張建文，趙梓羽

(西南政法大學(xué) 民商法學(xué)院，重慶 401120)

個人生物識別信息是指通過運(yùn)用科學(xué)技術(shù)手段對人的身體、生理及行為特征進(jìn)行數(shù)字化處理后得到的信息[1]，包括基因、指紋、聲紋、虹膜、面部特征等，是個人數(shù)字身份的重要組成部分[2]。在大數(shù)據(jù)時代，生物識別技術(shù)的應(yīng)用與發(fā)展加深了個人生物識別信息被不斷挖掘與利用的程度，這種挖掘與利用在一定情形下能為公共利益之實現(xiàn)作出很大貢獻(xiàn)，但與此同時也增大了個人生物識別信息被非法處理的風(fēng)險。尤其是隨著多樣化的生物識別技術(shù)在商業(yè)金融領(lǐng)域的廣泛應(yīng)用，生物識別技術(shù)黑色產(chǎn)業(yè)鏈條始見端倪，相關(guān)侵權(quán)行為的種類、數(shù)量及侵害程度同步遞增，個人信息保護(hù)不斷受到挑戰(zhàn)。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會于2021年4月23日、28日相繼發(fā)布了《信息安全技術(shù) 人臉識別數(shù)據(jù)安全要求》[3]《信息安全技術(shù) 步態(tài)識別數(shù)據(jù)安全要求》[4]《信息安全技術(shù) 聲紋識別數(shù)據(jù)安全要求》[5]《信息安全技術(shù) 基因識別數(shù)據(jù)安全要求》[6]四項征求意見稿，旨在保障大數(shù)據(jù)時代以面部特征信息、步態(tài)信息、聲紋信息、基因信息為代表的個人生物識別信息安全。在此背景下，有必要加快個人生物識別信息保護(hù)立法的步伐，從法律層面給予個人生物識別信息有力保障?；诖耍绾吾槍€人生物識別信息的特質(zhì)構(gòu)建其保護(hù)模式，規(guī)制個人生物識別信息的處理方式和范圍，從而維護(hù)個人信息權(quán)益與促進(jìn)信息技術(shù)發(fā)展之間的衡平，便成為理論和實務(wù)中亟待解決的首要問題。

一、個人生物識別信息的特質(zhì)及非法處理的風(fēng)險

(一)個人生物識別信息的特質(zhì)

2021年8月20日公布的《個人信息保護(hù)法》第28條第1款將個人生物特征納入敏感個人信息目錄。這一條款雖宣示著個人生物識別信息與自然人的種族、民族等同屬敏感個人信息之列，但個人生物識別信息仍具有不同于其他敏感個人信息的顯著特質(zhì)。

其一，個人生物識別信息具有唯一性。歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulations，GDPR)將個人生物識別數(shù)據(jù)定義為“通過對自然人的物理、生物或行為特征進(jìn)行特定技術(shù)處理而得到的個人數(shù)據(jù)。這類數(shù)據(jù)生成該自然人的唯一標(biāo)識，比如人臉圖像或指紋數(shù)據(jù)”。這一概念不僅明確了個人生物識別數(shù)據(jù)從屬于個人數(shù)據(jù)，并且強(qiáng)調(diào)了個人生物識別數(shù)據(jù)具有唯一標(biāo)識的特征。類似的立法例還有印度2019年的《個人數(shù)據(jù)保護(hù)法案》以及美國聯(lián)邦正在提案中的《消費者在線隱私權(quán)法》(Consumer Online Privacy Rights Act)等。以上法律規(guī)范所指的唯一性特質(zhì)具體體現(xiàn)在兩個方面，即個人生物識別信息本身唯一及識別對象唯一。首先，自然人的面部特征、指紋、虹膜等單個個人生物識別信息因其具有強(qiáng)烈的個人生物特征屬性且獨一無二，從同一個自然人處不可能獲取兩項完全相同的個人生物識別信息從而實現(xiàn)信息的相互替代。如果個人的信用卡或社會安全號碼被盜，他們有能力建立一個新的進(jìn)行替換，然而，人們無法替換被盜的指紋或DNA[7]。其次，單個個人生物識別信息所對應(yīng)的主體也是唯一的，這就意味著個人生物識別信息不需要與其他個人信息相結(jié)合便能實現(xiàn)信息與自然人的匹配，從而使得個人生物識別信息具備其他敏感個人信息所不具備的直接、單獨、準(zhǔn)確辨別自然人身份的功能[8]。對比之下，宗教、種族等其他敏感個人信息因相同信息大量存在，且通過該類信息不能單獨實現(xiàn)識別的匹配而不具有唯一性的特質(zhì)。

其二，個人生物識別信息具有不可更改性。不可更改性也可稱為穩(wěn)定性，指自然狀態(tài)下個人生物識別信息不會隨著時間的變化而變化，不能自我實現(xiàn)更新[9]。盡管個人生物識別信息有先天形成與后天形成之分[10]，但從根本上影響個人生物識別信息性質(zhì)及內(nèi)容的只有遺傳和環(huán)境兩項因素。因此，與財產(chǎn)信息、健康信息等其他敏感個人信息可通過修改而輕易實現(xiàn)信息的變更有所不同，自然人的面部特征、指紋、步態(tài)等個人生物識別信息或受限于繁瑣的基因排列，或受制于特定環(huán)境，其在自然狀態(tài)下是不可更改的。例如，自然人的DNA分子片段復(fù)雜組合形成基因信息，這些基因信息再決定著每個自然人特有的容貌，非經(jīng)特意處理，自然人的面部特征信息將持久處于穩(wěn)定不變的狀態(tài)。但需注意的是，此處的不可更改特指自然狀態(tài)下的不可更改，通過整容技術(shù)等物理處理當(dāng)然也可實現(xiàn)面部特征等個人生物識別信息的強(qiáng)制更改，但這種更改的代價是巨大的，自然人面臨的將是身份認(rèn)證等一系列與原有個人生物識別信息相關(guān)的程序操作的崩潰，在下文將進(jìn)行具體闡述。

(二)非法處理個人生物識別信息的風(fēng)險

生物識別數(shù)據(jù)對每個人來說都是永久和獨特的，這使得它成為非常敏感的個人信息[11]。個人生物識別信息的特質(zhì)在一定程度上決定了其一旦被非法處理，所造成的損害是不可逆的。這種不可逆的損害通常需要通過以下三個步驟得以實現(xiàn)。

