论生物识别信息界定中的识别标准及我国的建构.pdf
《论生物识别信息界定中的识别标准及我国的建构.pdf》由会员分享,可在线阅读,更多相关《论生物识别信息界定中的识别标准及我国的建构.pdf(13页珍藏版)》请在咨信网上搜索。
1、第 卷 第 期总第一八二期 作者简介:褚婧一中国政法大学法学院博士研究生、比利时荷语鲁汶大学访问研究员基金项目:国家留学基金管理委员会建设高水平大学公派研究生项目(留金选 号)国家社会科学基金一般项目“数据要素供给视角下的政府数据开放行政法治研究”()收稿日期:“.”()/()()().“.”.()./.().:/./.:./.论生物识别信息界定中的识别标准及我国的建构褚婧一摘要:识别标准是生物识别信息概念的核心要素也是厘清其与一般个人信息、敏感个人信息关系的重要依据 当下生物隐私立法呈现出界定生物识别信息的两种路径:一种是基于特定信息处理活动产生的生物识别信息另一种则是根据数据来源产生的生物
2、特征信息 从欧盟立法经验看前者以“已识别”为标准存在过于依赖信息处理者主观目的与保护范围较为狭窄的不足后者以“可识别与已识别”为标准虽扩宽了保护范围但易与医疗健康信息和生物技术概念相混淆且存在沦为“笼筐式”概念的风险 鉴于此我国应以“直接识别已识别”构建生物识别信息的识别标准并在规制法中构建“生物特征数据”概念以弥补保护法中较高识别标准所带来的局限性关键词:生物识别信息 生物特征信息 可识别 已识别 唯一性识别中图分类号:文献标识码:文章编号:()一、问题的提出生物识别信息是个人信息保护领域的重要法律概念因关涉个人独特的生物特征而往往被认定为特殊种类的个人信息享有更高程度的保护然而目前立法与学
3、术研究似乎尚未在“何为生物识别信息”这一基础问题上得出统一的答案 纵观各国立法对生物识别信息的界定呈现出两种路径 第一种是目前大多数国家立法所采用的以特定信息处理活动为标准展开的界定 生物识别信息作为与科技紧密相关的法律概念是基于特定处理活动产生的、能够识别或验证自然人身份()的生物信息例如欧盟通用数据保护条例第 条规定生物识别信息为“基于特定技术处理自然人的相关身体、生理或行为特征而得出的个人数据这种个人数据能够帮助或实现对自然人的唯一性识别例如脸部形象或指纹数据”第二种是以数据来源作为界定标准将生物识别信息视为反映身体特征的信息 例如美国得克萨斯州商业法典以“生物标识符”指代“生物特征信息
4、”并在 .()中采用列举的方法提出“生物标识符是指视网膜或虹膜扫描、指纹、声纹、掌纹或面部几何形状的记录”就两种界定方式中的识别标准而言前者以信息“能够帮助或实现对自然人的唯一性识别”为前提这一标准高于一般个人信息的识别标准后者则不再将身份识别视为必要条件在识别标准上没有额外的要求只要满足一般个人信息的可识别性即可 两种识别标准对应当下不同类型的生物信息处理技术或处理活动由此产生对个人信息权益保护的不同范围 年未来隐私论坛发布了人脸识别技术在商业应用中的隐私原则该报告将人脸识别分为以下五种技术类型:第一种检测(社会科学版 )该技术可以辨别视频或图像中的个人或其特定身体部位回答如“图像中一共有多
5、少张人脸”等问题第二种归类()该技术可根据人的身体特征展开类别的归纳如男性与女性、年龄段、表情开心或失落等第三种跟踪()这一技术可以在不识别信息主体具体身份的前提下通过辨别个体的显著特征来展开持续性追踪回答如“有多少顾客多次出入某一商店”“人们排队等待了多久”等问题第四种验证()即一对一()地核验特定主体的身份如常见的上下班打卡系统第五种识别()即一对多()地在群体中将特定的个体挑出如警方追捕逃犯的识别系统 若将五种技术类型代入上述两种界定方式之中那么仅有验证与识别技术具有身份确认的功能能够帮助或实现第一种界定方式中的“唯一性识别”由此产生较窄的个人信息权益保护范围而检测、归类与跟踪技术虽不以
