于洋|| 论个人生物识别信息应用风险的监管构造

作者简介:于洋,上海财经大学法学院。文章来源:《行政法学研究》2021年第6期。基金项目:上海哲社青年项目“上海自贸区规范性文件合法性监督机制研究”的阶段性成果(项目编号: 2018EFX009)。为便于编辑,注释及参考文献已略,引用请以原文为准。

摘要

以人脸识别信息为代表的个人生物识别信息的应用场景日益泛化,隐藏着诸多个人权益侵害风险与社会风险,亟待政府进行有效监管。然而现有的行政监管存在困境,表现为监管依据缺乏针对性与体系性、监管机构分散化、监管措施有限性等问题。为实现对个人生物识别信息应用风险的有效监管,在监管依据方面,应采用实验性立法模式形成中央——地方协同的立法格局,以行为规范为重点确立监管规则内容。在监管主体方面,探索建立独立的信息监管机构,并激励信息处理者建立内部治理结构进行辅助,以形成双层治理结构。在监管措施方面,秉持风险预防理念,运用事前审查机制确立监管底线,综合运用强制命令型监管手段与激励诱导型监管手段,考量多元要素进行差异化监管,通过评估反馈机制对监管措施进行调整,实现贯穿个人生物识别信息生命周期的动态风险监管。

引言

科学技术的高度发展既是风险社会的特征,也是风险社会的成因。伴随着第三次人工智能浪潮的兴起,以指纹验证、刷脸支付、声音解锁为代表的生物识别技术被广泛应用,并催生了大量的信息服务产业,成为数字经济的重要组成部分。然而,在生物识别信息被广泛应用的同时亦隐藏着诸多风险,比如超6万用户的全数字指纹与17万人脸数据被公开出售、声纹伪造通过微信验证窃取财产、售楼处戴头盔看房等。由于指纹、虹膜、人脸、步态等个人生物识别信息属于“敏感个人信息”,具有独一无二、难以更改的物理属性,一经泄露将造成不可逆的损害,因此如何对个人生物识别信息的应用风险进行治理已经成为当前亟待解决的现实难题。

事实上,这一问题已经引发学界关注,但是聚焦行政监管领域的直接研究相对较少。在研究对象上,当前学者更多集中于对人脸识别信息应用风险监管进行研究。在研究内容上,涉及个人生物识别信息的权利属性与风险类型、生物识别信息的监管机构设置、生物识别信息应用的法律原则、域外监管经验的介绍等。总体而言,当前研究尚处于起步阶段,呈现出零散化研究的样态,尚未凸显出个人生物识别信息的特殊性,具有较大的拓展空间。本文聚焦“行政监管”领域,从我国个人生物识别信息应用过程中的风险出发,经由体系化视角,反思政府监管存在的问题,从监管依据、监管主体、监管措施三个维度,阐述个人生物识别信息应用风险监管的理论框架与监管路径,以破解个人生物识别信息应用风险的监管难题,维护个人生物识别信息产业的健康发展,提升法学理论回应科技挑战的能力。

一、个人生物识别信息应用的双重风险与监管诉求

现代社会的技术风险呈现出与传统社会危险的不同特质,准确识别个人生物识别信息在应用过程中隐藏的风险,辨明监管立场,是进行有效监管的前提。

(一)个人生物识别信息应用的权益侵害风险与社会风险

现代科技的发展在推进社会进步、创造巨大社会财富的同时,亦将自己置于风险之中。一般而言,个人生物识别信息的应用应当遵循合法、正当、必要原则,除法定情形外,符合“知情——同意”的基本要求,不得过度处理个人生物识别信息,不得违反法律规定与双方约定。然而当前存在诸多违反上述要求的行为,隐藏着巨大的个人权益侵犯风险、社会风险,亟待警觉。

第一,个人权益侵害风险。主要表现为以下几个方面:其一,人格权益侵犯风险。伴随数据时代的到来,以信息为基础而形成的个人数字身份成为一种新型数据人格。人格权的核心是个人自主决定权,然而当前对个人生物识别信息的收集大多是在用户不知情的情况下进行,尤其人脸识别信息可以通过摄像头自动拍摄而无需接触,由此严重侵犯了信息主体的自主权,贬损了信息主体的人性尊严。其二,隐私侵犯风险。隐私可以分为物理性隐私和信息性隐私,物理性隐私是禁止他人未经许可对本人的身体、住所或者私人物理空间的侵入,而信息性隐私是指当个人信息被以数字或者其他形式收集、存储以及分享时,本人因此而产生的对隐私的期望。个人生物识别信息属于敏感个人信息,具有一定的隐私属性,对个人生物识别信息的非法收集、使用本身就是对信息性隐私的侵犯。而如果借由生物识别信息,尤其是人脸信息,跟踪监视他人、窥探他人生活等则产生对个人物理性隐私的侵犯风险。其三,财产侵害风险。在大数据时代,个人生物识别信息本身即为一种财产资源,当前已存在贩卖个人生物识别信息谋取私利的情形,比如17万人脸识别信息遭公开销售。而更为重要的是,个人生物识别信息大多与银行卡、支付开锁、额度提升等金融系统关联,为侵犯公民财产权留下风险隐患。其四,歧视风险。个人生物识别技术算法错误的高误识率易引发算法歧视,同时有证据表明,个人生物识别信息能够揭示患特定疾病的概率或趋势,由此可能导致在就业的过程中相同特征的人群被区别对待,引发就业歧视风险等。

