以下文章來源于江西社會科學(xué) ，作者張勇

江西社會科學(xué).

《江西社會科學(xué)》是江西省社會科學(xué)院主管主辦的綜合性學(xué)術(shù)理論月刊，系全國中文核心期刊、中國人文社會科學(xué)核心期刊、CSSCI來源期刊、國家社科基金資助期刊。學(xué)術(shù)是生命，創(chuàng)新是靈魂，傳承學(xué)術(shù)，創(chuàng)新理論，是《江西社會科學(xué)》不倦的追求。

張勇

華東政法大學(xué)刑事法學(xué)院教授、博士生導(dǎo)師

隨著人臉識別等生物識別技術(shù)的廣泛應(yīng)用，個人生物識別信息作為一種特殊的個人敏感信息，所蘊含的個人信息權(quán)利應(yīng)受到法律保護。在此基礎(chǔ)上，應(yīng)當(dāng)確立風(fēng)險預(yù)防及利益平衡原則以保障個人生物信息安全。在生物信息安全法律領(lǐng)域，我國現(xiàn)有的私法和公法保護模式都難以實現(xiàn)體系化保護。我國應(yīng)以網(wǎng)絡(luò)安全法、生物安全法、個人信息保護法、數(shù)據(jù)安全法等綜合性立法為契機，通過相關(guān)行政法與刑法的銜接協(xié)調(diào)，構(gòu)建個人生物信息安全的法律法規(guī)體系。

個人生物識別信息，即自然人可識別的生理或行為特征，從中提取可識別、可重復(fù)的生物特征樣本、模板、模型等識別數(shù)據(jù)或數(shù)據(jù)的聚合。隨著生物、醫(yī)學(xué)與信息技術(shù)的不斷發(fā)展，個人的面部、指紋、視虹膜、基因（DNA）等生物信息識別技術(shù)被廣泛應(yīng)用到治安防控、政府治理、醫(yī)療衛(wèi)生、軌道交通等社會生活領(lǐng)域。生物識別技術(shù)發(fā)展所帶來的身份驗證、人體試驗、器官移植、輔助生殖技術(shù)、基因編輯及重組等問題，都可能會侵犯個人信息數(shù)據(jù)權(quán)利，危及生物信息安全甚至國家安全。如何防范生物識別技術(shù)應(yīng)用的安全風(fēng)險，構(gòu)建個人生物信息安全的法律法規(guī)體系，成為法學(xué)理論界和司法實務(wù)界共同關(guān)注的問題。

除了國家立法機關(guān)已頒布實施的《網(wǎng)絡(luò)安全法》《民法典》《生物安全法》之外，《個人信息保護法（草案）》《數(shù)據(jù)安全法》已經(jīng)向社會征求意見。這些重要立法都與個人生物信息安全保護密切相關(guān)。2020年12月7日，中共中央印發(fā)《法治社會建設(shè)實施綱要（2020—2025年）》，提出要完善網(wǎng)絡(luò)信息服務(wù)方面的法律法規(guī)，完善網(wǎng)絡(luò)安全法配套規(guī)定和標(biāo)準(zhǔn)體系，研究制定個人信息保護法等。如何依法規(guī)范個人生物識別技術(shù)的研發(fā)和應(yīng)用，確定侵犯個人生物識別信息權(quán)利的法律責(zé)任，構(gòu)建危害生物信息安全行為的制裁體系，本文將對此展開討論。

一、人臉識別：個人生物信息的安全隱憂

人臉識別（Face Recognition）又稱面部識別，作為一種識別個人身份信息的新型技術(shù)，其主要特征是非接觸性、主體唯一性和不易復(fù)制性，同時也具有無須攜帶、易于采集、成本低廉等特點。信息采集者只要通過設(shè)置普通攝像頭等傳感器，加上面部識別的軟件和算法的運用，無須接觸自然人個體便可實現(xiàn)面部信息的抓取與存儲。在不同的動態(tài)場景中，可以自動檢測定位、跟蹤采集、比對提取、分離存儲個體的臉部特征信息，通過與數(shù)據(jù)庫中已登記的面貌進行核實以確認(rèn)自然人身份，或在數(shù)據(jù)庫中搜索是否存在指定人像的完整流程。目前，從出入境識別、違法行為曝光到刑事案件中的身份核查，從直銷銀行的人臉識別客戶身份驗證、3D人臉識別解鎖智能手機到移動端刷臉支付，人臉識別的應(yīng)用范圍越來越廣。手機廠商推出的新一代手機中，刷臉解鎖已經(jīng)替代了指紋解鎖，許多支付系統(tǒng)也紛紛采用人臉識別技術(shù)。運用海量數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)技術(shù)的人臉識別系統(tǒng)已成為人工智能、區(qū)塊鏈商業(yè)應(yīng)用的新領(lǐng)域。我國工業(yè)與信息化部于2019年9月27日發(fā)布的《關(guān)于促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》指出，國家支持構(gòu)建基于人臉識別等識別技術(shù)的網(wǎng)絡(luò)身份認(rèn)證體系。

應(yīng)當(dāng)看到，個人生物識別信息需要結(jié)合信息網(wǎng)絡(luò)技術(shù)才能形成，由此改變了個人生物信息的不可復(fù)制和不可變更的基本屬性。人臉識別的非接觸性特征也更容易產(chǎn)生個人信息侵權(quán)問題。人臉可以被模仿，“變臉”和“換臉”不存在什么技術(shù)困難。相對于其他個人信息，人臉識別應(yīng)用的數(shù)據(jù)存儲、傳輸流程存在嚴(yán)重的隱私侵權(quán)和安全受損風(fēng)險；而一旦人臉識別信息被泄露或冒用，就可能會對信息主體造成永久性傷害和難以彌補的損失。2018年4月，美國Facebook公司因其開發(fā)使用的“面部印記”功能遭到消費者團體起訴，起訴書指控Facebook在未經(jīng)同意的情況下定期進行照片掃描和生物特征匹配。同時，F(xiàn)acebook還提供訪問接口，允許微軟、亞馬遜和Apple等合作機構(gòu)讀取、發(fā)送和刪除用戶個人信息。又如，當(dāng)下新冠肺炎疫情肆虐全球，很多人居家隔離或工作，對Zoom和其他數(shù)字通信工具的需求劇增。但據(jù)媒體報道，美國公司SpaceX和NASA已禁止員工使用Zoom的視頻會議應(yīng)用程序，因其存在“嚴(yán)重的隱私和安全問題”。

