原則，并對收集,、存儲(chǔ),、使用、刪除人臉信息的行為進(jìn)行了具體規(guī)范,。須指出,，作為國家行業(yè)標(biāo)準(zhǔn)的《個(gè)人信息安全規(guī)范》不是強(qiáng)制性法律標(biāo)準(zhǔn)，而是推薦性行業(yè)標(biāo)準(zhǔn),，因而對個(gè)人信息保護(hù)的要求也更加嚴(yán)格,。總的來看,，我國有關(guān)個(gè)人信息安全的法律法規(guī)和行業(yè)規(guī)范多頭迭出，但能夠起到提綱挈領(lǐng)和體系協(xié)調(diào)作用的“個(gè)人信息保護(hù)法”尚未出臺(tái),。相對于網(wǎng)絡(luò)信息安全保障,，在公民個(gè)人信息權(quán)益保護(hù)方面的立法顯得尤為不足。上述行業(yè)規(guī)范能否作為認(rèn)定侵犯公民個(gè)人信息犯罪的前置性規(guī)范,，也是值得探討的問題,。

二、個(gè)人生物信息安全法益的法律保護(hù)

隨著計(jì)算機(jī)科學(xué)與基因組技術(shù)的融合,，個(gè)人生物識(shí)別信息從傳統(tǒng)的“基因信息”和“遺傳資源信息”脫離出來,，已具有人體生物特征的計(jì)算機(jī)數(shù)據(jù)庫、數(shù)據(jù)處理、基因序列信息,、生物系統(tǒng)的計(jì)算機(jī)分析與軟件設(shè)計(jì)等內(nèi)涵,。個(gè)人信息保護(hù)原則是個(gè)人生物識(shí)別信息利用的最起碼規(guī)則，而對個(gè)人生物識(shí)別信息的權(quán)利屬性和法益內(nèi)容進(jìn)行界定,，是對其實(shí)施法律保護(hù)的邏輯前提。面對個(gè)人生物識(shí)別技術(shù)風(fēng)險(xiǎn)增大,、違法犯罪趨于嚴(yán)重的態(tài)勢,，我國立法與司法應(yīng)當(dāng)在保護(hù)個(gè)人生物識(shí)別信息權(quán)利的基礎(chǔ)上,，以風(fēng)險(xiǎn)預(yù)防及利益平衡理念和原則為引導(dǎo)，對個(gè)人生物信息安全法益實(shí)行多層次,、等級(jí)化和體系化的法律保護(hù)。

個(gè)人生物識(shí)別信息的權(quán)利屬性

《APP人臉信息規(guī)范》第3.1條規(guī)定,，“人臉識(shí)別”即基于個(gè)體的人臉特征，對個(gè)體進(jìn)行識(shí)別的過程,；第3.3條規(guī)定,，“人臉信息”即對自然人的人臉特征進(jìn)行技術(shù)處理得到的,、能夠單獨(dú)或者與其他信息結(jié)合識(shí)別該自然人身份的個(gè)人信息,。《生物識(shí)別信息保護(hù)要求（征求意見稿）》第3.1.3條規(guī)定,，個(gè)人生物識(shí)別信息基本特征在于,，可檢測到的個(gè)體生理或行為特征，可以從其中提取可識(shí)別的,、可重復(fù)的生物特征。第3.1.9條規(guī)定,，生物特征識(shí)別屬性即由生物測定樣本估計(jì)或?qū)С龅纳锾卣鲾?shù)據(jù)對象的描述性屬性,。同時(shí)，第4.1條規(guī)定,，個(gè)體生理特征包括但不限于指紋,、人臉、虹膜,、聲紋,、手型、指靜脈/掌靜脈、視網(wǎng)膜,、DNA,、掌紋等，個(gè)體行為特征則包括步態(tài),、簽名,、語音等。個(gè)人生物特征識(shí)別系統(tǒng)包括數(shù)據(jù)采集,、存儲(chǔ),、注冊、辨識(shí),、驗(yàn)證五個(gè)子系統(tǒng),，通常將個(gè)人生物特征識(shí)別的關(guān)聯(lián)信息與其他個(gè)人信息綁定在一起，以保證包含生物識(shí)別信息記錄在內(nèi)的信息安全性,。因此,，所謂“生物識(shí)別”并非僅是對自然人生理特征的識(shí)別，而且將生物識(shí)別信息與個(gè)人身份,、金融,、行為、位置,、偏好等信息對接,，使得個(gè)人生物識(shí)別信息的法律屬性具有更強(qiáng)的多元化、復(fù)雜化的特點(diǎn),。

從國外立法來看,，歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）、英國《數(shù)據(jù)保護(hù)法案》,、日本《個(gè)人信息保護(hù)法》等法律法規(guī)都對“生物識(shí)別數(shù)據(jù)”做出專門規(guī)定,。我國《網(wǎng)絡(luò)安全法》規(guī)定，個(gè)人生物識(shí)別信息屬于“直接可識(shí)別”到個(gè)人身份的隱私敏感信息,，其必須經(jīng)過計(jì)算機(jī)的相關(guān)生物識(shí)別程序的識(shí)別才能生成相關(guān)信息數(shù)據(jù),。《個(gè)人信息安全規(guī)范》第3.2條規(guī)定,，個(gè)人生物識(shí)別信息屬于個(gè)人敏感信息,，在收集信息授權(quán)同意、隱私政策制定,、傳輸與存儲(chǔ),、訪問控制措施、目的限制,、共享與轉(zhuǎn)讓,、公開披露,、應(yīng)急處置和報(bào)告、數(shù)據(jù)控制者的義務(wù)與責(zé)任等方面,，須以個(gè)人敏感信息的嚴(yán)格標(biāo)準(zhǔn)加以保護(hù),。根據(jù)《生物識(shí)別信息保護(hù)要求（征求意見稿）》第3.1.7條的規(guī)定，個(gè)人生物識(shí)別信息所涉及的權(quán)利包括其在整個(gè)生命周期的收集,、轉(zhuǎn)移,、使用、存儲(chǔ),、歸檔,、處置和更新的權(quán)利。從權(quán)利內(nèi)容來看,，個(gè)人生物識(shí)別信息權(quán)利包括知情權(quán),、同意權(quán)、查詢權(quán),、更正權(quán),、刪除權(quán)、利用權(quán)和公開權(quán)等權(quán)利,。

