個(gè)人生物識(shí)別信息的民法保護(hù)路徑探究

黃佳佳

（青海民族大學(xué),青海 西寧 810007）

1 問(wèn)題的提出

隨著信息技術(shù)的飛速發(fā)展，個(gè)人生物識(shí)別信息的應(yīng)用領(lǐng)域越來(lái)越廣泛。人們通過(guò)指紋、虹膜、聲紋等生物特征來(lái)進(jìn)行身份驗(yàn)證、支付和進(jìn)出場(chǎng)所等，生物識(shí)別技術(shù)極大地方便了人們的生活。然而，與此同時(shí)，其被濫用和泄露的風(fēng)險(xiǎn)也日益增加?！睹穹ǖ洹泛汀秱€(gè)人信息保護(hù)法》等法律法規(guī)，對(duì)個(gè)人信息的處理提出了明確的要求，處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則。但個(gè)人生物識(shí)別信息具有高度敏感性與獨(dú)特性，保護(hù)個(gè)人生物識(shí)別信息被處理下的個(gè)人權(quán)益成為亟待解決的難題。

2 個(gè)人生物識(shí)別信息的定義與權(quán)利屬性

2.1 個(gè)人生物識(shí)別信息的定義

世界各地對(duì)個(gè)體生物識(shí)別信息的界定有所不同，普遍采取“歸納+具體羅列”方式，根據(jù)生物識(shí)別技術(shù)的發(fā)展水平，闡釋應(yīng)納入個(gè)人生物識(shí)別信息范疇的數(shù)據(jù)信息。例如，在2015年頒布的美國(guó)《消費(fèi)者隱私保護(hù)法案》中，“個(gè)人生物識(shí)別信息”被明確界定，包括但不限于面部特征、指紋、聲線以及視網(wǎng)膜、虹膜和遺傳標(biāo)志等生物特征[1]。而歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）則將通過(guò)特殊技術(shù)手段分析個(gè)體的身體、生理或行為屬性所產(chǎn)生的數(shù)據(jù)定義為個(gè)人生物識(shí)別數(shù)據(jù)，這類數(shù)據(jù)與一個(gè)人的面部圖像或者指紋一樣能夠用以穩(wěn)定地識(shí)別或確認(rèn)該個(gè)體的身份，此類信息被當(dāng)作個(gè)人數(shù)據(jù)中的“獨(dú)特分類”來(lái)處理[2]。

在我國(guó)的法律體系中，個(gè)人生物識(shí)別信息通常被納入個(gè)人信息的范疇?！毒W(wǎng)絡(luò)安全法》第七十六條和《民法典》第一千零三十四條均給出了個(gè)人信息的定義，個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等[3]。中國(guó)對(duì)個(gè)人生物識(shí)別信息的法律保護(hù)模式與歐盟相似，都將其當(dāng)作一種特殊個(gè)人信息類別予以保護(hù)，此類信息包含了基于自然人的生物屬性和行為特性進(jìn)行唯一身份辨認(rèn)的數(shù)據(jù)[4]。

基于此，借鑒歐美國(guó)家的立法實(shí)踐情況，采取“歸納+具體羅列”方式，將個(gè)人生物識(shí)別信息定義為通過(guò)生物識(shí)別技術(shù)處理后能夠識(shí)別個(gè)體身份的各類數(shù)據(jù)，這些數(shù)據(jù)包括但不限于臉部圖像、指紋、虹膜、基因等特征。這種界定不僅能明確保護(hù)范圍，同時(shí)方便管理者完善保障機(jī)制，此外，還能提高法院在審理此類案件時(shí)對(duì)法律規(guī)定的準(zhǔn)確應(yīng)用，進(jìn)而減少糾紛并優(yōu)化司法資源的使用。

2.2 個(gè)人生物識(shí)別信息的權(quán)益性質(zhì)

個(gè)人生物識(shí)別信息的權(quán)益可從財(cái)產(chǎn)權(quán)與人格權(quán)兩個(gè)維度分析。一是隨著技術(shù)的進(jìn)步，個(gè)人生物識(shí)別信息在保護(hù)財(cái)產(chǎn)權(quán)方面形成經(jīng)濟(jì)價(jià)值，使其具備財(cái)產(chǎn)權(quán)益屬性。例如，利用指紋或面部識(shí)別進(jìn)行移動(dòng)支付。二是個(gè)人生物識(shí)別信息憑借其獨(dú)特性、識(shí)別容易性和穩(wěn)定性能等特點(diǎn)能夠直接認(rèn)定特定的公民，因此具有人格屬性。《民法典》將其界定為個(gè)人信息的具體類型，賦予其人格權(quán)范疇規(guī)范化的保護(hù)。此舉與現(xiàn)行法律體系相契合，歸入人格權(quán)保護(hù)是恰當(dāng)?shù)摹?/p>

