個人生物識別信息權(quán)益的法律保護研究

朱 徐 何 菲

作者單位：浙江農(nóng)林大學(xué)文法學(xué)院

大數(shù)據(jù)時代下，得益于互聯(lián)網(wǎng)和人工智能技術(shù)的迅速發(fā)展，生物識別技術(shù)的應(yīng)用場景不斷擴展。與此同時，個人生物識別信息安全問題不斷受到挑戰(zhàn)。如何規(guī)制個人生物識別信息侵權(quán)現(xiàn)象，有效加強生物識別信息保護，以滿足在大數(shù)據(jù)時代下人們對身份識別便捷性需求到安全性需求的轉(zhuǎn)變，成為一個亟待解決的問題。

一、 個人生物識別信息權(quán)益之侵害現(xiàn)狀及其原因

（一） 個人生物識別信息權(quán)益遭害現(xiàn)象塵囂日上

生物識別信息作為用以現(xiàn)代身份識別的數(shù)學(xué)化信息，直接從人類本體中采集，體現(xiàn)人的行為特征和生理特征，并以二進制形式轉(zhuǎn)化為生物標識符存儲于計算機中。技術(shù)對數(shù)據(jù)的解碼能力不斷提升，大大降低了侵權(quán)成本。此外，網(wǎng)絡(luò)服務(wù)提供領(lǐng)域成為生物識別信息侵權(quán)高發(fā)地，網(wǎng)絡(luò)服務(wù)提供者對用戶個人生物識別信息進行不正當收集、存儲等侵權(quán)行為屢見不鮮。如“換臉App”ZAO所設(shè)置的用戶協(xié)議條款要求擁有對用戶上傳或發(fā)布內(nèi)容的完全免費、不可撤銷、永久、可轉(zhuǎn)授權(quán)和可再授權(quán)的權(quán)利，完全超出了“正當、必要”的范圍。不僅如此，人工智能深度算法的進步如深度偽造，讓最低成本地濫用他人的生物識別信息，進而盜用他人的身份成為現(xiàn)實。技術(shù)的高超性與便利性、侵權(quán)的低廉性、行為的隱蔽性等都推動了生物識別信息侵權(quán)現(xiàn)象的高發(fā)性。

（二） 個人生物識別信息權(quán)益遭害現(xiàn)象頻發(fā)的原因

1.個人生物識別信息之侵權(quán)因果關(guān)系認定復(fù)雜

生物識別信息的采集、傳輸、存儲、使用、銷毀等諸多環(huán)節(jié)所涉及到技術(shù)的復(fù)雜程度，難以為一般個人生物識別信息所有者掌握，因此很難縷清生物識別信息侵權(quán)事件中的因果關(guān)系。尤其是復(fù)雜、不透明的算法黑箱的存在，使信息主體更加無從得知生物識別信息在這個算法黑箱中是如何被獲取和使用的。不僅如此，生物識別信息的采集、傳輸?shù)榷鄠€環(huán)節(jié)的執(zhí)行者往往是多個信息執(zhí)行者的行為，當侵權(quán)行為出現(xiàn)時，這些信息執(zhí)行者與生物識別信息侵權(quán)的行為是否存在因果關(guān)系，也很難為被侵權(quán)人所知。生物識別信息侵權(quán)行為與損害結(jié)果之間因果關(guān)系認定的復(fù)雜，直接導(dǎo)致了被侵權(quán)人難以對實施侵權(quán)行為的行為者進行有效的追責(zé)。

2.個人生物識別信息之侵權(quán)損害事實難以認定

個人生物識別信息侵權(quán)案件不同于傳統(tǒng)的侵權(quán)案件，對損害事實和損害程度的判斷存在困難。當信息主體的生物對識別信息被侵權(quán)時，侵權(quán)損害結(jié)果的表現(xiàn)形式并不一定是有形的損害性，具體表現(xiàn)為對人身權(quán)或財產(chǎn)權(quán)的損害性，也可能是無形的損害性，具體表現(xiàn)為程序性違法的損害性。對于前者來說，在當事人無法充分舉證所受損害的情況下，法院往往依據(jù)事實推定損害事實，而對損害程度的認定標準沒有統(tǒng)一的標準。對于后者而言，程序性違法的表現(xiàn)形式為消極履行或不履行程序性義務(wù)，如告知義務(wù)、安全保障義務(wù)等。而程序性違法的侵權(quán)行為往往缺乏實際損害事實，這無疑加大了個人生物識別信息侵權(quán)損害事實的認定難度。在當前民事訴訟救濟模式下，由于生物識別信息侵權(quán)案件的損害事實難以認定的問題存在，很難充分保障被侵權(quán)者的民事救濟權(quán)利，也很難有效保護信息主體的生物識別信息。