我們將個(gè)人生物識(shí)別信息進(jìn)一步分為可識(shí)別個(gè)體生物特征的個(gè)人隱私信息,、一般個(gè)人信息和個(gè)人數(shù)據(jù)三種，其權(quán)利屬性也有所差別,。首先,，一般個(gè)人信息具有人格權(quán)屬性，可謂“信息主體人格的外在標(biāo)志”,。但個(gè)人信息所蘊(yùn)含的權(quán)利并不限于隱私權(quán),，后者則是其最重要、最核心的內(nèi)容,。個(gè)人信息權(quán)的法律保護(hù)屬于弱保護(hù),，而隱私權(quán)的法律保護(hù)則屬于強(qiáng)保護(hù),，大多數(shù)一般個(gè)人信息不需要權(quán)利主體明示同意也可收集,，但對于個(gè)人私密敏感信息不能僅僅通過知情同意權(quán)加以保護(hù)，對于個(gè)人生物識(shí)別信息應(yīng)優(yōu)先適用更為積極的隱私權(quán)保護(hù),。其次,，個(gè)人隱私信息屬于人格利益但不包含財(cái)產(chǎn)屬性，不具有任何財(cái)產(chǎn)屬性的交易價(jià)值,，不可利用且受法律絕對保護(hù),。“人的自由與尊嚴(yán)價(jià)值不可動(dòng)搖,，互聯(lián)網(wǎng)絡(luò)時(shí)代亦如是,?！痹俅危话銈€(gè)人信息亦屬于人格利益但可包含財(cái)產(chǎn)屬性,，這種人格利益基于信息主體的同意,，轉(zhuǎn)化為具體財(cái)產(chǎn)利益后，可以進(jìn)行交易,。不少數(shù)據(jù)企業(yè)采用“去識(shí)別化”或匿名化技術(shù)手段,，對個(gè)人信息進(jìn)行“脫敏”或“漂白”，使其成為普通的數(shù)據(jù),。同樣,，個(gè)人生物識(shí)別信息經(jīng)過去識(shí)別化技術(shù)處理之后，僅具有個(gè)人信息數(shù)據(jù)的財(cái)產(chǎn)屬性,，可以自由使用,、轉(zhuǎn)讓，而為其他數(shù)據(jù)主體所利用,。然而,，隨著再識(shí)別技術(shù)的發(fā)展，“匿名化”已變成一個(gè)相對的概念,，完全不能復(fù)原的匿名化個(gè)人信息是比較少見的,。不過，通過去識(shí)別化信息技術(shù),，結(jié)合再識(shí)別的風(fēng)險(xiǎn)管理,，“去識(shí)別化”仍然是數(shù)據(jù)企業(yè)合規(guī)收集、使用個(gè)人生物識(shí)別信息的有效途徑,。

個(gè)人生物識(shí)別信息的安全法益

個(gè)人生物識(shí)別信息屬于自然人固有的生理特征或行為特征,，生物識(shí)別身份驗(yàn)證技術(shù)本身具有客觀性、中立性,，一般不具有違法性和可罰性,；但正因?yàn)槿绱耍炊菀妆徊环ǚ肿永梅陕┒催M(jìn)行不當(dāng)收集或?yàn)E用,。概括起來,，生物識(shí)別技術(shù)帶來的個(gè)人信息安全風(fēng)險(xiǎn)包括以下情形：未經(jīng)授權(quán)的或不必要的收集；未經(jīng)授權(quán)之使用或披露,；不當(dāng)比對,；錯(cuò)誤匹配；不當(dāng)儲(chǔ)存或不當(dāng)傳輸,；功能蠕變（creep function）等,。在大數(shù)據(jù)背景下，個(gè)人生物信息安全越來越依賴技術(shù)保障,，然而目前個(gè)人生物特征識(shí)別技術(shù)尚不夠成熟,，存在一定的技術(shù)缺陷和管理風(fēng)險(xiǎn),。同時(shí)，隨著國際上生物資源數(shù)字序列信息的提取,、跨境轉(zhuǎn)移和利用,，許多國家面臨著所謂“生物數(shù)字盜版”的生物信息跨國傳輸問題。一些發(fā)達(dá)國家通過多種途徑集聚各類生物信息,，進(jìn)行生物信息資源的控制與爭奪,，而輸出國遺傳信息資源流失的風(fēng)險(xiǎn)不斷增大，已經(jīng)上升到公共安全和國家安全層面,，人類遺傳基因的生物信息資源已成為國際戰(zhàn)略博弈的新領(lǐng)域,。面對國際上愈加激烈的遺傳基因資源控制與爭奪態(tài)勢，我國必須運(yùn)用法律強(qiáng)制手段保障生物信息安全,，防止生物信息資源流失,。

從個(gè)人生物信息安全的法益屬性來看，生物識(shí)別技術(shù)雖然以自然人為對象,，但其涉及的社會(huì)利益關(guān)系不限于公民個(gè)體,，而是包括與個(gè)人生物識(shí)別活動(dòng)相關(guān)的技術(shù)服務(wù)者、經(jīng)營者,、使用者和管理者,。即使是從公民個(gè)人權(quán)利角度，個(gè)人生物信息事關(guān)個(gè)人身份,、隱私,、人身、財(cái)產(chǎn)等各方面的利益與安全,，已經(jīng)不能僅僅用傳統(tǒng)民法上的某種單一權(quán)利加以限定,。個(gè)人生物識(shí)別信息所蘊(yùn)含的保護(hù)法益內(nèi)容逐漸呈現(xiàn)出復(fù)合性、多元化特征,，從個(gè)體的人格權(quán)擴(kuò)展至公共利益,、社會(huì)秩序和國家安全。對此,，有學(xué)者提倡法律應(yīng)著力保護(hù)“數(shù)據(jù)安全法益”,，即數(shù)據(jù)的保密性、完整性和可用性的保護(hù),，維護(hù)數(shù)據(jù)在社會(huì)往來中的安全性和可信賴性,?！稊?shù)據(jù)安全法》第3條規(guī)定：“數(shù)據(jù)安全,，是指通過采取必要措施，保障數(shù)據(jù)得到有效保護(hù)和合法利用,，并持續(xù)處于安全狀態(tài)的能力,?！蔽覈F(xiàn)行的《網(wǎng)絡(luò)安全法》中有關(guān)個(gè)人信息保護(hù)的內(nèi)容，也是著重從保障信息網(wǎng)絡(luò)安全的角度做出的規(guī)定,，該法對網(wǎng)絡(luò)運(yùn)營者提出的義務(wù)要求,，就不僅僅是從個(gè)人信息權(quán)利保護(hù)的角度考慮的，而《網(wǎng)絡(luò)安全法》作為《刑法》中侵犯公民個(gè)人信息罪等相關(guān)罪名的前置性法律規(guī)范,，其法益保護(hù)價(jià)值取向也必然反映在這些罪名的構(gòu)成要件要素當(dāng)中,。

三、個(gè)人生物信息安全風(fēng)險(xiǎn)預(yù)防及利益平衡

個(gè)人生物識(shí)別信息的權(quán)利保護(hù)和價(jià)值利用是一枚硬幣的兩面,，自由與安全的價(jià)值取向既是對立的,，又統(tǒng)一于個(gè)人生物識(shí)別信息權(quán)利保護(hù)和價(jià)值利用的關(guān)系當(dāng)中，兩者缺一不可,。在風(fēng)險(xiǎn)社會(huì)背景下,，需要確立風(fēng)險(xiǎn)預(yù)防的理念，并以利益平衡原則為補(bǔ)充,，作為構(gòu)建個(gè)人生物信息安全保護(hù)法律體系的觀念基礎(chǔ),。

