楊銅銅

（華東政法大學 政治學與公共管理學院，上海 201620）

伴隨著人工智能的快速發(fā)展，以“人臉識別”“指紋驗證”“聲音解鎖”“虹膜識別”為代表的生物識別技術(shù)蓬勃興起，在刑偵、治安、金融、醫(yī)療、交通、學校、支付、社區(qū)、企業(yè)等場景大范圍使用，其對網(wǎng)絡(luò)科技、大數(shù)據(jù)，乃至數(shù)字經(jīng)濟的發(fā)展發(fā)揮著至關(guān)重要的作用，已經(jīng)成為國民經(jīng)濟的重要組成部分。這種通過生物識別技術(shù)對自然人的物理、生理或行為特征進行特殊技術(shù)處理而得到的信息即為“個人生物識別信息”，比如指紋、虹膜、臉部特征、聲音、步態(tài)、筆跡等。由于個人生物識別信息具有唯一性、不可更改性，一經(jīng)泄露將永遠不可索回，因而可能引發(fā)侵犯隱私、違法犯罪、種族歧視、危害國家安全等風險，亟待警覺。比如近來廣受熱議的Facebook因人臉識別技術(shù)引發(fā)集體訴訟賠償5.5億美元、郭某訴杭州市動物園強制收集人臉信息案、17萬人臉數(shù)據(jù)遭公開銷售、“ZAO”網(wǎng)紅換臉軟件、“剪刀手”拍照泄露指紋信息等。因此，面對生物識別技術(shù)帶來的挑戰(zhàn)，如何保護個人生物識別信息已經(jīng)成為全球關(guān)注的核心議題。

在保護個人生物識別信息的多種機制中，通過立法路徑提供個人生物識別信息使用與保護的框架，是規(guī)制個人生物識別信息濫用，實現(xiàn)個人生物識別信息保護的前提與關(guān)鍵?！皬姆稍砩蟻碚f，一般性規(guī)則能夠減少信息搜尋成本與認知成本，有利于個人盡快認知和利用法律進行維權(quán)，有利于數(shù)據(jù)收集者與處理者盡快地進行合規(guī)操作，也有利于執(zhí)法主體盡快進行執(zhí)法?！盵1]當前許多國家和地區(qū)已經(jīng)開始制定相關(guān)立法①比如美國伊利諾伊州制定了《生物識別信息隱私法案》；馬塞諸塞州薩摩維爾市制定了《暫停面部識別或其他遠程生物識別監(jiān)控系統(tǒng)的法案》；歐盟最新頒布的《一般數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR) 將“個人生物識別信息”作為敏感個人信息的一種，著重予以保護；印度《2019年個人數(shù)據(jù)保護法》（Personal Data Protection Bill, PDPB 2019）對“生物特征數(shù)據(jù)”保護亦作出特別規(guī)定。，然而中國尚未形成體系化的立法保護框架，致使個人生物識別信息的保護存在重大缺漏。

一、中國個人生物識別信息保護的立法現(xiàn)狀與問題

（一）個人生物識別信息保護的立法現(xiàn)狀

中國有關(guān)個人生物識別信息保護的規(guī)范相對較少，主要散見于《身份證法》《反恐怖主義法》《網(wǎng)絡(luò)安全法》《出境入境管理法》《刑法》《刑事訴訟法》《民法典》《消費者權(quán)益保護法》等法律，《外國人入境管理條例》《保安服務(wù)管理條例》《征信業(yè)管理條例》等行政法規(guī)，以及一些效力較低的規(guī)章、規(guī)范性文件之中①比較具有代表性的規(guī)章、規(guī)范性文件為《公安機關(guān)辦理行政案件程序規(guī)定》《普通護照和出入境通行證簽發(fā)管理辦法》《互聯(lián)網(wǎng)個人信息安全保護指南》《信息安全技術(shù)個人信息安全規(guī)范》等。。多涉及個人生物識別信息保護原則、使用規(guī)則、監(jiān)管機構(gòu)與職能、法律責任、權(quán)利救濟等內(nèi)容。

一是有關(guān)公安機關(guān)在偵查案件、打擊犯罪和治安管理等活動中收集、管理與保護“指紋信息”的相關(guān)規(guī)定。根據(jù)《居民身份證法》《反恐怖主義法》《刑事訴訟法》《外國人入境管理條例》《公安機關(guān)辦理行政案件管理規(guī)定》等法律規(guī)定，公安機關(guān)可以在身份證管理、出入境管理、辦理行政案件、刑事案件中利用指紋等個人生物識別信息，并負有保密義務(wù)，如果泄露將承擔行政處分、追究刑事責任。

二是通過明確各方信息主體的權(quán)利義務(wù)、法律責任對個人生物識別信息進行保護。比如在民事領(lǐng)域，《民法典》第111條規(guī)定了個人信息保護的基本行為規(guī)范，信息處理者確保信息安全等基本義務(wù)?！睹穹ǖ洹啡烁駲?quán)編更是著重從“隱私權(quán)”保護的維度，對個人信息處理的原則、個人信息主體的權(quán)利、信息處理者的安全義務(wù)和保密義務(wù)等進行了詳細的規(guī)定。同時《消費者權(quán)益保護法》第29條規(guī)定了經(jīng)營者收集、使用消費者個人信息的規(guī)則以及經(jīng)營者的保護義務(wù)。在刑事領(lǐng)域，通過規(guī)定侵犯公民個人信息的刑事責任間接地對個人生物識別信息進行保護，較為典型的是《刑法》第253條之一侵犯公民個人信息罪的規(guī)定。

三是規(guī)定個人生物識別信息的收集、處理、使用等不同環(huán)節(jié)的規(guī)則。相對聚焦在信息管理領(lǐng)域，例如《網(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)運行者收集、使用個人信息的規(guī)則，網(wǎng)絡(luò)運行者、網(wǎng)絡(luò)監(jiān)管人員以及其他組織和個人不得非法獲取、出售、向他人提供個人信息等義務(wù)，其中的“個人信息”便包括“個人生物識別信息”。與此同時，中國立法也已意識到“個人生物識別信息”有別于一般個人信息，對個人生物識別信息進行了特別規(guī)定，比如《互聯(lián)網(wǎng)個人信息安全保護指南》在“個人信息安全保護的管理機制、安全技術(shù)措施和業(yè)務(wù)流程”中，對個人生物識別信息的“收集”“公開披露”環(huán)節(jié)作出了特殊規(guī)定。需要注意的是，2020年3月6日修訂的《信息安全技術(shù)個人信息安全規(guī)范》對個人生物識別信息的收集與存儲進行了專門規(guī)定，明確規(guī)定“收集人臉信息需單獨告知，不得存儲原始圖像”。此外，一些行業(yè)協(xié)會的自律規(guī)范也對其進行了規(guī)定，比如中國支付清算協(xié)會發(fā)布的《人臉識別線下支付行業(yè)自律公約（試行）》，從安全管理、終端管理、風險管理、用戶權(quán)益保護等方面對人臉識別線下支付進行了規(guī)定。