首先，個(gè)人生物識(shí)別信息的核心在于其具有人格屬性，其中涉及面部圖像、指紋、基因等數(shù)據(jù)，這些數(shù)據(jù)與識(shí)別個(gè)體身份緊密相關(guān)，一旦信息泄露被非法處理，對(duì)個(gè)人人格權(quán)益的損害最為直接?；诖?，應(yīng)當(dāng)將其作為一項(xiàng)獨(dú)立的人格權(quán)予以保護(hù)。這旨在保障公民對(duì)于自己生物識(shí)別信息的收集、存儲(chǔ)和使用等處理享有知情權(quán)和自主決策權(quán)，并能在信息處理各階段行使同意、反對(duì)或刪除等權(quán)利。

其次，個(gè)人生物識(shí)別信息權(quán)功能之一是保護(hù)財(cái)產(chǎn)權(quán)益。財(cái)產(chǎn)權(quán)益一旦遭到侵害，受害者可以依據(jù)《民法典》中的“獲利視為損失”原則，要求相應(yīng)的賠償。但在個(gè)人生物識(shí)別信息被信息控制者或處理者非法利用時(shí)，若僅追求經(jīng)濟(jì)賠償，可能面臨證明實(shí)際損害的困難。

最后，將個(gè)人生物識(shí)別信息權(quán)歸類為特定人格權(quán)而非一般人格權(quán)，對(duì)于保障個(gè)人信息安全至關(guān)重要。一般人格權(quán)的特性包括抽象性和目標(biāo)不確定性，導(dǎo)致相關(guān)法律規(guī)定具有較寬泛的解釋空間，在司法實(shí)踐中，法官可能存在理解上的差異。而確認(rèn)為特定人格權(quán)將使得此項(xiàng)權(quán)利更加明晰、易于施行，增強(qiáng)了個(gè)人生物識(shí)別信息權(quán)的保護(hù)效力[5]。因此，應(yīng)明確個(gè)人生物識(shí)別信息權(quán)作為人格權(quán)的性質(zhì)，保障個(gè)人生物識(shí)別信息的保護(hù)有法可依，同時(shí)促進(jìn)信息主體積極行使相關(guān)權(quán)益。

3 國(guó)內(nèi)外個(gè)人生物識(shí)別信息保障機(jī)制

3.1 美國(guó)保障模式

在全球范圍內(nèi)，美國(guó)始終是信息技術(shù)發(fā)展的佼佼者，尤其在物聯(lián)網(wǎng)、生物技術(shù)和人工智能領(lǐng)域展現(xiàn)出其領(lǐng)先優(yōu)勢(shì)。在信息數(shù)據(jù)保障方面，美國(guó)更側(cè)重于企業(yè)自行監(jiān)管，以免過(guò)多干預(yù)信息流動(dòng)。在立法方面，美國(guó)聯(lián)邦立法機(jī)關(guān)將個(gè)人生物特征數(shù)據(jù)定義為一種獨(dú)特的個(gè)人信息類別，將其納入隱私權(quán)法律框架，還通過(guò)專門法規(guī)予以管理，并賦予權(quán)利主體特定的訴訟權(quán)利以便加強(qiáng)保護(hù)。2008年伊利諾伊州領(lǐng)先于其他州，制定了《生物識(shí)別信息隱私法案》，該法專門針對(duì)企業(yè)處理個(gè)人生物識(shí)別信息提出了法律要求，構(gòu)建了一套較為完善的法律標(biāo)準(zhǔn)系統(tǒng)，它的關(guān)鍵條文成為后續(xù)法規(guī)的參照依據(jù)。

《生物識(shí)別信息隱私法案》中，明確規(guī)定了企業(yè)必須以書面形式通知信息主體，詳細(xì)說(shuō)明他們收集數(shù)據(jù)的目的、使用范圍及時(shí)間等，并且僅在獲得個(gè)人書面授權(quán)后才能使用個(gè)人信息；企業(yè)禁止利用個(gè)人生物識(shí)別信息進(jìn)行商業(yè)牟利，同時(shí)限制信息的公開，僅當(dāng)個(gè)人同意、有財(cái)務(wù)交易需要、具有有效的搜查命令或傳票時(shí)才允許對(duì)外披露；企業(yè)保管個(gè)人信息時(shí)，需遵守一定的保密措施，并須有書面政策公開說(shuō)明使用個(gè)人信息的基本原則和保留期限。例如，企業(yè)獲取公民的個(gè)人生物識(shí)別信息達(dá)到信息獲取的目的或者公民與企業(yè)的最后一次交易超過(guò)三年，企業(yè)必須銷毀相關(guān)的生物識(shí)別信息。