個(gè)人生物信息安全的風(fēng)險(xiǎn)預(yù)防法律原則

作為一種法律理念，“風(fēng)險(xiǎn)預(yù)防”較早地出現(xiàn)在生態(tài)環(huán)境保護(hù)領(lǐng)域,。當(dāng)生態(tài)環(huán)境遇到嚴(yán)重的或不可逆轉(zhuǎn)的損害或威脅時(shí),，即使不能在科學(xué)上找到明確證據(jù)證明某種行為必將產(chǎn)生實(shí)際危害，也應(yīng)當(dāng)采取法律防范措施以避免該行為的發(fā)生,?！帮L(fēng)險(xiǎn)預(yù)防”是相對于“損害預(yù)防”而言的，前者針對的“危害”具有不確定性,、未然性,，而后者的“損害”是指已現(xiàn)實(shí)存在或已產(chǎn)生客觀損害結(jié)果，“不確定性”是風(fēng)險(xiǎn)預(yù)防的核心概念,。將風(fēng)險(xiǎn)預(yù)防原則確立為生物安全立法的基本原則,，是由生物技術(shù)發(fā)展所帶來的高風(fēng)險(xiǎn)性和嚴(yán)重危害性所決定的。就像SARS,、新冠病毒性肺炎疫情一樣,，一旦生物安全潛在風(fēng)險(xiǎn)轉(zhuǎn)化為現(xiàn)實(shí)損害，與生態(tài)環(huán)境災(zāi)難一樣無法逆轉(zhuǎn)且危害嚴(yán)重,。生物安全風(fēng)險(xiǎn)的不確定性,、突發(fā)性及不可預(yù)測性要求相關(guān)法律法規(guī)要采取具有相對靈活性、開放性的立法模式,，在預(yù)防和控制風(fēng)險(xiǎn)時(shí)留有法律操作的空間,。確立生物安全保護(hù)的風(fēng)險(xiǎn)預(yù)防原則，用以指導(dǎo)生物安全立法和司法實(shí)踐,，是十分必要的,，這也符合人類命運(yùn)共同體的價(jià)值理念,。

《生物識(shí)別信息保護(hù)要求（征求意見稿）》第5.1條針對“生物特征識(shí)別系統(tǒng)信息安全保護(hù)要求”提出了以下原則：其一，保密性原則,。在生物特征數(shù)據(jù)的存儲(chǔ)和傳輸過程中,，生物特征識(shí)別系統(tǒng)各部件之間的通信通道可能會(huì)被竊聽、讀取,、插入或修改,，而用戶并不知道已建立的鏈接遭受了攻擊。對此,，應(yīng)當(dāng)使用SM2或SM4加密算法對信息數(shù)據(jù)進(jìn)行保密處理,，未經(jīng)信息主體授權(quán)不得訪問或披露,；可以通過將生物特征參考存儲(chǔ)在個(gè)人令牌或卡上進(jìn)行數(shù)據(jù)分離,，或使用僅身份管理系統(tǒng)的操作人員或數(shù)據(jù)主體可知的密鑰對生物特征參考進(jìn)行加密,。其二，完整性原則,。生物特征識(shí)別系統(tǒng)應(yīng)通過訪問控制來實(shí)現(xiàn)數(shù)據(jù)的完整性保護(hù),，防止未經(jīng)授權(quán)訪問生物特征數(shù)據(jù)，或通過使用加密技術(shù)進(jìn)行完整性檢查,。其三,，可更新性與可撤銷性原則。根據(jù)該《生物識(shí)別信息保護(hù)要求（征求意見稿）》第3.1.10條規(guī)定,，如果攻擊者非法獲取,、泄露或未經(jīng)授權(quán)訪問生物特征參考樣本、模板或模型,，如護(hù)照上的面部圖像,、居民身份證上的指紋細(xì)節(jié)模板、數(shù)據(jù)庫中用于識(shí)別說話人的高斯混合模型,，就需要撤銷和更新受侵害者的參考樣本,，并將合法的數(shù)據(jù)主體與新的生物特征參考樣本聯(lián)系起來。

在個(gè)人生物信息安全領(lǐng)域,，生物識(shí)別技術(shù)的研發(fā)者,、服務(wù)者、經(jīng)營者和利用者違法違規(guī)收集和使用個(gè)人生物識(shí)別信息的行為,，主要涉及侵犯公民個(gè)人信息罪及其他關(guān)聯(lián)罪名,。究竟是將法益性質(zhì)界定為個(gè)人法益、公共法益還是國家法益,，將直接決定或影響著刑法中相關(guān)罪名的認(rèn)定和處刑輕重,。同時(shí)，對刑法中相關(guān)罪名的構(gòu)成要件設(shè)置和司法認(rèn)定，也需要依托前置性行政法律規(guī)范及行業(yè)標(biāo)準(zhǔn),，針對不同安全等級(jí)的個(gè)人生物信息識(shí)別行為,，設(shè)定生物信息安全法益保護(hù)的命令性義務(wù),、禁止性規(guī)范及刑事責(zé)任,，設(shè)置刑事風(fēng)險(xiǎn)防范的法律底線，側(cè)重體現(xiàn)對于生物信息安全保護(hù)的特殊要求,。例如,，個(gè)人生物識(shí)別信息的收集者、使用者在向信息主體征求授權(quán)同意時(shí),，應(yīng)向其明確告知收集目的,、處理方式、使用范圍,、再度披露規(guī)則等,，并且在后續(xù)的二次使用中，仍需再次征求用戶的明確授權(quán),。用戶可以隨時(shí)行使更正,、刪除和注銷生物特征識(shí)別信息的權(quán)利，不需要任何前置條件即可當(dāng)場實(shí)現(xiàn)與即時(shí)生效,。對于這些較為嚴(yán)格的生物信息安全保護(hù)的義務(wù)要求,，司法機(jī)關(guān)在認(rèn)定侵犯公民個(gè)人信息罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的時(shí)候,，就可以作為認(rèn)定前置性法律規(guī)范,、進(jìn)行刑事違法性判斷的參考依據(jù)，這樣才能夠盡可能地防范生物信息安全風(fēng)險(xiǎn),，從根本上避免阻礙生物信息識(shí)別技術(shù)的創(chuàng)新發(fā)展,。

個(gè)人生物信息安全保護(hù)的利益平衡

在風(fēng)險(xiǎn)社會(huì)背景下，保障公共安全與保護(hù)個(gè)人隱私之間不是非此即彼的利益衡量問題,，而是如何共生共存的利益協(xié)調(diào)問題,。其實(shí)，公共安全與個(gè)人隱私之間并不存在實(shí)質(zhì)沖突,，個(gè)人隱私保護(hù)沒有必要讓步于公共安全保障,，公共安全保障也不能以犧牲個(gè)人隱私為代價(jià)。有學(xué)者指出,，在應(yīng)用與開發(fā)個(gè)人信息數(shù)據(jù)過程中不僅應(yīng)追求個(gè)體利益最大化,，還要保證社會(huì)利益的最大化，為追求個(gè)體利益而犧牲社會(huì)利益的做法是無法持續(xù)發(fā)展的,，這就需要在社會(huì)利益和個(gè)體利益之間創(chuàng)建一種利益平衡機(jī)制,。確定個(gè)人信息數(shù)據(jù)的權(quán)利歸屬、實(shí)行權(quán)利與義務(wù)相匹配是實(shí)現(xiàn)個(gè)體利益與社會(huì)利益之間協(xié)調(diào)的前提基礎(chǔ)。