6、身份识别为前提但其涉及的信息仍具有识别信息主体的可能性可作为间接可识别个人信息而受到保护 因此第二种界定方式则可以涵盖五种技术类型产生更为宽泛的个人信息权益保护值得注意的是上述两种界定方式在目前的欧盟立法中均有所体现 通用数据保护条例中“生物识别信息”的法律概念体现了基于特定处理活动的界定思路 年 月欧盟议会颁布的关于的报告草案(以下简称报告草案)提出了“生物特征信息”()的概念这一概念依据第二种界定方式而产生 与生物识别信息不同报告草案中修正意见第 项指出生物特征信息是“能够以及无法()帮助或实现对自然人唯一性识别”的信息 为便于区分本文将基于特定技术处理界定的生物信息称为生物识别信息将基于
7、数据来源界定的生物信息称为生物特征信息二者共同隶属于广义的生物识别信息总之无论是对生物识别信息的两种界定方式还是基于不同界定产生的生物识别信息与生物特征信息的不同分类其最终都归溯至“如何界定生物识别信息中识别标准”的问题 具言之生物识别信息与生物特征信息概念内识别要素的具体内涵是什么二者的识别标准又存在何种差异?不同的识别标准对于生物识别信息与生物特征信息概念本身及其在“一般个人信息敏感个人信息”的层次定位中分别产生了何种影响、反映了哪些局限与不足?鉴于我国尚未在立法与司法中对生物识别信息的内涵予以明确欧盟的相关立法实践与学术探讨可为我国提供经验的借鉴本文由是回应我国应在个人信息保护法体系内对
8、生物识别信息设定何种识别标准以实现对这一特殊种类个人信息的归入与择出伴随对人脸识别法律规制研究的深入生物识别信息逐渐引发我国学者的关注 当下对生物识别信息的研究更多从数据安全的视角展开在微观层面探讨公私法法律保护机制的构建或应用风险之监管在宏观上讨论综合立法或单独立法的模式选择从而达到保障生物识别信息安全、规制生物识别技术发展的目的 若将视角置于生物识别信息法律概念的基础理论研究学者们则达成了如下共识:首先基于自然人的生物特征生物识别信息具有唯一性、不变性与识别性的特点较强的人身属性使之与人的尊严紧密关联其次我国立法在生物识别信息的问题上存在法律概念不清、权利义务不明以及救济机制薄弱的缺陷最后
9、未来在构建我国生物识别信息的法律意涵上学者普遍认同以“反映自然人生物特征”“特定技术处理”与“能够唯一性识别自然人身份”三个要素来厘定其内涵 笔者认为目前的研究虽成果丰硕但也呈现出两方面的不足:一方面生物识别信息是与生物技术相关的法律概念对生物识别信息的研究应以技术的规制法和个人信息权益的保护法为一体两面不应做分割处理另一方面生物识别信息概念之核心与症结均在于“识别”一词“识别”直接决定了其保护范围和在个人信息体系中的定位而目前的研究尚未关注这一点“().”()/.().:/./.曾昌则在上述三个要素的基础上补充了该类信息具有可分离性信息处理者未经信息主体同意而剥离相关生物识别信息应视为侵权从
10、而增强信息主体对于该类信息的控制权 参见:曾昌.分离困境与整合路径:大数据时代下个人生物识别信息保护制度之完善.云南社会科学():.第 卷 第 期总第一八二期 二、生物识别信息中识别标准的释义及其局限性我国个人信息保护法第 条将生物识别信息作为敏感个人信息的一种类型予以保护相关立法尚未就生物识别信息的法律概念给出明确的定义 从欧盟与美国的生物隐私立法来看(表)识别特定个体是生物识别信息界定的关键要素也是其存在的目的要件 鉴于欧盟个人信息保护立法的概念体系较为成熟且对我国立法产生了深远影响本文以欧盟通用数据保护条例中采纳的“帮助或实现对自然人的唯一性识别”标准为例展开具体分析表 欧盟与美国立法对
