全国人大代表、北京科学学研究中心副主任伊彤在两会上提交了6份建议,其中之一是《关于开展公民个人生物信息保护立法的建议》。该建议提出,“公民个人生物信息具有唯一性和不可变更的特质,一旦泄露就是终身泄露,其敏感程度和利用价值远高于一般信息,存在特殊风险。”
从20世纪90年代人类基因组计划启动到20世纪末结束,生物科技有了飞速的发展。伴随着生物医学研究许多重大成果而来的是,人体的指纹、虹膜、面容、DNA等个人生物信息的获取、采集、存储和应用也越发便利和普及。但如果生物信息在收集、使用和保护中不当或存在漏洞,便会给个人信息安全、生命财产安全、社会治理甚至国家安全问题带来巨大挑战。
生物信息安全是一个庞大的领域,个人生物信息保护是这个领域亟待解决的问题。目前,个人生物信息的法律保护面临着三个问题:一是个人生物信息权作为具有人格权属性的私权,尚未明确纳入私法保护范围;二是针对个人生物信息在刑事侦察、治安管理、人口治理、医疗卫生等领域的非商业应用,以及政府和相关机构的责权利,特别是个人生物信息权保护边界等急需明确;三是针对个人生物信息商业应用和相关产业侵权风险及不正当竞争,目前缺乏相应的特殊规制,法律救济、行政处罚也无法律依据。
人脸、虹膜、指纹和DNA识别等技术使用中存在的问题,以及刑事鉴识中对人个人生物信息的采集和使用等问题,广泛存在的于人们的现实生活中。
指纹、虹膜和面部识别,依据的是个体的独特生物特征,所有的生物特征数据进入计算机都会被转换为0和1的数码储存在数据库中。这些被视为唯一性的生物特征数据进入网络后被盗取的几率大大增加,带来的风险要比盗刷严重得多。这或许是生物认证方式的最大不安全。
对此,可以立法进一步规范相关内容,诸如虹膜和面部识别的技术可以在什么范围内使用,以及如何使用,包括授权和使用者的等级,都需要在立法中详细规定。这些方面已经零散地体现《民法总则》《网络安全法》等司法解释和规定中,但是并未形成完整体系。2018年5月1日《信息安全技术个人信息安全规范》(GB/T 35273-2017)实施,可以比照这个规范来制定个人生物信息安全规范,或者补充和修改这一法律,把个人生物信息安全作为一个独立的章节加入到《信息安全技术个人信息安全规范》中。
然而,立法只是一个大的保障,立法后如何执法,可能存在哪些法规漏洞,都关系到个人生物信息安全的保障。现在的技术和法律还很难完全保护个人的生物信息泄漏,因此,需要在个人生物信息的保护上不断进行技术的升级改造、法律的补充完善。
技术层面而言,在进行个体识别和其他个人信息时,不只是使用个人生物信息,也要结合使用其他方式。由于人脸识别为代表的生物个体识别技术现阶段还不太成熟,极易被盗用,现在还不宜上网和在网上广泛使用,可以在不联网的区域进行局域或区域使用,如门禁、保险箱和银行保险库等,并且应当配以身份证等的识别,这样既可以防止因错误识别造成的安全隐患,也可以防止人脸识别等生物信息在使用和保管的过程中被盗和泄漏。
法律层面而言,刑事鉴识中对人个人生物信息的采集和使用等问题不仅存在于中国,在国际上也是两难境地。一是警方有多大权限采集人的DNA生物信息,二是DNA信息被采集后如何保存和避免泄漏,这些都是各国立法时所应考虑的内容。
2018年4月,美国调查人员在对网上基因数据进行筛选后,逮捕了一名逍遥法外数十年之久的“金州杀手”。然而,美国警方的这次逮捕行动不只引发了数字时代基因数据贮存、泄密和使用的激烈争论,争议后又聚焦于商业基因网站(基因库)如何保证个人DNA隐私不受侵犯。
从1988年至2002年的14年间,中国甘肃省白银市有11名女性惨遭入室杀害,后来通过DNA鉴定明确了嫌疑人,于2016年8月26日抓获犯罪嫌疑人高承勇。可以说个人的生物信息立下了大功。随着DNA检测技术破获这起大案以及在其他案件中的作用,帮助侦破此次杀人案的专家提出了一个意见,“但愿将来我们能把DNA录入身份证。这会让世界对所有人来说都更加安全。”
然而,相当多的人并不如此认同,伊彤的提案就表达了担心,把每个人的基因隐私交出去,未必安全,因为这些信息随时可以泄漏,从而在健康、生命、就业、保险等方面受到轻则被歧视,重则导致健康和生命的损失,以及被错认为犯罪。
因此,对于生物信息安全,当然要立法,基本原则应参照1990年人类基因组计划启动之时提出的基因隐私保护原则,核心是,对人类基因的隐私要采取保护,基因研究的结果要遵循不伤害、知情同意、利益共享和基因平等的多项原则。
个人生物信息安全上升到法律层面的认知也应体现为,对于个人的生物信息,法律应该确认,并且给予保障;对于侵犯公民生物信息的行为,法律应该界定,并且给予惩戒;对于生物基因研究以及成果运用所产生的权益,法律应该确认,并且给予保护;对于因生物信息泄漏而造成的歧视和健康受损后果,法律要予以禁止并进行严惩,而且要给予赔偿。(张田勘)