吳小帥

(山東建筑大學 法學院，山東濟南 250101)

一、問題的提出

在“數(shù)字中國”的發(fā)展浪潮中，多樣化的生物識別技術(shù)已被廣泛應用，(1)早在2010年，國際電信聯(lián)盟(ITU-T)就發(fā)布了《生物識別技術(shù)與標準》的技術(shù)檢測報告，分析了通過強大的信息和通信技術(shù)使生物識別技術(shù)作為一種認證主要形式的可能性。生物識別技術(shù)廣泛應用于甄別(如刑事調(diào)查)、政府職能(如60多個國家發(fā)放的電子護照中包含生物信息)以及商業(yè)領(lǐng)域。人臉、指紋、聲紋、虹膜、DNA、靜脈模式、按鍵模式、步態(tài)甚至心率、掌部血管分布等都已經(jīng)成為重要的個人身份信息。與之相伴，個人生物信息在社會生活和公共服務(wù)中被濫用的事件層出不窮。(2)例如，2018年11月28日中國消費者協(xié)會發(fā)布的《100款App個人信息收集與隱私政策測評報告》中顯示，多達91款App存在過度收集用戶個人信息的問題，10款App涉嫌過度收集個人生物識別信息。2020年5月15日工業(yè)和信息化部組織第三方檢測機構(gòu)對手機應用軟件進行檢查，發(fā)現(xiàn)包括當當、好醫(yī)生、e代駕在內(nèi)的16種常用APP存在“私自收集個人信息”“超范圍收集個人信息”“私自共享給第三方”等問題。司法實踐中，涉及侵犯個人生物識別信息安全的案件也屢有發(fā)生。(3)例如，2018年，被告人梅某以“指紋模型”作為作弊工具進行高考作弊，被濟南市歷城區(qū)人民法院以組織考試作弊罪定罪；2019年10月，原告郭某因不同意杭州野生動物世界辦理年卡時進行人臉識別而提起侵權(quán)訴訟，被稱為“中國人臉識別第一案”；2019年12月，被告人賀某等三人被深圳南山區(qū)人民法院以實施以生殖為目的的人類胚胎基因編輯和生殖醫(yī)療活動為由判定構(gòu)成非法行醫(yī)罪，被稱為全國首例“基因編輯嬰兒”案。隨著個人生物識別信息在科研、醫(yī)療、金融、司法等方面的廣泛使用，相關(guān)侵權(quán)和犯罪行為的種類、數(shù)量和危害性也同步增加，侵害個人生物識別信息的方式更加復雜多樣化，生物識別技術(shù)已經(jīng)出現(xiàn)黑色產(chǎn)業(yè)鏈條，并呈現(xiàn)出團隊發(fā)展的特點，法律監(jiān)管技術(shù)的難度更高，給個人信息安全、生命財產(chǎn)安全、社會治理安全甚至國家安全、政權(quán)穩(wěn)定帶來了巨大挑戰(zhàn)。個人生物識別信息已經(jīng)迎來需要法律深入介入的時刻。如何通過立法規(guī)制個人生物識別信息的使用范圍和標準，構(gòu)建個人生物識別信息的法律體系，在保障技術(shù)發(fā)展的同時又能保護個人信息，是理論研究和實務(wù)操作中亟待解決的重要問題。

二、個人生物識別信息的特征及受害風險

(一)個人生物識別信息的法律屬性及特征

對于個人生物識別信息的法律屬性，我國目前相關(guān)立法中無明確界定。理論上生物信息屬于個人信息的組成部分，而我國現(xiàn)階段涉及個人信息保護的法律淵源基本上來自對隱私權(quán)的保護。2017 年《民法總則》中(第11條)規(guī)定了自然人的個人信息受法律保護，但并未明確提出“個人信息權(quán)”的法律概念，也未將“生物信息”作為特殊的個人信息加以特別說明。2021年1月1日起實施的《民法典》將“個人信息”與“隱私權(quán)”并列作為“人格權(quán)編”的內(nèi)容，僅在第1034條對個人信息范圍的列舉中，提到了“生物識別信息”。學界有人主張將“個人信息(數(shù)據(jù))”作為一項獨立的人格權(quán)而對待，(4)有學者認為傳統(tǒng)意義上的隱私權(quán)和一般人格權(quán)無法涵蓋民事主體的信息利益，信息權(quán)是新興的人格權(quán)，具有具體人格權(quán)的法律地位。參見王麗莎: 《信息權(quán)的獨立人格權(quán)地位及內(nèi)容》，載《國家檢察官學院學報》2016年第3期。有人則不主張將“個人信息權(quán)”作為一項獨立的個人權(quán)利而對待。(5)有學者認為從數(shù)據(jù)主體角度看，基于個人信息的實質(zhì)利益可以納入民法的形式化權(quán)利體系，基于個人信息的權(quán)利屬于一般人格權(quán)。參見徐卓斌:《個人信息的民法保護路徑》，載《人民法院報》2018年9月 12日。個人隱私與個人信息在概念和范圍上有很大不同，隱私權(quán)在屬性上更是一種人身權(quán)，生物信息權(quán)則同時涵括人格權(quán)、國家安全、數(shù)據(jù)經(jīng)濟的發(fā)展等內(nèi)容權(quán)屬，兩者的法律定位和價值選擇不盡相同。個人生物識別信息具有信息和物質(zhì)的雙重屬性，兼具人格性和財產(chǎn)性。盡管對個人生物信息的定義有諸多爭議，但基本共識是：個人生物識別信息是指能夠單一或者組合之后識別特定個人的一切生物數(shù)據(jù)或信息，其識別性較之一般個人信息更加明確和唯一，屬于敏感信息的范疇。

