文\朱徐
摘要:生物识别信息作为现代身份识别的唯一标识,其所承载的权益相比一般个人信息更加复杂。本文通过对个人生物识别信息侵权现存问题的分析,并对美国和欧盟的个人生物识别信息侵权救济立法规制进行研究,探讨我国个人生物识别信息侵权法救济。从利益平衡原则出发,通过分级式保护个人生物识别信息、细化分类生物识别信息侵权形式和研究新型民事侵权保护范式,以此来建立和完善我国的个人生物识别信息民事侵权救济机制。
关键词:生物识别信息;侵权规则;侵权救济机制;
前言
大数据时代下,由于互联网和科学技术的快速发展,生物识别技术的应用领域不断扩大。生物识别作为大数据时代身份识别的新形态,其所具备的高效性、便捷性等优点为传统身份识别方式所不能及,与此同时,信息主体的生物识别信息侵权问题横生,个人生物识别信息的安全性不断受到质疑,如何减缓频频出现的个人生物识别信息侵权事例、规制侵权行为,从而有效加强对生物识别信息的保护,以满足当前社会中人们对个人生物识别信息的安全需求,已经成为一个亟待解决的问题。
一、个人生物识别信息侵权现存问题分析
“生物识别”这一现代新型个人身份识别方式,因其具备快捷方便且高度准确性的优点而备受青睐,但应运而生的则是信息主体的生物识别信息受到不法侵害的现象频频发生。生物识别信息作为个人生理特征(面部、声音、血型、指纹、DNA等)和行为特征(步态等)解码的结果,[]与一般其他个人信息相比更为敏感、更为私密,与信息主体相绑定,这种高度的人身专属性赋予了其与其他个人信息更高的经济价值,但从生物识别信息侵权角度看,也决定了生物识别信息侵权所受到的损害与一般个人信息相比,损害程度更高、弥补难度更大。因此,需要对个人生物识别信息侵权问题进行理论研究,进一步维护信息主体生物识别信息的民事侵权救济权利。
(一) 个人生物识别信息侵权现象频发
随着大数据时代下指纹、人脸、虹膜等生物识别信息广泛应用于金融、安防、身份验证等领域,生物识别信息便具备了相当大的交换价值。近几年来,我国生物识别市场规模复合年均增速已经达到50%以上,发展迅速,商业化步伐还在进一步加速中。[]且生物识别信息通过特定技术处理以二进制的形式转化为生物标识符存储于计算机中,由于科学技术的进步,对生物识别信息的获取与解码等手段也更加容易。如人脸识别信息的获取无需严格的信息环境,普通的设备即可完成对不知情或未经授权的信息主体的人脸信息收集,因而侵权者完全可以通过隐蔽且低成本的方式远距离地对生物识别信息主体实施侵权行为。如2019年9月15日的国家网络安全宣传周上海地区活动中引发社会广泛关注的“剪刀手泄密之忧”,即被拍摄者的指纹信息可以通过智能手机拍摄的照片中比出的“剪刀手”被100%提取还原。此外,网络服务提供者未经信息主体同意对其个人生物识别信息进行不正当的采集、合法采集但不正当使用、未经信息主体同意而随意披露等侵权行为在当今社会屡见不鲜。在没有获得用户明确同意的情况下随意采集和使用用户生物识别信息的App不在少数。如ZAO这一“换脸App”的用户协议条款要求对用户的生物识别信息享有可转授权、可再授权等超出合理正当内容的权利,即使是整改后,该用户协议仍保留了网络信息传播的权利,这显然对信息主体的生物识别信息造成了侵害。再如2021年3·15晚会曝光的科勒卫浴、Max Mara等多家知名商店安装人脸识别摄像头未经消费者同意盗摄人脸信息,并进行分析,这严重侵害了信息主体的生物识别信息安全。不仅如此,人工智能发展下的深度伪造也存在着个人生物识别信息的侵权风险,从脸部伪造、声音伪造,再到全身的深度伪造,这种深度伪造的滥用所造成的损害后果对个人、对社会来说都是颠覆性的。
(二) 个人生物识别信息侵权因果关系认定难
