大數(shù)據(jù)背景下個(gè)人生物識(shí)別信息安全的法律規(guī)制

吳小帥

(山東建筑大學(xué) 法學(xué)院，山東濟(jì)南 250101)

一、問(wèn)題的提出

在“數(shù)字中國(guó)”的發(fā)展浪潮中，多樣化的生物識(shí)別技術(shù)已被廣泛應(yīng)用，(1)早在2010年，國(guó)際電信聯(lián)盟(ITU-T)就發(fā)布了《生物識(shí)別技術(shù)與標(biāo)準(zhǔn)》的技術(shù)檢測(cè)報(bào)告，分析了通過(guò)強(qiáng)大的信息和通信技術(shù)使生物識(shí)別技術(shù)作為一種認(rèn)證主要形式的可能性。生物識(shí)別技術(shù)廣泛應(yīng)用于甄別(如刑事調(diào)查)、政府職能(如60多個(gè)國(guó)家發(fā)放的電子護(hù)照中包含生物信息)以及商業(yè)領(lǐng)域。人臉、指紋、聲紋、虹膜、DNA、靜脈模式、按鍵模式、步態(tài)甚至心率、掌部血管分布等都已經(jīng)成為重要的個(gè)人身份信息。與之相伴，個(gè)人生物信息在社會(huì)生活和公共服務(wù)中被濫用的事件層出不窮。(2)例如，2018年11月28日中國(guó)消費(fèi)者協(xié)會(huì)發(fā)布的《100款A(yù)pp個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》中顯示，多達(dá)91款A(yù)pp存在過(guò)度收集用戶(hù)個(gè)人信息的問(wèn)題，10款A(yù)pp涉嫌過(guò)度收集個(gè)人生物識(shí)別信息。2020年5月15日工業(yè)和信息化部組織第三方檢測(cè)機(jī)構(gòu)對(duì)手機(jī)應(yīng)用軟件進(jìn)行檢查，發(fā)現(xiàn)包括當(dāng)當(dāng)、好醫(yī)生、e代駕在內(nèi)的16種常用APP存在“私自收集個(gè)人信息”“超范圍收集個(gè)人信息”“私自共享給第三方”等問(wèn)題。司法實(shí)踐中，涉及侵犯?jìng)€(gè)人生物識(shí)別信息安全的案件也屢有發(fā)生。(3)例如，2018年，被告人梅某以“指紋模型”作為作弊工具進(jìn)行高考作弊，被濟(jì)南市歷城區(qū)人民法院以組織考試作弊罪定罪；2019年10月，原告郭某因不同意杭州野生動(dòng)物世界辦理年卡時(shí)進(jìn)行人臉識(shí)別而提起侵權(quán)訴訟，被稱(chēng)為“中國(guó)人臉識(shí)別第一案”；2019年12月，被告人賀某等三人被深圳南山區(qū)人民法院以實(shí)施以生殖為目的的人類(lèi)胚胎基因編輯和生殖醫(yī)療活動(dòng)為由判定構(gòu)成非法行醫(yī)罪，被稱(chēng)為全國(guó)首例“基因編輯嬰兒”案。隨著個(gè)人生物識(shí)別信息在科研、醫(yī)療、金融、司法等方面的廣泛使用，相關(guān)侵權(quán)和犯罪行為的種類(lèi)、數(shù)量和危害性也同步增加，侵害個(gè)人生物識(shí)別信息的方式更加復(fù)雜多樣化，生物識(shí)別技術(shù)已經(jīng)出現(xiàn)黑色產(chǎn)業(yè)鏈條，并呈現(xiàn)出團(tuán)隊(duì)發(fā)展的特點(diǎn)，法律監(jiān)管技術(shù)的難度更高，給個(gè)人信息安全、生命財(cái)產(chǎn)安全、社會(huì)治理安全甚至國(guó)家安全、政權(quán)穩(wěn)定帶來(lái)了巨大挑戰(zhàn)。個(gè)人生物識(shí)別信息已經(jīng)迎來(lái)需要法律深入介入的時(shí)刻。如何通過(guò)立法規(guī)制個(gè)人生物識(shí)別信息的使用范圍和標(biāo)準(zhǔn)，構(gòu)建個(gè)人生物識(shí)別信息的法律體系，在保障技術(shù)發(fā)展的同時(shí)又能保護(hù)個(gè)人信息，是理論研究和實(shí)務(wù)操作中亟待解決的重要問(wèn)題。

二、個(gè)人生物識(shí)別信息的特征及受害風(fēng)險(xiǎn)

(一)個(gè)人生物識(shí)別信息的法律屬性及特征

對(duì)于個(gè)人生物識(shí)別信息的法律屬性，我國(guó)目前相關(guān)立法中無(wú)明確界定。理論上生物信息屬于個(gè)人信息的組成部分，而我國(guó)現(xiàn)階段涉及個(gè)人信息保護(hù)的法律淵源基本上來(lái)自對(duì)隱私權(quán)的保護(hù)。2017 年《民法總則》中(第11條)規(guī)定了自然人的個(gè)人信息受法律保護(hù)，但并未明確提出“個(gè)人信息權(quán)”的法律概念，也未將“生物信息”作為特殊的個(gè)人信息加以特別說(shuō)明。2021年1月1日起實(shí)施的《民法典》將“個(gè)人信息”與“隱私權(quán)”并列作為“人格權(quán)編”的內(nèi)容，僅在第1034條對(duì)個(gè)人信息范圍的列舉中，提到了“生物識(shí)別信息”。學(xué)界有人主張將“個(gè)人信息(數(shù)據(jù))”作為一項(xiàng)獨(dú)立的人格權(quán)而對(duì)待，(4)有學(xué)者認(rèn)為傳統(tǒng)意義上的隱私權(quán)和一般人格權(quán)無(wú)法涵蓋民事主體的信息利益，信息權(quán)是新興的人格權(quán)，具有具體人格權(quán)的法律地位。參見(jiàn)王麗莎: 《信息權(quán)的獨(dú)立人格權(quán)地位及內(nèi)容》，載《國(guó)家檢察官學(xué)院學(xué)報(bào)》2016年第3期。有人則不主張將“個(gè)人信息權(quán)”作為一項(xiàng)獨(dú)立的個(gè)人權(quán)利而對(duì)待。(5)有學(xué)者認(rèn)為從數(shù)據(jù)主體角度看，基于個(gè)人信息的實(shí)質(zhì)利益可以納入民法的形式化權(quán)利體系，基于個(gè)人信息的權(quán)利屬于一般人格權(quán)。參見(jiàn)徐卓斌:《個(gè)人信息的民法保護(hù)路徑》，載《人民法院報(bào)》2018年9月 12日。個(gè)人隱私與個(gè)人信息在概念和范圍上有很大不同，隱私權(quán)在屬性上更是一種人身權(quán)，生物信息權(quán)則同時(shí)涵括人格權(quán)、國(guó)家安全、數(shù)據(jù)經(jīng)濟(jì)的發(fā)展等內(nèi)容權(quán)屬，兩者的法律定位和價(jià)值選擇不盡相同。個(gè)人生物識(shí)別信息具有信息和物質(zhì)的雙重屬性，兼具人格性和財(cái)產(chǎn)性。盡管對(duì)個(gè)人生物信息的定義有諸多爭(zhēng)議，但基本共識(shí)是：個(gè)人生物識(shí)別信息是指能夠單一或者組合之后識(shí)別特定個(gè)人的一切生物數(shù)據(jù)或信息，其識(shí)別性較之一般個(gè)人信息更加明確和唯一，屬于敏感信息的范疇。