第二,社会风险。现代社会生物识别技术应用的网络化、规模化以及高效率,使得个人生物识别信息应用过程中的个人风险极可能转化为社会风险,损害国家安全、社会公共利益。比如身份证中最为核心的两个要素即为个人生物识别信息——指纹信息与人脸信息,当前人脸识别技术等在“互联网+政务”领域被广泛运用,如果人脸信息被窃取或伪造,致使黑客入侵,会导致公共系统瘫痪无法运行;大规模个人生物识别信息的泄露,或者对公众人物等进行换脸伪造视频,将会引起社会公众的恐慌与社会秩序的混乱。更为严重的是,全球化使得不同国家之间的相互依存度日益加深,一旦个人生物识别信息非法跨境传输被不法分子利用,将危害国家安全。可见,现代社会风险的高度复合化和复杂化,使得个人生物识别信息应用中的个人风险极可能转化为社会风险,单一风险衍化为多重风险,导致风险的潜在后果超乎想象、无法估算。

(二)个人的有限理性与国家的风险预防义务

虽然个人生物识别信息应用过程中的“风险”具有不确定性,但是即使很微小的不确定也可能会引致严重或不可逆的损害,因此,应当对风险进行积极预防,而非危害后果发生才采取措施。面对上述风险,个人生物识别信息主体的有限理性使得“风险自担”的立场逐步被瓦解。当前对个人生物识别信息的使用大多以“知情——同意”模式为主,该模式有效运行的前提乃是信息主体具有足够的理性,清晰地知道风险后果,并根据自己的意志决定是否准予其他信息处理者使用。然而个人生物识别信息主体与信息处理者之间存在信息不对称,个人生物识别信息与其他信息的复合应用,以及作为原始数据为多种目的使用和开发,使得信息主体无法对风险提前作出预判。即使基于强制性信息披露与隐私声明,信息主体可以获得更为充分的信息,但是晦涩的专业语言,难懂的数字符号,也会使信息主体无法完全理解隐私政策的内容。实践中信息应用者亦会通过间接强制的方式迫使信息主体作出“同意”,这就意味着个人生物识别信息主体无法借由自身的有限理性进行应对,有必要借由政府干预来防范个人生物识别信息的应用风险。

《宪法》第33条规定国家负有尊重与保障人权的义务。在科技风险日益现实化的现代社会,国家应通过风险预防实现对公民基本权利适当且有效的保障,正如德国联邦宪法法院所言:“国家负有尽一切努力及早认出风险并以合宪的必要手段来克服此种风险的义务。”这自然包含对公民信息权以及基于侵犯公民个人生物识别信息而引发的隐私权、财产权等权利的保护。政府基于下沉基层的日常管理、程式化的效率运转、专业素养的人力与智识、相当程度的灵活性等优势理所当然地成为任务执行者之一,这便要求政府采取监管措施预防个人生物识别信息应用过程中的个人权益侵犯风险与社会风险,以保护权利、维护公共安全与社会秩序,这也是政府存在与公权力运行的基础。因此,如何对个人生物识别信息的应用风险进行回应,不仅是政府当前亟待解决的问题,而且是政府面向现代科技风险的自我革新。

二、个人生物识别信息应用风险的监管困境

基于政府对个人生物识别信息应用风险介入的基本立场,既有行政监管体系是否有能力予以回应是关键。从运行逻辑来看,对个人生物识别信息的应用风险进行监管,是组织有序的行政监管机构,依据理性设计的规则体系,采取多元监管措施来防范或减轻风险。因此,风险监管规则体系、风险监管主体架构、风险监管措施构成了个人生物识别信息应用风险监管的三大核心要素。从上述维度,反思政府监管存在的问题,是完善个人生物识别信息应用风险监管路径的关键。

(一)个人生物识别信息应用风险的监管依据缺乏针对性与体系性

总体而言,我国有关个人生物识别信息应用监管的规范相对较少,并存在以下问题:

其一,中央立法针对性不强。有关个人生物识别信息应用风险监管的中央立法散见于《网络安全法》《民法典》《数据安全法》《消费者权益保护法》以及《个人信息保护法》,并且大多都将“个人生物识别信息”内含于“个人信息”之中进行统一规定,没有凸显出个人生物识别信息属于“敏感个人信息”的特殊性,针对性不强。比如《网络安全法》仅宽泛的规定了网络运营者收集、使用“个人信息”的规则与义务,国家网信部门以及省级以上政府有关监管部门的信息监管职责。只有《民法典》与《个人信息保护法》对个人生物识别信息作出特别规定,其中《民法典》第1034条将对个人生物识别信息等“私密信息”的保护,转介适用有关隐私权保护的规范之中。《个人信息保护法》则将“个人生物识别信息”纳入“敏感个人信息”范畴予以规定,指出处理敏感个人信息应具有特定的目的与充分的必要性,应获得个人的单独同意,甚至是书面同意,告知处理敏感个人信息的必要性及对个人的影响。