（二）個人生物識別信息保護的立法問題

中國對個人生物識別信息的保護已經(jīng)有部分規(guī)定，但立法仍較為分散，無法滿足個人生物識別信息保護的需要。

第一，獨特屬性未突出，針對性規(guī)定缺失?，F(xiàn)有立法未突出個人生物識別信息的獨特屬性，多將“個人生物識別信息”視為“個人信息”的一種類型加以規(guī)范，比如上述《民法典》《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護法》的規(guī)定。即使少數(shù)法律規(guī)范意識到個人生物識別信息屬于“敏感個人信息”，但也只是在“收集”“披露”等環(huán)節(jié)簡單地進行規(guī)定，缺乏系統(tǒng)的針對性規(guī)定，比如《信息安全技術(shù)個人信息安全規(guī)范》。

第二，立法理念不明確，表達不清晰。立法理念本質(zhì)上是對不同利益的衡量，引導著立法的路徑與價值選擇。當前國內(nèi)外均對收集、處理與利用個人生物識別信息的安全性、合法性存在質(zhì)疑，但中國各行業(yè)卻積極鼓勵開發(fā)利用個人生物識別信息，甚至有愈演愈烈之勢，因而如何確立立法理念、衡量個人生物識別信息保護與利用之間的利害，是個人生物識別信息保護立法的重點。當下中國立法理念并不明確，比如《網(wǎng)絡(luò)安全法》《民法典》等僅將“個人生物識別信息”作為“個人信息”的一種類型進行規(guī)范，《互聯(lián)網(wǎng)個人信息安全保護指南》《信息安全技術(shù)個人信息安全規(guī)范》也只是對個人生物識別信息收集、存儲、公開披露環(huán)節(jié)作出特別規(guī)定，均沒有明確地表明立法理念。

第三，立法碎片化，法律位階較低。當前有關(guān)個人生物識別信息的技術(shù)標準與保護機制缺乏統(tǒng)一的規(guī)定，系統(tǒng)的專門立法付之闕如。同時，個人生物識別信息保護規(guī)范的法律位階較低，大多為規(guī)章、規(guī)范性文件，甚至是行業(yè)協(xié)會與企業(yè)制定的行業(yè)規(guī)則。盡管當下對個人生物識別信息的權(quán)利屬性存在隱私權(quán)、新型人格權(quán)、財產(chǎn)權(quán)之爭，但是毋庸置疑均屬于公民的基本權(quán)利，因此應(yīng)由效力等級較高的立法規(guī)范進行規(guī)定。

第四，具體內(nèi)容不明確，尚未形成體系化的保護。當前有關(guān)個人生物識別信息保護的規(guī)定多以原則性、概括性條款為主，可操作性不強。比如《保安服務(wù)管理條例》僅規(guī)定了公安機關(guān)“應(yīng)當保密”，但是對于如何保密等問題沒有進行規(guī)定。同時，從內(nèi)容上看集中于責任條款設(shè)置，并散見于不同的規(guī)范類型中，比如刑事領(lǐng)域規(guī)定侵犯公民個人信息罪；而關(guān)于個人生物識別信息的法律屬性、保護的特有法律原則、權(quán)利義務(wù)關(guān)系、監(jiān)管機構(gòu)與職責等均沒有規(guī)定，而上述內(nèi)容正是個人生物識別信息保護的核心。

第五，保護對象比較狹窄，適用主體較為單一。由于受制于信息技術(shù)發(fā)展，當前立法多側(cè)重于“指紋信息”的保護，對面部信息、虹膜信息、耳廓信息、靜脈信息、聲音信息等其他個人生物識別信息的保護規(guī)定較少。近來伴隨著“人臉識別技術(shù)”的快速發(fā)展與廣泛運用，才開始對“人臉識別信息”加以保護。與此同時，現(xiàn)有法律多集中于規(guī)制公權(quán)力機關(guān)，尤其是公安機關(guān)收集指紋信息的相關(guān)規(guī)定，針對私主體收集、處理與利用個人生物識別信息的保護規(guī)定相對較少。

二、立法模式：漸進式的綜合立法模式

個人生物識別信息的立法模式是指國家在個人生物識別信息保護立法時所采取的、與調(diào)整范圍有關(guān)的法律形式。立法模式在廣度上深刻影響著個人生物識別信息保護的實現(xiàn)，是個人生物識別信息立法首先需要解決的問題。

（一）個人生物識別信息的雙重立法模式

基于立法傳統(tǒng)與背景等方面的不同，當前個人生物識別信息保護的立法模式主要存在專門立法模式與綜合立法模式兩種。

專門立法模式是指采用單獨立法的形式對個人生物識別信息加以保護的模式。其中以美國的部分州為代表。美國對個人生物識別信息的保護大多建立在隱私權(quán)保護的基礎(chǔ)上，自21世紀開始生物識別技術(shù)被規(guī)模化地應(yīng)用到反恐、國家安全、刑事偵查等領(lǐng)域，并逐漸在伊利諾伊州、芝加哥州等開始民用化與商用化[2]78-88。當前美國大部分州均允許雇主或企業(yè)收集、分析個人生物識別信息，但是禁止通過生物識別信息獲利。美國雖然未在聯(lián)邦層面上對個人生物識別信息的收集與使用作出統(tǒng)一規(guī)定，但各州先后制定了專門規(guī)制私部門使用個人生物識別信息的保護法案，如2008年伊利諾伊州制定了美國首部《生物識別信息隱私法案》，2009年德克薩斯州制定了《生物特征信息隱私法》，2019年佛羅里達州制定了《生物信息隱私法案》等，此外阿拉斯加、新罕布什爾等州也逐漸將生物識別信息法列入立法議程。上述立法的適用對象僅為“私營主體”收集、處理、利用個人生物識別信息的行為，立法內(nèi)容主要從法律概念、權(quán)責關(guān)系、行為規(guī)范、監(jiān)管機構(gòu)與職能、救濟途徑與方式等方面進行規(guī)定。自2019年開始，由于“人臉識別技術(shù)”的廣泛應(yīng)用，有關(guān)利用個人生物識別信息的合法性問題再次引發(fā)爭議，無論是州層面還是聯(lián)邦層面，均出臺了專門針對“人臉識別信息”保護的法案。2019年5月加利福尼亞州舊金山市對《停止秘密監(jiān)視》條例進行修訂，認為人臉識別技術(shù)侵害了公民的隱私與自由，并可能引發(fā)種族不平等，由此成為美國第一個禁止官方機構(gòu)使用人臉識別技術(shù)的城市。2019年6月馬薩諸塞州薩默維爾市議會則通過《人臉識別全面禁止條例》，禁止警察和公共部門使用人臉識別軟件，2019年7月加利福尼亞州的奧克蘭市亦頒布《監(jiān)視及社區(qū)安全法案》。在聯(lián)邦層面上，2019年3月美國參議院通過了《商業(yè)面部識別隱私法案》；2020年2月12日有議員在參議院提出了《人臉識別道德使用法》草案，旨在委員會提出使用人臉識別技術(shù)的適當指南和限制之前，暫緩政府機構(gòu)使用人臉識別技術(shù)[3]。