一是個人生物識別信息被非法處理。對個人生物識別信息的非法處理集中在對個人生物識別信息的濫用之上，而信息的濫用又可以通過多種途徑實現(xiàn)。個人生物識別信息因其獨一無二、不可更改的特質(zhì)往往在保密、防偽活動中受到青睞，但這并不意味著其無法被偽造或復(fù)制。隨著AI、深度偽造技術(shù)的發(fā)展，面部特征信息、指紋、虹膜等可以通過臨摹復(fù)制達(dá)到以假亂真的效果[12]，加劇了個人生物識別信息在非法泄露后遭到濫用的可能。

二是通過個人生物識別信息關(guān)聯(lián)到其他個人信息。關(guān)聯(lián)其他個人信息是個人生物識別信息被非法處理后的必然結(jié)果。隨著未來網(wǎng)絡(luò)制式的不斷發(fā)展，萬物互聯(lián)是一定的[13]。個人生物識別信息作為自然人身份的代表性標(biāo)識，其本身可能并未承載商業(yè)價值，而其真正的價值在于通過該項信息關(guān)聯(lián)到對信息處理者有利的自然人的其他個人信息。例如，經(jīng)營者在特定的技術(shù)操作之下，利用智能換臉軟件能輕松通過用戶的人臉識別認(rèn)證，從而獲取消費者近期各項消費信息，為其量身定制廣告推銷服務(wù)。

三是造成不可逆的損害。個人生物識別信息被非法處理再經(jīng)過信息關(guān)聯(lián)后將造成永久的、不可消除的影響[14]。這是因為個人生物識別信息遭到非法處理時難以通過修改的方式進(jìn)行補(bǔ)救，而通過個人生物識別信息往往能夠挖掘到自然人更深層次的個人信息，自然人將被迫面臨著永久性放棄該項個人生物識別信息帶來的程序性便捷，抑或接受信息風(fēng)險進(jìn)而繼續(xù)使用的選擇。早在美國境內(nèi)于2008年頒布的首部保護(hù)個人生物識別信息的專門隱私法案，即伊利諾伊州《生物識別信息隱私法案》(Biometric Information Privacy Act，BIPA)便意識到了個人生物識別信息特質(zhì)背后的這些潛在風(fēng)險：“生物識別信息在生物學(xué)上為個體所獨有，受到危害時個人將面臨著極高的身份盜用風(fēng)險且難以進(jìn)行追索，并且可能被迫退出與之相關(guān)的交易?！币晾Z伊州《生物識別信息隱私法案》對非法處理個人生物識別信息所致風(fēng)險的闡釋可以說在一定程度上引導(dǎo)了后來各國對個人生物識別信息做出高于一般個人信息甚至高于其他敏感個人信息的立法保護(hù)。

二、個人生物識別信息的立法保護(hù)模式

個人生物識別信息因以上特質(zhì)而具有高度的敏感性，由此催生出強(qiáng)烈的個人生物識別信息保護(hù)需求。如何選取個人生物識別信息的保護(hù)模式以構(gòu)建個人生物識別信息處理準(zhǔn)則，是立法保護(hù)的先決性問題。

(一)形式上的保護(hù)模式：綜合立法保護(hù)與專門立法保護(hù)

盡管世界范圍內(nèi)對個人生物識別信息的法律定位尚存在不同認(rèn)知[15]，但已形成了其保護(hù)應(yīng)不同于一般個人信息保護(hù)的基本共識[16]。就立法形式上的保護(hù)模式而言，基于不同的立法理念、立法背景、法律傳統(tǒng)，目前主要存在綜合立法保護(hù)與專門立法保護(hù)兩種個人生物識別信息法律保護(hù)模式。

1.綜合立法保護(hù)模式

綜合立法保護(hù)模式，是指在綜合個人信息保護(hù)的統(tǒng)一法案中設(shè)置個人生物識別信息保護(hù)的特別條款，是集民法、刑法、行政法保護(hù)措施為一體的法律保護(hù)模式。當(dāng)前，大多數(shù)國家和地區(qū)均采用綜合立法保護(hù)模式，如歐盟《通用數(shù)據(jù)保護(hù)條例》、俄羅斯《個人資料法》、巴西《通用數(shù)據(jù)保護(hù)法案》等。其中，歐盟為綜合立法保護(hù)的典型代表，歐盟對包括生物特征數(shù)據(jù)在內(nèi)的個人數(shù)據(jù)采取嚴(yán)格的法律規(guī)制態(tài)度。歐盟《通用數(shù)據(jù)保護(hù)條例》第5條首先以原則性規(guī)定的方式對包括生物特征數(shù)據(jù)在內(nèi)的個人數(shù)據(jù)處理行為作了較大程度的限制，具體包括合法性、合理性、透明性原則，目的限制原則，數(shù)據(jù)最小化原則，準(zhǔn)確性原則等。在宏觀原則之下，歐盟《通用數(shù)據(jù)保護(hù)條例》單獨規(guī)定了生物特征數(shù)據(jù)相關(guān)概念并將其作為特殊類型的個人數(shù)據(jù)予以保護(hù)：原則上禁止處理包括生物識別數(shù)據(jù)在內(nèi)的特殊個人數(shù)據(jù)，同時作出9種情形下的例外規(guī)定，包括數(shù)據(jù)主體明示同意、維護(hù)公共利益等。此外，歐盟還規(guī)定了數(shù)據(jù)主體享有更正權(quán)、刪除權(quán)、攜帶權(quán)以及能夠單獨向監(jiān)管機(jī)構(gòu)提起司法訴訟等實質(zhì)性權(quán)益，并規(guī)定了基于物質(zhì)或非物質(zhì)損害可獲得民事賠償?shù)认鄳?yīng)司法救濟(jì)[17]?？傮w而言，以歐盟《通用數(shù)據(jù)保護(hù)條例》為代表的綜合立法保護(hù)模式以特殊數(shù)據(jù)保護(hù)制度為生物特征數(shù)據(jù)保護(hù)提供了有力保障，為后續(xù)立法提供了有益借鑒。深受歐盟影響，亞洲地區(qū)關(guān)于個人生物識別信息保護(hù)的立法也大多采用綜合立法的模式，開始使用“個人生物識別數(shù)據(jù)”的定義，并規(guī)定其適用敏感個人數(shù)據(jù)保護(hù)規(guī)則，同時規(guī)定相應(yīng)的訴訟救濟(jì)制度。

