论个人生物识别信息的民事司法保护*

肖琪畅

(西南政法大学经济法学院,重庆 401120)

近年来，生物识别技术在众多领域快速发展并深入推广，但生物识别信息自身的特性使得其在开发利用中暴露出诸多数据安全风险，加之新冠疫情期间诸如戴口罩时的人脸识别、红外体温检测等新技术的广泛应用，使得个人生物识别信息保护成为社会热点、学术热点。我国民法学者、诉讼法学者对个人生物识别信息权利、生物识别信息司法保护展开了一定的研究，形成了一些有价值的成果。但就个人生物识别信息的民事司法保护而言，以往成果多局限于一般的个人信息权保护或者整体上的司法保护，而未能根据个人生物识别信息的特殊性进行民事司法保护。因此，在信息安全漏洞频出、个人生物识别信息安全亟需保护和救济的背景下，对相关民事司法保护制度进行改进与完善，以保证对受侵害信息主体有效救济目标的实现以及助力生物识别信息技术合法、健康发展，有着重要的研究价值。

一、个人生物识别信息的特征

2021年最高人民检察院发布的《人民检察院办理网络犯罪案件规定》第62条第6项首次从司法解释的层面对个人生物识别信息的含义进行了界定：“生物识别信息，是指计算机利用人体所固有的生理特征(包括人脸、指纹、声纹、虹膜、DNA等)或者行为特征(步态、击键习惯等)来进行个人身份识别的信息。”相对普通个人信息，个人生物识别信息具有以下几个特点：

1.技术性。个人生物识别信息的产生、收集与处理均离不开生物识别技术的应用，也就是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，来对个人身份进行识别和鉴定(1)白度.生物识别技术[J].老友,2009,(2):55-55.。而且在大数据时代，随着信息技术的快速更迭，使得生物识别技术较之传统的个人身份鉴别知识和技术更先进、更现代。对这种信息的盗取或泄露以及非法利用，离不开相关技术。同时，非法利用这种信息以谋取不当利益，引发民事侵权或刑事犯罪案件，为证明侵权事实或犯罪事实而收集相关证据、在法庭上出示证据，往往也离不开相关科技的使用。

2.集合性。个人生物识别信息的集合性主要体现在：一是这种信息是在人身上选择若干个点，通过科技设备拍摄、扫描生成数据并将相关特征数据集合在一起，才能形成准确的个人身份信息，进而区分此人非彼人。二是这种信息在多数情况下是将个人固有的生理特性(如指纹、脸像、虹膜、基因等)和行为特性(如笔迹、声音、步态等)通过技术手段集合在一起后形成的(2)陆强华. 生物特征信息采集必须取之有道[N]. 学习时报,2019-10-18(003).。

3.隐私性。个人生物识别信息本质上是在通过技术处理所得数据的基础上识别个人身份的标识，起“身份证件”的作用。这也就是所谓的“数字身份”。在这样的信息中，或许有的个人生物识别信息可以适当公开，但多数情况下不宜向外界公开，特别是某些构成私密信息的生物信息，属于个人隐私的组成部分。例如，某些特定疾病常在人体表层形成某些特殊的生物特征，可以根据这种关联推测个体是否已患病或预测未来患病的概率和趋势。此种信息如若外泄，有高度可能性会给该个体招致污名化乃至于社会歧视(3)胡海明,翟晓梅.论生物识别技术应用的隐私保护[J].中国医学伦理学,2018,31(1):60-64.。

4.唯一性。个人生物识别信息系通过对某个自然人的物理、生物或行为特征进行特定的技术处理而得到的个人数据。这类数据生成了该自然人的唯一标识，因而可用以鉴别一个人的身份。而且许多个人生物特征(4)例如，由于形成时具有极大的随机性，每个眼睛的虹膜所包含的信息互不相同，因此如同指纹一样，每个虹膜都是独一无二的。或生理特征与生俱来(例如脸部的痣、胎记等)，甚至在无外界因素影响下而终生不变。如果这些特征恰好被作为数据采集下来，也就会形成此人独有的个人生物识别信息。因此，与传统的机械钥匙、数字秘钥相比，这种生物秘钥难以被劫夺，无法被遗忘，无法被完全复制到另一人的相同部位，具有永久性、唯一性(5)宋子晴.生物识别信息安全新主张[J].中国公共安全(综合版),2006,(10):84-87.。这种唯一性决定了生物识别信息是不可变更的，也是不可复制的。

