文\朱徐
摘要:生物識別信息作為現代身份識別的唯一標識,其所承載的權益相比一般個人信息更加復雜。本文通過對個人生物識別信息侵權現存問題的分析,并對美國和歐盟的個人生物識別信息侵權救濟立法規制進行研究,探討我國個人生物識別信息侵權法救濟。從利益平衡原則出發,通過分級式保護個人生物識別信息、細化分類生物識別信息侵權形式和研究新型民事侵權保護范式,以此來建立和完善我國的個人生物識別信息民事侵權救濟機制。
關鍵詞:生物識別信息;侵權規則;侵權救濟機制;
前言
大數據時代下,由于互聯網和科學技術的快速發展,生物識別技術的應用領域不斷擴大。生物識別作為大數據時代身份識別的新形態,其所具備的高效性、便捷性等優點為傳統身份識別方式所不能及,與此同時,信息主體的生物識別信息侵權問題橫生,個人生物識別信息的安全性不斷受到質疑,如何減緩頻頻出現的個人生物識別信息侵權事例、規制侵權行為,從而有效加強對生物識別信息的保護,以滿足當前社會中人們對個人生物識別信息的安全需求,已經成為一個亟待解決的問題。
一、個人生物識別信息侵權現存問題分析
“生物識別”這一現代新型個人身份識別方式,因其具備快捷方便且高度準確性的優點而備受青睞,但應運而生的則是信息主體的生物識別信息受到不法侵害的現象頻頻發生。生物識別信息作為個人生理特征(面部、聲音、血型、指紋、DNA等)和行為特征(步態等)解碼的結果,[]與一般其他個人信息相比更為敏感、更為私密,與信息主體相綁定,這種高度的人身專屬性賦予了其與其他個人信息更高的經濟價值,但從生物識別信息侵權角度看,也決定了生物識別信息侵權所受到的損害與一般個人信息相比,損害程度更高、彌補難度更大。因此,需要對個人生物識別信息侵權問題進行理論研究,進一步維護信息主體生物識別信息的民事侵權救濟權利。
(一) 個人生物識別信息侵權現象頻發
隨著大數據時代下指紋、人臉、虹膜等生物識別信息廣泛應用于金融、安防、身份驗證等領域,生物識別信息便具備了相當大的交換價值。近幾年來,我國生物識別市場規模復合年均增速已經達到50%以上,發展迅速,商業化步伐還在進一步加速中。[]且生物識別信息通過特定技術處理以二進制的形式轉化為生物標識符存儲于計算機中,由于科學技術的進步,對生物識別信息的獲取與解碼等手段也更加容易。如人臉識別信息的獲取無需嚴格的信息環境,普通的設備即可完成對不知情或未經授權的信息主體的人臉信息收集,因而侵權者完全可以通過隱蔽且低成本的方式遠距離地對生物識別信息主體實施侵權行為。如2019年9月15日的國家網絡安全宣傳周上海地區活動中引發社會廣泛關注的“剪刀手泄密之憂”,即被拍攝者的指紋信息可以通過智能手機拍攝的照片中比出的“剪刀手”被100%提取還原。此外,網絡服務提供者未經信息主體同意對其個人生物識別信息進行不正當的采集、合法采集但不正當使用、未經信息主體同意而隨意披露等侵權行為在當今社會屢見不鮮。在沒有獲得用戶明確同意的情況下隨意采集和使用用戶生物識別信息的App不在少數。如ZAO這一“換臉App”的用戶協議條款要求對用戶的生物識別信息享有可轉授權、可再授權等超出合理正當內容的權利,即使是整改后,該用戶協議仍保留了網絡信息傳播的權利,這顯然對信息主體的生物識別信息造成了侵害。再如2021年3·15晚會曝光的科勒衛浴、Max Mara等多家知名商店安裝人臉識別攝像頭未經消費者同意盜攝人臉信息,并進行分析,這嚴重侵害了信息主體的生物識別信息安全。不僅如此,人工智能發展下的深度偽造也存在著個人生物識別信息的侵權風險,從臉部偽造、聲音偽造,再到全身的深度偽造,這種深度偽造的濫用所造成的損害后果對個人、對社會來說都是顛覆性的。
(二) 個人生物識別信息侵權因果關系認定難