基于此，個人生物識別信息具有不同于一般個人信息的顯著特征。第一，個人數(shù)據(jù)的唯一性。傳統(tǒng)個人信息如密碼可以隨時修改，泄露后也可更改，而個人生物識別信息具有唯一性，一旦泄露無法通過修改的方式彌補，屆時凡是與生物信息認證相關(guān)的所有活動都將永遠退出，因此具有更大的風險和不確定性。具有唯一性的生物信息一旦被非法利用，還會導致大量深層信息被挖掘和曝光。第二，程序的識別性。傳統(tǒng)意義上的個人信息并不需要經(jīng)過計算機算法的鑒定與識別，而生物識別信息必須經(jīng)過計算機的相關(guān)生物識別程序的識別才能生成相關(guān)信息。例如人臉識別需要依靠識別程序?qū)Ρ粰z測的人臉進行計算，確定出“代表人臉特定圖像的數(shù)字串”，然后人臉簽名在所存儲的用戶的“人臉模板”數(shù)據(jù)庫中運行，查找匹配項，形成確定的數(shù)字身份。第三，信息的可復制性。隨著信息網(wǎng)絡(luò)技術(shù)的快速發(fā)展，個人生物識別信息可以在技術(shù)的支持下被模仿、復制甚至更改。如一般的人臉識別技術(shù)在進行活體采集時規(guī)定動作較少(眨眼、搖頭等動作)，這些動作均可以通過錄像或電腦模擬的方式做出，以達到規(guī)避驗證進入信息系統(tǒng)的效果；使用模仿生物識別特征的復制品如聲音信息可借助聲紋模擬器進行物理復制，模擬出的聲音足以以假亂真，成為電信網(wǎng)絡(luò)詐騙的“利器”，即使用模仿生物識別特征的復制品可以繞過專業(yè)復雜的生物特征識別系統(tǒng)。(6)參見2019年7月《信息技術(shù) 安全技術(shù) 生物特征識別信息的保護要求(征求意見稿)》第4.1條。第四，損害的不可逆性。由于個人生物識別信息屬于敏感信息，其非法泄露和濫用會給信息主體造成不可逆轉(zhuǎn)和難以消除的侵害。正由于此種特性，國外立法和司法判例中往往不苛求生物信息人遭到現(xiàn)實的損害才可尋求法律救濟，而將可能發(fā)生的危險作為認定侵權(quán)或犯罪的條件。由于生物信息固有的獨特性和持久性的特點，可以假定在應用中生物特征不可變，他們的攻擊可以對個體產(chǎn)生永久性的后果。(7)同③。第五，信息的關(guān)聯(lián)性。這里的關(guān)聯(lián)性是指生物信息與其他個人信息之間具有很強的關(guān)聯(lián)性。正如2019年6月國家質(zhì)量監(jiān)督檢驗檢疫總局和全國信息安全標準化技術(shù)委員會公布的《信息技術(shù) 安全技術(shù) 生物特征識別信息的保護要求(征求意見稿)》(以下簡稱《生物特征識別信息的保護要求(征求意見稿)》)引言中提到，生物特征識別系統(tǒng)通常是將生物特征識別關(guān)聯(lián)信息與其他個人信息綁定在一起，以鑒別個人。在這種情況下，需要綁定來確保包含生物信息記錄的安全性。因此個人生物特征識別關(guān)聯(lián)信息與其他個人信息和跨區(qū)共享的聯(lián)系越來越多，關(guān)聯(lián)性特征使個人生物信息的識別性更加精準復雜，也給技術(shù)合規(guī)和法律規(guī)制提出了更高的要求。

(二)個人生物識別信息的受害表現(xiàn)

第一，侵犯個人隱私權(quán)。隱私權(quán)是個人信息承載的主要權(quán)利之一，而個人生物識別信息承載的是最為直接的個人隱私權(quán)內(nèi)容。人臉、聲紋、步態(tài)等大多數(shù)生物信息都可以通過隔空捕捉和網(wǎng)絡(luò)爬取數(shù)據(jù)等方法繞過個人知情同意而取得，無需經(jīng)信息所有人授權(quán)或超出用戶明確許可的收集目的范圍。在公共場所之中，信息所有人多數(shù)情況下并未明確獲知自己被技術(shù)監(jiān)控，也不會采取有效的防止措施(如戴口罩遮擋面部)來隱藏自己的生物特征，或者根本無法隱藏，這時就被認為是主觀上就享有合理的隱私期待。(8)參見蔣潔：《人臉識別技術(shù)應用的侵權(quán)風險與控制策略》，載《圖書與情報》2019年第5期。同時由于生物信息反應了人體的生理狀況，透過生物信息數(shù)據(jù)可以分析出一個人的性別、年齡、健康狀況、身體缺陷、情緒變化等，這些都屬于個人隱私的重要內(nèi)容。因此，個人生物識別信息的技術(shù)管理控制者應承擔更多的保護隱私之義務(wù)，尤其在商業(yè)利用中不得強迫接受多項業(yè)務(wù)功能，個人信息產(chǎn)品或服務(wù)對于個人生物識別信息的收集不得違背信息主體的自主意愿，更不得在信息主體不知情或明示反對的情況下進行信息收集。若不能在信息采集這一初始階段充分保障信息所有人的基本隱私權(quán)，個人生物信息就可能被濫用到不法領(lǐng)域，侵害到信息所有人的人格尊嚴。國外關(guān)于生物識別信息的立法中對于隱私權(quán)的保護格外引人關(guān)注，如美國佛羅里達州的立法機構(gòu)于2019年2月提出了《生物特征信息隱私法》的草案中，對生物識別信息的主要定位即是隱私權(quán)。

第二，妨害個人平等權(quán)——生物歧視與不公。平等意味著相同對待和不受歧視，是公民享有的基本權(quán)利。生物識別的技術(shù)應用過程包含芯片、算法、移動終端、行業(yè)應用、安全解決方案等眾多環(huán)節(jié)。技術(shù)的復雜導致泄露、濫用個人生物信息的形式也復雜多樣，不正當競爭和歧視事件屢有發(fā)生，信息識別的過程充斥著傲慢與偏見。加之相關(guān)行業(yè)標準和法律規(guī)定匱乏，技術(shù)監(jiān)管的難度較大，嚴重損害了用戶應當享有的平等權(quán)益。如在美國佛羅里達州邁阿密市的智能化治安監(jiān)控系統(tǒng)中，對于白種人的監(jiān)控力度和范圍較小，重點關(guān)注的對象是當?shù)睾谌巳后w和西班牙移民群體，這一做法涉嫌種族歧視，而這通過技術(shù)手段完全可以實現(xiàn)。(9)參見方陵生：《臉部識別系統(tǒng)：個人隱私終結(jié)者》，載《世界科學》2015年第3期。我國擁有超過14億人口和56個民族，個人生物信息具有復雜性和多樣性，在使用中可能出現(xiàn)對于生物遺傳基因數(shù)據(jù)的濫用。誠然，技術(shù)是中立的，因此需要法律規(guī)范加以引導和規(guī)制。

