电子身份认证中生物辨识技术法律问题比较研究.docx

          电子身份认证中生物辨识技术法律问题比较研究                     刘忆成 （中国政法大学民商经济法学院，北京100088） 摘要：本文首先介绍了用于身份认证的生物识别技术，提出了研究问题，并对美国、欧盟以及我国相关法律问题进行了比较分析，提出了法律建设的建议。 关键词：身份认证；生物辨别技术；法律 TP393.08 ：A ：1671-1122( 2011) 03-0031-03 Electronic Identity Authentication in Biometric Technology Legal Issues the Comparative Study LIU Yi-cheng (Commercial Economy of China University of Politics and Law, Beijing 100088, China) Abstract: This paper introduces used for identity authentication of biometrics, puts forward the research question,and the United States, the European Union and Cluna related legal problems are analyzed, puts forward the legalconstruction proposal. Key words: identity authentication; Biological identify technology; law 引言 身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证，用户与主机之间的认证可以基于如下一个或几个因素：用户所知道的东西：例如口令、密码等，用户拥有的东西，例如印章、智能卡（如信用卡等）；用户所具有的生物性特征：例如指纹、声音、视网膜、签字、笔迹、脸部、虹膜( Iris)或视网膜(Retina)等。 生物辨识( Biometrics)，就是指利用生物性特征(Biometric Indicator)辨识身份的一种技术。其所凭借的是，作为人的一部份的身体或生物特征，与人的身体具有不可分性，不管人们走到哪，都可以利用其生物特征来确认其身份，大多数的情形，是不需要担心被伪造、变造的。此外，生物辨识技术运用层面甚广´扩及公私领域，举凡日常生活、商务利用、医疗保健与边境管理等，都有使用的机会。 生物辨识技术用以辨识个人身份的方式，大略可分为”确认，( Verify)与“辨认，(Identify)。确认，是指用户出示卡片或者其它存有生物辨识特征的装置后，系统将卡片中的储存的个人特征信息同用户的特征进行比对，是—对一的比对方式。“辨认’’则指以用户的个人生物特征同数据库所储存的数据进行比对，这种方式是—对多的比对方式。 采用“确认’’，不需建立数据库，只需用户自己携带生物辨识数据装置，通过确定装置中储存的生物辨识特征就是持卡人所有即可，不过缺点是装置上记载的身份是不是就是持有人本人，则必须依赖防伪造装置措施配合，才能减少风险。 如果采用“辨认’’方式，则必须以建立生物辨识数据数据库，这样的风险在于数据库可能遭到黑客入侵、输入数据产生错误或者数据在当事人不知情的情况下遭数据库管理者误用或滥用。 由于身体或生理特征与人体密不可分，某些特征更具有个别性与独特性，足以作为区别身份的数据，因此我们必须关心的是，这些生物特征是否属于隐私权或个人资料所保护的范围是什么？又应受到何种法律保护？对此，以下将从刑事领域及民事领域观察美国与欧盟的相关规范。 1在刑事领域使用生物辨识 1.1美国方面 由于生物辨识具有精准识别个人身份[来自Www.L]的优点，所以用到搜捕犯罪人土便可起到精确辨认的作用。于是到了2001年超级杯足球赛时，联邦调查局首度使用脸部辨识电子仪器，核对观赏球赛的民众是否符合其掌握的通缉犯资料，不过这种没有经过被搜集的民众同意便迳行搜集的作法，引发了侵犯隐私权的争议。对于这种刑事程序搜集与使用生物辨识相关的个人信息，可从美国联邦最高法院曾作出的几个重要的判决来理解美国联邦法院的态度。 首先，美国联邦最高法院于1967年Katz v．United States案，建立了“双重检验”（Two-Prong Test）方法，作为判定政府的行为是否违反隐私保护，其标准为：1）人民是否有隐私的合理期待；2）依社会通念，该期待是否被认为是合理的。