生物识别信息收集的知情同意例外.docxVIP

生物识别信息收集的知情同意例外

一、生物识别信息的概念与法律保护现状

（一）生物识别信息的定义与特征

生物识别信息是指通过技术手段获取的个人生理或行为特征数据，如指纹、虹膜、面部识别、声纹等。其核心特征在于唯一性和不可更改性。根据国际标准化组织（ISO）的定义，生物识别信息具有“终身性”与“不可撤销性”，这使得其一旦泄露，可能对个人隐私和安全造成不可逆的损害。

（二）全球法律框架下的知情同意原则

在欧盟《通用数据保护条例》（GDPR）中，生物识别数据被归类为“特殊类别的个人数据”，处理此类数据需获得数据主体的明确同意。中国《个人信息保护法》第29条同样规定，处理敏感个人信息需取得个人单独同意。然而，法律亦规定在特定情形下可豁免知情同意要求，例如公共安全、紧急避险等。

二、知情同意例外的法定情形分析

（一）公共利益与国家安全需求

在反恐、刑事侦查等公共安全领域，生物识别信息的收集可能无需个人同意。例如，美国《爱国者法案》授权执法机构在未经许可的情况下获取公民生物特征数据。中国《反恐怖主义法》第18条亦规定，公安机关可依法调取生物识别信息以预防恐怖活动。此类例外需满足“必要性”与“比例原则”，即手段与目的需严格匹配。

（二）紧急情况下无法及时获取同意

在突发公共卫生事件或自然灾害中，生物识别信息可能被用于身份核验与救援工作。例如，2020年新冠疫情期间，多国采用人脸识别技术追踪密切接触者。世界卫生组织（WHO）在《突发公共卫生事件伦理指南》中指出，此类情形下可暂时豁免知情同意，但需事后向当事人告知并设置数据删除机制。

（三）技术实现中无法避免的被动收集

公共场所部署的智能监控系统常被动采集行人生物特征。例如，英国伦敦地铁的人脸识别系统每天处理超过50万次面部扫描。欧盟法院在“OrwellCity案”中裁定，若数据收集为系统运行的“必要副产品”，且已通过显著标识告知公众，则可视为符合透明度要求。

三、例外情形下的风险与争议

（一）隐私权与公共利益的平衡困境

尽管法律允许例外，但实践中存在权利滥用风险。2021年，美国伊利诺伊州法院判决ClearviewAI公司赔偿居民2,270万美元，因其未经同意从社交媒体抓取面部数据用于商业用途。此类案例暴露了“公共利益”解释的模糊性，可能为私营机构提供法律漏洞。

（二）数据二次使用的潜在威胁

生物识别信息一旦被收集，可能被用于初始目的之外的场景。例如，印度Aadhaar系统最初用于社会福利发放，后被拓展至商业领域。剑桥大学2022年研究显示，67%的受访者担忧生物特征数据被用于未授权的广告推送。

（三）跨国企业与法律管辖冲突

跨国公司常面临不同法域的合规矛盾。例如，微软因拒绝向美国政府提供爱尔兰数据中心的面部识别数据，引发长达4年的法律诉讼。国际数据治理协会（IDGA）2023年报告指出，全球仅35%的国家对生物识别数据跨境流动有明确规则。

四、完善例外情形的规制路径

（一）强化例外情形的法定边界

需通过立法明确“公共利益”的具体范畴。例如，加拿大《数字宪章实施法案》将例外限定为“直接威胁生命安全的紧急情况”。同时，可引入独立机构的事前审查机制，如法国国家信息自由委员会（CNIL）对警方生物数据库的年度合规审计。

（二）建立动态透明的数据生命周期管理

即使豁免知情同意，也需保障数据主体的知情权与删除权。欧盟《人工智能法案》（草案）要求，公共场所的生物识别系统需实时显示数据收集标识，并自动在24小时内删除非必要数据。

（三）推动技术伦理与法律协同治理

技术方案需嵌入隐私保护设计。例如，差分隐私技术可在不获取原始数据的前提下完成身份核验。世界经济论坛（WEF）联合IBM开发的“可验证凭证”模型，允许用户通过加密令牌替代直接提供生物特征。

结语

生物识别信息收集的知情同意例外，本质是隐私保护与公共利益的价值权衡。各国需在立法中细化例外条件，强化技术治理与公众参与，避免例外成为数据滥用的“后门”。未来，随着元宇宙、脑机接口等技术的发展，生物识别信息的法律规制将面临更复杂的挑战，亟需构建全球协同的治理框架。