綜合立法模式是指不區(qū)分個人生物識別信息與一般個人信息，將不同類型、性質(zhì)的個人信息統(tǒng)一納入到個人信息保護法之下，從行政、民事、刑法等不同方面進行統(tǒng)一的立法保護[2]80。當前大多數(shù)國家、地區(qū)采用綜合立法模式。歐盟是綜合立法模式的典型代表，其以人格權(quán)為基礎(chǔ)建立了強化公共部門行政監(jiān)管的保護方式。2018年生效的《通用數(shù)據(jù)保護條例》（亦稱為《一般數(shù)據(jù)保護條例》），即GDPR，對處理個人數(shù)據(jù)中的自然人保護以及個人數(shù)據(jù)自由流動的規(guī)則進行了規(guī)定，將“生物識別數(shù)據(jù)”作為“特殊類型個人數(shù)據(jù)”予以特殊保護，并“原則上禁止”為了“識別特定自然人”而收集處理生物特征數(shù)據(jù)，但是規(guī)定了9種例外情形①General Data Protection Regulation.Art.9。。同時GDPR允許成員國在國內(nèi)立法作出額外的限制。需要注意的是，歐盟對于人臉識別技術(shù)的應(yīng)用持有警惕態(tài)度，2019年歐盟基本權(quán)利保護局發(fā)布了《面部識別技術(shù)：執(zhí)法中的基本權(quán)利考慮》，分析了面部識別技術(shù)對基本權(quán)利帶來的挑戰(zhàn)，簡要介紹了當公共當局部署實時面部識別技術(shù)來實現(xiàn)執(zhí)法的目的時避免侵犯人權(quán)應(yīng)采取的步驟[4]。亞洲對個人生物識別信息保護進行立法相對較晚，并深受歐盟立法的影響，亦主要采取綜合立法模式。比如印度為了保護與個人數(shù)據(jù)有關(guān)的個人隱私，以及明確個人數(shù)據(jù)的流動和使用，于2019年頒布了第373號法案《2019年個人數(shù)據(jù)保護法》，其在明確一般個人數(shù)據(jù)保護規(guī)則的同時，將“生物特征數(shù)據(jù)”作為一種特殊的個人數(shù)據(jù)類型予以特殊保護，明確規(guī)定“除非法律允許，任何數(shù)據(jù)受托者不得處理經(jīng)中央政府通告的生物特征數(shù)據(jù)。”②Personal Data Protection Bill, Sec.92。

總體而言，兩種立法模式均存在利弊。專門立法模式針對性、可操作性強，可以根據(jù)不同領(lǐng)域靈活制定，然而不同立法之間容易發(fā)生沖突；綜合立法模式體系性較強，但靈活性卻存在不足。從立法內(nèi)容上看，無論采取何種模式，在保護個人生物識別信息的法律原則、保護規(guī)則、權(quán)責條款等方面趨于一致。

（二）中國個人生物識別信息保護的立法模式選擇

個人生物識別信息保護的立法模式選擇應(yīng)在辨析不同立法模式的產(chǎn)生原因、歷史演變與現(xiàn)實困境的情況下，結(jié)合中國的立法傳統(tǒng)、現(xiàn)實需求，以及法制發(fā)展現(xiàn)狀等進行綜合判斷，在個體權(quán)益保護與群體發(fā)展之間尋求最佳利益平衡點[5]。

從中國信息立法的傳統(tǒng)與發(fā)展趨勢看，均采用綜合立法模式。在立法傳統(tǒng)上，比如《網(wǎng)絡(luò)安全法》即將個人生物識別信息納入個人信息的范疇予以規(guī)范。其他的一些規(guī)范性文件，如《互聯(lián)網(wǎng)個人信息安全保護指南》《信息安全技術(shù)個人信息安全規(guī)范》等也均在明確一般個人信息保護規(guī)則的同時，對個人生物識別信息的特殊保護規(guī)則進行規(guī)定。在立法趨勢上，當前《數(shù)據(jù)安全法》與《個人信息保護法》的草案均已進入公開征求意見階段，兩者均呈現(xiàn)出綜合立法的模式，比如《數(shù)據(jù)安全法》（草案）已經(jīng)對重要數(shù)據(jù)與一般數(shù)據(jù)共同予以規(guī)范。

同時，相較于專門立法模式，綜合立法模式更有助于解決中國分散立法存在的問題：一是綜合立法模式層級清晰體系完整。個人生物識別信息的保護屬于個人信息保護法律體系的一個分支，采用綜合立法模式能夠在明晰一般個人信息保護規(guī)則的前提下，規(guī)定個人生物識別信息保護的特殊規(guī)則，進而實現(xiàn)個人信息保護法律體系的完整性。二是綜合立法模式的保護方法與保護措施全面。一方面綜合立法模式不局限于單一領(lǐng)域，對個人生物識別信息的保護具有普遍的適用性。另一方面保護方法與保護措施更為全面，包括行政法保護、民事救濟以及刑事制裁等領(lǐng)域。三是綜合立法模式有利于法律適用。個人生物識別信息在體系上不僅要符合一般個人信息收集、處理、使用的基本原理與規(guī)定，而且要符合個人生物識別信息的特殊規(guī)則。綜合立法模式有助于實現(xiàn)一般個人信息與特殊個人生物識別信息的體系協(xié)調(diào)，避免分散立法引發(fā)的體系違反，便于法律適用。