此后，联邦最高法院又在1969年Davis v．Mississippi案与1973年United States v．Dionisio案中肯定上述方法，并表示指纹、脸部与声音等持续不断暴露于公众的特征，原则上不受隐私权的保护。 其次，若政府使用表现于外部的生物辨识特征，例如脸部特征，来辨别个人时，是否会被认为强迫该个人成为自己证人，而违反美国宪法增修条文第5条“任何人不得在任何刑事案件中被迫自证其罪”呢？根据1966年Schmerber v．California案与1967年Cilbert v。State of California案，联邦法院认为消极地配合血液检测与提供指纹、照相、笔迹与采集声音以供识别时，并不包括在自证己罪的范围内。 根据美国联邦法院的判决，政府采集或要求人民提供其个人的外在生物辨识特征，例如脸部特征，作为进行刑事程序辨别个人身份之用时，因为脸部、声音与笔迹等都是易于辨识的外在身体特征，故有可能被认为并不违反美国宪法增修条文第4条与第5条的范围。 1.2欧盟方面 由于欧盟各国紧密相连，跨境犯罪的情形也一直成为欧盟各国最关注的问题。为了有效打击犯罪，提高各国执法部门相互合作的力度，比利时、德国、西班牙、法国、卢森堡、荷兰和奥地利等国，在2005年5月27日，于德国西部的一座城市“普鲁姆”签署了警务合作条约，后被称为“普鲁姆条约”（Prum Treaty，以下称本条约）。 本条约规定在司法调查范围内，透过申根数据系统( Schengen Information System)除了可以查阅先前的信息外，甚至还更进一步地能够相互自动地查阅各缔约国其各自建立的DNA及指纹等生物辨识数据。此条约中对于生物辨识数据规范大致上是：1）缔约国家间将进行交换的生物辨识数据类型为：”经鉴定程序处理过后之DNA遗传信息”与“指纹”等生物辨识数据；2）数据库中关于DNA与指纹数据使用权限与个人数据隐私保护的规定略为：数据提供国与接受国皆应针对原始之个人相关数据进行加密的保护，以防免因意外或非因管理上的原因所造成数据的破坏、流失、移转或入侵；同时，为进行数据之查证与比对作业而欲登人数据库联网时，应输入使用之理由，以加强对该数据库中数据的保护；3）数据库中有关DNA指纹数据使用权限与个人数据隐私保护的规定则约略是：数据库中生物辨识数据之用途，应于法定范围内，进行合理使用。 2在行政领域使用生物辨识 2,1美国方面 为了有效保护个人对于自身资料的隐私，并确保个人资料不遭到滥用，美国国会亦针对个人数据保护订立了专法，其中可找到有关生物辨识的依据者，分别主要有《1974年隐私权法》(the Privacy Act of 1974)与《2002年美国强化边境安全及签证改革法》( The US Enhanced Border Security and Visa Reform Act of 2002). 1974年隐私权法首度在美国法典上提出信息隐私权的概念，其立法精神强调数据取得、储存及流通过程中的公平性与公正性。本法规范对象包括一般行政部门、军事机关、政府设立之法人、政府控制之法人和具有管制权之独立机构，惟只限于联邦部会，而不及于联邦部会以下各级行政机关和州政府之行政机关。保护客体为行政机关所保存有关个人之任何单项性、累积性或集合性之数据，包括指纹、声音或照片等属于前述的个人生物辨识特征，故只要涉及上述相关资料之处理时，便必须符合本法规定方得为之。 本法清楚勾勒出当时个人资料的八大原则，分别为要求不得有秘密个人数据储存系统存在的“公开原则”；使个人享有查询权，并就足以识别该个人的“管道畅通原则”；个人有权更正或增补其被搜集之资料的“参与原则”；限制个人资料搜集方法与类别的“搜集限制原则”；限制使用机关内部所搜集数据的“使用限制原则”；限制对外揭露个人资料的“揭露限制原则”；督促数据储存机构建立合理且适当的数据管理办法，以保持数据保存与流通时之合法、必要、正确与崭新性的“公平数据管理原则”；各机关对其内部运作所为之数据保存与处理应负全责的“责任原则”。 此外，9. 11事件后，生物辨识技术在美国国境安全上开始扮演起重要角色，依据《2002年美国强化边境安全及签证改革法》，目前不需签证即可入境美国的国家，必须将该国国民护照改成含有生物辨识功能且机器可读取(Machine-Readable)的护照，否则将须申请签证。这项法律的实施，间接地强制他国政府必须采用生物辨识护照。 