生物識別信息與一般的個人信息不同,它的信息處理需要特定技術,即計算機自動化程序對個人生物特征,如個人的面部、指紋等進行幾何掃描、計算、建構模板,從而形成虛擬數據或數字數據,保存在計算機數據庫或特定介質中,從而用來“識別”特定的自然人。[]生物識別信息的相關處理如數據采集、存儲、使用等諸多環節很難被信息主體悉知與完全掌握,這將使人們難以對生物識別信息侵權中的因果關系進行明確確定,更遑論大數據時代下存在的復雜算法黑箱,進一步加大了信息主體想要悉知個人生物識別信息被采集、使用等信息的難度。如果一個擁有大量用戶生物識別信息數據的網絡服務提供者不經其用戶的授權,而將用戶的生物識別信息進行販賣,這些被販賣的生物識別信息又將用作何種用途,會對用戶造成什么樣的損害,是我們無法得知的,網絡服務提供者的不法販賣行為與生物識別信息侵權的損害結果有何種的因果關系,也是我們難以認定的。除此之外,在多個信息處理者就同一信息主體的同一生物識別信息進行諸如采集、傳輸、使用等不同環節存在分工或混合工作時,當對信息主體的生物識別信息產生侵權損害時,如何厘清多個行為中何種行為是對生物識別信息進行的侵權行為、行為與生物識別信息侵權損害結果的產生有無民事侵權法上的因果關系,是相當復雜繁瑣、難以明晰的。諸如此類復雜的侵權行為與生物識別信息侵權損害結果之間的因果關系,迫切需要得到厘清,否則將很難對侵權行為進行規制,被侵權的信息主體的生物識別信息侵權救濟也將難以有效展開,不能實現權利的充分救濟。
(三) 個人生物識別信息侵權損害事實確定難
如何明確認定損害事實和損害程度是被侵權人獲得損害賠償救濟的關鍵。而在對個人生物識別信息侵權案件中,侵權行為主體對被侵權人生物識別信息的侵害行為并不一定會導致被侵權人人身性權利或財產性權利的物質性損害發生,無法衡量的無形損害發生是可能存在的,即程序性的損害性。侵權行為主體對被侵權人生物識別信息造成非物質性損害時,被侵權人對所受損害存在舉證困難困境下如無法充分證明所受損害程度,法院往往依據有侵權行為從而推定存在損害后果,以此來認定個人信息侵權造成的損害程度[],這種認定依托于法官的自由裁量權,沒有相對的標準;侵權行為主體通過實施違反法律規定的諸如告知義務、通知義務、安全保障義務等程序性義務的侵權行為,這種程序性違法的侵權行為一般不會導致物質性的損害結果發生,損害結果呈現“非物質性”的特點,這種類型侵權損害結果的出現對于信息主體來說,如何舉證自己的生物識別信息遭受侵害以及權益損害程度的區間,難度極大。當信息主體要就其個人生物識別信息受到程序性違法的侵害來提起民事訴訟,因不能提出具有實質性的損害事實而得不到有效救濟。個人生物識別信息作為現代技術對人體生物特征進行計算分析而形成的數字化標識,關聯信息主體的人身和財產權益,其相對于一般的個人信息來說具有唯一人身對應性、獨一無二性、不可改變性等特點。具有高度敏感性和人身屬性的個人生物識別信息直接反映信息主體的生理特征和行為特征,一旦遭到泄露,這種泄露是永久的,會將信息主體的個人信息安全置于更大的危險不確定性中,進而引發一系列風險,[]其不能像一般個人信息如密碼、證件等進行更換、補辦或索回,個人生物識別信息侵權損害所造成的后果是不可逆、不可補救的。在目前的民事侵權救濟模式下,很難充分保障受害方的民事權利,對生物識別信息侵權損害結果的彌補與賠償難以得到充分地實現,因為侵權損害結果難以確定的事實存在。
二、部分域外個人生物識別信息侵權救濟立法規制
(一) 美國專門立法保護模式下的個人生物識別信息侵權救濟
美國主要是從州的層面進行具體的立法,如伊利諾伊州2008年通過的BIPA、得克薩斯州2009年通過的《采集和使用生物識別數據法》、華盛頓州2017年簽署通過的《華盛頓法案》、舊金山2019年通過的《停止秘密監視條例》等。其中伊利諾伊州的BIPA被稱為“最嚴格的生物識別隱私法”,是唯一允許個人就企業的違法行為對生物識別信息造成損害提起訴訟的法律。[]BIPA明確了信息主體對私營企業違反相關生物識別信息保護法律的侵權行為提起民事訴訟的權利,并且規定了私營企業支付侵權損害賠償的經濟賠償金標準。私人企業就其過失侵權行為需要賠償1000美元或實際損失價值,以較高者為準,私人企業就其故意侵權行為,私人企業需要賠償5000美元或實際損失價值,以較高者為準,此外如果受害者勝訴,私人企業還需支付受害者的律師費、專家證人費和訴訟費用。BIPA自生效后,多起與個人生物識別信息泄露等民事侵權案件根據BIPA提出,說明該法已成為保護個人生物識別信息的重要法律依據。但是,對于生物識別信息侵權法律責任的承擔上尤其是生物識別信息侵權中無實際損害事實的發生,使得美國在這方面仍未達成統一的判定標準。