其二,行政规范性文件虽有直接规定,但位阶低、内容缺乏体系性。一方面,对个人生物识别信息应用风险进行监管的规定多是规范性文件以及不具有强制力的行业标准、国家标准,效力位阶低的局限性非常明显。比如中国银行《个人金融信息保护技术规范》将个人生物识别信息归入敏感级别最高的C3类个人金融信息,规定了在金融领域收集、存储、公开披露的基本要求。2020年修订的《信息安全技术个人信息安全规范》同样将个人生物识别信息划入敏感个人信息范畴,对个人生物识别信息的收集与存储进行了专门规定。目前全国信息安全标准化组织和产业协会正在推进以指纹识别、人脸识别、语音识别等为代表的生物识别安全技术与信息保护的标准化工作。另一方面,个人生物识别信息的应用包含收集、加工、传输、提供、公开、存储、使用等不同环节,已有规范性文件大多仅在上述的一个环节或几个环节加以特殊规定,并没有形成体系化的规定。如2020年修订的《信息安全技术个人信息安全规范》也仅规定了“收集阶段”与“存储阶段”的特殊要求,对加工、传输等环节均没有涉及。

(二)个人生物识别信息应用风险的监管机构分散化、专业能力不足

“每当出现一种新技术或者新业态,就必须不断划分管理职责,重新确定主管部门,否则就会无人管理或者争权夺利。”我国当前并没有针对个人生物识别信息的专门监管机构,由各个领域的个人信息监管机构一并实施监管,这就涉及到网信、工信、市场监管局、邮政、中国人民银行、银监会、商务部等不同监管部门,上述部门化、分散化的监管机构模式局限性非常明显:

一是缺乏专门的监管机构,导致部分领域监管主体缺失。如《旅游法》第52条中虽然明确规定旅游领域个人信息受保护,但是对旅游经营者获取相关旅游者信息后的监管主体、监管措施、监管程序、法律责任等均没有作出明确规定,相当于不存在行政监管。与此同时,即使部分法律进行了规定,但是由于规定过于笼统,蕴含不确定法律概念,依然难以确定,如《消费者权益保护法》第32条虽然规定由“工商行政管理部门和其他有关行政部门”进行监管,而“其他有关行政部门”难以确定,容易引发部门间推诿责任。二是部门权限不清,存在多头监管与部门协调难题。个人生物识别信息的应用涉及收集、储存、使用等多个环节,尽管我国采用部门化的监管方式,但是并没有规定各部门之间的监管职责,同时亦没有建立起有效的机构协调机制,这就容易引发多头监管难题,比如行为人利用电信将个人生物识别信息贩卖出境,电信主管部门与公安管理部门之间可能重复监管。更为严重的是,容易导致负有监管职责的部门相互推诿、逃避责任,进而诱发监管失败后无人承担责任,反向影响监管机构积极履职的动力。三是监管机构专业能力不足。面对个人生物识别信息应用所引发的技术风险,需要具备专业知识才能进行有效监管。然而在高度分化的现代社会,各种专门化知识都呈爆炸性增长态势,政府拥有的绝不是信息优势,而是信息劣势。这就导致单纯依靠政府的力量很难有效实现监管目标。

(三)个人生物识别信息应用风险的监管措施相对单一、滞后

为了在确保监管实效的前提下提升监管效率,监管措施的选择不仅应当符合个人生物识别信息应用风险的特征,而且应根据违法情形采取不同监管措施,并符合“规制金字塔”的序列要求。然而当前我国对个人生物识别信息应用风险的监管措施选择,存在相对单一、滞后等问题。

一方面,监管措施相对单一。从各国对个人生物识别信息监管的实践来看,信息监管机构大多采取事前咨询与建议、行政许可与认证、行政检查、行政调查、扣押处罚、受理控诉、解决纠纷等多元化监管措施,大致形成了激励诱导型监管手段与强制命令型监管手段的结合。虽然我国也呈现出上述两种类型监管手段结合的特点,但是具体的监管措施主要采用行政处罚与行政调查,再辅之以行政约谈等措施,尚缺乏行政许可、认证、建议等监管措施。同时需要注意的是,当前存在借由行政约谈等非正式监管措施代替行政处罚等正式监管措施的现象。另一方面,监管措施具有滞后性,无法回应个人生物识别信息应用的“风险”特征。区别于传统的“危险”,个人生物识别信息应用所产生的“风险”是现代科技发展的结果,具有不可预测性、不确定性、因果关系复杂性、损害结果不可逆性等特征,因此监管方式也应从事后的消极防御向事前的积极预防转变。但是,当前我国尚未形成常态化的事前风险预防机制,往往是在出现了大规模的个人生物识别信息泄露之后才采取监管措施,由此造成不可逆的损害。例如ZAO换脸软件被媒体曝光存在涉嫌用户隐私协议不规范、违法收集泄露个人生物识别信息等问题后,工信部网安局才介入调查,对北京陌陌科技有限公司相关负责人问询约谈,要求其自查整改。此外,应用场景的不同会导致个人生物识别信息应用风险的不同,既有监管方式趋于统一化,在监管灵活性方面存在局限。