生物识别信息与一般的个人信息不同,它的信息处理需要特定技术,即计算机自动化程序对个人生物特征,如个人的面部、指纹等进行几何扫描、计算、建构模板,从而形成虚拟数据或数字数据,保存在计算机数据库或特定介质中,从而用来“识别”特定的自然人。[]生物识别信息的相关处理如数据采集、存储、使用等诸多环节很难被信息主体悉知与完全掌握,这将使人们难以对生物识别信息侵权中的因果关系进行明确确定,更遑论大数据时代下存在的复杂算法黑箱,进一步加大了信息主体想要悉知个人生物识别信息被采集、使用等信息的难度。如果一个拥有大量用户生物识别信息数据的网络服务提供者不经其用户的授权,而将用户的生物识别信息进行贩卖,这些被贩卖的生物识别信息又将用作何种用途,会对用户造成什么样的损害,是我们无法得知的,网络服务提供者的不法贩卖行为与生物识别信息侵权的损害结果有何种的因果关系,也是我们难以认定的。除此之外,在多个信息处理者就同一信息主体的同一生物识别信息进行诸如采集、传输、使用等不同环节存在分工或混合工作时,当对信息主体的生物识别信息产生侵权损害时,如何厘清多个行为中何种行为是对生物识别信息进行的侵权行为、行为与生物识别信息侵权损害结果的产生有无民事侵权法上的因果关系,是相当复杂繁琐、难以明晰的。诸如此类复杂的侵权行为与生物识别信息侵权损害结果之间的因果关系,迫切需要得到厘清,否则将很难对侵权行为进行规制,被侵权的信息主体的生物识别信息侵权救济也将难以有效展开,不能实现权利的充分救济。
(三) 个人生物识别信息侵权损害事实确定难
如何明确认定损害事实和损害程度是被侵权人获得损害赔偿救济的关键。而在对个人生物识别信息侵权案件中,侵权行为主体对被侵权人生物识别信息的侵害行为并不一定会导致被侵权人人身性权利或财产性权利的物质性损害发生,无法衡量的无形损害发生是可能存在的,即程序性的损害性。侵权行为主体对被侵权人生物识别信息造成非物质性损害时,被侵权人对所受损害存在举证困难困境下如无法充分证明所受损害程度,法院往往依据有侵权行为从而推定存在损害后果,以此来认定个人信息侵权造成的损害程度[],这种认定依托于法官的自由裁量权,没有相对的标准;侵权行为主体通过实施违反法律规定的诸如告知义务、通知义务、安全保障义务等程序性义务的侵权行为,这种程序性违法的侵权行为一般不会导致物质性的损害结果发生,损害结果呈现“非物质性”的特点,这种类型侵权损害结果的出现对于信息主体来说,如何举证自己的生物识别信息遭受侵害以及权益损害程度的区间,难度极大。当信息主体要就其个人生物识别信息受到程序性违法的侵害来提起民事诉讼,因不能提出具有实质性的损害事实而得不到有效救济。个人生物识别信息作为现代技术对人体生物特征进行计算分析而形成的数字化标识,关联信息主体的人身和财产权益,其相对于一般的个人信息来说具有唯一人身对应性、独一无二性、不可改变性等特点。具有高度敏感性和人身属性的个人生物识别信息直接反映信息主体的生理特征和行为特征,一旦遭到泄露,这种泄露是永久的,会将信息主体的个人信息安全置于更大的危险不确定性中,进而引发一系列风险,[]其不能像一般个人信息如密码、证件等进行更换、补办或索回,个人生物识别信息侵权损害所造成的后果是不可逆、不可补救的。在目前的民事侵权救济模式下,很难充分保障受害方的民事权利,对生物识别信息侵权损害结果的弥补与赔偿难以得到充分地实现,因为侵权损害结果难以确定的事实存在。
二、部分域外个人生物识别信息侵权救济立法规制
(一) 美国专门立法保护模式下的个人生物识别信息侵权救济
美国主要是从州的层面进行具体的立法,如伊利诺伊州2008年通过的BIPA、得克萨斯州2009年通过的《采集和使用生物识别数据法》、华盛顿州2017年签署通过的《华盛顿法案》、旧金山2019年通过的《停止秘密监视条例》等。其中伊利诺伊州的BIPA被称为“最严格的生物识别隐私法”,是唯一允许个人就企业的违法行为对生物识别信息造成损害提起诉讼的法律。[]BIPA明确了信息主体对私营企业违反相关生物识别信息保护法律的侵权行为提起民事诉讼的权利,并且规定了私营企业支付侵权损害赔偿的经济赔偿金标准。私人企业就其过失侵权行为需要赔偿1000美元或实际损失价值,以较高者为准,私人企业就其故意侵权行为,私人企业需要赔偿5000美元或实际损失价值,以较高者为准,此外如果受害者胜诉,私人企业还需支付受害者的律师费、专家证人费和诉讼费用。BIPA自生效后,多起与个人生物识别信息泄露等民事侵权案件根据BIPA提出,说明该法已成为保护个人生物识别信息的重要法律依据。但是,对于生物识别信息侵权法律责任的承担上尤其是生物识别信息侵权中无实际损害事实的发生,使得美国在这方面仍未达成统一的判定标准。