在我國，個人生物識別信息數(shù)據(jù)被盜或過度濫用的問題層出不窮，引人關(guān)注的“刷屏”級換臉APP“ZAO”經(jīng)歷了從爆紅到爆黑的“曇花一現(xiàn)”。這一應(yīng)用項目所采用的格式化用戶協(xié)議存在過度攫取用戶授權(quán)和單方強加用戶義務(wù)的嫌疑，從而引起社會公眾的普遍擔(dān)憂。又如，在設(shè)置了人臉識別攝像頭的商場、車站等公共場所，消費者甚至不知道自己會被拍攝。公民個人的相關(guān)隱私權(quán)益無法得到有效保障。以人臉識別廁紙機為例，用戶進入攝像頭范圍后就被“刷臉”，僅僅是為了防止其多用廁紙，至于人臉數(shù)據(jù)怎樣被存儲、是否能被刪除、是否被用于其他用途等問題，該機器并沒有進行任何說明，明顯存在過度收集個人生物識別信息的問題。從司法實踐來看，國內(nèi)涉及人臉識別侵權(quán)訴訟或刑事犯罪的案件也屢屢發(fā)生。例如，2019年10月，浙江理工大學(xué)副教授郭兵因不同意杭州野生動物世界使用人臉識別對其進行用戶認(rèn)證而提起侵權(quán)訴訟，被稱為“人臉識別第一案”；2020年11月20日法院判決野生動物世界賠償郭兵合同利益損失及交通費一千余元，刪除原告辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息。又如，張某、余某等侵犯公民個人信息案，被告人張某等購買2000萬條公民身份信息，使用軟件將他人頭像照片制作成3D頭像，用以支付寶人臉識別認(rèn)證、注冊支付寶賬號從而獲取紅包獎勵，共獲利4萬元。近年來，我國相關(guān)部門和機構(gòu)頒布實施了諸多個人信息保護的國家行業(yè)標(biāo)準(zhǔn)，對于個人生物識別信息的收集和使用提出了具體合規(guī)標(biāo)準(zhǔn)。2019年6月25日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會公布《信息技術(shù) 安全技術(shù) 生物特征識別信息的保護要求（征求意見稿）》（以下簡稱《生物識別信息保護要求（征求意見稿）》）；2020年3月6日出臺《信息安全技術(shù) 個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》），在2017年該規(guī)范文件舊版本的基礎(chǔ)上，細(xì)化與完善了個人生物識別信息在收集、存儲和共享三個方面的保護要求，對于人臉識別技術(shù)的合規(guī)使用具有重要的指引作用。2020年11月27日，工信部組織發(fā)布了《APP收集使用個人信息最小必要評估規(guī)范 人臉信息》團體標(biāo)準(zhǔn)（以下簡稱《APP人臉信息規(guī)范》），明確了APP收集使用個人信息的“最小必要”原則，并對收集、存儲、使用、刪除人臉信息的行為進行了具體規(guī)范。須指出，作為國家行業(yè)標(biāo)準(zhǔn)的《個人信息安全規(guī)范》不是強制性法律標(biāo)準(zhǔn)，而是推薦性行業(yè)標(biāo)準(zhǔn)，因而對個人信息保護的要求也更加嚴(yán)格。總的來看，我國有關(guān)個人信息安全的法律法規(guī)和行業(yè)規(guī)范多頭迭出，但能夠起到提綱挈領(lǐng)和體系協(xié)調(diào)作用的“個人信息保護法”尚未出臺。相對于網(wǎng)絡(luò)信息安全保障，在公民個人信息權(quán)益保護方面的立法顯得尤為不足。上述行業(yè)規(guī)范能否作為認(rèn)定侵犯公民個人信息犯罪的前置性規(guī)范，也是值得探討的問題。

二、個人生物信息安全法益的法律保護

隨著計算機科學(xué)與基因組技術(shù)的融合，個人生物識別信息從傳統(tǒng)的“基因信息”和“遺傳資源信息”脫離出來，已具有人體生物特征的計算機數(shù)據(jù)庫、數(shù)據(jù)處理、基因序列信息、生物系統(tǒng)的計算機分析與軟件設(shè)計等內(nèi)涵。個人信息保護原則是個人生物識別信息利用的最起碼規(guī)則，而對個人生物識別信息的權(quán)利屬性和法益內(nèi)容進行界定，是對其實施法律保護的邏輯前提。面對個人生物識別技術(shù)風(fēng)險增大、違法犯罪趨于嚴(yán)重的態(tài)勢，我國立法與司法應(yīng)當(dāng)在保護個人生物識別信息權(quán)利的基礎(chǔ)上，以風(fēng)險預(yù)防及利益平衡理念和原則為引導(dǎo)，對個人生物信息安全法益實行多層次、等級化和體系化的法律保護。

個人生物識別信息的權(quán)利屬性

《APP人臉信息規(guī)范》第3.1條規(guī)定，“人臉識別”即基于個體的人臉特征，對個體進行識別的過程；第3.3條規(guī)定，“人臉信息”即對自然人的人臉特征進行技術(shù)處理得到的、能夠單獨或者與其他信息結(jié)合識別該自然人身份的個人信息。《生物識別信息保護要求（征求意見稿）》第3.1.3條規(guī)定，個人生物識別信息基本特征在于，可檢測到的個體生理或行為特征，可以從其中提取可識別的、可重復(fù)的生物特征。第3.1.9條規(guī)定，生物特征識別屬性即由生物測定樣本估計或?qū)С龅纳锾卣鲾?shù)據(jù)對象的描述性屬性。同時，第4.1條規(guī)定，個體生理特征包括但不限于指紋、人臉、虹膜、聲紋、手型、指靜脈/掌靜脈、視網(wǎng)膜、DNA、掌紋等，個體行為特征則包括步態(tài)、簽名、語音等。個人生物特征識別系統(tǒng)包括數(shù)據(jù)采集、存儲、注冊、辨識、驗證五個子系統(tǒng)，通常將個人生物特征識別的關(guān)聯(lián)信息與其他個人信息綁定在一起，以保證包含生物識別信息記錄在內(nèi)的信息安全性。因此，所謂“生物識別”并非僅是對自然人生理特征的識別，而且將生物識別信息與個人身份、金融、行為、位置、偏好等信息對接，使得個人生物識別信息的法律屬性具有更強的多元化、復(fù)雜化的特點。

從國外立法來看，歐盟《一般數(shù)據(jù)保護條例》（GDPR）、英國《數(shù)據(jù)保護法案》、日本《個人信息保護法》等法律法規(guī)都對“生物識別數(shù)據(jù)”做出專門規(guī)定。我國《網(wǎng)絡(luò)安全法》規(guī)定，個人生物識別信息屬于“直接可識別”到個人身份的隱私敏感信息，其必須經(jīng)過計算機的相關(guān)生物識別程序的識別才能生成相關(guān)信息數(shù)據(jù)?！秱€人信息安全規(guī)范》第3.2條規(guī)定，個人生物識別信息屬于個人敏感信息，在收集信息授權(quán)同意、隱私政策制定、傳輸與存儲、訪問控制措施、目的限制、共享與轉(zhuǎn)讓、公開披露、應(yīng)急處置和報告、數(shù)據(jù)控制者的義務(wù)與責(zé)任等方面，須以個人敏感信息的嚴(yán)格標(biāo)準(zhǔn)加以保護。根據(jù)《生物識別信息保護要求（征求意見稿）》第3.1.7條的規(guī)定，個人生物識別信息所涉及的權(quán)利包括其在整個生命周期的收集、轉(zhuǎn)移、使用、存儲、歸檔、處置和更新的權(quán)利。從權(quán)利內(nèi)容來看，個人生物識別信息權(quán)利包括知情權(quán)、同意權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)、利用權(quán)和公開權(quán)等權(quán)利。

