商业活动中个人生物识别信息的属性与保护

蓝寿荣, 罗 静

(南昌大学 法学院, 江西 南昌 330031)

个人生物识别技术以高效、精准识别个人身份的优势，被经营者广泛运用于商业经营管理的各个方面，如刷脸(人脸识别)、指纹支付或门禁、监控。相应地，对于个人生物识别信息被泄露、使用及随之可能带来的损失，引起了社会各界人士的广泛担忧。2021年央视“3·15”晚会上，曝光了当下人脸识别技术滥用的问题，其严重程度令人咋舌：央视记者调查了20多家装有人脸识别系统的商户，发现消费者的人脸信息均被偷偷获取，而且没有一个商家明确告知，征得同意更是无从谈起，人脸识别滥用和数据安全的问题则愈发牵动人心，公安部发布数据显示，2020年全国公安机关共破获窃取、贩卖人脸数据的案件22起，抓获犯罪嫌疑人60名。[1]有学者调查表明，“个人信息数据泄露的最大受害者是普通公民隐私权受到侵害”[2]，“在我们国家，对于个人信息的私法保护，无论是科学立法还是严格执法，都是不够的”[3]。由于个人生物识别信息应用的广泛性，以人脸识别信息为代表的个人敏感性信息成为一个热点问题，学界研究文章已相对较为丰富，但是此类文章大部分是从私法角度研究，故此类研究均存在共同性的问题，即从私法理论角度研究不能较好地回应大数据下出现的社会疑难问题。(1)对此，张守文教授认为：“尽管民商法也重视个人信息保护，但仍难以在整体上解决信息规制问题，尤其是运用信息技术实施的垄断、不正当竞争，以及各类侵害消费者权益的行为，更需要经济法进行有效的信息规制”，参见张守文《数字经济与经济法的理论拓展》，《地方立法研究》2021年第1期。本文拟从消费者权益保护的视角，来探讨商业活动中的个人生物识别信息的属性及其保护路径。

一、个人生物识别信息的法律性质

个人生物识别信息，属于个人信息的一种，它包括静态生理特征(如面部特征、虹膜、耳廓、指纹、掌纹及个人基因)和动态生理特征(如表情、声纹、步态、笔迹等信息)。2021年8月我国发布的《个人信息保护法》明确将个人信息分为一般个人信息与敏感个人信息，其第28条规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。常见的种族、民族等个人信息生成通过简单统计过程可得，而个人生物识别信息则有明显的区别，是其必须经过特定的技术方能采集，即必须经过计算机技术或其他具有数据运算与图像处理功能的终端设备才能生成。

(一)个人生物识别信息的属性：一种新兴权利

关于个人生物识别信息的属性，论者观点不一，直接或间接的主要有“财产权说”[4-6]、“隐私权说”[2][7]及“人权说”(2)如“数字人权说”，“人脸信息是人们(至少是短时间内)不可取代的生物识别信息，是个人信息重要乃至最重要的组成部分，是数字人权所应关切的基础性权益”，参见郭春镇《数字人权时代人脸识别技术应用的治理》，《现代法学》2020年第4期。。“财产权说”忽略了生物识别信息强烈的人格属性，是不成立的，因为人的尊严无疑是首要的，事实上，我国《民法典》也将个人信息保护放在“人格权编”，作为人格权益。“隐私权说”可能是受美国法律的影响，美国伊利诺伊州《生物识别信息隐私法》(Biometric Information Privacy Act)和《加利福尼亚州2018年消费者隐私法案》(California Consumer Privacy Act of 2018)都将个人生物识别信息作为隐私来保护；[8]我国法律规定的隐私权，是一项具体的人格权，将个人生物识别信息直接纳入隐私权加以保护不仅不符合我国法律体系，而且还会阻碍个人生物识别信息发挥其利用价值。“人权说”过于宽泛，不利于个人生物识别信息保护，另外，数字人权本身在法学界尚无定论。从对个人信息认识的演进来看，社会交往中的人脸是具有识别、区别不同人的功能，属于民法中的肖像权范畴，但是在现代社会大数据技术下，使人脸相貌信息数据化，不再局限于传统的肖像权益。

以人脸识别信息为代表的个人生物识别敏感信息，不同于一般的个人信息，是一种随着大数据时代技术发展而出现的综合性新兴权利。法理学者认为，对于一项新兴权利是否能够上升为法定权利，需遵循权利证成标准与程序；而一项新兴权利要得到证成，要同时具备保护的合理性、能为既有的法律体系所容纳、有实现的可能性3个基本要件。[9]