2.專門立法保護(hù)模式

專門立法保護(hù)模式，是指通過制定個人生物識別信息專門隱私法案對個人生物識別信息進(jìn)行保護(hù)，以美國各州為代表[18]。伊利諾伊州于2008年制定了全國首部《生物識別信息隱私法案》，德克薩斯州緊隨其后于2009年出臺了《生物特征隱私法》，此后，佛羅里達(dá)、紐約等州也制定了個人生物識別信息保護(hù)的專門法案。隨著個人生物識別信息保護(hù)專門立法的大范圍推進(jìn)，美國越來越多的地區(qū)已將獨立的個人生物識別信息保護(hù)法提上立法日程。聯(lián)邦層面也有所行動。參議院于2020年8月3日引入了Merkley提議的《國家生物識別信息隱私法案》(National Biometric Information Privacy Act)，并將其提交司法委員會。個人生物識別信息保護(hù)專門法案接踵而至，其背后是不斷涌現(xiàn)的個人生物識別信息保護(hù)現(xiàn)實問題及對生物識別技術(shù)規(guī)制的迫切需要。以上法案中，伊利諾伊州的《生物識別信息隱私法案》的影響最為深遠(yuǎn)，其通過規(guī)定與個人生物識別信息有關(guān)的核心法律概念，明確了權(quán)責(zé)關(guān)系、處理規(guī)范、監(jiān)管救濟(jì)等內(nèi)容，以達(dá)到規(guī)制私營企業(yè)的個人生物識別信息行為之目的。

近年來，以人臉識別技術(shù)為代表的個人生物識別信息處理技術(shù)不斷引起紛爭，美國在個人生物識別信息保護(hù)專門立法規(guī)制方面采取了新的轉(zhuǎn)向，即直接針對人臉識別技術(shù)的應(yīng)用制定專門法律規(guī)范。舊金山發(fā)布的《停止秘密監(jiān)視條例》(Stop Secret Surveillance Ordinance)即為直接規(guī)制政府部門采集面部特征信息的法案。薩默維爾市也通過了《人臉識別全面禁止條例》(Banning the Usage of Facial Technology Surveillance in Somerville)，宣告人臉識別技術(shù)下獲取自然人面部特征信息的行為是非法的。此外,聯(lián)邦層面也采取了相應(yīng)措施，從2019年度起，多部專門保護(hù)面部特征信息的法案被提交至參議院，其中，有現(xiàn)已通過審議的《商業(yè)面部識別隱私法案》(Commercial Facial Recognition Privacy Act of 2019)，以及正在審議中的《人臉識別道德使用法》(Moral Use of Face Recognition)等。該類法案雖規(guī)制對象特定，但實踐意義極強(qiáng)，對面部特征信息這類最具代表性的個人生物識別信息進(jìn)行單獨保護(hù)，能夠在一定程度上達(dá)到對個人生物識別信息保護(hù)較為理想的效果。

(二)實質(zhì)上的保護(hù)模式：附屬于敏感個人信息的保護(hù)與敏感個人信息基礎(chǔ)上的強(qiáng)化保護(hù)

無論是在綜合立法保護(hù)還是在專門立法保護(hù)模式之下，個人生物識別信息大都被納入敏感個人信息之列。然而，就實質(zhì)意義的具體制度規(guī)范來看，各個國家和地區(qū)對個人生物識別信息又存在保護(hù)力度的差別。以其他敏感個人信息保護(hù)強(qiáng)度為參照，可將個人生物識別信息保護(hù)分為附屬于敏感個人信息的保護(hù)與敏感個人信息基礎(chǔ)上的強(qiáng)化保護(hù)兩種模式。

1.附屬于敏感個人信息的保護(hù)模式

附屬于敏感個人信息的保護(hù)模式指個人生物識別信息適用敏感個人信息保護(hù)法律規(guī)范，使個人生物識別信息保護(hù)力度強(qiáng)于一般個人信息但無異于其他敏感個人信息保護(hù)。個人信息的敏感度用以描述個人信息泄露后對自然人的影響和損害程度[19]：敏感程度越高，個人信息泄露對自然人可能造成的損害程度和影響越大，反之則越小[20]。個人生物識別信息承載著人格尊嚴(yán)、隱私等重要價值，且有著彰顯自然人身份的核心功能，被視為“數(shù)字人格”的重要構(gòu)成部分。正是由于其與個人生理特征最為緊密，與人格利益息息相關(guān)，因而具有敏感性。鑒于此，對個人生物識別信息適用更為嚴(yán)格的敏感個人信息保護(hù)規(guī)則是大數(shù)據(jù)時代對個人生物識別信息進(jìn)行有益利用的必要前提。附屬于敏感個人信息的保護(hù)模式為大多數(shù)國家和地區(qū)的立法所采納，我國2021年8月公布的《個人信息保護(hù)法》第28條第1款將“個人生物特征”納入敏感個人信息目錄，明確個人生物識別信息的保護(hù)適用敏感個人信息保護(hù)的相關(guān)規(guī)定。除此之外，并無其他條款對個人生物識別信息的保護(hù)另作規(guī)定。在國際層面，多項法律規(guī)范也采取類似立法模式。歐盟《通用數(shù)據(jù)保護(hù)條例》第9條將“生物特征數(shù)據(jù)”納入特殊個人數(shù)據(jù)，使其保護(hù)附屬于特殊個人數(shù)據(jù)；印度頒布的《個人數(shù)據(jù)保護(hù)法案》也采用一般個人數(shù)據(jù)與特殊個人數(shù)據(jù)相區(qū)分的理念，將個人數(shù)據(jù)分為一般個人數(shù)據(jù)、敏感個人數(shù)據(jù)、關(guān)鍵個人數(shù)據(jù)三個層次，并以敏感個人數(shù)據(jù)處理規(guī)則規(guī)范個人生物識別信息的跨境傳輸、存儲等處理活動。