我們將個人生物識別信息進一步分為可識別個體生物特征的個人隱私信息、一般個人信息和個人數(shù)據(jù)三種，其權(quán)利屬性也有所差別。首先，一般個人信息具有人格權(quán)屬性，可謂“信息主體人格的外在標(biāo)志”。但個人信息所蘊含的權(quán)利并不限于隱私權(quán)，后者則是其最重要、最核心的內(nèi)容。個人信息權(quán)的法律保護屬于弱保護，而隱私權(quán)的法律保護則屬于強保護，大多數(shù)一般個人信息不需要權(quán)利主體明示同意也可收集，但對于個人私密敏感信息不能僅僅通過知情同意權(quán)加以保護，對于個人生物識別信息應(yīng)優(yōu)先適用更為積極的隱私權(quán)保護。其次，個人隱私信息屬于人格利益但不包含財產(chǎn)屬性，不具有任何財產(chǎn)屬性的交易價值，不可利用且受法律絕對保護?！叭说淖杂膳c尊嚴(yán)價值不可動搖，互聯(lián)網(wǎng)絡(luò)時代亦如是?！痹俅?，一般個人信息亦屬于人格利益但可包含財產(chǎn)屬性，這種人格利益基于信息主體的同意，轉(zhuǎn)化為具體財產(chǎn)利益后，可以進行交易。不少數(shù)據(jù)企業(yè)采用“去識別化”或匿名化技術(shù)手段，對個人信息進行“脫敏”或“漂白”，使其成為普通的數(shù)據(jù)。同樣，個人生物識別信息經(jīng)過去識別化技術(shù)處理之后，僅具有個人信息數(shù)據(jù)的財產(chǎn)屬性，可以自由使用、轉(zhuǎn)讓，而為其他數(shù)據(jù)主體所利用。然而，隨著再識別技術(shù)的發(fā)展，“匿名化”已變成一個相對的概念，完全不能復(fù)原的匿名化個人信息是比較少見的。不過，通過去識別化信息技術(shù)，結(jié)合再識別的風(fēng)險管理，“去識別化”仍然是數(shù)據(jù)企業(yè)合規(guī)收集、使用個人生物識別信息的有效途徑。

個人生物識別信息的安全法益

個人生物識別信息屬于自然人固有的生理特征或行為特征，生物識別身份驗證技術(shù)本身具有客觀性、中立性，一般不具有違法性和可罰性；但正因為如此，反而更容易被不法分子利用法律漏洞進行不當(dāng)收集或濫用。概括起來，生物識別技術(shù)帶來的個人信息安全風(fēng)險包括以下情形：未經(jīng)授權(quán)的或不必要的收集；未經(jīng)授權(quán)之使用或披露；不當(dāng)比對；錯誤匹配；不當(dāng)儲存或不當(dāng)傳輸；功能蠕變（creep function）等。在大數(shù)據(jù)背景下，個人生物信息安全越來越依賴技術(shù)保障，然而目前個人生物特征識別技術(shù)尚不夠成熟，存在一定的技術(shù)缺陷和管理風(fēng)險。同時，隨著國際上生物資源數(shù)字序列信息的提取、跨境轉(zhuǎn)移和利用，許多國家面臨著所謂“生物數(shù)字盜版”的生物信息跨國傳輸問題。一些發(fā)達國家通過多種途徑集聚各類生物信息，進行生物信息資源的控制與爭奪，而輸出國遺傳信息資源流失的風(fēng)險不斷增大，已經(jīng)上升到公共安全和國家安全層面，人類遺傳基因的生物信息資源已成為國際戰(zhàn)略博弈的新領(lǐng)域。面對國際上愈加激烈的遺傳基因資源控制與爭奪態(tài)勢，我國必須運用法律強制手段保障生物信息安全，防止生物信息資源流失。

從個人生物信息安全的法益屬性來看，生物識別技術(shù)雖然以自然人為對象，但其涉及的社會利益關(guān)系不限于公民個體，而是包括與個人生物識別活動相關(guān)的技術(shù)服務(wù)者、經(jīng)營者、使用者和管理者。即使是從公民個人權(quán)利角度，個人生物信息事關(guān)個人身份、隱私、人身、財產(chǎn)等各方面的利益與安全，已經(jīng)不能僅僅用傳統(tǒng)民法上的某種單一權(quán)利加以限定。個人生物識別信息所蘊含的保護法益內(nèi)容逐漸呈現(xiàn)出復(fù)合性、多元化特征，從個體的人格權(quán)擴展至公共利益、社會秩序和國家安全。對此，有學(xué)者提倡法律應(yīng)著力保護“數(shù)據(jù)安全法益”，即數(shù)據(jù)的保密性、完整性和可用性的保護，維護數(shù)據(jù)在社會往來中的安全性和可信賴性?！稊?shù)據(jù)安全法》第3條規(guī)定：“數(shù)據(jù)安全，是指通過采取必要措施，保障數(shù)據(jù)得到有效保護和合法利用，并持續(xù)處于安全狀態(tài)的能力?！蔽覈F(xiàn)行的《網(wǎng)絡(luò)安全法》中有關(guān)個人信息保護的內(nèi)容，也是著重從保障信息網(wǎng)絡(luò)安全的角度做出的規(guī)定，該法對網(wǎng)絡(luò)運營者提出的義務(wù)要求，就不僅僅是從個人信息權(quán)利保護的角度考慮的，而《網(wǎng)絡(luò)安全法》作為《刑法》中侵犯公民個人信息罪等相關(guān)罪名的前置性法律規(guī)范，其法益保護價值取向也必然反映在這些罪名的構(gòu)成要件要素當(dāng)中。

三、個人生物信息安全風(fēng)險預(yù)防及利益平衡

個人生物識別信息的權(quán)利保護和價值利用是一枚硬幣的兩面，自由與安全的價值取向既是對立的，又統(tǒng)一于個人生物識別信息權(quán)利保護和價值利用的關(guān)系當(dāng)中，兩者缺一不可。在風(fēng)險社會背景下，需要確立風(fēng)險預(yù)防的理念，并以利益平衡原則為補充，作為構(gòu)建個人生物信息安全保護法律體系的觀念基礎(chǔ)。

個人生物信息安全的風(fēng)險預(yù)防法律原則

作為一種法律理念，“風(fēng)險預(yù)防”較早地出現(xiàn)在生態(tài)環(huán)境保護領(lǐng)域。當(dāng)生態(tài)環(huán)境遇到嚴(yán)重的或不可逆轉(zhuǎn)的損害或威脅時，即使不能在科學(xué)上找到明確證據(jù)證明某種行為必將產(chǎn)生實際危害，也應(yīng)當(dāng)采取法律防范措施以避免該行為的發(fā)生?！帮L(fēng)險預(yù)防”是相對于“損害預(yù)防”而言的，前者針對的“危害”具有不確定性、未然性，而后者的“損害”是指已現(xiàn)實存在或已產(chǎn)生客觀損害結(jié)果，“不確定性”是風(fēng)險預(yù)防的核心概念。將風(fēng)險預(yù)防原則確立為生物安全立法的基本原則，是由生物技術(shù)發(fā)展所帶來的高風(fēng)險性和嚴(yán)重危害性所決定的。就像SARS、新冠病毒性肺炎疫情一樣，一旦生物安全潛在風(fēng)險轉(zhuǎn)化為現(xiàn)實損害，與生態(tài)環(huán)境災(zāi)難一樣無法逆轉(zhuǎn)且危害嚴(yán)重。生物安全風(fēng)險的不確定性、突發(fā)性及不可預(yù)測性要求相關(guān)法律法規(guī)要采取具有相對靈活性、開放性的立法模式，在預(yù)防和控制風(fēng)險時留有法律操作的空間。確立生物安全保護的風(fēng)險預(yù)防原則，用以指導(dǎo)生物安全立法和司法實踐，是十分必要的，這也符合人類命運共同體的價值理念。

