可以擁有，卻不可使用？關於生物識別數據的法律新制度

論文導讀

本期推薦論文

Having yes,using no? About the new legal regime for biometric data

作者：E.J.Kindt

刊載於：Computer Law & Security Review

刊載時間：June2018

主要內容：本文分析了歐盟《通用數據保護條例》（GDPR）的最新規定，批評了其中對生物識別數據的定義，以及僅從「使用」開始保護數據的主觀判斷方式。

介紹

生物識別數據已經開始在技術和生活中普及，例如具有人臉識別功能的iPhone X的推出就值得我們關注。美國聯邦貿易委員會（FTC）於2011年開始調查使用人臉識別的風險。事實上，如果沒有對技術使用的明確規定，自然人有可能在政治或宗教言論活動中被識別、被追蹤和監視、被控制和操縱、被誣衊或被視為嫌疑人，或者至少面臨這樣的危機感。

GDPR於2018年5月25日起在所有歐盟成員國直接適用，其中規定了生物識別數據的新定義。此外還規定，如果在處理數據，特別是在使用新技術時，可能會對自然人的權利和自由造成高風險，那麼數據控制者有義務來評估此類行動的影響和風險，並在必要時與監管機構協商並獲得授權。成員國還必須執行歐盟2016/680號指令中涉及執法機構的生物識別數據的類似規定。本文簡要地分析了這些新規定，並討論了新的監管框架能夠在多大程度上為所有利益相關者制定明確規則，統一監管，增強保護，特別是保護基本權利和自由。

GDPR的原則

GDPR的一般原則是禁止使用生物識別數據，對個人進行識別。也就是說，所有屬於GDPR約束範圍的實體，包括公共機構、政府和私人組織，原則上都不允許對生物識別數據進行處理，以進行「唯一識別」。例如，購物中心原則上無權通過生物識別的比較來識別騷亂的製造者。然而，這一禁止也存在若干豁免情形。例如，如果經過數據主體的「明確同意」，或者已經為數據主體的基本權利和利益提供了適當而具體的保障時，可以進行識別。當然這些規定也存在質疑，例如，數據主體自願進入公眾開放的場所時是否意味著明確同意？

此外，根據歐盟2016/680號指令，上述的一般性禁止並不適用於執法機構（「LEA」）。如果為預防、打擊犯罪或執行處罰時嚴格必要的，已經對數據主體的權利和自由給予適當的保護，並且經歐盟或成員國法律授權，為保護當事人或其他自然人的切身利益的情形下，執法機構使用生物識別數據也是被允許的。可以想見，該規定是出於維護公共利益的考慮，但歐洲人權法院也在判例中認為，保留指紋等數據是對隱私保護的不恰當干涉。總體而言，目前歐盟成員國仍然普遍缺失有關生物數據存儲的國內立法。

GDPR中的定義

在GDPR對生物識別數據的定義中，僅僅收集和存儲自然人的身體、生理或行為特徵信息不受任何特定的保護。因為GDPR和2016/680號指令中生物識別數據的概念和定義相當狹窄，僅限於數據受到「特定技術的處理」時。例如，初始數據集就不被視為生物識別數據。而作者認為，應當在定義的「適用性」問題上採取一種客觀化的自動判斷方法。

換句話說，GDPR立法者區分了「擁有」和「使用」，只關注特定用途，而不是數據本身的性質，也不關注集合和建立數據的資料庫。而作者認為從數據的「擁有」到「使用」只是一小步。在數據被收集之後，數據主體可能根本無法進一步控制或接收有關數據使用的任何信息。因此法律的保護和評估應從收集和存儲階段開始。在這一立場上，歐洲人權法院的判例也認為保留和儲存生物特徵數據是對基本人權的干涉，無論其後續使用如何。此外，GDPR的定義也與經合組織、生物識別的ISO標準中的定義不同，這些差異可能引發理解的混亂和更多相關探討。

國家立法

作者認為，對於GDPR規定中的不完善之處，成員國可以在一定程度上通過國內立法，在實踐中予以修正。

例如，GDPR第9.4條指出，成員國可以在處理遺傳數據，生物識別數據或有關健康的數據方面規定進一步的具體條件，包括限制條件。這意味著生物識別數據的處理可能會在國家層面得到進一步的監管。現在，各國正在繼續制定關於生物識別數據處理的國家立法，爭取實現GDPR下的協調。作者認為，各國立法者可以不局限於GDPR中的「敏感信息」，對所有生物識別數據進行更嚴格的國家監管。

其次，GDPR「明確同意」的豁免情形也可能受到成員國法律的限制。作者認為，可以在這方面考慮更具體的指導方針和規則，例如，以便在勞動環境中規範員工的生物識別數據，保障員工能夠對其數據的控制權。國家法律可以規定此類使用以及所需的保障措施，除非員工有真正的選擇權，否則不得通過僱員的明確同意取消GDPR第9.1條的禁止性規定。

此外，歐盟或國家法律還可以具體列出需要數據影響評估或不需要的各種處理操作清單，進一步完善GDPR的空白部分。

結論

本文認為，應保留與身體、生理或行為特徵有關的個人數據本身的定義，而不是GDPR下以「特定技術處理」和「唯一」識別性為前提的生物識別數據。雖然GDPR中對身份識別的禁令有利於保護基本權利和自由，但卻是著眼於行為特徵，基於數據使用的主觀保護方法，而沒有考慮在資料庫中收集和保留這些數據的客觀方法。如果歐洲立法者的目的是為生物識別數據提供法律保護，那麼就應該從資料庫的收集和存儲開始進行保護。此外，成員國應討論並承擔起國內立法的責任，對GDPR規定中的漏洞和不足進行一定程度的限制或補足。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！