黃佳佳

（青海民族大學(xué),青海 西寧 810007）

1 問題的提出

隨著信息技術(shù)的飛速發(fā)展，個人生物識別信息的應(yīng)用領(lǐng)域越來越廣泛。人們通過指紋、虹膜、聲紋等生物特征來進(jìn)行身份驗證、支付和進(jìn)出場所等，生物識別技術(shù)極大地方便了人們的生活。然而，與此同時，其被濫用和泄露的風(fēng)險也日益增加?！睹穹ǖ洹泛汀秱€人信息保護(hù)法》等法律法規(guī)，對個人信息的處理提出了明確的要求，處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則。但個人生物識別信息具有高度敏感性與獨特性，保護(hù)個人生物識別信息被處理下的個人權(quán)益成為亟待解決的難題。

2 個人生物識別信息的定義與權(quán)利屬性

2.1 個人生物識別信息的定義

世界各地對個體生物識別信息的界定有所不同，普遍采取“歸納+具體羅列”方式，根據(jù)生物識別技術(shù)的發(fā)展水平，闡釋應(yīng)納入個人生物識別信息范疇的數(shù)據(jù)信息。例如，在2015年頒布的美國《消費者隱私保護(hù)法案》中，“個人生物識別信息”被明確界定，包括但不限于面部特征、指紋、聲線以及視網(wǎng)膜、虹膜和遺傳標(biāo)志等生物特征[1]。而歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）則將通過特殊技術(shù)手段分析個體的身體、生理或行為屬性所產(chǎn)生的數(shù)據(jù)定義為個人生物識別數(shù)據(jù)，這類數(shù)據(jù)與一個人的面部圖像或者指紋一樣能夠用以穩(wěn)定地識別或確認(rèn)該個體的身份，此類信息被當(dāng)作個人數(shù)據(jù)中的“獨特分類”來處理[2]。

在我國的法律體系中，個人生物識別信息通常被納入個人信息的范疇?！毒W(wǎng)絡(luò)安全法》第七十六條和《民法典》第一千零三十四條均給出了個人信息的定義，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等[3]。中國對個人生物識別信息的法律保護(hù)模式與歐盟相似，都將其當(dāng)作一種特殊個人信息類別予以保護(hù)，此類信息包含了基于自然人的生物屬性和行為特性進(jìn)行唯一身份辨認(rèn)的數(shù)據(jù)[4]。

基于此，借鑒歐美國家的立法實踐情況，采取“歸納+具體羅列”方式，將個人生物識別信息定義為通過生物識別技術(shù)處理后能夠識別個體身份的各類數(shù)據(jù)，這些數(shù)據(jù)包括但不限于臉部圖像、指紋、虹膜、基因等特征。這種界定不僅能明確保護(hù)范圍，同時方便管理者完善保障機(jī)制，此外，還能提高法院在審理此類案件時對法律規(guī)定的準(zhǔn)確應(yīng)用，進(jìn)而減少糾紛并優(yōu)化司法資源的使用。

2.2 個人生物識別信息的權(quán)益性質(zhì)

個人生物識別信息的權(quán)益可從財產(chǎn)權(quán)與人格權(quán)兩個維度分析。一是隨著技術(shù)的進(jìn)步，個人生物識別信息在保護(hù)財產(chǎn)權(quán)方面形成經(jīng)濟(jì)價值，使其具備財產(chǎn)權(quán)益屬性。例如，利用指紋或面部識別進(jìn)行移動支付。二是個人生物識別信息憑借其獨特性、識別容易性和穩(wěn)定性能等特點能夠直接認(rèn)定特定的公民，因此具有人格屬性。《民法典》將其界定為個人信息的具體類型，賦予其人格權(quán)范疇規(guī)范化的保護(hù)。此舉與現(xiàn)行法律體系相契合，歸入人格權(quán)保護(hù)是恰當(dāng)?shù)摹?/p>