《生物識別信息保護要求（征求意見稿）》第5.1條針對“生物特征識別系統(tǒng)信息安全保護要求”提出了以下原則：其一，保密性原則。在生物特征數(shù)據(jù)的存儲和傳輸過程中，生物特征識別系統(tǒng)各部件之間的通信通道可能會被竊聽、讀取、插入或修改，而用戶并不知道已建立的鏈接遭受了攻擊。對此，應(yīng)當(dāng)使用SM2或SM4加密算法對信息數(shù)據(jù)進行保密處理，未經(jīng)信息主體授權(quán)不得訪問或披露；可以通過將生物特征參考存儲在個人令牌或卡上進行數(shù)據(jù)分離，或使用僅身份管理系統(tǒng)的操作人員或數(shù)據(jù)主體可知的密鑰對生物特征參考進行加密。其二，完整性原則。生物特征識別系統(tǒng)應(yīng)通過訪問控制來實現(xiàn)數(shù)據(jù)的完整性保護，防止未經(jīng)授權(quán)訪問生物特征數(shù)據(jù)，或通過使用加密技術(shù)進行完整性檢查。其三，可更新性與可撤銷性原則。根據(jù)該《生物識別信息保護要求（征求意見稿）》第3.1.10條規(guī)定，如果攻擊者非法獲取、泄露或未經(jīng)授權(quán)訪問生物特征參考樣本、模板或模型，如護照上的面部圖像、居民身份證上的指紋細(xì)節(jié)模板、數(shù)據(jù)庫中用于識別說話人的高斯混合模型，就需要撤銷和更新受侵害者的參考樣本，并將合法的數(shù)據(jù)主體與新的生物特征參考樣本聯(lián)系起來。

在個人生物信息安全領(lǐng)域，生物識別技術(shù)的研發(fā)者、服務(wù)者、經(jīng)營者和利用者違法違規(guī)收集和使用個人生物識別信息的行為，主要涉及侵犯公民個人信息罪及其他關(guān)聯(lián)罪名。究竟是將法益性質(zhì)界定為個人法益、公共法益還是國家法益，將直接決定或影響著刑法中相關(guān)罪名的認(rèn)定和處刑輕重。同時，對刑法中相關(guān)罪名的構(gòu)成要件設(shè)置和司法認(rèn)定，也需要依托前置性行政法律規(guī)范及行業(yè)標(biāo)準(zhǔn)，針對不同安全等級的個人生物信息識別行為，設(shè)定生物信息安全法益保護的命令性義務(wù)、禁止性規(guī)范及刑事責(zé)任，設(shè)置刑事風(fēng)險防范的法律底線，側(cè)重體現(xiàn)對于生物信息安全保護的特殊要求。例如，個人生物識別信息的收集者、使用者在向信息主體征求授權(quán)同意時，應(yīng)向其明確告知收集目的、處理方式、使用范圍、再度披露規(guī)則等，并且在后續(xù)的二次使用中，仍需再次征求用戶的明確授權(quán)。用戶可以隨時行使更正、刪除和注銷生物特征識別信息的權(quán)利，不需要任何前置條件即可當(dāng)場實現(xiàn)與即時生效。對于這些較為嚴(yán)格的生物信息安全保護的義務(wù)要求，司法機關(guān)在認(rèn)定侵犯公民個人信息罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的時候，就可以作為認(rèn)定前置性法律規(guī)范、進行刑事違法性判斷的參考依據(jù)，這樣才能夠盡可能地防范生物信息安全風(fēng)險，從根本上避免阻礙生物信息識別技術(shù)的創(chuàng)新發(fā)展。

個人生物信息安全保護的利益平衡

在風(fēng)險社會背景下，保障公共安全與保護個人隱私之間不是非此即彼的利益衡量問題，而是如何共生共存的利益協(xié)調(diào)問題。其實，公共安全與個人隱私之間并不存在實質(zhì)沖突，個人隱私保護沒有必要讓步于公共安全保障，公共安全保障也不能以犧牲個人隱私為代價。有學(xué)者指出，在應(yīng)用與開發(fā)個人信息數(shù)據(jù)過程中不僅應(yīng)追求個體利益最大化，還要保證社會利益的最大化，為追求個體利益而犧牲社會利益的做法是無法持續(xù)發(fā)展的，這就需要在社會利益和個體利益之間創(chuàng)建一種利益平衡機制。確定個人信息數(shù)據(jù)的權(quán)利歸屬、實行權(quán)利與義務(wù)相匹配是實現(xiàn)個體利益與社會利益之間協(xié)調(diào)的前提基礎(chǔ)。

對于個人生物識別信息來說，法律同樣面臨著如何在保護和利用、自由與安全之間進行利益平衡和價值選擇的問題。比較來說，在個人生物識別信息的商業(yè)使用方面，大多數(shù)歐美國家持謹(jǐn)慎態(tài)度。歐盟保護人臉識別數(shù)據(jù)的核心法律是《通用數(shù)據(jù)保護法規(guī)》（GDPR）。根據(jù)GDPR的規(guī)定人臉識別技術(shù)的商業(yè)應(yīng)用可適用的例外情形是數(shù)據(jù)主體已明確表示同意，“同意”的方式須“自由給予、明確、具體、不含混”，數(shù)據(jù)主體任何形式的被動同意均不符合規(guī)定。比較而言，我國對于個人生物識別技術(shù)的開發(fā)和應(yīng)用持較為積極的態(tài)度。然而，從利益平衡角度，應(yīng)當(dāng)分類分層地明確個人生物信息權(quán)利主體、生物識別技術(shù)的研發(fā)者、個人生物信息的收集者和使用者、生物信息安全的管理者等各方利益主體的權(quán)責(zé)關(guān)系，避免個人生物識別信息數(shù)據(jù)濫用。對于人臉識別來說，其商業(yè)性應(yīng)用與公共性應(yīng)用應(yīng)該有所區(qū)別，公共利益目的是隱私個體權(quán)利的抗辯事由之一，在一定情況下可以超越個體隱私權(quán)利以維護社會整體效率與安全，但人臉識別的商業(yè)應(yīng)用則必須以個體隱私權(quán)利保護為前提。對于人臉識別信息來說，一般情況下不允許搜集者以“共享”或“開放平臺”等方式進行利用，更不得未經(jīng)用戶事先授權(quán)和再次授權(quán)就進行轉(zhuǎn)讓使用。人臉識別技術(shù)應(yīng)用同樣涉及多個主體之間的合意以及權(quán)責(zé)分配等問題，需要受到公平正義價值的評價與約束。個人生物識別信息的收集者、利用者和數(shù)據(jù)系統(tǒng)的管理者，也是借助個人生物信息安全風(fēng)險的獲利群體，應(yīng)當(dāng)作為風(fēng)險義務(wù)和責(zé)任的主要承擔(dān)者，法律應(yīng)當(dāng)對個人信息權(quán)利主體予以適當(dāng)?shù)膬A斜保護，從實質(zhì)上實現(xiàn)公正和利益平衡。