然而，在美國(guó)各州，對(duì)于個(gè)人生物識(shí)別信息的保護(hù)并沒(méi)有統(tǒng)一的規(guī)定，例如，得克薩斯州僅要求企業(yè)在收集信息前取得個(gè)人的知情同意，且并不要求以書面形式表達(dá)同意。這樣的差異性顯示了法律保護(hù)的不平衡和不一致。

3.2 歐盟保護(hù)模式

歐盟的法律強(qiáng)調(diào)將個(gè)人數(shù)據(jù)納入人權(quán)的保護(hù)范疇。這使得歐盟成為全球個(gè)人數(shù)據(jù)立法的先驅(qū)。自1981年的《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》開始，到1995年的《關(guān)于在個(gè)人數(shù)據(jù)處理過(guò)程中保護(hù)當(dāng)事人及此類數(shù)據(jù)自由流通的95/46/EC指令》（以下簡(jiǎn)稱95/46/EC指令），再到2008年施行的《通用數(shù)據(jù)保護(hù)條例》，這些法案標(biāo)志著歐盟在個(gè)人數(shù)據(jù)保護(hù)立法方面的不斷演進(jìn)和完善。歐盟對(duì)個(gè)人生物識(shí)別信息的保護(hù)主要體現(xiàn)于《通用數(shù)據(jù)保護(hù)條例》的規(guī)定之中，該法規(guī)推動(dòng)生物信息技術(shù)發(fā)展的同時(shí)，致力于維護(hù)信息收集和存儲(chǔ)的安全性，力求平衡技術(shù)進(jìn)步和個(gè)人權(quán)益保護(hù)的關(guān)系。它為解決成員國(guó)法律體系的分歧、統(tǒng)一執(zhí)行標(biāo)準(zhǔn)提供了框架，并對(duì)全球個(gè)人信息保護(hù)立法產(chǎn)生重大影響，逐漸成為多數(shù)國(guó)家制定相關(guān)法規(guī)的新典范。

自1995年起，95/46/EC指令引入并確立了信息主體的權(quán)利，在《通用數(shù)據(jù)保護(hù)條例》中，這一權(quán)利得到進(jìn)一步強(qiáng)化。這些條例要求數(shù)據(jù)控制方必須明確通知數(shù)據(jù)所有者其個(gè)人信息的收集與處理方式，并詳細(xì)說(shuō)明必須披露給用戶的事項(xiàng)。同時(shí)，數(shù)據(jù)主體在合法撤銷授權(quán)或數(shù)據(jù)控制方缺乏合理處理依據(jù)時(shí)，可要求數(shù)據(jù)控制方移除其信息。此外，如果數(shù)據(jù)管理者已經(jīng)公開了個(gè)人數(shù)據(jù)，必須采取一切合適的方法去除，并向其他管理個(gè)人信息的實(shí)體下達(dá)移除鏈接和復(fù)制的命令[6]。另外，“信息可攜帶權(quán)”的新增，允許信息主體在某些條件下，將自己提交給一方數(shù)據(jù)管理者的數(shù)據(jù)轉(zhuǎn)移到另一方。該規(guī)定體現(xiàn)了數(shù)據(jù)主體對(duì)個(gè)人信息的掌控權(quán)，使其有權(quán)在遇到不滿的服務(wù)或不平等對(duì)待時(shí)，將自己的數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)管理者，但只限于他們自己提供的信息?！锻ㄓ脭?shù)據(jù)保護(hù)條例》還要求涉及數(shù)據(jù)處理和管理的人員實(shí)施合適的技術(shù)和管理策略，以確保信息的安全性得到有效保障，這意味著他們?cè)谶x擇處理程序和決策時(shí)必須考慮信息主體權(quán)益[7]。每一位數(shù)據(jù)處理者都應(yīng)維護(hù)對(duì)其處理行為的詳盡記錄。他們還需負(fù)責(zé)確保數(shù)據(jù)安全，報(bào)告任何數(shù)據(jù)泄露事件，并執(zhí)行數(shù)據(jù)保護(hù)影響評(píng)估，以保障數(shù)據(jù)主體的權(quán)益。

