大数据时代个人生物识别信息法律保护的重要意义论文

大数据时代个人生物识别信息法律保护的重要意义论文

大数据时代个人生物识别信息法律保护的重要意义

付微明*

[摘 要] 大数据时代个人生物识别技术的广泛应用引发了复杂法律问题。生物识别是大数据时代个人身份识别的新形态,生物识别信息之于普通个人信息具有特殊性,加强生物识别信息法律保护具有必要性与迫切性。个人生物识别信息的保护,不仅仅需要安防技术的不断发展进步,更需要设立法律的坚固防线。只有通过行政法制、民事法制、刑事法制的相互配合,才能为大数据时代个人生物识别信息建构安全屏障,并使生物识别技术及其应用,在法律的规制下得到健康有序的发展。

[关键词] 大数据时代 个人生物识别信息 数字身份 法律保护

一、问题的缘起

在传统中国社会,“信息”指消息。(1) 参见(唐)李中《碧云集·暮春怀故人诗》:“梦断美人沉信息,日穿长路倚楼台。” 现代汉语中将英语“information”一词翻译为“信息”,名词意义上指关于某人的情报、消息、资料等。(2) 参见《辞海》,商务印书馆2015年版,第283页。 “生物”在汉语词汇中原指“产生万物”(3) 《庄子·天地》:“留动而生物”。 以及“有生命的物质”(4) 《礼乐记》:“气衰则生物不遂”。 ,现代汉语将英文“Biology”译为“生物学的”“与生命有关的”(5) 《牛津高阶英汉双解词典》,商务印书馆、牛津大学出版社2002年版,第1478页。 。“Biometrics(生物识别)”一词无论在英文还是现代汉语中均是一个新词,是随着计算机技术的应用与互联网空间的飞速发展而产生的“通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性,(如指纹、脸像、虹膜等)和行为特征(如笔迹、声音、步态等)来进行个人身份的鉴定。”(6) 顾冰冰:“浅谈网络安全技术”,载《科技创新导报》2011年第12期,第12页。 的一项技术应用。“生物识别信息”即由生物识别而产生的“信息”。

对“生物识别信息”的法律内涵,国外一些相关立法中有明确界定。2008年,美国伊利诺斯州议会通过并于2009年1月1日生效的《生物识别信息隐私法案》明确:“生物识别信息”是指基于个人,并用于识别个人的生物识别标识符的任何信息,无论其如何被取得、转换、存储或共享。生物识别信息不包括来源于生物识别信息定义排除的项目或程序衍生的信息。”(7) BIPA﹒Section10﹒Public Act 095-0994 SB2400 Enrolled LRB095 19768 KBJ 46142 b.

新近出台的国际条例及外国个人信息保护法,对个人“生物特征数据”进行了法律上的定义。如2018年5月25日生效的欧盟《一般数据保护条例》定义“‘生物识别数据’是通过自然人的物理、生物或行为特征进行特定的技术处理而得到的个人数据。这类数据生成了那个自然人的唯一标识,如人脸图像或指纹数据。”(8) 参见李爱君、苏桂梅主编:《国际数据保护要览》,北京:法律出版社2018年版,第344页。 2018年生效的英国《数据保护法案》以及2018年出台有望于2019年通过的印度《个人数据保护法》等等,均对“生物识别数据”进行了定义,将之视为识别个人的“唯一标识符”。

设计变更后,桩比原来的更深,桩径更大,原先使用的16台GPS—15型钻机不能满足施工要求,后调整为18台GPS—20型回旋钻机成孔。但每根桩成孔还需4~5天,清孔需2~3天,单桩完成需7天左右,远不能满足工期的要求。现场又增加了1台套AF—220旋挖钻机钻孔进行施工,该钻机施工速度快,平均一天成孔1~2孔,大大地加快了工程进度。