值得關(guān)注的是，區(qū)塊鏈技術(shù)逐漸應(yīng)用于生物信息商業(yè)領(lǐng)域，實現(xiàn)與生物識別技術(shù)的融合。如科創(chuàng)公司Nebula Genomics公司推出基于區(qū)塊鏈技術(shù)的匿名DNA測序隱私功能，用戶可以用加密貨幣購買全基因組測序并提交其樣本，并允許用戶自行處理測序信息。有學(xué)者指出，區(qū)塊鏈的核心價值在于“私密性、準(zhǔn)確性和可驗證性”，與個人生物信息識別技術(shù)屬性具有內(nèi)在共通性。因此，生物識別技術(shù)也被應(yīng)用于區(qū)塊鏈產(chǎn)品，以提高對用戶的數(shù)字貨幣、私鑰以及身份信息存儲的安全性。如，HYPR公司與比特幣交易安全平臺BitGo聯(lián)合開發(fā)生物認(rèn)證與區(qū)塊鏈融合的新技術(shù)，客戶通過HYPR的生物識別進行安全登陸，加上BitGo的多重簽名技術(shù)，實現(xiàn)用戶信息安全的雙重保障。不少國家政府機構(gòu)開展了區(qū)塊鏈身份驗證項目，采用基于生物識別技術(shù)的認(rèn)證機制，建立自主身份管理系統(tǒng)。須指出，區(qū)塊鏈“去中心化”的特點天然排斥監(jiān)管，但是如果缺乏必要的法律規(guī)范和政府監(jiān)管，也會增加市場交易的風(fēng)險。在區(qū)塊鏈產(chǎn)業(yè)化過程中，往往通過加密算法對賬本的數(shù)據(jù)進行“哈希化”處理，將包含在交易記錄中的個人信息以哈希值的形式體現(xiàn)，從而在區(qū)塊鏈背景下實現(xiàn)了個人信息的匿名化，使其成為不具有可識別性的數(shù)據(jù)。哈希函數(shù)具有單向和不可逆的特點，但哈?；夹g(shù)含量和程度仍然存在逆轉(zhuǎn)風(fēng)險，并非不可破解，區(qū)塊鏈業(yè)者面臨著違規(guī)陷阱甚至刑事風(fēng)險。為了避免給區(qū)塊鏈產(chǎn)業(yè)發(fā)展帶來不必要的障礙和困難，如果區(qū)塊鏈業(yè)者在將個人信息記錄到區(qū)塊鏈上時運用匿名化技術(shù)手段，并切實履行了保護個人信息安全的合理義務(wù)，盡最大努力采取技術(shù)措施確保哈希化信息的匿名化，則該哈希化信息就不再屬于法律意義上的個人信息。這樣既保護了區(qū)塊鏈背景下的個人信息安全，又避免給區(qū)塊鏈產(chǎn)業(yè)帶來過高的發(fā)展門檻和應(yīng)用成本。對個人生物信息來說，這同樣能夠在個人生物信息權(quán)利保護和價值利用、生物信息安全風(fēng)險防范和區(qū)塊鏈產(chǎn)業(yè)發(fā)展之間取得利益平衡，值得肯定。

四、個人生物信息安全保護的立法模式

在生物安全領(lǐng)域，個人生物信息安全的法律保護一直受到國際社會的關(guān)注和重視，相關(guān)的專門性國際條約及行業(yè)標(biāo)準(zhǔn)主要是《生物多樣性公約》《生物多樣性公約卡塔赫納生物安全議定書》《信息技術(shù)—安全技術(shù)—生物測定信息保護標(biāo)準(zhǔn)》等，其中也包含著人類基因信息保護和利用的規(guī)制內(nèi)容。在個人生物信息安全保護方面，美國和歐盟等發(fā)達國家立法相對比較完善。我國雖然制定實施了不少與個人生物信息有關(guān)的法律法規(guī)、部門規(guī)章以及行業(yè)標(biāo)準(zhǔn)等規(guī)范性文件，但仍缺少綜合性、專門性立法，法律法規(guī)體系并不完善。以下予以比較研究。

個人生物信息安全的私法保護

從國外立法來看，美國和歐盟等發(fā)達國家和地區(qū)出于保護本國遺傳資源以及本國利益的考慮，對人體基因信息能否獲得專利問題普遍持肯定態(tài)度，專利制度在生物信息法律保護方面居于很重要的地位。然而，因掣肘于專利權(quán)保護所造成的壟斷，其立法首要目標(biāo)并不在于安全價值的考慮，其所能發(fā)揮的作用當(dāng)然也是有限的。對于個人生物識別信息安全的保護仍然主要體現(xiàn)在個人隱私權(quán)、信息數(shù)據(jù)權(quán)利的民事法律保護方面。在我國，對個人生物識別信息的保護來自于民法、消費者權(quán)益保護法等法律法規(guī)中有關(guān)隱私權(quán)、名譽權(quán)的保護規(guī)定，以及個人信息保護的法律法規(guī)、行業(yè)規(guī)范。如《侵權(quán)責(zé)任法》第２條只是原則性、概括性地確認(rèn)了隱私權(quán)的存在，對于生物識別信息的隱私法律保護而言顯得尤為不足。由于個人信息的財產(chǎn)價值難以估算，且以人格權(quán)為基礎(chǔ)的財產(chǎn)賠償數(shù)額也比較有限，侵犯個人生物識別信息的行為也很難通過《侵權(quán)責(zé)任法》的現(xiàn)有規(guī)定獲得有效的賠償。2020年5月頒布的《中華人民共和國民法典》（以下簡稱《民法典》）人格權(quán)編第799條第1款對個人生物識別信息也提供了多重保護：一是可以受到肖像權(quán)的保護；二是采取偷拍偷錄等方式采集個人生物識別信息構(gòu)成對隱私權(quán)的侵害；三是除了肖像權(quán)、隱私權(quán)保護之外，還可以適用個人信息保護的規(guī)定。值得注意的是，根據(jù)《民法典》第1036條的規(guī)定，合理處理自然人自行公開的或其他已經(jīng)合法公開的信息，除該自然人明確拒絕或者處理該信息侵害其重大利益的之外，行為人不承擔(dān)民事責(zé)任。據(jù)此，個人信息分為公開的個人信息和非公開的個人信息，公開的個人信息限于“合法公開”的個人信息，而不包括非法公開的個人信息。而對于個人信息是否屬于“合法公開”，行為人主觀上是很難認(rèn)識到的，在無法證明的情況下，只能按有利于被告的原則處理?？梢?，即使在現(xiàn)有民法典框架之下，對個人生物識別信息的民事權(quán)利保護仍然是不足的，對于個人生物信息安全更難以直接給予保障和救濟。

