分离困境与整合路径：大数据时代下个人生物识别信息保护制度之完善

曾 昌

一、问题的提出

随着人工智能的兴起与大数据技术的蓬勃发展，消费、娱乐、社会交际等逐渐呈现出数据化的新态势，但其中数据引发的个人生物识别信息保护问题受到关注。如2019 年8 月某AI 换脸软件疑似窃取用户脸部识别信息，2019 年10 月小学生打印取件人照片盗取快递柜货物，2021 年3·15 晚会曝出汽车4S 店与科勒卫浴等通过监控摄像头盗取消费者人脸信息并上传至后台保存与分析处理，等等。上述案件令身处大数据时代的人们深刻意识到，与自身人格利益具有密切联系的个人生物识别信息，在技术的笼罩下已经开始逐渐脱离信息主体，陷入了分离性侵权困境。

可见，大数据时代个人信息保护的重要性不言而喻，对作为敏感信息的个人生物识别信息的保护尤为重要。数据体量的增长、识别技术的发展、计算能力的提升促使了个人生物识别从早期单一的指纹识别、静态面部识别，转向动态面部识别、声音识别等立体式、多样化识别。这一多样化识别的便捷性、唯一性给予了社会各行各业数据产业化进一步发展的契机，生物识别信息已然成为重要信息资源。然而，信息处理者基于数据化的基本立场积极追求个人信息的商业价值，特别是具有强识别性的个人生物识别信息广受追捧，以致个人生物识别信息侵权事件频发。数据技术掌控者开始利用科技手段将个人生物识别信息从其本体处进行剥离与盗取，个人生物识别信息权利受到侵害的情形广泛存在。①付微明：《个人生物识别信息的法律保护模式与中国选择》，《华东政法大学学报》2019 年第6 期。个人生物识别信息主体权益亟待法律的深入保护。

当下，学术界已从个人生物识别信息的概念、特点、制度建构①商希雪：《生物特征识别信息商业应用的中国立场与制度进路——鉴于欧美法律模式的比较评价》，《江西社会科学》2020 年第2 期。等多方面对其展开研究。随着个人生物识别信息侵权现象愈演愈烈，部分学者开始注重个人生物识别信息本体特殊性和社会特殊性②王德政：《针对生物识别信息的刑法保护：现实境遇与完善路径——以四川“人脸识别案”为切入点》，《重庆大学学报（社会科学版）》2021 年第2 期。，从可识别性与场景应用性③邢会强：《人脸识别的法律规制》，《比较法研究》2020 年第5 期。等特点出发，认为应当从民事权利救济方面④付微明：《个人生物识别信息民事权利诉讼救济问题研究》，《法学杂志》2020 年第3 期。或者刑事规制角度⑤李怀胜：《滥用个人生物识别信息的刑事制裁思路——以人工智能“深度伪造”为例》，《政法论坛》2020 年第4 期。展开对中国个人生物识别信息保护研究，从而构建层次分明、内外协调、符合中国国情的个人生物识别信息保护体系⑥吴小帅：《大数据背景下个人生物识别信息安全的法律规制》，《法学论坛》2021 年第2 期。，但较少有研究涉及生物识别信息的分离性特征。同时，现有研究已然注意到个人生物识别信息保护的特殊性。在界定个人生物识别信息内涵并肯定研究之必要时，应当看到个人生物识别信息保护无法落实的根本原因在于已有法律保护的理念、规则、制度之滞后性，忽视了个人生物识别信息在现阶段的特殊分离性。生物识别信息在传统背景下与自然人个体是一体的，指纹、虹膜等只有在与自然人相结合时才能体现出验证性价值；而在大数据背景下，数据技术实现了将生物识别信息从自然人本体处进行剥离、结构化数据处理、分离化储存、数字化分析与价值转化，这对传统的法律制度构建一体化理念提出了巨大挑战，并带来了法律适用问题与社会现实问题。

规范性法律制度与特殊法益客体之间的平衡，是实现法律创新与保护体系完善的重要环节。故本文拟从以下方面探讨中国个人生物识别信息保护，以回应大数据等新型技术对中国法律制度提出的时代性挑战：其一，根据个人生物识别信息在当下的分离特质，分析其面临的现实问题，以及其中蕴含的法律适用问题；其二，深入剖析法律适用问题所隐含的法理根源；其三，根据理论层面的适配性矛盾形成现实指引，挖掘大数据背景下中国个人生物识别信息保护制度的发展与创新方向。