對于個(gè)人生物識(shí)別信息來說,，法律同樣面臨著如何在保護(hù)和利用,、自由與安全之間進(jìn)行利益平衡和價(jià)值選擇的問題。比較來說,，在個(gè)人生物識(shí)別信息的商業(yè)使用方面,，大多數(shù)歐美國家持謹(jǐn)慎態(tài)度。歐盟保護(hù)人臉識(shí)別數(shù)據(jù)的核心法律是《通用數(shù)據(jù)保護(hù)法規(guī)》（GDPR）,。根據(jù)GDPR的規(guī)定人臉識(shí)別技術(shù)的商業(yè)應(yīng)用可適用的例外情形是數(shù)據(jù)主體已明確表示同意,，“同意”的方式須“自由給予、明確,、具體,、不含混”，數(shù)據(jù)主體任何形式的被動(dòng)同意均不符合規(guī)定,。比較而言,，我國對于個(gè)人生物識(shí)別技術(shù)的開發(fā)和應(yīng)用持較為積極的態(tài)度。然而,，從利益平衡角度,，應(yīng)當(dāng)分類分層地明確個(gè)人生物信息權(quán)利主體、生物識(shí)別技術(shù)的研發(fā)者,、個(gè)人生物信息的收集者和使用者,、生物信息安全的管理者等各方利益主體的權(quán)責(zé)關(guān)系，避免個(gè)人生物識(shí)別信息數(shù)據(jù)濫用,。對于人臉識(shí)別來說,，其商業(yè)性應(yīng)用與公共性應(yīng)用應(yīng)該有所區(qū)別，公共利益目的是隱私個(gè)體權(quán)利的抗辯事由之一,，在一定情況下可以超越個(gè)體隱私權(quán)利以維護(hù)社會(huì)整體效率與安全,，但人臉識(shí)別的商業(yè)應(yīng)用則必須以個(gè)體隱私權(quán)利保護(hù)為前提。對于人臉識(shí)別信息來說,，一般情況下不允許搜集者以“共享”或“開放平臺(tái)”等方式進(jìn)行利用,，更不得未經(jīng)用戶事先授權(quán)和再次授權(quán)就進(jìn)行轉(zhuǎn)讓使用。人臉識(shí)別技術(shù)應(yīng)用同樣涉及多個(gè)主體之間的合意以及權(quán)責(zé)分配等問題,，需要受到公平正義價(jià)值的評(píng)價(jià)與約束,。個(gè)人生物識(shí)別信息的收集者、利用者和數(shù)據(jù)系統(tǒng)的管理者,，也是借助個(gè)人生物信息安全風(fēng)險(xiǎn)的獲利群體,，應(yīng)當(dāng)作為風(fēng)險(xiǎn)義務(wù)和責(zé)任的主要承擔(dān)者，法律應(yīng)當(dāng)對個(gè)人信息權(quán)利主體予以適當(dāng)?shù)膬A斜保護(hù),，從實(shí)質(zhì)上實(shí)現(xiàn)公正和利益平衡,。

值得關(guān)注的是，區(qū)塊鏈技術(shù)逐漸應(yīng)用于生物信息商業(yè)領(lǐng)域，實(shí)現(xiàn)與生物識(shí)別技術(shù)的融合,。如科創(chuàng)公司Nebula Genomics公司推出基于區(qū)塊鏈技術(shù)的匿名DNA測序隱私功能,，用戶可以用加密貨幣購買全基因組測序并提交其樣本，并允許用戶自行處理測序信息,。有學(xué)者指出,，區(qū)塊鏈的核心價(jià)值在于“私密性、準(zhǔn)確性和可驗(yàn)證性”,，與個(gè)人生物信息識(shí)別技術(shù)屬性具有內(nèi)在共通性,。因此,，生物識(shí)別技術(shù)也被應(yīng)用于區(qū)塊鏈產(chǎn)品,，以提高對用戶的數(shù)字貨幣、私鑰以及身份信息存儲(chǔ)的安全性,。如,，HYPR公司與比特幣交易安全平臺(tái)BitGo聯(lián)合開發(fā)生物認(rèn)證與區(qū)塊鏈融合的新技術(shù)，客戶通過HYPR的生物識(shí)別進(jìn)行安全登陸,，加上BitGo的多重簽名技術(shù),，實(shí)現(xiàn)用戶信息安全的雙重保障。不少國家政府機(jī)構(gòu)開展了區(qū)塊鏈身份驗(yàn)證項(xiàng)目,，采用基于生物識(shí)別技術(shù)的認(rèn)證機(jī)制,，建立自主身份管理系統(tǒng)。須指出,，區(qū)塊鏈“去中心化”的特點(diǎn)天然排斥監(jiān)管,，但是如果缺乏必要的法律規(guī)范和政府監(jiān)管，也會(huì)增加市場交易的風(fēng)險(xiǎn),。在區(qū)塊鏈產(chǎn)業(yè)化過程中,，往往通過加密算法對賬本的數(shù)據(jù)進(jìn)行“哈希化”處理,，將包含在交易記錄中的個(gè)人信息以哈希值的形式體現(xiàn),，從而在區(qū)塊鏈背景下實(shí)現(xiàn)了個(gè)人信息的匿名化，使其成為不具有可識(shí)別性的數(shù)據(jù),。哈希函數(shù)具有單向和不可逆的特點(diǎn),，但哈希化技術(shù)含量和程度仍然存在逆轉(zhuǎn)風(fēng)險(xiǎn),，并非不可破解,，區(qū)塊鏈業(yè)者面臨著違規(guī)陷阱甚至刑事風(fēng)險(xiǎn)。為了避免給區(qū)塊鏈產(chǎn)業(yè)發(fā)展帶來不必要的障礙和困難,，如果區(qū)塊鏈業(yè)者在將個(gè)人信息記錄到區(qū)塊鏈上時(shí)運(yùn)用匿名化技術(shù)手段,，并切實(shí)履行了保護(hù)個(gè)人信息安全的合理義務(wù)，盡最大努力采取技術(shù)措施確保哈希化信息的匿名化,，則該哈?；畔⒕筒辉賹儆诜梢饬x上的個(gè)人信息。這樣既保護(hù)了區(qū)塊鏈背景下的個(gè)人信息安全,，又避免給區(qū)塊鏈產(chǎn)業(yè)帶來過高的發(fā)展門檻和應(yīng)用成本,。對個(gè)人生物信息來說，這同樣能夠在個(gè)人生物信息權(quán)利保護(hù)和價(jià)值利用,、生物信息安全風(fēng)險(xiǎn)防范和區(qū)塊鏈產(chǎn)業(yè)發(fā)展之間取得利益平衡,，值得肯定。

四,、個(gè)人生物信息安全保護(hù)的立法模式

在生物安全領(lǐng)域,，個(gè)人生物信息安全的法律保護(hù)一直受到國際社會(huì)的關(guān)注和重視，相關(guān)的專門性國際條約及行業(yè)標(biāo)準(zhǔn)主要是《生物多樣性公約》《生物多樣性公約卡塔赫納生物安全議定書》《信息技術(shù)—安全技術(shù)—生物測定信息保護(hù)標(biāo)準(zhǔn)》等,，其中也包含著人類基因信息保護(hù)和利用的規(guī)制內(nèi)容,。在個(gè)人生物信息安全保護(hù)方面，美國和歐盟等發(fā)達(dá)國家立法相對比較完善,。我國雖然制定實(shí)施了不少與個(gè)人生物信息有關(guān)的法律法規(guī),、部門規(guī)章以及行業(yè)標(biāo)準(zhǔn)等規(guī)范性文件，但仍缺少綜合性,、專門性立法,，法律法規(guī)體系并不完善。以下予以比較研究,。