第三，侵害個人財產(chǎn)權(quán)。個人生物信息無論在科技還是人文領(lǐng)域都有較高的經(jīng)濟價值和財產(chǎn)利益。在大數(shù)據(jù)背景下，個人生物信息的交易已經(jīng)形成一定規(guī)模，各式各樣的商業(yè)利用使得個人生物識別信息具有某些財產(chǎn)屬性。實踐中對個人生物信息的過度收集、濫用、非法交易等均可能導致主體財產(chǎn)權(quán)遭受侵害。個人生物信息較早應用在銀行客戶身份的人臉識別驗證、出入境人臉識別以及刑事案件的身份核查中，然而實際生活中收集和使用個人生物信息十分隨意，如去藥店買藥需要進行人臉識別(10)如廣西省某藥店在門口安裝有具有人臉識別功能的攝像頭，在會員進入藥店的時候，攝像頭自動拍照識別，電腦端自動識別出會員，調(diào)出會員的詳細資料，在藥店購買藥品的記錄，發(fā)送到店員手中移動端手機上，店員可以先詢問顧客之前購買藥品的效果。、在公廁取廁紙需要人臉識別(11)如廣州部分景點公廁采用“人臉識別廁紙機”，市民只需要將臉部對準機器上人臉識別的顯示屏，成功識別后，機器會提醒將手擺放在出紙口。感應到手在出紙口后，機器會緩緩“吐出”一段長為90厘米的廁紙。工作人員稱個人數(shù)據(jù)機器一周自動刪除一次，手動則隨時刪除，但不少人仍擔心數(shù)據(jù)會造成隱私外泄。系統(tǒng)并不安全，如換了站姿或用打印的照片也可以取紙。參見郭展鵬：《廣州：部分景點公廁采用“人臉識別廁紙機”》，載《信息時報》2019年10月20日。，而人臉數(shù)據(jù)的存儲方式、管理方法、刪除時間等問題卻沒有說明。不法分子在第一次獲取信息后可能進行二次非法交易以獲得財產(chǎn)利益。

三、我國個人生物識別信息的法律規(guī)制現(xiàn)狀及主要問題

(一)規(guī)范現(xiàn)狀

目前我國的法律體系中沒有專門針對生物識別信息的保護及規(guī)范立法。對個人生物識別信息的規(guī)制保護散見于不同層級的法律規(guī)范中，實體法和程序法兼而有之，多數(shù)以間接保護的方式規(guī)定。(12)我國《憲法》規(guī)定：“國家尊重和保障人權(quán)”“公民的人格尊嚴不受侵犯”“公民享有通信自由和通信秘密的權(quán)利”“公民住宅不受侵犯” 等；《民法通則》 在人身權(quán)編規(guī)定“公民的人格尊嚴受法律保護”；《刑法》規(guī)定“非法搜查他人身體、住宅，或者非法侵入他人住宅”“侵犯公民通信自由”等為犯罪行為；《民事訴訟法》規(guī)定“對涉及個人隱私的案件應當不公開審理”；《刑事訴訟法》規(guī)定“涉及個人隱私的案件不公開審理”。 此外，在《婦女權(quán)益保護法》《執(zhí)業(yè)醫(yī)師法》《郵政法》《商業(yè)銀行法》《律師法》《檔案法》等也有間接規(guī)定。具體而言：

一是法律在個別條文中涉及到個人生物識別信息的內(nèi)容并加以保護。如《民法典》(第1034-1039條)、《刑法》(第286條)、《居民身份證法》(第306條)、《消費者權(quán)益保護法》(第14條)的相關(guān)規(guī)定。其中，《身份證法》中明確提到了指紋信息，《網(wǎng)絡(luò)安全法》中專章對網(wǎng)絡(luò)信息安全保護進行規(guī)定，內(nèi)容均適用于個人生物信息的保護。

二是規(guī)范性文件中對于個人生物信息的規(guī)定。如2012年《全國人大關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，2013年《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》，2013年工業(yè)和信息化部頒布的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，2016年12月國家衛(wèi)生和計劃生育委員會頒布實施的《涉及人的生物醫(yī)學研究倫理審查辦法》，2019年10月國家互聯(lián)網(wǎng)信息辦頒布的《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》等。

三是行政機關(guān)和特定行業(yè)規(guī)范中對于個人生物識別信息的規(guī)定。這些規(guī)定以不同方式對行政機關(guān)、事業(yè)單位以及各類網(wǎng)絡(luò)服務(wù)提供者作出了義務(wù)性規(guī)定，要求它們在對公民個人信息收集、使用等活動中遵循合法、正當?shù)纫话阍瓌t。如公安機關(guān)對提供指紋等個人信息的規(guī)定、(13)《公安機關(guān)指紋信息工作規(guī)定》第4條規(guī)定，“未經(jīng)縣級以上公安機關(guān)負責人批準，不得向公安機關(guān)以外的單位或者個人提供指紋信息和其他相關(guān)信息”。安保服務(wù)的管理規(guī)定、(14)《保安服務(wù)管理條例》第37條規(guī)定，公安機關(guān)建立保安服務(wù)監(jiān)督管理信息系統(tǒng)，記錄保安從業(yè)單位、保安培訓單位和保安員的相關(guān)信息，并對提取、留存的保安員指紋等生物信息予以保密。征信行業(yè)個人生物信息收集的規(guī)定(15)《征信業(yè)管理條例》第14條規(guī)定，禁止征信機構(gòu)采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。等，但這類規(guī)定的涵蓋范圍比較有限。目前對個人生物識別信息規(guī)定較全的是在2018年5月開始實施并在2019年進行修改的《信息安全技術(shù)個人信息安全規(guī)范》(以下簡稱《個人信息安全規(guī)范》)。受制定主體和位階的限制，《個人信息安全規(guī)范》多從技術(shù)層面規(guī)制信息采集使用的規(guī)范做法，而對于個人生物信息的隱私權(quán)、知情權(quán)等內(nèi)容的保護缺乏制度上的規(guī)制。此外，還有一系列涉及公共安全領(lǐng)域生物識別的技術(shù)標準，(16)我國2018 年發(fā)布涉及公共安全領(lǐng)域生物特征識別標準，包括 GB/T 35742-2017《公共安全 指靜脈識別應用 圖像技術(shù)要求》、GB/T 35676-2017《公共安全 指靜脈識別應用 算法識別性能評測方法》、GB/T 35736-2017《公共安全 指紋識別應用 圖像技術(shù)要求》、GB/T 35735-2017《公共安全 指紋識別應用 采集設(shè)備通用技術(shù)要求》、GB/T 35678-2017《公共安全 人臉識別應用 圖像技術(shù)要求》等。2019年1月，支付寶牽頭制定編號為 ISO/IEC27553《移動設(shè)備生物特征識別身份認證安全要求》是我國基于生物識別身份認證領(lǐng)域首個 ISO國際標準。因此，生物信息安全的法律法規(guī)分散多樣，體系尚未成型。