二、生物识别信息分离困境的数据化呈现

生物识别信息属于特殊的个人信息，其中蕴含的个人生物特征与人格特征是直接指向自然人本质的，与姓名、联系方式等不同，生物识别信息如指纹、虹膜信息等是无法进行替换和改变的，具有最为严格的专属性。这种专属性在一方面决定了其作为特殊个人信息的较高经济价值，另一方面也决定了生物识别信息侵权的更大损害。个人识别信息的分离困境较之其他类别的个人信息而言，将凸显出独特的表象与更为严重的损害后果。

（一）“一键同意”：技术垄断导致的生物识别信息控制权分离

根据《中华人民共和国民法典》（以下简称《民法典》）第一千零三十四条，生物识别信息属于“个人信息”，又根据第一千零三十六条，只有在自然人（监护人）同意的范围内、在自然人（监护人）自行公开的情况下处理个人信息，才不需承担民事责任。可见，自然人对于个人信息尤其是生物识别信息应当是实现完全支配的，同时《民法典》将个人信息纳入人格权编，说明了其具备的人格属性，而自然人与其具有人格属性的生物识别信息应当是一体的。但随着网络空间3.0 的确立，网络虚拟空间与生物识别技术的结合完成了对消费市场的历史性变革，促进了传统产业数据化的发展，并由此提高了数据应用者的技术优势地位和市场交易地位，同时也使作为自然人的数字用户在参与数字社会活动中无法实质性控制其个人生物识别信息的采集、加工和处理等。私法确立的“知情—同意”等形式平等和自治范式亦无法扭转个人生物识别信息实际控制权向数字技术优势方移转之趋势。

具体来说，信息处理者本身巨大的数据体量和广阔的收集渠道、成熟的加工算法，使其在信息处理过程中占据了优势地位。信息处理者为了减少交易风险，追求信息利益最大化，不仅会要求信息主体在享受其信息服务时提供个人信息，还会要求信息主体开放网络载体全部权限以攫取更多的个人信息，并以其提供的格式合同实现上述诸多权限的合理化，形成数据环境下的“一键同意”与“二选一”困境。比如，现行手机存在的诸多APP 一般要求获取手机全部权限，可以实现对信息主体的照片、指纹等个人生物信息的整体收集，甚至对日常生活的声音内容进行收集，以便实现个性化推荐。上述生物识别信息具有较之一般个人信息更强的私密性，对其进行的收集与利用行为不仅提高了个人权益侵犯的可能，更提高了对个人私密空间侵入的程度。另一方面，信息处理者为了实现信息生产资源的最大化，会与第三方机构共享其信息资源，这一行为直接体现为保险公司、贷款公司乃至销售公司的电话骚扰。信息主体的个人信息乃至个人生物识别信息严重泄露，信息主体的合法权益就陷入了重大侵害危机。

由此可见，个人生物识别信息主体在与信息处理者进行个人信息交易时处于技术和交易关系方面的劣势地位，导致传统背景下掌控在自然人手中的个人信息乃至个人生物识别信息开始与主体被迫分离，控制权开始逐渐掌握在信息处理者手中，并使得信息权人无法实现其信息的有效自决，最终落入信息市场交易失衡的困境。

（二）财产权与人格权二元性：数据市场中的生物识别信息价值分离

在传统社会中，个人生物识别信息的人格属性占据突出地位。而在信息数据社会中，传统个人生物识别信息的价值性与经济性开始凸显，财产属性也逐渐得到理论与市场的认可，其人格利益保护问题转变为人格利益与财产利益间的平衡调整问题。大数据的体量计算使大规模信息瞬时分析成为可能，赋予个人生物识别信息以丰富的商业价值和公共管理价值。大数据时代衍生了大量新兴数据企业，其企业盈利的生产资源往往依赖于指数级增长的个人信息，此个人信息经收集、分享、加工后形成数据资源，进而成为重要生产要素，个人生物识别信息作为交易资产在市场中流通，因而具有财产属性。但是这一财产并未掌控在信息权人手中，而是被数据掌控者通过数据技术实现了人格与财产价值的剥离。同时个人生物识别信息的商业化必然导致个人生物识别信息的大量收集、处理、加工，这种信息商业使用必然与个人生物信息保护需求，甚至知情权、遗忘权等相关权利相抵牾。

信息主体对个人生物识别信息的保护需求与信息处理者对个人生物识别信息的利用需求之间的矛盾日益尖锐：如果重视个人生物识别信息的保护，将大幅度增加信息处理者的利用成本，甚至加剧信息沉淀效应，严重制约生物识别技术乃至大数据产业的发展；如果重视生物识别信息的商业价值，个人生物识别信息将被逐利性产业所滥用，这种权益侵害又会因为生物识别信息本身的不可变更性上升为永久性侵害。