一是保护的合理性。它包括3个方面：(1)权利所保护的利益的正当性。一个判断标准是该利益是否具有普适性，如自杀、吸烟算不上多数人的利益，因此自杀权、吸烟权也就不能成立。个人生物识别信息关乎每一个个体的重要利益，具有普遍性，故满足正当利益要件。(2)存在保护个人选择的必要性。权利旨在保护个人的自治，即权利人拥有法律赋予的、要求特定人可为或不可为的力量，如谴责公交车上的不让座行为与要求他人让座是不同的，前者体现的是道德的约束力，而后者体现的则是法律权利的强制力。那么，个人生物识别信息是否需要赋予个人要求而不是谴责他人的权利呢？答案应当是肯定的，仅用道德约束处理个人生物识别信息的行为过于敷衍。(3)所保护的利益对于公共利益具有优先性。如果一个法益在任何时候都不具备超越公共利益的优先性，就不值得认定为法定权利。只有在防控疫情等紧急状态的特定时期，公共利益才优先于人脸信息所承载的个人利益，通常情况下个人生物识别信息具有相对优先性。

二是能为既有的法律体系所容纳。我们今天的法学知识谱系、思维方法、制度架构及运行机制，经由几百年的知识累积和实践适用，理论发展与制度创新都要以既有的法学体系与法律制度为基点和依托。我国《民法典》在民事权利章节第111条规定了“个人信息受法律保护”。我国《民法典》第990条规定，人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。我国《民法典》第1 034条界定了个人信息的定义，列举了“生物识别信息”，并规定“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”，从司法裁判的角度，明确了隐私权与个人信息权的分野。我国《个人信息保护法》第1条、第2条规定个人信息受法律保护，使用“个人信息权益”一词。《湖北省消费者权益保护条例》在消费者权利章节第7条规定了“个人信息受保护权”，第10条列举了“个人生物识别信息”，《浙江省实施〈中华人民共和国消费者权益保护法〉办法》也有同样的条文。《广东省社会信用条例》第22条规定，“采集市场信用信息，禁止采集自然人的宗教信仰、血型信息、疾病、病史信息、基因、指纹等生物识别信息以及法律、行政法规规定禁止采集的其他信息”，《天津市社会信用条例》《海南自由贸易港社会信用条例》等也有类似条文。

三是有实现的可能性。严格地说，一项新兴权利的实现可能性不应该成为法律权利的内在标准，但没有实现可能性的权利会损害法律权威性，进而导致权利受损，因此没有实现可能性的权利不宜认定为法定权利。实现个人生物识别信息权，有赖于个人或者组织行为，从权利行使来看是可行的，并不会出现巨大的社会成本，也不存在政治上的违反政策性，具备现实的实现可能性。

由上可知，个人生物识别信息兼具上述3个基本条件，因而它完全可以成为一项新兴的法定权利。

(二)个人生物识别信息的特征

1.人身唯一性。每个人的基因是由不同的脱氧核糖核酸(DNA)以及少数核糖核酸(RNA)片段组成的遗传物质，所以世界上没有一模一样的脸、指纹、掌纹等，每个个体所具有的生理特征都是特别的、独一无二的。即便是单纯的一个眼眸、一个指纹、一个声音，经过技术解析，都有明确的主体指向，所隐含的信息价值超过一般个人信息。不同于其他个人信息，个人生物识别信息不需要结合其他信息即可识别特定的人，这使得个人生物识别信息的指向性非常明确，具有唯一性。个人生物识别信息的唯一性还体现为不可变更性：传统的敏感个人信息如金融账号、银行密码等，如遭泄露可以挂失补办，修改密码；而个人生物识别信息是以个人生理特征为内容的信息，通常是不会更改的，一旦泄露，与该信息相关的身份认证活动都将退出，还可能导致其他更隐私的个人信息被挖掘和利用，然而个人却无法通过变更信息来止损，尽管部分信息可以通过医学技术(如整容)来实现变更，但那显然不是正常操作。

2.高度敏感性。个人生物识别信息是敏感个人信息的一类，其敏感性又高于其他敏感个人信息。在我国，当一个人分别看到自己的籍贯、姓名以及人脸信息时，其反应程度通常是对人脸反应最为激烈。当然也有例外，以籍贯、姓名和能够指向自己的人脸数据为例，如在有地域偏见的环境下，个人也可能会对籍贯信息的反应更强烈。如果是长期暴露于舆论中的公众人物，那么对人脸信息的反应可能会缓于普通人，但这也无法否认，通常情况下个人会对自己的人脸信息反应最强烈。