2.敏感個人信息基礎(chǔ)上的強(qiáng)化保護(hù)模式

敏感個人信息基礎(chǔ)上的強(qiáng)化保護(hù)模式即對個人生物識別信息的保護(hù)相較于其他敏感個人信息保護(hù)作了一定力度的提升，形成了相對獨立于敏感個人信息保護(hù)的狀態(tài)。2020年修訂的《信息安全技術(shù) 個人信息安全規(guī)范》在2017年版本的基礎(chǔ)上對個人生物識別信息保護(hù)作了進(jìn)一步規(guī)定。從敏感個人信息收集到公開披露的整個處理環(huán)節(jié)都嵌入個人生物識別信息保護(hù)的特殊條款。例如，于“收集使用個人信息時的授權(quán)同意”一節(jié)新增了收集個人生物識別信息的同意規(guī)則：收集個人生物識別信息不僅需滿足收集敏感個人信息的最基本要件，即征得個人信息主體的明示同意，還應(yīng)單獨向個人信息主體告知收集、使用個人生物識別信息的目的、范圍和方式，以及存儲時間等?？梢姡缎畔踩夹g(shù) 個人信息安全規(guī)范》雖將個人生物識別信息歸入敏感個人信息之列，但又另列條款對個人生物識別信息處理規(guī)則作特殊規(guī)定，使個人生物識別信息的保護(hù)力度明顯強(qiáng)于一般敏感個人信息。此即本文所指的敏感信息基礎(chǔ)上的強(qiáng)化保護(hù)模式。敏感個人信息基礎(chǔ)上的強(qiáng)化保護(hù)模式通過從敏感個人信息保護(hù)中獨立出個人生物識別信息保護(hù)，為其創(chuàng)設(shè)更為嚴(yán)密的保護(hù)規(guī)則以實現(xiàn)強(qiáng)化個人生物識別信息保護(hù)的宗旨。

實際上，這種保護(hù)模式在國際上最早可追溯至伊利諾伊州《生物識別信息隱私法案》。伊利諾伊州《生物識別信息隱私法案》于第15條“生物識別信息的保留、收集、披露、銷毀”中規(guī)定“存儲、傳輸和保護(hù)所有生物識別標(biāo)識符和生物識別信息不被披露的方式應(yīng)與私人實體存儲、傳輸和保護(hù)其他機(jī)密和敏感信息的方式相同或更具保護(hù)性”。該條款示意著個人生物識別信息有著受到更為嚴(yán)密保護(hù)的可能性。以伊利諾伊州《生物識別信息隱私法案》為藍(lán)本，美國參議院于2020年8月3日通過的由Sens.Jeff Merkley和Bernie Sanders提出的隱私保護(hù)提案《2020年國家生物識別信息隱私法案》同樣作出了類似規(guī)定。此外，俄國的《個人資料法》也將生物個人資料作為獨立的個人資料類型予以更加嚴(yán)格的法律調(diào)整[21]。

以上兩類保護(hù)模式是從不同分類視角對個人生物識別信息所作出的立法保護(hù)模式上的選擇。其中，綜合立法保護(hù)與專門立法保護(hù)的區(qū)分立足于形式意義上的保護(hù)模式，而敏感個人信息保護(hù)與敏感個人信息基礎(chǔ)上的強(qiáng)化保護(hù)模式的區(qū)分則立足于實質(zhì)意義上的保護(hù)力度。這兩類保護(hù)模式之間并非割裂的關(guān)系，相反，其因形式與實質(zhì)的區(qū)分標(biāo)準(zhǔn)并不互斥而能夠?qū)崿F(xiàn)保護(hù)模式的自由組合。

(三)我國個人生物識別信息保護(hù)模式的立法選擇：構(gòu)建相對獨立于敏感個人信息的專門立法保護(hù)模式

我國目前關(guān)于個人生物識別信息保護(hù)的法律規(guī)范十分有限且難以發(fā)揮實質(zhì)作用。相關(guān)規(guī)定主要散見于《民法典》《刑法》《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護(hù)法》等法律以及《征信業(yè)管理條例》《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》《信息安全技術(shù) 個人信息安全規(guī)范》等行政法規(guī)、規(guī)章、規(guī)范性文件或國家標(biāo)準(zhǔn)之中。從體系上看，現(xiàn)有法律規(guī)范過于碎片化，缺乏系統(tǒng)的保護(hù)機(jī)制。從實際效能上看，現(xiàn)有法律規(guī)范或因其規(guī)定過于籠統(tǒng)、概括而在應(yīng)對具體實踐問題之時捉襟見肘，或因其法律位階較低難以對個人生物識別信息進(jìn)行有力保護(hù)。2021年11月1日起生效的《個人信息保護(hù)法》也對個人生物識別信息保護(hù)作出了部分規(guī)定，但亦未能跳出以上局限?？傮w而言，我國個人生物識別信息的法律保護(hù)在一定程度上陷入了困境，基于補(bǔ)足相關(guān)法律空白的現(xiàn)實需要，對個人生物識別信息進(jìn)行立法保護(hù)已箭在弦上。

立法保護(hù)的第一階段即進(jìn)行保護(hù)模式的構(gòu)建。我國個人生物識別信息保護(hù)模式的構(gòu)建，應(yīng)綜合考量兩個角度之下四種立法模式的優(yōu)劣之處，在立法宗旨、規(guī)范體系、保護(hù)措施等方面實現(xiàn)揚(yáng)長避短。結(jié)合個人生物識別信息的特質(zhì)、個人生物識別技術(shù)應(yīng)用現(xiàn)狀及國際立法潮流，筆者認(rèn)為，我國宜采納專門立法模式并承認(rèn)個人生物識別信息保護(hù)的相對獨立性。