（三）识别与仿造：深度学习模型引发的主体性分离

计算机系统的发展、算法模型的优化、网络速率的提升，信息处理者处理信息主体信息的效率不断提升，处理后的个人信息成为信息处理者新的生产要素，为其后续经营提供信息支撑。个人生物识别技术的识别便捷性本身就受到信息处理者的关注，其独一无二的防伪性特征，已经成为大数据时代身份的主要识别方式之一，这更促使信息处理者对其趋之若鹜。如果说个人信息是大数据时代的黄金①王成：《个人信息民法保护的模式选择》，《中国社会科学》2019 年第6 期。，那么个人生物识别信息则由于其不可变更性、唯一性成为大数据时代的钻石。而使其成为“钻石”的，正是上述防伪性特征、与自然人一一对应的独有性质。

但是，个人生物识别信息的防伪性并不意味着其无法被仿造。深度伪造技术就是伪造个人生物识别信息的典型代表，该技术是利用深度学习专业模型运算生成的自动化智能视频处理等技术。由此产生的如“换脸视频”等技术现象对现有法律适用过程中的事实认定规则提出挑战。②王禄生：《论“深度伪造”智能技术的一体化规制》，《东方法学》2019 年第6 期。个人生物识别技术和个人深度伪造技术已经成为信息处理者密切关注的技术对冲，信息处理者如何实现对信息主体生物信息的有效识别，成为关系信息处理者实现预期利润的重要一环。在实现成功识别与仿造后，个人生物识别信息中的防伪性、不可复制性以及对应性价值逐渐丧失，生物信息最终与自然人完全分离，自然人失去了对其个人生物信息的控制与支配。

在法律层面，信息处理者又往往凭借优势地位将这一风险以格式合同的方式转嫁给信息主体。此外，信息主体合法权益还受限于传统隐私保护中侵权损害结果与因果关系等证明责任而无法得到有效保障，个人生物识别信息主体权益法律保护滞后性也就凸显出来。

三、中国个人生物识别信息分离性困境的法理根源

（一）立法层面的“宜粗不宜细”理念对生物识别信息分离特质的掩盖

在大数据时代，生物识别技术飞速发展，生物识别信息保护的重要性已经为各国所认同。中国虽然在《民法典》中确定了“个人信息”章节，也只是提升了个人生物识别信息的保护层级，还没有正视其分离性特质，个人生物识别信息的有效保护也就无法落实。甚至就所涉及的法律法规而言，基本也是分布于中国各部门法律法规之间，受“宜粗不宜细”立法理念的影响，相关规定比较粗放。

在这种情况下，效力层级较高的法律对于个人生物识别信息的保护性规定往往是较为宏观且模糊的，具体而细化的保护性规范一般是体现在效力层级较低的规章或法规中，或者是在专门法律部门中予以规定。如在《中华人民共和国反恐怖主义法》（以下简称《反恐怖主义法》）《中华人民共和国出境入境管理法》等，其虽然使用了“生物识别信息”的概念表述，但即使是进一步对个人生物识别信息的解释性款项，也只是以列举的方式罗列了个人生物识别信息的具体类型。也就是说，宜粗不宜细的立法理念使得生物识别信息在中国立法层面形成了主体与客体的断层，主体及其相应权益在《民法典》等原则性规范中进行规定，客体在其他法律部门中进行列举，二者之间的断层使得大数据背景下生物识别信息的三类分离问题在形式上体现为法律部门之间的分离，掩盖了数据化对生物识别信息的分离性刺激。

比如，从法理层面看，信息主体对其个人信息应具有支配性权能，任何个人或者组织经信息主体同意方能处理个人信息，法律另有规定的除外。《中华人民共和国网络安全法》（以下简称《网络安全法》）第二十二条第三款、第四十一条、第四十二条第一款、第四十三条，《征信业管理条例》第十七条至第二十条，以及《电信和互联网用户个人信息保护规定》第五条、第八条至第十条就明确了信息主体对其个人信息的支配性权能，如知晓个人信息被收集的原因、被收集后的使用目的，并在此基础上同意信息处理者收集的权能；知晓其个人信息被转让时拒绝被转让的权能；知晓其个人信息出现错漏要求信息处理者删除、更正信息的权能。①程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018 年第3 期。但是，大数据背景下个人对生物识别信息的控制权被技术化地强制分离，而在形式上却表现为立法的可操作性问题。如果无法正视个人生物识别信息的分离性本质，就无法实现对信息主体相关信息的有效保护。