3.侵害后果严重性。个人生物识别信息之所以对个体非常重要，不是信息载体本身重要，而是信息承载内容涵盖的个人财产权益、人格权益重要。个人生物识别信息所承载的财产权益、人格权益要远高于其他个人信息。以人脸信息为例，人脸信息具有唯一性，难伪造，人脸识别技术不需要结合其他信息就可以做到精准识别，而且操作简便、高效，因此被广泛运用于身份识别，如人脸支付、人脸解锁手机等。在“一部手机走天下”的智能时代，人脸信息的使用隐藏着极高的风险，“一旦泄露，后果严重”[10]，可能会造成重大财产损失和个人信息泄露，并且这种损害往往是不可逆的。人脸本不是什么机密，长期以来只是体现识别功能，天然具有公开性，人脸收集行为也只是简单地获取人脸图片；而现在经电子设备采集后，人脸以数据形式存在，通过前沿技术解析，可快速关联个人的其他敏感信息，从而成为重要的数据信息，需要予以特别保护。

4.侵害方式隐蔽性。个人生物识别信息不同于姓名、身份证号、医疗健康等个人信息，它是直观的、开放的，不需要个人主动提供即可被他人感知，如人脸、耳廓、声纹、步态、表情等，都可以被监控探头隔空捕捉并记录，这个过程不需要与信息主体进行接触，且信息主体难以感知到被侵害。这样的技术在刑事侦查领域发挥了重要的作用，但在商业活动中就可能是侵害个人信息权益的基础之源。作为信息主体的个人，很难及时发现自己合法权益遭到侵害，即使发现，也会困于侵权行为的事实证明而不知如何获得救济。

将个人生物识别信息视为一项新兴权利，是因为个人生物识别信息区别于其他敏感个人信息的显著特征，具有上述人身唯一性、高度敏感性、侵害方式隐蔽性、侵害后果严重性，特别是其遭受不法侵害后的救济难，这不是简单地归类到民事权利中的隐私权或肖像权等就可以解决的。(3)已经有研究者提出：“个人信息具有公共性和社会性”，“从本质上讲,这是因为大数据时代健康数据具备的公共属性与多元价值决定了保护方式的公共性和社会性”，还有人提出要“制定专门性的个人生物识别信息保护法。该法应当重点规制法人、非法人以及各种社会组织对个人生物识别信息的处理行为，保护个人生物识别信息保护权”，分别参见翟相娟《个人敏感信息法定采集范围之检视——以大数据征信为背景》，《首都师范大学学报(社会科学版)》2021年第1期；高富平《个人信息保护：从个人控制到社会控制》，《法学研究》2018年第3期；付微明《个人生物识别信息的法律保护模式与中国选择》，《华东政法大学学报》2019年第6期。一方面，随着生物技术的发展，生物识别信息的种类将越来越多，作为一种新兴权利将能很好地涵括多种生物识别信息类型，适应社会科技发展的趋势；另一方面，作为信息主体的个人，享有知情权、决定权、更正权、删除权、被遗忘权等多种权利内容，其实已经要求创设现有权利体系以外的新兴权利。

二、商业活动中个人生物识别信息侵权的归责原则

在商业活动中，经营者使用大数据技术收集使用个人生物识别信息；而消费者作为生物识别信息的被动采集者，个人的地位弱势明显，个人生物识别信息应该予以特别倾斜保护，要以民事、行政、经济、刑事手段进行保护。

(一)个人生物识别信息侵权中经营者的过错推定责任

关于在商业活动中发生个人生物识别信息纠纷事件时，关于经营者应该承担何种责任，学界一般认为，个人信息纠纷归责原则应视不同侵权主体而有所不同，即“多元归责原则”：一是“主体说”，认为应根据信息收集的主体是否为公务机关采用二元归责原则，公务机关适用无过错责任，非公务机关适用过错推定责任；二是“技术说”，认为应根据主体是否采用自动化处理技术适用二元归责原则[11]；三是“综合说”，认为是否采用现代大数据技术才是归责的关键，不使用自动化技术的适用一般过错原则即可，采取自动化技术的，非公务机关适用过错推定，公务机关适用无过错原则。相对于“主体说”和“技术说”，“综合说”适应了目前社会存在的技术风险性和主体差异性，更具体、更实际。生物识别技术是一项自动化处理技术，以收集、处理大量个人生物识别信息为基础，信息泄露风险更大，因而在纠纷中经营者应该承担相对主要的责任，应适用过错推定原则。事实上，此类侵权纠纷适用过错推定归责原则，其他国家已经有明文法律规定，如欧盟《通用数据保护条例》第82条第3款规定：“如果能证明对引起损失的事件没有任何责任，那么其可以免除损害赔偿责任”，该规定对损害也适用推定，美国则有过之而无不及，在各州规定的相关民事诉讼中，根本不要求过错，即适用严格责任，类似于我国的无过错责任原则。[12]

