作者:娄曹军
笔者服务过多家跨国公司,在数据处理领域经常需要对中欧两地的数据法规做比较研究,以便于在公司的数据实践上做微调以符合当地的监管法律。笔者发现中欧两地关于生物识别数据的规定的区别值得跨国企业注意。
生物识别数据是与自然人的身体、生理或行为特征有关的特定技术处理操作所产生的个人数据,它允许或确认对该自然人的明确识别。比较典型的身体或生理生物识别技术的例子包括:面部识别、指纹验证、虹膜扫描、视网膜分析、语音识别以及耳廓识别。而行为生物识别技术的例子包括:键盘使用分析、手写签名分析、触摸屏和鼠标的使用模式、步态分析、凝视分析(眼球追踪)以及在电脑前上网和工作的行为习惯分析。这大概是中欧两地的共识。但是两边的具体法律规制又略有不同。
一
欧洲GDPR的规制
1. 如何认定“生物识别数据”
欧洲《一般数据保护条例》的第4条第14款对生物识别数据做了如下定义:
“
‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;” (Art. 4 (14) GDPR)
“生物识别数据”指的是基于特别技术处理自然人的相关身体、生理或行为特征而得出的个人数据,这种个人数据能够识别或确定自然人的独特标识,例如脸部形象或指纹数据。
上述第4条的定义强调了两点。一是specific technical processing(特殊技术处理),另一个是可以用于unique identification of that natural person(用于个人身份的识别)。这需要将两个特征叠加在一起才能使得相关数据成为生物识别数据。
举个例子,如果你处理个人的数码照片,这并不自动成为生物识别数据,即使你将其用于识别个人的目的。尽管数字照片可能允许使用身体特征进行识别,但只有在你进行对其"特定技术处理 "时,它才会成为生物识别数据。通常,这涉及到使用图像数据来创建一个个人数字模板或档案,而你又将其用于自动图像匹配和识别。这个例子中虽然数据照片用于识别个人,但是未经“特定技术处理“则不属于生物识别数据。
2. 处理生物识别数据的法律基础
所有生物识别数据都是个人数据,因为它允许或确认个人的身份。只要你处理生物识别数据的目的是 "为了唯一地识别一个自然人",它也是特殊类别数据。这意味着在绝大多数情况下,生物识别数据将是特殊类别的数据。如果你使用生物识别技术来了解一个人的情况,验证他们的身份,控制他们的访问,对他们作出决定,或以任何方式区别对待他们,你需要遵守《一般数据保护条例》的第9(2)条。就是说在GDPR下,特殊类别的个人数据和一般个人数据的处理法律基础是不一样的。
《一般数据保护条例》第9(2)条要求处理特殊类别的个人数据需要满足以下一个或多个条件:
“
(a)数据主体明确同意基于一个或多个特定目的而授权处理其个人数据,但依照欧盟或成员国的法律规定,数据主体无权解除第1段中所规定的禁令的除外;
(b)处理对于控制者履行责任以及行使其特定权利是必要的,或者对于在雇佣、社会安全与社会保障法领域采取符合欧盟或成员国法律或集体协议的措施以保护数据主体的根本权利和利益是必要的;
(c)数据主体因为身体原因或法律原因而无法表达同意,但处理对于保护数据主体或另一自然人的核心利益却是必要的;
(d)基金、协会或其它具有政治、哲学、宗教或工会目的的非盈利机构的正当性活动中所进行的处理,并且已经采取了恰当的保护措施;或者处理目的仅仅和机构成员、之前成员或具有经常联系的人相关,并且个人数据在未经数据主体同意前不对实体外的人公开;
(e)对数据主体已经明显公开的相关个人数据的处理;
(f)当处理对于提起、行使或辩护法律性主张必要时,或者法院在其所有的司法活动中所进行的处理;
(g)处理对实现实质性的公共利益必要的,建立在欧盟或成员国的法律基准之上、对实现目标是相称的,尊重数据保护权的核心要素,并且为数据主体的基本权利和利益提供合适和特定的保护措施;
(h)处理对于预防性医学或临床医学目的是必要的,或者对于评估雇员的工作能力、医疗诊断、提供——基于欧盟或成员国法律,或遵循和健康职业机构签订的契约并遵循第3段所规定的情形与保障措施——健康或社会保健或治疗或管理健康或社会保健体系是必要的;
(i)在公共健康领域,处理是为了实现公共利益所必要的,例如,在欧盟或成员国内已经为保障数据主体的权利与自由而采取合适与特定措施的法律基础上,处理对于预防严重的跨境健康威胁是必要的,或者为了保障医疗质量和安全、医疗产品或医疗设备的高质量和安全是必要的;或者
(j)处理对于实现符合第89(1)条公共利益、科学或历史研究目的或统计目的是必要的,处理采取了与其期望目的所相称的处理,尊重数据保护权的核心要素,并且对数据主体的基本权利与利益采取了合适与特定的措施。
如果不被认定为生物识别数据,一般个人数据的处理的法律基础则遵从《一般数据保护条例》第6(1)条:
“
(a)数据主体已经同意基于一项或多项目的而对其个人数据进行处理;
(b)处理对于完成某项数据主体所参与的契约是必要的,或者在签订契约前基于数据主体的请求而进行的处理;
(c) 处理是控制商履行其法定义务所必需的;
(d)处理对于保护数据主体或另一个自然人的核心利益所必要的;
(e)处理是数据控制者为了公共利益或基于官方权威而履行某项任务而进行的;
(f)处理对于控制者或第三方所追求的正当利益是必要的,这不包括需要通过个人数据保护以实现数据主体的优先性利益或基本权利与自由,特别是儿童的优先性利益或基本权利与自由。