總體上，我國個人生物識別信息的民事權(quán)利保護模式主要有三種路徑：人格權(quán)模式、財產(chǎn)權(quán)模式、人格權(quán)與財產(chǎn)權(quán)的復(fù)合模式。其一，人格權(quán)保護模式主張將個人生物識別信息視為具有人格權(quán)的基本屬性，將其作為個人私密敏感信息進行保護。其二，財產(chǎn)權(quán)保護模式認(rèn)為，個人生物識別信息具備財產(chǎn)性質(zhì)，應(yīng)賦予其財產(chǎn)權(quán)保護，但其又不是完全的財產(chǎn)，因為它不能被繼承、贈予、遺贈等，保護隱私最容易的途徑是將個人信息的控制作為數(shù)據(jù)主體擁有的財產(chǎn)權(quán)。其三，復(fù)合保護模式主張，將人體基因視為人格和財產(chǎn)的復(fù)合體，即把人體基因視為知識產(chǎn)品。還有學(xué)者提出，將人體基因及基因信息視為人格性財產(chǎn)權(quán)。比較來看，首先，單純的人格權(quán)模式無法對個人生物識別信息專利及商業(yè)化所帶來的可分享的財產(chǎn)利益予以充分保護。與傳統(tǒng)的隱私權(quán)保護方法相比，隱私權(quán)是強調(diào)“不干涉”的權(quán)利，財產(chǎn)權(quán)則是一種積極的權(quán)利。通過財產(chǎn)權(quán)保護，個人生物識別信息所有權(quán)人能夠擁有一系列權(quán)利包括控制、占有、轉(zhuǎn)讓。其次，對個人生物識別信息財產(chǎn)權(quán)益的承認(rèn)并不與相關(guān)的人格權(quán)相矛盾。承認(rèn)個人生物識別信息的財產(chǎn)權(quán)屬性，更有利于保護合法的相關(guān)信息交易，解決糾紛，保護信息主體的合法權(quán)益。再次，如果單純采用財產(chǎn)權(quán)模式來界定個人基因信息的法律屬性，則可能造成對人體基因信息的人格權(quán)屬性的忽略，在否定其主體地位的同時，還可能會帶來物化人格的風(fēng)險。

須指出，相對于美國與歐盟來說，我國目前尚未形成具體明確的個人信息權(quán)利保護模式。無論對個人生物識別信息采取何種保護模式，現(xiàn)行民事立法都是從基本民事權(quán)利角度作出的粗線條規(guī)定，無法為特定場景下個人信息權(quán)利的保護確定具體規(guī)則。例如，在個人隱私政策中，相關(guān)企業(yè)機構(gòu)在取得收集或使用公民個人信息的授權(quán)時，對于取得用戶授權(quán)的行為方式是否妥當(dāng)，能否產(chǎn)生取得授權(quán)的效力等，民事立法無法提供具體的判斷標(biāo)準(zhǔn)。筆者主張，我國應(yīng)以人格權(quán)和財產(chǎn)權(quán)的雙重機制對其予以保護，為平衡人格價值和科技進步、經(jīng)濟發(fā)展之間的沖突提供可行的通道。以人格權(quán)的保護機制確保供體對個人生物識別信息使用情況的控制和支配，以財產(chǎn)權(quán)的保護機制維護其對生物信息技術(shù)進步利益的合理分享。未來的個人生物信息保護立法應(yīng)考慮到其商業(yè)性使用價值財產(chǎn)權(quán)的正當(dāng)訴求，建立個人生物信息權(quán)利損害的民事訴訟救濟機制，明確侵害個人生物識別信息權(quán)利的“損害”認(rèn)定與賠償標(biāo)準(zhǔn)，完善相關(guān)民事訴訟損害賠償?shù)呐e證原則與責(zé)任制度等。

個人生物信息安全的公法保護

首先，在行政法領(lǐng)域，我國與個人生物信息安全相關(guān)的法律規(guī)范多散見于《網(wǎng)絡(luò)安全法》《傳染病防治法》《人類遺傳資源管理條例》《基因工程安全管理辦法》《人類輔助生殖技術(shù)管理辦法》《涉及人的生物醫(yī)學(xué)研究倫理審查辦法》等法律法規(guī)、部委規(guī)章及專門規(guī)范文件。如《人類遺傳資源管理條例》規(guī)定采集人類遺傳資源信息須符合個人信息收集的一般法律要求，但并未建立起與其敏感隱私特征相適應(yīng)的特殊保護制度?！秱€人信息安全規(guī)范》較為詳細(xì)地規(guī)定了個人生物識別信息在收集、存儲和共享等環(huán)節(jié)的安全保護要求。在涉及人臉識別、聲紋識別等生物識別信息的項目，網(wǎng)絡(luò)運營者須專門設(shè)計獲得用戶同意的環(huán)節(jié)，這也意味著當(dāng)用戶提起爭議時，信息業(yè)者負(fù)有更多的舉證責(zé)任?！渡锾卣髯R別信息保護要求（征求意見稿）》第5.1條提出了生物特征識別系統(tǒng)的保密性、完整性、可更新性與可撤銷性等方面的原則和具體要求；第6.4條也提出在生物特征識別信息生命周期管理中有關(guān)采集、傳輸、使用、存儲、歸檔與數(shù)據(jù)備份、廢棄階段的義務(wù)要求，除非法律法規(guī)另有規(guī)定，否則在收集、訪問、處理或修改、使用生物特征識別信息之前，有關(guān)組織應(yīng)獲得主體的同意；系統(tǒng)安全與隱私政策應(yīng)保證存儲、控制和處理過程中生物特征識別信息的安全等。《APP人臉信息規(guī)范》第6.1至6.4條詳細(xì)規(guī)定了收集、存儲、使用、刪除個人信息過程中的“最小必要規(guī)范”。例如，其第6.1.c）規(guī)定，收集人臉信息應(yīng)遵循“最小必要”原則，收集前應(yīng)通過隱私協(xié)議等方式向人臉信息主體告知相關(guān)信息，不應(yīng)超過人臉信息主體“告知同意”的范圍。上述國家行業(yè)標(biāo)準(zhǔn)和規(guī)范雖不具有法律效力，但能起到生物識別技術(shù)風(fēng)險防范和合規(guī)性指導(dǎo)作用，也能為將來生物信息安全立法提供經(jīng)驗基礎(chǔ)。

