网络平台治理中的生物识别信息保护*

田 丽，毕 昆

（北京大学，北京100871）

0 引 言

2020年12月，一则名为“为保护个人信息，戴着头盔去看房”的短视频出现于各大平台。男子在视频中称，戴头盔是为了避免在售楼大厅被人脸识别系统“无感抓拍”后被房地产公司按购房类型、购房资质“看人下菜”，受到区别对待。在日常生活中采取这种极端手段保护个人权益的案例只是个案，生物识别信息的主体——公民在实际面临采集和授权的时候往往并没有选择权。在个人隐私和数据保护成为焦点的当下，以《中华人民共和国网络安全法》为代表的法律法规及政府配套措施相继出台，行业自律和平台自治行动也纷纷展开，网络技术向准确性、安全性和合法性方向不断迈进。然而，生物识别信息中出现的过度采集、保存不当、权限滥用和非法交易等问题仍十分严重，生物识别信息治理仍处于空白局面，亟待加强保护与管理措施。

当前，生物信息识别技术在产业应用和技术水平上不断发展，网络平台凭借其便捷性和高效性，成为了新的公共基础设施。全方位、全时段、全属性的生物识别技术为网络平台提供了巨大的利益空间，公民在使用公共服务中隐私权、财产权等遭受威胁，政府的公共权力让渡边界也同时变得模糊。平台在这一问题中难辞其咎，不论是搭载生物识别信息相关功能的平台运营者，还是进行生物识别信息后台处理、授权存储或转移的第三方机构平台，都需要弥补管理漏洞，树立治理意识，明确治理责任。

既有研究中，对于网络平台的生物识别信息保护内容呈现出三大特征。一是集中论述其现象及危害，二是讨论其适用的法律及其边界，三是集中关注生物识别信息中的人脸识别信息，整体缺乏对于生物识别信息的系统性、规范性研究以及从平台视角研究发展动因与治理措施的论述。本文从厘清生物识别信息的概念、风险和发展动因出发，分析平台在生物识别信息保护问题中拥有的功能和属性，进而提出相应的对策。

1 生物识别信息的内涵与特性

1.1 生物识别信息概念

生物识别信息常被简称为生物信息，欧盟将其定义为“通过对自然人的身体、生理或行为特征有关的特定技术处理产生的能够识别该自然人的唯一特征的个人数据”，美国则将其定义为“个人生理、生物或行为上的特征”和“具有个人生物识别标识符的信息”[1]。一般而言，生物识别信息包含但不限于面部图像、指纹数据、声纹信息、虹膜信息、步态信息、基因信息等。分类方面，按照生物特征，生物识别信息可被分为生理特征信息（如指纹、人脸、虹膜等）和行为特征信息（步态、声音等）[2]；按照使用场景，可被分为公共服务类（如证件签发录入指纹）、刑事诉讼类（如犯罪嫌疑人人脸信息）和商业应用类（如金融业务使用虹膜解锁）信息。

目前，我国对生物识别信息从属的个人信息保护领域较为关注，但暂时对生物识别信息没有单独、统一的权威定义。《中华人民共和国民法总则》规定了自然人的个人信息受法律保护，《中华人民共和国民法典》将“个人信息”与“隐私权”并列作为“人格权编”的内容并在个人信息范围列举中提及了“生物识别信息”[3]。《信息安全技术个人信息安全规范》将生物信息称为“生物识别信息”，认为其具有天然性、永久性和不可更改性的特点。在行业规范中，我国对于个人生物特征识别领域暂时没有明确的相关文件，但对个人信息安全的应用给出了保护指南，如《互联网个人信息安全保护指南》等。

1.2 生物识别信息的特殊性

生物识别信息具有极强的特殊属性。首先，生物识别信息是活体数据，是自然人存在时体现出的原始生物特性，其本身具有可识别性、主体唯一性、高度稳定性、不可变更性和不可替代性的特点。