1.確立專門立法保護(hù)模式

在進(jìn)行個人生物識別信息的專門立法保護(hù)或綜合立法保護(hù)模式選擇時，應(yīng)具體考量以下因素。

其一，個人生物識別信息保護(hù)指向是否明確。綜合立法保護(hù)模式大多采用“定義+列舉”的方式界定個人生物識別信息，如判定某項個人信息是否能被歸入歐盟《通用數(shù)據(jù)保護(hù)條例》中的個人生物識別信息范圍之內(nèi)，僅能參照第4條第14款的描述性條款進(jìn)行檢驗，由此導(dǎo)致個人生物識別信息的外延在一定程度上難以確定。個人生物識別信息外延的含糊將成為阻礙其規(guī)則適用的最大障礙。不同于綜合立法保護(hù)模式下個人生物識別信息相關(guān)概念及規(guī)定的模糊性，美國州層面的專門立法都是通過具體列舉的方式明確其保護(hù)對象及范圍。其中，伊利諾伊州《生物識別信息隱私法案》的規(guī)定最為詳細(xì)，其通過明示列舉加排除的方式對“生物標(biāo)識”(biometric identifier)、“生物識別信息”(biometric information)、“機(jī)密敏感信息”(confidential and sensitive information)等概念進(jìn)行闡釋，明確了法律意義上個人生物識別信息的生成，為個人生物識別信息處理規(guī)則的適用劃定了明確的范圍。

其二，個人生物識別信息保護(hù)體系是否完備。綜合立法保護(hù)模式下，個人生物識別信息保護(hù)僅為個人信息保護(hù)的一個組成部分，個人信息保護(hù)范圍之寬泛使得個人生物識別信息保護(hù)略顯局限，尤其體現(xiàn)在粗放的保護(hù)規(guī)則之上。以歐盟《通用數(shù)據(jù)保護(hù)條例》為代表的綜合立法保護(hù)模式大都將個人生物識別信息納入敏感個人信息進(jìn)行保護(hù)，而敏感個人信息保護(hù)往往以原則性規(guī)定為主，未設(shè)計信息處理的具體規(guī)則[22]，因而難以實現(xiàn)對個人生物識別信息全面、實質(zhì)的保護(hù)。相反，專門立法保護(hù)模式下，美國各州制定的個人生物識別信息保護(hù)法案規(guī)定了更為全面、更為細(xì)化的個人生物識別信息保護(hù)規(guī)則，構(gòu)建了完備的個人生物識別信息保護(hù)體系。特別是伊利諾伊州《生物識別信息隱私法案》通過明確三大相對權(quán)責(zé)、三大禁止規(guī)范和豁免條款以及設(shè)置監(jiān)管機(jī)構(gòu)的方式，從多個角度為個人生物識別信息保護(hù)提供有力支持[2]。

其三，個人生物識別信息侵權(quán)救濟(jì)是否有保障。綜合立法保護(hù)模式下自然人面臨著個人生物識別信息民事訴訟的諸多挑戰(zhàn)，為其權(quán)利救濟(jì)帶來困難。首先，訴訟提起困難。個人生物識別信息的處理借助特定技術(shù)且主要針對網(wǎng)絡(luò)用戶群體，侵權(quán)對象具有規(guī)模性[23]。然而，受到訴訟成本、時間、地域等限制，權(quán)益受到侵犯的自然人往往難以提起訴訟。其次，責(zé)任認(rèn)定困難。綜合立法保護(hù)模式下適用過錯推定原則處理這類新興權(quán)益糾紛是主流趨勢[15]。而個人生物識別信息侵權(quán)行為有極強(qiáng)的“程序性違法”特點，并且其造成的損害通常不是有形的或者不是十分明顯。信息處理者很容易證明其在信息處理程序中無意導(dǎo)致?lián)p害，自然人也難以證實實質(zhì)損害，從而阻礙民事訴訟救濟(jì)的實現(xiàn)。對此，專門立法保護(hù)模式圍繞民事訴訟救濟(jì)進(jìn)行了嚴(yán)密的制度設(shè)計，確保自然人在個人生物識別信息遭到濫用時得到救濟(jì)保障。針對個人生物識別信息訴訟提起困難，美國各州積極推動“集體訴訟”(class actions)[24]。針對個人生物識別信息侵權(quán)的“程序性”特征，美國伊利諾伊州《生物識別信息隱私法案》規(guī)定因玩忽職守或故意、罔顧后果違反個人生物識別信息收集、保留、披露或銷毀規(guī)則的都應(yīng)承擔(dān)相應(yīng)責(zé)任，只是其賠償標(biāo)準(zhǔn)有所區(qū)分而已。此外，很多采用專門保護(hù)模式的立法例還在損害認(rèn)定方面作出了特殊規(guī)定。例如，適用伊利諾伊州《生物識別信息隱私法案》審理的羅森巴赫訴六旗娛樂公司(Rosenbach v. Six Flags Entertainment Corporation)一案確認(rèn)了原告無需證明“實際損害”也可獲得賠償?shù)囊?guī)則，從而使得自然人在個人生物識別信息權(quán)益受到侵害時能夠得到有效救濟(jì)。

可見，專門保護(hù)模式具有專屬的法律概念、完備的規(guī)范制度以及切實可行的司法救濟(jì)規(guī)則，且能夠根據(jù)個人生物識別信息的特性作出具體調(diào)整，針對性和操作性較強(qiáng)，因而具備綜合立法保護(hù)模式所不具備的優(yōu)勢。在個人生物識別信息權(quán)益侵權(quán)泛濫的背景下，專門保護(hù)模式應(yīng)當(dāng)成為我國個人生物識別信息保護(hù)立法的應(yīng)然選擇。

2.確立敏感個人信息基礎(chǔ)上的強(qiáng)化保護(hù)模式

就個人生物識別信息的實質(zhì)保護(hù)模式而言，附屬于敏感個人信息保護(hù)模式的困境在于忽視個人生物識別信息保護(hù)的特殊性。在個人生物識別信息與其他敏感個人信息的關(guān)系上，我們一方面應(yīng)看到個人生物識別信息與其他敏感個人信息的同一性；另一方面也應(yīng)看到其區(qū)別于其他敏感個人信息的特殊性[25]。因此，個人生物識別信息保護(hù)的制度構(gòu)建既應(yīng)考慮個人生物識別信息與其他敏感個人信息保護(hù)的共同性，也不可忽視與其他敏感個人信息保護(hù)的差異性。在附屬于敏感個人信息的保護(hù)模式之下，法律規(guī)范的保護(hù)對象為一定范圍內(nèi)多種類的個人信息，未能考慮個人生物識別信息保護(hù)應(yīng)具有的特殊性。這種特殊性集中體現(xiàn)于以下兩方面：首先，個人生物識別信息具有唯一性、不可更改性的特質(zhì)，非法處理的情形下會為自然人帶來不可逆的損害后果。非法處理其他敏感個人信息雖也存在造成自然人人身與財產(chǎn)重大損害的可能性，但尚未達(dá)到不可逆的程度。其次，個人生物識別信息具體應(yīng)用領(lǐng)域也不同于其他敏感個人信息。以面部特征信息為代表的個人生物識別信息因其能為反恐、打擊犯罪帶來收益而被廣泛用于維護(hù)國家安全[26]，這是其他敏感個人信息難以涉及的領(lǐng)域。