“生物识别信息”是不同于传统意义上的个人信息的一种新型信息。大数据时代,计算机算法的飞速发展,使得个人生物识别技术的应用突飞猛进。生物识别不仅仅被国家机关用于对个人身份的采集、鉴定、识别,而且大量地被“私人实体”应用于与公众个体的各种交易活动与相关服务中,对个人身份的采集、鉴定与识别,例如各种APP以刷脸、指纹为主的注册与认证方式。可以说,个人生物识别信息的广泛应用已经势不可挡。而纵观科学技术的历史发展,新科技常常是一柄双刃剑,其在不断造福于人类的同时,其安全性也常常是难于完全预测的。生物识别技术事关个人身份、隐私、人身、财产等各方面的利益与安全,已经不能仅仅用传统民法上的身份权、隐私权、人身权、财产权之类的单一权利加以限定,因此,大数据时代个人生物识别信息的法律保护在国际社会已成为一个新兴的法律领域,个人生物信息权已经萌生为一项新型权利。就我国目前的法律体系结构而言,个人信息保护立法虽已见雏型,但是对于“个人生物识别信息”的法律保护却并未受到应有的重视。大数据下的“数字身份”时代,个人生物识别信息的法律保护已时不待我。推动我国个人生物识别信息的法律保护,必须厘清其作为大数据时代个人身份识别的新形态以及区别于其他个人信息的特殊性,如此,才能明确个人生物信息识别立法保护的重要意义。

二、生物识别是大数据时代个人身份识别的新形态

由上述各种对“数字身份”的界定来看,数字身份实包括广义和狭义两个层面。狭义的数字身份与实体的身份为基础,是实体身份的数字形式表现。而广义的“数字身份”则由传统意义上的身份之外的各种数据集合而成。前者具有代表性的是目前一些欧洲国家所建立的数字身份识别公共系统,如意大利数字ID公共系统(SPID),英国在线身份识别系统(GOV·UK Verifyr),挪威由政府主导的数字识别系统、瑞典人口数字登记系统。我国公安部门也正在建设eID身份查询及认证系统。这些均是通过系统与个体身份证信息的绑定,实现相关证件的第三方核实验证,是对传统“物质化”形式身份认证的数字化。后者可以表述为:“一组独一无二地描述一个人(有时称主体subject或者实体entity)的数据,是有关一个人的所有在数字上可得的信息的总和。”(12) 邱仁宗、黄雯、翟晓梅:“大数据技术的伦理问题”,载《科学与社会》2014年第1期,第36页。 或者“个体参与网络活动形成的可以表征自己身份的数字信息。”(13) 董军、程昊:“大数据时代个人的数字身份及其伦理问题”,载《自然辨证法研究》2018年12期,第76页。 总之,个人“数字身份”既与传统意义上的身份有关,又超越了传统意义上的身份,是网络社会所产生的个人新型身份。

新中国建立以后的相当长时间内,关于个人身份的确认、识别,实行的是居民户籍制度,证明居民身份的文件为户口簿和单位介绍信。1984年4月6日,国务院发布了《中华人民共和国居民身份证试行条例》。1985年9月6日第六届全国人民代表大会常务委员会第十二次会议通过,同日中华人民共和国主席令第二十九号公布,于1985年9 月6日起施行的《中华人民共和国居民身份证条例》,明确居民身份证是用于证明居住在中华人民共和国境内的公民身份的证明文件,从而实现了居民身份信息的采集、认证、应用的法制化。2004年3月29日起,中国大陆正式开始为居民换发内置非接触式IC卡智能芯片的第二代居民身份证,采用防伪膜和印刷防伪技术,使用个人彩色照片,并可用机器读取数字芯片内的信息。

传统意义上的个人信息并不需要经过计算机算法的鉴定与识别,而“生物识别信息”必须经过计算机的相关生物识别程序的识别才能生成相关信息。例如,Facebook于2011年6月7日发布了“Tag Suggestions”。“Tag Suggestions”由检测-对齐-表示-分类四步骤构成。最初,软件试图检测人脸,并标准化任何检测到的人脸的质量,如方向和大小。接着识别程序对于每个被“检测”和“对齐”的人脸,进行计算,计算出一个“人脸签名”,即“代表人脸特定图像的数字串”,然后,人脸签名在所存储的用户的“人脸模板”数据库中运行,以查找匹配项,如果计算的面部签名落在用户的面部模板描述的边界内,则Facebook建议标记用户,从而形成Facebook下的“数字身份”。由此可见,个人生物识别信息无论是其产生还是内容构成以及功能作用均与传统个人信息存在极大差别,是大数据时代区别于传统个人身份信息的“数字身份”信息中的一类特殊信息。