不同于需要自然人进行意愿填报的身份、住址等个人隐私信息，生物识别信息具有“无感识别”的隐蔽性特点。由于生物识别信息与特定自然人的相关属性相关联，极易影响与特定自然人相关的社会评价、身份名誉等人格权益，一旦被替换、冒用或滥用，将对自然人本身造成不可逆转的影响。此外，生物识别信息不同于一般字符串信息，在识别程序上需要通过生物识别测算程序，具有识别鉴定特殊性。

1.3 生物识别信息的发展动因

其一是技术动因。生物识别技术在安全性能上的优点使其在国家安全和军事需求下不断发展。生物识别技术经历了结构特征识别阶段、统计特征识别阶段和大数据复杂模型识别阶段，逐渐在图像和声音采集、形态检测、精确匹配、特征提取、识别认证、识别输出等领域取得进步。21世纪后，生物识别技术在增强现实技术（AR）的发展下有了进一步突破。通过对接在线数据库，自然人的生物特性与其在网络空间的行动轨迹紧密关联，可以实现动态捕捉、识别、输出等功能，敏感信息在数据矩阵助力下规模积累，使“识别生物识别信息”飞跃为“预测个人可预测信息”成为可能[4]。

其二是商业动因。生物信息识别技术使身份认证变得规模化、高效率，为商业应用打下基础。网络平台本身对用户数据天然具有收集需求，通过与生物识别技术的有效结合，商业平台的信息共享、智能算法推荐、定向识别等目标得以实现。当前国内几大互联网公司均已在自身平台上搭载了生物识别技术，与生物识别技术相关的产品的市场份额也逐年递增，医疗、金融、教育、消费等领域都开始运用生物识别技术进行身份认定和指令操作。硬件设备（如摄像头等）的普及也使得用户在线下消费时成为被辨识捕捉验证的对象，人机直接接触的方法为商业营销节省了许多人工成本。

1.4 生物识别信息的潜在风险

由于生物识别信息属于个人隐私信息，其泄露、滥用和非法交易会导致公民隐私权、平等权和财产权受到侵害。由于自然人的生物特性具有不可更改的特质，这种信息一旦被盗用将无法更改或注销，对自然人的侵害也将伴随一生。

从国家层面来看，生物识别信息安全在国家安全中占有核心地位，生物识别信息被用于政治竞争将对社会稳定和国家战略安全形成巨大威胁。在疫情持续存在的形势下，生物识别信息亦面临着耦合风险——基因信息可能被用于生物战武器的开发。

此外，个人生物识别信息在技术上并未完全成熟，存在应用风险。生物识别信息可能通过复刻生物动作破解系统，造成财产损失；生物信息通常同步关联其他个人信息数据，如若使用不合理，在未来可能产生影响主体理性判断、消解社会公共信任的不良后果。

2 平台视角下的生物识别信息风险

在网络平台成为基础设施和提供公共服务的当下，网络平台利用政府让渡的公权力在生物识别信息的各个环节中产生了过度采集、保存不当、权限滥用和违法交易等问题。

2.1 过度采集

生物识别信息采集需要符合合法公开原则、目的限制原则、最小数据原则和数据安全原则，尊重用户的隐私权和知情权。但在实现过程中，平台软件往往会对生物识别信息进行过度采集。

一是公共场合的非法无感识别。生物识别信息可以在人机之间直接交互，这种无须主体主观意识授权、非接触性的特点极大地增加了自然人在公共场合时的生物安全风险。目前，生物识别信息的收集在多数情况下成为一种“非法的必然”。2020年央视“3·15”晚会曝光个别商家在消费场景中使用人脸识别摄像头，通过拍摄用户的人脸照片、进行人脸识别，收集顾客的访问时间和路径，并与消费金额进行匹配，以便后续拟定针对不同客户的接待标准及报价基准[5]。生物信息的无感采集存在“出现即采集，采集即授权，授权即合理”的强盗逻辑，不符合维护公共安全的价值利益。

二是平台协议强迫性采集同意。收集个人信息必须满足“单独告知”及“取得明示同意”的双重要求。但是，在收集过程中，平台往往通过注册协议等形式对用户信息进行先期采集，再进行强迫性修改或变更。据调查显示，微信平台上的16款健康码小程序存在未设置用户协议和隐私政策直接进入信息填报注册页面的问题[6]。平台协议强迫性采集同意的问题在于，若信息主体不同意生物识别信息被收集，就无法享有公共服务。一些平台甚至在服务协议中使用“向第三方传输生物识别信息以进行身份认证”等条款，但第三方的资质、数量、传输过程均是未知。

