编者按  人脸识别等生物特征数据的广泛采集和普遍应用，给社会管理和日常生活带来了极大的便利，但也无形中埋下了各种不可测的安全风险。在一次次看似不经意的、分散的生物特征数据采集背后，隐藏着个人信息大量被泄露的可能。近年来，或出于管理疏漏，或出于人性贪婪，数据泄露事件频频发生。生物特征数据安全，这一源自技术层面的问题，最终只能依靠完备的立法、执法加以防范。欧盟个人生物特征数据保护的规则体系具有较强的借鉴意义。

　　2018年，在欧盟《通用数据保护条例》（以下简称《条例》）刚刚生效后一个月，英国航空公司就被曝出发生了大面积的数据泄露事件，共有约50万名英航乘客的个人数据，包括部分生物特征数据及支付信息遭到非法截取。英航最终被处以2000万英镑的罚款。2019年，英国又发生了全球知名的生物科技跨国公司Suprema数据库泄露事件，包括英国大都会警察局、当地多家企业和政府机构所收集的100多万份指纹和面部识别数据被窃取。

　　《条例》的起草可追溯至2012年，早在那时起草者就已经意识到个人数据保护的重要性。自此，欧盟便开启了对于个人数据，包括个人生物特征信息的保护，并由此形成了相对完备和高标准的个人数据保护法律体系。

　　个人生物特征数据安全防范极具技术内涵，欧盟相关的规则体系也较完备，本文以此为内容进行分析介绍。

　　个人生物特征数据概述

　　根据《条例》第4条的界定，所谓生物特征数据，是从人脸图像、指纹图像和虹膜图像等提取的代表个体生物唯一性的数字组合或标签。这些生物特征数据应该能够被检测、提取且能被重复识别和利用，以帮助实现对自然人的唯一性识别。生物特征数据主要包括人脸、指纹、虹膜、基因、声纹数据以及个体特有的步态和击键习惯等。

　　由于生物特征数据几乎不可能在其本体上被修改，因此这些能代表个体特征的、与生俱来的生物特征数据一旦在提取后被分享或泄露，将永远存在被冒用的风险。

　　换言之，每个个体的生物特征数据极有可能在未来不特定时间成为攻击数据本体的“武器”，而且个体再无任何防护屏障可言。这便触及了所有现代人类最深刻的生物身份识别和保护危机——某人一旦掌握你的关键生物特征数据，他将可以窃取你的身份、财产，甚至在法律上取代你。

　　个人生物特征数据保护的立法

　　总体来看，欧盟已形成了对生物特征数据保护相对完备的立法体系。1995年，《欧盟数据保护指令》以设立专业机构“资料保护小组”的形式来督促各国个人数据保护法的实施；2007年，《欧盟基本权利宪章》第8条将个人数据保护权确定为人的基本权利之一；2018年，欧盟《通用数据保护条例》成为当今世界个人数据和安全保护的颇有影响的区域性法律，其中所确立的重要法律原则，已然成为全球个人生物特征数据保护的范式。

　　2021年欧盟相继发布的《人工智能法》（草案）、《人脸识别指南》，以及2022年的《执法领域面部识别技术应用指南》，更是针对最易于获取的人脸数据的采集和存储等问题进行了集中的规制。至此，欧盟在个人生物特征数据保护领域构建起了完整的区域性保护标准。

　　个人生物特征数据保护的特点

　　注重源头治理，对数据收集权严加限制

　　多年来，随着各种手机软件的广泛应用，加之背后巨大的利益诱惑，强制授权、过度索权和超范围收集个人信息已成常态。欧盟立法者首先从源头对此问题进行治理。其中，《条例》第5条1款(b)项规定，收集个人数据应基于具体、明确和合法目的。第13条规定，从数据主体处收集个人数据时，收集者或控制者应提供数据控制者的身份信息和联系方式，以及相关专员的身份信息、联系方式等。这一要求，旨在唤醒广大民众的数据权利意识和生物数据安全意识，也显示出欧盟在提高数据收集门槛方面的初步尝试。

　　此外，对公权力收集人脸数据进行严格限制也是欧盟相关立法的一大亮点。欧盟《人脸识别指南》分别对成员国立法者、数据开发商和服务提供商等提供了一整套参考措施。其中最大的亮点是，禁止公共实体在秘密环境下使用人脸识别技术，除非是出于公共安全的目的。