三、监管依据:实验性立法模式下的层级化规则体系

现代科技风险的复杂性与不确定性并不否定规范先行的意义。为实现对个人生物识别信息应用风险的有效监管,面对当前监管依据缺乏针对性与体系性的难题,应结合个人生物识别技术的发展,探索更为灵活、开放的立法进路,以形成协调配合的多元监管规则体系。

(一)采用实验性立法模式形成中央——地方协同的立法格局

当前个人生物识别信息的应用正处于发展阶段,存在认知分歧,规则制定者亦不具有完备的知识,这就意味着难以形成确定性与终局性的规则体系,需要通过持续不断的学习和制度实验,不断予以修正。因此,可以运用实验性立法模式,经过临时性目标设置与修正的递归过程,不断探索个人生物识别信息应用风险监管规则的制定。实验性立法本质上是实验主义治理理念的体现,实验主义治理涉及一个多层级架构:一是强调中央和地方的合作;二是地方包括私人有实现框架目标的裁量权;三是要展开绩效评估;四是适时修正。上述四要素在一个迭代循环中相互联接,并循环反复使用。由此,采用实验性立法模式,应当采用中央立法与地方立法协同的立法格局,“通过向创新者提出怀疑并测试新规则来追赶创新的步伐从而赋予监管更强的科学性。”

其一,制定中央框架立法发挥指引功能。个人生物识别信息应用风险的宏观监管规则应当由中央立法进行制定:一方面,个人生物识别信息应用风险的监管涉及信息主体、网络平台、信息利用者、信息监管者不同主体的利益平衡,涉及个人利益、行业利益、公共利益之间的博弈,其背后更隐藏着国家对生物识别技术产业的发展策略,因此应当由中央进行把握。另一方面,从立法事项的权限来看,个人生物识别信息应用风险的监管措施涉及公民信息权等基本权利,以及行政许可、行政处罚等监管措施,均是超越地方的国家事务,上述事项原则上应当由中央立法进行规定。在立法技术上,由于当前生物识别技术正在飞速发展,具有复杂性与极大的不确定性,相应的监管策略仍有待研究与调整,进行详细规定的条件并不成熟,因此中央制定的相关法律法规应当以框架立法为宜:运用不确定法律概念与开放的法律结构,比如目的与基本要求条款、原则性条款、程序性规定、兜底条款等,设置基本监管框架,通过减少立法的规制密度,给予地方立法与下级机关更多的灵活空间,以发挥中央立法的引导与控制功能。

其二,灵活运用地方立法进行自主创新。“通过权力下放形成多层次的政策结构,基于政策的差异和竞争而进行反思和学习,也被认为是实验型治理的重要路径。”在中央进行框架立法的前提下,应通过权力下放,赋予地方更多的自主立法权限,灵活运用地方立法进行自主创新:首先,日益泛化的应用场景,亟待对个人生物识别信息的应用风险进行监管。而中央立法严格的审议程序以及尚不成熟的监管经验,导致进行全国统一立法的时间较长,亟需地方立法进行自主创新。其次,当前个人生物识别技术在全国各地的发展与运用尚不均衡,对个人生物识别信息应用风险的回应能力存在差别,相较于全国范围而言,局部领域的利益诉求较为单一,无需做很多的利益衡量与政策妥协,监管效果直接而明显。最后,通过地方立法对个人生物识别信息应用的监管措施进行规定,有助于地方之间的相互竞争与学习,并且能够通过各地的制度竞争与试错,为全国统一立法提供经验。因此,在中央进行框架立法的前提下,可以灵活的运用地方立法,结合各地的实际情况进行自主创新。如天津市2021年1月1日施行的《天津市社会信用条例》第16条规定,市场信用信息提供单位不得采集自然人的生物识别信息。2021年7月6日通过的《深圳经济特区数据条例》第19条对处理生物识别数据提出了具体的要求,并规定“生物识别数据具体管理办法由市人民政府另行制定”。为了更加主动、快速地对风险进行回应,在地方立法的形式选择上可以灵活采用日落条款、制定暂时性规范、附变更保留规范、赋予观察义务等多元形式。需要注意的是,基于法制统一原则,地方立法应当遵守中央—地方立法权限的划分,尤其是行政许可、行政处罚、行政强制等传统监管措施的制定必须严格遵循法律位阶的权限要求,不得与中央的框架立法相抵触,不得与中央立法的基本监管原则、监管精神相抵触,并接受中央立法的监督。

(二)以行为规范为重点制定监管规则的内容

对个人生物识别信息的应用风险进行监管,重点在于明确个人生物识别信息处理者的行为规范。我国《民法典》《网络安全法》《数据安全法》《个人信息保护法》等均以行为规范为核心,大致从信息收集、使用、持有等不同阶段,规定了处理一般个人信息的行为规范。个人生物识别信息属于“敏感个人信息”,在遵循上述一般规范的基础上,关键在于明确特殊行为规范,本文亦主要对相关特殊行为规范进行说明。