再以保密义务为例，《民法典》第一千零三十八条从作为义务与不作为义务两方面规定了信息处理者的保密义务：信息处理者应当履行必要的保管义务，包括采取信息安全保管技术确保信息安全以及在信息安全问题发生后采取补救措施并防止损失扩大的积极义务，同时，信息处理者还应当履行不得泄露个人信息的消极义务。此外，《消费者权益保护法》第二十九条第二款，《商业银行法》第五十三条，《网络交易管理办法》第十八条第二款等对中国互联网、电信、征信、证券、银行等领域具体信息处理者应尽保密义务作出了行业性规定。从实践来看，各行业内的保密对象限于信息主体的账户信息、交易信息以及对应信息的衍生信息，并没有对个人生物识别信息的去识别化、特殊保密作出特殊规定，行业内信息的自由裁量空间过大。宜粗不宜细的立法理念与立法模式使得生物识别信息与主体之间的分离在形式上被默认，只需满足保密义务，相应的信息分离就可被正当化，个人对于生物识别信息的完全支配被保密、隐私、同意等概念替代。

（二）制度层面的规范缺失引发的生物识别信息分离加剧

个人生物识别信息是传统个人信息类别在科技领域的延伸，在大数据时代下，衍生出一定的财产属性。目前，国外尤其是欧美国家早已注意到个人信息乃至个人生物识别信息保护的重要性，建立了各具特色的个人生物识别信息保护制度。而中国目前不仅缺乏准确的法律定义，也没有专门性法律保障体系。目前，在大数据技术飞速发展以及个人生物识别信息权益频受侵犯的社会背景下，中国个人生物识别信息保护法律制度存在以下主要问题：

1.法律概念模糊化：表述不一、分类不明

个人生物识别信息在中国不同法律法规中存在不同的概念表述，如前所述的三种表述形式侧重于不同概念特征。“生物识别信息”侧重于信息的生物识别性，“生物特征信息”则侧重于生物信息的唯一性、不可变更性，“个人生物识别信息”则强调生物信息的信息主体性。细究不同法律法规的表述，不难看出其规范客体实质上趋于一致，但由于不同侧重点决定了不同表述形式，不利于体现法律的一致性。甚至，中国现有法律法规依旧遵循了个人生物识别信息的列举式界定，并未顾及作为个人信息重要保护客体——生物识别信息的统一表述。

个人生物识别信息在个人信息保护体系的定位也有所不同，如《民法典》将其列举为个人信息的具体类型，而《信息安全技术个人信息安全规范》（以下简称《个人信息安全规范》）将其归属于个人敏感信息，《网络安全法》也明确了个人生物信息属于个人敏感信息部分。个人生物识别信息应该遵循适用一般性规则还是敏感信息规则就存在争议。其外延也存在不同表述，如《反恐怖主义法》认为应当包括肖像、指纹、虹膜图像等，《网络安全法》认为应当包括肖像、指纹等，《个人信息安全规范》认为应当包括面部特征、指纹、声纹等。不同的个人生物识别信息外延体现了不同法规认定之标准，在法律保护对象不统一、内涵不确定、外延不明确的环境，各种侵犯信息主体合法权益的行为层出不穷。

概念的模糊使得生物识别信息的价值分离加剧。如前文所述，生物识别信息作为大数据时代的“钻石”，其财产性价值与经济性价值促使着其被数据技术所复制，而《网络安全法》《个人信息安全规范》等在并未厘清其概念范畴的基础上，自然无法明确其具体权利性质。由法律概念模糊性引起的有关个人生物识别信息权利性质的模糊性，体现了其人格属性与财产属性之间的冲突，及其背后不同立法目的与价值导向之间的分离与失衡，进而造成法律适用过程中有关价值平衡、利益协调和秩序稳定等方面的问题。

2.规范制度碎片化：位阶较低、内容分散

中国个人生物识别信息保护附属于个人信息保护体系，散见于民法、行政法和不同监管部门的规范性文件中，目前可以直接援引用于保护个人生物识别信息的法律法规不仅有限而且法出多门，如国家市场监督管理总局、国家标准化管理委员会发布的《个人信息安全规范》，该项规范虽然涉及对个人生物识别信息的概念、类型等多项规定，实现了技术性、规范性保护，但是其层次较低，并不能满足法律规制的目的。中国个人生物识别信息保护依旧只能适用个人信息保护法律法规，从《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》《地图管理条例》等多项法规条例中寻求具体保护支撑，法律法规位阶普遍较低。而较低位阶的法律规范无法在操作中整合分离的生物识别信息的价值与主体性。