個(gè)人生物信息安全的私法保護(hù)

從國外立法來看,，美國和歐盟等發(fā)達(dá)國家和地區(qū)出于保護(hù)本國遺傳資源以及本國利益的考慮，對人體基因信息能否獲得專利問題普遍持肯定態(tài)度,，專利制度在生物信息法律保護(hù)方面居于很重要的地位,。然而，因掣肘于專利權(quán)保護(hù)所造成的壟斷,，其立法首要目標(biāo)并不在于安全價(jià)值的考慮,，其所能發(fā)揮的作用當(dāng)然也是有限的。對于個(gè)人生物識(shí)別信息安全的保護(hù)仍然主要體現(xiàn)在個(gè)人隱私權(quán),、信息數(shù)據(jù)權(quán)利的民事法律保護(hù)方面,。在我國，對個(gè)人生物識(shí)別信息的保護(hù)來自于民法,、消費(fèi)者權(quán)益保護(hù)法等法律法規(guī)中有關(guān)隱私權(quán),、名譽(yù)權(quán)的保護(hù)規(guī)定，以及個(gè)人信息保護(hù)的法律法規(guī),、行業(yè)規(guī)范,。如《侵權(quán)責(zé)任法》第２條只是原則性,、概括性地確認(rèn)了隱私權(quán)的存在，對于生物識(shí)別信息的隱私法律保護(hù)而言顯得尤為不足,。由于個(gè)人信息的財(cái)產(chǎn)價(jià)值難以估算,，且以人格權(quán)為基礎(chǔ)的財(cái)產(chǎn)賠償數(shù)額也比較有限，侵犯個(gè)人生物識(shí)別信息的行為也很難通過《侵權(quán)責(zé)任法》的現(xiàn)有規(guī)定獲得有效的賠償,。2020年5月頒布的《中華人民共和國民法典》（以下簡稱《民法典》）人格權(quán)編第799條第1款對個(gè)人生物識(shí)別信息也提供了多重保護(hù)：一是可以受到肖像權(quán)的保護(hù),；二是采取偷拍偷錄等方式采集個(gè)人生物識(shí)別信息構(gòu)成對隱私權(quán)的侵害；三是除了肖像權(quán),、隱私權(quán)保護(hù)之外,，還可以適用個(gè)人信息保護(hù)的規(guī)定。值得注意的是,，根據(jù)《民法典》第1036條的規(guī)定,，合理處理自然人自行公開的或其他已經(jīng)合法公開的信息，除該自然人明確拒絕或者處理該信息侵害其重大利益的之外,，行為人不承擔(dān)民事責(zé)任,。據(jù)此,，個(gè)人信息分為公開的個(gè)人信息和非公開的個(gè)人信息,，公開的個(gè)人信息限于“合法公開”的個(gè)人信息，而不包括非法公開的個(gè)人信息,。而對于個(gè)人信息是否屬于“合法公開”,，行為人主觀上是很難認(rèn)識(shí)到的，在無法證明的情況下,，只能按有利于被告的原則處理,。可見,，即使在現(xiàn)有民法典框架之下,，對個(gè)人生物識(shí)別信息的民事權(quán)利保護(hù)仍然是不足的，對于個(gè)人生物信息安全更難以直接給予保障和救濟(jì),。

總體上,，我國個(gè)人生物識(shí)別信息的民事權(quán)利保護(hù)模式主要有三種路徑：人格權(quán)模式、財(cái)產(chǎn)權(quán)模式,、人格權(quán)與財(cái)產(chǎn)權(quán)的復(fù)合模式,。其一，人格權(quán)保護(hù)模式主張將個(gè)人生物識(shí)別信息視為具有人格權(quán)的基本屬性,，將其作為個(gè)人私密敏感信息進(jìn)行保護(hù),。其二，財(cái)產(chǎn)權(quán)保護(hù)模式認(rèn)為,，個(gè)人生物識(shí)別信息具備財(cái)產(chǎn)性質(zhì),，應(yīng)賦予其財(cái)產(chǎn)權(quán)保護(hù)，但其又不是完全的財(cái)產(chǎn),，因?yàn)樗荒鼙焕^承、贈(zèng)予、遺贈(zèng)等,，保護(hù)隱私最容易的途徑是將個(gè)人信息的控制作為數(shù)據(jù)主體擁有的財(cái)產(chǎn)權(quán)。其三,，復(fù)合保護(hù)模式主張,，將人體基因視為人格和財(cái)產(chǎn)的復(fù)合體,，即把人體基因視為知識(shí)產(chǎn)品,。還有學(xué)者提出,，將人體基因及基因信息視為人格性財(cái)產(chǎn)權(quán)。比較來看,，首先,，單純的人格權(quán)模式無法對個(gè)人生物識(shí)別信息專利及商業(yè)化所帶來的可分享的財(cái)產(chǎn)利益予以充分保護(hù),。與傳統(tǒng)的隱私權(quán)保護(hù)方法相比，隱私權(quán)是強(qiáng)調(diào)“不干涉”的權(quán)利,，財(cái)產(chǎn)權(quán)則是一種積極的權(quán)利,。通過財(cái)產(chǎn)權(quán)保護(hù),，個(gè)人生物識(shí)別信息所有權(quán)人能夠擁有一系列權(quán)利包括控制,、占有、轉(zhuǎn)讓,。其次,，對個(gè)人生物識(shí)別信息財(cái)產(chǎn)權(quán)益的承認(rèn)并不與相關(guān)的人格權(quán)相矛盾,。承認(rèn)個(gè)人生物識(shí)別信息的財(cái)產(chǎn)權(quán)屬性，更有利于保護(hù)合法的相關(guān)信息交易,，解決糾紛,，保護(hù)信息主體的合法權(quán)益,。再次,，如果單純采用財(cái)產(chǎn)權(quán)模式來界定個(gè)人基因信息的法律屬性，則可能造成對人體基因信息的人格權(quán)屬性的忽略,，在否定其主體地位的同時(shí),，還可能會(huì)帶來物化人格的風(fēng)險(xiǎn)。