2017年伊利諾伊州一市民以六旗主題公園未經父母同意就對其14歲的兒子在入園時進行指紋識別并儲存了指紋的行為而根據BIPA提起訴訟。伊利諾伊州上訴法院判決認為原告并未證明未經授權的收集行為造成了實際的損害,故駁回原告的訴訟請求。但2019年1月伊利諾伊州最高法院裁定認為當事人不受到實際損害也可以依據BIPA的規定進行維權,推翻了原審法院的判決。法官認為,“在得出相反的結論時,上訴法院單獨將違法行為定性為僅僅是技術性的,然而,這種定性誤解了本州立法機構力圖通過這項立法與之斗爭的損害的性質。該法案賦予個人和客戶控制其生物特征信息的權利,要求他們在收集之前發出通知,并給予他們拒絕的權利,這些程序性保護在我們的數字世界匯總尤為重要,因為現在的技術允許大規模收集和存儲個人獨特的生物識別標識——如果被破壞或濫用,這些標識是不能改變的。”[]伊利諾伊州最高法院認為公民根據BIPA有資格成為“受損害的”人,并可根據該法案要求違約金和禁令救濟[],即使原告尚未受到實際傷害或不利影響,而只是被侵犯了本人根據該法案所應享有的公民權利。[]在本案中,該法院適用了如下規則:即使信息主體的生物識別信息并未遭受物質性實際上的損害,仍有權行使法案賦予的侵權救濟權利并得到支持。這說明相比一般的個人信息侵權救濟而言,生物識別信息侵權救濟的要求更低,這是由生物識別信息的高度敏感性與損害后果不可預測性、難彌補性決定的。2015年伊利諾伊州居民就Facebook在未向用戶征得書面同意的情況下利用用戶上傳到該平臺的照片進行用戶面部識別數據采集和存儲的行為提起集體訴訟。Facebook提出原告不能證明自己遭受實際損害,要求法院撤銷該訴訟,但法院駁回了該公司的上訴。2020年1月,Facebook以支付5.5億美元并支付原告訴訟費的代價與集體訴訟的原告達成了和解協議。但在2016年針對谷歌未經用戶同意而收集用戶面部識別信息而提起的集體訴訟中,法官于2019年以原告不能證明其因谷歌公司的行為而產生實際損害的原因駁回了原告的起訴。
由于網絡的跨區域性、相對隱蔽性和大數據時代下信息的相對集中性、易獲取性,被侵權人的射程范圍不會僅限于一個信息主體,而是多個信息主體。針對此類有共同事實問題或法律問題的群體性糾紛,美國采取集合性的、模糊性的救濟方式,即集團訴訟。集團訴訟把所有基于同一法律問題或事實問題所涉及的全部利害關系主體視為一個訴訟集團,不受地域和時間上的限制,[]相比于個人訴訟而言更能在最大程度實現權利的救濟、經濟效益更高。在生物識別信息程序性侵權的案件中,主要表現為侵權行為人未經信息主體授權的采集、存儲生物識別信息、泄露或篡改信息主體的生物識別信息等行為。侵權行為人消極履行或不履行程序性義務,也即信息處理方所違反的是關于控制、處理、使用個人數據的禁止性、限定性等程序性法律條款。[]這類違反程序規則的侵權行為往往會導致侵權損害結果的非物質性,這便讓被侵權人難以證明自己因該程序性侵權行為使本人的生物識別信息受到了損失。因此,根據美國的司法實踐,當信息主體將BIPA作為與個人生物識別數據有關的民事侵權救濟和損害賠償的依據時,聯邦法院都以其沒有受到實際損害,或者以其不能證明他們受到實際損害而駁回訴訟。BIPA雖然確定了信息主體擁有生物識別信息侵權救濟的權利和賠償金額范圍,但對于無形損害結果方面仍未作出明確規定,許多訴訟請求因缺乏實質、具體、事實上的“損害”,因為達不到美國關于侵害隱私權的“損害”程度而得不到法院的支持。[]
(二) 歐盟統一立法保護模式下的個人生物識別信息侵權救濟
2016年歐盟通過的《通用數據保護條例》(GDPR)作為目前影響最為深刻的個人信息立法,采取統一立法保護模式,即民法規制、刑法規制、行政法規制于同一法律中。GDPR明確生物識別信息屬于個人信息的一種,同時對生物識別信息進行了定義:“由與自然人的身體、生理或行為特征有關的特定技術處理產生的個人數據,這些數據如面部圖像或指紋數據是能夠識別或確認該自然人的唯一標識。”[]該法明確以獨特地識別自然人為目的的生物特征數據即生物識別信息屬于“特殊類別的個人數據”,[]采取信息控制者(data controller)-信息處理者(data processor)的二元模式[],對信息控制者和處理者處理生物識別數據有明確的限制。
