生物識別信息在內(nèi)的個人信息的法律逐漸完善

 在我國，包括生物識別信息在內(nèi)的個人信息的法律保護經(jīng)歷了一個“從無到有”“從刑法保護為主到公法與私法并重”的發(fā)展歷程。2009年，刑法修正案(七)首次將竊取或以其他方式非法獲取公民個人信息情節(jié)嚴重的行為規(guī)定為犯罪。2012年，《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》對網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位、國家機關(guān)及其工作人員在收集、使用、保管公民個人電子信息中應(yīng)當遵循的原則、承擔(dān)的義務(wù)及法律責(zé)任作出了具體規(guī)定。2017年6月1日起施行的網(wǎng)絡(luò)安全法不僅明確地界定了個人信息的含義，把個人生物識別信息納入個人信息的范疇，同時還對個人信息的收集、存儲、保管和使用進行了更詳細、全面的規(guī)范。

當前，正在編纂的民法典人格權(quán)編草案對個人生物識別信息也提供了多重保護：一是，在一定載體上所反映的特定自然人可以被識別的外部形象屬于肖像，受到肖像權(quán)的保護。任何組織或者個人不得以丑化、污損，或者利用信息技術(shù)手段偽造等方式侵害他人的肖像權(quán)。對自然人的聲音，參照適用肖像權(quán)保護規(guī)定。二是，采取偷拍偷錄等方式采集自然人人臉等生物識別信息的行為將構(gòu)成對隱私權(quán)的侵害。三是，對于既不屬于肖像，也不屬于隱私的生物識別信息，還可以適用民法典人格權(quán)編草案個人信息保護的規(guī)定，即任何單位或者個人要收集、處理自然人的個人信息時，不僅應(yīng)當遵循合法、正當、必要原則，且須征得該自然人或者其監(jiān)護人同意，同時要公開收集、處理信息的規(guī)則，明示收集、處理信息的目的、方式和范圍。

臉部特征、指紋、虹膜、聲音、基因、步態(tài)、筆跡等可識別自然人的生理特性與行為特征的信息，被稱為個人生物識別信息。如今，個人生物識別信息的收集與處理對于網(wǎng)絡(luò)信息科技尤其是人工智能、大數(shù)據(jù)技術(shù)的發(fā)展，乃至整個數(shù)字經(jīng)濟的健康發(fā)展至關(guān)重要。如何在確保合理利用信息的同時有效地加強個人生物識別信息的保護，為各國法律高度關(guān)注。

自然人的姓名、手機號碼、郵箱賬號、銀行賬號等個人信息比較容易進行更改，但是，個人生物識別信息要更改則非常困難。比如，要改變一個人的臉部特征，只能進行整容(即便整容，臉部大部分特征仍會被機器識別)。至于指紋、掌紋、虹膜、基因信息等生物識別信息，被更改的可能性更低。這意味著個人生物識別信息一旦被非法收集、泄露或者被非法買賣，不僅會對自然人的人身財產(chǎn)安全產(chǎn)生威脅或現(xiàn)實損害，而且無法以像更換手機號碼、修改銀行密碼等方式來預(yù)防后續(xù)損害的發(fā)生。

從更宏觀的角度來說，如果這些信息被大規(guī)模收集并提供給敵對勢力，會對國家安全產(chǎn)生嚴重危害。故此，個人生物識別信息即便是被合法收集的，對其也要采取極其高度的注意義務(wù)加以保管，以防止被泄露或被非法處理。

除了唯一性，個人生物識別信息中的人臉信息還有一個特殊點，即對該信息的收集可以在不經(jīng)過自然人主動配合的情形下進行。據(jù)報道，在倫敦生活，一天會被攝像頭拍下70次。此時，網(wǎng)絡(luò)安全法等法律規(guī)定的告知同意原則實際上難以落實。這就要求法律對于哪些組織或者個人在哪些場合可以收集人臉等生物識別信息作出明確規(guī)定。

目前，北京、山西等地方政府已頒布規(guī)章，就公共安全圖像信息采集問題作出明確規(guī)定。筆者認為，在當前我國加強個人信息保護的大背景下，無論從立法、執(zhí)法還是司法的角度出發(fā)，都應(yīng)當高度重視對生物識別信息的規(guī)范與保護。不僅應(yīng)當在民法典人格權(quán)編、個人信息保護法中對個人生物識別信息作出界定，還應(yīng)當對個人生物識別信息的收集、處理等作出嚴格規(guī)范，以促進數(shù)字經(jīng)濟的健康發(fā)展，保障廣大人民群眾人身、財產(chǎn)安全乃至國家安全。