基于此，個人生物識別信息保護(hù)的具體規(guī)則應(yīng)與其他敏感個人信息保護(hù)規(guī)則有所區(qū)分。附屬于敏感個人信息的保護(hù)模式不能達(dá)到此效果，而敏感個人信息基礎(chǔ)之上的強(qiáng)化保護(hù)模式則基于個人生物識別信息本身的特殊性及應(yīng)用領(lǐng)域的不同，將個人生物識別信息保護(hù)與其他敏感個人信息保護(hù)作出了具體規(guī)則上的區(qū)分。在歐盟委員會最新發(fā)布的人工智能行業(yè)監(jiān)管草案中，人臉識別所基于的所有遠(yuǎn)距離生物識別系統(tǒng)均被劃入人工智能應(yīng)用風(fēng)險四個等級之中的“高風(fēng)險”區(qū)，違背生物識別行業(yè)監(jiān)管將受到人工智能領(lǐng)域最嚴(yán)的懲處[27]。遠(yuǎn)距離生物識別系統(tǒng)被劃入“高風(fēng)險”區(qū)，再次證實了個人生物識別技術(shù)濫用風(fēng)險不可估量，示意著個人生物識別信息受到單獨保護(hù)的需要。此外，中國信息通信研究院發(fā)布的《生物識別隱私保護(hù)研究報告(2020年)》指出，個人生物識別信息與個人身份高度綁定，且有不易變的特質(zhì)，生物識別信息的濫用將帶來嚴(yán)重的社會問題，呈現(xiàn)攻擊、深度偽造、算法缺陷等技術(shù)難題，更是加劇了生物識別隱私保護(hù)帶來的挑戰(zhàn)。報告同時指出，個人生物識別技術(shù)應(yīng)用場景趨向多元化，為不同行業(yè)、領(lǐng)域提供定制化的識別技術(shù)是生物識別技術(shù)未來的發(fā)展趨勢。但不同應(yīng)用場景對個人生物識別信息的保護(hù)需求存在差異，難以統(tǒng)一個人生物識別信息處理標(biāo)準(zhǔn)[28]。在此背景下，強(qiáng)化個人生物識別信息的保護(hù)力度不失為最穩(wěn)妥的做法。2020年，《信息安全技術(shù) 個人信息安全規(guī)范》將個人生物識別信息的同意要件從明示同意強(qiáng)化到單獨同意，增加了存儲要件，強(qiáng)化了披露規(guī)則。此次保護(hù)規(guī)則的強(qiáng)化既是基于其特質(zhì)的現(xiàn)實需要，同時順應(yīng)了世界生物識別產(chǎn)業(yè)革命的潮流，為我國個人生物識別信息保護(hù)立法提供了有益借鑒。

可見，涉及個人生物識別信息處理的問題往往具有較高的技術(shù)要求，僅僅將其附屬于敏感個人信息保護(hù)，依靠概括且有限的敏感個人信息保護(hù)規(guī)則難以應(yīng)對實踐中的法律難題。應(yīng)當(dāng)采取敏感個人信息基礎(chǔ)上的強(qiáng)化保護(hù)模式，將個人生物識別信息保護(hù)與敏感個人信息保護(hù)作出一定區(qū)分。對此，《信息安全技術(shù) 個人信息安全規(guī)范》雖創(chuàng)設(shè)了較為嚴(yán)密的個人生物識別信息保護(hù)規(guī)則，使個人生物識別信息相對獨立于敏感個人信息保護(hù)，但該規(guī)范終究僅為國家層面的推薦性標(biāo)準(zhǔn)，不具有強(qiáng)制效力[29]。我國未來個人生物識別信息保護(hù)立法應(yīng)以此為參照，制定法律位階較高的專門法律規(guī)范，同時在具體規(guī)則構(gòu)建中將其與敏感個人信息保護(hù)有所區(qū)分，體現(xiàn)對個人生物識別信息的單獨強(qiáng)化保護(hù)。

三、個人生物識別信息保護(hù)的具體制度構(gòu)建

在恰當(dāng)?shù)姆杀Ｗo(hù)模式之下還應(yīng)構(gòu)建適宜的具體制度規(guī)范，并通過創(chuàng)設(shè)具體的法律條文以落實個人生物識別信息保護(hù)。個人生物識別信息保護(hù)所涉范圍較廣，在明確我國采用敏感個人信息基礎(chǔ)上的專門立法保護(hù)模式的前提下，應(yīng)著重把握核心內(nèi)容，結(jié)合我國現(xiàn)實需要，創(chuàng)設(shè)實踐性、針對性較強(qiáng)的個人生物識別信息保護(hù)具體規(guī)范。

(一)確立個人生物識別信息保護(hù)的核心概念及宗旨

概念的明確程度將直接關(guān)系到法律規(guī)范邏輯的成立與具體規(guī)則的適用。個人生物識別信息處理規(guī)則具有相當(dāng)程度的嚴(yán)苛性，更應(yīng)對“個人生物識別信息”進(jìn)行嚴(yán)格的限定，劃定明確的個人生物識別信息保護(hù)范圍。專門立法模式下的法律規(guī)范大都明確了個人生物識別信息的外延。伊利諾伊州《生物識別信息隱私法》明確個人生物識別信息包括視網(wǎng)膜或虹膜掃描圖、指紋、聲紋、手或臉的結(jié)構(gòu)掃描。同時，列明個人生物識別信息不包括用于書寫樣本、書寫簽名、照片、用于有效科學(xué)測試或篩選的人口統(tǒng)計數(shù)據(jù)、紋身描述或身體描述。我國立法可借鑒該種肯定式列舉加排除的立法技術(shù)規(guī)定個人生物識別信息的概念，同時采納《信息安全技術(shù) 個人信息安全規(guī)范》附個人生物識別信息目錄的做法對個人生物識別信息的外延予以明確。與此同時，立法還需要確立諸如“個人生物識別信息主體”“個人生物識別信息處理者”“明示同意”“授權(quán)同意”“書面許可”等個人生物識別信息處理過程所涉及的核心概念。