首先，個人生物識別信息的核心在于其具有人格屬性，其中涉及面部圖像、指紋、基因等數(shù)據(jù)，這些數(shù)據(jù)與識別個體身份緊密相關(guān)，一旦信息泄露被非法處理，對個人人格權(quán)益的損害最為直接?；诖?，應(yīng)當(dāng)將其作為一項獨立的人格權(quán)予以保護(hù)。這旨在保障公民對于自己生物識別信息的收集、存儲和使用等處理享有知情權(quán)和自主決策權(quán)，并能在信息處理各階段行使同意、反對或刪除等權(quán)利。

其次，個人生物識別信息權(quán)功能之一是保護(hù)財產(chǎn)權(quán)益。財產(chǎn)權(quán)益一旦遭到侵害，受害者可以依據(jù)《民法典》中的“獲利視為損失”原則，要求相應(yīng)的賠償。但在個人生物識別信息被信息控制者或處理者非法利用時，若僅追求經(jīng)濟(jì)賠償，可能面臨證明實際損害的困難。

最后，將個人生物識別信息權(quán)歸類為特定人格權(quán)而非一般人格權(quán)，對于保障個人信息安全至關(guān)重要。一般人格權(quán)的特性包括抽象性和目標(biāo)不確定性，導(dǎo)致相關(guān)法律規(guī)定具有較寬泛的解釋空間，在司法實踐中，法官可能存在理解上的差異。而確認(rèn)為特定人格權(quán)將使得此項權(quán)利更加明晰、易于施行，增強(qiáng)了個人生物識別信息權(quán)的保護(hù)效力[5]。因此，應(yīng)明確個人生物識別信息權(quán)作為人格權(quán)的性質(zhì)，保障個人生物識別信息的保護(hù)有法可依，同時促進(jìn)信息主體積極行使相關(guān)權(quán)益。

3 國內(nèi)外個人生物識別信息保障機(jī)制

3.1 美國保障模式

在全球范圍內(nèi)，美國始終是信息技術(shù)發(fā)展的佼佼者，尤其在物聯(lián)網(wǎng)、生物技術(shù)和人工智能領(lǐng)域展現(xiàn)出其領(lǐng)先優(yōu)勢。在信息數(shù)據(jù)保障方面，美國更側(cè)重于企業(yè)自行監(jiān)管，以免過多干預(yù)信息流動。在立法方面，美國聯(lián)邦立法機(jī)關(guān)將個人生物特征數(shù)據(jù)定義為一種獨特的個人信息類別，將其納入隱私權(quán)法律框架，還通過專門法規(guī)予以管理，并賦予權(quán)利主體特定的訴訟權(quán)利以便加強(qiáng)保護(hù)。2008年伊利諾伊州領(lǐng)先于其他州，制定了《生物識別信息隱私法案》，該法專門針對企業(yè)處理個人生物識別信息提出了法律要求，構(gòu)建了一套較為完善的法律標(biāo)準(zhǔn)系統(tǒng)，它的關(guān)鍵條文成為后續(xù)法規(guī)的參照依據(jù)。

《生物識別信息隱私法案》中，明確規(guī)定了企業(yè)必須以書面形式通知信息主體，詳細(xì)說明他們收集數(shù)據(jù)的目的、使用范圍及時間等，并且僅在獲得個人書面授權(quán)后才能使用個人信息；企業(yè)禁止利用個人生物識別信息進(jìn)行商業(yè)牟利，同時限制信息的公開，僅當(dāng)個人同意、有財務(wù)交易需要、具有有效的搜查命令或傳票時才允許對外披露；企業(yè)保管個人信息時，需遵守一定的保密措施，并須有書面政策公開說明使用個人信息的基本原則和保留期限。例如，企業(yè)獲取公民的個人生物識別信息達(dá)到信息獲取的目的或者公民與企業(yè)的最后一次交易超過三年，企業(yè)必須銷毀相關(guān)的生物識別信息。