需要注意的是，一方面面對當下個人生物識別信息濫用的境地，亟待立法保護。特別是在中國生物識別技術(shù)安全性未得到充分證實，使用風險尚未得到全面評估，以及保護機制尚待系統(tǒng)化之前，個人生物識別信息已經(jīng)被大范圍使用，比如不僅局限于國家安全、治安管理等公用場景，而且包括金融、醫(yī)療、學校、支付、交通、社區(qū)、企業(yè)、小區(qū)物業(yè)管理、商場等私用場景。日益泛濫的生物識別技術(shù)運用，已經(jīng)導致個人生物識別信息在實踐中被販賣、泄露，侵犯了信息主體的隱私權(quán)、財產(chǎn)權(quán)等合法權(quán)益，亟待進行立法規(guī)制。另一方面雖然《數(shù)據(jù)安全法》與《個人信息保護法》的草案已經(jīng)開始公開征求意見，但是縱觀世界，生物識別技術(shù)尚未成型，有關(guān)的技術(shù)標準也未達成共識，因而對個人生物識別信息進行系統(tǒng)性、明確性、完整性規(guī)定尚需時間。比如2019年12月，全國信標委生物特征識別分技術(shù)委員會才正式全面啟動人臉識別國家標準的制定，系統(tǒng)化建設(shè)中國人臉識別國家標準體系。作為大數(shù)據(jù)時代的新問題，在尚未探索出個人生物識別信息保護的成熟實踐經(jīng)驗之前，貿(mào)然進行立法可能適得其反。可根據(jù)《立法法》第9條進行“授權(quán)立法”①《立法法》第9 條：本法第八條規(guī)定的事項尚未制定法律的，全國人民代表大會及其常務(wù)委員會有權(quán)作出決定，授權(quán)國務(wù)院可以根據(jù)實際需要，對其中的部分事項先制定行政法規(guī)，但是有關(guān)犯罪和刑罰、對公民政治權(quán)利的剝奪和限制人身自由的強制措施和處罰、司法制度等事項除外。，或者根據(jù)《立法法》第73條進行“地方先行立法”②《立法法》第73 條：地方性法規(guī)可以就下列事項作出規(guī)定：……除本法第八條規(guī)定的事項外，其他事項國家尚未制定法律或者行政法規(guī)的，省、自治區(qū)、直轄市和設(shè)區(qū)的市、自治州根據(jù)本地方的具體情況和實際需要，可以先制定地方性法規(guī)。在國家制定的法律或者行政法規(guī)生效后，地方性法規(guī)同法律或者行政法規(guī)相抵觸的規(guī)定無效，制定機關(guān)應(yīng)當及時予以修改或者廢止。，待時機成熟上升至全國統(tǒng)一立法。

綜上所述，面對中國當前個人生物識別信息保護分散立法存在的問題，結(jié)合中國信息立法的現(xiàn)有情況與發(fā)展趨勢，中國應(yīng)該采用綜合立法模式。但是為了解決當前個人生物識別信息亟待立法進行保護的迫切需求，可以采用“授權(quán)立法”“地方先行立法”的模式，為綜合立法中個人生物識別信息保護條款的制定提供經(jīng)驗。因此，漸進式的綜合立法模式更適合中國實踐。

三、立法理念：充分信息保護基礎(chǔ)上的有限開發(fā)利用

個人生物識別信息保護立法是一項系統(tǒng)的工程，立法理念是支撐立法的基石，指引著立法的制度設(shè)計。個人生物識別信息保護的立法本質(zhì)上是多元主體之間利益的角逐，基于個人生物識別信息的獨特屬性，“充分信息保護基礎(chǔ)上的有限開發(fā)利用”是立法的核心價值理念。

（一）個人生物識別信息承載人格尊嚴與個人隱私需要充分保護

相較于一般個人信息，個人生物識別信息具有獨特的物理屬性，屬于敏感個人信息，承載著人格尊嚴與個人隱私利益，需要予以特殊、充分的保護。

1.個人生物識別信息具有獨特物理屬性

生物識別是以人類獨有的生理特征或行為表現(xiàn)，來辨識或者驗證使用者的個人身份。生理特征是先天具有的，包括指紋、人臉、虹膜、視網(wǎng)膜、靜脈等。行為表現(xiàn)是后天形成的，如走路的步態(tài)、按鍵的力度等。由此而獲取的個人生物識別信息具有獨特的物理屬性，需要予以充分保護：

一是具有“獨一無二性、難以更改性”，一旦被竊取或泄露，將不可索回，無法進行更改與撤銷。與其他個人信息，比如身份證號、電話號碼、銀行卡密碼、家庭住址等相比，個人生物識別信息具有生物學意義上的唯一性，其不可能因客觀環(huán)境的變化而作出改變，如果使用不當，造成的損害將是不可逆的。

二是部分個人生物識別信息極易脫離信息主體的掌控，可以被輕而易舉地獲得與利用，加劇了濫用風險。以“人臉識別”信息為例，由于當下密集的攝像頭布置，致使個體容易暴露在攝像頭之下，因而在收集上可不經(jīng)過信息主體主動配合而獲得人臉圖像，在使用上亦可以脫離信息主體而被利用。例如嘉興上外秀洲外國語學校402班科學小隊在做課外實驗的時候，用一張打印照片就能代替真人刷臉，騙過小區(qū)里的豐巢智能柜，取出父母們的貨件[6]。

三是由于個人生物識別信息需經(jīng)由計算機的算法才能生成，因而可能存在算法錯誤，導致誤判，由此引發(fā)種族歧視風險，加劇社會不平等等問題。美國國會經(jīng)過調(diào)研發(fā)現(xiàn)，人臉識別技術(shù)的準確率歷來不高，特別在識別女性、年輕人、非裔美國人和其他族裔群體。已有證據(jù)顯示人臉識別對有色人種、活動家、移民和其他原因本就受到不公正對待的群體的不良影響更為顯著[7]。

2.個人生物識別信息屬于“敏感個人信息”

個人生物識別信息的性質(zhì)決定其保護的方式。根據(jù)泄露該信息導致重大傷害的可能、對信息主體帶來傷害的大小、社會大多數(shù)人對某類信息敏感度的認知等因素，可以將個人信息劃分為“一般個人信息”與“敏感個人信息”。敏感個人信息是指“一旦泄露或濫用，極易危及人身、財產(chǎn)安全或?qū)е氯烁褡饑朗艿綋p害、歧視性待遇的個人信息”，比如健康信息、金融信息、基因信息、關(guān)乎個人安全的信息等[8]。從性質(zhì)上看，個人生物識別信息屬于“敏感個人信息”的一種，應(yīng)當予以特殊保護。