首先,在信息收集阶段,提高个人生物识别信息的收集标准。面对个人生物识别信息应用场景泛化的问题,应优先限定只有基于“特定的目的”和“充分的必要性”,才能收集个人生物识别信息。除“法定必需”的特殊情形,对个人生物识别信息的收集应当确保“知情—同意”的充分履行:在告知内容上,应向生物识别信息主体告知收集规则,包括但不限于收集目的、收集处理方式、收集时间、收集的必要性以及对信息主体的影响;在告知方式上,应当通过及时性披露、弹窗、勾选、视频等“增强性告知机制”,如果在公共场所安装生物识别设备,应当设置显著的提示标志,采用通俗易懂的语言,并获得信息主体的“明示同意”,乃至对公民权利有重要影响的情形必须获得信息主体的“书面同意”。同时,为信息主体提供“择出”服务机制以及替代方案,当信息主体拒绝收集时,仅可停止访问个人生物识别的相关功能。在满足应用场景安全要求前提下,应仅限于收集最小数量、最少图像的个人生物识别信息。

其次,在信息使用阶段,从严限制个人生物识别信息的非法处理。个人生物识别信息属于敏感个人信息,应当从严限制“非法处理”个人生物识别信息的行为,包括不得非法使用、加工、传输、买卖、提供、公开、披露等不同环节,既不得违反“双方的约定”,亦不得违反相关“法律规定”。在此尤为要受到“目的限定原则”的限制,由于个人生物识别信息独一无二的物理属性,与其他信息的复合使用会产生不可预估的聚合效应,所以对其“二次应用”应该严格限制与原始目的“直接相关”,对此可以融入场景与风险要素进行灵活判断,并不得增加新的目的。不得向第三方出售、出租、交换生物识别信息,或以其他方式从保存的生物识别信息中牟利。

最后,在信息持有阶段,充分保障个人生物识别信息安全,并限制储存期限。对个人生物识别信息应当予以更高标准的安全保护义务,在保存方式上,原则上不应存储原始个人生物识别信息,除非获得信息主体单独书面的授权同意;如确需储存,应采取以下安全保障措施:个人生物识别信息与个人身份信息分开储存,仅储存经算法转换后之“模组”,采取加密、匿名化等安全措施,等等。同时,严格限制个人生物识别信息的储存期限,不得逾越“原始目的的必要期间”,并定期检查确保个人生物识别信息的准确性与完备性,对不必要保存的信息进行删除,如生物识别信息的收集目的已经实现或确定为不必要;生物识别信息的存储期限已过;主体撤回对生物特征识别信息收集的同意权,或者超出业务所需使用个人生物识别信息。

四、监管主体:政府推进形成双层治理结构

现代行政组织的合法性内涵具有多重要求,除了强调“公共行政组织的构建应当依照民主代议机构制定的法律或明确的法律授权”的形式合法外,更包含着对行政组织实效性的要求,即“高效率的确保公益要求的实现”。在信息治理中,除了建立高效的政府监管组织进行外部执法威慑之外,“如果能从结构上构筑信息控制者积极主动作为的组织体系,就完全有可能改变其行为方式”,无疑会事半功倍。事实上,我国《网络安全法》第21条中已经要求信息企业制定内部安全管理制度和操作规程,确定网络安全负责人等内部管理要求;《个人信息保护法》除了对政府监管机构作出相关规定外,第51条、52条亦对信息处理者的组织结构作出部分要求以促进个人信息的保护。因此,从政府监管机构组织体系自身的完善与积极培育信息处理者内部治理结构两个维度入手,是破解组织难题的关键。

(一)建立独立的信息监管机构作为监管主体的核心

设置政府监管机构是完善个人生物识别信息应用风险监管主体制度的核心。一方面,其代表着国家,具有强制力作为支撑,因而具有权威性;另一方面,其具有代表性与民主正当性,因而能够对不同利益主体进行协调,具有公开性与透明性。基于数据处理具有明显的电子化场景性、跨区域性、空间不确定性,传统上按照行政区域和违法行为发生地来确定管辖权的规则,已难以适应个人信息保护场景。因此,在个人生物识别信息监管机构的组织形式上,各国大多设置了统一、独立的行政监管机构。如美国伊利诺伊州通过《生物识别信息隐私法案》设置了生物识别信息隐私调查委员会,英国则设置了人脸识别应用监督和咨询委员会。有的国家虽然没有设立专门的个人生物识别信息监管机构,但是设立了独立的个人信息监管机构,其中包含对个人生物识别信息的监管,比如瑞典设置了数据保护局,日本设置了个人信息保护委员会等。