然而，在美國各州，對于個人生物識別信息的保護(hù)并沒有統(tǒng)一的規(guī)定，例如，得克薩斯州僅要求企業(yè)在收集信息前取得個人的知情同意，且并不要求以書面形式表達(dá)同意。這樣的差異性顯示了法律保護(hù)的不平衡和不一致。

3.2 歐盟保護(hù)模式

歐盟的法律強(qiáng)調(diào)將個人數(shù)據(jù)納入人權(quán)的保護(hù)范疇。這使得歐盟成為全球個人數(shù)據(jù)立法的先驅(qū)。自1981年的《個人數(shù)據(jù)自動化處理中的個人保護(hù)公約》開始，到1995年的《關(guān)于在個人數(shù)據(jù)處理過程中保護(hù)當(dāng)事人及此類數(shù)據(jù)自由流通的95/46/EC指令》（以下簡稱95/46/EC指令），再到2008年施行的《通用數(shù)據(jù)保護(hù)條例》，這些法案標(biāo)志著歐盟在個人數(shù)據(jù)保護(hù)立法方面的不斷演進(jìn)和完善。歐盟對個人生物識別信息的保護(hù)主要體現(xiàn)于《通用數(shù)據(jù)保護(hù)條例》的規(guī)定之中，該法規(guī)推動生物信息技術(shù)發(fā)展的同時，致力于維護(hù)信息收集和存儲的安全性，力求平衡技術(shù)進(jìn)步和個人權(quán)益保護(hù)的關(guān)系。它為解決成員國法律體系的分歧、統(tǒng)一執(zhí)行標(biāo)準(zhǔn)提供了框架，并對全球個人信息保護(hù)立法產(chǎn)生重大影響，逐漸成為多數(shù)國家制定相關(guān)法規(guī)的新典范。

自1995年起，95/46/EC指令引入并確立了信息主體的權(quán)利，在《通用數(shù)據(jù)保護(hù)條例》中，這一權(quán)利得到進(jìn)一步強(qiáng)化。這些條例要求數(shù)據(jù)控制方必須明確通知數(shù)據(jù)所有者其個人信息的收集與處理方式，并詳細(xì)說明必須披露給用戶的事項。同時，數(shù)據(jù)主體在合法撤銷授權(quán)或數(shù)據(jù)控制方缺乏合理處理依據(jù)時，可要求數(shù)據(jù)控制方移除其信息。此外，如果數(shù)據(jù)管理者已經(jīng)公開了個人數(shù)據(jù)，必須采取一切合適的方法去除，并向其他管理個人信息的實體下達(dá)移除鏈接和復(fù)制的命令[6]。另外，“信息可攜帶權(quán)”的新增，允許信息主體在某些條件下，將自己提交給一方數(shù)據(jù)管理者的數(shù)據(jù)轉(zhuǎn)移到另一方。該規(guī)定體現(xiàn)了數(shù)據(jù)主體對個人信息的掌控權(quán)，使其有權(quán)在遇到不滿的服務(wù)或不平等對待時，將自己的數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)管理者，但只限于他們自己提供的信息。《通用數(shù)據(jù)保護(hù)條例》還要求涉及數(shù)據(jù)處理和管理的人員實施合適的技術(shù)和管理策略，以確保信息的安全性得到有效保障，這意味著他們在選擇處理程序和決策時必須考慮信息主體權(quán)益[7]。每一位數(shù)據(jù)處理者都應(yīng)維護(hù)對其處理行為的詳盡記錄。他們還需負(fù)責(zé)確保數(shù)據(jù)安全，報告任何數(shù)據(jù)泄露事件，并執(zhí)行數(shù)據(jù)保護(hù)影響評估，以保障數(shù)據(jù)主體的權(quán)益。