《通用數(shù)據(jù)保護(hù)條例》對(duì)個(gè)人生物識(shí)別數(shù)據(jù)進(jìn)行嚴(yán)格管理，將顯著影響網(wǎng)絡(luò)經(jīng)濟(jì)中新興商業(yè)模式。盡管這種信息的收集有助于優(yōu)化產(chǎn)品和服務(wù)，但在該法規(guī)約束下，這種商業(yè)模式可能面臨合法性爭(zhēng)議，甚至有終止的風(fēng)險(xiǎn)。

3.3 我國(guó)保護(hù)模式

根據(jù)《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，網(wǎng)絡(luò)服務(wù)提供者收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息[8]。該決定還要求網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)采取技術(shù)措施來(lái)保障信息安全，防止公民個(gè)人電子信息泄露、毀損、丟失，并在發(fā)生此類情況時(shí)立即采取補(bǔ)救措施。在個(gè)人信息保護(hù)方面，《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法》等法律進(jìn)一步明確了企業(yè)的合規(guī)要求。這些法律文件要求企業(yè)建立健全的信息管理制度，采取必要的措施保護(hù)個(gè)人信息的安全，包括技術(shù)保護(hù)手段的應(yīng)用、數(shù)據(jù)分類和加密等工作。此外，企業(yè)還應(yīng)定期進(jìn)行信息安全評(píng)估和風(fēng)險(xiǎn)評(píng)估，確保個(gè)人信息受到有效的保護(hù)。

《民法典》第一千零三十四條為保護(hù)個(gè)人生物識(shí)別信息提供了法律依據(jù)和基礎(chǔ)。在未來(lái)的立法和法律實(shí)踐中，此條款將發(fā)揮重要作用，進(jìn)一步明確和完善對(duì)個(gè)人生物識(shí)別信息的保護(hù)措施和法律責(zé)任[9]。

盡管目前尚無(wú)專門針對(duì)個(gè)人生物識(shí)別信息的專門法律規(guī)定，但在個(gè)人信息保護(hù)領(lǐng)域已經(jīng)形成了一系列相關(guān)法律和法規(guī)。這些法律文件為個(gè)人生物識(shí)別信息的保護(hù)提供了基本框架和合規(guī)要求。為了更好地保障個(gè)人生物識(shí)別信息的安全與合法使用，確保公民權(quán)益不受損害，我們需要充分考慮其特殊性和敏感性，進(jìn)一步完善個(gè)人生物識(shí)別信息的法律保護(hù)機(jī)制，明確企業(yè)處理個(gè)人生物識(shí)別信息的責(zé)任義務(wù)，并完善民事救濟(jì)途徑。只有通過(guò)持續(xù)的法治建設(shè)和法律實(shí)踐，才能夠適應(yīng)快速發(fā)展的信息技術(shù)，維護(hù)公民個(gè)人信息安全，促進(jìn)社會(huì)的和諧發(fā)展。

4 對(duì)個(gè)人生物識(shí)別信息民法層面保護(hù)的改善措施及建議

分析我國(guó)目前的個(gè)人生物識(shí)別信息的法律規(guī)定，發(fā)現(xiàn)明顯缺乏專門的保護(hù)制度，相關(guān)規(guī)定散見(jiàn)于不同的法律文本之中。從國(guó)際視角來(lái)看，隨著生物識(shí)別技術(shù)的快速發(fā)展，全球范圍內(nèi)越來(lái)越傾向于通過(guò)專門的法律條文對(duì)生物識(shí)別信息進(jìn)行保護(hù)。由此，借鑒美歐等關(guān)于數(shù)據(jù)主體權(quán)利以及數(shù)據(jù)處理者責(zé)任的法律，完善我國(guó)在此領(lǐng)域的法律體系。

4.1 建立健全個(gè)人生物識(shí)別信息權(quán)益機(jī)制

首先，確保個(gè)人生物識(shí)別信息主體僅限于自然人。同時(shí)，設(shè)置以“信息自決權(quán)”為核心的權(quán)利構(gòu)架，涵蓋知情權(quán)、同意權(quán)等，這些權(quán)利在個(gè)人生物識(shí)別信息的處理全程中至關(guān)重要，反映了其內(nèi)在的人格權(quán)屬性，應(yīng)為該權(quán)利體系中最為核心的部分。另外，也應(yīng)考慮引入訪問(wèn)權(quán)、刪除權(quán)和數(shù)據(jù)攜帶權(quán)等新權(quán)限來(lái)確保數(shù)據(jù)安全。例如，《通用數(shù)據(jù)保護(hù)條例》中的“信息消隱權(quán)”，賦予信息主體讓數(shù)據(jù)處理者或控制者刪除網(wǎng)絡(luò)上的個(gè)人信息的權(quán)利。