其次，在刑事法領(lǐng)域，由于個人基因信息技術(shù)發(fā)展所帶來的人體試驗、器官移植、輔助生殖技術(shù)、基因編輯及重組等問題日趨嚴(yán)重，不少國家對上述行為規(guī)定相關(guān)罪名予以刑事懲處。如，1994年《法國刑法典》第六章明確規(guī)定了處罰基因泄露行為，對于DNA鑒定中侵犯他人個人基因隱私的行為進行刑事懲處。在刑法典之外，不少國家的專門性立法中規(guī)定了刑事責(zé)任條款，如德國1990年的《胚胎保護法》、澳大利亞的《禁止克隆人法案2002》和《基因技術(shù)法案2000》、韓國的《生物安全與技術(shù)法》、日本的《克隆技術(shù)限制法》等。法國《公共衛(wèi)生法典》中的《人體尊重法》規(guī)定人體及其生成物的不可轉(zhuǎn)讓性，禁止他們成為商業(yè)交易的對象，禁止代理胎兒，包括基因檢查規(guī)則等。如果違反了這些規(guī)則，將被判處1年至7年的監(jiān)禁刑及10萬法郎到70萬法郎的罰金。德國《胚胎保護法》第5條第1、2項規(guī)定：“改變?nèi)祟惿诚导?xì)胞遺傳信息的，處以5年以下的自由刑或者罰金。將人為改變了的遺傳信息的人體生殖細(xì)胞用于受精的，處相同刑罰?！泵绹?998年《防止身份盜竊及假冒法》規(guī)定，故意轉(zhuǎn)移、使用生物識別信息用于違法活動的行為構(gòu)成“身份盜竊”罪。2003年美國的《身份盜竊處罰增強法》進一步將非法“占有”識別他人的方法規(guī)定為“身份盜竊”罪。須指出，上述附屬刑法規(guī)范均發(fā)揮著與刑法基本規(guī)范同樣重要的定罪量刑作用，且更具靈活性、協(xié)調(diào)性，值得我國立法借鑒。我國于2019年制定出臺了《人類遺傳資源管理條例》，在“法律責(zé)任”一章規(guī)定了非法采集、保藏、利用、對外提供人類遺傳資源的行政責(zé)任和刑事責(zé)任。根據(jù)現(xiàn)行《刑法》的規(guī)定，我國可以將違反該條例規(guī)定的行為認(rèn)定為犯罪，如將故意或過失泄露被列為國家秘密的基因資源、資料的行為認(rèn)定為故意或過失泄露國家秘密罪，為境外竊取、刺探、售賣、非法提供國家秘密、情報罪等，但也有不少行為是刑法典中現(xiàn)有罪名無法涵蓋的。從立法完善角度，我們可考慮以當(dāng)前生物安全立法或修法為契機，通過制定或修訂相關(guān)行政法律法規(guī)中的刑事責(zé)任條款，設(shè)置“非法利用胚胎罪”等罪名，實現(xiàn)刑法與行政法規(guī)范的有效銜接，本文在此不贅述。

個人生物信息安全的綜合法律保護

目前，我國《個人信息保護法（草案）》在《民法典》基礎(chǔ)上，建構(gòu)了我國個人信息保護的單行法律框架。草案第5條、第6條分別規(guī)定了個人信息處理的方式和目的。第5條規(guī)定“處理個人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞健保坏?條規(guī)定“處理個人信息應(yīng)當(dāng)具有明確、合理的目的”。同時，該草案將“告知—同意”確立為信息處理的核心規(guī)則，告知義務(wù)是信息主體的主要義務(wù)?！稊?shù)據(jù)安全法》第四章規(guī)定了數(shù)據(jù)安全保護義務(wù)，其中第29條規(guī)定，“任何組織、個人收集數(shù)據(jù)，必須采取合法、正當(dāng)?shù)姆绞?不得竊取或者以其他非法方式獲取數(shù)據(jù)”，“應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)，不得超過必要的限度”。然而，與國外立法相比，我國個人信息保護的法律法規(guī)相互之間有機協(xié)調(diào)不夠，實施起來難免出現(xiàn)立法空白、規(guī)范沖突和不銜接等問題。個人生物信息保護法益的復(fù)合性、多元化，決定了僅靠私法保護模式或是公法保護模式均無法有效保障其安全，因而有必要對我國生物安全法律保護作出系統(tǒng)性的制度安排。從立法完善的角度，應(yīng)當(dāng)設(shè)定企業(yè)生物識別技術(shù)及其應(yīng)用的行業(yè)標(biāo)準(zhǔn)、認(rèn)證評價機制、安防制度以及許可制度，明確規(guī)定個人生物信息識別的禁止性與限定性規(guī)范、個人生物信息權(quán)的基本內(nèi)容，以及互聯(lián)網(wǎng)企業(yè)在采集、存儲、使用、傳輸、保管、披露、銷毀個人生物識別信息中的法律義務(wù)和責(zé)任等。同時，我國還需要通過立法設(shè)置國家層面的數(shù)據(jù)保護監(jiān)管機構(gòu)，并于地方設(shè)置下級機構(gòu)，明確監(jiān)管機構(gòu)對各種實體數(shù)據(jù)處理行為的審查權(quán)、許可權(quán)、調(diào)查權(quán)、檢查權(quán)、命令權(quán)和司法介入權(quán)，以及糾紛調(diào)處權(quán)，受理控訴、申訴權(quán)，以保證實現(xiàn)個人生物信息安全管理的目標(biāo)。在此方面，2020年10月頒布的《中華人民共和國生物安全法》作為一部綜合性立法，應(yīng)當(dāng)能夠適應(yīng)我國生物多樣性保護和生物安全保障的制度需求。在該法的統(tǒng)領(lǐng)和協(xié)調(diào)下，其他各專門法、單行法具體設(shè)置應(yīng)對生物信息安全風(fēng)險的法律規(guī)則，處理好行政法、民法、刑法等相關(guān)法律法規(guī)之間的關(guān)系，從公法和私法的不同層面進行法律保護，構(gòu)建個人生物信息安全保護的法律體系。

五、個人生物信息安全法律保護的體系化

在個人生物信息安全保護的法律法規(guī)體系中，刑法規(guī)范也是其中的重要的子系統(tǒng)。由于生物信息安全法益屬性具有復(fù)合性、復(fù)雜性、間接性和多變性的特點，刑法不可能靠一己之力遏制危害生物安全的違法犯罪。刑法作為法律體系中的保障法，其與民法和行政法之間具有緊密的關(guān)聯(lián)性和從屬性。因此，立法機關(guān)應(yīng)當(dāng)將相關(guān)違法犯罪行為放置在整個生物信息安全保護的法律體系之中加以考量，保證刑法規(guī)范適用的統(tǒng)一性和協(xié)調(diào)性。以下主要討論個人生物信息安全領(lǐng)域的刑法前置規(guī)范、附屬刑法規(guī)范兩個問題，從中尋求相關(guān)行政立法、行業(yè)規(guī)范與刑法規(guī)范之間的銜接，協(xié)調(diào)問題的解決路徑。