二、 域外個人生物識別信息保護立法例及其借鑒

（一）美國專項立法保護個人生物識別信息

美國目前在聯(lián)邦層面沒有統(tǒng)一的法律對個人生物識別信息保護進行規(guī)制，對生物識別信息的專門立法僅存在于州的層面。其中伊利諾伊州2008年通過的《生物識別信息隱私法》（BIPA），是唯一允許個人就違法行為造成的損害提起訴訟的法律。BIPA授權(quán)個人就私人企業(yè)對個人生物識別信息數(shù)據(jù)的侵權(quán)行為提起民事訴訟進行救濟，并規(guī)定了私人企業(yè)向受害者支付的金錢賠償標準，已成為美國個人生物識別信息民事侵權(quán)救濟保護的重要法律依據(jù)，但就法律責(zé)任的認定存有爭議。由于生物識別信息的侵權(quán)事件往往表現(xiàn)為侵權(quán)行為的同類型化，因而在美國多數(shù)生物識別信息侵權(quán)案件中，如Facebook集體訴訟、谷歌面部識別案等為使全體人員的權(quán)益能夠得到普遍的保護，被侵權(quán)人選擇集團訴訟而非個人訴訟進行民事權(quán)利的救濟。此外，侵權(quán)行為以程序性違法為主，對被侵權(quán)人的損害往往是無形的，不能為一般侵權(quán)要件之實際損害所包容，被侵權(quán)人也很難就侵權(quán)人所實施的程序性違法行為對自身造成的損害進行舉證。在美國司法實踐中，信息主體以BIPA為據(jù)進行個人生物識別信息民事侵權(quán)救濟、要求損害賠償時，因缺乏實際損害或不能舉證證明對自身是否產(chǎn)生實際損害而被聯(lián)邦法院駁回訴訟，如不同法院對六旗案是否應(yīng)當受理的認定。BIPA雖然為個人生物識別信息的侵權(quán)提供了一定的民事賠償救濟途徑，但仍不能擺脫傳統(tǒng)民事侵權(quán)要件的束縛，解決生物識別信息程序性違法侵權(quán)行為的民事?lián)p害賠償權(quán)利救濟問題。

（二）歐盟對個人生物識別信息采取統(tǒng)一立法保護

2016年通過的《一般數(shù)據(jù)保護條例》（GDPR），將多種類型的個人信息包括生物識別信息納入到統(tǒng)一的個人信息保護之下，適用于一部集行政、民事和刑事法律保護措施為一體的法律。GDPR明確“個人數(shù)據(jù)保護權(quán)”是自然人的基本權(quán)利和自由，認定生物特征數(shù)據(jù)屬于“特殊類別的個人數(shù)據(jù)”，對生物識別信息處理的適用范圍進行了嚴格的限制。同時，GDPR規(guī)定信息主體有權(quán)依照該法提起訴訟即進行司法救濟，但信息主體獲取司法救濟存在前置程序——向數(shù)據(jù)監(jiān)管機構(gòu)進行申訴。在索賠權(quán)和賠償責(zé)任范圍中，GDPR規(guī)定信息主體有權(quán)從數(shù)據(jù)的控制者或加工者處獲得因其違反該法規(guī)實施的侵權(quán)行為而使信息主體遭受損害的賠償，不論該損害是物質(zhì)性的還是非物質(zhì)性的。但GDPR以行政法律保護方式為主，對民事救濟規(guī)定較少，生物識別信息數(shù)據(jù)主體的民事訴訟救濟的實現(xiàn)缺少法律上足夠的支撐。此外，GDPR缺乏對民事?lián)p害賠償中的“損害”規(guī)定相關(guān)的認定標準，涉及主觀的侵權(quán)程度感受很難量化為統(tǒng)一的客觀標準，這使得在司法實踐中對生物識別信息的侵權(quán)而產(chǎn)生的“無形損害”這一賠償金額不能統(tǒng)一，以致不能很好地保護個人生物識別信息權(quán)利。