11、生物识别信息的概念界定法域法律概念欧盟生物识别信息是指基于特定技术处理自然人的相关身体、生理或行为特征而得出的个人数据这种个人数据能够帮助或实现对自然人的唯一性识别例如脸部形象或指纹数据美国伊利诺伊州 生物识别信息是指依据个人生物识别符进行身份识别的任何信息无论其获取、转换、存储或传输的方式如何华盛顿州.生物识别标识符是指通过自动测量个人生物特征生成的数据例如指纹、声纹、眼睛视网膜、虹膜或其他用于识别特定个人的独特生物模式或特征加利福尼亚州 .()生物识别信息是指个人的生理、生物或行为特征包括与 有关的信息这些信息单独、相互结合或与其他识别信息结合使用后可以用于个人的身份识别弗吉尼亚州.生物识
12、别信息是指通过自动测量个人生物特征生成的数据例如指纹、声纹、眼睛视网膜、虹膜或其他用于识别特定个人的独特生物模式或特征 (一)技术释义:经由生物比对的识别或验证生物识别信息是与生物科技紧密相关的法律概念识别标准的阐释也需要从技术概念的厘定而出发 通用数据保护条例第 条第 项将生物识别信息的识别标准界定为“帮助或实现对自然人的唯一性识别”序言第 段为其提供了具体的阐释:“对照片的加工处理不能天然地认为是对生物识别信息这一特殊种类个人信息的加工处理只有在通过特定技术手段开展对自然人的唯一性识别或验证时才能将其认定为处理生物识别信息”由是生物识别信息识别标准的判断则转为对“通过特定技术手段开展对自然
13、人的唯一性识别或验证”的解释 其中经由特定技术处理是生成生物识别信息的前提条件而其处理的目的则在于开展唯一性识别或验证在解释何为“特定技术处理”之前有必要引入如下两个生物技术领域的概念:生物样本信息与生物模型信息 生物样本信息是指对生物特征的模拟或数字化记录该信息是对生物特征的原始处理进而将特征转化为标识如人脸照片 若以特定算法应用于生物样本信息开展重要特征的提取与归类并将结果转译成字符或标签那么这一过程称为特征提取 生物模型信息则是特征提取后的数学建模例如基于人脸照片中的关键点集而形成的面部建模 如序言第 段所述人脸照片是对人面部特征的图像化展示属于生物样本信息不能天然认为是生物识别信息虽然
14、通用数据保护条例并未对何为“特定技术处理”着以更多的笔墨但在法律解释上其可同开展“唯一性识别或验证”结合理解 具言之识别与验证是相互区分的技术手段或信息处理活动 识别是一对多的生物比对通过将测量信息与预先存在的生物数据库信息相比对以识别未知的个体可理解为在群体之中挑出特定的个体验证则是一对一的生物比对从而证实或确认被测量个体与特定信息主体是否同一 由此生物比对是识别与验证的共同流程也是“特定技术处理”的具体指向生物识别技术中的生物比对可归纳为以下七个步骤:()以某种测量技术介入自然人的身体、生理或行为特征()建模在模型()中标识测量结果()将该模型以字符串或代码的形式表示并将其关联至被测量的个
15、体该模型则成为标准模型()()将标准模型存储至生物数据库中()对新的被测量个体就相同的生物特征展开测量并建立实时模型()()将实时模型与标准模型进行比对()应用算法输出比对结果 结合序言第 段照片作为原始的生物样/:./.().:/./:.社会科学版 本信息不能被认定为生物识别信息以特定技术手段从照片中提取出的人脸特征信息或人脸模型信息也并不一定是生物识别信息只有在其用于经由生物比对的识别或验证时才可认定为生物识别信息综上所述生物识别信息中的识别标准为“帮助或实现对自然人的唯一性识别”这一标准的技术释义则为“经由生物比对的识别或验证”生物识别信息以对特定信息主体的识别或验证为目的而存在 与欧盟