首先，在我國刑法中，與個人生物信息安全保護相關(guān)的罪名包括：侵犯公民個人信息罪、拒不履行信息安全管理義務(wù)罪、非法侵入和破壞計算機系統(tǒng)罪、假冒專利罪、非法經(jīng)營罪、妨害傳染病防治罪、非法行醫(yī)罪、故意或過失泄露國家秘密罪等。上述罪名或多或少、直接或間接地涉及個人生物信息安全法益的保護。同時，在上述罪名中，存在大量的“違反國家規(guī)定”“違反……管理規(guī)定”“違反……法規(guī)”等空白罪狀，對此，行政法律法規(guī)、部門規(guī)章及行業(yè)規(guī)范文件成為填補空白罪狀的根據(jù)。判斷行為刑事違法性以行為人違反前置性法律法規(guī)為前提，對于行政法律法規(guī)及行業(yè)規(guī)范中的違法違規(guī)行為，需要進行違法性的層次性判斷，即“出行入刑”，形成刑行關(guān)系的銜接協(xié)調(diào)。然而，我國行政法律法規(guī)帶有很強的部門立法特點，存在委托立法和行業(yè)立法現(xiàn)象和問題，不少行政法律法規(guī)關(guān)注部門利益和行業(yè)保護，法律體系的觀念意識不強；加上各部門法的立法修法時間不一致，立法過程往往比較倉促，欠缺系統(tǒng)性的通盤考慮；在制定行政立法中的刑事責(zé)任條款時缺乏對既有刑法規(guī)范的充分研究，沒有顧及或疏忽了刑法的相關(guān)規(guī)定，缺乏整體立法的協(xié)調(diào)性，導(dǎo)致刑法與行政法之間出現(xiàn)不銜接，甚至互相沖突的問題，因而需要通過構(gòu)建和完善刑法前置性行政法律規(guī)范這個制度鏈接點加以解決。

其次，根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，網(wǎng)絡(luò)服務(wù)經(jīng)營者在運用生物識別技術(shù)收集個人信息時，原則上應(yīng)經(jīng)過被收集者同意，并遵循合法、正當(dāng)、必要的原則。在此情況下，我國《個人信息安全規(guī)范》等相關(guān)行業(yè)標(biāo)準(zhǔn)指南提供了立法框架樣本。（1）個人生物識別信息的收集?！秱€人信息安全規(guī)范》第5.4條規(guī)定，網(wǎng)絡(luò)運營者收集個人生物識別信息應(yīng)征得個人信息主體的明示同意。即使已取得個人信息主體的同意，網(wǎng)絡(luò)運營者仍應(yīng)僅收集達到目的所需的最少個人生物識別信息，以最大限度降低損害風(fēng)險。（2）個人生物識別信息的存儲。2020年《個人信息安全規(guī)范》第6.3條規(guī)定，可采取的存儲措施包括但不限于：僅存儲個人生物識別信息的摘要信息，且該摘要信息應(yīng)具備不可逆性，即無法回溯至原始信息；在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認(rèn)證等功能；在使用面部識別特征、指紋、掌紋、虹膜等實現(xiàn)識別身份、認(rèn)證等功能后刪除可提取個人生物識別信息的原始圖像。網(wǎng)絡(luò)運營者應(yīng)將個人生物識別信息與個人身份信息分開存儲，同時，還需將這兩者的控制權(quán)限分配給不同的操作人員，以實現(xiàn)分隔效果。（3）對個人金融信息特定類別的特殊要求。根據(jù)《個人信息安全規(guī)范》第9.2條規(guī)定，網(wǎng)絡(luò)運營者確因業(yè)務(wù)需要，確需共享、轉(zhuǎn)讓的，應(yīng)單獨向個人信息主體告知目的并征得其明示同意、涉及的個人生物識別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等?？梢姡秱€人信息安全規(guī)范》以“不應(yīng)共享、轉(zhuǎn)讓”為原則，只有當(dāng)出現(xiàn)業(yè)務(wù)需要或滿足“告知同意”要求的例外情形時，網(wǎng)絡(luò)運營者方可進行個人生物識別信息的共享或轉(zhuǎn)讓，且應(yīng)當(dāng)采取加密安全措施或進行安全評估。上述推薦性國家標(biāo)準(zhǔn)，在立法過程中均可有選擇性地納入法律規(guī)制中。另須指出，行業(yè)規(guī)范并不具有法律效力，對個人生物識別信息的規(guī)制范圍更廣，安全義務(wù)要求更高；而刑法是從懲治犯罪活動角度出發(fā)，所規(guī)制的入罪門檻必須是個人生物識別信息保護的“最低安全基線”。為了避免刑事打擊范圍過大，刑法應(yīng)將個人生物信息安全行業(yè)規(guī)范作為前置性規(guī)范的參考依據(jù)，但不宜直接將其作為判斷刑事違法性、認(rèn)定犯罪的法律根據(jù)。

六、結(jié)語

個人生物信息法益的多元屬性涵蓋了其對隱私權(quán)、人格權(quán)、財產(chǎn)權(quán)及安全法益的保護，決定了其合理使用和權(quán)利保護的多元價值。在生物安全風(fēng)險因素和潛在威脅因素突發(fā)、增升的情況下，追求公共安全成為國家和社會公眾的普遍心態(tài)和立法目標(biāo)選擇。應(yīng)當(dāng)看到，我國個人信息安全保護立法存在“碎片化”和規(guī)范沖突問題，這是由于對個人生物識別信息的權(quán)利屬性界定模糊不清，加上不同部門法的立法價值目標(biāo)存在差異所致?？梢哉f，“碎片化”是一種立法常態(tài)，雖然會對法律體系造成一定沖突，但沒有破壞法律體系的整體性及適用效力。不同的部門法各有其調(diào)整對象和范圍，相互之間存在交叉競合、沖突矛盾的情況在所難免。單一的民法、行政法或刑法無法完成多元化價值目標(biāo)的實現(xiàn)，特別是刑法居于后盾法、保障法地位，若將其作為“急先鋒”和“主力軍”來抗制生物識別技術(shù)帶來的安全風(fēng)險，非但不能實現(xiàn)個人生物信息安全法益保護，反而會喪失個體權(quán)利的保障功能?？傊?，我國需要以網(wǎng)絡(luò)安全法、生物安全法、個人信息保護法、數(shù)據(jù)安全法等綜合性立法為契機，構(gòu)建個人生物識別信息安全保護的法律體系，發(fā)揮各個部門法在保護權(quán)利和保障安全方面的功能，實現(xiàn)行政立法與刑法規(guī)范的良性互動、附屬刑法規(guī)范的實質(zhì)化，以促進個人生物信息安全法律法規(guī)內(nèi)外部的銜接協(xié)調(diào)。

原文鏈接

張勇 ▏個人生物信息安全的法律保護——以人臉識別為例《江西社會科學(xué)》簡介

《江西社會科學(xué)》（Jiangxi Social Sciences）是江西省社會科學(xué)院主辦的綜合性學(xué)術(shù)月刊，1980年12月創(chuàng)刊。經(jīng)過多年發(fā)展，《江西社會科學(xué)》以正確的辦刊方向、高雅的學(xué)術(shù)品位、淳厚的大家風(fēng)范，成為CSSCI來源期刊、全國中文核心期刊、中國人文社會科學(xué)核心期刊，并多次獲得華東地區(qū)優(yōu)秀期刊獎、江西省優(yōu)秀期刊獎。

原標(biāo)題：《張勇：個人生物信息安全的法律保護——以人臉識別為例》

閱讀原文