三、 構(gòu)建我國個人生物識別信息法律保護制度之設(shè)想

我國法律雖然對生物識別信息進行了原則性的保護，將其統(tǒng)括為敏感個人信息保護范疇之內(nèi)，但目前尚未針對生物識別信息的民事侵權(quán)行為進行相關(guān)法律規(guī)定。因此，在民事侵權(quán)上，我國應(yīng)當構(gòu)建完善的個人生物識別信息侵權(quán)規(guī)則，以充分保障信息主體的生物識別信息民事救濟權(quán)利的實現(xiàn)。

（一）建立分級式個人生物識別信息保護體系

生物識別信息高度的人身屬性，注定了生物識別信息具有其不同于一般個人信息的特殊性，而不同的生物識別信息也存在著不同之處。生物識別信息更改難易度不同：大部分反映人體生理特征的生物識別信息的更改以目前科技水平來說是非常困難的，如指紋、基因信息等，面部信息雖然可以通過整容改變，但臉部大部分特征仍會被機器識別；而步態(tài)等反映人體行為特征的生物識別信息則可通過人力改變。生物識別信息采集難易度不同：面部信息的采集只需攝像頭即可，且具有極大的隱蔽性；而基因信息的采集相對困難，需要專業(yè)的操作技術(shù)和設(shè)備，為一般人所不能具備。生物識別信息侵權(quán)的后果程度不同：基因信息泄露較面部信息泄露的損害后果更嚴重，代表個人遺傳密碼的基因信息泄露，將深刻影響自己乃至后代。生物識別信息較一般個人信息的特殊性與生物識別信息內(nèi)部的差異性決定了對個人生物識別信息需要進行分級式保護。對生物識別信息的規(guī)制可以通過同一與差異相結(jié)合的規(guī)制原理來進行：一方面，應(yīng)當看到不同生物識別信息的共同之處，對其進行統(tǒng)一的原則性規(guī)制；另一方面，更應(yīng)當看到這些生物識別信息中的差異性與特殊性，根據(jù)它們的特性進行專門化規(guī)制，做到分級式保護。

（二）生物識別信息之侵害方式之再分類

構(gòu)建生物識別信息侵權(quán)規(guī)則的構(gòu)建路徑，就需要對生物識別信息的侵權(quán)形式進行細化分類，以更好地對生物識別信息的侵權(quán)進行救濟。目前，生物識別信息的侵權(quán)行為主要有程序性侵權(quán)行為，表現(xiàn)為數(shù)據(jù)控制者或處理人的違反程序性義務(wù)的行為；未經(jīng)信息主體授權(quán)的對生物識別信息進行侵入行為，如盜取、復(fù)制；二次創(chuàng)作、更改、技術(shù)模擬行為，如“深度偽造”（deepfake）技術(shù)、“3D面具”技術(shù)；不法交易行為，如人臉信息非法售賣等。科學(xué)技術(shù)的飛速發(fā)展，對生物識別信息的侵權(quán)行為也更加層出不窮，滯后性的法律所規(guī)制的侵權(quán)行為不能容納所有侵權(quán)方式，故需將特定的侵權(quán)方式歸類到一般的侵權(quán)形式類別中，以更好地實現(xiàn)信息主體的生物識別信息民事侵權(quán)救濟。

（三）個人生物識別信息之侵權(quán)責(zé)任認定規(guī)則

生物識別信息作為現(xiàn)代社會中個人身份識別的重要標識，其所承載的權(quán)利不僅包括個人的隱私權(quán)、人格權(quán)和身份權(quán)，更影響著個人的財產(chǎn)安全，故需要充分保障信息主體的救濟權(quán)利。