2017年伊利诺伊州一市民以六旗主题公园未经父母同意就对其14岁的儿子在入园时进行指纹识别并储存了指纹的行为而根据BIPA提起诉讼。伊利诺伊州上诉法院判决认为原告并未证明未经授权的收集行为造成了实际的损害,故驳回原告的诉讼请求。但2019年1月伊利诺伊州最高法院裁定认为当事人不受到实际损害也可以依据BIPA的规定进行维权,推翻了原审法院的判决。法官认为,“在得出相反的结论时,上诉法院单独将违法行为定性为仅仅是技术性的,然而,这种定性误解了本州立法机构力图通过这项立法与之斗争的损害的性质。该法案赋予个人和客户控制其生物特征信息的权利,要求他们在收集之前发出通知,并给予他们拒绝的权利,这些程序性保护在我们的数字世界汇总尤为重要,因为现在的技术允许大规模收集和存储个人独特的生物识别标识——如果被破坏或滥用,这些标识是不能改变的。”[]伊利诺伊州最高法院认为公民根据BIPA有资格成为“受损害的”人,并可根据该法案要求违约金和禁令救济[],即使原告尚未受到实际伤害或不利影响,而只是被侵犯了本人根据该法案所应享有的公民权利。[]在本案中,该法院适用了如下规则:即使信息主体的生物识别信息并未遭受物质性实际上的损害,仍有权行使法案赋予的侵权救济权利并得到支持。这说明相比一般的个人信息侵权救济而言,生物识别信息侵权救济的要求更低,这是由生物识别信息的高度敏感性与损害后果不可预测性、难弥补性决定的。2015年伊利诺伊州居民就Facebook在未向用户征得书面同意的情况下利用用户上传到该平台的照片进行用户面部识别数据采集和存储的行为提起集体诉讼。Facebook提出原告不能证明自己遭受实际损害,要求法院撤销该诉讼,但法院驳回了该公司的上诉。2020年1月,Facebook以支付5.5亿美元并支付原告诉讼费的代价与集体诉讼的原告达成了和解协议。但在2016年针对谷歌未经用户同意而收集用户面部识别信息而提起的集体诉讼中,法官于2019年以原告不能证明其因谷歌公司的行为而产生实际损害的原因驳回了原告的起诉。
由于网络的跨区域性、相对隐蔽性和大数据时代下信息的相对集中性、易获取性,被侵权人的射程范围不会仅限于一个信息主体,而是多个信息主体。针对此类有共同事实问题或法律问题的群体性纠纷,美国采取集合性的、模糊性的救济方式,即集团诉讼。集团诉讼把所有基于同一法律问题或事实问题所涉及的全部利害关系主体视为一个诉讼集团,不受地域和时间上的限制,[]相比于个人诉讼而言更能在最大程度实现权利的救济、经济效益更高。在生物识别信息程序性侵权的案件中,主要表现为侵权行为人未经信息主体授权的采集、存储生物识别信息、泄露或篡改信息主体的生物识别信息等行为。侵权行为人消极履行或不履行程序性义务,也即信息处理方所违反的是关于控制、处理、使用个人数据的禁止性、限定性等程序性法律条款。[]这类违反程序规则的侵权行为往往会导致侵权损害结果的非物质性,这便让被侵权人难以证明自己因该程序性侵权行为使本人的生物识别信息受到了损失。因此,根据美国的司法实践,当信息主体将BIPA作为与个人生物识别数据有关的民事侵权救济和损害赔偿的依据时,联邦法院都以其没有受到实际损害,或者以其不能证明他们受到实际损害而驳回诉讼。BIPA虽然确定了信息主体拥有生物识别信息侵权救济的权利和赔偿金额范围,但对于无形损害结果方面仍未作出明确规定,许多诉讼请求因缺乏实质、具体、事实上的“损害”,因为达不到美国关于侵害隐私权的“损害”程度而得不到法院的支持。[]
(二) 欧盟统一立法保护模式下的个人生物识别信息侵权救济
2016年欧盟通过的《通用数据保护条例》(GDPR)作为目前影响最为深刻的个人信息立法,采取统一立法保护模式,即民法规制、刑法规制、行政法规制于同一法律中。GDPR明确生物识别信息属于个人信息的一种,同时对生物识别信息进行了定义:“由与自然人的身体、生理或行为特征有关的特定技术处理产生的个人数据,这些数据如面部图像或指纹数据是能够识别或确认该自然人的唯一标识。”[]该法明确以独特地识别自然人为目的的生物特征数据即生物识别信息属于“特殊类别的个人数据”,[]采取信息控制者(data controller)-信息处理者(data processor)的二元模式[],对信息控制者和处理者处理生物识别数据有明确的限制。