須指出,，相對于美國與歐盟來說,，我國目前尚未形成具體明確的個(gè)人信息權(quán)利保護(hù)模式。無論對個(gè)人生物識(shí)別信息采取何種保護(hù)模式,，現(xiàn)行民事立法都是從基本民事權(quán)利角度作出的粗線條規(guī)定,，無法為特定場景下個(gè)人信息權(quán)利的保護(hù)確定具體規(guī)則。例如,，在個(gè)人隱私政策中,，相關(guān)企業(yè)機(jī)構(gòu)在取得收集或使用公民個(gè)人信息的授權(quán)時(shí)，對于取得用戶授權(quán)的行為方式是否妥當(dāng),，能否產(chǎn)生取得授權(quán)的效力等,，民事立法無法提供具體的判斷標(biāo)準(zhǔn)。筆者主張,，我國應(yīng)以人格權(quán)和財(cái)產(chǎn)權(quán)的雙重機(jī)制對其予以保護(hù),，為平衡人格價(jià)值和科技進(jìn)步、經(jīng)濟(jì)發(fā)展之間的沖突提供可行的通道,。以人格權(quán)的保護(hù)機(jī)制確保供體對個(gè)人生物識(shí)別信息使用情況的控制和支配，以財(cái)產(chǎn)權(quán)的保護(hù)機(jī)制維護(hù)其對生物信息技術(shù)進(jìn)步利益的合理分享,。未來的個(gè)人生物信息保護(hù)立法應(yīng)考慮到其商業(yè)性使用價(jià)值財(cái)產(chǎn)權(quán)的正當(dāng)訴求,，建立個(gè)人生物信息權(quán)利損害的民事訴訟救濟(jì)機(jī)制，明確侵害個(gè)人生物識(shí)別信息權(quán)利的“損害”認(rèn)定與賠償標(biāo)準(zhǔn),，完善相關(guān)民事訴訟損害賠償?shù)呐e證原則與責(zé)任制度等,。

個(gè)人生物信息安全的公法保護(hù)

首先，在行政法領(lǐng)域,，我國與個(gè)人生物信息安全相關(guān)的法律規(guī)范多散見于《網(wǎng)絡(luò)安全法》《傳染病防治法》《人類遺傳資源管理?xiàng)l例》《基因工程安全管理辦法》《人類輔助生殖技術(shù)管理辦法》《涉及人的生物醫(yī)學(xué)研究倫理審查辦法》等法律法規(guī),、部委規(guī)章及專門規(guī)范文件,。如《人類遺傳資源管理?xiàng)l例》規(guī)定采集人類遺傳資源信息須符合個(gè)人信息收集的一般法律要求，但并未建立起與其敏感隱私特征相適應(yīng)的特殊保護(hù)制度,?！秱€(gè)人信息安全規(guī)范》較為詳細(xì)地規(guī)定了個(gè)人生物識(shí)別信息在收集、存儲(chǔ)和共享等環(huán)節(jié)的安全保護(hù)要求,。在涉及人臉識(shí)別,、聲紋識(shí)別等生物識(shí)別信息的項(xiàng)目，網(wǎng)絡(luò)運(yùn)營者須專門設(shè)計(jì)獲得用戶同意的環(huán)節(jié),，這也意味著當(dāng)用戶提起爭議時(shí),，信息業(yè)者負(fù)有更多的舉證責(zé)任?！渡锾卣髯R(shí)別信息保護(hù)要求（征求意見稿）》第5.1條提出了生物特征識(shí)別系統(tǒng)的保密性,、完整性、可更新性與可撤銷性等方面的原則和具體要求,；第6.4條也提出在生物特征識(shí)別信息生命周期管理中有關(guān)采集,、傳輸、使用,、存儲(chǔ),、歸檔與數(shù)據(jù)備份、廢棄階段的義務(wù)要求,，除非法律法規(guī)另有規(guī)定,，否則在收集、訪問,、處理或修改,、使用生物特征識(shí)別信息之前，有關(guān)組織應(yīng)獲得主體的同意,；系統(tǒng)安全與隱私政策應(yīng)保證存儲(chǔ),、控制和處理過程中生物特征識(shí)別信息的安全等?！禔PP人臉信息規(guī)范》第6.1至6.4條詳細(xì)規(guī)定了收集,、存儲(chǔ)、使用,、刪除個(gè)人信息過程中的“最小必要規(guī)范”,。例如，其第6.1.c）規(guī)定,，收集人臉信息應(yīng)遵循“最小必要”原則,，收集前應(yīng)通過隱私協(xié)議等方式向人臉信息主體告知相關(guān)信息，不應(yīng)超過人臉信息主體“告知同意”的范圍。上述國家行業(yè)標(biāo)準(zhǔn)和規(guī)范雖不具有法律效力,，但能起到生物識(shí)別技術(shù)風(fēng)險(xiǎn)防范和合規(guī)性指導(dǎo)作用,，也能為將來生物信息安全立法提供經(jīng)驗(yàn)基礎(chǔ)。

其次,，在刑事法領(lǐng)域,，由于個(gè)人基因信息技術(shù)發(fā)展所帶來的人體試驗(yàn)、器官移植,、輔助生殖技術(shù),、基因編輯及重組等問題日趨嚴(yán)重，不少國家對上述行為規(guī)定相關(guān)罪名予以刑事懲處,。如,，1994年《法國刑法典》第六章明確規(guī)定了處罰基因泄露行為，對于DNA鑒定中侵犯他人個(gè)人基因隱私的行為進(jìn)行刑事懲處,。在刑法典之外,，不少國家的專門性立法中規(guī)定了刑事責(zé)任條款，如德國1990年的《胚胎保護(hù)法》,、澳大利亞的《禁止克隆人法案2002》和《基因技術(shù)法案2000》,、韓國的《生物安全與技術(shù)法》、日本的《克隆技術(shù)限制法》等,。法國《公共衛(wèi)生法典》中的《人體尊重法》規(guī)定人體及其生成物的不可轉(zhuǎn)讓性,，禁止他們成為商業(yè)交易的對象，禁止代理胎兒,，包括基因檢查規(guī)則等,。如果違反了這些規(guī)則，將被判處1年至7年的監(jiān)禁刑及10萬法郎到70萬法郎的罰金,。德國《胚胎保護(hù)法》第5條第1,、2項(xiàng)規(guī)定：“改變?nèi)祟惿诚导?xì)胞遺傳信息的，處以5年以下的自由刑或者罰金,。將人為改變了的遺傳信息的人體生殖細(xì)胞用于受精的,，處相同刑罰?！泵绹?998年《防止身份盜竊及假冒法》規(guī)定,，故意轉(zhuǎn)移、使用生物識(shí)別信息用于違法活動(dòng)的行為構(gòu)成“身份盜竊”罪,。2003年美國的《身份盜竊處罰增強(qiáng)法》進(jìn)一步將非法“占有”識(shí)別他人的方法規(guī)定為“身份盜竊”罪,。須指出，上述附屬刑法規(guī)范均發(fā)揮著與刑法基本規(guī)范同樣重要的定罪量刑作用,，且更具靈活性、協(xié)調(diào)性，值得我國立法借鑒,。我國于2019年制定出臺(tái)了《人類遺傳資源管理?xiàng)l例》,，在“法律責(zé)任”一章規(guī)定了非法采集、保藏,、利用,、對外提供人類遺傳資源的行政責(zé)任和刑事責(zé)任。根據(jù)現(xiàn)行《刑法》的規(guī)定,，我國可以將違反該條例規(guī)定的行為認(rèn)定為犯罪,，如將故意或過失泄露被列為國家秘密的基因資源、資料的行為認(rèn)定為故意或過失泄露國家秘密罪,，為境外竊取,、刺探、售賣,、非法提供國家秘密,、情報(bào)罪等，但也有不少行為是刑法典中現(xiàn)有罪名無法涵蓋的,。從立法完善角度,，我們可考慮以當(dāng)前生物安全立法或修法為契機(jī)，通過制定或修訂相關(guān)行政法律法規(guī)中的刑事責(zé)任條款,，設(shè)置“非法利用胚胎罪”等罪名,，實(shí)現(xiàn)刑法與行政法規(guī)范的有效銜接，本文在此不贅述,。