其次，明確該信息權(quán)益性質(zhì)為特定人格權(quán)。鑒于國(guó)內(nèi)個(gè)人生物識(shí)別信息交易泛濫，可制定禁止非法處理個(gè)人生物識(shí)別信息的條款，禁止無(wú)授權(quán)的獲取、使用、管理、儲(chǔ)存及公開發(fā)布行為。此外，也應(yīng)禁止以“偽自愿”的方式強(qiáng)制收集個(gè)人生物識(shí)別信息，確保信息主體的自主決策權(quán)得到尊重和保護(hù)。

4.2 個(gè)人生物識(shí)別信息處理行為的責(zé)任機(jī)制

個(gè)人生物識(shí)別信息的保護(hù)是一個(gè)涉及私權(quán)、信息安全等多方面的重要議題。維護(hù)公民權(quán)益并規(guī)范相關(guān)行為是社會(huì)共同責(zé)任，法律在此起關(guān)鍵指導(dǎo)和監(jiān)管作用。所有民事主體，尤其是數(shù)據(jù)管理者必須承擔(dān)個(gè)人生物識(shí)別信息的保護(hù)職責(zé)。首先，數(shù)據(jù)處理者或控制者收集、使用、分享此類信息應(yīng)受法律明確規(guī)制，需事先獲個(gè)人同意，并滿足必要性要求，有明確目的及安全措施等，以保障其行為合法、正當(dāng)和透明[10]；其次，法律還需要規(guī)定執(zhí)法機(jī)構(gòu)權(quán)責(zé)，以保證該類信息的合規(guī)保護(hù)，設(shè)專門監(jiān)管機(jī)構(gòu)，負(fù)責(zé)監(jiān)督和管理信息收集使用，確認(rèn)符合法規(guī)，并對(duì)非法處理行為實(shí)行必要執(zhí)法行動(dòng)；最后，該類信息保護(hù)在法律視角內(nèi)不僅是個(gè)人權(quán)利也是社會(huì)責(zé)任，通過(guò)法定規(guī)章舉措和有效執(zhí)行，可以進(jìn)一步升級(jí)信息保護(hù)的力度。

4.3 加強(qiáng)侵權(quán)救濟(jì)制度以完善民事司法保護(hù)

完善民事侵權(quán)救濟(jì)制度是法律領(lǐng)域的重要課題。一是對(duì)惡意侵權(quán)行為規(guī)定懲罰性民事賠償，對(duì)于泄露個(gè)人信息的行為，需追責(zé)并確定詳細(xì)的賠償額度，建立最低賠償額度，促進(jìn)數(shù)據(jù)主體追索權(quán)益的熱情，從而增強(qiáng)生物識(shí)別信息保障條款的執(zhí)行力度；二是建立迅速高效的救濟(jì)程序，如利用電子證據(jù)和在線仲裁，使消費(fèi)者維權(quán)效率提升。通過(guò)上述措施，改善個(gè)人生物識(shí)別信息的民事侵權(quán)救濟(jì)制度，提升公眾對(duì)法律的信任，并促進(jìn)社會(huì)整體的公正[11]。

5 結(jié)語(yǔ)

本文對(duì)個(gè)人生物識(shí)別信息的法律屬性進(jìn)行了深入分析，對(duì)比了國(guó)內(nèi)外現(xiàn)有法律保護(hù)模式。我國(guó)對(duì)于個(gè)人生物識(shí)別信息的定義和法律屬性仍不夠明確，相關(guān)規(guī)定也存在專門性不足和責(zé)任界限不明確等問(wèn)題。在界定個(gè)人生物識(shí)別信息的法律屬性時(shí)，應(yīng)該將人格權(quán)和財(cái)產(chǎn)權(quán)作為參考，從風(fēng)險(xiǎn)角度出發(fā)來(lái)進(jìn)行界定。保護(hù)個(gè)人生物識(shí)別信息需要明確其敏感性和重要性，制定更明確和細(xì)化的法律規(guī)定，并加強(qiáng)監(jiān)管和執(zhí)法力度。此外，完善民事救濟(jì)途徑，建立最低賠償額度，并明確相應(yīng)的法律程序。只有通過(guò)全社會(huì)的共同努力和法治的確立，才能夠更好地保護(hù)個(gè)人生物識(shí)別信息安全。