2,2欧盟方面 欧盟与生物辨识技术有关的规范，主要有《个人数据保护指令》( Directive 95/46/EC)与《护照及旅行证件生物辨识、检测数据标准规则》（2252/2004规则）。 2.2.1个人数据保护指令 首先，《个人数据保护指令》第2条(a)对个人信息的规定为，有关识别或足以识别自然人的任何信息；又所谓足以被识别之自然人，是指可直接或间接依据辨识号码、身体、生理、精神、经济、文化或社会地位加以识别的。生物特征也是可以直接或间接用来识别个人的信息，所以也是这里的个人信息。 其次，就适用的范围而言，依据《个人数据保护指令》第3条规定，包括：以全部或部分自动化方式处理，及以非自动化方式处理，以建立部分档案系统之个人数据。根据欧盟工作小组的意见，当自然人基于单纯的个人或家庭活动所为之处理，例如供家庭用的生物辨识特征数据，并不适用本指令；除此之外，所有生物辨识特征数据的处理，自登记到实施的所有程序都需符合本指令的相关原则，方可被视为合法。 再者，《个人数据保护指令》第6条规定，会员国得依特定、明确与合法之目的，搜集个人信息。生物辨识特征既然为个人数据，其搜集与处理当然亦需依据相同原则为之。再者，利用生物辨识特征时，亦应依其处理目的，注意其使用是否合乎比例原则，惟应如何进行衡量，仍有待实际案例的累积，或立法者以立法方式为之。而个人生物辨识特征通常是供辨识或验证所需，因此，依据本指令所成立的欧盟工作小组亦建议，非必要的信息应立即销毁。此外，依据《个人数据保护指令》第10条、第11条之规定，搜集个人的生物辨识特征亦应践行告知义务，无法告知者，例如远距之脸部辨识、指纹、声纹等则应禁止。 2.2.2护照及旅行证件生物辨识、检测数据标准规则 受到美国9·n事件的影响，生物辨识技术也受到欧盟的重视，并积极讨论是否将生物辨识技术作为身份辨识的重要工具，并与身份证件、护照与旅行证件作结合。为了因应这样的需求，依据《个人数据保护指令》第29条成立的欧盟数据保护工作小组(Data Protection Working Party)在2003年8月1日公布了《生物辨识工作文件》(Working document on biometrics)，其中对于生物辨识特征数据之应用所应注意的重点加以说明。另外，为了配合美国边境政策采用生物辨识技术的调整，欧盟于2004年公布了2252/2004规则。 此规则指出，为了更有效防止伪造，增进持有者的信赖度，并使护照或旅行证件安全性更加提高，故纳入国际民航组织所制订之生物辨识标准；所核发的护照应具备两种生物身份辨识数据，分别是脸部图像与指纹，并皆应符合本规则之附件——《会员国核发护照与旅行证件最低安全标准》( Minimum securitystandards of passports and travel documents issued by the MemberStates)中所列之相关规定；相关数据应被保密，且储存媒体必须有足够容量及能力，以确保数据之完善性、可信性与机密性。 本规则亦指出，对于因生物辨识、检测而获得之信息的保存管理，任何机关或组织对该信息是否有接触之权，乃属各国立法事项。为了确保信息保存的安全性，以避免相关信息被非必要之人获得，各会员国所指定负责核发护照或旅行证件之机关不得超过一个，但可随时更换；而各国必须将该机关名称告知欧盟执委会及其它会员国，并应遵守欧盟于1995年所公布之《个人数据保护指令》，以确保除依据规则或附件而提供者或相关旅行证件提及者外，没有进一步的信息被储存于护照中。 3生物辨识技术在我国 在我国，目前尚未对生物辨识订有单独法律规定，但仍可透过现有的法律体系来加以理解，哪些个人信息应当受到法律保护？个人生物特征在现在的情况下要如何保护？ 对此，首先必须讨论的是，个人生物特征应该到底是隐私权的一部分或是个人信息？进一步应受到什么法律管理？ 3.1以隐私权保护与个人信息保护的差异 个人信息与隐私权最大的差别在于，隐私权强调的是个人对于自我信息的控制力，当控制力越强，表示个人享有越多的隐私权；而个人信息保护所强调的则是确保资料的秘密性与安全性等保密义务；所谓的秘密性与安全性则是指，当个人为了实现某种目的，而将个人的信息提供特定他人时，接受信息的该他人便具有保密与利用各种方法确保其信息安全不被外泄的义务。故隐私权可说是以个人作为出发的一种权利，而秘密性与安全性等义务，则是一种透过双方默示约定或法律之规定，使—方负有提供信息之义务，而他方同时亦有确保信息安全不得泄漏的义务，因此两者性质上并不相同‘”。 