16、类似美国生物隐私的专门立法或综合立法中也基本将生物识别信息的范畴限制为以识别或验证为目的的生物信息(二)法律释义:基于生物识别身份的已识别我国个人信息保护法将个人信息分为一般个人信息与敏感个人信息并将生物识别信息作为敏感个人信息的一种类型予以保护 欧盟在通用数据保护条例第 条第 款中同样将生物识别信息作为敏感个人信息的一种类型予以列举但与我国不同的是欧盟定义下的敏感个人信息并未涵盖生物识别信息的完整范围即二者是交叉重合的关系 据此与自然人的身体、生理或行为特征有关的生物信息在欧盟立法中可归纳为“一般个人信息”“生物识别信息”“敏感个人信息”三种类型(表)各自对应的识别标准从左至右依次升高表 通
17、用数据保护条例中生物信息的类型类别一般个人信息生物识别信息敏感个人信息法条序言第 段、第 条第 项第 条第 项第 条定义与自然人的身体、生理或行为特征有关的个人信息基于特定技术处理自然人的相关身体、生理或行为特征而得出的个人数据这种个人数据能够帮助或实现对自然人的唯一性识别以实现唯一性识别特定自然人的生物识别信息识别标准已识别或可识别帮助或实现唯一性识别实现唯一性识别生物技术的识别程度包括但不限于检测、识别、跟踪、验证、归类(存在争议)识别、验证识别保护机制一般个人信息一般个人信息一般个人信息特殊种类个人信息 .“帮帮助助或或实实现现唯唯一一性性识识别别”高高于于“已已识识别别或或可可识识别别
18、”生物识别信息首先归属于个人信息生物信息想要成为生物识别信息则首先应当满足个人信息可识别性的判断 从识别标准的角度看个人信息的可识别性是生物识别信息判断的门槛条件 不可否认个人信息可识别性是一个广受争议的法律概念其内涵具有较大的不确定性尽管如此相关立法文本与学术讨论仍为划定其基本边界提供了指引首先通用数据保护条例第 条第 项对“个人信息”的界定中提出“个人信息指的是任何已识别()或可识别()的自然人相关的信息一个可识别的自然人是一个能够被直接()或间接()识别的个体”第 条工作组()在关于个人信息概念的意见中将“已识别”解释为“在群体中特定个体可以与群体中的其他成员相区分()”“可识别”是指“
19、尽管尚未达到已识别但仍有被识别的可能性”此外序言第 段在判断可识别与否时提到所有能够采用的合理方法都应被考虑在内 由此可见“已识别”与“可识别”最终都指向了对信息主体识别的可能性()所以尽管第 条工作组在解释“识别”一词的内涵时采用了“与群体中其他成员相区分”“在群体中将特定个体挑出”等表述但笔者认为更为准确地表达这一识别可能性的解释则是“放大/聚焦于()一个有血有肉的个体”质言之个人信息的可识别性可理解为在特定环境下依据特定信息聚焦于特定信息主体的可能性 例如在一个班级之中?/.().:/././()/.().:/./.需要说明的是该意见不具有法律强制力仅具有一定的法律解释功能不可否认个人信
20、息的可识别性需要考虑特定的场景()第 条工作组认为“信息关联的信息主体能否被识别依赖于特定的场景”(“”)第 卷 第 期总第一八二期 “男性/女性”这样的性别信息基本不会具有识别的可能性但如果是“女性身高 体重 嘴角有一颗痣”这样的信息则具有聚焦于特定信息主体的可能其次如果说“识别”是一个在人群中拿着放大镜趋近于特定个体的过程那么“已识别”则是实现了对信息主体的聚焦而“可识别”则为无限趋近但尚未聚焦于特定个体尽管聚焦的可能性是极大的鉴于直接与间接识别同样是识别特定个体的两种方式笔者认为在生物信息的范畴内以直接识别和间接识别划分识别方式、已识别和可识别作为识别可能性的分类可以得出如表 所示的四种