GDPR明确规定,如果数据主体的个人生物识别数据被侵权,被侵权人有权获得司法救济,但在行使救济之前,需要向数据监督机构提出申诉。同时GDPR规定在不损害任何其他行政或司法补救措施的前提下,信息主体享有对监管机构消极作为的行为(不处理投诉或不通知信息主体当事人)的有效司法补救的权利,[]享有对数据控制人或处理人因不遵守CDPR的规定处理数据而使信息主体的生物识别信息受到侵犯的行为的有效司法补救的权利[]。在侵权赔偿责任上,GDPR规定被侵权人有权就信息控制者、信息处理者对个人生物识别信息的侵权行为索求赔偿,对侵权损害结果并不要求必须是物质性的,在该法第82条第1款中明确列举出了“非物质损害”也同“物质性损害”一样有权向侵权行为人即信息控制者或信息处理者索赔。在若涉及多个侵权行为人时,GDPR规定该侵权行为造成的损害由多个侵权行为人承担连带赔偿责任,侵权行为人内部可以进行互相追偿。[]在侵权归责原则上,GDPR承继1995年欧盟第95/46号数据保护指令,采取过错推定原则,要求侵权行为人承担严格责任。
GDPR中,生物识别信息的信息主体的司法救济多需通过行政诉讼和行政处罚来实现,如2015年北爱尔兰最高法院审理的涉及英国警方就长期保留罪犯的个人生物识别信息这一事项是否有权的行政诉讼案件,2019年瑞典数据监管机构(DPA)针对一所学校使用人脸识别系统对学生进行考勤这一违反GDPR的行为开出金额为20万瑞丹克朗(约合人民币14.8万元)的罚单[]。GDPR并未对个人生物识别信息民事侵权救济方面规定更多。此外,GDPR对于生物识别信息侵权损害认定尤其是“非物质损害”认定上进行范围的规定。在信息主体的生物识别信息被侵权却未造成实际损害即“非物质性损害”时,不同的信息主体对生物识别信息侵权的感受程度往往不同,即使是同一信息主体在不同的应用情境中就其生物识别信息侵权的感受程度也有所不同。因此针对个案的赔偿金额应当综合考虑确定,而非用单一的客观标准来量化。
三、我国个人生物识别信息侵权规则的建构
我国在2017年的《网络安全法》第76条中首次明确个人生物识别信息属于个人信息的一种;2017年12月29日发布的《信息安全技术个人安全规范》将个人生物识别信息定义为个人敏感信息的一种;2020年通过的《中华人民共和国民法典》在“人格权篇”的第1034条中明确规定“生物识别信息”属于个人信息的一种,并在第1035条至第1039条中对个人信息处理原则、侵害个人信息免责事由、公民对个人信息所享有之权利、信息处理者义务、承担行政职能的法定机构及其工作人员对个人信息的保密义务等进行了详细规定,根据民法典的规定,可见自然人对于个人信息尤其是生物识别信息应当是实现完全支配的,同时将个人信息纳入人格权编,说明其具备人格属性,而自然人与其具有人格属性的生物识别信息应当是一体的[];2021年6月8日通过的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称人脸识别民案规定),规定了信息处理者利用网络服务处理人脸识别侵害信息主体人格权益、给信息主体人格权益造成财产损失的,信息主体有权通过民事侵权救济路径要求信息处理者承担侵权责任,明确了财产损失的赔偿范围和自然人有权申请人民法院作出人格权侵害禁令;2021年8月20日全国人大常委会审议通过的《中华人民共和国个人信息保护法》,明确了生物识别信息作为敏感个人信息的一种处理规则,在第五章规定了个人信息处理者对信息主体生物识别信息的侵权行为承担过错推定侵权责任、明文规定了侵权损害赔偿、以及提出信息主体生物识别信息侵权的公益诉讼民事侵权救济机制。
目前我国就生物识别信息民事侵权法律救济的规制而言尚未构建完整法律框架,这使得信息主体难以充分行使生物识别信息民事救济权利。正如被称为国内“人脸识别第一案”的郭兵与杭州野生动物世界有限公司服务合同纠纷一案中,法官以合同成立与否的角度阐述杭州野生动物园对郭兵使用人脸识别技术行为是否有效,从而认定杭州野生动物园违约[],当然这也是因为当事人在合同之债与侵权之债竞合中选择了从合同之债路径出发维护自身权益,并没有从侵权之债路径出发对该侵权行为进行相关民事救济。因此,针对信息主体生物识别信息侵权事件频出这一现象,关于这一民法上的侵权行为,中国应制定与生物识别信息相关的民事侵权确切规则,保障权利人生物识别信息就民事侵权私法上的救济。
