论个人生物识别信息的特性及法律保护

朱振明

(广西民族大学 法学院，广西 南宁 530006)

随着科学技术的发展，个人生物信息识别技术，特别是人脸识别等技术广泛应用于门禁识别、企业考勤、证件识别、取款消费等工作和生活领域，其带来的好处自不待言，但伴随而来的法律问题也不少，亟待深入研究并在法律上给予特别关注。

1 个人生物识别信息的内涵及特性

个人生物识别信息是一种新兴产物，对其使用极大地便利了社会生产和生活的各个方面。个人信息可分为一般个人信息和个人生物识别信息。个人生物识别信息其与一般个人信息存在较大差异。

1.1 个人信息与个人生物识别信息

1.1.1 个人信息的内涵

对于个人信息的内涵，我国法律现已有明确规定，《网络安全法》第七十六条第(五)项中指出，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。换言之，即个人信息是能够单独识别个人身份的，亦可结合其他信息识别个人身份的一种信息。其载体可以是电子方式，也可以是其他方式。其中个人生物识别信息是被囊括在内的，但该法并未明确个人生物识别信息的具体内涵。

1.1.2 个人生物识别信息的内涵

个人生物识别信息的内涵和我国法律上虽无明确规定，但国外有关法律中对此有所涉及。欧盟的《通用数据保护条例》规定，个人生物识别信息①是通过特定的技术识别而获得的个人信息。据此，笔者认为，个人生物识别信息是指在现代生物识别技术②的支持下，对个人的面容、指纹、虹膜、静脉、声纹等生物信息以及相关行为特征来识别并确定个人身份信息的一种特殊的个人信息。一般认为，个人生物识别信息包括自然人的指纹、面容、基因等信息，属于个人信息的一种类型。[1]与一般个人信息相比，个人生物识别信息的显著特点在于它具有唯一性、可识别性和终身性等，一旦被泄露或者滥用，所造成的损害后果较之于一般个人信息损害的后果更为严重。

1.2 个人生物识别信息的特性

个人生物识别信息是一种非常重要的身份认证信息，其安全级别和准确性均高于普通的身份认证信息。相较于一般个人信息，个人生物识别信息在来源和保有、作用以及损害后果等方面，均有其独特性。

1.2.1 个人生物识别信息的来源和保有特殊

在信息来源和保有上，个人生物识别信息系自个人出生即具有的。其与个人紧密相连，终身相随，不可更改，任一的个人生物识别信息均可识别个人的身份。而一般个人信息是在后天形成的，一般是可以更改变动的，不具有终身性，有些是不能被单独用于识别个人身份的。譬如，个人的地址、邮箱号等个人信息是可以更改变动的；而个人的声纹、指纹、虹膜等生物信息均无法更改，具有显著的人身附属性。

1.2.2 个人生物识别信息的作用较大

在作用上，个人生物识别信息的作用远大于一般个人信息。个人生物识别信息不仅可以识别个人身份，有些还可以识别个人的亲属、血型、基因等更多的信息；而一般个人信息仅能识别到个人的住处、爱好和姓名等普通的信息。譬如，通过电子监控，利用人脸识别技术和大数据分析，短时间便可定位个人的轨迹，并识别出个人的姓名、住址等信息；而利用住址、电话号码或者邮箱号等一般个人信息，往往需要一番周折方能获悉个人爱好、生活轨迹等具体信息。

1.2.3 个人生物识别信息损害的后果更严重

在损害后果上，由于个人生物识别信息保护不力所造成的损害后果是不可逆的。若个人生物识别信息被泄露或者滥用，那个人就像一个行走的信息源，在信息掌控者眼中，个人就像一个透明人，其造成的后果不只是财产的损失，更有精神损害或者其他人格权损害，甚至有可能给其亲属带来一定程度的损害；而一般个人信息所造成的损害，或是财产损失，或是精神损害，其损害程度远不及个人生物识别信息被泄露或滥用所造成的损害。譬如，一般个人信息被泄露或滥用，尚有补救之途径；而个人生物识别信息被泄露或滥用，则可能导致该人永久退出基于生物识别的业务。[2]