基于此，個(gè)人生物識(shí)別信息具有不同于一般個(gè)人信息的顯著特征。第一，個(gè)人數(shù)據(jù)的唯一性。傳統(tǒng)個(gè)人信息如密碼可以隨時(shí)修改，泄露后也可更改，而個(gè)人生物識(shí)別信息具有唯一性，一旦泄露無(wú)法通過(guò)修改的方式彌補(bǔ)，屆時(shí)凡是與生物信息認(rèn)證相關(guān)的所有活動(dòng)都將永遠(yuǎn)退出，因此具有更大的風(fēng)險(xiǎn)和不確定性。具有唯一性的生物信息一旦被非法利用，還會(huì)導(dǎo)致大量深層信息被挖掘和曝光。第二，程序的識(shí)別性。傳統(tǒng)意義上的個(gè)人信息并不需要經(jīng)過(guò)計(jì)算機(jī)算法的鑒定與識(shí)別，而生物識(shí)別信息必須經(jīng)過(guò)計(jì)算機(jī)的相關(guān)生物識(shí)別程序的識(shí)別才能生成相關(guān)信息。例如人臉識(shí)別需要依靠識(shí)別程序?qū)Ρ粰z測(cè)的人臉進(jìn)行計(jì)算，確定出“代表人臉特定圖像的數(shù)字串”，然后人臉簽名在所存儲(chǔ)的用戶(hù)的“人臉模板”數(shù)據(jù)庫(kù)中運(yùn)行，查找匹配項(xiàng)，形成確定的數(shù)字身份。第三，信息的可復(fù)制性。隨著信息網(wǎng)絡(luò)技術(shù)的快速發(fā)展，個(gè)人生物識(shí)別信息可以在技術(shù)的支持下被模仿、復(fù)制甚至更改。如一般的人臉識(shí)別技術(shù)在進(jìn)行活體采集時(shí)規(guī)定動(dòng)作較少(眨眼、搖頭等動(dòng)作)，這些動(dòng)作均可以通過(guò)錄像或電腦模擬的方式做出，以達(dá)到規(guī)避驗(yàn)證進(jìn)入信息系統(tǒng)的效果；使用模仿生物識(shí)別特征的復(fù)制品如聲音信息可借助聲紋模擬器進(jìn)行物理復(fù)制，模擬出的聲音足以以假亂真，成為電信網(wǎng)絡(luò)詐騙的“利器”，即使用模仿生物識(shí)別特征的復(fù)制品可以繞過(guò)專(zhuān)業(yè)復(fù)雜的生物特征識(shí)別系統(tǒng)。(6)參見(jiàn)2019年7月《信息技術(shù) 安全技術(shù) 生物特征識(shí)別信息的保護(hù)要求(征求意見(jiàn)稿)》第4.1條。第四，損害的不可逆性。由于個(gè)人生物識(shí)別信息屬于敏感信息，其非法泄露和濫用會(huì)給信息主體造成不可逆轉(zhuǎn)和難以消除的侵害。正由于此種特性，國(guó)外立法和司法判例中往往不苛求生物信息人遭到現(xiàn)實(shí)的損害才可尋求法律救濟(jì)，而將可能發(fā)生的危險(xiǎn)作為認(rèn)定侵權(quán)或犯罪的條件。由于生物信息固有的獨(dú)特性和持久性的特點(diǎn)，可以假定在應(yīng)用中生物特征不可變，他們的攻擊可以對(duì)個(gè)體產(chǎn)生永久性的后果。(7)同③。第五，信息的關(guān)聯(lián)性。這里的關(guān)聯(lián)性是指生物信息與其他個(gè)人信息之間具有很強(qiáng)的關(guān)聯(lián)性。正如2019年6月國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)公布的《信息技術(shù) 安全技術(shù) 生物特征識(shí)別信息的保護(hù)要求(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)《生物特征識(shí)別信息的保護(hù)要求(征求意見(jiàn)稿)》)引言中提到，生物特征識(shí)別系統(tǒng)通常是將生物特征識(shí)別關(guān)聯(lián)信息與其他個(gè)人信息綁定在一起，以鑒別個(gè)人。在這種情況下，需要綁定來(lái)確保包含生物信息記錄的安全性。因此個(gè)人生物特征識(shí)別關(guān)聯(lián)信息與其他個(gè)人信息和跨區(qū)共享的聯(lián)系越來(lái)越多，關(guān)聯(lián)性特征使個(gè)人生物信息的識(shí)別性更加精準(zhǔn)復(fù)雜，也給技術(shù)合規(guī)和法律規(guī)制提出了更高的要求。

(二)個(gè)人生物識(shí)別信息的受害表現(xiàn)

第一，侵犯?jìng)€(gè)人隱私權(quán)。隱私權(quán)是個(gè)人信息承載的主要權(quán)利之一，而個(gè)人生物識(shí)別信息承載的是最為直接的個(gè)人隱私權(quán)內(nèi)容。人臉、聲紋、步態(tài)等大多數(shù)生物信息都可以通過(guò)隔空捕捉和網(wǎng)絡(luò)爬取數(shù)據(jù)等方法繞過(guò)個(gè)人知情同意而取得，無(wú)需經(jīng)信息所有人授權(quán)或超出用戶(hù)明確許可的收集目的范圍。在公共場(chǎng)所之中，信息所有人多數(shù)情況下并未明確獲知自己被技術(shù)監(jiān)控，也不會(huì)采取有效的防止措施(如戴口罩遮擋面部)來(lái)隱藏自己的生物特征，或者根本無(wú)法隱藏，這時(shí)就被認(rèn)為是主觀上就享有合理的隱私期待。(8)參見(jiàn)蔣潔：《人臉識(shí)別技術(shù)應(yīng)用的侵權(quán)風(fēng)險(xiǎn)與控制策略》，載《圖書(shū)與情報(bào)》2019年第5期。同時(shí)由于生物信息反應(yīng)了人體的生理狀況，透過(guò)生物信息數(shù)據(jù)可以分析出一個(gè)人的性別、年齡、健康狀況、身體缺陷、情緒變化等，這些都屬于個(gè)人隱私的重要內(nèi)容。因此，個(gè)人生物識(shí)別信息的技術(shù)管理控制者應(yīng)承擔(dān)更多的保護(hù)隱私之義務(wù)，尤其在商業(yè)利用中不得強(qiáng)迫接受多項(xiàng)業(yè)務(wù)功能，個(gè)人信息產(chǎn)品或服務(wù)對(duì)于個(gè)人生物識(shí)別信息的收集不得違背信息主體的自主意愿，更不得在信息主體不知情或明示反對(duì)的情況下進(jìn)行信息收集。若不能在信息采集這一初始階段充分保障信息所有人的基本隱私權(quán)，個(gè)人生物信息就可能被濫用到不法領(lǐng)域，侵害到信息所有人的人格尊嚴(yán)。國(guó)外關(guān)于生物識(shí)別信息的立法中對(duì)于隱私權(quán)的保護(hù)格外引人關(guān)注，如美國(guó)佛羅里達(dá)州的立法機(jī)構(gòu)于2019年2月提出了《生物特征信息隱私法》的草案中，對(duì)生物識(shí)別信息的主要定位即是隱私權(quán)。

第二，妨害個(gè)人平等權(quán)——生物歧視與不公。平等意味著相同對(duì)待和不受歧視，是公民享有的基本權(quán)利。生物識(shí)別的技術(shù)應(yīng)用過(guò)程包含芯片、算法、移動(dòng)終端、行業(yè)應(yīng)用、安全解決方案等眾多環(huán)節(jié)。技術(shù)的復(fù)雜導(dǎo)致泄露、濫用個(gè)人生物信息的形式也復(fù)雜多樣，不正當(dāng)競(jìng)爭(zhēng)和歧視事件屢有發(fā)生，信息識(shí)別的過(guò)程充斥著傲慢與偏見(jiàn)。加之相關(guān)行業(yè)標(biāo)準(zhǔn)和法律規(guī)定匱乏，技術(shù)監(jiān)管的難度較大，嚴(yán)重?fù)p害了用戶(hù)應(yīng)當(dāng)享有的平等權(quán)益。如在美國(guó)佛羅里達(dá)州邁阿密市的智能化治安監(jiān)控系統(tǒng)中，對(duì)于白種人的監(jiān)控力度和范圍較小，重點(diǎn)關(guān)注的對(duì)象是當(dāng)?shù)睾谌巳后w和西班牙移民群體，這一做法涉嫌種族歧視，而這通過(guò)技術(shù)手段完全可以實(shí)現(xiàn)。(9)參見(jiàn)方陵生：《臉部識(shí)別系統(tǒng)：個(gè)人隱私終結(jié)者》，載《世界科學(xué)》2015年第3期。我國(guó)擁有超過(guò)14億人口和56個(gè)民族，個(gè)人生物信息具有復(fù)雜性和多樣性，在使用中可能出現(xiàn)對(duì)于生物遺傳基因數(shù)據(jù)的濫用。誠(chéng)然，技術(shù)是中立的，因此需要法律規(guī)范加以引導(dǎo)和規(guī)制。