一方面，個人生物識別信息承載著人格尊嚴、隱私等重要價值。由于個人生物識別信息具有高度的專屬性與私密性，與個人最隱秘的生理特征直接相關(guān)，具有表征和彰顯個人身份的特質(zhì)，因而構(gòu)成了“數(shù)字化人格”的核心組成部分?！叭烁駱俗R的完整性與真實性是主體受到他人尊重的基本條件?！盵9]只有保障數(shù)字化人格與信息主體相一致，并且不被非法侵犯，才能獲得他人的尊重，實現(xiàn)自由與尊嚴。另一方面，個人生物識別信息的泄露將對公民權(quán)利造成更大的傷害。相較于其他個人信息，個人生物識別信息不僅能夠識別自然人的身份，而且可以從事個性化服務(wù)，如利用指紋、面部開啟手機、辦理金融業(yè)務(wù)等。一經(jīng)泄露或者公開，將對個人隱私、尊嚴等造成不可逆影響，乃至遭受歧視性待遇。正是由于個人生物識別信息與個人生理特征最為緊密，承載了人格尊嚴與個人因素等權(quán)益，屬于敏感個人信息，理應(yīng)予以充分、特殊保護。

當下將個人生物識別信息列入“敏感個人信息”并給予特殊保護，已經(jīng)成為各地的普遍共識。比如歐盟的《通用數(shù)據(jù)保護條例》GDPR第9條便將“生物性識別數(shù)據(jù)”納入“特殊類型個人數(shù)據(jù)”；美國《2018年加州消費者隱私法案》亦將包括虹膜、視網(wǎng)膜、指紋、臉部、手掌、靜脈圖案和語音記錄的圖像等在內(nèi)的生物特征識別數(shù)據(jù)列為個人隱私信息[10]；印度頒布的《2019年個人數(shù)據(jù)保護法》禁止在印度境外處理個人敏感數(shù)據(jù)和重要個人數(shù)據(jù)，禁止處理特定形式的生物特征數(shù)據(jù)，明確了輸入個人敏感數(shù)據(jù)和關(guān)鍵個人數(shù)據(jù)的條件。事實上，中國《個人信息保護指南》已經(jīng)采取了一般個人信息與敏感個人信息區(qū)分的理念，在收集時前者可以默許同意，后者必須明示同意。《信息安全技術(shù)個人信息安全規(guī)范》也在收集與存儲等方面進行了細化與完善，明確規(guī)定“收集人臉信息需單獨告知，不得存儲原始圖像”“用戶拒絕授權(quán)擴展業(yè)務(wù)功能權(quán)限，App不得反復征求授權(quán)”,并建議App支持用戶對畫像標簽的自主控制機制。

（二）公私部門對個人生物識別信息具有強烈利用需求

個人生物識別信息具有公共性，能夠促進社會公共福祉的實現(xiàn)。無論在商業(yè)領(lǐng)域還是公務(wù)領(lǐng)域，均具有對個人生物識別信息強烈的應(yīng)用需求。

1.基于政務(wù)價值的公共利用

在信息社會，數(shù)字政府已經(jīng)成為現(xiàn)代政府的基本標志。特別是當下，個人生物識別信息的社會治理價值更為突出。比如個人生物識別信息在公共秩序、公共安全、公共福利的推進方面，均發(fā)揮著不可替代的作用。

一是進行公共管理，維護公共安全。基于個人生物識別信息獨特的物理屬性，個人生物識別信息無論在傳統(tǒng)的行政管理領(lǐng)域，亦或是現(xiàn)代的風險社會治理領(lǐng)域均發(fā)揮著重要功能。在傳統(tǒng)的治安防控、犯罪偵查領(lǐng)域，公安機關(guān)借助指紋信息、肖像、虹膜圖像等，開展身份管理、打擊刑事犯罪、維護國家安全，尤其在查找失蹤兒童、犯罪分子等方面表現(xiàn)卓越。在現(xiàn)代風險社會，看似偶然、不確定的公共事件，其背后的行為規(guī)律仍有跡可循?！按髷?shù)據(jù)的核心就是預(yù)測，是把數(shù)學算法運用到海量的數(shù)據(jù)上來預(yù)測事情發(fā)生的可能?！盵11]個人生物識別信息有助于提升預(yù)測的準確性，比如人臉識別能夠?qū)崿F(xiàn)數(shù)據(jù)的實時監(jiān)控，提升風險防控的效率。

二是優(yōu)化行政服務(wù)，增進公共福利。推行電子政務(wù)一直是中國信息化發(fā)展的的戰(zhàn)略重點，當前中國已經(jīng)運用生物識別信息推行高效便捷的“網(wǎng)上政務(wù)”，并在社會保障領(lǐng)域積極推廣，提升了社會治理的效能。比如《國務(wù)院辦公廳關(guān)于推進養(yǎng)老服務(wù)發(fā)展的意見》提出了實施“互聯(lián)網(wǎng)+養(yǎng)老”行動，倡導通過運用互聯(lián)網(wǎng)和生物識別技術(shù)，來探索建立老年人補貼遠程申報審核機制。北京市為了加強公租房管理，規(guī)制違法轉(zhuǎn)租等行為，規(guī)定納入保障房建設(shè)計劃的公租房，全面采用人臉識別等技術(shù)，以便于相關(guān)管理①北京市住建委發(fā)布的《關(guān)于進一步加強公共租賃住房轉(zhuǎn)租行為監(jiān)督管理工作的通知》。。

2.基于商業(yè)價值的市場利用

伴隨著人工智能時代的來臨，個人生物識別信息不再是簡單地識別身份特征的標志，毋寧說其已成為重要的生產(chǎn)要素，推動著產(chǎn)業(yè)分工與經(jīng)濟結(jié)構(gòu)調(diào)整，而且改變著人們的生活習慣。

首先，個人生物識別信息的收集與處理對人工智能、大數(shù)據(jù)，乃至整個數(shù)字經(jīng)濟的發(fā)展至關(guān)重要，具有重要的商業(yè)價值。在國家層面上，國務(wù)院2015年發(fā)布《促進大數(shù)據(jù)發(fā)展行動綱要》，積極鼓勵與推進大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。據(jù)有關(guān)研究顯示，2016年國內(nèi)生物識別的市場規(guī)模在120億左右，而到2021年預(yù)測將達到340億[12]。甚至有預(yù)測稱，生物識別技術(shù)會先于人工智能步入大規(guī)模應(yīng)用階段[13]。與此同時，有關(guān)個人生物識別信息的應(yīng)用催生了大量的信息服務(wù)產(chǎn)業(yè)，比如信息查詢平臺、征信機構(gòu)、數(shù)據(jù)處理公司等。