由于个人生物识别信息在其来源和保有、作用和损害后果等方面存在独特性，明显不同于一般个人信息，因而在法律制度设计上，应对其予以特别保护。

2 个人生物识别信息特别保护的必要性

自2018年以来，运用个人生物识别信息中的人脸识别信息——“刷脸”支付在全国多地开始应用，线下有“刷脸”支付、线上亦有“刷脸”支付。[3]随着人工智能技术的成熟，越来越多的生物识别技术被广泛运用至日常生活和工作中，乃至于国家机关的安防识别，其中人脸识别和指纹识别应用最为广泛。基于个人生物识别信息的广泛应用，个人生物识别信息的特别保护亦越显重要。

2.1 防止新技术的滥用

大数据时代下，个人生物识别信息被广泛应用，不仅方便了人们的日常生活，也为企事业单位和行政主体的管理提供了便利。利用人的面容或者指纹等生物信息识别技术，可以降低管理成本，提高社会工作效率，同样亦为企事业单位和行政主体的大数据分析积累了数据资源。倘若这些掌握着大量个人生物识别信息的单位滥用该信息，有意或无意而致该信息泄露，其损害后果将难以估量。

事物的发展有好的一面，同样也存在不好的一面，新技术的发展应用亦不会例外。技术带来的变化，冲击着传统的信息安全观。[4]曾有新闻报道，某高校学生被要求于某网站上注册，并到校园终端录入指纹，用于打卡验证和记录学生冬季长跑的事实。该事件引起了学生的强烈不满，使得人们更加关注个人隐私权的保护。[5]另有报道，某地公安机关为侦破案件，随意收集公民个人生物识别信息，涉嫌违反《刑事诉讼法》的有关规定。[6]最近亦有报道指出，杭州某动物园因未经同意，强制收集他人面部特征等个人生物识别信息而被起诉，该案亦成为我国人脸识别第一案。[7]个人生物信息识别技术的应用，引发了人们对于个人生物识别信息安全的忧虑。

个人生物识别信息与个人紧密相连，一旦个人生物识别信息被泄露或者滥用，其造成的后果不仅为财产的损失，更有精神损害或其他人格权损害。倘若该个人生物识别信息被用于违法犯罪，那么其有可能造成的危害后果更不堪设想。现实状况表明，个人生物识别信息亟待法律的特别保护，以便保障社会稳定、安全，促进新技术的应用发展。

2.2 促进法律制度完善

在我国，个人生物识别信息虽然比一般个人信息更为重要，但相应的法律保护却远不如一般个人信息，其保护力度和重视程度亦无法与港澳地区或欧盟相比。

我国涉及个人生物识别信息的法律法规规范，主要包括：《居民身份证法》第三条规定，公民申领身份证应登记指纹信息，公安机关收集到的指纹信息应妥善保密；《保安服务管理条例》第十六条和第三十七条规定，申领保安员证需要留存个人生物信息并予以保密；《征信业管理条例》第十四条规定，禁止征信机构采集个人生物识别信息；《刑事诉讼法》第一百三十二条规定，为了侦破刑事案件需要，有关部门可以提取犯罪嫌疑人的个人生物信息并予以保密。其中对于个人生物信息规定比较详细的，应属公安部的《公安机关指纹信息工作规定》，但这也仅仅规定了个人生物信息中的某些方面。

此外，我国有关个人生物识别信息保护的法律规定几乎都将其作为一般个人信息进行保护，而个人信息的法律保护亦尚未成熟，并且这些规定散见于《民法典》《网络安全法》《全国人大关于加强网络信息保护的决定》《消费者权益保护法》等法律法规。即便是目前关于个人信息保护立法的专家建议稿，以及先前公布的《个人信息保护法(草案)》，均把个人生物识别信息当作一般个人信息予以规定，并无重点突出个人生物识别信息的保护。[8]截至目前，尚无一部系统性的法律法规规定个人信息保护，亦无有关法律着重突出个人生物识别信息的地位并予以保护。

法律是有滞后性的，为了避免因为法律的不完善而导致个人生物识别信息的无序收集、不规范保存、不正当使用以及不及时删除所造成的恶劣影响，有必要对个人生物识别信息进行特别保护。因此，未来应抓住个人信息保护法的立法契机，在法律上明确给予个人生物识别信息以特别保护，以加强公众安全，促进个人生物信息识别技术应用的发展。

3 个人生物识别信息的特别保护举措

个人生物识别信息在法律上应如何进行特别保护，有不同观点。有学者认为，个人生物识别信息应作为财产权来进行保护。因为，在当代法学中，财产的概念是比较灵活的，即使不与具体物体相关的，亦有可能被认为是财产，将个人生物识别信息作为一种特殊的财产来保护是可能的。[9]另有学者认为，个人生物识别信息应纳入人格权的范畴进行保护。因为，个人生物信息属于个人隐私的组成部分，而隐私权属于一种人格权，个人生物信息权是个人隐私权的一项具体内容。[10]