個(gè)人生物信息安全的綜合法律保護(hù)

目前,，我國《個(gè)人信息保護(hù)法（草案）》在《民法典》基礎(chǔ)上，建構(gòu)了我國個(gè)人信息保護(hù)的單行法律框架,。草案第5條,、第6條分別規(guī)定了個(gè)人信息處理的方式和目的。第5條規(guī)定“處理個(gè)人信息應(yīng)當(dāng)采用合法,、正當(dāng)?shù)姆绞健?；?條規(guī)定“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的”,。同時(shí),，該草案將“告知—同意”確立為信息處理的核心規(guī)則，告知義務(wù)是信息主體的主要義務(wù),?！稊?shù)據(jù)安全法》第四章規(guī)定了數(shù)據(jù)安全保護(hù)義務(wù)，其中第29條規(guī)定,，“任何組織,、個(gè)人收集數(shù)據(jù)，必須采取合法、正當(dāng)?shù)姆绞?不得竊取或者以其他非法方式獲取數(shù)據(jù)”,，“應(yīng)當(dāng)在法律,、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù),，不得超過必要的限度”,。然而，與國外立法相比,，我國個(gè)人信息保護(hù)的法律法規(guī)相互之間有機(jī)協(xié)調(diào)不夠,，實(shí)施起來難免出現(xiàn)立法空白、規(guī)范沖突和不銜接等問題,。個(gè)人生物信息保護(hù)法益的復(fù)合性,、多元化，決定了僅靠私法保護(hù)模式或是公法保護(hù)模式均無法有效保障其安全,，因而有必要對我國生物安全法律保護(hù)作出系統(tǒng)性的制度安排,。從立法完善的角度，應(yīng)當(dāng)設(shè)定企業(yè)生物識(shí)別技術(shù)及其應(yīng)用的行業(yè)標(biāo)準(zhǔn),、認(rèn)證評(píng)價(jià)機(jī)制,、安防制度以及許可制度，明確規(guī)定個(gè)人生物信息識(shí)別的禁止性與限定性規(guī)范,、個(gè)人生物信息權(quán)的基本內(nèi)容,，以及互聯(lián)網(wǎng)企業(yè)在采集、存儲(chǔ),、使用,、傳輸、保管,、披露,、銷毀個(gè)人生物識(shí)別信息中的法律義務(wù)和責(zé)任等。同時(shí),，我國還需要通過立法設(shè)置國家層面的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu),，并于地方設(shè)置下級(jí)機(jī)構(gòu)，明確監(jiān)管機(jī)構(gòu)對各種實(shí)體數(shù)據(jù)處理行為的審查權(quán),、許可權(quán),、調(diào)查權(quán)、檢查權(quán),、命令權(quán)和司法介入權(quán),，以及糾紛調(diào)處權(quán)，受理控訴,、申訴權(quán),，以保證實(shí)現(xiàn)個(gè)人生物信息安全管理的目標(biāo),。在此方面，2020年10月頒布的《中華人民共和國生物安全法》作為一部綜合性立法,，應(yīng)當(dāng)能夠適應(yīng)我國生物多樣性保護(hù)和生物安全保障的制度需求,。在該法的統(tǒng)領(lǐng)和協(xié)調(diào)下，其他各專門法,、單行法具體設(shè)置應(yīng)對生物信息安全風(fēng)險(xiǎn)的法律規(guī)則，處理好行政法,、民法,、刑法等相關(guān)法律法規(guī)之間的關(guān)系，從公法和私法的不同層面進(jìn)行法律保護(hù),，構(gòu)建個(gè)人生物信息安全保護(hù)的法律體系,。

五、個(gè)人生物信息安全法律保護(hù)的體系化

在個(gè)人生物信息安全保護(hù)的法律法規(guī)體系中,，刑法規(guī)范也是其中的重要的子系統(tǒng),。由于生物信息安全法益屬性具有復(fù)合性、復(fù)雜性,、間接性和多變性的特點(diǎn),，刑法不可能靠一己之力遏制危害生物安全的違法犯罪。刑法作為法律體系中的保障法,，其與民法和行政法之間具有緊密的關(guān)聯(lián)性和從屬性,。因此，立法機(jī)關(guān)應(yīng)當(dāng)將相關(guān)違法犯罪行為放置在整個(gè)生物信息安全保護(hù)的法律體系之中加以考量,，保證刑法規(guī)范適用的統(tǒng)一性和協(xié)調(diào)性,。以下主要討論個(gè)人生物信息安全領(lǐng)域的刑法前置規(guī)范、附屬刑法規(guī)范兩個(gè)問題,，從中尋求相關(guān)行政立法,、行業(yè)規(guī)范與刑法規(guī)范之間的銜接，協(xié)調(diào)問題的解決路徑,。

首先,，在我國刑法中，與個(gè)人生物信息安全保護(hù)相關(guān)的罪名包括：侵犯公民個(gè)人信息罪,、拒不履行信息安全管理義務(wù)罪,、非法侵入和破壞計(jì)算機(jī)系統(tǒng)罪、假冒專利罪,、非法經(jīng)營罪,、妨害傳染病防治罪、非法行醫(yī)罪,、故意或過失泄露國家秘密罪等,。上述罪名或多或少,、直接或間接地涉及個(gè)人生物信息安全法益的保護(hù)。同時(shí),，在上述罪名中,，存在大量的“違反國家規(guī)定”“違反……管理規(guī)定”“違反……法規(guī)”等空白罪狀，對此,，行政法律法規(guī),、部門規(guī)章及行業(yè)規(guī)范文件成為填補(bǔ)空白罪狀的根據(jù)。判斷行為刑事違法性以行為人違反前置性法律法規(guī)為前提,，對于行政法律法規(guī)及行業(yè)規(guī)范中的違法違規(guī)行為,，需要進(jìn)行違法性的層次性判斷，即“出行入刑”,，形成刑行關(guān)系的銜接協(xié)調(diào),。然而，我國行政法律法規(guī)帶有很強(qiáng)的部門立法特點(diǎn),，存在委托立法和行業(yè)立法現(xiàn)象和問題,，不少行政法律法規(guī)關(guān)注部門利益和行業(yè)保護(hù)，法律體系的觀念意識(shí)不強(qiáng),；加上各部門法的立法修法時(shí)間不一致,，立法過程往往比較倉促，欠缺系統(tǒng)性的通盤考慮,；在制定行政立法中的刑事責(zé)任條款時(shí)缺乏對既有刑法規(guī)范的充分研究,，沒有顧及或疏忽了刑法的相關(guān)規(guī)定，缺乏整體立法的協(xié)調(diào)性,，導(dǎo)致刑法與行政法之間出現(xiàn)不銜接,，甚至互相沖突的問題，因而需要通過構(gòu)建和完善刑法前置性行政法律規(guī)范這個(gè)制度鏈接點(diǎn)加以解決,。