(一) 个人生物识别信息采阶梯型分级保护
生物识别信息作为直接采集于人体固有生理特征、行为特征,通过计算机与特定技术处理的信息数据。生物识别信息之所以敏感,在于其与信息主体的人身属性高度挂钩,其所反映的个人生物特征是独一无二、不可更改的,一旦泄露便无法像其他通常的个人信息进行更换、补办与索回,这也侧面反映出生物识别信息所隐含的经济价值。生物识别信息的这种高度敏感性需要法律采取有别于其他一般个人信息的保护规制时,不仅如此,不同类型的生物识别信息之间敏感程度也有所不同。如信息主体的人脸信息相较于其他类型生物识别信息而言,更容易被采集,因为采集方式不需要直接接触,普通摄像头即可进行采集,且这种非接触式的采集更加隐蔽,法律规定的“信息采集书面告知机制”更容易失灵,刷脸常在权力、地位不对等的环境中被使用[]。除此之外,不同类型的生物识别信息在受到同种程度的侵害后所产生的损害结果也有所不同,就信息泄露而言,信息主体的指纹、人脸信息泄露所产生的危害结果远大于诸如步态、笔迹等可通过一定的人力进行改变的生物识别信息泄露。不同类型的生物识别信息在不同应用场景中敏感程度不同,受到侵害时所侵害的法益也有程度强弱之分,有必要借鉴国外“场景”理论与相关立法,兼采静态和动态认定方法,兼顾不同种生物识别信息利用的情景、目的等变量因素,动态分析信息主体面临权益损害的风险程度,从而对不同生物识别信息类型的敏感度作出准确判定,[]有针对性地对不同类型的生物识别信息采取阶梯型分级保护——可分为强、中、弱三等级。正如一些学者主张的那样,依据个人信息数据的具体类型和不同场景中所涉及的权益性质,针对性地采取不同保护模式。[]同样地,有学者提出并用场景抽离和场景融入路径来界定敏感个人信息的这一观点,[]也给判定同类型生物识别信息在不同应用场景和不同类型在同一应用场景的敏感程度高低提供了另一条思路,使得对个人生物识别信息进行阶梯型分级的保护更科学、更具可操作性。
(二) 明晰生物识别信息侵权行为类型
为信息主体能充分得到私法侵权救济,需要对信息主体的生物识别信息被侵害的现象进行剖析,明晰侵权行为类型,可以分为程序性的和实体性的侵权行为模式,从而针对不同侵权行为类型采取相应的民事侵权救济路径。其中,从程序性的侵权行为模式来说,主要指信息处理者消极履行或不履行法律规定的相关程序性义务,如信息处理者未经信息主体同意的采集使用、披露等的行为、未对信息主体履行相关程序性义务的行为都属于程序性侵权形式的侵权行为。多款APP涉嫌过度收集个人生物识别信息的侵权行为就侵害了信息主体对个人生物识别信息的知情权和同意权,属于程序性侵权形式,这种侵权行为模式一般不会对信息主体造成物质性的损害,往往这种损害是“非物质性”的。而实体性的侵权行为模式,主要是侵权行为人会对信息主体的生物识别信息造成物质性的损害。著名黑客Krissler在苹果新一代TouchID发布后一天,便破解了苹果的TouchID技术,通过IPhone屏幕上留下的指纹污点,扫描复制指纹模型,利用这个模型黑进手机。[]“深度伪造”(deepfake)技术对个人的声音信息、面部特征和身体动作进行拼接合成,通过神经网络技术大样本学习,以此模仿生成特定个体的图像,并且达到以假乱真。国内名为“ZAO”软件中将明星的脸换成用户自己的脸、国外名为“FakeAPP”软件能够实现“一键换脸”功能。环球网报道美国圣地亚哥的一家人工智能公司Kneron用一个特质的3D面具,成功欺骗了包括支付宝和微信在内的诸多人脸识别支付系统,完成了购物支付程序。[]这些都严重侵害了信息主体的合法权益,通过对侵权行为进行分析,将层出不穷的侵权行为进行模式归类,才能让信息主体在个人生物识别信息民事侵权上更好地实现权利的救济。
(三) 新型民事侵权保护范式的研究
生物识别信息所涵盖的复杂权益与相对一般个人信息的特殊性,传统的民事侵权保护范式难以使信息主体的权利充分得到救济,因此需要对传统民事侵权保护范式进行相应的变通,以充分保障信息主体的救济权利。如何认定损害事实与因果关系,完善生物识别信息民事侵权中的举证责任机制、责任承担机制,如何解决基于同一诉讼事由生物识别信息侵权的案件中群体性的侵权纠纷等难题需要进行深入的研究。