本世纪以来,随着计算机技术应用与网络空间的高速发展,出现了与传统身份鉴定、识别所不同的“数字身份”的鉴定与识别。根据著名科技网站wiseGEEK上的解释,所谓“数字身份”具有以下内涵:一是指在数字世界(即在线)中,身份被创造和感知的方式和手段。它既包括独特的描述性数据,也包括相关信息。数字身份既定义了一个事物本身,也定义了一个事物与其它事物的关系。二是,个人和公司都可以有数字身份。个人在世界上总有一个具体的身份,企业则可以有一个店面身份并建立一个数字平台,因为他们建立了一个线上存在以从事网上商务活动,数字身份也可能是企业的唯一的身份。三是数字身份需要的网上认证十分重要。许多网站,个人数字身份的认证方式是个人于网站上创建用户名和密码,并在稍后返回该网站时通过重新输入户名和密码以确认自己的身份。公司数字身份的认证方式是由认证机构(CA)颁发的日期数字证书,在允许在互联网上安全通信的公钥加密系统中发挥作用。四是公司的数字身份还可以通过使用的URL、logo、网站设计、网站文本和特征加以创建。用或者不用如Twitter或者Facebook这些社交网站,对公司的在线身份均会产生影响,并且各种社交网站的交互作用也很重要。各种搜索引擎对企业的线上身份也产生重要影响。而LinkedIn或Xing等网络上的专业网站则进一步促进了公司数字身份的形成。

就个人生物识别信息的权属而言,目前尚无明确法律界定。虽然2017年《中华人民共和国民法总则》第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”(14) 中华人民共和国第十二届全国人民代表大会第五次会议通过,自2017年10月1日起施行。 但我国民法中尚无“个人信息权”这一明确的法律概念,因此,对于“个人信息”的权属问题仍十分模糊。国内学界或主张将“个人信息”或者说“个人数据”作为一项独立的人格权而对待。例如,“信息权是新兴的人格权,具有具体人格权的法律地位。传统意义上的隐私权和一般人格权无法涵盖民事主体的信息利益,信息权的确立已成为立法潮流。明确信息权的具体人格权地位,对于保护民事主体的人格独立、自由和尊严具有重要意义。信息权具有丰富的内容,权利人享有信息专有权、信息支配权、信息维护权和被遗忘权。”(15) 王丽莎:“信息权的独立人格权地位及内容”,载《国家检察官学院学报》,2016年第3期,第16页。 或并不主张将“个人信息权”作为一项独立的个人权利而对待。例如,“从数据主体角度看,基于个人信息的实质利益可以纳入民法的形式化权利体系,基于个人信息的权利属于一般人格权,欧盟GDPR列举的六类权利都可以归类于此,然后通过侵权法进行保护。比如就更正权、反对权而言,责任承担方式是排除妨碍,针对删除权(被遗忘权)、限制处理权,责任承担方式实际是消除危险。”(16) 徐卓斌:“个人信息的民法保护路径”,载《人民法院报》2018年9月12日。 从国外立法来看,个人信息通常被作为一项“隐私权”而对待。个人生物识别信息属于个人信息的组成部份,但是由于民法上对“个人信息”的权利属性缺乏明确法律界定,因此,个人信息中的个人生物识别信息的法律界定,更为困难。

关于慧览到达罽宾求法以及离开于阗的具体时间,《高僧传》没有明确记载。唐长孺先生根据《名僧传抄》考证,慧览到达罽宾是在元嘉四年(427)之后,他由于阗东返吐谷浑的时间在元嘉十七年至二十一年,即公元440年至444年之间③唐长孺:《南北朝期间西域与南朝的陆道交通》,载氏著《魏晋南北朝史论拾遗》,中华书局,1983年,第184-185页。。以此类推,慧览在巴蜀和岭南罗浮山的时间,应该在元嘉十七年至元嘉三十年之间,即公元440年至453年之间。他在罗浮山究竟待了多久,待了几年,依据现有资料,还不能得出结论。