GDPR明確規定,如果數據主體的個人生物識別數據被侵權,被侵權人有權獲得司法救濟,但在行使救濟之前,需要向數據監督機構提出申訴。同時GDPR規定在不損害任何其他行政或司法補救措施的前提下,信息主體享有對監管機構消極作為的行為(不處理投訴或不通知信息主體當事人)的有效司法補救的權利,[]享有對數據控制人或處理人因不遵守CDPR的規定處理數據而使信息主體的生物識別信息受到侵犯的行為的有效司法補救的權利[]。在侵權賠償責任上,GDPR規定被侵權人有權就信息控制者、信息處理者對個人生物識別信息的侵權行為索求賠償,對侵權損害結果并不要求必須是物質性的,在該法第82條第1款中明確列舉出了“非物質損害”也同“物質性損害”一樣有權向侵權行為人即信息控制者或信息處理者索賠。在若涉及多個侵權行為人時,GDPR規定該侵權行為造成的損害由多個侵權行為人承擔連帶賠償責任,侵權行為人內部可以進行互相追償。[]在侵權歸責原則上,GDPR承繼1995年歐盟第95/46號數據保護指令,采取過錯推定原則,要求侵權行為人承擔嚴格責任。
GDPR中,生物識別信息的信息主體的司法救濟多需通過行政訴訟和行政處罰來實現,如2015年北愛爾蘭最高法院審理的涉及英國警方就長期保留罪犯的個人生物識別信息這一事項是否有權的行政訴訟案件,2019年瑞典數據監管機構(DPA)針對一所學校使用人臉識別系統對學生進行考勤這一違反GDPR的行為開出金額為20萬瑞丹克朗(約合人民幣14.8萬元)的罰單[]。GDPR并未對個人生物識別信息民事侵權救濟方面規定更多。此外,GDPR對于生物識別信息侵權損害認定尤其是“非物質損害”認定上進行范圍的規定。在信息主體的生物識別信息被侵權卻未造成實際損害即“非物質性損害”時,不同的信息主體對生物識別信息侵權的感受程度往往不同,即使是同一信息主體在不同的應用情境中就其生物識別信息侵權的感受程度也有所不同。因此針對個案的賠償金額應當綜合考慮確定,而非用單一的客觀標準來量化。
三、我國個人生物識別信息侵權規則的建構
我國在2017年的《網絡安全法》第76條中首次明確個人生物識別信息屬于個人信息的一種;2017年12月29日發布的《信息安全技術個人安全規范》將個人生物識別信息定義為個人敏感信息的一種;2020年通過的《中華人民共和國民法典》在“人格權篇”的第1034條中明確規定“生物識別信息”屬于個人信息的一種,并在第1035條至第1039條中對個人信息處理原則、侵害個人信息免責事由、公民對個人信息所享有之權利、信息處理者義務、承擔行政職能的法定機構及其工作人員對個人信息的保密義務等進行了詳細規定,根據民法典的規定,可見自然人對于個人信息尤其是生物識別信息應當是實現完全支配的,同時將個人信息納入人格權編,說明其具備人格屬性,而自然人與其具有人格屬性的生物識別信息應當是一體的[];2021年6月8日通過的《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》(以下簡稱人臉識別民案規定),規定了信息處理者利用網絡服務處理人臉識別侵害信息主體人格權益、給信息主體人格權益造成財產損失的,信息主體有權通過民事侵權救濟路徑要求信息處理者承擔侵權責任,明確了財產損失的賠償范圍和自然人有權申請人民法院作出人格權侵害禁令;2021年8月20日全國人大常委會審議通過的《中華人民共和國個人信息保護法》,明確了生物識別信息作為敏感個人信息的一種處理規則,在第五章規定了個人信息處理者對信息主體生物識別信息的侵權行為承擔過錯推定侵權責任、明文規定了侵權損害賠償、以及提出信息主體生物識別信息侵權的公益訴訟民事侵權救濟機制。
目前我國就生物識別信息民事侵權法律救濟的規制而言尚未構建完整法律框架,這使得信息主體難以充分行使生物識別信息民事救濟權利。正如被稱為國內“人臉識別第一案”的郭兵與杭州野生動物世界有限公司服務合同糾紛一案中,法官以合同成立與否的角度闡述杭州野生動物園對郭兵使用人臉識別技術行為是否有效,從而認定杭州野生動物園違約[],當然這也是因為當事人在合同之債與侵權之債競合中選擇了從合同之債路徑出發維護自身權益,并沒有從侵權之債路徑出發對該侵權行為進行相關民事救濟。因此,針對信息主體生物識別信息侵權事件頻出這一現象,關于這一民法上的侵權行為,中國應制定與生物識別信息相關的民事侵權確切規則,保障權利人生物識別信息就民事侵權私法上的救濟。