5.易侵性。由于个人生物识别信息往往与个人的人身权、财产权相关，往大说则对整个数字经济的健康发展至关重要。也就是说，个人生物识别信息与一定程度的某种利益有关，可能成为侵犯他人利益(包括个人、集体利益乃至社会公共利益等)的武器，因此，过度收集、非法强制采集和大量泄露个人生物识别信息的情况从媒体的报道看已不在少数(6)据新华网报道，2019年2月深圳某人脸识别企业被证实发生数据泄露事件，超过250万人的核心数据可被获取，680万条记录泄露，其中包括身份证信息、人脸识别图像及GPS位置记录等。再如，中国消费者协会曾发布《100款App个人信息收集与隐私政策测评报告》。报告显示测评的100款App中，10款App涉嫌过度收集个人生物特征信息。一度成为互联网热门应用的某换脸软件开发企业，也在今年9月因涉嫌未依法依规收集使用用户个人信息被工信部约谈。参见吴帅帅等.生物信息未必安全 “偷脸”是一种新“生意”[N].重庆晨报,2019-11-07(07).。这表明，个人生物识别信息常常成为一些个人或组织谋取非法利益的猎取对象。而且，在多数情况下，非法采集、交换、使用个人生物识别信息是在暗中进行，例如偷拍偷录，在电脑中植入软件窃取，在电脑后台进行交易等。换言之，这类侵权行为具有极强的隐蔽性。

6.敏感性。个人生物识别信息属于敏感个人信息。所谓敏感个人信息，有学者将其解释为“那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息”(7)程啸.个人信息保护中的敏感信息与私密信息[N].人民法院报，2020-11-19(05).。《个人信息保护法》第28条将其释义为“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。按照该条文对敏感个人信息外延的列举，生物识别信息属于其中之一。

个人生物识别信息的特征，既表明了其被侵犯时进行民事司法保护存有较大的难度，也意味着对其民事诉讼法保护应有相应的特殊措施。

二、加强个人生物识别信息民事司法保护的价值

考虑到上述特点对个人财产、生活等各种影响，不仅欧美等发达国家对个人生物识别信息的采集、存储、利用等在法律上有所规制，而且印度、巴西等发展中国家也在加强保护。究其原因，主要在于其有以下价值：

(一)对个人生物识别信息进行民事司法保护可以实现经济价值

1.从个人层面看，其拥有的生物识别信息具有财产性。这表现为三种情形：一是某些生物识别信息本身包含一定的财产内容，例如：人脸肖像、血液或DNA、基因等；二是个人生物特征信息与财产权益相关联，例如：手机银行使用的脸像、指纹等；三是转让生物识别信息可获得财产性利益。2.从企业角度看，数字经济时代掌握信息者为王，因此若企业(特别是那些从事信息处理的专门企业)欲创造更高的商业价值和财富，往往需要不断地收集、使用包括生物识别信息在内的众多个人数据。3.从社会、国家层面看，国家通过获取、开发利用生物识别信息等各种信息，扶持信息产业以发展经济。4.从司法角度看，各国实践已将财产权范围扩大至虚拟财产，数字人民币也已发行。因此，个人生物识别符号通过技术加工或处理可生成具有一定财产属性的数据(8)刘越.论生物识别信息的财产权保护[J]. 法商研究，2016,(6)：73-82.。此外，将基本生物识别信息与其他个人信息链接，可分析出更有价值的二级信息。这种信息的结合也能产生庞大的经济价值。