21、具体的识别类型表 生物信息的识别类型识别方式识别可能性已识别可识别直接识别依据唯一识别符()将特定信息主体挑出/与其他主体相区别 例如指纹信息、面部识别信息获取的生物信息并非唯一标识符且尚未获取唯一识别符但该唯一识别符的获取是较为容易且合理的 例如在一个班级内开展学生体检体检表中的血压信息为可识别信息 因血压信息虽无法识别到具体的学生但体检表内有学生的姓名或学号而将血压信息与学生的姓名或学号相结合是较为容易的间接识别不需要其他额外信息通过一系列非唯一标识符的特有结合将信息主体特定化 例如在一个班级内通过“血型体型体态”信息可以区别出特定的学生虽然通过一系列非唯一标识符的特有结合尚难以特定化信息
22、主体但结合必要的额外信息则具有特定化信息主体的合理可能例如在一个开展健康检查的班级内通过“血型体型体态”信息往往可以特定化具体学生 但当体态信息缺失时虽然乍看起来识别具体学生不再可能但是在健康检查的环境下获取体态信息这一额外信息是可能的 最后值得注意的是表 为生物信息识别标准的类型化而非生物识别信息中识别标准的类型化如前文所述个人信息的可识别性是一个门槛性的标准即要想成为生物识别信息其首先应当是个人信息 在对个人信息的识别性标准阐述后有必要进一步明确为何生物识别信息的识别标准高于个人信息以及高出部分的具体表现结合上文的技术释义生物识别信息的识别标准体现在经由生物比对的识别与验证两项生物技术上从
23、法律意涵来看识别与验证仅能对应个人信息的已识别标准而将可识别标准排除在外 具言之识别与验证以生物比对为共同流程 生物比对是一种基于测量而探寻被测量数据与先前已记录数据的相似度与匹配度的活动而先前记录的数据则可称为信息主体的生物识别身份()与市民身份()(如父亲、丈夫)和法律身份()(如完全民事行为能力人)不同生物识别身份并不需要识别出信息主体的姓名、职业、社会关系等具体身份信息也不需要追求个性化推荐中详尽的标签化与用户画像而仅指测量样本与先前存储信息来源于同一信息主体 从生物识别身份的角度看“帮助()自然人的唯一性识别”由于是在群体中将特定信息主体挑出的过程故而其是指建立生物识别身份的识别技术
24、“实现()自然人的唯一性识别”由于是验证某信息主体是否是其所主张的信息主体的过程其先前存储的信息往往存储于单一的设备中如身份证、护照属于单一的数据库()因此它指向的是验证生物识别身份的验证技术由此一方面由于识别与验证均需要生物识别身份的存在故这两项信息处理活动均要求信息主体具有已识别的特征即可以清晰地识别出信息主体 而可识别这一逐渐向信息主体走进的标准难以建立明确的生物识别身份所以生物识别信息的识别标准高于一般个人信息的识别标准 另一方面生物识别信息与一般个人信息识别对象的差异表现在生物识别身份上即一般个人信息可能会需要建立市民身份如信息主体的姓名、身份证号等从而将其特定化而旨在对比生物特征是
25、否同一的生物识别身份则并非个人信息所必需.“帮帮助助或或实实现现唯唯一一性性识识别别”低低于于“实实现现唯唯一一性性识识别别”通用数据保护条例第 条将“为了识别特定自然人的生物识别信息”作为特殊类型个人信息纳入敏感个人信息的保护范围而实际上敏感个人信息与生物识别信息是相互交叉的法律概念 敏感个人信息的可识别标准为“唯一性识别”()此为个人信息可识别性体系中的最高标准 学界普遍认为第 条第 款中“以实现唯一性识别特定自然人的生物识别信息”在技术类型上社会科学版 仅包含识别技术不包括验证技术 因此生物识别信息中仅有以识别为目的的部分可以作为敏感个人信息享有更高程度的保护生物识别信息的识别标准低于敏
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 生物 识别 信息 界定 中的 标准 我国 建构
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。