　　相应地，《执法领域面部识别技术应用指南》进一步禁止成员国执法部门大规模从网络上抓取人脸图片等。这是迄今为止，对公权力获取个人脸部数据最直接、最严格的限制。

　　加强数据存储和处理的监管

　　在相关数据因为必要原因被收集完成之后，《条例》第5条对数据存储和处理进行了极为细致的规定。主要体现在以下几个方面：

　　在数据存储方面，《条例》明确了“存储限制原则”，即以可识别数据主体身份的形式存储的数据，其存储时间不能超越实现个人数据处理目的所必需的时间。这一规定直接对应了《条例》第17条对数据“清除权”（又称被遗忘权）的规定。

　　在数据处理方面，《条例》第5条规定，数据处理应符合以下主要原则：合法、公平和透明原则，即处理个人数据时应采用合法、公平和公开的方式对个人主体的数据进行处理；目的限制原则，即基于具体、明确和合法的目的收集个人数据，且随后不得以与该目的相违背的方式进行处理；最小范围及保密性原则，即数据处理过程应限于最小范围，且应当确保个人数据的必要安全，应采取适当的技术或组织措施使数据免遭泄露等。

　　《人脸识别指南》则进一步指出应建立人脸识别技术的开发商、制造商和服务商对数据保护的认证机制，确保数据的处理符合法律规定。

　　此外，《条例》第9条还规定了对特殊类型个人数据的处理规则，即禁止在个人数据处理中泄露种族、政治倾向和宗教信仰等信息，禁止对健康数据、性生活和性取向等数据进行处理。

　　强化数据泄露责任

　　众所周知，生物特征信息泄露之中可能蕴藏的巨大商业利益，使得很多平台不惜冒险从事非法数据买卖。为此，欧盟针对性地作出了以下规定：

　　首先，欧盟将保密的责任加诸于数据的控制者和处理者身上。《条例》第32条规定，数据控制者和处理者应当实施适当的技术和措施，以确保安全水平与风险程度相一致，比如采用个人数据的假名化机制和加密措施，尽可能确保处理系统的保密性和完整性等。

　　其次，确立72小时报告制度。《条例》第33条规定，在发生个人数据泄露的情形时，数据控制者应当自发现之时起72小时内，将个人数据泄露的情况报告监管机构。否则，将会面临相应的法律责任。

　　最后，《条例》赋予了受损者非常广泛的索赔权，从而加大了对数据违法行为的威慑力。《条例》第82至84条规定，任何因违反条例行为遭受损失的人，均有权向数据控制者请求赔偿。这一规定无疑会极大震慑肆意泄露个人生物特征数据的机构或个人。

　　个人生物特征数据保护的实践

　　以《条例》为代表的系列法案的生效，深刻影响了欧盟乃至全球范围内个人数据保护的立法和实践，许多国家已采用或准备采用欧盟数据保护标准，以完善本国数据保护工作，欧盟相关立法也已成为各跨国企业数据保护合规与否的风向标。

　　据不完全统计，欧盟曾因数据泄露等问题，对英国、法国、保加利亚、波兰和荷兰等国家的企业开出多个罚单，其中有6个超过50万欧元。如2019年，保加利亚DSK银行有3万多份客户信息，包括核心生物识别数据泄露，最终该银行被监管机构依照《条例》处以51.5万欧元的罚款。

　　2023年5月，欧盟对Meta公司处以创纪录的12亿欧元的罚款，进一步显示出其在个人信息保护，包括个人生物特征信息安全保护方面的巨大决心。此举也以实际行动向世人表明，凡在欧盟境内运营的企业或者面向欧盟用户服务的企业，都必须严格遵守《条例》的规定。这也印证了《条例》在管辖范围上扩大化的规定。《条例》所涵盖的个人数据的范围也扩大为包含已识别或可识别的自然人的任何数据。

　　总之，在数字化的当今世界，每个社会个体早已形同“裸奔”。在个人生物特征数据被泄露的情况下，当你在熟睡或忙碌之时，另一个经过技术处理的“你”或“你的一部分”，可能在别处和他人对话、借钱、签协议，或者正在毫无障碍地进入你家、打开你的保险箱、登录你的各种账户。而这一切，你都不知情也未参与，却不得不为此承担不可预知的风险和后果。欧盟在生物特征数据保护方面的立法和实践，无疑是解决这一技术性问题的规则典范。

　　[本文系国家社科基金项目“中国对外纠纷解决中的国家安全审查机制研究”（项目编号：21BZZ085）的阶段性成果]

　　（作者单位：西北大学法学院）