2.2 保存不当

尽管《中华人民共和国网络安全法》要求关键信息基础设施的运营者在中国境内的个人信息和重要数据应当在境内存储，其他配套法律也对数据保存做出明确规定，但当前生物识别信息仍然存在保存不当问题。

一是保存安全级别混乱。信息安全保护等级分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级五级，不同等级的网络运营者负有不同安全保护义务。但现行生物识别信息保存种类体制中，并没有按照网络安全等级保护、网络产品和服务管理等层次执行，存在管理漏洞。2020年12月，成都一位“新冠”确诊病例孙女的活动轨迹图、人脸照片等信息在网络上疯传，并遭到网友人身攻击和谩骂。由于平台缺乏对生物识别信息的分级保护，缺乏硬件和软件的分级建设，导致公民个人权利受到侵害。

二是保存周期和保存量不明，销毁和作废保护制度缺失。个人信息主体具有删除、撤回授权、注销账户、获取个人信息副本的权利，但这无法遏制生物识别信息保存周期不明确甚至被非法存储占有的问题。2019年，换脸应用程序ZAO由于其协议中存在存储个人面部生物识别特征信息，以及用户无法删除信息或注销账号等高风险条款，而被叫停整改。由于授权主体在生物识别信息存储和销毁上存在制度缺陷、缺乏资质保障的问题，生物识别信息的原始数据可能未被删除，其相关分析成果亦有可能被用于非法用途。

2.3 权限滥用

生物识别信息的使用应建立在明确特定使用目的这一基础上，并同时符合目的限制、诚实信用和公开透明的要求[7]。当前，生物识别信息仍存在权限滥用问题。

超越目的限制的权限授用。2018年中国消费者协会发布《100款App个人信息收集与隐私政策测评报告》，报告显示10款App对可识别生物信息的使用权限未能向用户明确告知，涉嫌滥用个人生物识别信息[8]。以拍照软件为例，用户的摄像镜头拍摄到的指纹可通过照片被识别提取还原，利用光学技术和人工智能画质增强技术实现指纹细节刻画，使生物识别信息在用户登陆时授权后被随意滥用。

权限关联和共享使用。单一平台的数据使用权限往往会超过协议内容，依托平台背后的产品体系，生物识别信息向整个产品系统和产业链扩散。以互联网金融平台为例，由于这些平台多使用生物识别信息进行支付操作，平台可以定向识别并在支付消费场景中营销金融产品，如第三方支付公司对网络购物附加投资理财功能等，对资本管理市场带来冲击。

2.4 非法交易

我国的数据信息交易平台在设计、运营、定价、准入等体制机制上尚未完善，也未出台针对数据交易和应用的专门性法律法规。这与数据产业商业化的加速扩张形成了张力。近年来，中国生物识别市场规模从2016年的127亿元增长至2019年的224亿元，年均复合增长率为20.6%，预计2021年将达326亿元[9]。与此同时，地下非法交易也发展壮大起来。

当前生物识别信息的非法交易的主要形式为批量售卖。有调查发现5000张人脸照片仅售价10元，卖家甚至可提供同一人脸部各角度的多张照片[10]。这种以技术手段帮助无资质人群完成实名认证以获取利益的模式催生了大量的“人脸产业”。在实际执法过程中，由于人工智能应用范围的限制和生物识别信息非法收集的力度较小等原因，难以做到违法必究。这些违法或灰色行为受到的惩罚和代价常常较小，国内的平台在强大的利益驱动下往往更易知法犯法。

3 生物识别信息平台治理的必要性

治理生物识别信息在采集、保存和开发利用过程中出现的乱象，必须牢牢把握住平台这一中心。这既是由平台在生物识别信息利用过程中的多重角色决定的，也是由平台自身的基本特性形成的。平台是生物识别技术的推动者、利益的获得者和信息转存的中介者，这就决定了治理生物识别信息问题必须以平台作为抓手。然而，互联网平台在治理问题上并非天然向善。平台在发展过程中形成的基本特性成为了生物识别信息平台治理的结构性障碍。