个人的数字身份,不仅包括个人在tweet、posts、email、blog、website和其它线上交流中的自我表达,而且还通过用账户名、屏幕名、虚拟人物和显示名得到表达,甚至个人的自我展示及其艺术品的展示、网页设计和照片等等均构成个人的线上身份。同时,在自己的站点或共享站点上的ARES,自己的朋友、最爱的人、追随者,以及那些自己所选择跟随的人——以及那些自己选择转发、分享或类似的人——都有助于个人数字身份的实现。

2018年2月,ATF(10) 当前国际社会最具权威的反洗钱和反恐怖融资专业性政府间国际组织。 的政策制定工作组(DPG)在对数字ID开展政策制定中,对“数字身份”的概念进行了定义。DPG对“数字ID”的界定包括两个层面:“一是指在‘真实世界’中建立标识的验证方法,即以数字化或“非物质化”的形式来识别和认证特定对象的身份。此种认证需事先所需信息进行登记并核实,目的是将电子身份和真实人员的信息联系起来。二是指通过某人的网上在线活动(例如用户名和密码、在线搜索记录、博客文章、论坛信息、音频、视频内容、历史购买记录等)所产生的信息来确定某人身份,这些信息还可用于对个人行为的检测。”(11) 陈思、邵杨、蔡真:“FATF数字身份界定及建议对我国的经验启示”,载《金融发展评论》2018年第8期,第115页。

生物识别是大数据时代个人身份识别的新形态。对个人身份的鉴定、识别古已有之。中国早在商鞅于秦国变法时期,即发明了刻有特定人头像和籍贯信息的“照身帖”以作为秦国颁发给秦民的物质化形式的身份标识。汉代以园户籍、年细籍、田比地籍、田命籍、田租籍等作为每家每户以及户中个人的身份记载,同时,以“传”等物质化形式的凭据作为个人身份的识别标记。唐以后一直实行户籍登记制度,与此同时,历朝历代均存在由政府向个人颁发的对身份具有证明作用的物质化形式凭证。隋唐时期,朝廷向官员发放刻有其姓名、任职衙门及官居品级等信息的“鱼符”,向需要出入关津要塞的申请者颁发“过所”。宋代向官员发放证明其身份的“鱼袋”。近代中国,于国民政府时期出现专门用于证明个体身份的“居民证”,(9) 1936年民国宁夏省政府,出台了中国近代最早的身份证——“居民证”,居民证为白布制作,写有个人的姓名、年龄、籍贯、职业、身长、面貌、特征以及手纹箕斗形状等项,缝于个人上衣内里以便查验。 1945年抗战胜利后,南京国民政府颁行了一系列户籍法律法规,规定凡年满18岁以上的中华民国国民,不分男女,均可以获得国民政府颁发的标记有持证人的所在地、姓名、性别、出生日期、本籍等48条社会属性信息的“中华民国国民身份证”,从而建立起近代化的中国居民身份制度。

大数据下“数字身份”的基本特点无外于“生物识别”。传统物质化形式的身份,以个人的社会性为基础,主要包括姓名、性别、民族、出生、住址、身份证号码等基本信息。在我国新的身份证法加入了指纹这一生物特征识别标识。但网络空间中的数字身份确认、识别、数字身份颁发,则主要由口令、密码、智能卡以及指纹、视网膜、虹膜、脸部、脉纹、掌纹、声纹、手形、数字签名等构成,当前,个人生物识别正成为数字身份的主要内容以及个人数字身份的主要识别方式。目前网络世界中的生物识别,主要包括人体所固有的生理特征,如指纹、眼纹、虹膜、视网膜、面相、DNA、手脉,声纹,或行为特征,如步态、签名笔记、击键习惯等。较传统物质化形式的身份确认、识别、证明颁发、身份识别运用,数字身份对个人信息的记录、储存、应用扩展到前所未有的领域,即个人生物识别。由此可见,生物识别信息是大数据时代产生的个人身份信息的新形态。

对于定风量空调系统与变风量空调系统在耗能方面的差别,以某正在研制的最新客滚船的某中央空调的计算结果为例进行说明。该船的室内设计温度为24 ℃@50%RH,室外设计温度为35 ℃@80%RH,人均新风量为30 m3/h,最小新风比为50%。在夏季工况下,每个舱室的空调送风量计算结果见表1。