针对我国个人生物识别信息监管机构分散化、部门化、多头监管等问题,可以通过设置专门的信息监管机构,明确监管权限等予以化解。为此应通过立法设置国家层面的“信息监管机构”,在省级、地级市设置下级机构,并在信息监管机构内部设置“生物识别信息监管部门”,以实现从中央到地方的垂直、统一监管。同时,根据职权法定原则的要求,以及结合各国的实践经验,明确我国个人生物识别信息监管部门主要享有以下职权:一是许可权。对个人生物识别信息应用企业是否具有相应的技术管理能力、生物识别技术产品是否符合标准等进行事前的许可与认证。二是调查、检查权,包括对个人生物识别信息的处理行为进行合规检查与监督,接受公众投诉、进行处理,依据相关法律程序进行搜查与扣押等。三是采取矫正性措施的权力,比如根据调查结果采取警告、罚款等行政处罚,命令信息控制者对个人生物识别信息进行删除、纠正等。四是制定行政规范的权力,发布相关技术标准等行为规则与适用指引。五是授权和建议的权力,如提供保护个人生物识别信息的咨询、授权认证机构,与相关部门协作,等等。在我国尚未建立统一的个人生物识别信息监管机构之前,面对当前个人生物识别信息监管部门分散化的情形,可以由网信部门统筹,建立不同监管部门参与的协同监管机制,强化监督和问责。

此外,基于个人生物识别信息应用风险监管的专业性,监管机构应当配置具有专业化知识结构的复合型监管人才。同时,为了弥补专业知识的不足,亦可以采取聘请专家、顾问、政府雇员的方式实现专业化监管。如英国设立了人脸识别应用监督和咨询委员会对人脸识别技术进行统一监管,委员会由警方、内政部、信息专员、生物识别专员等组成。

(二)激励信息处理者建立内部治理结构

信息治理是一个各种功能相互配合、协调的新型治理场域,借助信息处理者的力量共同完成治理任务已经成为发展趋势。尤其在个人生物识别信息应用风险治理领域,信息处理者独特的优势有助于政府高效监管的实现:一是信息优势,降低监管中的信息不对称。相较于政府主体,被监管的信息企业具有较高的专业技术水平与丰富的“内部知识”,了解科技发展与安全保障的现实需求,亦知悉自身信息系统漏洞所在,所采取的防范措施也更符合专业标准要求。二是具有灵活性,能降低监管成本。相较于政府监管,信息处理者能够根据信息监管实践的变化,及时有效调整自身行为;自我规制措施亦不需要遵循正式的法定程序,有助于降低规制成本。三是提高监管效率,实现监管目标。政府监管的有效实施取决于被监管者的合作意愿,借助于自愿性的企业行为准则,有助于提升监管措施的可接受性。同时,亦可以进行制度试验,如果自我规制措施确实有效,则可以转化为国家的正式制度。因此充分调动信息业者、网络平台等信息处理者的积极性强化内部治理机制,是各国信息治理的重要发力点。

事实上,我国一直在积极探索、鼓励信息处理者参与信息治理,并且认识到信息处理者结构的优化对于信息治理的关键性意义,《个人信息保护法》秉持了这一理念,第51条、52条提出对信息处理者制定内部管理制度、开展培训、指定个人信息保护负责人的组织架构要求。但是从规范条文来看,相关规定较为原则,有必要进一步细化,因此结合《个人信息保护法》与个人生物识别信息的特殊性,可以尝试从以下维度推动个人生物识别信息处理者建立企业内部的治理结构体系:一是在个人生物识别信息处理者内部设置专门的信息处理机构或配备数据保护官,负责企业的信息处理与保护工作,监督信息处理者内部的信息保护活动、进行风险评估、与政府的信息监管机构和行业协会进行沟通衔接等。二是设置个人生物识别信息处理者内部的争议处理部门,负责受理、处理信息主体的申请,记录生物识别信息处理的全过程,并保存记录。三是建立个人生物识别信息处理者内部的信息影响评估制度、信息储存制度、信息泄露的应急处理机制。对收集的个人生物识别信息采用匿名化、去识别化等保护方式,单独储存、加密处理等,如果泄露,应及时采取补救措施并报告信息监管机构与个人。四是秉持“通过设计的隐私保护”理念,在产品与服务中嵌入个人生物识别信息保护的制度设计,比如在进行产品开发、技术应用之前进行风险评估;设计“数据元标签”,将相关用户偏好及对信息处理的预期绑定于个人生物识别信息生命周期的始终,记录个人生物识别信息收集、利用、传输等过程,使用户有机会详细掌握其个人生物识别信息的利用状况与流程。

为推动上述个人生物识别信息处理者组织治理结构的形成,除了法律的强制性规定,政府应当转变思维,充分发挥鼓励与引导功能,可以探索以下方式:一是诱导模式。比如对内部治理结构健全、信誉较好的信息企业可以通过降低检查频率,给予政策、名誉上的支持等方式予以鼓励。二是任务委托模式。通过行政委托、特许经营、行政辅助等方式将个人生物识别信息应用风险评估、定期检测生物识别设备与系统等专业性事务交由内部治理结构良好的网络信息平台、企业等进行处理。三是通过参与机制加强合作型治理。比如政府邀请信息企业、网络平台等参与相关国家规范的制定,并对信息企业制定的成熟的企业标准予以承认、维护、吸收进国家立法,将成熟的自我规制经验上升为国家制度等。

除此之外,为了防止信息处理者追求自身利益而牺牲公共利益,政府亦应发挥监督功能,防止其违反法律的强制性规定,构筑有效的威慑机制。由于“传统的守法监督方式是由规制者依职权实施行政检查,但对内部管理型规制而言,其面临执法资源紧张、监督成本高昂、专业知识匮乏、信息不对称等多块短板的制约,并非经济、有效的途径。”对此,可以尝试授权第三方机构进行检查,并将检查结果向监管部门定期报备。