3.1 互联网平台的基础设施属性

生物识别信息平台治理难点首先在于平台的基础设施属性。网络平台将资本和技术优势转化为用户和数据优势，使其在本质上具备能力并开始承担公共服务，继而对传统政府提供的公共服务领域渗透扩张。究其原因，除了互联网平台的主动“圈地”，还在于政府和公共部门为了提高公共服务的便利性和效率的目的下将部分公权力让渡给了网络平台。

然而，生物识别信息的市场化运作存在着巨大的社会风险和权力瑕疵。互联网平台的基础设施属性使其更易隐蔽地获取数据，但公民接受生物识别信息的采集并不意味着公民个体丧失了数据所有权和数据使用知情权，更不意味着公共部门能够随意地将其转授权给网络平台或者商业部门。在权力让渡成为必然时，政府部门也需要扮演好监管者的角色。

3.2 互联网平台的产业生态属性

生物识别信息平台治理难点还在于平台的产业生态属性。《关于构建更加完善的要素市场化配置体制机制的意见》强调“加快培育数据要素市场”，凸显数据信息在产业发展、经济转型和社会治理中的重要地位。互联网平台在数据信息的市场利用方面具有得天独厚的优势，但这种便利也为互联网平台的数据治理带来隐忧。为了在产业链中占据主导地位，处于同一互联网生态系或者产业上下游的平台往往将其获得的数据作为资源开放共享甚至进行数据交易。谷歌推出的Buzz服务与Gmail邮箱信息高度绑定，Facebook用户信息向第三方平台开放都曾引发过关于数据共享和隐私权保护问题的法律纠纷。

互联网平台为实现产业存续发展，往往将授权过程前置到用户使用协议或者隐私政策条款中，后续进行二次使用时不会再次征询用户的授权或提供取消授权、删除相关信息的选项，规避责任。平台通常会通过集成海量大数据资源的方式进行交易，但当前法律判定存在的技术和制度困难又使用户在维权时很难获得有效的司法救济。

3.3 互联网平台的企业属性

生物识别信息平台治理难点还在于平台的企业属性成为生物识别信息利用的原生动力。企业在逐利本质下必然充分利用手中的各项生产要素，这就成为互联网平台对于用户数据“物尽其用”的原生动力。脸书曾因非法对用户上传的图像和照片进行人脸识别而面临集体诉讼，该案件以脸书关闭该项功能并删除大量用户数据告终。亚马逊、谷歌、IBM和微软等公司都自主研发了人脸识别软件，并将其广泛应用于金融服务，根据用户的生物特征信息，推测其投资状况并推送个性化金融广告。

对生物识别信息商业化的治理不能仅仅依靠行业的自律，建立健全治理体系更为重要。实现生物数据的有效治理，关键是要创造一个良好、公平的治理生态，为数据收集、保存、交换和使用过程中的“最小限度”建立公平、规范的保护措施。

4 破局：以平台为中心的治理理念和思想

平台在生物识别信息的发展过程中扮演的重要角色和平台自身属性所造成的结构性问题，都决定了平台在生物识别信息治理中的关键地位。平台作为贯通生物识别信息采集、存储、使用等各个环节的重要抓手，管住它就是管住数据，平台的有效治理才是生物识别信息的安全保障。

4.1 规范政府授权让渡边界，实现平台治理权责统一

如图1所示，生物识别信息的不可变更性和唯一识别性共同决定了其在数据信息中的特殊地位。对于生物识别信息必须加以高度保护，减少政府对于平台的赋权，采取“原则禁止，例外允许”的原则，严格规范生物识别信息采集、保存和利用的场景与条件，加强平台监控、落实平台责任，确保平台治理的权责统一，避免公共权力的寻租与滥用。权力让渡需要注意社会福利和公民权利的平衡，注意政府治理能力和治理权力的对称。