與生物信息安全密切相關(guān)的立法已經(jīng)緊鑼密鼓地開展并初見成果，《民法典》人格權(quán)編中將個人信息權(quán)屬界定為人格權(quán)并加以明確保護，《生物安全法》的起草制定加快了構(gòu)建國家生物安全法律法規(guī)體系和制度保障體系的步伐；2020年6月《數(shù)據(jù)安全法》提交十三屆全國人大常委會第十二次會議審議；2020年10月《個人信息保護法(草案)》首次提請全國人大常委會審議。除了立法外，相關(guān)部門和機構(gòu)也頒布實施了諸多個人信息保護的國家行業(yè)標準，規(guī)定了個人生物識別信息的收集和使用的具體標準?！渡锾卣髯R別信息的保護要求(征求意見稿)》較為細致地規(guī)定了生物特征識別信息的安全保護要求。2020 年3月6日《個人信息安全規(guī)范》進行了修改，2020年10月1日正式實施，細化與完善了個人生物識別信息在收集、存儲和共享三個方面的保護要求，對于生物識別技術(shù)的合規(guī)使用具有重要的指引作用。

(二)主要問題

1.個人生物識別信息的法源位階較低且內(nèi)容分散。當前法律法規(guī)對于個人生物識別信息的保護并未突破一般個人信息的保護界限和力度。現(xiàn)行可以援引的法律規(guī)范中關(guān)于生物信息保護的內(nèi)容非常有限且法出多門，如《信息安全技術(shù)個人信息安全規(guī)范》由全國信息標準化委員會制定，《生物特征識別信息的保護要求(征求意見稿)》由國家質(zhì)量監(jiān)督檢驗檢疫總局和國家標準化管理委員會發(fā)布。盡管這兩項規(guī)范涉及生物識別信息的內(nèi)容較多，但層次較低，無法在較大程度上滿足法律規(guī)制的目的。受立法權(quán)限范圍限制，對于隱私權(quán)保護、知情同意、財產(chǎn)利益等涉及人的權(quán)利內(nèi)容缺失，而這些恰恰是個人生物識別信息權(quán)利保護的重要內(nèi)容。另外，我國目前沒有關(guān)于個人生物識別信息的基本普通法，甚至沒有正式出臺個人信息保護法，相關(guān)條文分布零散，沒有以法律為依據(jù)的下位法，各法之間相互銜接松散。因此，立足于調(diào)整基于個人生物識別信息而發(fā)生的社會關(guān)系的法律，建立有層次有系統(tǒng)的配套性法律體系已迫在眉睫。

2.個人生物識別信息的分類界定不明?！秱€人信息安全規(guī)范》將個人信息分為敏感信息和一般信息，這也是區(qū)分法律保護力度的標準。然而其中對于劃分標準的確定并不十分明確，如其將個人生物識別信息定義為個人敏感信息，同時又將其列入個人信息(一般信息)，則敏感信息和一般信息之間是并列關(guān)系還是種屬包含關(guān)系規(guī)定不清。之后對信息利用的各個環(huán)節(jié)的規(guī)定主要是針對一般信息的界定，只在特殊地方專門標注了個人敏感信息的適用標準，此舉應當是將敏感信息作為一般信息中的特殊內(nèi)容進行規(guī)定的，這與理論上慣常將兩者作為個人信息并列類型的認知相沖突。

3.個人生物識別信息保護范圍較為狹窄。 現(xiàn)行法律對于多種個人生物識別信息保護的理念主要立足于隱私權(quán)之上的人格權(quán)保護，忽視了對于財產(chǎn)權(quán)益的保護。現(xiàn)有明確提出保護的主要限于指紋信息，而對于虹膜、人臉、聲紋、步態(tài)等其他個人信息均未提及，而以籠統(tǒng)的“生物識別信息”代替。在保護的規(guī)則設(shè)計中，主要是原則性地規(guī)定了使用中的保密要求和收集中的禁止性要求，對于個人生物信息的完整性要求、可更新與可撤銷的條件、生物識別信息受損之后的更改以及生物信息的廢棄等問題均未作規(guī)定。針對生物識別信息的安全威脅和被濫用的風險規(guī)定闕如?！渡锾卣髯R別信息的保護要求(征求意見稿)》6.3中規(guī)定，“作為一種個人信息，生物特征信息的收集、轉(zhuǎn)讓、使用、存儲和處置受各種個人信息保護的法律和法規(guī)管轄。生物特征識別技術(shù)的所有部署應該是按照所有適用的法律法規(guī)執(zhí)行”，可見生物識別信息技術(shù)方面的細化部署需要高位階的法律法規(guī)作為前提和指引，否則單純技術(shù)性規(guī)定不足以全面將保護措施落地。