此外，个人信息对于本人具有主观价值，因此构成了_一种利益；另一方面，在社会互动的情境下，人对于相对人的个人信息也会产生需求，因此对相对人的个人信息也就具有T-定的主观价值，而当个人信息的使用发生冲突时，也就代表了不同人之间的主观价值冲突；又从个人信息的功能观之，亦可直接影响个人在社会中自我形象的建构与他人观感，甚至影响某些行为发生或不发生的机会。这样的论点正说明了，个人信息不论对于自己或是他人都具有价值，也因此可以成为权利，只是其是否等于隐私权，似乎仍待厘清。3.2现行法律体系下的隐私权 在我国，隐私权的法律保护主要是通过法律解释而逐步建立，例如：1988年4月2日公布实施的《关于贯彻执行（民法通则）若干问题的意见（试行）》第140条正式提出“隐私”的法律概念，2009年12月26日公布的《中华人民共和国侵权责任法》（以下称《侵权责任法》）中也正式将隐私权明列为民事权利。 实际上隐私不仅包括人们通常理解的私人信息，而且包括对私人活动和私人空间的保护，这种保护包括不受公权力的侵犯和干预。隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的范围和程度具有决定权。而所谓的侵害隐私权的违法行为，是指违反保护个人隐私的法律规定而侵害他人隐私权益的作为行为，包括侵入侵扰、监听、监视、刺探、搜查、干扰、披露、公开宣扬等加害行为；侵害隐私权的内容主要表现在披露他人信息、干涉他人私生活安宁和侵犯他人私人空间及私人领域等。且只要受害人能证明侵害隐私权的行为存在即可，该侵害行为不以在公开场合为必要。因此个人生物特征在符合隐私权的条件下，其刺探、知悉、搜集、披露、公开等都属于《侵权责任法》隐私权保护的范围。 3.3现行法律体系下的个人信息保护 中国社会科学院2009年3月2日发布的[来自www.Lw5U.coM]“法治蓝皮书”显示，随着信息处理和存储技术的不断发展，个人信息滥用问题日趋严重。除了有关机构超出所办理业务的需要，收集大量非必要或完全无关的个人信息及未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息及擅自提供个人信息外，更为恶劣的是“非法买卖信息已经形成产业”。中国的个人信息保护法（专家建议稿）的起草开始于2003年，但迄今这个法律尚未出台，但实际上个人信息遭到滥用的情况则是日益严重，社会的关注程度也越来越高。 从现行的法律体系看个人信息保护可发现，个人信息保护的法律文件过于原则，例如《宪法》第四十条；或对个人信息保护范围过于狭窄，例如《民法通则》只限于姓名权、肖像权、名誉权和荣誉权；或仅规定对个人信息应给予法律保护，但未对个人信息给予定义，例如中华人民共和国社会保险法第九十二条、中华人民共和国刑法修正案（七）。 因此，在现行的法律体系下，是无法得出个人信息的法律定义，也就不可能以法律来定义个人生物特征是否为法律上的个人信息。但这并不代表个人生物特征不应受到保护，因为通过比较法的研究与学理的解释，仍可进一步了解到个人生物特征具有直接或间接识别本人的特性，所以也是个人信息；而纪录在电子装置上的个人生物特征，由于也构成了与实际人格相应的信息人格．所以，传统的人格利益不仅表现在特定的人身的生物体，同时也表现为与人身相分离的个人信息之上。 况且就个人自主控制个人数据之信息而言，乃保障人民决定是否揭露其个人资料及在何种范围内、于何时、以何种方式、向何人揭露之决定权，并保障人民对其个人数据之使用有知悉与控制权及数据记载错误之更正权。个人生物特征乃重要之个人信息，个人对其生物特征信息之自主控制应受保障。 不过在实践上，由于没有个人信息保护的法律，所以个人信息（包括个人生物特征代表的信息）仅分别依据个别的法部门适用不同的法律，而没有法律予以规定的，就必须以加强业界自律或者强化个人自我保护意识来因应了o 4结论 个人信息被誉为21世纪最有价值的资源，它不但可以为政府决策提供依据，并可以被企业利用产生利润。目前生物辨识技术受到使用的范围已经越来越广泛，除了犯罪的侦防与行政的管理，私人领域的使用也值得持续加以关注；而在法律上，不但个人信息亟待法律的出台来进行完整保护，将个人生物特征纳入保护的范围也不可被忽视。 ◆（责编杨晨） 参考文献： 何建志，基因歧视与法律对策之研究[M]．北京：北京大学出版社，2006.52, 【2】张新宝，我国隐私权保护法律制度的发展家检察官学院学报，2010，(4)：11． [3】张新宝，隐私权的法律保护[M]．北京：群众出版社，2004.11. 【4】张新宝，侵权责任法原理M]．北京：中国人民大学出版社，2006.194.   -全文完-