第三，侵害個(gè)人財(cái)產(chǎn)權(quán)。個(gè)人生物信息無(wú)論在科技還是人文領(lǐng)域都有較高的經(jīng)濟(jì)價(jià)值和財(cái)產(chǎn)利益。在大數(shù)據(jù)背景下，個(gè)人生物信息的交易已經(jīng)形成一定規(guī)模，各式各樣的商業(yè)利用使得個(gè)人生物識(shí)別信息具有某些財(cái)產(chǎn)屬性。實(shí)踐中對(duì)個(gè)人生物信息的過(guò)度收集、濫用、非法交易等均可能導(dǎo)致主體財(cái)產(chǎn)權(quán)遭受侵害。個(gè)人生物信息較早應(yīng)用在銀行客戶(hù)身份的人臉識(shí)別驗(yàn)證、出入境人臉識(shí)別以及刑事案件的身份核查中，然而實(shí)際生活中收集和使用個(gè)人生物信息十分隨意，如去藥店買(mǎi)藥需要進(jìn)行人臉識(shí)別(10)如廣西省某藥店在門(mén)口安裝有具有人臉識(shí)別功能的攝像頭，在會(huì)員進(jìn)入藥店的時(shí)候，攝像頭自動(dòng)拍照識(shí)別，電腦端自動(dòng)識(shí)別出會(huì)員，調(diào)出會(huì)員的詳細(xì)資料，在藥店購(gòu)買(mǎi)藥品的記錄，發(fā)送到店員手中移動(dòng)端手機(jī)上，店員可以先詢(xún)問(wèn)顧客之前購(gòu)買(mǎi)藥品的效果。、在公廁取廁紙需要人臉識(shí)別(11)如廣州部分景點(diǎn)公廁采用“人臉識(shí)別廁紙機(jī)”，市民只需要將臉部對(duì)準(zhǔn)機(jī)器上人臉識(shí)別的顯示屏，成功識(shí)別后，機(jī)器會(huì)提醒將手?jǐn)[放在出紙口。感應(yīng)到手在出紙口后，機(jī)器會(huì)緩緩“吐出”一段長(zhǎng)為90厘米的廁紙。工作人員稱(chēng)個(gè)人數(shù)據(jù)機(jī)器一周自動(dòng)刪除一次，手動(dòng)則隨時(shí)刪除，但不少人仍擔(dān)心數(shù)據(jù)會(huì)造成隱私外泄。系統(tǒng)并不安全，如換了站姿或用打印的照片也可以取紙。參見(jiàn)郭展鵬：《廣州：部分景點(diǎn)公廁采用“人臉識(shí)別廁紙機(jī)”》，載《信息時(shí)報(bào)》2019年10月20日。，而人臉數(shù)據(jù)的存儲(chǔ)方式、管理方法、刪除時(shí)間等問(wèn)題卻沒(méi)有說(shuō)明。不法分子在第一次獲取信息后可能進(jìn)行二次非法交易以獲得財(cái)產(chǎn)利益。

三、我國(guó)個(gè)人生物識(shí)別信息的法律規(guī)制現(xiàn)狀及主要問(wèn)題

(一)規(guī)范現(xiàn)狀

目前我國(guó)的法律體系中沒(méi)有專(zhuān)門(mén)針對(duì)生物識(shí)別信息的保護(hù)及規(guī)范立法。對(duì)個(gè)人生物識(shí)別信息的規(guī)制保護(hù)散見(jiàn)于不同層級(jí)的法律規(guī)范中，實(shí)體法和程序法兼而有之，多數(shù)以間接保護(hù)的方式規(guī)定。(12)我國(guó)《憲法》規(guī)定：“國(guó)家尊重和保障人權(quán)”“公民的人格尊嚴(yán)不受侵犯”“公民享有通信自由和通信秘密的權(quán)利”“公民住宅不受侵犯” 等；《民法通則》 在人身權(quán)編規(guī)定“公民的人格尊嚴(yán)受法律保護(hù)”；《刑法》規(guī)定“非法搜查他人身體、住宅，或者非法侵入他人住宅”“侵犯公民通信自由”等為犯罪行為；《民事訴訟法》規(guī)定“對(duì)涉及個(gè)人隱私的案件應(yīng)當(dāng)不公開(kāi)審理”；《刑事訴訟法》規(guī)定“涉及個(gè)人隱私的案件不公開(kāi)審理”。 此外，在《婦女權(quán)益保護(hù)法》《執(zhí)業(yè)醫(yī)師法》《郵政法》《商業(yè)銀行法》《律師法》《檔案法》等也有間接規(guī)定。具體而言：

一是法律在個(gè)別條文中涉及到個(gè)人生物識(shí)別信息的內(nèi)容并加以保護(hù)。如《民法典》(第1034-1039條)、《刑法》(第286條)、《居民身份證法》(第306條)、《消費(fèi)者權(quán)益保護(hù)法》(第14條)的相關(guān)規(guī)定。其中，《身份證法》中明確提到了指紋信息，《網(wǎng)絡(luò)安全法》中專(zhuān)章對(duì)網(wǎng)絡(luò)信息安全保護(hù)進(jìn)行規(guī)定，內(nèi)容均適用于個(gè)人生物信息的保護(hù)。

二是規(guī)范性文件中對(duì)于個(gè)人生物信息的規(guī)定。如2012年《全國(guó)人大關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，2013年《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》，2013年工業(yè)和信息化部頒布的《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》，2016年12月國(guó)家衛(wèi)生和計(jì)劃生育委員會(huì)頒布實(shí)施的《涉及人的生物醫(yī)學(xué)研究倫理審查辦法》，2019年10月國(guó)家互聯(lián)網(wǎng)信息辦頒布的《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》等。

三是行政機(jī)關(guān)和特定行業(yè)規(guī)范中對(duì)于個(gè)人生物識(shí)別信息的規(guī)定。這些規(guī)定以不同方式對(duì)行政機(jī)關(guān)、事業(yè)單位以及各類(lèi)網(wǎng)絡(luò)服務(wù)提供者作出了義務(wù)性規(guī)定，要求它們?cè)趯?duì)公民個(gè)人信息收集、使用等活動(dòng)中遵循合法、正當(dāng)?shù)纫话阍瓌t。如公安機(jī)關(guān)對(duì)提供指紋等個(gè)人信息的規(guī)定、(13)《公安機(jī)關(guān)指紋信息工作規(guī)定》第4條規(guī)定，“未經(jīng)縣級(jí)以上公安機(jī)關(guān)負(fù)責(zé)人批準(zhǔn)，不得向公安機(jī)關(guān)以外的單位或者個(gè)人提供指紋信息和其他相關(guān)信息”。安保服務(wù)的管理規(guī)定、(14)《保安服務(wù)管理?xiàng)l例》第37條規(guī)定，公安機(jī)關(guān)建立保安服務(wù)監(jiān)督管理信息系統(tǒng)，記錄保安從業(yè)單位、保安培訓(xùn)單位和保安員的相關(guān)信息，并對(duì)提取、留存的保安員指紋等生物信息予以保密。征信行業(yè)個(gè)人生物信息收集的規(guī)定(15)《征信業(yè)管理?xiàng)l例》第14條規(guī)定，禁止征信機(jī)構(gòu)采集個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息。等，但這類(lèi)規(guī)定的涵蓋范圍比較有限。目前對(duì)個(gè)人生物識(shí)別信息規(guī)定較全的是在2018年5月開(kāi)始實(shí)施并在2019年進(jìn)行修改的《信息安全技術(shù)個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱(chēng)《個(gè)人信息安全規(guī)范》)。受制定主體和位階的限制，《個(gè)人信息安全規(guī)范》多從技術(shù)層面規(guī)制信息采集使用的規(guī)范做法，而對(duì)于個(gè)人生物信息的隱私權(quán)、知情權(quán)等內(nèi)容的保護(hù)缺乏制度上的規(guī)制。此外，還有一系列涉及公共安全領(lǐng)域生物識(shí)別的技術(shù)標(biāo)準(zhǔn)，(16)我國(guó)2018 年發(fā)布涉及公共安全領(lǐng)域生物特征識(shí)別標(biāo)準(zhǔn)，包括 GB/T 35742-2017《公共安全 指靜脈識(shí)別應(yīng)用 圖像技術(shù)要求》、GB/T 35676-2017《公共安全 指靜脈識(shí)別應(yīng)用 算法識(shí)別性能評(píng)測(cè)方法》、GB/T 35736-2017《公共安全 指紋識(shí)別應(yīng)用 圖像技術(shù)要求》、GB/T 35735-2017《公共安全 指紋識(shí)別應(yīng)用 采集設(shè)備通用技術(shù)要求》、GB/T 35678-2017《公共安全 人臉識(shí)別應(yīng)用 圖像技術(shù)要求》等。2019年1月，支付寶牽頭制定編號(hào)為 ISO/IEC27553《移動(dòng)設(shè)備生物特征識(shí)別身份認(rèn)證安全要求》是我國(guó)基于生物識(shí)別身份認(rèn)證領(lǐng)域首個(gè) ISO國(guó)際標(biāo)準(zhǔn)。因此，生物信息安全的法律法規(guī)分散多樣，體系尚未成型。