(二)对个人生物识别信息进行民事司法保护具有伦理价值

1.实现人格的完满与和谐人与人之间的复杂关系，是人之本质的发展的题中之义。德国哲学家伊曼努尔·康德认为：“人是生活在目的的王国中。人是自身目的，不是工具。”(9)康德.实践理性批判[M].北京：商务印书馆，2003.95.对个人生物识别信息进行司法保护是以“人”为本位实现信息主体自我发展目标的一种手段。这种司法保护一方面对受损主体进行事后救济，一方面又对信息控制者起到威慑作用，另一方面还警醒广大信息主体谨慎控制自我信息，积极防范信息安全隐患。因此，对个人生物识别信息进行民事司法保护具有尊重个体自我决定权、保护个体隐私的伦理价值。2.法治、诚信、友善等是社会主义核心价值观的重要内容。有关单位和企业或个人在生成、采集、存储和使用个人生物识别信息的过程中，应当遵守科技伦理、公序良俗原则，秉着诚实、善意并遵循法治的原则，既不能滥采滥用，更不能恶意采集和使用。对个人生物识别信息进行民事司法保护，本质上是对出于非正当目的或主观恶意采用他人生物识别信息的违法行为予以规制，是惩恶扬善的体现，因而有利于贯彻社会主义核心价值观。

三、个人生物识别信息民事司法保护的现状

(一)个人生物识别信息民事司法保护现状的表征

从“面”上看，2021年央视“3.15”晚会上曝光了科勒卫浴等多家企业违法收集或滥用公民生物识别信息牟利的情况，且贩卖人脸数据已形成黑色产业链；同时，全国公安机关在2020年侦破窃取、贩卖人脸数据案件22起，抓获犯罪嫌疑人60名(10)陈拾九.你的人脸信息已被偷走[DB/OL]. (2021-03-15)[2021-05-16].https://www.mpaypass.com.cn/news/202103/15220512.html.。可见，侵犯个人生物识别信息的形势十分严峻。但从司法保护的角度看，在已披露的有关侵犯公民个人信息包括生物识别信息的案件中刑事案件明显要多于民事案件，即刑事司法保护的力度大于民事司法保护的力度。受侵害主体往往不愿、不能通过民事诉讼保护自己的合法权益，却多以舆论为救济手段。对侵犯公民个人信息的违法犯罪行为，浙江省人民检察院检察长贾宇在列举数据的基础上说过一段话：“重刑轻民较为明显，民事救济相对薄弱。个人信息权属于民事权利。民事权利受侵害时，民事救济应当是主要手段。但是，司法实践恰好相反，刑事保护在前，民事救济靠后。”(11)燕帅等.贾宇：大数据时代个人信息的司法保护与立法完善[EB/OL]. [2020-02-28].http://media.people.com.cn.由此可见，我国对个人信息包括生物识别信息的民事司法保护明显不力。