三、生物识别信息之于普通个人信息的特殊性

由此可见,从传统中国至近现代中国,所谓“身份”的首要意蕴无外于一国之人作为一国之民的确认与识别。身份的确认、识别需要向一元化、中心化的国家机构申请、并由其鉴别、记录并颁发物质化形式的凭证才能获得。因此,作为国家对个人身份的鉴定、识别、证明意义上的“身份”,是由国家法定机构对“某人之为某人”的特定记录和标识及其内涵的证明,身份证明持有者即具有作为一国之人的各项完全法定权利。

就“个人信息”的种类而言,目前法律上各类个人信息处于混同状态。《中华人民共和国网络安全法》列出的个人信息包括:姓名与称号;出生日期与其他重要日期;身份证号码与其他身份编码;个人生物识别信息与基因信息;住址、邮政编码与IP地址;电话号码与电子邮件地址。除此之外还包括:健康信息、财产信息、位置信息、犯罪记录等。其中并未就所列出的“个人信息”的内容进行进一步的法律界定。而实质上,个人生物识别信息与其它个人的普通信息存在差异,个人生物识别信息有其特殊性。

个人生物识别信息与其它个人的普通信息的差异及其特殊性在于个人生物识别信息的独一无二、不可更改性。生物识别信息一旦泄露,被盗,不可弥补,无法追索,凡是与生物信息认证相关的所有的活动都将永远退出。美国伊利诺斯州《生物识别信息隐私法》于立法宗旨和目的中,就专门对生物识别信息的特殊性进行描述,指出:“生物特征与通常用于财务的惟一标记或其它敏感信息不同,例如社会保险号码,一旦被泄露可以改变。生物特征在生物学上是个人独一无二的,一旦受到损害,个人没有追索权,身份盗窃的风险更高,并且可能不得不退出基于生物识别而进行的业务。”(17) BIPA﹒Section 5(a)SB2400 Enrolled LRB095 19768 KBJ 46142b. 简明而言,比如身份证件丢失,可以补办。银行卡、信用卡丢失或者数字密码失窃,可冻结账号,重新申请新的账号和设定密码。出生日期与其它重要日期泄露,对个人而言并不会影响其商业活动和各种社会活动;个人电话号码在很多情况下本身就是用于公众交往的,即便在不想为人所知下的泄露,也可以即行更换,申请新的号码。如此等等。但是个人生物识别信息隐私,则是独一无二的,一旦泄露、被盗、被损害,无法更换、无法补办,无法索回。因此,其与普通个人信息具有不同的特点。

3.监管力度升级。一是社区矫正工作人员依据心理测评报告,制定调整更为具体的矫正措施,达到因人施矫、因情监控;二是对测评筛选出的有较为明显抑郁情绪、焦虑情绪、攻击性倾向的社区服刑人员,列为重点管控对象,给予重点关注,全方位深入了解他们的生活思想状况,对心理测评结果进行印证,并安排专业心理咨询师开展心理咨询和干预。

自2017年以来,人工智能技术、互联网+、云处理平台、大数据与生物识别技术纷纷结缘,在我国被普遍用于安防、金融、商业、广告传媒等领域。目前,除政府机关的一些政务活动,已经广泛采用指纹、人脸的鉴定、识别与签名方式而生成个人数字身份外,主要是一些“私人实体”(21) “私人实体”指任何个人、合伙企业,公司、有限责任公司、协会或其他任何组织。“私人实体”不包括州或地方政府机构,不包括伊州的任何法院、法院书记员或法官或司法机关。参见BIPA﹒Section10﹒Public Act 095-0994 SB2400 Enrolled LRB095 19768 KBJ 46142b. ,或者说我国民法上所谓“法人”“非法人”“特殊法人”等在广泛使用生物识别技术进行各种活动。比如,近来最热门的是一些CV(计算机视觉)公司,他们首先聚焦人脸识别,以大数据深度学习为突破口,以云端处理和云服务(SaaS)为创新的商业模式,已经占据技术上的先机,其基于云端的SaaS服务模式切合了目前互联网应用之特点,借助云计算大数据而横空出世的新型CV和语音识别企业的部分业务(人脸识别为重点),成为生物识别新贵。