同时受限于传统个人信息的一般性保护，中国个人生物识别信息依旧是遵从普适性保护规定，《民法典》第一千零三十四条明确了这一基本定位，同时明确个人信息使用应当遵循的基本原则与条件。①冉克平：《论个人生物识别信息及其法律保护》，《社会科学辑刊》2020 年第6 期。而人脸模仿、声纹模仿等深度伪造技术的发展，不仅是对个人生物识别信息主体身份的防伪性破坏，也威胁着公共安全甚至国家安全。但是，与之对应的具体个人生物信息保护规范集中在《民法典》《网络安全法》等多部法律法规中，内容分散，没有实现对个人信息保护的体系化构建，甚至在各行业领域内呈现了碎片化趋势。这种碎片化也是对生物识别信息数据化分离特质的形式掩盖。“法不禁止即允许”的私法领域无法实现信息主体对于个人生物识别信息的体系性保护，法规之间关联性、衔接性不强，甚至内容空洞化、原则化，可操作性不强。

3.救济机制虚置化：权界不清、救济不力

个人生物识别信息作为一种敏感数据资源，其本身就是个人保护与资源利用的矛盾体。信息处理者在信息、技术和诉讼上都处于优势地位②王怀勇、常宇豪：《个人信息保护的理念嬗变与制度变革》，《法制与社会发展》2020 年第6 期。，信息主体在其生物信息被非法收集、滥用时，往往只能以高昂的诉讼成本实现对自身权利的保护，人脸识别第一案①参见浙江省富阳市人民法院(2019)浙0111 民初6971 号民事判决书。就是这种情形的典型代表。换言之，个人信息维权成本过高、侵权证据难以收集、侵权行为与损害结果之间因果关系难以证明、最终赔偿数额过低是民事诉讼无法有效保护信息主体权益的主要原因。②张新宝：《〈民法总则〉个人信息保护条文研究》，《中外法学》2019 年第1 期。因为基于生物识别信息的举证相关权利、请求权等本质上属于第二性的权利，需要基础权利予以支撑；而数据化分离的生物识别信息与相关社会关系中，个人有关生物识别信息的控制权、主体性权利等都被数据技术强制分离，无法作为基础实现救济性权利。

可见，当个人生物识别信息被滥用时，依据中国现有之规定，并不能实现对信息主体合法权益的有效保护。随着数字信息技术的发展，深度伪造技术的不断挖掘使得人脸信息、声纹、掌纹等均可被分离与复制。而个人生物识别信息的直接识别性与不可变更性是其在法律效果上具有特定性的前提，深度伪造技术滥用等对生物识别信息基本社会功能的破坏，要么导致信息主体人身利益的过高救济成本，要么产生为回避风险而退出身份市场的行为萎缩现象，后者被认为是一种不可逆的永久性损失。③高富平：《论个人信息保护的目的——以个人信息保护法益区分为核心》，《法商研究》2019 年第1 期。中国现有一般性个人信息保护原则只是普适性保护规定，并不能实现对个人生物识别信息的针对性保护，无法有效扼制这种不可逆的损失。

尽管前述诸多法律法规及《个人信息保护法（草案）》旨在以更为严苛的使用原则规范信息处理者对敏感信息的处理，但是以义务方式规范信息处理者，忽视了信息处理者的逐利本质，也忽视了数据化技术对生物识别信息的真正影响。以至于有学者提出以“元规制”方式实现对信息处理者的自我规制④张涛：《大数据时代“通过设计保护数据”的元规制》，《大连理工大学学报（社会科学版）》2021 年第2 期。。目前中国对于个人生物识别保护并没有具体有效的事前事后救济制度，只是以传统隐私保护救济方式实现对信息主体的信息权益救济，这也一定程度上也反映了大数据时代下中国个人生物信息保护的滞后性。

（三）传统立法对生物识别信息的特殊性缺乏考量

传统个人信息保护法律规范体系中，对个人生物识别信息的特殊性考量的缺乏，事实上是“宜粗不宜细”的另一方面体现。生物识别信息的特殊性，决定了其受侵害后损害后果的特殊性，也决定了应当对其采用特殊性的规范与保护，其原因在于生物识别信息不同于其他类别个人信息的独有特征。

具体来说，一方面，生物识别信息的不可替代性被立法忽略。在《民法典》一千零三十四条所列举的个人信息类别中，唯有身份证件号码与生物识别信息是不可更改的。个人信息保护立法的原始目的，是为了切断与人格相联系的信息与经济性技术的链接，以实现个人空间与私密空间的安宁与不受侵犯；这种法律意义上的利益与需求，在理论上应当具有私力救济与公力救济的双重保障。在极端情况下，自然人可通过更换部分个人信息以实现前文所述的“变更”“遗忘”等目的，如个人手机号码、电子邮箱等可在数字化平台上进行“解绑”，住址、健康信息等也可在一定程度上进行更新与更换，但生物识别信息因其不可替代性，无法通过上述私力手段进行变更与保护。进一步地，在立法未考虑到上述特殊性、未为其构建专门的特殊保护制度和规则的情况下，个人生物识别信息便面临着公力与私力救济失效的双重困境。