4.個人生物識別信息財產(chǎn)權(quán)利保護邊界不清。既有法律規(guī)定對于侵犯個人生物信息的責任規(guī)定較為籠統(tǒng)，實踐中缺乏操作性的細化標準，因此一般侵犯個人生物識別信息的行為都會參照《侵權(quán)行為法》(2021年之后參照《民法典》第七編)的相關(guān)規(guī)定處理，其中責任的承擔方式之一即是財產(chǎn)賠償。然而由于個人生物識別信息一般被當作具有人格權(quán)屬的物品，其財產(chǎn)價值不好估算，故信息主體通過侵權(quán)責任而獲得賠償?shù)碾y度很大。生物識別信息屬于個人信息的一種，可以按照關(guān)于個人信息授權(quán)和同意的規(guī)定而產(chǎn)生的經(jīng)濟利益，而法律未明確承認生物識別信息的財產(chǎn)權(quán)益。隨著計算機信息技術(shù)的不斷發(fā)展，物質(zhì)的載體不斷豐富，財產(chǎn)的范圍不斷擴大，信息的財產(chǎn)化將有助于反映和控制信息傳播的復雜過程。(17)參見金華、陳平凡：《云計算法律問題研究》，法律出版社2012年版，第292頁。

5.個人生物識別信息主體的權(quán)利救濟缺乏相應法律機制。現(xiàn)行法律針對侵犯個人生物識別信息行為一般均有責任條款規(guī)定，但違法行為人法律責任的主要表現(xiàn)為行政責任，刑事責任發(fā)揮作用有限?！缎谭ā返?87條侵犯公民個人信息罪的規(guī)定具體定罪量刑標準不明確，一些法律適用問題存在爭議。之后最高人民法院和最高人民檢察院相繼出臺關(guān)于第287條的司法解釋，明確了侵犯公民個人信息罪的定罪量刑標準和刑事政策問題，但依然粗疏籠統(tǒng)。《網(wǎng)絡(luò)安全法》中對于侵犯網(wǎng)絡(luò)信息安全的責任，主要包括有關(guān)主管部門責令改正、警告、沒收違法所得、罰款、責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等行政處罰措施。可見，大部分侵害個人生物識別信息的行為均以行政責任為制裁方式，懲治力度不夠，政府和相關(guān)機構(gòu)的責權(quán)利界分不清，行政處罰與刑法之間銜接不暢，不足以遏制違法行為的發(fā)生，法律保護邊界和處罰依據(jù)亟需厘清。

四、我國個人生物識別信息安全的法律規(guī)則原則和模式選擇

現(xiàn)行立法的缺失、混亂、不明等問題直接導致了竊取、濫用或泄露個人生物識別信息的行為無法得到法律的及時有效規(guī)制，不僅不利于個人生物信息安全的保護，也限制了生物信息產(chǎn)業(yè)的發(fā)展。當前亟需加快完善關(guān)于生物識別信息保護與利用之法律制度進程。

(一)法律規(guī)制原則

個人生物識別信息所承載的人格利益價值、商業(yè)價值和社會價值之間的衡平是立法面臨的價值選擇。人格利益體現(xiàn)了生物信息主體的個人尊嚴，商業(yè)價值反映了作為理性經(jīng)濟人的正常選擇，社會價值彰顯了社會整體利益的需求。三種價值的沖突不僅因為不同主體追求利益的天然差異，也源于外在規(guī)制體系的不完善?！皵?shù)據(jù)生態(tài)圈”的動態(tài)平衡需要法律和制度的引領(lǐng)和保障，而制度的設(shè)計離不開立法原則的價值指引。

第一，私法與公法雙重保護原則。個人生物信息立法的目的之一是為了實現(xiàn)生物信息的有序共享，有序意味著使用個人生物信息必須有度，不得侵犯個人隱私，共享意味著一定程度和范圍內(nèi)為了社會秩序和公共安全而使用個人生物信息。因此，在個人生物信息的保護上，應當從私法和公法兩方面同時保護、共同作用。私法保護主要傾向于個人生物信息作為財產(chǎn)屬性的商業(yè)利用價值和財產(chǎn)收益，公法保護則主要側(cè)重于政府和公共機構(gòu)對個人生物信息收集和使用的限制問題。有學者提出“對個人信息進行分場景化保護”的觀點，即“在體現(xiàn)私主體利益的場景下，宜通過私法邏輯保護個人信息，而在體現(xiàn)公共利益的場景下，……應采用公法框架規(guī)制個人信息的共享使用中的法律風險，……實現(xiàn)了個人信息保護從自主支配到有序共享的邏輯轉(zhuǎn)換”。(18)參見劉艷紅：《公共空間運用大規(guī)模監(jiān)控的法理邏輯及限度——基于個人信息有序共享之視角》，載《法學論壇》2020年第2期。

第二，狹義的比例原則。比例原則是行政法中的重要原則，后逐漸擴展成為經(jīng)濟法、民法領(lǐng)域的原則。通說認為，比例原則包含適當性原則、必要性原則和狹義比例原則三個子原則。狹義比例原則又稱作相稱性原則或均衡原則，其精髓在于對手段與目的之間關(guān)聯(lián)進行動態(tài)考量。目的正當是手段正當化的前提，手段正當又能保證目的正當化的實現(xiàn)。個人生物識別信息在風險時代、數(shù)字時代的運用顯然需要實現(xiàn)多元價值和利益的衡平，以最終尋求手段與目的價值取向上的趨近。個人生物識別信息隨著數(shù)據(jù)科技的高速發(fā)展?jié)u趨復雜，數(shù)據(jù)信息的占有、共享、轉(zhuǎn)讓等產(chǎn)生的法律關(guān)系層出不窮，狹義比例性原則強調(diào)利益之間的衡量，能為抽象法律原則發(fā)揮作用提供標準。

第三，預防與救濟并重的原則。在個人生物信息立法中，不僅應當重點涵蓋個人信息應用及保護的內(nèi)容，而且應當注重預防措施的規(guī)定。預防理念應當貫穿于個人生物識別信息立法的始終，預防措施是立法的重要組成部分。如在個人生物識別信息的收集方面明確地規(guī)定信息收集的合法性、合目的性，即從信息產(chǎn)生初始就進行預防，之后在信息的使用、存儲、刪除及監(jiān)管方面的規(guī)定也要體現(xiàn)預防的理念。同時，個人生物識別信息的立法也需要規(guī)定健全的責任承擔方式和救濟措施，做到預防和救濟并重。