1. 明确个人生物识别信息侵权“非物质性损害”认定
我国在民事侵权救济法律规定上应当充分认识到生物识别信息侵权损害结果存在“物质性损害”与“非物质性损害”,对损害的认定应当明确。对于仅仅违反程序性的规定而对个人生物识别信息进行侵权,却没有产生损害事实的行为该如何规制,是个难题。我国《民法典》对个人信息侵权行为的规制,是从程序性的权利与义务出发的,即要求权利人明确同意、处理个人信息的合法、正当、必要原则、信息处理者的安全补救义务、权利人的信息删除权等各项规定都体现出程序性的要求。对于信息处理者违反程序性义务的侵权行为,往往产生的损害是无形的,是“非物质性损害”,被侵权人在民事诉讼救济中难以证明损害的发生,从而使得信息主体无法得到充分有效的司法救济。这就引发了美国司法实践中通常遇到的“案件——诉讼——损害”的法理逻辑以及“程序性违法”的损害赔偿类似的问题。[]因此,我国应当明确个人生物识别信息侵权损害的认定并进行相关规制。对于程序性违法的侵权行为,可以认为其损害的是信息主体对个人生物识别信息的期待利益。或控制者的程序性违法行为,导致信息主体对个人生物识别信息上所带有的相关可期待的利益不能实现。如在支付领域中,信息处理者或控制者未及时更正信息主体的生物识别信息,信息主体不能被认定个人身份而导致支付不能,信息主体就该程序性违法行为失去了生物识别信息在交易功能上的可期待利益。从保护信息主体的合理期待利益出发,对生物识别信息侵权造成的“非物质性损害”进行侵权救济,同时对赔偿金额作出明确的范围规定,不能因缺乏物质性损害而否定信息主体进行民事侵权救济。
2. 个人生物识别信息侵权归责原则灵活化
个人生物识别信息侵权对被侵权方、侵权责任人以及法院等各方主体而言诉讼成本都比较高,从主体诉讼能力到侵权证据乃至案件审理的整个流程都会导致个人生物识别信息侵权问题难以得到高效解决,一个案件往往成为耗时良久的拉锯战。[]注重个人生物识别信息的保护需要达到个人信息处理中的自然人保护和信息自由流通相平衡。《个人信息保护法》第69条第1款明确规定了信息处理者对信息主体生物识别信息的侵权行为的责任承担采取过错推定归责原则。在此规定下,如果个人生物识别信息不准确或不完整非因处理者的过错造成的,而完全是因为客观情况发生变化等导致的,信息处理者如果可以证明自己没有过错,就不需要承担赔偿责任。[]但是由于生物识别信息的特殊人身专属性与高度敏感性,笔者认为,生物识别信息侵权归责原则应当灵活化,在不同的生物识别信息侵权场景下适用不同的归责原则,以此充分保护生物识别信息所承载的法益。对于信息处理者或控制者对信息主体的生物识别信息的实体性侵权行为,应当采用过错推定原则;对于信息处理者或控制者对信息主体的生物识别信息的程序性侵权行为,应课以严格的责任承担,不应当以其主观无过错而不认定为侵权,故此应当采用无过错责任原则。与此同时,主张方的部分举证责任应当转移于被侵权人信息处理者或控制者,即应当提出初步的侵权证据,但举证责任转移并没有免除主张方的证明责任,它所转换的只是当事人提出证据的责任,即主观的证明责任。[]此外,对于并未利用信息处理者或控制者的身份和信息数据处理相关技术,而对信息主体的生物识别信息进行的侵权行为,该种侵权人应采用一般过错原则进行归责。我国《民法典》规定承担侵权责任的方式主要有:停止侵害、排除妨碍、消除危险、返还财产、恢复原状、赔偿损失、赔礼道歉、消除影响、恢复名誉。[]就信息主体的生物识别信息民事侵权案件中,也是同样适用的。
3. 个人生物识别信息侵权因果关系的认定
对于信息主体生物识别信息侵权案件中,因果关系的认定相当复杂也很难由权利人证实其存在。如信息处理者未经信息主体同意采集信息主体的生物识别信息,这种违反程序性义务的行为与信息主体的生物识别信息遭到泄露导致财产损失之间是否存在因果关系,权利人很难举证证明,因为生物识别信息泄露导致财产损失这一事实中,生物识别信息的泄露也存在多方因素,财产损失更是多种因素的结合。目前侵权法中相当因果关系的理论能否难以为信息主体生物识别信息侵权的救济提供建设性的帮助,从而实现权利人权利的充分救济,是一个问题。民事侵权法中,因果关系的适用目的是确定责任的范围,与侵权归责密切结合,从而根据侵权行为人的过错确定行为人侵权责任的承担。