是否被认定为生物识别数据,其处理的法律基础也有非常大的区别。这两种不同的处理方式对于企业而言,是有非常大的区别的。第9(2)条所罗列的要求比第6(1)条的要求要难得多。比如第6(1)(b)下的对企业来说非常好用的contractual performance(合同履行)就不能用在特殊类别的个人数据上。这对于企业而言,多有不便,需要另外寻觅法律基础来处理数据。
《一般数据保护条例》的第9(1)条将“biometric data”认定为“special categories of personal data“(特殊种类的个人数据)的一种,并且与 “for the purpose of uniquely identifying a natural person”相互连接,意在强调biometric data的目的是识别个人。这就是第9条最有意思的地方了, 《一般数据保护条例》第9(2)条适用的前提是biometric data必须要有biometric purpose。
“
“Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited.” (Art. 9 GDPR)
对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,应当禁止处理。
对于这其中的差别,我们来举一个例子,如果一家公司设计的APP可以语音交互,那么交互过程的录音是否属于生物识别数据?总体而言,声音录音属于生物识别数据。第29条工作小组两次重申了这个观念。
“
Typical examples of such biometric data are provided by fingerprints, retinal patterns, facial structure, voices, but also hand geometry, vein patterns or even some deeply ingrained skill or other behavioural characteristic (such as handwritten signature, keystrokes, particular way to walk or to speak, etc...) (Art. 29 Working Party, WP 136, P. 8)
这种生物识别数据的典型例子是由指纹、视网膜模式、面部结构、声音,但也包括手的几何形状、静脉模式,甚至一些根深蒂固的技能或其他行为特征(如手写签名、击键、特殊的走路或说话方式,等等)。
Sometimes the biometric information captured from a person is stored and processed in a raw form that allows recognising the source it comes from without special knowledge e.g. the photograph of a face, the photograph of a finger print or a voice recording. (Art. 29 Working Party, WP 136, P. 4)
有时,从一个人身上采集的生物识别信息是以原始形式存储和处理的,可以在没有特殊知识的情况下识别其来源,例如脸部的照片、指纹的照片或语音记录。
可是如果声音录音不是用来识别个人,则不应当认定为具有biometric purpose 的biometric data,那么GDPR第9(2)条就不再适用,从而适用更加便捷的GDPR第6(1)条。比如在上面的例子里,录下声音的目的是用来识别指令等,不具有识别个体的目的,所以我们依然可以依赖6(1)(b)来处理数据,简直是企业的莫大幸事。另外一个例子,比如App需要检测某个个体夜间咳嗽的状况,做病情监测。这个情形的声音也不是用来做个体的身份识别,所以也不适用GDPR第9(2)条。
二
中国个人信息保护法的规制
1. 如何认定“生物识别信息”
因为立法技术的原因,中国法下使用了个人信息的概念,而不是个人数据。所以在中国法下,我们会使用“生物识别信息”代替“生物识别数据”。在本文中,“生物识别数据”和“生物识别信息”具有相互可替代的关系。很遗憾,中国的《个人信息保护法》(“个保法”或“《个保法》”)只在第28条规定了“敏感个人信息“的概念。
“
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
《个人信息保护法》并没有定义“生物识别信息”,只在《GB/T 35273—2020信息安全技术 个人信息安全规范》对”个人生物识别信息“做了举例:“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等”。其他可以参考的官方定义是在《GB/T 26238-2010 信息技术 生物特征识别术语》下把“生物特征数据“ (Biometric Data)定义为“处于任何处理阶段的生物特征样本或生物特征样本的积聚、生物特征参考、生物特征项或生物特征特性”。
《GB/T 40660-2021 信息安全技术 生物特征识别信息保护基本要求》将生物特征识别信息(biometric information)定位为“对自然人的物理、生物或者行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。生物特征识别信息包括“个人面部识别特征、虹膜、指纹、基因、声纹、步态、掌纹、耳廓、眼纹等”。这个定义显然借鉴了欧盟GDPR的立法。这个定义保留了GDPR的定位的精髓“技术处理”和“可识别”的功能。
