【關鍵詞】個人信息 生物識別信息 法律保護
個人生物識別信息,也稱生物識別信息,簡單地說,就是可以直接或間接識別特定自然人的,以自然人的生理特性與行為特征為內容的信息,如自然人的臉部特征、指紋、虹膜、聲音、基因、步態、筆跡等。個人生物識別信息與自然人的姓名、出生日期、身份證件號碼等信息同屬于個人信息。在現代社會,個人信息的收集與處理對于網絡信息科技尤其是人工智能、大數據技術的發展,乃至整個數字經濟的健康發展,至關重要。要在確保信息流動與合理利用的同時,有效地加強個人信息保護。
現代社會中收集與處理個人信息的特點及其風險
現代社會是信息社會、網絡時代。網絡信息科技的發展,使得能夠被收集的個人信息越來越廣泛。除了姓名、身份證號碼、家庭地址、電話號碼等傳統的個人信息之外,個人生物識別信息(如指紋、人臉、虹膜等)、行蹤信息、網絡賬號等新型的個人信息也越來越多地被收集和處理。甚至一些其本身不足以識別特定自然人的信息,如愛好、習慣、興趣、性別、年齡、職業等,由于算法技術的發展,將之與其他信息結合后也能識別出特定的自然人,故此這些信息也成為非常重要的個人信息而被收集和處理。
不僅如此,現代社會收集與處理個人信息的方式也發生了巨大的變化。以往對個人信息的收集方式是由自然人主動提交,政府、企業等主體收集后手工記載在紙質文檔或錄入電子檔案中加以存儲。這種情形中,不僅信息收集的效率、數量和范圍有限,而且由于缺乏相應的算法技術與足夠的算力,也難以對其進行高效地分析利用。然而,現代網絡信息技術已將現代社會生活高度數字化(或數據化),無處不在的攝像頭、Cookie技術和各種傳感器可以自動地收集與存儲個人信息。這種個人信息被大規模、自動化地收集和存儲的情形變得越來越普遍,幾乎無處不在、無時不在。
每天通過各種自動化技術收集來的無數自然人的個人信息匯集成為海量的個人數據。飛速發展的人工智能技術也使得對海量數據的分析與使用變得更加簡便高效且用途越來越廣泛。因此,個人信息被濫用的可能性被極大地增加了,由此產生的侵害自然人民事權益的風險也不斷升高。例如,各種網絡平臺通過分析和利用海量的個人信息,對目標群體做人格畫像,實施精準營銷,甚至行為操縱,可能嚴重危害自然人的人格尊嚴,妨害人格的自由發展。更嚴重的是,對于包含個人生物信息等敏感信息在內的海量數據,如果保管不善而被泄露甚至被非法出售或利用,就會出現犯罪分子利用這些非法取得的個人信息對受害人進行精準詐騙或者實施其他違法犯罪行為的問題。
我國法律對個人信息收集與處理的規范
在我國,包括生物識別信息在內的個人信息的法律保護經歷了一個“從無到有”,“從刑法保護為主到公法與私法并重”的發展歷程。2005年十屆全國人大常委會第十四次會議通過的《中華人民共和國刑法修正案(五)》中增設的“竊取、收買、非法提供信用卡信息罪”(第177條之一第2款),是我國法律上第一個關于侵害公民個人信息犯罪的法律規定。2009年十一屆全國人大常委會第七次會議審議通過的《中華人民共和國刑法修正案(七)》新增第253條之一,首次將竊取或以其他方式非法獲取公民個人信息、出售或非法提供公民個人信息的行為情節嚴重的規定為犯罪行為,進而納入刑事打擊的范圍。2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》對網絡服務提供者和其他企業事業單位、國家機關及其工作人員在收集、使用、保管公民個人電子信息中應當遵循的原則、承擔的義務及法律責任作出了具體的規定。在此基礎上,2017年6月1日起施行的《中華人民共和國網絡安全法》第76條第5項明確地界定了個人信息的涵義,并首次明確地將生物識別信息納入個人信息當中,給予相應的保護。
2013年十二屆全國人大常委會第二次會議修訂《中華人民共和國消費者權益保護法》時,在原第14條中新增了消費者“享有個人信息依法得到保護的權利”,并在第50條就侵害該權利的民事責任作出了規定。這是我國法律首次從民事權利的角度對個人信息作出的規定。2017年10月1日起施行的《中華人民共和國民法總則》第111條規定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”此外,該法第127條還規定:“法律對數據、網絡虛擬財產的保護有規定的,依照其規定。”
2020年5月28日第十三屆全國人民代表大會第三次會議通過的《中華人民共和國民法典》(以下簡稱《民法典》)對個人信息保護作出了詳細的規定。《民法典》第1034條第2款在界定個人信息時,明確地將“生物識別信息”作為個人信息的一類。《民法典》第四編“人格權”不僅在第一章“一般規定”和第五章“名譽權和榮譽權”中分別就個人信息的合理使用(第999條)以及信用信息的更正、刪除和處理(第1029-1030條)等作出了規定,還專門在第六章“隱私權與個人信息保護”中,使用六個條文(第1034條至第1039條),對個人信息處理的涵義、私密信息的法律適用、個人信息處理的原則與合法性要件、侵害個人信息的免責事由、個人信息權益的具體內容、保護個人信息安全的義務以及國家機關、承擔行政職能的法定機構及其工作人員對個人信息的保密義務等重大基本問題作出了詳細的規定。
總的來說,就當前社會公眾高度關注的個人生物識別信息的保護而言,我國《民法典》提供了多重保護方法:一是對于自然人的臉部特征等在一定載體上所反映的特定自然人可以被識別的外部形象,因其屬于肖像,故此受到作為人格權的肖像權的保護(第1018條)。任何組織或者個人不得以丑化、污損,或者利用信息技術手段偽造等方式侵害他人的肖像權,未經肖像權人同意,任何組織或者個人不得非法制作、使用、公開肖像權人的肖像(第1019條)。二是如果對自然人人臉等生物識別信息的采集的是偷拍偷錄等方式,則該行為構成侵害隱私權。《民法典》第1033條明確禁止任何組織或者個人在未經權利人的明確同意或者法律另有規定的情形下,拍攝、窺視、竊聽、公開他人的私密活動,拍攝、窺視他人身體的私密部位,處理他人的私密信息。三是對自然人的聲音,明確規定應參照適用肖像權保護的有關規定給予保護(第1023條第2款)。四是對于生物識別信息,如果屬于私密信息的,則適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定(第1034條第3款)。依據《民法典》第1035條和第1036條,任何組織或者個人處理自然人的個人信息,應當遵循合法、正當、必要原則,做到既合法又合理。所謂合法,就是指要征得該自然人或者其監護人同意,同時要公開處理信息的規則,明示處理信息的目的、方式和范圍,且不違反法律、行政法規的規定和雙方的約定。所謂合理,就是指即便合法處理個人信息的行為也必須是合理實施的行為,符合比例原則的要求。《民法典》第1035條第2款還明確規定了個人信息處理的涵義,即包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。
推薦閱讀:中國法律評論律師職稱論文投稿