其次,，根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，網(wǎng)絡(luò)服務(wù)經(jīng)營者在運(yùn)用生物識(shí)別技術(shù)收集個(gè)人信息時(shí),，原則上應(yīng)經(jīng)過被收集者同意,，并遵循合法、正當(dāng),、必要的原則,。在此情況下，我國《個(gè)人信息安全規(guī)范》等相關(guān)行業(yè)標(biāo)準(zhǔn)指南提供了立法框架樣本,。（1）個(gè)人生物識(shí)別信息的收集,。《個(gè)人信息安全規(guī)范》第5.4條規(guī)定,，網(wǎng)絡(luò)運(yùn)營者收集個(gè)人生物識(shí)別信息應(yīng)征得個(gè)人信息主體的明示同意,。即使已取得個(gè)人信息主體的同意,，網(wǎng)絡(luò)運(yùn)營者仍應(yīng)僅收集達(dá)到目的所需的最少個(gè)人生物識(shí)別信息，以最大限度降低損害風(fēng)險(xiǎn),。（2）個(gè)人生物識(shí)別信息的存儲(chǔ),。2020年《個(gè)人信息安全規(guī)范》第6.3條規(guī)定，可采取的存儲(chǔ)措施包括但不限于：僅存儲(chǔ)個(gè)人生物識(shí)別信息的摘要信息,，且該摘要信息應(yīng)具備不可逆性,，即無法回溯至原始信息；在采集終端中直接使用個(gè)人生物識(shí)別信息實(shí)現(xiàn)身份識(shí)別,、認(rèn)證等功能,；在使用面部識(shí)別特征、指紋,、掌紋、虹膜等實(shí)現(xiàn)識(shí)別身份,、認(rèn)證等功能后刪除可提取個(gè)人生物識(shí)別信息的原始圖像,。網(wǎng)絡(luò)運(yùn)營者應(yīng)將個(gè)人生物識(shí)別信息與個(gè)人身份信息分開存儲(chǔ)，同時(shí),，還需將這兩者的控制權(quán)限分配給不同的操作人員,，以實(shí)現(xiàn)分隔效果。（3）對個(gè)人金融信息特定類別的特殊要求,。根據(jù)《個(gè)人信息安全規(guī)范》第9.2條規(guī)定,，網(wǎng)絡(luò)運(yùn)營者確因業(yè)務(wù)需要，確需共享,、轉(zhuǎn)讓的,，應(yīng)單獨(dú)向個(gè)人信息主體告知目的并征得其明示同意、涉及的個(gè)人生物識(shí)別信息類型,、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等,。可見,，《個(gè)人信息安全規(guī)范》以“不應(yīng)共享,、轉(zhuǎn)讓”為原則，只有當(dāng)出現(xiàn)業(yè)務(wù)需要或滿足“告知同意”要求的例外情形時(shí),，網(wǎng)絡(luò)運(yùn)營者方可進(jìn)行個(gè)人生物識(shí)別信息的共享或轉(zhuǎn)讓,，且應(yīng)當(dāng)采取加密安全措施或進(jìn)行安全評(píng)估。上述推薦性國家標(biāo)準(zhǔn),，在立法過程中均可有選擇性地納入法律規(guī)制中,。另須指出，行業(yè)規(guī)范并不具有法律效力,，對個(gè)人生物識(shí)別信息的規(guī)制范圍更廣,，安全義務(wù)要求更高,；而刑法是從懲治犯罪活動(dòng)角度出發(fā)，所規(guī)制的入罪門檻必須是個(gè)人生物識(shí)別信息保護(hù)的“最低安全基線”,。為了避免刑事打擊范圍過大,，刑法應(yīng)將個(gè)人生物信息安全行業(yè)規(guī)范作為前置性規(guī)范的參考依據(jù)，但不宜直接將其作為判斷刑事違法性,、認(rèn)定犯罪的法律根據(jù),。

六、結(jié)語

個(gè)人生物信息法益的多元屬性涵蓋了其對隱私權(quán),、人格權(quán),、財(cái)產(chǎn)權(quán)及安全法益的保護(hù)，決定了其合理使用和權(quán)利保護(hù)的多元價(jià)值,。在生物安全風(fēng)險(xiǎn)因素和潛在威脅因素突發(fā),、增升的情況下，追求公共安全成為國家和社會(huì)公眾的普遍心態(tài)和立法目標(biāo)選擇,。應(yīng)當(dāng)看到,，我國個(gè)人信息安全保護(hù)立法存在“碎片化”和規(guī)范沖突問題，這是由于對個(gè)人生物識(shí)別信息的權(quán)利屬性界定模糊不清,，加上不同部門法的立法價(jià)值目標(biāo)存在差異所致,。可以說,，“碎片化”是一種立法常態(tài),，雖然會(huì)對法律體系造成一定沖突，但沒有破壞法律體系的整體性及適用效力,。不同的部門法各有其調(diào)整對象和范圍,，相互之間存在交叉競合、沖突矛盾的情況在所難免,。單一的民法,、行政法或刑法無法完成多元化價(jià)值目標(biāo)的實(shí)現(xiàn)，特別是刑法居于后盾法,、保障法地位,，若將其作為“急先鋒”和“主力軍”來抗制生物識(shí)別技術(shù)帶來的安全風(fēng)險(xiǎn)，非但不能實(shí)現(xiàn)個(gè)人生物信息安全法益保護(hù),，反而會(huì)喪失個(gè)體權(quán)利的保障功能,。總之,，我國需要以網(wǎng)絡(luò)安全法,、生物安全法、個(gè)人信息保護(hù)法,、數(shù)據(jù)安全法等綜合性立法為契機(jī),，構(gòu)建個(gè)人生物識(shí)別信息安全保護(hù)的法律體系,，發(fā)揮各個(gè)部門法在保護(hù)權(quán)利和保障安全方面的功能，實(shí)現(xiàn)行政立法與刑法規(guī)范的良性互動(dòng),、附屬刑法規(guī)范的實(shí)質(zhì)化,，以促進(jìn)個(gè)人生物信息安全法律法規(guī)內(nèi)外部的銜接協(xié)調(diào)。

原文鏈接

張勇 ▏個(gè)人生物信息安全的法律保護(hù)——以人臉識(shí)別為例《江西社會(huì)科學(xué)》簡介

《江西社會(huì)科學(xué)》（Jiangxi Social Sciences）是江西省社會(huì)科學(xué)院主辦的綜合性學(xué)術(shù)月刊,，1980年12月創(chuàng)刊,。經(jīng)過多年發(fā)展，《江西社會(huì)科學(xué)》以正確的辦刊方向,、高雅的學(xué)術(shù)品位,、淳厚的大家風(fēng)范，成為CSSCI來源期刊,、全國中文核心期刊,、中國人文社會(huì)科學(xué)核心期刊，并多次獲得華東地區(qū)優(yōu)秀期刊獎(jiǎng),、江西省優(yōu)秀期刊獎(jiǎng),。

原標(biāo)題：《張勇：個(gè)人生物信息安全的法律保護(hù)——以人臉識(shí)別為例》

閱讀原文