(一) 個人生物識別信息采階梯型分級保護
生物識別信息作為直接采集于人體固有生理特征、行為特征,通過計算機與特定技術處理的信息數據。生物識別信息之所以敏感,在于其與信息主體的人身屬性高度掛鉤,其所反映的個人生物特征是獨一無二、不可更改的,一旦泄露便無法像其他通常的個人信息進行更換、補辦與索回,這也側面反映出生物識別信息所隱含的經濟價值。生物識別信息的這種高度敏感性需要法律采取有別于其他一般個人信息的保護規制時,不僅如此,不同類型的生物識別信息之間敏感程度也有所不同。如信息主體的人臉信息相較于其他類型生物識別信息而言,更容易被采集,因為采集方式不需要直接接觸,普通攝像頭即可進行采集,且這種非接觸式的采集更加隱蔽,法律規定的“信息采集書面告知機制”更容易失靈,刷臉常在權力、地位不對等的環境中被使用[]。除此之外,不同類型的生物識別信息在受到同種程度的侵害后所產生的損害結果也有所不同,就信息泄露而言,信息主體的指紋、人臉信息泄露所產生的危害結果遠大于諸如步態、筆跡等可通過一定的人力進行改變的生物識別信息泄露。不同類型的生物識別信息在不同應用場景中敏感程度不同,受到侵害時所侵害的法益也有程度強弱之分,有必要借鑒國外“場景”理論與相關立法,兼采靜態和動態認定方法,兼顧不同種生物識別信息利用的情景、目的等變量因素,動態分析信息主體面臨權益損害的風險程度,從而對不同生物識別信息類型的敏感度作出準確判定,[]有針對性地對不同類型的生物識別信息采取階梯型分級保護——可分為強、中、弱三等級。正如一些學者主張的那樣,依據個人信息數據的具體類型和不同場景中所涉及的權益性質,針對性地采取不同保護模式。[]同樣地,有學者提出并用場景抽離和場景融入路徑來界定敏感個人信息的這一觀點,[]也給判定同類型生物識別信息在不同應用場景和不同類型在同一應用場景的敏感程度高低提供了另一條思路,使得對個人生物識別信息進行階梯型分級的保護更科學、更具可操作性。
(二) 明晰生物識別信息侵權行為類型
為信息主體能充分得到私法侵權救濟,需要對信息主體的生物識別信息被侵害的現象進行剖析,明晰侵權行為類型,可以分為程序性的和實體性的侵權行為模式,從而針對不同侵權行為類型采取相應的民事侵權救濟路徑。其中,從程序性的侵權行為模式來說,主要指信息處理者消極履行或不履行法律規定的相關程序性義務,如信息處理者未經信息主體同意的采集使用、披露等的行為、未對信息主體履行相關程序性義務的行為都屬于程序性侵權形式的侵權行為。多款APP涉嫌過度收集個人生物識別信息的侵權行為就侵害了信息主體對個人生物識別信息的知情權和同意權,屬于程序性侵權形式,這種侵權行為模式一般不會對信息主體造成物質性的損害,往往這種損害是“非物質性”的。而實體性的侵權行為模式,主要是侵權行為人會對信息主體的生物識別信息造成物質性的損害。著名黑客Krissler在蘋果新一代TouchID發布后一天,便破解了蘋果的TouchID技術,通過IPhone屏幕上留下的指紋污點,掃描復制指紋模型,利用這個模型黑進手機。[]“深度偽造”(deepfake)技術對個人的聲音信息、面部特征和身體動作進行拼接合成,通過神經網絡技術大樣本學習,以此模仿生成特定個體的圖像,并且達到以假亂真。國內名為“ZAO”軟件中將明星的臉換成用戶自己的臉、國外名為“FakeAPP”軟件能夠實現“一鍵換臉”功能。環球網報道美國圣地亞哥的一家人工智能公司Kneron用一個特質的3D面具,成功欺騙了包括支付寶和微信在內的諸多人臉識別支付系統,完成了購物支付程序。[]這些都嚴重侵害了信息主體的合法權益,通過對侵權行為進行分析,將層出不窮的侵權行為進行模式歸類,才能讓信息主體在個人生物識別信息民事侵權上更好地實現權利的救濟。
(三) 新型民事侵權保護范式的研究
生物識別信息所涵蓋的復雜權益與相對一般個人信息的特殊性,傳統的民事侵權保護范式難以使信息主體的權利充分得到救濟,因此需要對傳統民事侵權保護范式進行相應的變通,以充分保障信息主體的救濟權利。如何認定損害事實與因果關系,完善生物識別信息民事侵權中的舉證責任機制、責任承擔機制,如何解決基于同一訴訟事由生物識別信息侵權的案件中群體性的侵權糾紛等難題需要進行深入的研究。