目前，我国还没有专门针对个人生物识别信息的规定，个人生物识别信息纠纷的归责原则可参考个人信息相关规定，即一般过错原则。如黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案，黄某举证腾讯公司未经明确同意公开其微信读书记录，存在过错[13]；孙伟杰诉鲁山县农村信用合作联社侵犯公民个人信息权案，“原告举证被告冒用个人信息担保贷款，并将原告征信纳入不良记录，给原告造成精神上、物质上的损失，被告过错明显”[14]。但是在一些因违法收集个人信息而侵害他人人身或财产权益造成严重损害甚至生命的案件里，适用一般过错原则就很难保障个人信息权益。若采用过错推定原则，由信息控制者证明自己没有过错行为，方可彰显个人信息权益保护之公平，倒逼信息控制者严格遵守保护个人信息的义务。

需要经营者承担过错推定责任，也是因为在发生个人生物识别信息纠纷事件中，通常都是经营者有条件收集、掌握和控制个人生物识别信息，而作为消费者的个人自己的信息被收集甚至被滥用却无能为力。在侵犯个人敏感信息的纠纷事件中或者是损害赔偿中，由于个人对于人脸信息被收集往往并不知情，大多是在无意识中被收集的，加上网络上的电子信息数据流动快速，根本不会知道被泄露、被修改、被买卖甚至被使用，等到当事人自己发现其个人敏感信息被不当使用时可以说是为时已晚，且收集证据非常困难。相反，经营者收集的个人敏感信息却是可以保留的，所以应该实行过错推定原则，由经营者承担没有过错的举证责任。

(二)个人生物识别信息的倾斜性保护

加重经营者的举证责任，是源于大工业社会以来消费者的弱势地位而言的，其理论基础就是对于作为弱者的倾斜性保护。倾斜性保护理论，要求对社会上处于弱势地位的个人和群体予以权利倾斜保护以实现实质公平，是维护社会经济秩序的一项重要原则。“在消费活动中消费者与经营者存在信息不对称、消费者明显的弱势地位，需要立法进行倾斜性权利配置，以维护正常的社会经济秩序”，我国《消费者权益保护法》“就是一部体现消费者权利倾斜性保护的法律”。[15]这可以从以下3个角度观之：

1.从个人角度看，个人在自己的生物识别信息维权上处于明显的弱势地位。个人信息被收集的非接触性、无处不在的监控摄像头和生活工作中不可或缺的电子技术软件，都会导致个人信息被收集却不被察觉。如2021年央视“3·15”晚会曝光，某某“卫浴等门店便会在不知情的情况下被具有人脸识别功能的摄像头抓取到人脸信息”[1]，这种行为不仅侵犯了消费者的个人信息权，而且一旦泄露还可能给消费者人身和财产造成重大损失，而消费者本人却蒙在鼓里而无从知晓和查证。在信息使用阶段，个人生物识别信息被经营者实际控制。尽管法律规定个人是自己信息的权利人，享有信息自决权，但在实践中，个人信息却被经营者实际掌握。消费者授权经营者收集个人信息并储存、使用，在这个过程中消费者的权利之手无法触及，授权后也不能有效行使监督权，换言之，经营者使用信息的行为不受消费者控制。在权利救济阶段，无论是在技术的事实层面，还是在相应的法律层面，经营者都显现出比消费者更强的专业性。所以，无论是在经营者侵害个人生物识别信息行为发生之时，还是在发生之后，经营者都具有很大的优势，消费者都难以察觉，难以监督，并难以救济，而在侵权之诉中也往往难以举证，消费者始终处在明显弱势地位。

2.从公众利益角度看，个人生物识别信息可能遭受资本霸权进而对公民权利、政治生态造成伤害。[16]个人生物识别信息采集泛滥的后果是，大量个人信息数据被技术充分使用，技术背后是资本，资本追求利益最大化的特性会使其在操纵技术过程中有意识地进行算法歧视，将那些没有消费能力以及对技术没有使用能力的“数字新穷人”逐渐被边缘化，最终导致人被资本物化而失去存在的价值和主体性，造成群体性的权利侵害。[17]从这个角度来看，无论是单个的个人，还是作为整体的消费者，在资本、技术面前都是脆弱的，法律的规定在资本、技术与个人之间需要向个人倾斜。