(二)法律規(guī)制模式選擇

世界各國對生物識別信息保護有專門立法保護模式和綜合立法保護模式兩種。(19)參見付微明：《個人生物識別信息的法律保護模式與中國選擇》，載《華東政法大學學報》2016年第6期。前者是通過專項立法對個人生物識別信息權(quán)利進行法律保護的模式，典型代表是美國多個州頒布的生物識別信息隱私法案。(20)最為典型的是2008年美國伊利諾伊州頒布的《生物信息隱私法案》(Biometric Information Privacy Act，簡稱“BIPA”，這是美國境內(nèi)首部規(guī)制生物識別技術(shù)的法案。該法案對具體的三種利用生物信息的類型進行了規(guī)制：一是初始收集個人生物信息時，需告知信息主體被收集的生物信息內(nèi)容、收集后的利用方式、目的以及該生物信息的保留時間，且規(guī)定未經(jīng)信息主體的書面授權(quán)不得收集相關(guān)生物信息；二是信息收集者應制定書面的隱私政策以便設(shè)定生物信息保留時間，若收集者與信息主體相聯(lián)系的時間已滿三年，或未滿三年但收集信息的目的已達成，則收集者需銷毀該數(shù)據(jù)；三是未經(jīng)信息主體同意或法定情形，不得出售、透露個人生物信息。后者是將不同種類的個人信息納入統(tǒng)一的個人信息保護法之下(其中生物識別信息往往作為個人敏感信息的一類)，將行政、民事以及刑事法律的保護措施集為一法的立法模式。(21)同②。如歐盟《通用數(shù)據(jù)保護條例》(GDPR)、印度2018年《個人數(shù)據(jù)保護法案(草案)》、巴西2020年2月生效的《通用數(shù)據(jù)保護法》等。

借鑒國外立法例和我國的立法情況，有學者認為可制定專門性的個人生物識別信息保護法。(22)同②。專門立法可以在短時間內(nèi)建立一套全面的個人生物信息保護框架，針對性強。涉及個人生物信息的保護和利用具有重大的現(xiàn)實意義及較高的技術(shù)要求，僅靠相關(guān)行政法規(guī)規(guī)章難以規(guī)制實踐中的法律難題，因此應當制定高位階的個人生物識別信息單行法。在立法層級上，許多國家均制定了具有較高法律效力的個人信息保護法，有效地規(guī)制了個人信息在利用和開發(fā)中可能存在的法律問題，基于個人生物識別信息的特殊性，針對當下越來越多的生物信息侵權(quán)案件的發(fā)生，建議制定一部單行法，用較高的位階來提高法律效力，對侵害個人生物識別信息的行為方式、權(quán)利義務(wù)、法律責任等內(nèi)容進行更全面的規(guī)定。也有學者認為，考慮到現(xiàn)實數(shù)據(jù)技術(shù)和理論的發(fā)展以及總體立法狀況，個人生物識別信息所涉及的諸多理論問題尚未完全厘清，目前出臺專門的法律還為時過早。(23)參見商希雪：《生物特征識別信息商業(yè)應用的中國立場與制度進路——鑒于歐美法律模式的比較評價》，載《江西社會科學》2020年第2期。

筆者認為，由于個人生物信息保護隨著信息技術(shù)的發(fā)展而出現(xiàn)全新的問題，將來也會隨著5G等技術(shù)的全面推廣而出現(xiàn)新的表現(xiàn)方式，因此具有較強的不穩(wěn)定性，人們對于生物識別信息的諸多內(nèi)容目前還沒有統(tǒng)一的認識，因此專門立法的難度大、阻力多。況且專門立法所涉的主體繁多、內(nèi)容龐雜，不同主管部門和權(quán)利主體之間存在利益沖突與協(xié)調(diào)問題，這也是一般專門立法固有的缺陷，難以避免。因此，較為穩(wěn)妥可行的立法模式為首先制定《個人信息保護法》，然后將個人生物識別信息作為其中的專章加以規(guī)定。作為一種敏感的個人信息，最全面有效的保護是制定個人信息保護的相關(guān)法律法規(guī)。(24)參見劉越：《論生物識別信息的財產(chǎn)權(quán)保護》，載《法商研究》2016年第6期。2017年3月的《個人信息保護法(草案)》第4至9條中，分別規(guī)定了合法原則、知情同意原則、目的明確原則、限制利用原則、完整正確原則、安全原則等個人信息處理和利用的基本原則，并將個人信息權(quán)的表現(xiàn)形式規(guī)定為信息決定權(quán)、保密權(quán)、訪問權(quán)、更正權(quán)、可攜權(quán)、封鎖權(quán)、刪除權(quán)、被遺忘權(quán)等具體的個人信息權(quán)利。然而《個人信息保護法(草案)》并沒有專門針對個人生物信息進行特別保護和說明，在草案下一步修改中應當增加關(guān)于個人生物信息的專門性規(guī)定，這樣不僅可以對個人生物信息有更明確和有針對性的保護，而且能夠維護立法的統(tǒng)一和穩(wěn)定，避免了就個人生物信息制定專門的、綜合性立法所需要的立法成本。同時現(xiàn)有的《生物特征識別信息的保護要求(征求意見稿)》已經(jīng)以國家標準的方式關(guān)注到個人生物識別信息的內(nèi)容，個人生物識別信息相對于一般個人信息(包括個人敏感信息)有其特殊保護與處理規(guī)則，專業(yè)化立法框架可以參照目前國際和國內(nèi)的行業(yè)標準指南，以此為技術(shù)標準出臺更高層級的行政性文件和行業(yè)規(guī)范，為個人生物識別信息的保護提供專門化的制度保障，待各項立法時機成熟后再出臺專門的法律法規(guī)。

五、個人生物識別信息關(guān)聯(lián)立法內(nèi)容的完善

大數(shù)據(jù)時代個人信息傳播的深度和廣度前所未有，個人信息泄露及濫用的復雜性、危險性和危害性加重，風險社會中法律的自由與安全價值在一定程度上形成了更加緊張的關(guān)系。在個人生物識別信息的開發(fā)與利用過程中，法律應當創(chuàng)建個體利益與社會利益之間的平衡機制。(25)參見李愛君：《論數(shù)據(jù)權(quán)利歸屬與取得》，載《西北工業(yè)大學學報(社會科學版)》2020年第1期。在民法、行政法和刑事法領(lǐng)域中，對于權(quán)利保護內(nèi)容的選擇、公權(quán)力與私權(quán)利界線的劃分、入罪出罪門檻的界定等制度規(guī)則設(shè)計，都應當秉持保護和利用、自由與安全的利益平衡原則，劃分個人生物信息的權(quán)利主體、使用者、研發(fā)者、管理者等不同利益主體的責權(quán)利。