从“点”上看，2019年爆出的郭兵诉杭州野生动物世界服务合同纠纷的“人脸识别第一案”中，由于被告意图将双方确认的摁指纹入园变更为刷脸入园，也就是把入园方式由指纹识别变更为人脸识别，这一单方变更行为构成违约，因而被二审法院终审判决赔偿原告合同利益损失678元、交通费360元，并删除办卡时提交的包括照片在内的面部特征信息和指纹识别信息(12)判令被告删除原告的指纹识别信息，是因为被告已停用指纹识别闸机，原定入园方式已无法实现。参见最高人民法院新闻局：“人脸识别第一案”：生物识别信息应当更加谨慎处理和严格保护[EB/OL].(2021-04-10)[2021-05-16].https://mp.weixin.qq.com/s/TTOqQj7BncjtYn5JdUMUJw.。此案虽然尘埃落定，在一定程度上体现了司法保护个人生物识别信息的决心，然而它也在一定程度上暴露了民事司法保护个人生物识别信息的不足：(1)诉讼周期较长。从媒体披露的信息看，本案一审、二审中几个重要的时间节点分别是：2019年10月底原告起诉被受理，2020年11月20日基层法院作出一审判决；2020年12月11日中级法院受理上诉并于同年12月29日进行了开庭审理，直至2021年4月9日才终审宣判。即：一审用时近13个月，二审用时差2天满4个月，两个程序合计用时近17个月。在此期间，两级法院有没有超越审限，媒体没有披露，外人也难去查考。相比刑事司法保护而言，该案民事诉讼法保护的周期可谓“漫漫长征路”，而这也意味着当事人投入更多的时间、精力、费用等诉讼成本。(2)保护力度不够。这体现在：一是在原告的一审诉讼请求中，要求确认人脸识别的店堂告示和短信通知中的相关内容无效，此请求有其合理之处，却依然被一审法院驳回。二是在经济赔偿方面，两级法院仅判决被告赔偿原告合同利益损失和交通费，这种赔偿只能补偿原告所受到的实际损失，没有因为被告有滥采滥用个人生物信息的目的乃至恶意侵犯他人生物信息的行为而对其施加惩罚性赔偿。换言之，被告不会因为自己的非善意的行为或者恶行而受到损失，其违法成本为零或近似于零。

从比较法的角度看，我国对侵害个人生物识别信息之民事司法保护的力度也明显不如其他国家。域外一些国家的数据保护立法明确了个人生物识别信息权利受侵害的索赔权以及违反保护义务的法律责任，且倾向于加大处罚力度。相应的民事诉讼救济即成为个人生物识别信息权利的民事司法保护机制。例如：美国加利福尼亚州CCPA规定，消费者可对违反隐私保护规定的企业提起民事诉讼，该企业须向每个受侵害的消费者赔偿100至750美元；伊利诺伊州BIPA则更为严格地规定，个人可提出民事赔偿诉讼，区分过失或故意违法而对公司处1000或5000美元的违约金或实际损害赔偿金(13)赵淑钰.生物识别信息法律规制的国际经验与启示[J].中国信息安全,2019,(11):37-39+43.。美国是生物识别信息诉讼案件较多的国家。消费者在过去以企业违反生物识别信息保护规定对脸书(Facebook)、谷歌(Google)等大型互联网企业提起了多起集团诉讼。2016年5月，脸书就被愤怒的用户联合告上了法院，因其未经用户明确同意就自行利用“图片标签”功能收集生物识别信息，作为公司盈利资源储存在面部识别数据库之中(14)赵淑钰.生物识别信息法律规制的国际经验与启示[J].中国信息安全,2019,(11):37-39+43.。法院审理后对脸书集团诉讼作出了判决：关闭其人脸识别功能，删除已收集的人脸数据，并赔偿伊利诺伊州用户6.5亿美元。可见，在美国，对侵犯公民个人生物识别信息的行为，不仅可以提起私人诉讼，而且可以提起集团诉讼，且可对侵权行为人判处高额赔偿金。

(二)个人生物识别信息民事司法保护现状的成因

我国民事司法对个人生物识别信息保护不足的现状或许由以下几个原因导致：第一，法律对收集、使用个人信息所应遵循的“合法、正当、必要”等原则缺乏明确的界定，以致经营者对个人生物识别信息的采集、使用与消费者选择权的边界不清，“是”与“非”之间的判断标准不明。第二，法律既不能阻碍科技进步及其所带来的便利，又要抑制随科技进步所伴生的消极后果和伦理沦丧。具体到生物识别技术应用问题上，经营者与消费者在确立民事法律关系时，经营者采集消费者的生物信息以识别消费者的身份，对双方而言均具有便利性。只不过这也会给相对弱势的消费者带来某些不利，例如，消费者将不得不放弃某些个人生物信息的隐私保护，且所放弃的个人生物信息又可能被滥用、被贩卖。第三，无论立法还是司法，都未区分过错程度而对经营者滥采滥用、恶意使用个人生物信息的行为实行有区别的或曰不同档次的处罚。