笔者认为，个人生物识别信息是在大数据发展之下，对个人身份识别的一种新形式，该信息在具体运用时兼具财产权属性和人格权属性，但又不能完全等同于财产权和人格权。个人生物识别信息不同于一般个人信息，其独立存在的价值较大，当企业使用这些生物信息进行科技研发，或将其作为一种商品用于交换的过程中，个人生物识别信息便为人力所支配，具备了商品的价值和使用价值，即具有经济价值，因而具备了一定的财产属性，即有作为财产权客体的可能。[11]个人生物识别信息中的指纹、虹膜、面部等信息具有非常明显的人格特征，是个人自然生存和社会生存所必须的利益，在某些情况下具有隐私的属性，但又不能完全等同于隐私，其仅具有一定的人格权属性。[12]所以，法律上对于个人生物识别信息的特别保护应在新设权利的基础上展开。

基于个人生物识别信息的唯一性、排他性、可识别性和终身性等特征，其法律保护应有别于一般的个人信息保护，在未来的法律规范中应该被重点保护。

3.1 纵向层面：严密保护个人生物识别信息

对于个人生物识别信息的纵向法律保护，应从个人生物识别信息的收集、保存、使用和使用后[3]四个方面着手，从个人生物识别信息链条上的各个环节严密保护。

3.1.1 个人生物识别信息的收集保护

在个人生物识别信息的收集上，应确立通知、必需、正当、有限和同意五大原则。在此方面，对于个人生物识别信息的特别保护，可以适当借鉴我国香港特别行政区关于个人信息收集时的实践经验。实践中，香港地区的做法比较倾向于从收集信息开始时就严格限制，对于个人信息的收集应遵循合法性、适当性的原则，并且应准确告知当事人所收集信息的用途，所收集信息不得用于其他未经当事人明示同意的新目的。该做法可以避免信息被过度收集导致其后衍生的系列性问题。因此，对于个人生物识别信息在收集上的特别保护，应明确个人生物识别信息具有一定人格权属性，任何个人或者单位在收集他人个人生物识别信息时应通知该人，并征得该人同意方可收集其信息。同时，应针对实践中信息收集泛滥的情况，规定若该信息收集是非必要和非密切相关的，即使信息被收集者不同意被收集，其亦享有享受相应服务或者使用相关软件。

3.1.2 个人生物识别信息的使用保护

明确个人生物识别信息的使用应符合正当性、目的性，不得滥用个人生物识别信息。在大数据时代下，衣食住行各个方面均有使用个人生物识别信息的可能，绝对禁止收集公民个人生物识别信息是不可取的，[3]也无法做到。而能做到的，是在个人生物识别信息使用上严加保护，防止信息滥用。对于个人生物识别信息的使用，我国澳门特别行政区个人资料办公室在2008年12月专门公布了《使用指纹/掌形考勤设备的问题》，该文件作为处理实践中大量企业运用指纹或者掌形这些个人生物识别信息进行考勤的官方指南，指出指纹和掌形属于独一无二的个人生物特征，系个人信息。这份文件比较具体地规定了运用指纹或者掌形这些个人生物识别信息的使用者以及信息被收集者的权利，对于保护个人生物信息起到了很大的作用。因此，对个人生物识别信息使用上的特别保护，可以参考我国澳门地区关于个人生物识别信息在使用上的具体做法，在立法上，特别强调对于滥用个人生物识别信息的法律责任。

3.1.3 个人生物识别信息的保存保护

规定个人生物识别信息的保存制度。相关信息的持有者应妥善保存，因保存不力造成损害的，应承担法律责任。个人生物识别信息的保存非常重要，在大数据时代下，我们无可避免地需要使用相关的生物识别信息，因而人们被收集了异常多的信息，因此，个人生物识别信息的保存便成为了个人生物识别信息保护的一道重要屏障。在此方面，《澳门特别行政区个人资料保护法》规定，资料收集者在资料使用期间应妥善保存；同时规定了资料当事人在任何时候皆享有反对权，即可以与其情况有关的正当和重大理由反对处理与当事人有关的个人信息。该法亦规定了当资料被不法处理或遭受其他损失的情况下，当事人均有权向负责处理其资料的一方请求赔偿。故对于个人生物识别信息在使用上的特别保护，可参考上述有益经验，明确信息的保存期限，期限届满，个人有权要求删除被收集保存的个人生物识别信息；同时规定对于因保存不力而致使他人权利受损的，受损害人有权请求赔偿。