此外，通過明確的法律條文確立平衡自然人權(quán)益保護(hù)與促進(jìn)生物識別產(chǎn)業(yè)健康發(fā)展的個人生物識別信息保護(hù)的立法宗旨也顯得十分必要。目前，我國規(guī)定個人生物識別信息保護(hù)的多數(shù)法律規(guī)范均缺少此條規(guī)定，包括規(guī)則最為完備的《信息安全技術(shù) 個人信息安全規(guī)范》也未曾提及個人生物識別信息保護(hù)的宗旨和規(guī)范依據(jù)。如何通過立法實現(xiàn)兩種價值的平衡，而不是一方絕對性地抑制另一方，是立法宗旨條文的重要價值[30]。未來，我國立法應(yīng)將個人生物識別信息的保護(hù)宗旨和立法依據(jù)作為重點規(guī)范內(nèi)容。

(二)構(gòu)建個人生物識別信息處理的特殊規(guī)則

個人信息保護(hù)經(jīng)歷了由權(quán)利化模式到行為規(guī)制模式的轉(zhuǎn)變[31]。行為規(guī)制模式即通過為信息處理者設(shè)定行為規(guī)范的方式構(gòu)建利益空間，為未上升為權(quán)利的法益提供適度且必要的保護(hù)[32]。個人生物識別信息是兼具個體性和公共性的戰(zhàn)略資源，其處理關(guān)涉多方利益[33]。個人生物識別信息處理行為紛繁復(fù)雜，僵化的措施難以實現(xiàn)對個人生物識別信息的有效保護(hù)，應(yīng)結(jié)合場景化理論，從信息的收集、利用、存儲三個方面入手為信息處理者設(shè)置相應(yīng)的行為規(guī)范，進(jìn)而構(gòu)建個人生物識別信息處理全周期的特殊規(guī)則[34]。鑒于本文采納敏感個人信息基礎(chǔ)上的強(qiáng)化保護(hù)模式，個人生物識別信息處理規(guī)則不僅應(yīng)滿足敏感個人信息處理的一般要求，還應(yīng)結(jié)合其特質(zhì)進(jìn)行特別規(guī)定。

收集是個人生物識別信息處理的起點。處理好個人生物識別信息的特別保護(hù)問題應(yīng)當(dāng)從信息收集開始就嚴(yán)加對待，從而避免個人生物識別信息被不當(dāng)收集后產(chǎn)生的一系列衍生問題。知情同意規(guī)則是個人信息保護(hù)的核心和基礎(chǔ)，是自然人信息自決的體現(xiàn)[35]。個人生物識別信息的特殊保護(hù)更應(yīng)強(qiáng)化收集階段的同意規(guī)則?！秱€人信息保護(hù)法》第29條規(guī)定，處理敏感個人信息需獲“單獨同意”；《信息安全技術(shù) 個人信息安全規(guī)范》第5.4條則規(guī)定，處理個人生物識別信息應(yīng)單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意。為適應(yīng)個人生物識別信息保護(hù)的特殊需求，同時為防止同意規(guī)則的虛設(shè)，應(yīng)當(dāng)對信息處理者設(shè)定告知義務(wù)，要求信息處理者在收集個人生物識別信息前進(jìn)行明確的目的、范圍、處理方式告知與風(fēng)險披露，并取得自然人的明示同意[36]。開發(fā)利用是最為重要的個人生物識別信息處理行為?；诜欠ㄌ幚韨€人生物識別信息的高風(fēng)險性，應(yīng)規(guī)定原則上不得開發(fā)利用個人生物識別信息，基于特定情形需要進(jìn)行開發(fā)利用的，其行為也應(yīng)合法、合目的且具有正當(dāng)性。其中，對“合法”應(yīng)采取廣義的理解，既不能違反法律、法規(guī)、規(guī)章等法律規(guī)范的規(guī)定，也不得違反自然人與信息處理者雙方的約定。對“合理”的解釋則應(yīng)靈活進(jìn)行，應(yīng)當(dāng)綜合考量個人生物識別信息的處理行為是否符合自然人預(yù)期，處理所引起的風(fēng)險是否能為自然人所接受，防止僵化地審視個人生物識別信息處理行為是否合理[37]。

存儲、披露是個人生物識別信息處理的后續(xù)階段。一旦發(fā)生個人生物識別信息的不當(dāng)泄露，不僅將招致自然人隱私及相關(guān)權(quán)益被侵犯，還可能危及公共安全。在這一階段必須采取最為嚴(yán)格的規(guī)制措施，加以最高程度的防范[38]。例如，規(guī)定原則上不得存儲個人生物識別信息，在特定情形下需要進(jìn)行存儲的，可附條件、附期限地對摘要信息進(jìn)行存儲并采取加密措施。自然人基于正當(dāng)理由在任何時候都有權(quán)拒絕信息存儲，且因存儲不當(dāng)造成信息泄露的，自然人有權(quán)向個人生物識別信息處理者要求賠償。最后還可以規(guī)定信息泄露后的報告義務(wù)作為兜底防范措施，在發(fā)生信息泄露的情況下，個人生物識別信息處理者應(yīng)及時告知自然人及監(jiān)管機(jī)構(gòu)，以便相關(guān)主體及時采取措施遏制信息傳播，降低個人生物識別信息泄露風(fēng)險。

(三)完善非法處理個人生物識別信息的權(quán)利救濟(jì)機(jī)制

個人生物識別信息民事救濟(jì)制度是自然人個人生物識別信息的最后保障，對此可采取完善集體訴訟制度、落實侵權(quán)責(zé)任等途徑對該制度進(jìn)行優(yōu)化。域外法律中的“集體訴訟”制度免去了自然人單獨訴訟的困難，使得“集體訴訟成員”的權(quán)益得到普遍保障，是個人生物識別信息民事權(quán)利救濟(jì)的有效路徑[39]。我國立法應(yīng)借鑒美國建立完備的集體訴訟制度，規(guī)定集體訴訟的先決條件及認(rèn)定標(biāo)準(zhǔn)，明確“集體訴訟”“集體訴訟成員”等相關(guān)概念，規(guī)定集體訴訟利益分配等。