1. 明確個人生物識別信息侵權“非物質性損害”認定
我國在民事侵權救濟法律規定上應當充分認識到生物識別信息侵權損害結果存在“物質性損害”與“非物質性損害”,對損害的認定應當明確。對于僅僅違反程序性的規定而對個人生物識別信息進行侵權,卻沒有產生損害事實的行為該如何規制,是個難題。我國《民法典》對個人信息侵權行為的規制,是從程序性的權利與義務出發的,即要求權利人明確同意、處理個人信息的合法、正當、必要原則、信息處理者的安全補救義務、權利人的信息刪除權等各項規定都體現出程序性的要求。對于信息處理者違反程序性義務的侵權行為,往往產生的損害是無形的,是“非物質性損害”,被侵權人在民事訴訟救濟中難以證明損害的發生,從而使得信息主體無法得到充分有效的司法救濟。這就引發了美國司法實踐中通常遇到的“案件——訴訟——損害”的法理邏輯以及“程序性違法”的損害賠償類似的問題。[]因此,我國應當明確個人生物識別信息侵權損害的認定并進行相關規制。對于程序性違法的侵權行為,可以認為其損害的是信息主體對個人生物識別信息的期待利益。或控制者的程序性違法行為,導致信息主體對個人生物識別信息上所帶有的相關可期待的利益不能實現。如在支付領域中,信息處理者或控制者未及時更正信息主體的生物識別信息,信息主體不能被認定個人身份而導致支付不能,信息主體就該程序性違法行為失去了生物識別信息在交易功能上的可期待利益。從保護信息主體的合理期待利益出發,對生物識別信息侵權造成的“非物質性損害”進行侵權救濟,同時對賠償金額作出明確的范圍規定,不能因缺乏物質性損害而否定信息主體進行民事侵權救濟。
2. 個人生物識別信息侵權歸責原則靈活化
個人生物識別信息侵權對被侵權方、侵權責任人以及法院等各方主體而言訴訟成本都比較高,從主體訴訟能力到侵權證據乃至案件審理的整個流程都會導致個人生物識別信息侵權問題難以得到高效解決,一個案件往往成為耗時良久的拉鋸戰。[]注重個人生物識別信息的保護需要達到個人信息處理中的自然人保護和信息自由流通相平衡。《個人信息保護法》第69條第1款明確規定了信息處理者對信息主體生物識別信息的侵權行為的責任承擔采取過錯推定歸責原則。在此規定下,如果個人生物識別信息不準確或不完整非因處理者的過錯造成的,而完全是因為客觀情況發生變化等導致的,信息處理者如果可以證明自己沒有過錯,就不需要承擔賠償責任。[]但是由于生物識別信息的特殊人身專屬性與高度敏感性,筆者認為,生物識別信息侵權歸責原則應當靈活化,在不同的生物識別信息侵權場景下適用不同的歸責原則,以此充分保護生物識別信息所承載的法益。對于信息處理者或控制者對信息主體的生物識別信息的實體性侵權行為,應當采用過錯推定原則;對于信息處理者或控制者對信息主體的生物識別信息的程序性侵權行為,應課以嚴格的責任承擔,不應當以其主觀無過錯而不認定為侵權,故此應當采用無過錯責任原則。與此同時,主張方的部分舉證責任應當轉移于被侵權人信息處理者或控制者,即應當提出初步的侵權證據,但舉證責任轉移并沒有免除主張方的證明責任,它所轉換的只是當事人提出證據的責任,即主觀的證明責任。[]此外,對于并未利用信息處理者或控制者的身份和信息數據處理相關技術,而對信息主體的生物識別信息進行的侵權行為,該種侵權人應采用一般過錯原則進行歸責。我國《民法典》規定承擔侵權責任的方式主要有:停止侵害、排除妨礙、消除危險、返還財產、恢復原狀、賠償損失、賠禮道歉、消除影響、恢復名譽。[]就信息主體的生物識別信息民事侵權案件中,也是同樣適用的。
3. 個人生物識別信息侵權因果關系的認定
對于信息主體生物識別信息侵權案件中,因果關系的認定相當復雜也很難由權利人證實其存在。如信息處理者未經信息主體同意采集信息主體的生物識別信息,這種違反程序性義務的行為與信息主體的生物識別信息遭到泄露導致財產損失之間是否存在因果關系,權利人很難舉證證明,因為生物識別信息泄露導致財產損失這一事實中,生物識別信息的泄露也存在多方因素,財產損失更是多種因素的結合。目前侵權法中相當因果關系的理論能否難以為信息主體生物識別信息侵權的救濟提供建設性的幫助,從而實現權利人權利的充分救濟,是一個問題。民事侵權法中,因果關系的適用目的是確定責任的范圍,與侵權歸責密切結合,從而根據侵權行為人的過錯確定行為人侵權責任的承擔。