(一)引入民法對個人生物識別信息的財產(chǎn)權(quán)保護

由于個人生物識別信息更多地具有人格權(quán)的屬性，因此《民法典》中關(guān)于人格權(quán)規(guī)定的內(nèi)容是保護個人生物識別信息的主要民事法規(guī)范。在《民法典》人格權(quán)編涉及到對貞操權(quán)、人體組織器官遺體買賣、人體試驗條件、個體基因的利用等敏感權(quán)利的立法規(guī)制，其中大多涉及到個人生物信息的內(nèi)容或是其載體形式。由于個人生物識別信息具有更強的人身屬性，侵權(quán)行為中的財產(chǎn)給付和賠償數(shù)額較難認定，因此對個人生物信息無法進行有效保護。在個人生物識別信息的民法保護中，雖然人格權(quán)的保護方式有其正當性，但生物識別信息同時承載著財產(chǎn)利益，而財產(chǎn)利益在傳統(tǒng)的人格權(quán)中往往難以得到保護。進入大數(shù)據(jù)時代以來，由于個人生物識別信息具有唯一性和超強的識別性，其財產(chǎn)價值不斷被發(fā)掘出來，因此民法中應當引入對于個人生物識別信息的財產(chǎn)權(quán)保護功能。

將財產(chǎn)權(quán)納入生物識別信息的保護框架，不僅能夠促進個人生物識別信息技術(shù)的發(fā)展，亦能更好地維護國家利益和個人利益。從權(quán)利的保護方式看，侵害人格權(quán)通常不能適用財產(chǎn)損害中的完全賠償原則，而財產(chǎn)權(quán)受侵害則可以獲得完全賠償，這對于保護生物信息權(quán)利人更加有利。同時，強化民法中的財產(chǎn)權(quán)保護還可以激勵生物信息系統(tǒng)的研發(fā)與安全提升，促進生物信息保護技術(shù)的發(fā)展。個人生物信息的財產(chǎn)保護主要通過知識產(chǎn)權(quán)保護的方式實現(xiàn)，個人生物信息的財產(chǎn)利益可被視為知識產(chǎn)權(quán)的客體。需要指出的是，由于個人利益和公共利益之間可能出現(xiàn)矛盾，法律應當對個人生物信息的人格利益和財產(chǎn)利益的合理化使用提供明晰的界線。建議民法典的人格權(quán)編在將來完善時能細化個人生物識別信息的保護內(nèi)容及侵權(quán)責任，將財產(chǎn)利益的取得、流轉(zhuǎn)、使用以及人格利益的范圍、保護方式等加以明確規(guī)定，不足部分可以通過制定單行法的方式進行彌補，形成了民法典與單行法的互動互補機制，使得法律規(guī)定靈活并完善，增強在適用中的可操作性。

(二)劃定行政規(guī)范中使用個人生物識別信息的權(quán)力邊界

由于行政法領(lǐng)域各部門立法名目繁多，部門利益和行業(yè)保護傾向明顯，立法缺陷不一而足。但這些行政法規(guī)范在立法理念和具體內(nèi)容設(shè)置上存在一些共性缺陷，影響了個人生物識別信息的使用和保護，需要修正或完善。應當合理劃定行政公權(quán)力與個人生物識別信息權(quán)的邊界，嚴格規(guī)范政府行為，明晰相關(guān)主體在個人信息處理行為中的權(quán)力以及責任范圍。對于政府機關(guān)，公民提供給其的個人生物信息的真實性以及準確性更高，因此行政法規(guī)中對于個人生物識別信息使用的審核規(guī)定應當更加嚴格，行政機關(guān)使用目的和手段需具有必要性及適當性，符合比例原則。

第一，行政機關(guān)對個人生物信息數(shù)據(jù)實行限制性共享。實踐中發(fā)生的大量侵犯個人生物信息的案件是由于大數(shù)據(jù)公司通過各種非法手段獲取個人信息并打通數(shù)據(jù)，進行關(guān)聯(lián)和深度挖掘處理然后直接買賣的，被害人難以控制他人采集自己的生物信息。因此對于不可再生的生物識別信息，無論公權(quán)力機關(guān)還是企業(yè)出于正當?shù)穆殑?wù)需求使用還是商業(yè)企業(yè)需要使用，都必須高度克制和謹慎。對于一款有危害個人生物識別信息安全危險的APP軟件，如果其沒有其他顯著的實質(zhì)性非侵權(quán)用途和價值，則這款軟件是非法的、不可推廣使用的。由于個人生物信息的技術(shù)類別不同，共享的限制性程度也應當有差別體現(xiàn)。如人臉識別的便利性最高、安全級別也較高，指紋識別的便利性次于人臉識別，安全級別也稍遜，虹膜識別的便利性較低，但安全性非常高。行政法規(guī)及行業(yè)規(guī)范應當區(qū)別對待，制定細則。

第二，加強行政機關(guān)對生物識別信息的監(jiān)管立法。監(jiān)管機構(gòu)對個人生物信息實體數(shù)據(jù)處理行為有審查權(quán)、許可權(quán)、調(diào)查權(quán)、檢查權(quán)以及糾紛調(diào)處權(quán)等權(quán)力，便于實行個人生物識別信息的全流程管理。政府可統(tǒng)一建立生物信息認證庫，為有生物信息識別需要的企業(yè)進行技術(shù)服務(wù)。目前在“智慧城市”“智慧小區(qū)”“智慧校園”等的建設(shè)中，電子身份(生物信息)代替?zhèn)鹘y(tǒng)身份證進行身份的驗證，用阿里云、騰訊云、區(qū)塊鏈技術(shù)等進行生物信息的技術(shù)保護十分必要。區(qū)塊鏈技術(shù)作為一項新技術(shù)在民生使用中遇到了新的挑戰(zhàn)，不僅受制于基礎(chǔ)設(shè)施、網(wǎng)絡(luò)技術(shù)等各種技術(shù)難題，還受制于相關(guān)科技產(chǎn)業(yè)立法和行政監(jiān)管的滯后，因此尤其需要強化對于大數(shù)據(jù)、云計算、區(qū)塊鏈技術(shù)等的監(jiān)管立法。