《通用數(shù)據(jù)保護(hù)條例》對個人生物識別數(shù)據(jù)進(jìn)行嚴(yán)格管理，將顯著影響網(wǎng)絡(luò)經(jīng)濟(jì)中新興商業(yè)模式。盡管這種信息的收集有助于優(yōu)化產(chǎn)品和服務(wù)，但在該法規(guī)約束下，這種商業(yè)模式可能面臨合法性爭議，甚至有終止的風(fēng)險。

3.3 我國保護(hù)模式

根據(jù)《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，網(wǎng)絡(luò)服務(wù)提供者收集、使用公民個人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息[8]。該決定還要求網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)采取技術(shù)措施來保障信息安全，防止公民個人電子信息泄露、毀損、丟失，并在發(fā)生此類情況時立即采取補(bǔ)救措施。在個人信息保護(hù)方面，《網(wǎng)絡(luò)安全法》和《個人信息保護(hù)法》等法律進(jìn)一步明確了企業(yè)的合規(guī)要求。這些法律文件要求企業(yè)建立健全的信息管理制度，采取必要的措施保護(hù)個人信息的安全，包括技術(shù)保護(hù)手段的應(yīng)用、數(shù)據(jù)分類和加密等工作。此外，企業(yè)還應(yīng)定期進(jìn)行信息安全評估和風(fēng)險評估，確保個人信息受到有效的保護(hù)。

《民法典》第一千零三十四條為保護(hù)個人生物識別信息提供了法律依據(jù)和基礎(chǔ)。在未來的立法和法律實踐中，此條款將發(fā)揮重要作用，進(jìn)一步明確和完善對個人生物識別信息的保護(hù)措施和法律責(zé)任[9]。

盡管目前尚無專門針對個人生物識別信息的專門法律規(guī)定，但在個人信息保護(hù)領(lǐng)域已經(jīng)形成了一系列相關(guān)法律和法規(guī)。這些法律文件為個人生物識別信息的保護(hù)提供了基本框架和合規(guī)要求。為了更好地保障個人生物識別信息的安全與合法使用，確保公民權(quán)益不受損害，我們需要充分考慮其特殊性和敏感性，進(jìn)一步完善個人生物識別信息的法律保護(hù)機(jī)制，明確企業(yè)處理個人生物識別信息的責(zé)任義務(wù)，并完善民事救濟(jì)途徑。只有通過持續(xù)的法治建設(shè)和法律實踐，才能夠適應(yīng)快速發(fā)展的信息技術(shù)，維護(hù)公民個人信息安全，促進(jìn)社會的和諧發(fā)展。

4 對個人生物識別信息民法層面保護(hù)的改善措施及建議

分析我國目前的個人生物識別信息的法律規(guī)定，發(fā)現(xiàn)明顯缺乏專門的保護(hù)制度，相關(guān)規(guī)定散見于不同的法律文本之中。從國際視角來看，隨著生物識別技術(shù)的快速發(fā)展，全球范圍內(nèi)越來越傾向于通過專門的法律條文對生物識別信息進(jìn)行保護(hù)。由此，借鑒美歐等關(guān)于數(shù)據(jù)主體權(quán)利以及數(shù)據(jù)處理者責(zé)任的法律，完善我國在此領(lǐng)域的法律體系。

4.1 建立健全個人生物識別信息權(quán)益機(jī)制

首先，確保個人生物識別信息主體僅限于自然人。同時，設(shè)置以“信息自決權(quán)”為核心的權(quán)利構(gòu)架，涵蓋知情權(quán)、同意權(quán)等，這些權(quán)利在個人生物識別信息的處理全程中至關(guān)重要，反映了其內(nèi)在的人格權(quán)屬性，應(yīng)為該權(quán)利體系中最為核心的部分。另外，也應(yīng)考慮引入訪問權(quán)、刪除權(quán)和數(shù)據(jù)攜帶權(quán)等新權(quán)限來確保數(shù)據(jù)安全。例如，《通用數(shù)據(jù)保護(hù)條例》中的“信息消隱權(quán)”，賦予信息主體讓數(shù)據(jù)處理者或控制者刪除網(wǎng)絡(luò)上的個人信息的權(quán)利。