在自然人訴訟權(quán)利得到保障的前提下，可確立恰當(dāng)?shù)臋?quán)益侵害歸責(zé)原則，并對個人生物識別信息侵權(quán)責(zé)任構(gòu)成要件進(jìn)行解釋，最后劃定損害賠償數(shù)額區(qū)間，在適宜的情形下還可要求懲罰性賠償。以此層層遞進(jìn)，構(gòu)建一套專屬于個人生物識別信息的侵權(quán)損害賠償救濟(jì)機(jī)制。

就歸責(zé)原則來說，《個人信息保護(hù)法》第69條明確規(guī)定侵害個人信息的歸責(zé)原則為過錯推定，相較于一審稿有了較大進(jìn)步，但在一定程度上也未實質(zhì)解決個人信息侵權(quán)認(rèn)定的難題。個人生物識別信息侵權(quán)認(rèn)定更需保護(hù)受害人的權(quán)益，未來專門立法可在此基礎(chǔ)上作進(jìn)一步的規(guī)定?？煽紤]過錯推定原則與無過錯責(zé)任原則的“二分法”思路。一方面，在處理主體方面可以進(jìn)行二分劃分，可借鑒我國臺灣地區(qū)相關(guān)規(guī)定，使公共機(jī)構(gòu)、非公共機(jī)構(gòu)分別承擔(dān)個人生物識別信息侵權(quán)的無過錯責(zé)任與過錯推定責(zé)任；另一方面，在處理行為方面也可以進(jìn)行二分劃分，可借鑒德國進(jìn)行自動化、非自動化技術(shù)處理的區(qū)分，采用自動化技術(shù)處理個人生物識別信息侵權(quán)的適用無過錯責(zé)任原則[40]。以此，可在一定程度上緩和由舉證責(zé)任帶來的個人生物識別信息侵權(quán)責(zé)任認(rèn)定困難的問題。

個人生物識別信息侵權(quán)責(zé)任構(gòu)成要件的解釋是責(zé)任認(rèn)定的核心環(huán)節(jié)，而構(gòu)成要件中應(yīng)著重解釋損害這一要件，突出非法處理個人生物識別信息造成損害的特殊性。非法處理個人生物識別信息造成的后果較其他敏感個人信息更為嚴(yán)重，因此，應(yīng)當(dāng)放低非法處理個人生物識別信息的損害認(rèn)定標(biāo)準(zhǔn)，確立較其他敏感個人信息更為容易的損害認(rèn)定規(guī)則?？梢?guī)定只要個人生物識別信息處理者具體的收集、處理、存儲等行為被認(rèn)定為非法處理即可推定該行為造成了損害。而如果個人信息處理者違反信息安全保障義務(wù)導(dǎo)致個人生物識別信息泄露的，即便該信息尚未被非法處理，法院也可以借鑒環(huán)境污染、貶值損失等領(lǐng)域中風(fēng)險即損害的適用規(guī)則，認(rèn)可未來損害的存在[41]。

若個人生物識別信息侵權(quán)責(zé)任成立，應(yīng)綜合各項因素對個人生物識別信息非法處理者的損害賠償責(zé)任進(jìn)行考量。在受害人不能獲完全賠償而侵權(quán)行為造成的影響過大時，可借鑒美國對非法處理個人生物識別信息的行為適用懲罰性賠償，規(guī)定適當(dāng)?shù)淖畹唾r償標(biāo)準(zhǔn)并參照認(rèn)定損害賠償時的各項因素酌情增加懲罰性賠償額。

四、結(jié) 語

生物識別技術(shù)的廣泛應(yīng)用加深了社會信息化的程度，其在為用戶帶來極大便捷的同時也存在一定產(chǎn)業(yè)亂象，進(jìn)而引發(fā)潛在或現(xiàn)實的應(yīng)用風(fēng)險，個人生物識別信息的法律保護(hù)問題應(yīng)受到足夠重視。當(dāng)前，歐美國家已經(jīng)積累了一定的立法經(jīng)驗，我國應(yīng)在借鑒比較法的基礎(chǔ)上有所創(chuàng)新，結(jié)合我國實際建立并完善我國個人生物識別信息保護(hù)制度。本文基于個人生物識別信息應(yīng)受到何種程度的保護(hù)之問題意識，以其特性及非法處理的風(fēng)險為切入點，對個人生物識別信息應(yīng)受到特殊保護(hù)的觀點進(jìn)行了論證。在此基礎(chǔ)上，對域外個人生物識別信息保護(hù)制度進(jìn)行考察，從形式與實質(zhì)兩個角度出發(fā)，作出我國個人生物識別信息保護(hù)立法模式的抉擇：構(gòu)建相對獨立于敏感個人信息的專門立法保護(hù)模式。專門性法律保護(hù)規(guī)范具有體系完備、操作性及針對性較強(qiáng)的優(yōu)點，應(yīng)為我國所采納，同時考慮個人生物識別信息特質(zhì)所帶來的極大風(fēng)險，在具體制度設(shè)計上，其保護(hù)力度相較于其他敏感個人信息應(yīng)有所加強(qiáng)。在保護(hù)模式之外，還應(yīng)進(jìn)行制度構(gòu)建，將保護(hù)落實到具體條文之上。首先，需明確個人生物識別信息保護(hù)的核心概念及宗旨以為信息處理行為提供確切的法律指引；其次，可以基于信息處理的生命周期構(gòu)建個人生物識別信息保護(hù)的特殊規(guī)則；最后，還應(yīng)完善非法處理個人生物識別信息的權(quán)利救濟(jì)機(jī)制。以此從核心概念到權(quán)利義務(wù)設(shè)計再到權(quán)利救濟(jì)，搭建起完備的個人生物識別信息保護(hù)體系。此外，考慮到個人生物識別信息蘊(yùn)含的法益保護(hù)內(nèi)容具有復(fù)合性、多元化特征，在保護(hù)規(guī)則設(shè)計之時，應(yīng)最大限度地實現(xiàn)個人權(quán)益保護(hù)與公共利益的衡平，才能使生物識別產(chǎn)業(yè)健康有序地發(fā)展，使生物識別技術(shù)的應(yīng)用為社會創(chuàng)造更大的價值。