四、我国个人生物识别信息民事司法保护的困境及成因

(一)个人生物识别信息民事司法保护的困境

曾有法官将个人信息民事司法保护的实践难题归纳为以下几个方面：民事司法保护的范围难以确定，权利属性争议导致案由选择困难(案由不明引起立案难)，侵权方式的新颖性导致侵权行为认定困难，信息的可传递性导致过错认定困难，过程认定难又导致归责原则适用的难题，侵权结果的不可度量性决定了损害赔偿范围确定的困难以及侵权事实的证明存在困难(15)钱柳君等. 一线法官分析个人信息利益的民事司法保护七大难点[EB/OL]. (2018-06-20)[2020-02-22].https://www.sohu.com.。生物识别信息属于敏感个人信息，上述难题在个人生物识别信息保护领域中也不同程度地困扰着人们。笔者在这里主要分析以下困境：

1.传统民事司法管辖制度的地理基础难以适用。以往管辖法院的确定通常依赖于地理基础，如住所地、标的物所在地等。这种物理空间具有相对稳定性，一般能在此基础上划分出“地域”“行政区域”等概念。但生物识别信息转化为数据形态后，存放在与物理空间并无多少关联的网络空间中，若仍机械采用地理标准来确定司法管辖显然行不通。这种困境突出体现为以下两种情形：(1)在传统司法管辖中侵权案件由被告住所地或侵权行为地法院管辖，而这在通过互联网侵犯个人生物识别信息的案件中却可能陷入两难困局：一方面，原告很难通过互联网揭开被告的“马甲”来明确地识别被告，即原告知道自己的生物信息被侵犯了，但究竟是谁侵犯了自己的信息却难以确定，这导致被告住所地亦难以确定；另一方面，如果原告通过“人肉搜索”等方式确定被告，这又是对被告个人信息权的侵犯。(2)网络空间具有“时空压缩化”特点，其间信息传递的速度和成本几乎与物理位置无关。在侵犯生物识别信息的案件中，若仍按传统内涵确定“侵权行为地”，投入与所得将不成比例。这是因为在网络空间中划分区域的标准是IP地址及相应域名，但即使消耗许多资源确定了IP地址以及服务器所在地，也不过是大海拾贝。进一步细化区分侵权行为实施地、结果地的难度更成倍增加。且侵权行为可能不止与一个地域有关联，当相应地域的法院都可能具有管辖权而不受限制时，将形成“平行管辖”与法院选择的困境。

2.侵害个人生物识别信息案件举证困难。这具体体现在：(1)了解案件情况的被告难以确定意味着向其收集有关证据十分困难。在信息传输这张错综复杂的巨网中锁定明确的被告本身就是一大难题。生物识别信息一旦外泄，被诉主体的范围除直接侵权人外，还可能包括诸如信息传播者、信息接收者一类的间接侵权人。况且，普通个人一般法律意识淡薄、不擅长网络技术，在证据搜集、成本承受能力等方面处于明显弱势。(2)信息采集者收集个人生物识别信息大多隐蔽进行，信息贩卖也是在信息权人不知不觉中完成，这无疑给受害人取证造成了难以想象的困难。信息权人作为受损主体若要请求民事司法救济，就必须提供相应证据支持自身的主张。但个人生物识别信息的采集有时具有非接触性，信息处理者很可能通过高清摄像头拍摄影像或使用3D打印等其他技术来取得人脸、步态等个人生物识别信息，而被侵权的信息主体却毫不知情，因而也就无法举证。(3)电子证据的收集和运用困难重重。如前所述，个人生物识别信息是信息采集者将某个自然人的生理特征或行为特征通过科技设备进行技术处理后所形成的数据，而这些数据又存储于电子介质之中。当这些存储在电子介质之中的数据用于证明侵权案件的事实时，就是证据法中的电子数据或电子证据。在侵害个人生物识别信息的案件中，作为侵权客体的生物信息的采集、存储、传输、交易均离不开手机、电脑、网络等信息设备设施。因此，电子证据对于证明这类案件的侵权事实便显得弥足珍贵和重要。虽然在这类侵权案件中电子证据可以最为直观地反映侵权事实，但由于网络环境瞬息万变，网页和其他电子数据又可能被人悄然、快速地删除、剪辑，这就使得电子数据的收集、固定、保全变得相当困难。且当我们无法解读所获数据的内容与属性来还原侵权场景、找出明确的侵权人时，耗费许多成本搜获的信息也就难以起到应有的作用。更重要的是，即使我们克服了技术困难而收集、固定好了关键的电子证据，可由于目前电子数据固定的程序设计缺漏，裁判者也有可能出于违反正当性原则的考虑而判定不合法，从而无法作为定案依据。