針對數據時代個人生物識別信息侵權案件中,適用何種因果關系存在不同學者的見解。有學者認為應當適用條件因果關系來認定,[]凡是與生物識別信息侵權損害事實的發生有關的行為,認定該行為與損害事實存在因果關系,應當承擔侵權責任,即是事實上的因果關系即可。但是這種觀點的確從最大程度上保護了信息主體的民事侵權法救濟權利,但從利益平衡角度而言,給信息處理者苛以較重的法律責任,不利于經濟的發展。也有學者認為傳統的相當因果關系理論在個人生物識別信息侵權追責中,同樣也能實現權利人權利的救濟。[]
4. 生物識別信息群體性侵權糾紛的解決
由于生物識別信息技術處理的特殊之處,使得個人生物識別信息民事侵權案件中往往存在被侵權主體眾多、所訴事由同一或同種等特點。生物識別信息侵權中,所被侵權的信息主體往往不是特定人,而是不特定的多數人。生物識別信息侵權一般都存在被侵害者數量較多、被侵害人員分布較為零散、取證舉證能力較弱的特征,應當在程序層面對上述主體體系進行整合,提高權利救濟的相關效率與質量。[]美國針對生物識別信息侵權多人訴訟的做法是采取突破時間和地域限制的集團訴訟,我國民訴中規定的共同訴訟、代表人訴訟等與之有相似之處,但又有所不同,二者雖然都是針對群體糾紛集合的私法救濟,但前者又比后者更為具體。我國沒有集團訴訟生長與發展的環境,缺乏集團訴訟發揮作用的配套機制。[]針對生物識別信息群體性糾紛,美國采取的集團訴訟并不符合我國的社會現狀和當前司法運作環境。而我國目前規定的共同訴訟與代表人訴訟等規定,可以在一定程度上解決生物識別信息群體性的侵權糾紛。侵權行為人對社會不特定群體實施的生物識別信息不法侵權行為,不僅侵害了信息主體的合法權益,更侵害了網絡社會的信息流通安全,損害社會公共的利益。對于危害程度達到損害社會公共利益或涉及眾多個人權益的生物識別信息侵權案件,根據《個人信息保護法》第70條的規定,我國已經提出了個人信息公益訴訟制度,據此,針對生物識別信息群體性侵權糾紛,法定組織可以提起民事公益訴訟。最高檢發布的11例檢察機關個人信息保護公益訴訟案例,證明公益訴訟提高了個人信息侵權糾紛解決的效率和效益。而作為更加敏感的個人信息——生物識別信息,在涉及群體性侵權糾紛時,適用公益訴訟制度也更能使得信息主體的民事救濟權利得到充分保障。
四、結語
對個人生物識別信息的法律規制,應當采取比例原則,兼顧信息安全與信息自由流通的效率,平衡信息安全與經濟效益二者之間的關系。美國在個人生物識別信息的民事保護層面上,更傾向于注重隱私權的保護,但體系較為零散;歐盟在個人生物識別信息的保護層面上,更為嚴格和系統性,但對于民事上救濟的法律規制較少,多為行政上的法律規制。目前中國的個人生物識別信息被販賣和不法披露等民事侵權現象日漸嚴峻,如何維護公民對個人生物識別信息安全的正當訴求,在民事訴訟機制上實現救濟的可能,不僅需要充分學習借鑒國外的經驗,并立足于本土國情創造性地建立和完善生物識別信息侵權救濟機制,以更好地保障公民個人信息安全,維護多種利益的平衡與社會的穩定。
參考文獻
[] 李懷勝:《濫用個人生物識別信息的刑事制裁思路——以人工智能“深度偽造”為例》,《政法論壇》,2020年第4期。
[] 王麗:《生物識別信息濫用催生灰色產業》,《方圓》,2019年第24期。
[] 付微明:《個人生物識別信息民事權利訴訟救濟問題研究》,《法學雜志》,2020年第3期。
[] 陳吉棟:《個人信息的侵權救濟》,《交大法學》,2019第4期。
[] 張凱倫、王倩:《“人臉和指紋都在裸奔” 個人生物信息期待立法保護》,《公民與法(綜合版)》,2019年第4期。
[] 胡鵬鵬:《大數據背景下個人生物識別信息的立法保護研究》,《信息安全研究》,2020年第9期。
[] 俞飛:《海外個人生物信息攻防戰》,《方圓》,2019年第24期。
[] 商希雪:《生物特征識別信息商業應用的中國立場與制度進路 ——鑒于歐美法律模式的比較評價》,《江西社會科學》,2020年第2期。
[] Rosenbach v. Six Flags Entertainment Corp. 2017 IL App (2d) 170317, No. 2-17-0317.