另一方面，识别性保护模式的不适用性。《民法典》据其第一千零三十八条，规定了个人信息侵权的一项重要排除内容，即在经过加工后、无法识别至特定个人的情况下，可排除个人信息保护法对信息处理者的责难。这也是中国乃至全球范围内适用的“可识别原则”和“匿名化原则”的理论层面体现。但值得注意的是，“生物识别信息”的唯一价值性即在于对特定个人的识别性与链接性。也就是说，个人生物识别信息无法被匿名化，或者说匿名化的生物识别信息不具备对信息处理者的经济吸引力。在这种情况下，《民法典》对个人信息的保护模式在一定程度上并不适用于生物识别信息，立法的完善应当对生物识别信息进行单独而特殊的考量。

可见，在现行立法体系中，个人生物识别信息面临着不同于一般个人信息的特殊困境，其人格特殊性与经济特殊性在现行立法中未得到充分的重视，依据一般化的个人信息保护模式无法对其进行有效的保护，需要根据其独特的分离逻辑与本质特征，实现特殊的保护制度构建与立法完善。

四、个人生物识别信息主体权益法律保护制度的整合性完善

大数据时代传统私权型社会已经向网络共享型社会转变①李牧翰：《数字经济下民事新权利的构建：数据资源权》，《云南社会科学》2020 年第4 期。，传统被动式私法机制已经无法应对这一改变。现阶段的信息共享属于数据技术与算法等科技的强制共享，信息主体的个人生物识别信息被迫与主体分离，失去主体的支配与控制，其安全正面临着严峻的时代挑战，与传统社会相比，侵害行为的破坏性与范围性已经不可同日而语。②宋亚辉:《个人信息的私法保护模式研究——〈民法总则〉第111 条的解释论》，《比较法研究》2019 年第2 期。《个人信息保护法（草案一次审议稿）》和《个人生物识别信息的保护（草案）》表明中国立法机关已经正视这一时代挑战，试图以严密法网实现对个人信息的有效保护，但是依旧没有正视作为个人信息核心——个人生物识别信息的特殊地位以及不可变更性；其沿用的仍然是传统个人生物识别信息不可分割的人格性特点，却未明确数据技术对其进行主体性剥离的能力。个人生物识别信息一旦被剥离，除非发生重大人身事故导致信息主体的个人生物识别信息变更，否则信息主体的个人生物识别信息就可能会被持续侵害，信息主体只能从涉及生物识别认证市场脱离，以防止这一持续性侵害。故在此基础上，实现概念、规则和制度层面进行分离性质的整合，对于中国个人生物识别信息保护的完善具有十分重要的意义。

（一）概念的整合：明晰个人生物识别信息的法律概念

法律概念是解决法律问题的核心工具，法律概念的明确与否直接关系着法律逻辑与保护路径的选择。如前所述，中国个人生物识别信息一直归属于上位概念个人信息之下，没有在任何法律法规明确个人生物识别信息的概念。西方国家已经以不同法案正视了个人生物识别信息概念的特殊性，早在2008 年美国伊利诺伊州《生物识别信息隐私法案》（以下简称BIPA）就明确指出生物识别信息是基于个人生物特征识别符而衍生的信息，无论其是如何被取得、转换、存储或共享，都只能用于识别个人，包括虹膜、指纹、声纹、面部几何扫描等。③In Section 10.The Biometric Information Privacy Act,Public Act 095-0994 SB2400 Enrolled LRB095 19768 KBJ 46142b.欧盟《一般数据保护条例》（以下简称GDPR）生物特征信息是指具有唯一识别性，以识别个人的技术完成对信息主体生物或行为特征处理而产生的个人信息，如面部信息、虹膜信息等。④参见欧盟《一般数据保护条例》GDPR 第4 条第14 款。即使是2020 年提交美国参议院的《国家生物识别信息隐私法（草案）》（以下简称NBIPA）也只是在BIPA 的蓝本上增添了具体性类别，“基于个人步态特征或个人其他不可改变的特征而产生的任何其他独特的识别性信息”⑤In Section 2.The National Biometric Information Privacy Act.。