图1 平台、政府和公民之间的关系模式

从公民维度看，公民对平台有刚性需求，公民要想享受政府的治理成效、享受公共服务，就必须遵守平台服务提供者设定的规则。不同于政府，网络平台同时兼具私有性和公共性。一旦网络平台在事实层面主导公共服务的具体形态，其在网络空间实质上成为了“第二政府”，但由于网络平台具有私有性质和产业链性质，平台设计、数据运营等重要环节实际上以经济利益和用户流量为转移，缺乏对于公共价值的思考和维护，公民个人和国家的权益难以保障。

因此，必须规范政府让渡赋权边界的尺度。而对于已授权的部分，则要完善平台问责制度，实现权利与义务的统一。作为赋权主体，国家公权力和强制力是确保平台承认责任的基础与保障。平台作为权力的继受者代理政府承担公共服务，获得公民授权的政府部门应当承担起监管平台的义务；对于公民个体，应当建立配套措施保障其在生物识别信息遭到泄露时获得救济的权利；在社会层面，应当事先对平台进行社会监督。社会对于平台的监督能够一定程度上敦促平台维护社会声誉，进而提升安全意识，激发其管理和自律的生动力。

4.2 完善行业准入与逐出标准，实现技术、制度和人员达标

应当完善生物识别信息行业的准入标准，从行业主体角度进行规范。建议采用技术准入与主体准入双达标的标准，对行业主体进行审查与规范。当前我国采用的是多机构混合分散监管模式，容易造成监管上的交叉与空白，建议成立专门机构对行业主体的权力授予、过程监管和服务支持全过程进行宏观把控与统一管理。

行业主体必须资质达标。一是技术达标：行业主体必须具有符合国内或者国际标准的技术资质和足够安全保密的算法来确保生物识别信息采集、存储和使用全过程的安全，避免信息遭到攻击和泄露，行业主体应确保算法的透明度以实现对技术的合理审查，避免技术黑箱下的技术滥用；二是制度达标：行业主体必须经过专门机构评估，只有具备相应的风险管理能力和充分的应急预案才能获得相应资质和许可。同时，“严入”还应与“严出”结合。除了准入机制的审查之外，还应完善行业的逐出机制，提高违法成本；三是人员达标：无论是平台还是个体从业人员，一旦曾经参与生物识别信息的违法犯罪活动，便应永久排除其参与相关行业的资质。在此基础上，加大数据执法力度，充分落实平台责任，采用有关主管部门责令改正、警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等综合性治理手段，多管齐下，营造清朗的网络空间。

4.3 明确交易限制，严格遵守生物识别信息单次授权、定向授权

对于生物识别信息应当严格采取知情同意标准，落实单次授权、定向授权的授权方式，明确禁止平台利用生物识别信息进行交易。

我国应当结合平台实践，对当前授权制度进行完善。平台对于用户信息的采集，必须清晰、完整地告知用户且获得用户的明确许可。更为重要的是，每次对于用户生物识别信息的使用都应当单独重新进行授权，不得对于生物识别信息进行转授权，防止同一生态系、同一企业内部数据“串联”并攫取经济利益。

此外，由于市场主体的逐利的“先天不足”，行业还应逐步实现“去平台化”，摆脱对于市场主体的依赖。一方面，建议加大网络平台完善在生物识别信息采集、使用、保存和交易等方面的相关建设，加快网络数据体系性制度设计、流程控制、监管制度和责权制衡机制；另一方面，去平台化并不表示取缔平台，而是强调多主体多平台参与，加大公有资本在网络平台的构建和运营中的占比和权重，强化国有企业在网络信息平台的产业链条中的关键作用，呼唤政府这一治理主体的重新回归。

5 结 语

生物识别信息嵌套于日常生活的当下，平台对公民私人权利的侵害和平台与政府间不当权力让渡的问题必须引起重视。作为社会信息系统的重要组成部分，平台对生物识别信息的采集、保存、使用和交易必须设定红线，以切实保障国家和公民的切身利益。因此，需要理顺公民、政府和平台三者之间的责权关系，树立以平台为中心的治理理念和思想，完善行业标准、明确规则限制，不断建立健全网络综合治理体系，为我国互联网的长足发展树立起一把“信息安全保护伞”。