3.1.4 个人生物识别信息使用后应及时删除

个人生物识别信息使用后，信息持有者应及时删除，若需再次使用，应重新收集。在这个方面，欧盟的《通用数据保护条例》(GDPR)规定，一系列的识别代号均可属自然人的个人信息，明确个人信息包括但不限于可识别自然人身份的身体、生理、基因等。其第4条第14款明确表明，生物信息是对自然人身体、生理或行为进行一定的技术处理所获得能够识别特定自然人的信息。其第9条明确规定了敏感个人信息的处理，明确能单独识别一名自然人生物识别信息为特殊类别的信息，处理这些个人信息时需要当事人明示同意，非因公共利益不得自行处理。规定信息被收集者享有删除权等权利，对于信息使用后严格规定。[13]实践中，存在着许多基于正当目的而收集他人个人生物识别信息的企业或者行政主体，而这些主体在使用这些信息达到最初之目的后，多数均不能做到及时删除，甚至被挪作他用。所以，未来有关法律规定中，可适当参考欧盟的实践经验，明确规定，当收集到的个人生物识别信息因被收集之目的使用完毕后，信息持有者应尽一切可能及时删除，若不及时删除，则需要承担相应的责任。

3.2 横向保护：明确各类主体责任

3.2.1 强化行政主体对个人生物识别信息保护的责任

行政主体在个人生物识别信息的保护中责任重大。因此，有必要强化其责任，对于不作为或者作为不力的给予相应处罚。在此方面，香港地区专门设置了个人隐私专员，以便履行个人信息保护的相应行政职责，其《个人资料(私隐)条例》亦对政府的责任作出了明确的规定。因此，个人生物识别信息的行政保护上，需要明确行政机关的监管职责，合理设置政府个人信息保护监管机构，打击过度采集个人生物识别信息的行为，对个人生物识别信息的收集、使用、保存和使用后严格监管。另外，规定个人生物识别信息在行政领域进行非商业应用时政府及相关机构的责任与权利。相关主体对于违反规定，没有及时删除，或未能尽一切可能删除所收集的个人生物识别信息的，可以给予一定的行政处罚，并规定行政机关享有强制删除的权力。

3.2.2 厘清个人生物识别信息的法律属性

需厘清个人生物识别信息的法律属性，夯实其作为私权保护的基石。澳门地区《录像监视法律》规定，录像监控系统若直接或即时收录了侵犯个人隐私的影像或私人谈话则属不当，应及时删除，利害关系人在不对社会治安构成危险、不影响第三人权利及自由、不妨碍任何性质的司法程序正常进行的前提下，有权查阅或者删除按照本法律规定收集的录像资料。欧盟的《通用数据保护条例》亦规定了信息被收集者享有的一系列权利，其中规定，个人在特定情况下有权要求相关企业删除个人信息，被要求者不得延误；另外亦规定了信息可携带权、信息处理反对权等权利。因此，在个人信息保护的民事立法上，应重点突出个人生物识别信息的收集应征得许可，规定未经许可收集的法律后果以及民事救济方式。同时，明确使用个人生物识别信息应与当事人签订合同，使用严格依照合同约定，如有违反约定，当事人有权主张违约责任。对于滥用个人生物识别信息的企业或者行政主体，相关个人有权以其权利被侵犯为由向人民法院起诉，要求侵权人承担相应赔偿责任以及消除影响等。另需规定，自然人在不损害国家利益、公共利益和第三人利益的前提下，享有对其个人生物识别信息的删除权、迁移权等权利。在民事程序保护上，基于个人生物识别信息的特殊性，对于相关的举证责任应适用举证倒置的规定，并且可以考虑适当降低证明标准以及审理期限；或设定特别程序，用于专门处理个人生物识别信息被侵权的情形。

注释：

①国外称为“个人生物识别数据”，为了全文统一，本文统一将其称为“个人生物识别信息”。

②生物识别技术是利用传感器扫描样本之特征部位，并由计算机处理后形成的具有高度可识别性的数据档案。详见：朱工宇.生物识别与隐私权保护之法律冲突及其协调[J].科技与法律,2009(6):25。