针对数据时代个人生物识别信息侵权案件中,适用何种因果关系存在不同学者的见解。有学者认为应当适用条件因果关系来认定,[]凡是与生物识别信息侵权损害事实的发生有关的行为,认定该行为与损害事实存在因果关系,应当承担侵权责任,即是事实上的因果关系即可。但是这种观点的确从最大程度上保护了信息主体的民事侵权法救济权利,但从利益平衡角度而言,给信息处理者苛以较重的法律责任,不利于经济的发展。也有学者认为传统的相当因果关系理论在个人生物识别信息侵权追责中,同样也能实现权利人权利的救济。[]
4. 生物识别信息群体性侵权纠纷的解决
由于生物识别信息技术处理的特殊之处,使得个人生物识别信息民事侵权案件中往往存在被侵权主体众多、所诉事由同一或同种等特点。生物识别信息侵权中,所被侵权的信息主体往往不是特定人,而是不特定的多数人。生物识别信息侵权一般都存在被侵害者数量较多、被侵害人员分布较为零散、取证举证能力较弱的特征,应当在程序层面对上述主体体系进行整合,提高权利救济的相关效率与质量。[]美国针对生物识别信息侵权多人诉讼的做法是采取突破时间和地域限制的集团诉讼,我国民诉中规定的共同诉讼、代表人诉讼等与之有相似之处,但又有所不同,二者虽然都是针对群体纠纷集合的私法救济,但前者又比后者更为具体。我国没有集团诉讼生长与发展的环境,缺乏集团诉讼发挥作用的配套机制。[]针对生物识别信息群体性纠纷,美国采取的集团诉讼并不符合我国的社会现状和当前司法运作环境。而我国目前规定的共同诉讼与代表人诉讼等规定,可以在一定程度上解决生物识别信息群体性的侵权纠纷。侵权行为人对社会不特定群体实施的生物识别信息不法侵权行为,不仅侵害了信息主体的合法权益,更侵害了网络社会的信息流通安全,损害社会公共的利益。对于危害程度达到损害社会公共利益或涉及众多个人权益的生物识别信息侵权案件,根据《个人信息保护法》第70条的规定,我国已经提出了个人信息公益诉讼制度,据此,针对生物识别信息群体性侵权纠纷,法定组织可以提起民事公益诉讼。最高检发布的11例检察机关个人信息保护公益诉讼案例,证明公益诉讼提高了个人信息侵权纠纷解决的效率和效益。而作为更加敏感的个人信息——生物识别信息,在涉及群体性侵权纠纷时,适用公益诉讼制度也更能使得信息主体的民事救济权利得到充分保障。
四、结语
对个人生物识别信息的法律规制,应当采取比例原则,兼顾信息安全与信息自由流通的效率,平衡信息安全与经济效益二者之间的关系。美国在个人生物识别信息的民事保护层面上,更倾向于注重隐私权的保护,但体系较为零散;欧盟在个人生物识别信息的保护层面上,更为严格和系统性,但对于民事上救济的法律规制较少,多为行政上的法律规制。目前中国的个人生物识别信息被贩卖和不法披露等民事侵权现象日渐严峻,如何维护公民对个人生物识别信息安全的正当诉求,在民事诉讼机制上实现救济的可能,不仅需要充分学习借鉴国外的经验,并立足于本土国情创造性地建立和完善生物识别信息侵权救济机制,以更好地保障公民个人信息安全,维护多种利益的平衡与社会的稳定。
参考文献
[] 李怀胜:《滥用个人生物识别信息的刑事制裁思路——以人工智能“深度伪造”为例》,《政法论坛》,2020年第4期。
[] 王丽:《生物识别信息滥用催生灰色产业》,《方圆》,2019年第24期。
[] 付微明:《个人生物识别信息民事权利诉讼救济问题研究》,《法学杂志》,2020年第3期。
[] 陈吉栋:《个人信息的侵权救济》,《交大法学》,2019第4期。
[] 张凯伦、王倩:《“人脸和指纹都在裸奔” 个人生物信息期待立法保护》,《公民与法(综合版)》,2019年第4期。
[] 胡鹏鹏:《大数据背景下个人生物识别信息的立法保护研究》,《信息安全研究》,2020年第9期。
[] 俞飞:《海外个人生物信息攻防战》,《方圆》,2019年第24期。
[] 商希雪:《生物特征识别信息商业应用的中国立场与制度进路 ——鉴于欧美法律模式的比较评价》,《江西社会科学》,2020年第2期。
[] Rosenbach v. Six Flags Entertainment Corp. 2017 IL App (2d) 170317, No. 2-17-0317.