與生物信息安全密切相關(guān)的立法已經(jīng)緊鑼密鼓地開(kāi)展并初見(jiàn)成果，《民法典》人格權(quán)編中將個(gè)人信息權(quán)屬界定為人格權(quán)并加以明確保護(hù)，《生物安全法》的起草制定加快了構(gòu)建國(guó)家生物安全法律法規(guī)體系和制度保障體系的步伐；2020年6月《數(shù)據(jù)安全法》提交十三屆全國(guó)人大常委會(huì)第十二次會(huì)議審議；2020年10月《個(gè)人信息保護(hù)法(草案)》首次提請(qǐng)全國(guó)人大常委會(huì)審議。除了立法外，相關(guān)部門(mén)和機(jī)構(gòu)也頒布實(shí)施了諸多個(gè)人信息保護(hù)的國(guó)家行業(yè)標(biāo)準(zhǔn)，規(guī)定了個(gè)人生物識(shí)別信息的收集和使用的具體標(biāo)準(zhǔn)?！渡锾卣髯R(shí)別信息的保護(hù)要求(征求意見(jiàn)稿)》較為細(xì)致地規(guī)定了生物特征識(shí)別信息的安全保護(hù)要求。2020 年3月6日《個(gè)人信息安全規(guī)范》進(jìn)行了修改，2020年10月1日正式實(shí)施，細(xì)化與完善了個(gè)人生物識(shí)別信息在收集、存儲(chǔ)和共享三個(gè)方面的保護(hù)要求，對(duì)于生物識(shí)別技術(shù)的合規(guī)使用具有重要的指引作用。

(二)主要問(wèn)題

1.個(gè)人生物識(shí)別信息的法源位階較低且內(nèi)容分散。當(dāng)前法律法規(guī)對(duì)于個(gè)人生物識(shí)別信息的保護(hù)并未突破一般個(gè)人信息的保護(hù)界限和力度。現(xiàn)行可以援引的法律規(guī)范中關(guān)于生物信息保護(hù)的內(nèi)容非常有限且法出多門(mén)，如《信息安全技術(shù)個(gè)人信息安全規(guī)范》由全國(guó)信息標(biāo)準(zhǔn)化委員會(huì)制定，《生物特征識(shí)別信息的保護(hù)要求(征求意見(jiàn)稿)》由國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布。盡管這兩項(xiàng)規(guī)范涉及生物識(shí)別信息的內(nèi)容較多，但層次較低，無(wú)法在較大程度上滿足法律規(guī)制的目的。受立法權(quán)限范圍限制，對(duì)于隱私權(quán)保護(hù)、知情同意、財(cái)產(chǎn)利益等涉及人的權(quán)利內(nèi)容缺失，而這些恰恰是個(gè)人生物識(shí)別信息權(quán)利保護(hù)的重要內(nèi)容。另外，我國(guó)目前沒(méi)有關(guān)于個(gè)人生物識(shí)別信息的基本普通法，甚至沒(méi)有正式出臺(tái)個(gè)人信息保護(hù)法，相關(guān)條文分布零散，沒(méi)有以法律為依據(jù)的下位法，各法之間相互銜接松散。因此，立足于調(diào)整基于個(gè)人生物識(shí)別信息而發(fā)生的社會(huì)關(guān)系的法律，建立有層次有系統(tǒng)的配套性法律體系已迫在眉睫。

2.個(gè)人生物識(shí)別信息的分類(lèi)界定不明?！秱€(gè)人信息安全規(guī)范》將個(gè)人信息分為敏感信息和一般信息，這也是區(qū)分法律保護(hù)力度的標(biāo)準(zhǔn)。然而其中對(duì)于劃分標(biāo)準(zhǔn)的確定并不十分明確，如其將個(gè)人生物識(shí)別信息定義為個(gè)人敏感信息，同時(shí)又將其列入個(gè)人信息(一般信息)，則敏感信息和一般信息之間是并列關(guān)系還是種屬包含關(guān)系規(guī)定不清。之后對(duì)信息利用的各個(gè)環(huán)節(jié)的規(guī)定主要是針對(duì)一般信息的界定，只在特殊地方專(zhuān)門(mén)標(biāo)注了個(gè)人敏感信息的適用標(biāo)準(zhǔn)，此舉應(yīng)當(dāng)是將敏感信息作為一般信息中的特殊內(nèi)容進(jìn)行規(guī)定的，這與理論上慣常將兩者作為個(gè)人信息并列類(lèi)型的認(rèn)知相沖突。

3.個(gè)人生物識(shí)別信息保護(hù)范圍較為狹窄。 現(xiàn)行法律對(duì)于多種個(gè)人生物識(shí)別信息保護(hù)的理念主要立足于隱私權(quán)之上的人格權(quán)保護(hù)，忽視了對(duì)于財(cái)產(chǎn)權(quán)益的保護(hù)?，F(xiàn)有明確提出保護(hù)的主要限于指紋信息，而對(duì)于虹膜、人臉、聲紋、步態(tài)等其他個(gè)人信息均未提及，而以籠統(tǒng)的“生物識(shí)別信息”代替。在保護(hù)的規(guī)則設(shè)計(jì)中，主要是原則性地規(guī)定了使用中的保密要求和收集中的禁止性要求，對(duì)于個(gè)人生物信息的完整性要求、可更新與可撤銷(xiāo)的條件、生物識(shí)別信息受損之后的更改以及生物信息的廢棄等問(wèn)題均未作規(guī)定。針對(duì)生物識(shí)別信息的安全威脅和被濫用的風(fēng)險(xiǎn)規(guī)定闕如。《生物特征識(shí)別信息的保護(hù)要求(征求意見(jiàn)稿)》6.3中規(guī)定，“作為一種個(gè)人信息，生物特征信息的收集、轉(zhuǎn)讓、使用、存儲(chǔ)和處置受各種個(gè)人信息保護(hù)的法律和法規(guī)管轄。生物特征識(shí)別技術(shù)的所有部署應(yīng)該是按照所有適用的法律法規(guī)執(zhí)行”，可見(jiàn)生物識(shí)別信息技術(shù)方面的細(xì)化部署需要高位階的法律法規(guī)作為前提和指引，否則單純技術(shù)性規(guī)定不足以全面將保護(hù)措施落地。

4.個(gè)人生物識(shí)別信息財(cái)產(chǎn)權(quán)利保護(hù)邊界不清。既有法律規(guī)定對(duì)于侵犯?jìng)€(gè)人生物信息的責(zé)任規(guī)定較為籠統(tǒng)，實(shí)踐中缺乏操作性的細(xì)化標(biāo)準(zhǔn)，因此一般侵犯?jìng)€(gè)人生物識(shí)別信息的行為都會(huì)參照《侵權(quán)行為法》(2021年之后參照《民法典》第七編)的相關(guān)規(guī)定處理，其中責(zé)任的承擔(dān)方式之一即是財(cái)產(chǎn)賠償。然而由于個(gè)人生物識(shí)別信息一般被當(dāng)作具有人格權(quán)屬的物品，其財(cái)產(chǎn)價(jià)值不好估算，故信息主體通過(guò)侵權(quán)責(zé)任而獲得賠償?shù)碾y度很大。生物識(shí)別信息屬于個(gè)人信息的一種，可以按照關(guān)于個(gè)人信息授權(quán)和同意的規(guī)定而產(chǎn)生的經(jīng)濟(jì)利益，而法律未明確承認(rèn)生物識(shí)別信息的財(cái)產(chǎn)權(quán)益。隨著計(jì)算機(jī)信息技術(shù)的不斷發(fā)展，物質(zhì)的載體不斷豐富，財(cái)產(chǎn)的范圍不斷擴(kuò)大，信息的財(cái)產(chǎn)化將有助于反映和控制信息傳播的復(fù)雜過(guò)程。(17)參見(jiàn)金華、陳平凡：《云計(jì)算法律問(wèn)題研究》，法律出版社2012年版，第292頁(yè)。