2011年10月29日,十一届全国人大常委会第二十三次会议通过了关于修改居民身份证法的决定,修改后的居民身份证法规定居民身份证登记的项目包括:姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、指纹信息、证件的有效期和签发机关。而“公民申请领取、换领、补领居民身份证,应当登记指纹信息”。与此前身份录入、鉴别、识别事项相比较,最为突出的是加入了“指纹信息”,这是新中国历史上将个体生物特征作为身份识别标记的首次入法。条例还明确规定颁发身份证的法定机构是居民常居地区的公安局、公安分局、行政派出所。至此,中国当代物质化形式的身份鉴别、确认、识别法律制度得以建立和完善。

四、加强生物识别信息保护立法的必要性与迫切性

美国伊利诺斯州《生物识别信息隐私法》中,对“生物识别标识符”“生物识别信息”“机密和敏感信息”三个概念进行了定义,旨在厘清生物识别信息与其它信息的界限。明确生物识别信息的特定范围。“生物识别标识符”指视网膜或虹膜扫描、指纹、声纹或手部或面部几何结构扫描,包括一整套特定的合格生物识别标识符。(18) BIPA﹒Section10,Public Act 095-0994 SB2400 Enrolled LRB095 19768 KBJ 46142b. “生物识别信息”的定义以“生物识别标识符”的定义为基础。“生物识别信息”是指基于个人用于识别个人的生物识别标识符的任何信息,无论其如何被取得、转换、存储或共享。生物识别信息不包括来源于生物识别信息定义排除的项目或程序衍生的信息。(19) BIPA﹒Section10﹒Public Act 095-0994 SB2400 Enrolled LRB095 19768 KBJ 46142b. “机密和敏感信息”是指个人可用于唯一标识个人、或个人的账户或财产的信息。实例:机密和敏感信息包括但不仅限于,一个遗传标记,遗传检测信息,一个用于定位账户或属性的唯一标识符编号,账号、密码、通行证、驾驶执照号码或社会保险号码。可用于唯一标识个人的信息或个人的账户或财产。(20) BIPA﹒Section10﹒Public Act 095-0994 SB2400 Enrolled LRB095 19768 KBJ 46142b. 由此可见,生物识别信息有其特有的限定与范围。生物识别技术识别的“视网膜或虹膜扫描、指纹、声纹或手部或面部几何结构扫描”属于“生物识别标识符”,而基于“生物识别标识符”的任何用于识别个人的信息即“个人生物识别信息”。

但在风起云涌的生物识别技术的创新与应用中,这些基于云计算、云处理、云服务的应用,在对个人生物特征采集、本地存储以及上传、云存储等诸多环节中,均缺乏相关技术标准、制度规范和法律约束。因此,个人生物数据安全存在严重问题。无论是从行业监管、行业标准、行政管理上,对拥有个人生物识别信息的互联网公司的规制,还是对互联网企业滥用、交易、泄露个人生物识别信息的法律禁止,均缺乏相应的法律规范。

近年以来,人们对生物识别技术的应用的风险性,已经有所认识。如果不能预先在法律和制度上做好准备,急功近利于大数据下个人生物识别技术应用的无序竞争,盲目放任和跟随商业逐利目的而无限制地推广使用生物识别和人工智能技术,必将导致对个人安全、利益、福利的巨大危害。一旦失控(如生物特征数据被盗用、滥用甚至非法公开),后果将不堪设想。人脸识别等生物识别技术有重大网络安全风险,生物识别技术的大规模应用,必须慎之又慎。“生物识别技术提取和识别人体生物学特征的唯一性,是很多人看好这个领域商业前景的主要原因。”(22) 刘春泉:“人脸识别技术存在重大网络安全风险”,《第一财经日报》2017年3月30日。 但是,生物识别技术大规模使用的基本途径是网络,并非现场使用。作为数字身份的鉴定与识别,一定要通过网络才可能进行。而“通过信息网络,任何技术都要转化为计算机识别的0-1这样的二进制代码。人脸不能复制,转化的二进制计算机代码却可以复制,也完全可能被盗窃。生物识别技术的识别原理和提取的数据都会存储成为企业的数据库,在目前全世界的情况来看,都存在重大的数据泄露、失窃的潜在安全风险。”(23) 刘春泉:“人脸识别技术存在重大网络安全风险”,《第一财经日报》2017年3月30日。 生物识别信息的泄露是永久、不可索回的,对个人而言,一旦自己的生物识别信息泄露或被盗,可能将永久退出需要通过生物信息识别才能进行的各种活动。与物质化的身份证、社会保险卡之类的失落相比较,前者可以补办,可以重新申请,生物识别信息之于个人却是无法补办,无法重新申请的。目前,生物信息识别,存在密保强度低、隐私权易侵犯、数据易泄露等问题,用生物识别信息作为个人数字身份存在重大安全隐患。攻击者已经想出了如何绕过现今生物识别技术的解决办法,此类事例并鲜见。例如,著名黑客Krissler利用德国国防部长UrsulavonderLeyen的高分辨率照片击败认证技术。又如,Krissler在苹果新一代TouchID发布一天后,便破解了苹果的Touch ID技术。Krissler通过IPhone屏幕上留下的指纹污点,扫描复制指纹模型,利用这个模型黑进手机。