1.個人生物識別信息被侵害時無實際損害事實的認定

傳統(tǒng)民事侵權(quán)要件中，責(zé)任的構(gòu)成要件中都要求有損害事實，并要求損害事實具有客觀性，即損害事實具有客觀真實性和確定性。而在個人生物識別信息民事侵權(quán)案件中，就違法程序性義務(wù)的個人生物識別信息侵權(quán)行為，不能導(dǎo)致實際損害事實的發(fā)生，故此信息主體就此提出的民事訴訟救濟會因缺乏損害而不能實現(xiàn)，這無疑加大了信息主體對個人生物識別信息侵權(quán)救濟的難度。因此，個人生物識別信息民事侵權(quán)損害事實的認定要進行特殊規(guī)制。就個人生物識別信息民事侵權(quán)損害事實的認定中，尤其對程序性違法侵權(quán)行為的規(guī)制中，不能僅以缺乏損害而否定民事訴訟救濟權(quán)利的實現(xiàn)，應(yīng)當從保護信息主體的利益出發(fā)，保障權(quán)利人的民事訴訟救濟權(quán)利的實現(xiàn)。

2.個人生物識別信息被侵害時舉證責(zé)任承擔(dān)方的認定

完善個人生物識別信息侵權(quán)案件的舉證責(zé)任和責(zé)任承擔(dān)機制，以降低生物識別信息侵權(quán)案件的訴訟成本、提高生物識別信息侵權(quán)案件的訴訟效率，有利于被侵權(quán)方通過民事訴訟機制進行有效的救濟。故此，應(yīng)當從利益平衡角度出發(fā)規(guī)制個人生物識別信息侵權(quán)的舉證責(zé)任。不能為了保護信息主體的生物識別信息安全，而完全犧牲信息自由流通，損害網(wǎng)絡(luò)服務(wù)者的運營環(huán)境。在不同類型的侵權(quán)案件中，應(yīng)靈活采取不同的民事責(zé)任認定，并轉(zhuǎn)移主張方的部分舉證責(zé)任于被侵權(quán)人上，即只要求主張方提出初步的侵權(quán)證據(jù)。在明確侵權(quán)人侵權(quán)責(zé)任中賠償損失的承擔(dān)中，可借鑒美國BIPA的規(guī)定，以侵權(quán)人的主觀過錯分別規(guī)定法定的最低賠償金。此外在索賠權(quán)和賠償責(zé)任范圍的規(guī)定上，我國可以借鑒GDPR的規(guī)定，即明確信息主體有權(quán)從數(shù)據(jù)的控制者或加工者處獲得因其侵權(quán)行為而使本人遭受損害的賠償，不論損害是否有形。

3.個人生物識別信息受侵害時因果關(guān)系的適用

對于個人生物識別信息民事侵權(quán)因果關(guān)系的適用上，應(yīng)當防止消極道德危險的發(fā)生。有學(xué)者認為應(yīng)當采用“條件說”來認定因果關(guān)系，即只要實施的行為與損害事實的發(fā)生存在條件關(guān)系時，便可以認定實施該行為的人為侵權(quán)人。雖然這種主張能夠起到積極保護信息主體對生物識別信息侵權(quán)救濟的權(quán)利，但在實際操作中可能會存在困難，難以解決“多因一果”問題，且該種主張對從事大數(shù)據(jù)信息處理或控制的行業(yè)過于嚴苛，不利于行業(yè)發(fā)展和信息自由流通。也有學(xué)者認為，傳統(tǒng)的因果關(guān)系理論完全可以滿足信息網(wǎng)絡(luò)侵權(quán)案件中追責(zé)的需要，認為無需適用特殊的因果關(guān)系理論。但在個人生物識別信息民事侵權(quán)案件中，其所處的環(huán)境是虛擬的網(wǎng)絡(luò)空間，且存在“算法黑箱”和“信息繭房”與他一般的侵權(quán)案件有其特殊性。因此在個人生物識別信息民事侵權(quán)因果關(guān)系的適用上，應(yīng)當基于生物識別信息侵權(quán)行為類型的不同，采用不同的歸責(zé)責(zé)任，在不同歸責(zé)責(zé)任的生物識別信息侵權(quán)案件中適用不同且適合的因果關(guān)系理論，不能一概而論。