5.個(gè)人生物識(shí)別信息主體的權(quán)利救濟(jì)缺乏相應(yīng)法律機(jī)制?，F(xiàn)行法律針對(duì)侵犯?jìng)€(gè)人生物識(shí)別信息行為一般均有責(zé)任條款規(guī)定，但違法行為人法律責(zé)任的主要表現(xiàn)為行政責(zé)任，刑事責(zé)任發(fā)揮作用有限?！缎谭ā返?87條侵犯公民個(gè)人信息罪的規(guī)定具體定罪量刑標(biāo)準(zhǔn)不明確，一些法律適用問(wèn)題存在爭(zhēng)議。之后最高人民法院和最高人民檢察院相繼出臺(tái)關(guān)于第287條的司法解釋?zhuān)鞔_了侵犯公民個(gè)人信息罪的定罪量刑標(biāo)準(zhǔn)和刑事政策問(wèn)題，但依然粗疏籠統(tǒng)?！毒W(wǎng)絡(luò)安全法》中對(duì)于侵犯網(wǎng)絡(luò)信息安全的責(zé)任，主要包括有關(guān)主管部門(mén)責(zé)令改正、警告、沒(méi)收違法所得、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照等行政處罰措施?？梢?jiàn)，大部分侵害個(gè)人生物識(shí)別信息的行為均以行政責(zé)任為制裁方式，懲治力度不夠，政府和相關(guān)機(jī)構(gòu)的責(zé)權(quán)利界分不清，行政處罰與刑法之間銜接不暢，不足以遏制違法行為的發(fā)生，法律保護(hù)邊界和處罰依據(jù)亟需厘清。

四、我國(guó)個(gè)人生物識(shí)別信息安全的法律規(guī)則原則和模式選擇

現(xiàn)行立法的缺失、混亂、不明等問(wèn)題直接導(dǎo)致了竊取、濫用或泄露個(gè)人生物識(shí)別信息的行為無(wú)法得到法律的及時(shí)有效規(guī)制，不僅不利于個(gè)人生物信息安全的保護(hù)，也限制了生物信息產(chǎn)業(yè)的發(fā)展。當(dāng)前亟需加快完善關(guān)于生物識(shí)別信息保護(hù)與利用之法律制度進(jìn)程。

(一)法律規(guī)制原則

個(gè)人生物識(shí)別信息所承載的人格利益價(jià)值、商業(yè)價(jià)值和社會(huì)價(jià)值之間的衡平是立法面臨的價(jià)值選擇。人格利益體現(xiàn)了生物信息主體的個(gè)人尊嚴(yán)，商業(yè)價(jià)值反映了作為理性經(jīng)濟(jì)人的正常選擇，社會(huì)價(jià)值彰顯了社會(huì)整體利益的需求。三種價(jià)值的沖突不僅因?yàn)椴煌黧w追求利益的天然差異，也源于外在規(guī)制體系的不完善。“數(shù)據(jù)生態(tài)圈”的動(dòng)態(tài)平衡需要法律和制度的引領(lǐng)和保障，而制度的設(shè)計(jì)離不開(kāi)立法原則的價(jià)值指引。

第一，私法與公法雙重保護(hù)原則。個(gè)人生物信息立法的目的之一是為了實(shí)現(xiàn)生物信息的有序共享，有序意味著使用個(gè)人生物信息必須有度，不得侵犯?jìng)€(gè)人隱私，共享意味著一定程度和范圍內(nèi)為了社會(huì)秩序和公共安全而使用個(gè)人生物信息。因此，在個(gè)人生物信息的保護(hù)上，應(yīng)當(dāng)從私法和公法兩方面同時(shí)保護(hù)、共同作用。私法保護(hù)主要傾向于個(gè)人生物信息作為財(cái)產(chǎn)屬性的商業(yè)利用價(jià)值和財(cái)產(chǎn)收益，公法保護(hù)則主要側(cè)重于政府和公共機(jī)構(gòu)對(duì)個(gè)人生物信息收集和使用的限制問(wèn)題。有學(xué)者提出“對(duì)個(gè)人信息進(jìn)行分場(chǎng)景化保護(hù)”的觀點(diǎn)，即“在體現(xiàn)私主體利益的場(chǎng)景下，宜通過(guò)私法邏輯保護(hù)個(gè)人信息，而在體現(xiàn)公共利益的場(chǎng)景下，……應(yīng)采用公法框架規(guī)制個(gè)人信息的共享使用中的法律風(fēng)險(xiǎn)，……實(shí)現(xiàn)了個(gè)人信息保護(hù)從自主支配到有序共享的邏輯轉(zhuǎn)換”。(18)參見(jiàn)劉艷紅：《公共空間運(yùn)用大規(guī)模監(jiān)控的法理邏輯及限度——基于個(gè)人信息有序共享之視角》，載《法學(xué)論壇》2020年第2期。

第二，狹義的比例原則。比例原則是行政法中的重要原則，后逐漸擴(kuò)展成為經(jīng)濟(jì)法、民法領(lǐng)域的原則。通說(shuō)認(rèn)為，比例原則包含適當(dāng)性原則、必要性原則和狹義比例原則三個(gè)子原則。狹義比例原則又稱(chēng)作相稱(chēng)性原則或均衡原則，其精髓在于對(duì)手段與目的之間關(guān)聯(lián)進(jìn)行動(dòng)態(tài)考量。目的正當(dāng)是手段正當(dāng)化的前提，手段正當(dāng)又能保證目的正當(dāng)化的實(shí)現(xiàn)。個(gè)人生物識(shí)別信息在風(fēng)險(xiǎn)時(shí)代、數(shù)字時(shí)代的運(yùn)用顯然需要實(shí)現(xiàn)多元價(jià)值和利益的衡平，以最終尋求手段與目的價(jià)值取向上的趨近。個(gè)人生物識(shí)別信息隨著數(shù)據(jù)科技的高速發(fā)展?jié)u趨復(fù)雜，數(shù)據(jù)信息的占有、共享、轉(zhuǎn)讓等產(chǎn)生的法律關(guān)系層出不窮，狹義比例性原則強(qiáng)調(diào)利益之間的衡量，能為抽象法律原則發(fā)揮作用提供標(biāo)準(zhǔn)。

第三，預(yù)防與救濟(jì)并重的原則。在個(gè)人生物信息立法中，不僅應(yīng)當(dāng)重點(diǎn)涵蓋個(gè)人信息應(yīng)用及保護(hù)的內(nèi)容，而且應(yīng)當(dāng)注重預(yù)防措施的規(guī)定。預(yù)防理念應(yīng)當(dāng)貫穿于個(gè)人生物識(shí)別信息立法的始終，預(yù)防措施是立法的重要組成部分。如在個(gè)人生物識(shí)別信息的收集方面明確地規(guī)定信息收集的合法性、合目的性，即從信息產(chǎn)生初始就進(jìn)行預(yù)防，之后在信息的使用、存儲(chǔ)、刪除及監(jiān)管方面的規(guī)定也要體現(xiàn)預(yù)防的理念。同時(shí)，個(gè)人生物識(shí)別信息的立法也需要規(guī)定健全的責(zé)任承擔(dān)方式和救濟(jì)措施，做到預(yù)防和救濟(jì)并重。