[] 薛永慧:《代表人诉讼抑或集团诉讼:我国群体诉讼制度的选择》,《中国政法大学学报》,2009年第5期。
[] 付微明:《个人生物识别信息民事权利诉讼救济问题研究》,《法学杂志》,2020年第3期。
[] 付微明:《个人生物识别信息的法律保护模式与中国选择》,《华东政法大学学报》,2019年第6期。
[] See In article 4, paragraphs 16 of General Data Protection Regulation.
[] See In article 5, paragraphs 1 of General Data Protection Regulation.
[] 石佳友:《个人信息保护的私法维度——兼论《民法典》与《个人信息保护法》的关系》,《比较法研究》,2021年第5期。
[] See In article 78, paragraphs 1 of General Data Protection Regulation.
[] See In article 79, paragraphs 1 of General Data Protection Regulation.
[] See In article 82 of General Data Protection Regulation.
[] 李怀胜:《滥用个人生物识别信息的刑事制裁思路——以人工智能“深度伪造”为例》,《政法论坛》,2020年第4期。
[] 曾昌:《分离困境与整合路径:大数据时代下个人生物识别信息保护制度之完善》,《云南社会科学》,2021年第5期。
[] 郭兵诉杭州野生动物世界有限公司服务合同纠纷案,浙江省杭州市富阳区人民法院(2019)浙0111民初6971号民事判决书。
[] 韩旭至:《刷脸的法律治理:由身份识别到识别分析》,《东方法学》,2021年第5期。
[] 张勇:《敏感个人信息的公私法一体化保护》,《东方法学》,2022年第1期。
[] 劳东燕:《个人数据的刑法保护模式》,《比较法研究》,2020年第5期。
[] 宁园:《敏感个人信息的法律基准与范畴界定——以《个人信息保护法》第28条第1款为中心》,《比较法研究》,2021年第5期。
[] 付微明:《大数据时代个人生物识别信息法律保护的重要意义》,《研究生法学》,2019年第4期。
[] 《骗过微信、支付宝,美国公司3D面具即可破解人脸识别》,载澎湃号,http://www.thepaper.cn/newsDetail_forward_5273977。
[] 付微明:《个人生物识别信息民事权利诉讼救济问题研究》,《法学杂志》,2020年第3期。
[] 林凌、贺小石:《人脸识别的法律规制路径》,《法学杂志》,2020年第7期。
[] 程啸:《论我国个人信息保护法的基本原则》,《国家检察官学院学报》,2021年第5期。
[] 薛永慧:《民事诉讼举证责任倒置刍议》,《政法论坛:中国政法大学学报》,2004年第3期。
[] 《中华人民共和国民法典》第179条。
[] 徐明:《大数据时代的隐私危机及其侵权法应对》,《中国法学》,2017年第1期。
[] 陈吉栋:《个人信息的侵权救济》,《交大法学》,2019年第4期。
[] 曾昌:《分离困境与整合路径:大数据时代下个人生物识别信息保护制度之完善》,《云南社会科学》,2021年第5期。
[] 薛永慧:《代表人诉讼抑或集团诉讼:我国群体诉讼制度的选择》,《中国政法大学学报》,2009年第5期。
浙江国傲(长三角一体化示范区)律师事务所
地址:嘉兴市嘉善县晋阳东路818号国开商会大厦1号楼5层西侧
总台电话:0573-84888387