2. 处理生物识别信息的法律基础
个人信息保护法第二十九条规定“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”
我们仍然以上面的案列在中国法下做分析,就会发现有意思的差别了。中国的法律下是不需要将生物识别信息与生物识别的目的相连接,从要苛加更严厉的法律要求的。在上面那个语音交互的案例中,我们只需要分析声音样本是不是属于生物识别信息(敏感个人信息)。至于这个声音样本是不是用来做人物识别,则在所不问了。
很可惜我们的法律对于如何判断声音是否属于生物识别信息仍然有很多空白有待于填补。现在可以用于分析的法规或标准只有《信息安全技术 声纹识别数据安全要求》(征求意见稿),另外,很可惜它还是个征求意见稿。我们将借助于《信息安全技术 声纹识别数据安全要求》(征求意见稿)来分析这个问题。我们看到在这个征求意见稿中,声纹识别数据(voiceprint recognition data)指“声纹语音样本及其处理得到的,可单独或结合其他信息识别数据主体身份的数据。注:声纹识别数据包括声纹语音样本、声纹特征和声纹模型。” 声纹特征 (voiceprint feature)指“从数据主体的声纹语音样本中所提取的,可以表征该数据主体语音个性特点的参数。注1:常用的特征参数包括频谱(spectrum)、倒频谱(cepstrum)、线性预测系数(LPC)、音高(pitch)、声调(tone)、共振峰(formant)、音质(voice quality)、声韵(prosody)、习语(phoneme/word idiolect)等各种层次的信息。注2:声纹特征具有不可逆性,无法还原出声纹语音样本”。声纹模型 (voiceprint model)指“对声纹特征进行描述的数学模型或模型参数的取值”。而比较难的是如何判断声纹语音样本。声纹语音样本 (voiceprint speech sample)指“与数据主体直接或间接关联的,可通过声纹来识别数据主体唯一身份的语音样本或语音样本的聚集。注1:智能语音交互过程中所采集的语音样本如未经过特殊处理,可用于识别数据主体,也属于声纹语音样本。注2:可以通过某些技术手段消除或破坏语音样本中的声纹信息,这时的语音样本无法通过声纹来识别数据主体身份,不属于声纹语音样本”。智能语音交互过程中所采集的语音样本如未经过特殊处理,可用于识别数据主体,也属于声纹语音样本。至于是否可以识别?如果按照欧洲的标准,则大概率会被认定可以识别。这似乎会让语音交互过程中所采集的语音样本被认定为生物识别信息,从然使得企业必须寻求客户的特殊同意,才能处理声音信息。
在上面提到的另外一个案例中,企业的APP夜间监测咳嗽而录下的声音算不算生物识别信息呢?《信息安全技术 声纹识别数据安全要求》(征求意见稿)中认定“直接从数据主体采集的语音样本中蕴含数据主体的声纹信息。声纹是对语音样本中所蕴含的、能表征和标识数据主体的语音特征,以及基于这些特征(参数)所建立的语音模型的总称。”尽管这只是一个征求意见稿,如果从严解释,似乎声音录音也会被认定为生物识别信息。
但是中国的个人信息保护法于欧洲GDPR的最大不同在于我们在第28条的“个人敏感信息”定义时,并不要求生物识别信息的目的限制于识别个人。所以只要是处理敏感信息范围内的信息,就必须获得个人的单独同意。但是个人信息保护法,只对生物识别信息增加了“单独同意”的要求,而没有任何其他额外规制。
三
两地法律的区别总结
1. GDPR只有在处理具有“识别个人目的”的“生物识别信息”时,才会有更严苛的要求。而个保法不需要“识别个人”的目的,只要本身是生物识别信息,就会添加更严苛的要求。
2. GDPR下处理“生物识别信息”的法律基础比较广泛,多达9条,包括但不限于同意、公共利益等。可是个人信息保护法只有一个法律基础,就是单独同意,这使得处理生物具有很大的局限性。
3. 作为跨国企业在不同法域处理“生物识别信息”时,应当注意以上的区别,在两地可以就同一类型的数据处理行为,做不同的处理。
四
建议
1. 生物识别信息是一个非常重要的概念。这个组群下的个人信息对自然人的人格尊严或者人身、财产安全有着重大影响。中国在法律层面应当对这个概念做沥青和定义,便于公民和组织对其识别、保护、防范侵犯。如果将定义交给国标去处理,实在太过轻浮和草率。
2. 中国法律下对“生别信息”的处理只规定了“单独同意”的额外要求。法律还没有理清楚个保法的第13条与第19条的关系。13条下的合同履行、人力资源管理、公共卫生事件、紧急避险、法定义务、公共利益或处理公开信息的其中任意一个法律基础是否可以豁免第29条的“单独同意”,这在中国学术界或者实务界存在争议。“豁免说”在学界和实务界暂时占据上风。这会使得对“生物识别信息”的特殊处理和额外保护形存实亡。即便将来立法否定“豁免说”,我们仍然认为现行法律对“生物识别信息”,进一步而言对“敏感个人信息”,的特殊规制需要进一步完善。特别是处理“生物识别信息”或“敏感个人信息”的法律基础需要进一步扩展。如果只有“单独同意”,肯定是无法满足实务的需要,这会使得很多时候企业和科研单位感到束手束脚。对个人信息的法益保护,不应当不当阻止整个产业和学术研究的发展。建议立法参照GDPR,增加更多处理敏感信息的法律基础,同时能够有效的对敏感信息提供额外的保护和规制。