(二)法律規(guī)制模式選擇

世界各國(guó)對(duì)生物識(shí)別信息保護(hù)有專(zhuān)門(mén)立法保護(hù)模式和綜合立法保護(hù)模式兩種。(19)參見(jiàn)付微明：《個(gè)人生物識(shí)別信息的法律保護(hù)模式與中國(guó)選擇》，載《華東政法大學(xué)學(xué)報(bào)》2016年第6期。前者是通過(guò)專(zhuān)項(xiàng)立法對(duì)個(gè)人生物識(shí)別信息權(quán)利進(jìn)行法律保護(hù)的模式，典型代表是美國(guó)多個(gè)州頒布的生物識(shí)別信息隱私法案。(20)最為典型的是2008年美國(guó)伊利諾伊州頒布的《生物信息隱私法案》(Biometric Information Privacy Act，簡(jiǎn)稱(chēng)“BIPA”，這是美國(guó)境內(nèi)首部規(guī)制生物識(shí)別技術(shù)的法案。該法案對(duì)具體的三種利用生物信息的類(lèi)型進(jìn)行了規(guī)制：一是初始收集個(gè)人生物信息時(shí)，需告知信息主體被收集的生物信息內(nèi)容、收集后的利用方式、目的以及該生物信息的保留時(shí)間，且規(guī)定未經(jīng)信息主體的書(shū)面授權(quán)不得收集相關(guān)生物信息；二是信息收集者應(yīng)制定書(shū)面的隱私政策以便設(shè)定生物信息保留時(shí)間，若收集者與信息主體相聯(lián)系的時(shí)間已滿三年，或未滿三年但收集信息的目的已達(dá)成，則收集者需銷(xiāo)毀該數(shù)據(jù)；三是未經(jīng)信息主體同意或法定情形，不得出售、透露個(gè)人生物信息。后者是將不同種類(lèi)的個(gè)人信息納入統(tǒng)一的個(gè)人信息保護(hù)法之下(其中生物識(shí)別信息往往作為個(gè)人敏感信息的一類(lèi))，將行政、民事以及刑事法律的保護(hù)措施集為一法的立法模式。(21)同②。如歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)、印度2018年《個(gè)人數(shù)據(jù)保護(hù)法案(草案)》、巴西2020年2月生效的《通用數(shù)據(jù)保護(hù)法》等。

借鑒國(guó)外立法例和我國(guó)的立法情況，有學(xué)者認(rèn)為可制定專(zhuān)門(mén)性的個(gè)人生物識(shí)別信息保護(hù)法。(22)同②。專(zhuān)門(mén)立法可以在短時(shí)間內(nèi)建立一套全面的個(gè)人生物信息保護(hù)框架，針對(duì)性強(qiáng)。涉及個(gè)人生物信息的保護(hù)和利用具有重大的現(xiàn)實(shí)意義及較高的技術(shù)要求，僅靠相關(guān)行政法規(guī)規(guī)章難以規(guī)制實(shí)踐中的法律難題，因此應(yīng)當(dāng)制定高位階的個(gè)人生物識(shí)別信息單行法。在立法層級(jí)上，許多國(guó)家均制定了具有較高法律效力的個(gè)人信息保護(hù)法，有效地規(guī)制了個(gè)人信息在利用和開(kāi)發(fā)中可能存在的法律問(wèn)題，基于個(gè)人生物識(shí)別信息的特殊性，針對(duì)當(dāng)下越來(lái)越多的生物信息侵權(quán)案件的發(fā)生，建議制定一部單行法，用較高的位階來(lái)提高法律效力，對(duì)侵害個(gè)人生物識(shí)別信息的行為方式、權(quán)利義務(wù)、法律責(zé)任等內(nèi)容進(jìn)行更全面的規(guī)定。也有學(xué)者認(rèn)為，考慮到現(xiàn)實(shí)數(shù)據(jù)技術(shù)和理論的發(fā)展以及總體立法狀況，個(gè)人生物識(shí)別信息所涉及的諸多理論問(wèn)題尚未完全厘清，目前出臺(tái)專(zhuān)門(mén)的法律還為時(shí)過(guò)早。(23)參見(jiàn)商希雪：《生物特征識(shí)別信息商業(yè)應(yīng)用的中國(guó)立場(chǎng)與制度進(jìn)路——鑒于歐美法律模式的比較評(píng)價(jià)》，載《江西社會(huì)科學(xué)》2020年第2期。

筆者認(rèn)為，由于個(gè)人生物信息保護(hù)隨著信息技術(shù)的發(fā)展而出現(xiàn)全新的問(wèn)題，將來(lái)也會(huì)隨著5G等技術(shù)的全面推廣而出現(xiàn)新的表現(xiàn)方式，因此具有較強(qiáng)的不穩(wěn)定性，人們對(duì)于生物識(shí)別信息的諸多內(nèi)容目前還沒(méi)有統(tǒng)一的認(rèn)識(shí)，因此專(zhuān)門(mén)立法的難度大、阻力多。況且專(zhuān)門(mén)立法所涉的主體繁多、內(nèi)容龐雜，不同主管部門(mén)和權(quán)利主體之間存在利益沖突與協(xié)調(diào)問(wèn)題，這也是一般專(zhuān)門(mén)立法固有的缺陷，難以避免。因此，較為穩(wěn)妥可行的立法模式為首先制定《個(gè)人信息保護(hù)法》，然后將個(gè)人生物識(shí)別信息作為其中的專(zhuān)章加以規(guī)定。作為一種敏感的個(gè)人信息，最全面有效的保護(hù)是制定個(gè)人信息保護(hù)的相關(guān)法律法規(guī)。(24)參見(jiàn)劉越：《論生物識(shí)別信息的財(cái)產(chǎn)權(quán)保護(hù)》，載《法商研究》2016年第6期。2017年3月的《個(gè)人信息保護(hù)法(草案)》第4至9條中，分別規(guī)定了合法原則、知情同意原則、目的明確原則、限制利用原則、完整正確原則、安全原則等個(gè)人信息處理和利用的基本原則，并將個(gè)人信息權(quán)的表現(xiàn)形式規(guī)定為信息決定權(quán)、保密權(quán)、訪問(wèn)權(quán)、更正權(quán)、可攜權(quán)、封鎖權(quán)、刪除權(quán)、被遺忘權(quán)等具體的個(gè)人信息權(quán)利。然而《個(gè)人信息保護(hù)法(草案)》并沒(méi)有專(zhuān)門(mén)針對(duì)個(gè)人生物信息進(jìn)行特別保護(hù)和說(shuō)明，在草案下一步修改中應(yīng)當(dāng)增加關(guān)于個(gè)人生物信息的專(zhuān)門(mén)性規(guī)定，這樣不僅可以對(duì)個(gè)人生物信息有更明確和有針對(duì)性的保護(hù)，而且能夠維護(hù)立法的統(tǒng)一和穩(wěn)定，避免了就個(gè)人生物信息制定專(zhuān)門(mén)的、綜合性立法所需要的立法成本。同時(shí)現(xiàn)有的《生物特征識(shí)別信息的保護(hù)要求(征求意見(jiàn)稿)》已經(jīng)以國(guó)家標(biāo)準(zhǔn)的方式關(guān)注到個(gè)人生物識(shí)別信息的內(nèi)容，個(gè)人生物識(shí)別信息相對(duì)于一般個(gè)人信息(包括個(gè)人敏感信息)有其特殊保護(hù)與處理規(guī)則，專(zhuān)業(yè)化立法框架可以參照目前國(guó)際和國(guó)內(nèi)的行業(yè)標(biāo)準(zhǔn)指南，以此為技術(shù)標(biāo)準(zhǔn)出臺(tái)更高層級(jí)的行政性文件和行業(yè)規(guī)范，為個(gè)人生物識(shí)別信息的保護(hù)提供專(zhuān)門(mén)化的制度保障，待各項(xiàng)立法時(shí)機(jī)成熟后再出臺(tái)專(zhuān)門(mén)的法律法規(guī)。

五、個(gè)人生物識(shí)別信息關(guān)聯(lián)立法內(nèi)容的完善

大數(shù)據(jù)時(shí)代個(gè)人信息傳播的深度和廣度前所未有，個(gè)人信息泄露及濫用的復(fù)雜性、危險(xiǎn)性和危害性加重，風(fēng)險(xiǎn)社會(huì)中法律的自由與安全價(jià)值在一定程度上形成了更加緊張的關(guān)系。在個(gè)人生物識(shí)別信息的開(kāi)發(fā)與利用過(guò)程中，法律應(yīng)當(dāng)創(chuàng)建個(gè)體利益與社會(huì)利益之間的平衡機(jī)制。(25)參見(jiàn)李?lèi)?ài)君：《論數(shù)據(jù)權(quán)利歸屬與取得》，載《西北工業(yè)大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2020年第1期。在民法、行政法和刑事法領(lǐng)域中，對(duì)于權(quán)利保護(hù)內(nèi)容的選擇、公權(quán)力與私權(quán)利界線的劃分、入罪出罪門(mén)檻的界定等制度規(guī)則設(shè)計(jì)，都應(yīng)當(dāng)秉持保護(hù)和利用、自由與安全的利益平衡原則，劃分個(gè)人生物信息的權(quán)利主體、使用者、研發(fā)者、管理者等不同利益主體的責(zé)權(quán)利。

