文|杨婕 中国信通院互联网法律研究中心高级研究员
生物识别作为一种新型智能化的身份识别方式,已经在金融、安防、教育等领域得到广泛应用。生物识别个人信息本身具有防伪性好、私密性强、方便携带等优势,但其优势特性也导致生物识别个人信息的泄露、滥用将带来更严重的数据安全风险。近年来,国际社会高度关注生物识别个人信息的保护问题,规则制定上呈现以下特点:
一、立法模式:一般性数据立法中进行加强规定及专门立法两种模式并行
目前全球生物识别个人信息保护主要有两种立法模式,一种是在一般性的数据保护立法中进行加强保护的规定,以欧盟为代表。另一种是出台专门的生物识别个人信息保护法,以美国各州为代表。具体而言,欧盟《通用数据保护条例》(GDPR)将生物识别个人信息纳入第九条“特殊种类的个人数据”进行保护。美国联邦层面尚未通过针对私营部门个人信息保护的综合性立法,但美国联邦贸易委员会(FTC)对生物识别个人信息采用消费者权益保护路径,判断企业处理行为是否存在“不公平的竞争手段以及不公平或欺骗性的商业行为或做法”,并发布《关于生物识别个人信息的政策声明》,对企业的生物识别个人信息处理行为提出建议。美国州层面,一方面已有十三个州出台了综合性隐私保护法,将生物识别个人信息作为敏感个人信息的一种进行保护;另一方面,部分州针对生物识别个人信息的处理活动出台了专门立法,如2008年伊利诺伊州《生物识别个人信息隐私法》、2009年德克萨斯州《获取或使用生物识别标识符法规》、2017年华盛顿特区《生物识别隐私保护法》。此外,美国其他州、市一级也出台了不同法律法规直接对涉及生物识别个人信息的处理活动进行了规范。如,纽约州《劳工法》规定禁止雇主要求雇员提供指纹作为就业或继续就业的条件,除非其他法律另有规定。
二、定义范围:生物识别个人信息定义范围不断更新扩大
一般性数据立法通过“定义+有限列举”的方式明确生物识别个人信息范畴。规定生物识别个人信息是通过特定技术手段获取的,能够识别特定个人身份的,与自然人身体、生理或行为特征相关的信息。并列举指纹、虹膜等具体类型。专门的生物识别个人信息立法通过“列举”的方式明确范围。伊利诺伊州规定生物识别个人信息包括视网膜或虹膜扫描图、指纹、声纹、手或脸的几何扫描图形。而加州立法中,增加了能够提取为生物识别个人信息的模板以及睡眠、健康、运动数据等新的生物识别个人信息类型。
三、保护规则:对生物识别个人信息适用更严格的保护规则
一般性数据立法中都是把生物识别个人信息作为敏感个人信息进行加强保护,以禁止收集、使用为原则,列举可以收集、使用的例外情形。专门的生物识别保护立法规定了更为细化的保护规则。规定收集前需通知个人;开展数据保护影响评估;需强化安全保护措施;仅限于收集时的目的才能留存,并规定留存的时限;处理目的完成时应及时删除等。美国州层面立法对企业的保护义务规定更为严格,其中尤以伊利诺伊州最为明显。要求企业以书面形式告知用户,并取得用户的书面同意;公开书面的生物识别个人信息处理政策,建立数据留存、销毁的计划、指南;及时销毁用户生物识别个人信息等。
四、小结
现阶段人类对部分生物识别技术发展水平与速度的控制力已显不足,需要防患于未然。生物识别个人信息的保护与利用平衡,是需要慎重探讨的问题。一方面,需要统筹开发,依法建立数据共享、开发的协调机制;另一方面,需要强化监管,在立法领域形成技术应用风险防控体系,加强管理。通过融合法律手段和体制机制建设,有序利用生物识别技术。
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