其次，個人生物識別信息有助于改變營銷策略，提升個性化的服務(wù)?！盃I銷建立在對消費者需求的準確把握之上。”[14]運用個人生物識別信息有助于更為精確地了解消費者的需求與偏好，提升經(jīng)營者決策的理性與效率，從而進行更具針對性的產(chǎn)品推介、引導，提供更為個性化的服務(wù)，促進服務(wù)升級與未來產(chǎn)品的研發(fā)。

最后，方便企業(yè)管理，提供更為安全、便捷的服務(wù)?；趥€人生物識別信息的獨特性，部分企業(yè)運用生物識別技術(shù)進行員工簽到等日常管理。同時生物識別技術(shù)在提供安全管理、金融服務(wù)等領(lǐng)域具有獨特的優(yōu)勢，比如物業(yè)設(shè)置人臉識別門禁系統(tǒng)防止外來人員進入，超市、商場等開設(shè)人臉識別支付系統(tǒng)實現(xiàn)自助結(jié)賬等。

實現(xiàn)個人信息保護與利用的動態(tài)平衡是信息保護立法的關(guān)鍵。對于個人生物識別信息而言，其具有區(qū)別于一般個人信息的獨特物理屬性，關(guān)涉公民的人格尊嚴、隱私保護，一旦泄露，將對公民權(quán)利產(chǎn)生不可逆的影響，因而應(yīng)當予以充分特殊的保護。尤其在生物識別技術(shù)的安全性尚未得到有效證實，生物識別技術(shù)使用標準尚未形成共識的情況下，對個人生物識別信息予以充分保護是立法應(yīng)當明確的核心法益，這也是當前諸多國家和地區(qū)禁止收集、儲存與利用個人生物識別信息的原因所在。個人生物識別技術(shù)在增進社會福祉方面發(fā)揮著不可替代的功能，既有助于維護公共秩序，增進公共福利，亦能推動信息產(chǎn)業(yè)、數(shù)字經(jīng)濟的發(fā)展。因此，在充分保護的基礎(chǔ)上有限地利用個人生物識別信息，是立法應(yīng)當秉持的核心理念，由此實現(xiàn)個人生物識別信息保護與利用之間的利益平衡。

四、個人生物識別信息保護立法的核心內(nèi)容

個人生物識別信息的保護需要借助于具體的法律條文予以落實。個人生物識別信息保護涉及到諸多內(nèi)容，在綜合立法模式的前提下，需要結(jié)合中國的現(xiàn)實需要，制定較為完備、具有針對性、可操作性的法律規(guī)范。

（一）界定個人生物識別信息的法律概念、類別、屬性條款

概念明確與否，直接關(guān)系到立法邏輯乃至法律體系構(gòu)成。首先應(yīng)當規(guī)定個人生物識別信息的法律概念。在此可以參照歐盟GDPR①歐盟GDPR第4 條第14 款規(guī)定，“生物性識別數(shù)據(jù)”指的是基于特別技術(shù)處理自然人的相關(guān)身體、生理或行為特征而得出的個人數(shù)據(jù)，這種個人數(shù)據(jù)能夠識別或確定自然人的獨特標識，例如臉部形象或指紋數(shù)據(jù)。General Data Protection Regulation.Art.4 (14)。、伊利諾伊州②伊利諾伊州《生物識別信息隱私法案》中將生物識別信息界定為“基于個人生物標識而生成的任何信息，無論其如何被取得、轉(zhuǎn)換、存儲或共享”。Biometric Information Privacy Act。、印度③印度《2019年個人數(shù)據(jù)保護法》（Personal Data Protection Bill, 2019）第1章第3條第7款規(guī)定，“生物特征數(shù)據(jù)”是指面部圖像、指紋、虹膜掃描，或其他類似的能夠通過物理、生理或行為特征測量或技術(shù)處理操作得到的，可以允許或完全能夠確認一個自然人的唯一標識的個人數(shù)據(jù)。等國家或地區(qū)的立法經(jīng)驗，核心在于明確個人生物識別信息“單獨”“識別個人身份”的“唯一標識性”、需要借助計算機程序等高科技手段予以特殊處理等核心法律內(nèi)涵。其次，細化個人生物識別信息的類型，增強個人生物識別信息保護立法的可操作性。比如《信息安全技術(shù)個人信息安全規(guī)范》在附錄中進行了例舉，包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。然而個人生物識別信息并不限于上述“生理特征”的個人生物識別信息，還包括“行為特征”的個人生物識別信息，即“通過行為特征進行特定的技術(shù)處理而得到的可以辨識個人身份的信息”④General Data Protection Regulation.Art.4 (14)。，比如筆跡、步態(tài)等，均應(yīng)在立法中加以明確。最后，明晰個人生物識別信息的法律屬性，實現(xiàn)對個人生物識別信息的充分保護。對敏感個人信息與一般個人信息進行分類，并對敏感個人信息進行特殊保護已經(jīng)成為世界各國的普遍共識。盡管“敏感個人信息”的認定方式與種類存在分歧，但并不影響個人生物識別信息屬于敏感個人信息的性質(zhì)定位。因而在未來的立法中應(yīng)明確個人生物識別信息屬于“個人敏感信息”的法律屬性，為實現(xiàn)對其特殊保護奠定前提基礎(chǔ)。

（二）確立個人生物識別信息保護的特殊法律原則

個人生物識別信息保護的法律原則，貫穿立法始終。個人生物識別信息保護屬于新興領(lǐng)域，涉及到多重利益關(guān)系，尚無成熟的立法經(jīng)驗，過于冒進或者退縮都可能帶來負面影響，因此通過立法原則的規(guī)定不僅有助于引導個人生物識別信息的立法與適用，而且有助于彌補法律漏洞，增加法律條文的彈性與包容性。