(一)引入民法對(duì)個(gè)人生物識(shí)別信息的財(cái)產(chǎn)權(quán)保護(hù)

由于個(gè)人生物識(shí)別信息更多地具有人格權(quán)的屬性，因此《民法典》中關(guān)于人格權(quán)規(guī)定的內(nèi)容是保護(hù)個(gè)人生物識(shí)別信息的主要民事法規(guī)范。在《民法典》人格權(quán)編涉及到對(duì)貞操權(quán)、人體組織器官遺體買(mǎi)賣(mài)、人體試驗(yàn)條件、個(gè)體基因的利用等敏感權(quán)利的立法規(guī)制，其中大多涉及到個(gè)人生物信息的內(nèi)容或是其載體形式。由于個(gè)人生物識(shí)別信息具有更強(qiáng)的人身屬性，侵權(quán)行為中的財(cái)產(chǎn)給付和賠償數(shù)額較難認(rèn)定，因此對(duì)個(gè)人生物信息無(wú)法進(jìn)行有效保護(hù)。在個(gè)人生物識(shí)別信息的民法保護(hù)中，雖然人格權(quán)的保護(hù)方式有其正當(dāng)性，但生物識(shí)別信息同時(shí)承載著財(cái)產(chǎn)利益，而財(cái)產(chǎn)利益在傳統(tǒng)的人格權(quán)中往往難以得到保護(hù)。進(jìn)入大數(shù)據(jù)時(shí)代以來(lái)，由于個(gè)人生物識(shí)別信息具有唯一性和超強(qiáng)的識(shí)別性，其財(cái)產(chǎn)價(jià)值不斷被發(fā)掘出來(lái)，因此民法中應(yīng)當(dāng)引入對(duì)于個(gè)人生物識(shí)別信息的財(cái)產(chǎn)權(quán)保護(hù)功能。

將財(cái)產(chǎn)權(quán)納入生物識(shí)別信息的保護(hù)框架，不僅能夠促進(jìn)個(gè)人生物識(shí)別信息技術(shù)的發(fā)展，亦能更好地維護(hù)國(guó)家利益和個(gè)人利益。從權(quán)利的保護(hù)方式看，侵害人格權(quán)通常不能適用財(cái)產(chǎn)損害中的完全賠償原則，而財(cái)產(chǎn)權(quán)受侵害則可以獲得完全賠償，這對(duì)于保護(hù)生物信息權(quán)利人更加有利。同時(shí)，強(qiáng)化民法中的財(cái)產(chǎn)權(quán)保護(hù)還可以激勵(lì)生物信息系統(tǒng)的研發(fā)與安全提升，促進(jìn)生物信息保護(hù)技術(shù)的發(fā)展。個(gè)人生物信息的財(cái)產(chǎn)保護(hù)主要通過(guò)知識(shí)產(chǎn)權(quán)保護(hù)的方式實(shí)現(xiàn)，個(gè)人生物信息的財(cái)產(chǎn)利益可被視為知識(shí)產(chǎn)權(quán)的客體。需要指出的是，由于個(gè)人利益和公共利益之間可能出現(xiàn)矛盾，法律應(yīng)當(dāng)對(duì)個(gè)人生物信息的人格利益和財(cái)產(chǎn)利益的合理化使用提供明晰的界線。建議民法典的人格權(quán)編在將來(lái)完善時(shí)能細(xì)化個(gè)人生物識(shí)別信息的保護(hù)內(nèi)容及侵權(quán)責(zé)任，將財(cái)產(chǎn)利益的取得、流轉(zhuǎn)、使用以及人格利益的范圍、保護(hù)方式等加以明確規(guī)定，不足部分可以通過(guò)制定單行法的方式進(jìn)行彌補(bǔ)，形成了民法典與單行法的互動(dòng)互補(bǔ)機(jī)制，使得法律規(guī)定靈活并完善，增強(qiáng)在適用中的可操作性。

(二)劃定行政規(guī)范中使用個(gè)人生物識(shí)別信息的權(quán)力邊界

由于行政法領(lǐng)域各部門(mén)立法名目繁多，部門(mén)利益和行業(yè)保護(hù)傾向明顯，立法缺陷不一而足。但這些行政法規(guī)范在立法理念和具體內(nèi)容設(shè)置上存在一些共性缺陷，影響了個(gè)人生物識(shí)別信息的使用和保護(hù)，需要修正或完善。應(yīng)當(dāng)合理劃定行政公權(quán)力與個(gè)人生物識(shí)別信息權(quán)的邊界，嚴(yán)格規(guī)范政府行為，明晰相關(guān)主體在個(gè)人信息處理行為中的權(quán)力以及責(zé)任范圍。對(duì)于政府機(jī)關(guān)，公民提供給其的個(gè)人生物信息的真實(shí)性以及準(zhǔn)確性更高，因此行政法規(guī)中對(duì)于個(gè)人生物識(shí)別信息使用的審核規(guī)定應(yīng)當(dāng)更加嚴(yán)格，行政機(jī)關(guān)使用目的和手段需具有必要性及適當(dāng)性，符合比例原則。

第一，行政機(jī)關(guān)對(duì)個(gè)人生物信息數(shù)據(jù)實(shí)行限制性共享。實(shí)踐中發(fā)生的大量侵犯?jìng)€(gè)人生物信息的案件是由于大數(shù)據(jù)公司通過(guò)各種非法手段獲取個(gè)人信息并打通數(shù)據(jù)，進(jìn)行關(guān)聯(lián)和深度挖掘處理然后直接買(mǎi)賣(mài)的，被害人難以控制他人采集自己的生物信息。因此對(duì)于不可再生的生物識(shí)別信息，無(wú)論公權(quán)力機(jī)關(guān)還是企業(yè)出于正當(dāng)?shù)穆殑?wù)需求使用還是商業(yè)企業(yè)需要使用，都必須高度克制和謹(jǐn)慎。對(duì)于一款有危害個(gè)人生物識(shí)別信息安全危險(xiǎn)的APP軟件，如果其沒(méi)有其他顯著的實(shí)質(zhì)性非侵權(quán)用途和價(jià)值，則這款軟件是非法的、不可推廣使用的。由于個(gè)人生物信息的技術(shù)類(lèi)別不同，共享的限制性程度也應(yīng)當(dāng)有差別體現(xiàn)。如人臉識(shí)別的便利性最高、安全級(jí)別也較高，指紋識(shí)別的便利性次于人臉識(shí)別，安全級(jí)別也稍遜，虹膜識(shí)別的便利性較低，但安全性非常高。行政法規(guī)及行業(yè)規(guī)范應(yīng)當(dāng)區(qū)別對(duì)待，制定細(xì)則。

第二，加強(qiáng)行政機(jī)關(guān)對(duì)生物識(shí)別信息的監(jiān)管立法。監(jiān)管機(jī)構(gòu)對(duì)個(gè)人生物信息實(shí)體數(shù)據(jù)處理行為有審查權(quán)、許可權(quán)、調(diào)查權(quán)、檢查權(quán)以及糾紛調(diào)處權(quán)等權(quán)力，便于實(shí)行個(gè)人生物識(shí)別信息的全流程管理。政府可統(tǒng)一建立生物信息認(rèn)證庫(kù)，為有生物信息識(shí)別需要的企業(yè)進(jìn)行技術(shù)服務(wù)。目前在“智慧城市”“智慧小區(qū)”“智慧校園”等的建設(shè)中，電子身份(生物信息)代替?zhèn)鹘y(tǒng)身份證進(jìn)行身份的驗(yàn)證，用阿里云、騰訊云、區(qū)塊鏈技術(shù)等進(jìn)行生物信息的技術(shù)保護(hù)十分必要。區(qū)塊鏈技術(shù)作為一項(xiàng)新技術(shù)在民生使用中遇到了新的挑戰(zhàn)，不僅受制于基礎(chǔ)設(shè)施、網(wǎng)絡(luò)技術(shù)等各種技術(shù)難題，還受制于相關(guān)科技產(chǎn)業(yè)立法和行政監(jiān)管的滯后，因此尤其需要強(qiáng)化對(duì)于大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈技術(shù)等的監(jiān)管立法。

