企业的隐形“灭顶之灾”——生物识别信息 全球百事通

近几年，随着AIGC、人工智能和大数据应用的发展，以及世界经济一体化进程的加快，不少中国公司（特别是新兴科技类公司）选择“出海”，到美国、欧洲、新加坡等地发展。公司选择海外发展，其很大一部分原因是海外国家有着相较于国内来说更好的政策红利（例如税收优惠等）、更宽松的监管规则等，但是，基于不同国家的不同国情之特殊性，公司的合规重点也有所不同，如果不能因地制宜地为公司构建起适应当地监管的合规体系，那么很可能把“吃红利”变成“吃罚单”“吃罚款”，最坏的结果甚至是“吃牢饭”。

(资料图)

今天飒姐团队就从数据驱动型科技公司在日常生产经营、科学研究中非常容易“踩坑”的生物识别信息的法律规范说起，以美国实际案例说明生物识别信息合规处理之重要性。

1. 何为生物识别信息？

从美国某水果公司首创将指纹识别应用于自家旗舰产品后，生物识别技术就进入了大规模的商用阶段，目前已经成为当今世界上最为方便、安全可靠的识别方式之一。美国咨询机构 Transparency Market Research做过一个统计，全球生物识别技术的市场规模从2015年开始爆发式增长，迄今为止成长为了一个千亿美元赛道。而在全球生物识别市场的份额调查中我们可以看到，人脸识别、指纹识别、虹膜识别、掌纹识别、声纹识别、静脉识别等等识别方式正在大行其道，在生物识别技术的市场中争夺份额。

生物识别（Bio-metrics）简单地说就是基于一个特定个人的生理或行为特征，将其与其他人相区分、识别的技术。其实，从市场份额的调查中，我们基本就已经能看出生物识别信息的一个大概分类。《个人信息保护法》出台，对个人信息的采集作出了以“知情同意”为前提的规定，以及对个人信息依保护登记作出细化分类后，2020年3月6日，《信息安全技术个人信息安全规范》（GB/T 35273-2020，以下简称“《规范》”）也随之正式出台，并于2020年10月1日起实施，替代了2017年的《信息安全技术个人信息安全规范》（GB/T 35273-2017，又称“2017年《规范》”），是我国个人信息保护走出的关键一步。

相较2017《规范》，《规范》明确且详细地列举了个人信息的类别，如图所示，我国目前认定的生物识别信息主要有七种，基本符合市场上目前最常见的集中生物识别技术应用范围。

在处理生物识别信息方面，我国《个人信息保护法》作出了明确的规定。首先，根据《个人信息保护法》第二十八条之规定生物识别信息属于需要特别保护的“敏感个人信息”。对于该等信息，公司必须在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，才可处理敏感个人信息。

其次，对于此类敏感个人信息而言，公司在采集环节必须先向个人告知处理敏感个人信息的必要性以及对个人权益的影响，并在此基础上取得个人的“单独同意”。

但是不同于海外国家的是，我国在《个人信息保护法》中，仅仅规定了企业、公司违法收集和处理个人信息需要承担的行政法律后果，包括常见的罚款、吊销营业执照等处罚，但是并没有明确公民可以对公司、企业侵犯公民个人信息的行为提起诉讼。相应的，在《民法典》中也没有赋予公民相应的“请求权”基础，且个人信息在目前我国的法律体系中仅仅是“权益”而非“权利”，因此公民尚不能以“生物识别信息被侵犯”为由对公司、企业等侵权行为实施者提起民事诉讼请求赔偿。

2. BIPA，多少美国公司头上的达摩克利斯之剑？

对生物识别信息“抠的最严”的，当属美国伊利诺伊州。伊州在基于生物识别信息敏感度以及不可更改性、与特定个人相关性等考量，于2008年通过了《生物信息识别隐私法》（以下简称“BIPA”），专门针对生物识别信息作出了一系列规定，其中最为亮眼的一个一点就在于，该法案允许被侵害生物信息的人，对侵权人提起诉讼以获得民事赔偿。该等侵权诉讼与证券虚假陈述侵权纠纷类似，海量的原告往往会催生出天价的赔偿，任何一起案件都会引发广泛的关注。为公司企业的商誉考量，大部分公司都会选择通过和解的方式尽快解决诉讼。