在遵循個人信息保護一般法律原則的基礎(chǔ)上①即最小化收集原則、目的明確原則、信息質(zhì)量原則、安全保障原則、限制利用原則、參與原則、公開原則、責任原則等。，基于個人生物識別信息的特性，還應(yīng)規(guī)定個人生物識別信息保護的特殊原則。個人生物識別信息保護特殊原則的確立，尤其應(yīng)當注重“充分信息保護基礎(chǔ)上的有限開發(fā)利用”的立法理念，參考各國的經(jīng)驗，制定特殊原則：一是禁止原則。為充分保護個人生物識別信息安全，除非法律允許，原則上禁止“僅以識別自然人為目的”的收集、儲存、傳輸、處理、使用或者披露個人生物識別信息。為了保護國家安全，尤為應(yīng)當禁止向境外非法傳輸個人生物識別信息。二是明示同意原則。在法定范圍內(nèi)收集個人生物識別信息之前，應(yīng)當單獨向信息主體告知收集、使用生物識別信息的目的、方式與范圍，以及存儲的時間等，并獲得信息主體的明示同意。三是法定必需原則。只有法律明確規(guī)定的情形下，才可以不經(jīng)過信息主體的同意而處理個人生物識別信息。法定情形的設(shè)定，需要經(jīng)過風險評估，并且符合“比例原則”的基本要求?？v觀已有立法，大致包括：為履行工作職責必需；為實現(xiàn)實質(zhì)性的公共利益與維護公共安全必需；對于數(shù)據(jù)處理主體或另一自然人的核心利益必需；基金、協(xié)會或其他非盈利組織已經(jīng)采取了恰當?shù)谋Ｗo措施而進行的正當性活動必需；對于提起、行使或辯護法律性主張必需或者法院的司法活動必需；對于預(yù)防性醫(yī)學或臨床醫(yī)學目的必需等②General Data Protection Regulation.Art.9。。

（三）明確個人生物識別信息主體的權(quán)利條款

法律以權(quán)利為關(guān)注焦點，“法律為客觀的權(quán)利，權(quán)利為主觀的法律?！盵15]在個人生物識別信息保護的立法中，對信息主體享有的權(quán)利予以明確是立法的核心宗旨，亦是引導相關(guān)保護措施設(shè)計、決定保護深度與質(zhì)量的關(guān)鍵。

結(jié)合各國的立法經(jīng)驗，個人生物識別信息主體主要享有權(quán)利：其一信息決定權(quán)，即生物識別信息主體得以直接控制與支配其個人信息，并決定是否被收集、處理、利用的權(quán)利?！靶畔Q定權(quán)是個人信息權(quán)的首要內(nèi)容，它直接說明了個人信息的權(quán)利歸屬，決定了個人信息的命運?！盵16]239信息決定權(quán)是信息主體意思自治的體現(xiàn)，這便要求以充分的知情為基礎(chǔ)。由于個人生物識別信息關(guān)聯(lián)著個人基本權(quán)利，只有在獲得信息主體明示同意的情況下，信息處理者才能在法定范圍內(nèi)處理個人生物識別信息。其二信息查詢權(quán)，即個人生物識別信息主體具有查詢其信息被收集、處理與利用的權(quán)利，包含信息處理者對信息主體的主動告知和信息主體提請查詢兩種方式。信息查詢權(quán)是一項基本權(quán)利，但是也存有某些例外，比如在查詢可能損害他人重大利益，擾亂公共秩序，危害公共安全等情況下，應(yīng)該限制或者禁止查詢[17]。其三信息更正權(quán)，即個人生物識別信息主體請求信息控制者對不正確的個人生物識別信息進行更正、補充的權(quán)利。其中“不正確”應(yīng)當采用廣義的理解，包括“不正確、不完整、不最新”三種情形。其四信息封鎖權(quán)，即在法定或約定事由出現(xiàn)時，個人生物識別信息主體有權(quán)請求信息控制者以一定方式暫停處理和利用個人生物識別信息。“信息封鎖權(quán)的行使對象是已經(jīng)被收集的個人信息，行使事由有兩個：一是個人信息的正確性處于不確定狀態(tài)，二是個人信息的完整性處于不確定的狀態(tài)?！盵16]246由此可見，信息封鎖權(quán)大多情況下是信息更正權(quán)的配套措施，在行使信息更正權(quán)之前，信息主體大多會行使信息封鎖權(quán)，以防止不正確信息的利用給自身造成損害。其五信息刪除權(quán)，即基于法定或約定的事由，信息主體要求信息控制者刪除其個人信息的權(quán)利。行使此項權(quán)利的事由主要包括：收集、處理與利用之初沒有得到明示同意、處理與利用的目的消失、處理與利用期限屆滿、處理與利用超出約定或法定的范圍等[16]248?！皠h除”應(yīng)當達到“不得復認”的狀態(tài)，即不僅原信息無法被再次辨認使用，而且沒有再次提供該信息的可能。其六信息收益權(quán)，即基于商業(yè)目的而被相關(guān)市場使用時，信息主體可以要求使用者支付相應(yīng)對價，這是個人信息支配權(quán)的體現(xiàn)。

（四）細化個人生物識別信息處理者的行為規(guī)范

個人信息保護經(jīng)歷了從“積極確權(quán)模式”到“行為規(guī)范模式”的轉(zhuǎn)變與融合，其中“行為規(guī)范模式”是指基于對個人信息運用可能帶來的潛在風險與影響而為處理者設(shè)置相應(yīng)的行為規(guī)范，以此為個人信息的收集、開發(fā)、持有以及泄露等階段提供規(guī)范引導，進而實現(xiàn)個人信息的保護[18]。個人生物識別信息的保護以及上述信息主體權(quán)利的實現(xiàn)，需要信息處理者遵循立法設(shè)定的行為規(guī)范，事實上美國伊利諾伊州的《生物識別信息隱私法案》、歐盟的《通用數(shù)據(jù)保護條例》、印度的《2019年個人數(shù)據(jù)保護法》等均采用此種模式?！皬男袨橹髁x的進路出發(fā)，個人信息保護應(yīng)當根據(jù)不同行為所可能侵犯個人和社會的權(quán)益而進行不同程度的規(guī)制?！盵19]在大數(shù)據(jù)時代，個人生物識別信息的應(yīng)用場景紛繁復雜，并且受到多重因素的影響，僵化的、不變的措施可能難以展開有效的保護，因此在具體行為規(guī)范的制定中，要結(jié)合個人生物識別信息的不同應(yīng)用“場景”，以及不同應(yīng)用場景中個人生物識別信息的處理行為給信息主體帶來的風險，進行綜合考量。