综合看来，个人生物识别信息的界定具有三个共同点：一是基于个人的独特生物或者行为特征。单纯的生物特征并不能称之为生物识别信息，如肤色、身高、体重等，其并不能实现个人特征的独特性。二是具有唯一识别性的生物信息。如眼睛、鼻子、嘴唇等具有一定识别性的生物信息并不是生物识别信息，只有单个生物信息不需要关联其他信息就可以直接识别个人才是个人生物识别信息，比如虹膜。三是经科学技术处理后的生物信息。未经特定技术处理而记录下的生物识别信息并不满足个人信息的要求，如照片、医疗档案⑥In Section 10.The Biometric Information Privacy Act,Public Act 095-0994 SB2400 Enrolled LRB095 19768 KBJ 46142b.等。这也对应了个人生物识别信息的唯一性、可识别性、不可变更性的基本特征，结合《信息安全规范》所明确的生物识别信息种类，中国个人生物识别信息的法律概念也就呼之欲出了：个人生物识别信息是指基于人类生物属性而衍生出具有唯一可识别性与可分离性的生理及行为特征，经科学技术处理而形成具有身份性的个人信息，包括面部特征、指纹、声纹、个人基因、掌纹、耳廓等。新的生物识别信息在传统概念体系基础上进行了一定的延展，在识别性、唯一性、不可变更等特征外加入可分离特质，这一性质有利于鉴别信息权人的控制权与支配权失效问题。

此外，根据新的生物识别信息概念，应当得出新的生物识别信息侵权命题，即对于生物识别信息在未经权利人同意的基础上进行剥离、储存、分析和应用，是生物识别信息侵权的主要形式。上述概念与命题的延展，有助于整合生物识别信息侵权问题在大数据背景下的新型理论框架，对于侵权的认定大有裨益。

（二）规则的整合：确立以保护个人生物信息主体控制权为核心的法律原则

各国生物识别信息保护都是在个人信息保护法范畴下，其保护体系都遵循着从一般性使用原则到特殊性使用原则，GDPR就是以知情同意权、访问权、遗忘权等权利束意图加强信息主体对个人信息的支配和控制。①参见欧盟《一般数据保护条例》GDPR 第14、15、16、17 条。中国个人生物识别信息保护隶属于个人信息保护，其法律调整模式以私法上的“知情同意”为原则，但是这一确权被动式保护并不能实现对信息主体的有效保护。如前所述，信息主体与信息处理者之间的信息不对称，并不能使信息主体的知情同意权落于实处，甚至信息处理者基于个人生物识别信息的巨大价值，对个人生物识别信息的收集和利用有愈演愈烈的趋势，而权利人的控制权只能流于形式，无法被真正地实现。例如手机APP 设置的所谓“隐私条款”完全超出了处理个人信息的原则性规定，用户如果不接受该隐私条款也无法使用该APP，用户的选择权根本无法实现；人脸识别第一案也暴露出特定机构（小区、公园等）对个人生物识别信息的处理并没有遵循必要性原则，而是一种利用优势地位的半强迫式同意。一般性保护模式并不能完成对这一价值关键的有效保护，从某种意义上而言，这一保护模式反而成为信息处理者的“帮凶”，因为其提供了合法的外观。

个人生物识别信息被侵害后的不可逆转性意味着其一旦被侵害，信息主体的合法权益就已经无法挽回。目前一般性保护模式并不能有效实现对侵害行为的有效规制，从一般到特殊的保护模式从一开始就没有注重个人生物识别信息的重心地位，也没有意识到信息主体控制与支配自身生物识别信息的现实难度。个人信息作为重要生产要素本身就被信息企业所追寻，但是目前个人信息不外乎于身份识别、支付、分析等方面，一般的个人信息足以实现上述诸多功能，信息主体的个人生物识别信息使用并无必要。因此，对于个人生物识别信息保护应当正视其分离性特质，以保护信息主体控制与支配权为出发点，围绕生物识别信息的重心地位，确立严格合法性、妥善合理性、充分必要性原则，而不是以普适性原则应对个人生物识别信息的利用。

中国立法者也正视了这一点，从《个人信息保护法（草案）》第二十九条对敏感信息的“充分的必要性”表述，到《个人信息保护法（草案二次审议稿）》对立法目的的修正无不佐证了这一点。但是，一般性规定最后还是会落入无法落实的窠臼中。因此，中国个人生物识别信息保护不应当作为个人信息保护中的特殊处理，而应当是个人信息保护的重心，同时个人信息保护应当回应信息主体权益保护的时代需求，明确个人生物识别信息的严格使用原则，从收集、处理、分析、使用、传输、删除等方面对信息处理者的处理信息行为进行严格限制。如在信息收集阶段，信息处理者必须就收集个人生物识别信息的合理性、目的性、方式、期限等做出合理解释，并以通俗易懂的方式征得信息主体同意，以去识别化的方式保障生物识别信息的安全性；在信息传输阶段，信息处理者应当具有合理保护资质，在信息泄露或者保护不当时，应当及时向相关利益方、有关部门反映，及时预防侵害发生；在信息删除阶段，一旦信息主体要求删除，就应当及时删除，否则就会被有关部门追责等。简言之，在个人生物识别信息数字化、产业化的时代，处于弱势地位的信息主体的权益受侵害风险不断扩大，故法律不应当采纳旨在调和信息主体与信息处理者之间利益冲突的“利益平衡原则”，而应当确立倾斜维护信息主体的“控制权原则”。这一原则有助于整合有关生物识别信息乃至个人信息保护的法律规则，在生物识别信息的主体与权利内容相分离的背景下，这种整合有利于形成二者之间在立法层面的联系，形成完整的逻辑链条。