第三，加強(qiáng)行政機(jī)關(guān)對(duì)商業(yè)應(yīng)用領(lǐng)域的法律規(guī)制及救濟(jì)。規(guī)范個(gè)人生物信息在企業(yè)商業(yè)行為中的使用，對(duì)企業(yè)利用互聯(lián)網(wǎng)安全漏洞盜取個(gè)人生物信息或進(jìn)行非法交易進(jìn)行法律制裁。制定行業(yè)管理和企業(yè)運(yùn)行負(fù)面清單，對(duì)生物信息產(chǎn)業(yè)進(jìn)行有針對(duì)性地引導(dǎo)和監(jiān)管，為生物信息相關(guān)產(chǎn)業(yè)發(fā)展提供公平競(jìng)爭(zhēng)環(huán)境，避免社會(huì)倫理和安全風(fēng)險(xiǎn)。在司法救濟(jì)方面，基于生物識(shí)別信息一旦受到侵害則結(jié)果難以彌補(bǔ)的特點(diǎn)，國(guó)外有判例對(duì)公民生物識(shí)別信息的保護(hù)采行為主義而非結(jié)果主義，(26)參見(jiàn)商希雪：《生物特征識(shí)別信息商業(yè)應(yīng)用的中國(guó)立場(chǎng)與制度進(jìn)路——鑒于歐美法律模式的比較評(píng)價(jià)》，載《江西社會(huì)科學(xué)》2020年第2期。侵權(quán)行為不以遭受實(shí)質(zhì)損害為必要，只要發(fā)生了損害行為即可提起訴訟。

(三)完善刑法中侵犯?jìng)€(gè)人生物識(shí)別信息犯罪的入罪條件

首先，從刑事立法的理念上看，刑法作為最為嚴(yán)厲的國(guó)家反應(yīng)，所具有的保護(hù)法益和保障人權(quán)的雙重機(jī)能盡管是不可偏廢的一體兩面，但經(jīng)常處于矛盾之中。傳統(tǒng)刑法重視“自由”的價(jià)值追求，風(fēng)險(xiǎn)刑法則側(cè)重“安全”的價(jià)值取向。風(fēng)險(xiǎn)社會(huì)中，由于風(fēng)險(xiǎn)的不可控性大大增強(qiáng)，社會(huì)治理的手段也從事中、事后應(yīng)對(duì)逐漸走向事前預(yù)防。(27)參見(jiàn)劉艷紅：《公共空間運(yùn)用大規(guī)模監(jiān)控的法理邏輯及限度——基于個(gè)人信息有序共享之視角》，載《法學(xué)論壇》2020年第2期。刑事法律保護(hù)機(jī)制是個(gè)人生物識(shí)別信息權(quán)利保護(hù)的最后防線，在生物識(shí)別信息的刑事立法上，只有當(dāng)隱私保護(hù)危害了公共安全時(shí)，才能夠以保護(hù)公共安全為理由放棄隱私保護(hù)，即只有在隱私保護(hù)本身不正當(dāng)?shù)那闆r下，安全才能獲得超越隱私的優(yōu)位性。(28)同②。刑法保護(hù)也應(yīng)當(dāng)堅(jiān)持自由與安全的價(jià)值衡平，在利益發(fā)生沖突且只能選擇其一的狀態(tài)下，不能以安全大于自由的標(biāo)準(zhǔn)一概而論，而應(yīng)當(dāng)從社會(huì)整體利益出發(fā)，進(jìn)行法益大小的權(quán)衡。

其次，行政法與刑法內(nèi)容的銜接和協(xié)調(diào)是確定罪名的關(guān)鍵。個(gè)人生物識(shí)別信息安全相關(guān)罪名分散規(guī)定在刑法分則各個(gè)章節(jié)中，其中《刑法》第285條規(guī)定的非法侵入和破壞計(jì)算機(jī)系統(tǒng)罪、第286條規(guī)定的拒不履行信息安全管理義務(wù)罪、第287條規(guī)定的侵犯公民個(gè)人信息罪是最主要的罪名。雖然沒(méi)有明示個(gè)人生物識(shí)別信息的內(nèi)容，但作為個(gè)人信息的組成部分，仍可以直接使用。這些罪名大部分都以空白罪狀的方式表示，各種行政法規(guī)和行業(yè)性規(guī)范等作為前置性規(guī)范成為了入罪的前提判斷，即行政違法性是刑事違法性的前提。(29)參見(jiàn)張勇：《妨害疫情防控行為的刑法適用之體系解釋》，載《政治與法律》2020年第5期。因此，個(gè)人生物識(shí)別信息的罪名入罪的關(guān)鍵不在于法益類(lèi)型的判斷而是行政犯性質(zhì)的確認(rèn)。如《刑法修正案(九)》將侵犯公民個(gè)人信息罪的前置條件“違反國(guó)家規(guī)定”修改為“違反國(guó)家有關(guān)規(guī)定”，擴(kuò)大了該罪的入罪邊界，在社會(huì)風(fēng)險(xiǎn)增加和行政犯膨脹的當(dāng)下，不宜過(guò)分強(qiáng)調(diào)入罪功能，而應(yīng)當(dāng)在個(gè)人信息的共享和保護(hù)之間尋求平衡。由于“國(guó)家有關(guān)規(guī)定”這一前置性規(guī)定中的行政法規(guī)范各有立法保護(hù)側(cè)重，因此刑法中應(yīng)當(dāng)考慮立法保護(hù)目的，進(jìn)行罪責(zé)刑相適應(yīng)的判斷。

再次，個(gè)人生物識(shí)別信息犯罪的主觀違法性認(rèn)識(shí)。由于侵犯生物識(shí)別信息犯罪為行政犯，因此行為的違法性認(rèn)識(shí)一般是對(duì)行政法規(guī)的認(rèn)識(shí)，而對(duì)于行政法規(guī)的違法性認(rèn)識(shí)的程度、內(nèi)容、證明標(biāo)準(zhǔn)與刑法上的違法性認(rèn)識(shí)存在區(qū)別。作為犯罪構(gòu)成要件的主觀認(rèn)識(shí)應(yīng)當(dāng)是對(duì)于刑法規(guī)定的認(rèn)識(shí)，因此行為人僅具備行政法認(rèn)識(shí)而不具備刑法認(rèn)識(shí)是不能作為入罪的條件的。由于大數(shù)據(jù)背景下個(gè)人生物識(shí)別信息的技術(shù)與應(yīng)用發(fā)展日新月異，個(gè)人或組織對(duì)于相關(guān)行為的違法性認(rèn)識(shí)可能滯后于行政法規(guī)的專(zhuān)業(yè)化規(guī)定。(30)實(shí)踐中飽受爭(zhēng)議的“大學(xué)生掏鳥(niǎo)案”、“天津擺攤大媽氣槍案”等案件，說(shuō)明普通民眾對(duì)于行政法中違法認(rèn)識(shí)缺失，導(dǎo)致了刑法可罰性程度大打折扣。因此對(duì)于罪與非罪的確定，需要司法人員準(zhǔn)確判斷行為人的主觀要件，而非將違法性認(rèn)識(shí)作為僵化標(biāo)準(zhǔn)。

結(jié)語(yǔ)

對(duì)個(gè)人生物識(shí)別信息的法律保護(hù)“既需公法保護(hù)，也需私法保護(hù)”的立法意識(shí)會(huì)逐漸增強(qiáng)，是跨學(xué)科的、綜合性的法律問(wèn)題?？萍嫉陌l(fā)展給社會(huì)帶來(lái)了全方位的沖擊，對(duì)人們的認(rèn)知水平、思維方式和倫理界線的改變持續(xù)存在，依靠科技解決科技問(wèn)題和依靠法律規(guī)范科技發(fā)展同等重要，對(duì)個(gè)人生物信息權(quán)進(jìn)行相關(guān)立法規(guī)劃和研究任重道遠(yuǎn)，構(gòu)建和完善符合中國(guó)實(shí)際的個(gè)人生物信息保護(hù)制度是新科技時(shí)代法律的重要使命。我國(guó)需要選擇適應(yīng)目前法律體系現(xiàn)狀和社會(huì)現(xiàn)實(shí)的立法模式，并充分發(fā)揮現(xiàn)有各部門(mén)法的功能，構(gòu)建層次分明、內(nèi)外協(xié)調(diào)的個(gè)人生物識(shí)別信息安全保護(hù)的法律體系。