[] 薛永慧:《代表人訴訟抑或集團訴訟:我國群體訴訟制度的選擇》,《中國政法大學學報》,2009年第5期。
[] 付微明:《個人生物識別信息民事權利訴訟救濟問題研究》,《法學雜志》,2020年第3期。
[] 付微明:《個人生物識別信息的法律保護模式與中國選擇》,《華東政法大學學報》,2019年第6期。
[] See In article 4, paragraphs 16 of General Data Protection Regulation.
[] See In article 5, paragraphs 1 of General Data Protection Regulation.
[] 石佳友:《個人信息保護的私法維度——兼論《民法典》與《個人信息保護法》的關系》,《比較法研究》,2021年第5期。
[] See In article 78, paragraphs 1 of General Data Protection Regulation.
[] See In article 79, paragraphs 1 of General Data Protection Regulation.
[] See In article 82 of General Data Protection Regulation.
[] 李懷勝:《濫用個人生物識別信息的刑事制裁思路——以人工智能“深度偽造”為例》,《政法論壇》,2020年第4期。
[] 曾昌:《分離困境與整合路徑:大數據時代下個人生物識別信息保護制度之完善》,《云南社會科學》,2021年第5期。
[] 郭兵訴杭州野生動物世界有限公司服務合同糾紛案,浙江省杭州市富陽區人民法院(2019)浙0111民初6971號民事判決書。
[] 韓旭至:《刷臉的法律治理:由身份識別到識別分析》,《東方法學》,2021年第5期。
[] 張勇:《敏感個人信息的公私法一體化保護》,《東方法學》,2022年第1期。
[] 勞東燕:《個人數據的刑法保護模式》,《比較法研究》,2020年第5期。
[] 寧園:《敏感個人信息的法律基準與范疇界定——以《個人信息保護法》第28條第1款為中心》,《比較法研究》,2021年第5期。
[] 付微明:《大數據時代個人生物識別信息法律保護的重要意義》,《研究生法學》,2019年第4期。
[] 《騙過微信、支付寶,美國公司3D面具即可破解人臉識別》,載澎湃號,http://www.thepaper.cn/newsDetail_forward_5273977。
[] 付微明:《個人生物識別信息民事權利訴訟救濟問題研究》,《法學雜志》,2020年第3期。
[] 林凌、賀小石:《人臉識別的法律規制路徑》,《法學雜志》,2020年第7期。
[] 程嘯:《論我國個人信息保護法的基本原則》,《國家檢察官學院學報》,2021年第5期。
[] 薛永慧:《民事訴訟舉證責任倒置芻議》,《政法論壇:中國政法大學學報》,2004年第3期。
[] 《中華人民共和國民法典》第179條。
[] 徐明:《大數據時代的隱私危機及其侵權法應對》,《中國法學》,2017年第1期。
[] 陳吉棟:《個人信息的侵權救濟》,《交大法學》,2019年第4期。
[] 曾昌:《分離困境與整合路徑:大數據時代下個人生物識別信息保護制度之完善》,《云南社會科學》,2021年第5期。
[] 薛永慧:《代表人訴訟抑或集團訴訟:我國群體訴訟制度的選擇》,《中國政法大學學報》,2009年第5期。
浙江國傲(長三角一體化示范區)律師事務所
地址:嘉興市嘉善縣晉陽東路818號國開商會大廈1號樓5層西側
總臺電話:0573-84888387