3.基层法院审判侵害个人生物识别信息案件能力不足。个人生物识别信息具有极强的技术性，这要求审判侵害个人生物识别信息案件的法官具有相应的技术知识和专业能力。因为对案件争议焦点的厘清、对侵权行为实施具体情况的探查、对侵权结果是否发生及受侵害程度的确认都建立在这些专业技术知识的基础之上。然而，这些专业技术知识一般为大多数审判人员所不熟悉且在短时间内无法掌握。同时，鉴定人和专家辅助人仅起辅助作用，对案件事实判断起决定作用的仍然是法官。只有法官辨清技术事项后再归入法律规范的大前提之中进行分析，才能在此基础上形成对“案件事实的认识基本符合客观实际”的内心确信。但事实上，受诉最多的基层法院的法官往往仅具单一法律知识背景，因此在这类侵权案件的审案能力方面也许会有所欠缺。

(二)个人生物识别信息民事司法保护之困的成因

1.相关立法缺乏系统性且过于笼统。我国虽已初步建立了公民个人信息保护制度(16)民法典第111条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”，但容易混淆隐私与个人信息两种权益。在作为个人敏感信息的生物识别信息保护领域，我国对各类组织机构处理个人生物识别信息的行为仍欠缺法律规制，权责关系尚未明确。目前仅在国家标准GB/T 35273-2017中有所规定。其他对公民个人生物识别信息有所提及的《出入境管理法》《外国人出入境管理条例》等，大多是为了进行行政管理或针对嫌疑人进行管控。只有《网络安全法》第76条是将个人生物识别信息列举作为个人信息以便与其他法律条款相结合保护信息主体权益。该条也仅停留在间接保护的层面，直接保护的条款仍然缺漏，并缺乏相应的实施细则而易成为“僵尸条款”。《个人信息保护法》也仅在“敏感个人信息的处理规则”中有一处提及了生物识别信息，而对如何加以特别保护则未涉及。

2.司法理念仍停滞在相对保守的阶段。这表现为：法院将“个人信息”和“隐私”范畴简单等同，法官在处理个案时，倾向于适用详细的传统隐私权和一般人格权的保护性规定。加之隐私权纠纷案例更为常见，更强的参考性往往驱使着实务人士选择以隐私权纠纷作为立案案由。偏差的司法理念带来了先入为主的误导，对当事人举证和法官判断案件事实皆有影响。此外，司法理念在举证责任分配、事实认定等方面也较保守，大多只对实质损害进行规制，只对明显精神损害或经济损失进行赔偿。少有法官愿意跳出路径依赖，在已成型的法律框架内上下求索，以期于判决中实现对个人生物识别信息更优保护的目标。

3.侵害个人生物识别信息案件往往复杂多样。大数据环境下，信息传播速度的飞涨、网络平台的开放，使侵害行为的运作机理和传输趋势都难以预测和控制。而这些信息、网络技术是在计算机的应用上发展起来的，这就意味着不法分子能够借助木马病毒等手段攻陷计算机，从而对信息安全造成极大威胁。这些环节叠加起来，使案情陷入复杂多变的泥沼。此外，第三方、第四方等基于不正当目的利用采集者非法获取的信息权人的生物识别信息实施其他侵权行为或犯罪的情形也越来越多，给信息权人造成多重损害的案件也时常见报。这些多重违法的结合式的案件更加剧了民事司法保护的困难。