最为典型的一个生物识别信息侵权纠纷就发生于2019年的巴内特诉某水果公司侵犯生物识别信息案（Barrett v. Apple Inc.）。这个案子案情其实并不复杂，2019年，原告巴内特几人在购买了某水果公司产品后，为了适用指纹解锁和面部识别解锁功能，在该设备中输入了自己的生物识别信息（指纹和面孔轮廓）。后来，这几人认为，自己在输入生物识别信息的过程中，某水果公司没有按照法律的要求对其进行“告知”，也没有取得其“同意”，涉嫌违反BIPA法案，因此几人向伊利诺伊州库克县巡回法庭提起诉讼。

该案作为BIPA法案的里程碑式判例，最大的意义在于明确了公司企业在收集和占有、处理生物识别信息过程中的边界。法院最终驳回了原告的起诉，基于以下三大理由：

（1） 该等生物识别信息是原告自愿输入的，即使不输入该等信息依然不影响对产品的正常使用；

（2） 被告为原告提供了简易便捷的信息删除通道，原告可以随时且不受限制地删除个人生物识别信息；

（3） 被告没有“控制”原告的生物识别信息。

该判例确立了此后生物识别信息侵权纠纷的一系列侵权行为判断标准，特别是对企业公司是否构成BIPA法案第十五条（a）款中的“占有”（参见Illinois Biometric Information Privacy Act 740 ILCS 14/15 (West 2020). Section 15(a)），给出了判断标准。伊利诺伊州第一区上诉法院认为该法案的“占有”应做文义解释，不应脱离传统意义上“占有”一词的普通涵义，即“控制”是占有的核心，只有当公司控制了信息时，才能被认定为“占有”。

3. 中国公司是怎么在美国“踩坑”生物识别信息的？

前文所述，中国公司出海已经屡见不鲜，各家独角兽更是摩拳擦掌准备做出一番大事业。在有代表性的出海企业中，第一个“踩坑”生物识别信息的当属当下最火的短视频平台某跳动。

2021年，元宇宙概念大行其道，深度合成和AIGC技术崭露头角，某跳动短视频平台深谙流量之道顺势推出了一键AI换脸功能狠狠收割了一波流量和关注。但是，AI换脸的前提是以收集用户面部生物识别信息为前提的。如此一来，伊利诺伊州的几位公民指控某跳动公司通过该AI换脸功能获得了用户的生物识别数据，并进行了非法记录和共享。

此后该事件进一步发酵，越来越多的用户闻风而动发起了类似的控告，且用户们还表示某跳动有利用生物识别数据和其他数据生成用户画像，以帮助定向推广广告和盈利的行为。如果原告举证成功，那么某跳动公司所手机的生物识别信息很大程度上机会被认定为属于BIPA法案中需要履行一系列合规义务的“占有”数据行为。为了防止事情向着不可预测的方向发展，某跳动公司最终与原告达成了9000多万美元的天价和解。

事实上，除了外来公司以外，美国本土公司“踩坑”生物识别信息的也不少。美国某脸书公司同样也因一个叫Tag Suggestions的功能导致出现了类似的生物识别信息侵权纠纷，最终以数亿美元的天价与原告达成和解。

4. 写在最后

飒姐团队认为，生物识别信息作为个人信息的一种，是一种敏感程度更高、需要更严格保护的一种特别的信息，因此对其专门立法无可厚非，设立更高的合规义务也是应有之义。但是，是否在侵权相关的民法体系内为其创设请求权基础还有待商榷。至少从美国的司法实践来看，将生物识别信息作为公民的一项具体权利予以保护且赋予其在受到侵害时得以请求法院保护、要求侵权人赔偿的法律制度极大的加重了公司和企业的违法成本，在此类侵权纠纷之下，也只有巨头公司能够有能力“花钱消灾”，对于中小型企业而言，往往就是“灭顶之灾”。

另外，我们在这些典型案例中也可以发现，以消费者权利保障为名，通过诉讼获利的人正在不断增加，如果法律不能适时作出调整，那么对消费者权利的保护将会出现“矫枉过正”的情况，最终阻碍科技发展。

本文系未央网专栏作者:肖飒 发表，内容属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！