（三）程序的整合：公法规范与私法保护的统一

法的一切理论都应当落在制度层面发挥实际功能。而在生物识别信息保护领域，最为重要的则为救济程序的相关制度。中国在处理生物识别信息概念厘清、规则体系变革后，完善具体的救济制度与救济程序，在大数据背景下显得尤为重要。生物识别信息的唯一性与不可更改性，结合其在大数据背景下形成的分离困境，使得生物识别信息保护的公力救济与私力救济均凸显出严重的问题，自然人在私法领域无法有效适用《民法典》有关生物识别信息“可识别性原则”与匿名化规则，在公法领域无法寻求经济法相关规范如竞争法等规范的帮助，使得生物识别信息保护在现行程序与救济层面面临空白。

在这种情况下，中国应当从两方面入手加强个人生物识别信息的保护：一方面，在私法救济层面，应当重构生物识别信息权人与信息处理者这一对平等私法主体之间的权利义务体系与实现的程序体系，如应当赋予生物识别信息权利人诸如删除权等新型权利，并构建保障该类权利实现的具体程序和路径。类似于手机号码与电子邮箱地址解绑的操作接口，在现阶段数据社会并未实现构建与普及，应当在制度层面构建具体的申请通道。如果上述接口与通道存在缺失，则应当在程序上禁止信息处理者继续行动，甚至对其进行取缔。另外，还应当为信息处理者的生物识别信息收集与处理行为赋予新型义务，如定期披露义务。《民法典》第一千零三十五、一千零三十六、一千零三十八条等有关信息处理者的义务仅停留在征得授权、应用范围、保密等方面，而在缺乏信息披露与生物识别信息权人知情权实现的情况下，上述义务性规范很难产生实效。应当在信息处理者的义务体系中加入信息披露的条款，以规范信息处理者在一定时间点披露个人生物识别信息获取与应用情况，并以此为基础扩大生物识别信息权人的自决空间。同时，该义务有助于提高自然人权利救济的效果，如在举证方面为自然人提供了较大的便利，在一定程度上平衡了自然人与信息处理者之间的技术不均衡地位。

另一方面，在公法救济层面，政府与司法部门应当承担相应的监督管理与提供救济路径的责任。操作层面应当首先构建专门的申诉部门与安全管理部门，该部门应由高技能的安全专家组成，为前文所述的新型权利实现提供机构与主体基础。同时可实现专门机构市场化与社会化，利用其中立性与独立性价值，在社会总体层面降低生物识别信息侵权的概率与损害程度。其次，在司法方面构建生物识别信息相关公益诉讼程序，因为个人信息侵权尤其是生物识别信息侵权，存在着被侵害个体数量大、分布较为零散、获取证据能力较弱的特征，应当在程序层面对上述主体体系进行整合，提高纠纷处理、权利救济的相关效率与质量。

大数据带来的信息经济发展和信息资产化加速的趋势，导致个人生物识别信息的保护问题成为大数据时代研究的崭新课题。个人生物信息本身蕴含着一种繁杂的利益关系，一方面是个人对其个人敏感信息——生物信息的保护需求，另一方面则是信息处理者对个人生物信息数据化的利用需求，即以对个人生物信息收集和加工的方式形成数据资本。法律则应当协调个人生物识别信息数据化、产业化的社会效率诉求与个人生物识别信息中人格利益保护之间的冲突，在充分认可前者可以增进社会福利的同时，以后者划定技术迭代和数字经济发展所不能逾越的个人人格利益底线。传统的信息保护法律体系忽略了生物识别信息与权利主体之间的联系，以及该联系在大数据背景下被切断的风险。其中现行侧重私法调整的形式平等和意思自治忽视了数字时代下个人生物识别信息主体较之于数字应用者的技术性弱势地位和结构性交易劣势，而沿用传统强调形式正义的法律理论与法律制度难以防范个人生物识别信息人格利益侵害风险，亦无法实现社会价值与人格价值之间的合理协调。数字时代下，鉴于在事实层面产生的有关个人生物识别信息的不合理分离现象，以及在规范层面私法形式正义的局限性，于私法调整外予以公法介入是保障个人生物识别性信息人格利益，平衡数字经济发展等社会需求和个人尊严保障的必要法治路径。