以上的多种学说,除“冰说”外,在韩同林所著的《发现冰臼》一书中均给予了否定。笔者也倾向于“冰说”。不过,要想认定本省存在的上述地质现象的确是冰川作用所形成,除了要在微地貌上进行判断外,还需要采用多种技术手段综合分析。这些工作就是从宏观到微观的多个方面,利用遥感、沉积学(冰碛物)等的研究,并与国内外相似的地区对比,然后最终确定它是否是冰川地质遗迹。

生物识别技术的专家们总是在提倡技术进步带来的益处。但是不可否认的是,生物识别技术在进步,攻击方式也在进步。安全解决方案日益复杂的同时,攻击变得更加复杂。在最近的一次对美国政府网站的入侵事件中,560万人的指纹和2150万人的社会保障数字被泄露。新近发生的美国海关和边境保护局(CBP)收集的旅客照片和车牌照片,被一个外包公司泄露。如今在美国,各大机场和陆地边境口岸,都有CBP设下的大量拍照和录像设备。这些设备收集到的影像,会拿去喂养人脸识别AI,追踪出入美国的人的身份。(24) “突发!美国海关大量人脸数据泄露,暗网可以免费下载,锅被甩给外包公司”,参见“量子位”,转引自“数据法盟”2019年2月12日。 由此可见,在现实世界中,作为个人数字身份的生物识别信息并不安全。随着生物信息的更加广泛的应用,不法分子侵害用户生物识别数据的可能性也会不断增加。

结 论

由上述原因,个人生物识别信息的保护,不仅仅需要安防技术的不断发展进步,更需要设立法律的坚固防线。个人生物识别信息的法律保护既是必要的,也是迫切需要的。参考国外的立法经验来看,对于个人生物识别信息的法律保护,我们需要注重:通过行政立法的形式,设定企业生物识别技术及其应用的行业标准、认证评价机制、安防制度以及许可制度;通过个人信息的专门立法明确“生物识别标识符”“生物识别信息”的基本概念和范围;通过专门立法明确规定个人生物信息识别的禁止性与限定性规范;明确个人生物信息权的基本内容;明确互联网企业在采集、存储、使用、传输、保管、披露、销毁个人生物识别信息中的法律义务和法律责任;明确规定对个人生物信息侵权行为的法律救济以及“有形损害”“无形损害”或者“程序性违法”的法律救济形式与赔偿标准;严厉打击侵犯个人生物数据信息安全的各种犯罪活动。如此等等,只有通过行政法制、民事法制、刑事法制的相互配合,才能为大数据时代个人生物识别信息建构安全屏障,并使生物识别技术及其应用,在法律的规制下得到健康有序的发展。

虽然“智”与“勇”是内政与外交的需要,是贵有天下的君主所必需的品质,但在孟子那里,二者已经与“仁”不直接联结,而降低为一般性的德目。

* 付微明,中国政法大学刑事司法学院网络法学专业2017级博士研究生(100088)。

标签:;  ;  ;  ;  ;  

大数据时代个人生物识别信息法律保护的重要意义论文
下载Doc文档

猜你喜欢