第三，加強行政機關(guān)對商業(yè)應用領(lǐng)域的法律規(guī)制及救濟。規(guī)范個人生物信息在企業(yè)商業(yè)行為中的使用，對企業(yè)利用互聯(lián)網(wǎng)安全漏洞盜取個人生物信息或進行非法交易進行法律制裁。制定行業(yè)管理和企業(yè)運行負面清單，對生物信息產(chǎn)業(yè)進行有針對性地引導和監(jiān)管，為生物信息相關(guān)產(chǎn)業(yè)發(fā)展提供公平競爭環(huán)境，避免社會倫理和安全風險。在司法救濟方面，基于生物識別信息一旦受到侵害則結(jié)果難以彌補的特點，國外有判例對公民生物識別信息的保護采行為主義而非結(jié)果主義，(26)參見商希雪：《生物特征識別信息商業(yè)應用的中國立場與制度進路——鑒于歐美法律模式的比較評價》，載《江西社會科學》2020年第2期。侵權(quán)行為不以遭受實質(zhì)損害為必要，只要發(fā)生了損害行為即可提起訴訟。

(三)完善刑法中侵犯個人生物識別信息犯罪的入罪條件

首先，從刑事立法的理念上看，刑法作為最為嚴厲的國家反應，所具有的保護法益和保障人權(quán)的雙重機能盡管是不可偏廢的一體兩面，但經(jīng)常處于矛盾之中。傳統(tǒng)刑法重視“自由”的價值追求，風險刑法則側(cè)重“安全”的價值取向。風險社會中，由于風險的不可控性大大增強，社會治理的手段也從事中、事后應對逐漸走向事前預防。(27)參見劉艷紅：《公共空間運用大規(guī)模監(jiān)控的法理邏輯及限度——基于個人信息有序共享之視角》，載《法學論壇》2020年第2期。刑事法律保護機制是個人生物識別信息權(quán)利保護的最后防線，在生物識別信息的刑事立法上，只有當隱私保護危害了公共安全時，才能夠以保護公共安全為理由放棄隱私保護，即只有在隱私保護本身不正當?shù)那闆r下，安全才能獲得超越隱私的優(yōu)位性。(28)同②。刑法保護也應當堅持自由與安全的價值衡平，在利益發(fā)生沖突且只能選擇其一的狀態(tài)下，不能以安全大于自由的標準一概而論，而應當從社會整體利益出發(fā)，進行法益大小的權(quán)衡。

其次，行政法與刑法內(nèi)容的銜接和協(xié)調(diào)是確定罪名的關(guān)鍵。個人生物識別信息安全相關(guān)罪名分散規(guī)定在刑法分則各個章節(jié)中，其中《刑法》第285條規(guī)定的非法侵入和破壞計算機系統(tǒng)罪、第286條規(guī)定的拒不履行信息安全管理義務(wù)罪、第287條規(guī)定的侵犯公民個人信息罪是最主要的罪名。雖然沒有明示個人生物識別信息的內(nèi)容，但作為個人信息的組成部分，仍可以直接使用。這些罪名大部分都以空白罪狀的方式表示，各種行政法規(guī)和行業(yè)性規(guī)范等作為前置性規(guī)范成為了入罪的前提判斷，即行政違法性是刑事違法性的前提。(29)參見張勇：《妨害疫情防控行為的刑法適用之體系解釋》，載《政治與法律》2020年第5期。因此，個人生物識別信息的罪名入罪的關(guān)鍵不在于法益類型的判斷而是行政犯性質(zhì)的確認。如《刑法修正案(九)》將侵犯公民個人信息罪的前置條件“違反國家規(guī)定”修改為“違反國家有關(guān)規(guī)定”，擴大了該罪的入罪邊界，在社會風險增加和行政犯膨脹的當下，不宜過分強調(diào)入罪功能，而應當在個人信息的共享和保護之間尋求平衡。由于“國家有關(guān)規(guī)定”這一前置性規(guī)定中的行政法規(guī)范各有立法保護側(cè)重，因此刑法中應當考慮立法保護目的，進行罪責刑相適應的判斷。

再次，個人生物識別信息犯罪的主觀違法性認識。由于侵犯生物識別信息犯罪為行政犯，因此行為的違法性認識一般是對行政法規(guī)的認識，而對于行政法規(guī)的違法性認識的程度、內(nèi)容、證明標準與刑法上的違法性認識存在區(qū)別。作為犯罪構(gòu)成要件的主觀認識應當是對于刑法規(guī)定的認識，因此行為人僅具備行政法認識而不具備刑法認識是不能作為入罪的條件的。由于大數(shù)據(jù)背景下個人生物識別信息的技術(shù)與應用發(fā)展日新月異，個人或組織對于相關(guān)行為的違法性認識可能滯后于行政法規(guī)的專業(yè)化規(guī)定。(30)實踐中飽受爭議的“大學生掏鳥案”、“天津擺攤大媽氣槍案”等案件，說明普通民眾對于行政法中違法認識缺失，導致了刑法可罰性程度大打折扣。因此對于罪與非罪的確定，需要司法人員準確判斷行為人的主觀要件，而非將違法性認識作為僵化標準。

結(jié)語

對個人生物識別信息的法律保護“既需公法保護，也需私法保護”的立法意識會逐漸增強，是跨學科的、綜合性的法律問題。科技的發(fā)展給社會帶來了全方位的沖擊，對人們的認知水平、思維方式和倫理界線的改變持續(xù)存在，依靠科技解決科技問題和依靠法律規(guī)范科技發(fā)展同等重要，對個人生物信息權(quán)進行相關(guān)立法規(guī)劃和研究任重道遠，構(gòu)建和完善符合中國實際的個人生物信息保護制度是新科技時代法律的重要使命。我國需要選擇適應目前法律體系現(xiàn)狀和社會現(xiàn)實的立法模式，并充分發(fā)揮現(xiàn)有各部門法的功能，構(gòu)建層次分明、內(nèi)外協(xié)調(diào)的個人生物識別信息安全保護的法律體系。