五、个人生物识别信息民事司法保护制度的完善路径

针对个人生物识别信息民事司法保护不足的现状和保护中所遭遇的困境，笔者在此提出一些不甚成熟的完善建议。

(一)创制完备的个人生物识别信息保护规范为民事司法保护提供依据

生物识别等高新技术的广泛应用给人们带来便利的同时，也使不少人担忧其个人信息能否得到有效保护，因为对新技术的监管和执法的相关机制并未随新技术的日益成熟而趋于完善。在此背景之下，全国信息安全标准化技术委员会发布了人脸、步态、声纹识别的国家标准征求意见稿。这些征求意见稿虽然对人脸、步态、声纹等个人生物识别信息提出了数据安全要求，但这些标准还只是技术层面的规范，且其编制说明强调“建议作为国家推荐性标准发布”，因此并不具备强制性法律效力(17)曾一埔,程柏冰.个人信息保护法草案进入二审，国家电影局明确打击短视频侵权盗版行为 [EB/OL].(2021-05-02)[2021-11-23].https://www.163.com/dy/article/G90GGI5K0512865S.html.。在法律层面，根据我国《民法典》第四编“人格权”下第六章“隐私权和个人信息保护”的规定，生物识别信息属于个人信息，而个人信息分为私密信息和非私密信息，且私密信息属于隐私的范畴(即非法处理他人私密信息的行为应适用有关侵犯隐私权的规定进行处理)，但并未明确生物识别信息属于私密信息抑或非私密信息。因此，如果非法处理他人生物识别信息，是按隐私权的规定，还是按有关个人信息保护的规定进行处理，《民法典》给执法和司法留下了疑难。《个人信息保护法》则把个人信息分为敏感个人信息和非敏感个人信息，且对敏感个人信息规定了一些特殊的处理规则。其中，生物识别信息属于敏感个人信息。也就是说，个人信息处理者对生物识别信息只有“在具有特定的目的和充分的必要性，并采取严格保护措施的情形下”方可进行处理，否则，违背这些条件的处理就构成非法处理，就是侵犯个人信息权益的行为。然而，敏感个人信息与个人私密信息并非等同的两个概念，敏感个人信息与隐私也难以划等号。这样，当侵犯个人生物识别信息形成民事诉讼时，如何适用法律也就面临着困惑。因此，笔者主张，未来除遵循普通个人信息保护的一般原则和规则外，还需吸取域外专门立法保护模式的经验教训，为个人生物识别信息保护创制更加具有针对性、可操作性的特别法律规范，为加强民事司法保护提供有力依据。此外，还要使民事法律制度与行政法律制度、刑事法律制度形成多方合力，构建多层安保屏障，助力生物识别技术及其应用的健康发展。

(二)合理确定个人生物识别信息网络侵权案件的管辖

1.扩张解释侵权行为地。现有技术很难将网络空间中的侵权行为地直接映射至现实中某地，这种困难在法国雅虎案中可见一斑(18)政武.巴黎法院对“雅虎案”裁定的法律思考[EB/OL].(2000-12-13)[2021-11-22].http://www.people.com.cn/GB/channel5/745/20001213/347879.html.。不排除未来有以新型技术为钥匙，打开网络侵权行为地认定大门的可能。但当前通过对信息传输中的某些基础设施(如计算机终端、ICP服务器等)所在的物理区域进行追溯，结合计算机的工作原理及网络数字传输规则对具体侵权行为进行认定有付诸实践的可行性(19)《最高人民法院关于审理涉及计算机网络民事纠纷案件适用法律若干问题的解释》第2条规定：“涉及域名的侵权纠纷案件，由侵权行为地或者被告住所地的中级人民法院管辖。对难以确定侵权行为地和被告住所地的，原告发现的该域名的计算机终端等设备所在地可以视为侵权行为地。”， 相当于对空间转换的漏洞进行嗣后填补。而且通过扩张解释后，原告所在地也可理解为侵权结果地。换言之，原告住所地法院对此类案件享有管辖权更有利于保护被侵权人的利益。2.鼓励协议管辖。如果存在双方通过协商最终取得共赢局面的可能性，则当事人之间意定管辖可以作为此类案件中确定管辖法院的一种方案和依据。