其次，明確該信息權(quán)益性質(zhì)為特定人格權(quán)。鑒于國內(nèi)個人生物識別信息交易泛濫，可制定禁止非法處理個人生物識別信息的條款，禁止無授權(quán)的獲取、使用、管理、儲存及公開發(fā)布行為。此外，也應(yīng)禁止以“偽自愿”的方式強(qiáng)制收集個人生物識別信息，確保信息主體的自主決策權(quán)得到尊重和保護(hù)。

4.2 個人生物識別信息處理行為的責(zé)任機(jī)制

個人生物識別信息的保護(hù)是一個涉及私權(quán)、信息安全等多方面的重要議題。維護(hù)公民權(quán)益并規(guī)范相關(guān)行為是社會共同責(zé)任，法律在此起關(guān)鍵指導(dǎo)和監(jiān)管作用。所有民事主體，尤其是數(shù)據(jù)管理者必須承擔(dān)個人生物識別信息的保護(hù)職責(zé)。首先，數(shù)據(jù)處理者或控制者收集、使用、分享此類信息應(yīng)受法律明確規(guī)制，需事先獲個人同意，并滿足必要性要求，有明確目的及安全措施等，以保障其行為合法、正當(dāng)和透明[10]；其次，法律還需要規(guī)定執(zhí)法機(jī)構(gòu)權(quán)責(zé)，以保證該類信息的合規(guī)保護(hù)，設(shè)專門監(jiān)管機(jī)構(gòu)，負(fù)責(zé)監(jiān)督和管理信息收集使用，確認(rèn)符合法規(guī)，并對非法處理行為實行必要執(zhí)法行動；最后，該類信息保護(hù)在法律視角內(nèi)不僅是個人權(quán)利也是社會責(zé)任，通過法定規(guī)章舉措和有效執(zhí)行，可以進(jìn)一步升級信息保護(hù)的力度。

4.3 加強(qiáng)侵權(quán)救濟(jì)制度以完善民事司法保護(hù)

完善民事侵權(quán)救濟(jì)制度是法律領(lǐng)域的重要課題。一是對惡意侵權(quán)行為規(guī)定懲罰性民事賠償，對于泄露個人信息的行為，需追責(zé)并確定詳細(xì)的賠償額度，建立最低賠償額度，促進(jìn)數(shù)據(jù)主體追索權(quán)益的熱情，從而增強(qiáng)生物識別信息保障條款的執(zhí)行力度；二是建立迅速高效的救濟(jì)程序，如利用電子證據(jù)和在線仲裁，使消費者維權(quán)效率提升。通過上述措施，改善個人生物識別信息的民事侵權(quán)救濟(jì)制度，提升公眾對法律的信任，并促進(jìn)社會整體的公正[11]。

5 結(jié)語

本文對個人生物識別信息的法律屬性進(jìn)行了深入分析，對比了國內(nèi)外現(xiàn)有法律保護(hù)模式。我國對于個人生物識別信息的定義和法律屬性仍不夠明確，相關(guān)規(guī)定也存在專門性不足和責(zé)任界限不明確等問題。在界定個人生物識別信息的法律屬性時，應(yīng)該將人格權(quán)和財產(chǎn)權(quán)作為參考，從風(fēng)險角度出發(fā)來進(jìn)行界定。保護(hù)個人生物識別信息需要明確其敏感性和重要性，制定更明確和細(xì)化的法律規(guī)定，并加強(qiáng)監(jiān)管和執(zhí)法力度。此外，完善民事救濟(jì)途徑，建立最低賠償額度，并明確相應(yīng)的法律程序。只有通過全社會的共同努力和法治的確立，才能夠更好地保護(hù)個人生物識別信息安全。