五、监管措施:风险预防理念下的动态风险监管

调整多元利益关系的规制工具与行政行为形式、行政组织形式、利益结构一样具有多样性。区别于传统的“危险”,个人生物识别信息应用风险具有不确定性与复杂性,因果关系具有模糊性与非线性,损害具有严重性与不可逆性,因此政府监管理念应当从消极的“危险消除”向积极的“风险预防”转变。而“风险预防”与“危险消除”在控制手段上的最大差异就是前者的控制是一种“风险点分析与控制”体系,强调的是过程控制而非简单的后果消弭。由此,在风险预防理念下,应采用过程化的视角,结合个人生物识别信息运用的场景要素,运用多元化的监管方式,实现贯穿个人生物识别信息生命周期的动态风险监管。

(一)运用事前审查机制确立监管底线

当前我国个人生物识别信息的应用场景日益泛化,重要原因之一是我国尚未对企业或平台的生物识别信息收集、处理、使用活动设置准入门槛,导致企业、APP只要发布隐私公告就可以收集、使用个人生物识别信息,而不论是否具有收集、使用的必要,是否具有相应的技术能力与信息保护能力等。个人生物识别信息的应用对信息业者的安全管理能力和技术能力均有非常高的要求,面对当前我国个人生物识别技术泛化、部分违法行为屡禁不止的现象,政府部门可以通过事前审查制度从源头预防个人生物识别信息的应用风险。事实上,基于个人生物识别属于敏感个人信息,独一无二的物理属性,各国对个人生物识别信息的收集、使用均采取谨慎的态度,其中丹麦、德国、希腊、意大利、葡萄牙等国家均规定,处理个人生物识别信息等敏感个人信息需要先经主管机构的“事前审查”或“事先许可”。

需要强调的是,事前审查并不是限制甚至禁止生物识别技术的运用,而是在确保个人生物识别信息安全的前提下,倡导一种负责任地、安全地使用,即“建立一个支持市场健康竞争的责任底线”。为了不阻碍商业创新与技术创新,政府应当采用底线原则进行最低限度的审查,建立个人生物识别信息应用产品的国家标准与行业标准,要求个人生物识别信息产品在运用前进行产品技术安全检测、信息保护性能检测与信息安全影响评估等。在审查内容方面,除了审查个人生物识别信息应用的必要性、合比例性,更要考量信息企业的技术能力与管理能力,着重考量信息企业是否具有降低风险的方式、是否制定内部的指南或操作流程等以降低风险,只有符合标准后才能应用,并进行定期跟踪。同时采用负面清单的方式明确不得使用个人生物识别信息的场景,在此过程中要考量不同个人生物识别信息的敏感程度(比如人脸相较于指纹、虹膜的更易获得度、应用的便利度)、不同应用场景可能产生的风险程度、不同行业的特征等,以制定差异化的监管底线与负面清单,由此实现在充分保护个人生物识别信息的基础上,不阻碍技术创新与商业发展。

(二)综合运用强制命令型监管措施与激励诱导型监管措施

风险规制是面向未来、面上铺开的活动,与传统行政终点式、被动反应相比,任务大大扩张,这需要综合使用多种监管工具,方能达到管理的目的。尤其是在个人生物识别信息应用风险的监管中,应采用灵活性的监管策略,以激励诱导型措施引导信息控制者加强个人生物识别信息保护为基础,辅之以命令强制性措施予以制裁,不仅有助于提升监管效率,而且有助于促进政府、市场、社会的协同,实现信息保护与促进信息产业发展的平衡。

激励诱导型监管措施是通过正向的激励机制与柔性劝服机制相结合,运用风险警示、风险交流等多种方式,改变信息主体、信息业者的行为模式,从而以相对较低的执法成本实现行政任务。一是建立多元的风险预警制度。转变国家中心主义的预警模式,充分运用行业协会、网络平台、公众的信息风险识别能力,建立多元主体共治的网络安全监测预警制度,及时辨识风险。二是灵活运用信息工具、信用工具、行政约谈等新型监管工具进行风险交流与管理。作为一种新生的“市场友好型”监管工具,信息工具的柔性特征可以避免政府直接干预市场运行。一方面,政府可以发布个人生物识别信息处理指南、示范性的隐私政策声明等供信息企业使用,提供咨询、技术指导等。另一方面,信息监管部门可以向公众发布个人生物识别信息风险提示、定期公布存在问题的软件名单等,以引导公众作出理性的选择,进行风险防范。同时,“信用”是企业最为重要的无形资产之一,将信息企业非法滥用个人生物识别信息的行为列入信用档案并进行公示,可以向社会释放信息主体的不同评价信号,继而影响其市场地位和行为,迫使信息主体合规处理个人生物识别信息。而对个人生物识别信息处理行为存在较大风险的信息企业,可以采用灵活的行政约谈方式进行平等的协商与沟通,既向行政相对人传递合规信息、发出警示,又有助于促成信息领域的合作治理格局。但是应当明晰行政约谈的适用情景,完善行政约谈程序,将约谈情况向社会公开,并计入日常考核和年检档案,防止“以谈代罚”等违法情形的发生。