(三)探索公益诉讼畅通维权路径

生物识别信息不止牵涉个人的民事权益，且大量的个人生物识别信息被盗取、非法收集或使用，将影响网络、经济乃至国家安全等，因而与社会公共利益相关联，此乃提起公益诉讼之法理基础。在实践中，单独个人在所提起的诉讼中，因取证手段、条件、能力等的欠缺而导致举证困难，胜诉的可能性较小，难以有效维护其合法权益。但通过公益诉讼维权，则可能改变这种状态。毕竟公益诉讼的适格主体是“法律规定的机关和有关组织”。而有关组织(例如省级以上消费者权益保护协会)多配有专业维权团队，取证能力较强。检察机关提起公益诉讼也已成为其开展法律监督工作的重要业务之一。因此，在众多的个人生物识别信息遭受侵犯时，通过公益诉讼以解私益诉讼取证之难题必要且可行。目前，《个人信息保护法》第70条(20)《个人信息保护法》第70条规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”对此已作了确认。

(四)完善特殊证明责任分配及电子证据制度以解决举证难问题

1.实行举证责任倒置。考虑到主体间信息不对以及举证能力的悬殊差异，应以举证责任倒置对这种不平等地位进行平衡。当然，并非所有个人生物识别信息民事司法案件都要一刀切，应当区分不同案件类型，在举证责任分配上采取不同的处理方式。可以借鉴《德国数据保护法》的规定，以当事人中信息主体外的一方是否为公权力主体为标准，将案件划分为两类：其一是涉及公权力主体的类型，如在公权主体非法收集或泄漏个人信息的情况下，公民在证据收集、资金支持等方面都天然处于劣势，故此类诉讼就应在举证责任上重新洗牌。其二是当事人双方均为非公主体时，则需具体考察双方能力差异来决定如何分配举证责任。2.完善电子证据制度。技术的更新迭代在给电子证据收集与保全带来新挑战的同时也带来了机遇。因超出知识范围，对收集证据过程中采用的专业技术方法在此不作展开。但建议：一是证据收集上可以从网络运营主体一端入手。其备份保存的网络数据中很可能含有案件所需电子证据。二是信息权人或其代理人可以向法院申请证据调查令，要求网络运营者配合提交包含有关数据的备份记录。三是面对电子证据被销毁等技术问题时，可以聘请技术专家参与电子证据的收集以弥补不足。四是借鉴发达国家的“电子证据发现公司”(Electronic Evidence Discovery Corporation)制度，激励成立中立的专门从事电子证据发现与保存的民间技术组织(21)这一点已经得到最高法院新修订的《关于民事诉讼证据的若干规定》第94条的确认，即：“由记录和保存电子数据的中立第三方平台提供或者确认的”电子数据，人民法院可以确认其真实性，但有足以反驳的相反证据的除外。显然，由中立的电子数据第三方存证平台收集和存储的电子证据不易受“污染”，具有较强的真实性而被法院采信的可能性较大。。

(五)改善法官队伍结构以增强审判能力

一是积极举办有关技能培训，通过考核，选拔具有相关能力的法官来承担此类特殊审判任务；二是外部加强与各高校联动合作，更多地从高校毕业生中选拔专业对口的“科技+法律”专门性人才。相应地，高校法学院也应大量培养既懂技术又懂法律的复合型人才，以便向法院输送所需的“后备军”。此外，为解决基层法院审理此类案件能力不足的难题，还可在合议庭中吸收专家陪审员以助查明案件事实。