事實上，《民法典》第111條①《民法典》第111條：自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應(yīng)當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。、《網(wǎng)絡(luò)安全法》第4章以及《數(shù)據(jù)安全法（草案）》已經(jīng)從信息的收集、利用、持有三個階段大致設(shè)定了個人信息處理的一般規(guī)則，個人生物識別信息保護立法應(yīng)在此基礎(chǔ)上，結(jié)合個人生物識別信息的特殊屬性進行規(guī)定。首先，信息收集階段，收集者應(yīng)當依法取得個人生物識別信息，并經(jīng)信息主體的“明示同意”。為防止“明示同意”形同虛設(shè)，要求信息收集者應(yīng)當進行清晰明確的告知與風險披露，以便個人生物識別信息主體自主作出選擇。其次，信息開發(fā)利用階段，不得非法買賣、傳輸、使用、加工個人生物識別信息。其中，“非法”應(yīng)采取廣義的理解，不僅包括不得違反法律、法規(guī)、規(guī)章等法律規(guī)范的規(guī)定，而且包含不得違反雙方的約定。尤為注意的是，為防止僵化地審視是否符合當事人的同意，對個人生物識別信息的處理是否合理，應(yīng)當綜合考量所引發(fā)的風險是否符合信息主體的合理預(yù)期，是否可以為信息主體所接受。再次，信息持有階段，確保個人生物識別信息安全。由于信息持有者的不當儲存行為可能引發(fā)個人生物識別信息泄漏的風險，所以應(yīng)當通過隱私設(shè)計政策、安全保障措施進行安全風險防范，消除因持有、儲存等行為引發(fā)侵犯公民權(quán)利的風險。比如區(qū)別于一般個人信息的儲存方式，原則上不儲存?zhèn)€人生物識別信息，如果基于特殊需要進行儲存，則僅儲存摘要信息、與個人身份信息分開存儲、采取加密措施等②2020年《信息安全技術(shù)個人信息安全規(guī)范》（6.3）“個人敏感信息的傳輸與存儲”已對此進行規(guī)定：對個人信息控制者的要求包括：（a）傳輸和存儲個人敏感信息時，應(yīng)采用加密等安全措施；（b）個人生物識別信息應(yīng)與個人身份信息分開存儲；（c）原則上不應(yīng)存儲原始個人生物識別信息（如樣本、圖像等），可采取的措施包括但不限于：（1）僅存儲個人生物識別信息的摘要信息；（2）在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認證等功能；（3）在使用面部識別特征、指紋、掌紋、虹膜等實現(xiàn)識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。。最后，信息泄露后的報告義務(wù)。為了降低個人生物識別信息泄露后的風險，信息處理者應(yīng)當及時將泄露情況有效地告知信息主體，并應(yīng)當向信息監(jiān)管機關(guān)報告。

（五）設(shè)置個人生物識別信息的多元化保護機制

個人生物識別信息的保護不僅需要信息主體、信息控制者、信息處理者的自律，而且需要國家積極構(gòu)建保護機制。為實現(xiàn)保護的充分性，應(yīng)當從行政、民事和刑事三個方面構(gòu)建。

相較于民事與刑事保護機制，行政保護機制具有事前預(yù)防、高效便捷等優(yōu)勢。在行政保護機制方面，首先應(yīng)當設(shè)置獨立的監(jiān)管機構(gòu)。美國伊利諾伊州設(shè)有“生物識別信息隱私調(diào)查委員會”，印度設(shè)有“數(shù)據(jù)保護局”，為解決分散化、多頭化的監(jiān)管機構(gòu)帶來的監(jiān)管難題，中國應(yīng)當明確網(wǎng)信辦的獨立監(jiān)管地位，并在其內(nèi)部設(shè)置“生物識別信息監(jiān)管處”，實現(xiàn)統(tǒng)一監(jiān)管。同時劃清相關(guān)監(jiān)管部門之間的機構(gòu)職責，實現(xiàn)層級化、部門化政府機構(gòu)的協(xié)同監(jiān)管。其次，明確監(jiān)管機構(gòu)的法定職權(quán)，包括審查權(quán)、許可權(quán)、檢查權(quán)、調(diào)查權(quán)、扣押權(quán)、處罰權(quán)、受理控訴權(quán)、糾紛解決權(quán)等。同時監(jiān)管機構(gòu)應(yīng)當根據(jù)不同應(yīng)用場景的風險設(shè)置不同的監(jiān)管方式，以風險預(yù)防理念為指引，結(jié)合個人生物識別信息應(yīng)用的不同環(huán)節(jié)，通過行政處罰、行政許可等強制性監(jiān)管方式與行政約談等非強制性監(jiān)管方式的結(jié)合，實現(xiàn)貫穿個人生物識別信息處理生命周期的動態(tài)風險監(jiān)管。最后，個人生物識別信息的保護需要專業(yè)能力與技術(shù)能力作支撐，因此應(yīng)當配置具有行政專長的復合型監(jiān)管人才，并通過聘請專家、顧問等方式彌補監(jiān)管機構(gòu)專業(yè)技術(shù)能力的不足，提升監(jiān)管效能。

在民事保護機制方面，核心在于建立個人生物識別信息的損害賠償救濟機制。在立法體系中應(yīng)當明確個人生物識別信息不同處理階段、不同信息處理主體的法律責任，結(jié)合“隱私風險”確定差異化的法律責任體系。由于個人生物識別信息的侵權(quán)行為大多屬于“程序性違法”行為，比如在收集、使用個人生物識別信息之前沒有履行告知義務(wù)、沒有獲得明確的同意，同時濫用、泄露個人生物識別信息的“損害”往往難以認定，所以“最大的問題是如何確認侵害知情權(quán)、民事同意權(quán)等程序性權(quán)利的損害事實和結(jié)果?！盵2]85對此可以借鑒域外國家的經(jīng)驗，即在規(guī)定過錯責任原則的同時實行舉證責任倒置，以化解程序性違法行為的損害賠償難題。同時，根據(jù)《民法典》第1 034條規(guī)定，個人生物識別信息屬于個人信息的范疇，并屬于私密信息，應(yīng)當適用有關(guān)隱私權(quán)的規(guī)定。應(yīng)以中國民法規(guī)范中隱私權(quán)損害賠償條款為基礎(chǔ)，結(jié)合損害的性質(zhì)與程度、主觀過錯、信息處理者實施措施的透明度與問責性等因素，對損害賠償責任進行綜合考量。在此基礎(chǔ)上，承擔停止侵害、排除妨礙、消除危險、賠償損失等侵權(quán)責任。

刑事保護機制是個人生物識別信息保護的最后防線，主要通過設(shè)置相應(yīng)的刑罰進行保護。美國在1989年設(shè)置“身份盜竊”罪，其中非法故意轉(zhuǎn)移、使用生物識別信息用于違法活動的行為就屬于此種犯罪情形[20]，美國2003年制定《身份盜竊處罰增強法》；韓國《個人數(shù)據(jù)保護法》規(guī)定“非法處理唯一標識罪”。立足中國語境，基于罪刑法定與法律保留原則，刑事處罰只能由刑法進行規(guī)定，因而在嚴重侵害公民個人生物識別信息的問題上，可以采用“指引條款”的立法技術(shù)，規(guī)定“侵犯公民個人生物識別信息情節(jié)嚴重，構(gòu)成犯罪的，依據(jù)《刑法》第253條之一侵犯公民個人信息罪追究刑事責任”。