在此基础上,借由命令强制性措施提升威慑效果一直是个人信息保护的重点,即使如美国这样在信息保护中强调“行业自律”的国家,也会借助强大的外部执法机制来约束信息控制者的行为。对违法处理个人生物识别信息的企业,可以采取停止侵害、责令限期改正、责令删除、清除个人生物识别信息等行政强制措施,以及警告、大额罚款、吊销营业执照、许可证等行政处罚方式,产生威慑效果。需要注意的是,在采用强制性惩戒措施时,应当根据个人生物识别信息应用的场景、风险的大小、危害后果的严重性、违法频率等进行综合考量,遵循比例原则的要求。

(三)考量多元要素进行差异化监管

基于个人生物识别信息敏感程度、应用场景、信息处理者资质能力等的不同,所蕴含的风险亦不相同。因此监管者应当考量不同监管要素,进行差异化监管。

一是根据个人生物识别信息敏感度的不同承担不同的风险注意义务。个人生物识别信息包括指纹、虹膜、人脸等生理信息和步态等行为信息,虽然均属于敏感个人信息,但是亦有差别。就稳定性而言,生理信息相较于行为信息更不易改变,更为稳定。就信息收集的隐秘度而言,脸部信息能够秘密收集,指纹信息与虹膜信息秘密收集的可能性较低。就便捷度与危害度而言,在监控遍布的时代背景下,借助人脸信息能随时监控个体、进行实时追踪,对信息主体的人身危害将更大。从错误率上来看,人脸识别的错误率要高于指纹信息、虹膜信息等。因此,对于敏感度较高的个人生物识别信息,政府应当进行更为严格的风险监管。二是基于个人生物识别信息不同应用场景所蕴含的风险等级区分监管措施。“场景”来自于美国尼森鲍姆教授的“情境脉络完整性”理论,是指个人信息原始收集时的具体语境应得到尊重,其后续传播及利用不得超出原始的情境脉络。个人生物识别信息不同的应用场景将引发不同的风险,因此需要结合应用场景选取不同的监管手段。三是结合信息处理者的资质进行差异化监管。良好的企业信誉与信息保障能力,将为信息企业带来更多的交易机会,亦会为监管部门进行差异化监管提供基础,根据信息企业内部信息安全治理机制的建设程度,可以对已经建立了完备的内在治理结构的信息企业进行不定期抽查,减少直接监管,并采取税收、收费优惠、颁发认证标志等进行激励;而对尚未建立完备内部治理结构的信息企业,加强日常监管频次,并对多次违法的企业加重处罚等。

(四)反馈协商机制与监管措施的动态调整

“社会系统反思自身的决策与认知是现代性条件下降低风险的关键。”科技风险具有迟延性、潜在性、不确定性等特征,而伴随着知识的增进,风险的不确定性会逐渐缩小,行政机关具有不断学习以及出现新认知时的修补义务;同时监管的经验会不断积累,行政监管措施的运行效果也会得到反馈,因此对个人生物识别信息应用风险的相关监管措施不能僵化不变,而是要及时进行反思与修正,以提高监管效率与灵活性。

为实现个人生物识别信息应用风险监管措施的动态调整与灵活性,前提在于建立完善的反馈协商机制,通过程序主义进路建立一个使各种观点能够理性交换、相互理解的程序框架。一方面建立政府部门之间的反馈协商机制,通过各个部门之间的反馈与良好的沟通以形成符合社会发展实践的整体性监管方案。另一方面建立政府与行业协会、网络平台、信息业者等非政府部门之间的良性反馈协商机制,比如建立反向风险证明机制,个人生物识别信息的应用主体可以随时证明被监管行为部分或全部不会引起可能的风险,并据此要求减轻或免受监管;运用匿名评价、征求意见等方式听取多方意见,以促进多元利益的平衡,增加风险信息的来源等。在执行反馈的基础上,监管机构应对个人生物识别信息的监管措施进行调整,以适应不断变化的整体环境。同时可以将运行良好的行业标准、企业标准、自我规制措施等上升为国家标准与国家制度,不仅有助于提高监管效率,而且有助于形成多元主体共同参与的网络社会治理模式。

结语

科技的快速发展对政府监管带来巨大挑战,如何对科技风险进行回应不仅是政府安全保障义务的内在要求,而且是推进国家治理体系和治理能力现代化的应有之意。面对个人生物识别技术蓬勃发展所带来的个人生物识别信息应用风险,可以从监管规则、监管主体、监管措施三个维度,采用实验性立法模式形成多层级的监管规则,建立独立的信息监管机构,并推进信息业者形成内部治理结构,运用多元化的动态风险监管措施,由此形成体系化的风险监管构造。同时,在信息匮乏与不确定的状态下,对个人生物识别信息的应用风险进行监管不仅应是审慎的,而且应当是开放的。通过不断的探索与学习,慎重地进行监管策略的选择与监管措施的调试,由此形成开放、反思的监管体系,以应对现代科技的风险。

(0)

相关推荐