3.从商业利益角度看，个人生物识别信息倾斜保护有利于数据产业的良性发展。事物之间是对立统一的，消费者与经营者之间虽然存在利益冲突，但更多的是互为依靠。通过法律规范和保护，引导消费者与经营者协调发展。个人生物识别信息倾斜保护，也为经营者收集、存储和利用行为提供了行为规范，减少经营者之间的数据纠纷。保护商业活动中的个人生物识别信息，可以培养消费者对经营者的信任，个人生物识别信息权益得到充分保障，消费者会更愿意将自己的信息交给经营者使用，而经营者通过获得更多信息数据也能提供更加个性化的产品和服务，惠及消费者，二者之间的良性互动可以促进经济增长和经济秩序稳定运行。

基于个人生物识别信息的损害后果严重、救济难的现状，有必要对个人生物识别信息予以倾斜性保护。生物识别技术在近几年迅速发展成生物识别行业市场并形成一定规模，如生物识别芯片制造、生物识别设备及解决方案、生物识别身份认证、生物识别出入口管理、生物识别办公等等。出现了大家关注的个人生物识别信息安全问题，目前对于个人生物识别信息保护上稍显滞后，并不能很好地回应技术发展提出的新要求。从我国现行《消费者权益保护法》内容上看，并没有特别规定个人生物识别信息，只对个人信息有一些原则性的规定，如“消费者个人信息受法律保护”“经营者收集使用个人信息的合法、正当、必要原则”“消费者知情同意权”“受侵害时消费者的请求权”。[15]我国《消费者权益保护法》制定于1993年，最近的修改也是在2013年，应该适应大数据时代发展的需要而进行再次修改。

三、商业活动中个人生物识别信息侵权的司法认定

人们如此关注个人生物识别信息问题，是因为担心个人生物识别信息一旦泄露或被非法使用会造成个人人身、财产乃至精神上的严重损害，甚至还可能给个人周遭的其他人带来损害。那么，在个人生物识别信息纠纷案件裁决中，对于当事人的个人生物识别信息侵害的行为及其损失认定，就十分关键。

(一)个人生物识别信息侵权的行为认定

我国《民法典》第1 035条、我国《个人信息保护法》第5条规定，“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息”。合法、正当、必要原则本身是很抽象的，需要具体地细化规则才可以司法适用，但在错综复杂的个人信息保护问题中，目前还没有体系性的具体法律规则，在多数情况下还是要依靠该原则条款予以判定。

1.合法、正当原则。合法性原则，通常意义下的合法之义，即符合法律对处理个人信息行为所施加的具体规则，违背具体规则即违背合法原则。因此，合法性原则起笼统的宣示作用，不具有对法律适用的直接指导意义。就正当性原则而言，正当与否是属于伦理道德意义上的判断，一般来说，合法的即是正当的，但也存在法律遗漏的情况，因此正当性原则其实是起到对合法性原则的兜底作用。当事人本人的“知情同意”是经营者收集使用个人信息具有合法正当性的基础，我国《消费者权益保护法》规定经营者处理个人信息应当保障消费者知情同意权，但是现实中，情况多样。如在一些平台应用中，消费者往往是疲于应对冗长的隐私协议，若想使用就必须接受经营者的格式条款规定，所以法律条文规定的“知情同意”规则事实上流于形式，没有选择余地，故在判断经营者与消费者的格式合同条款时，不仅要关注“知情同意书”的有无，还要关注其意思表示的实质公平性问题。而更多的时候，人脸信息往往是在本人不知情的情况下被收集，个人生物识别信息的“知情同意权”有时候连形式都无法保障。所以，在判断经营者是否遵循了“合法、正当”原则时，需要充分考虑个人的弱势地位，仅仅是依据合同法来考虑是不够的，需要依据消费者权益保护法来认定。

2.必要原则。它是对个人信息收集、处理、使用行为的规制。对个人信息进行充分保护是有共识的，但是在保护方式上并不一致，“我国立法则以‘必要原则’的概念，代替了与之相关的其他诸多原则，并可以成为特定目的、限制收集、限制利用等相关原则的上位原则，体现了一种立法技术上的简约化考量”[18]。在社会运行的各个领域，个人信息被收集、使用是客观存在的，个人信息的大数据运算极大地提高了效率，带给民众更多的便利，所以法律的具体条款规定还要保护经营者合法运用个人信息的社会利用价值，要考虑社会性利用与风险性制约的平衡，因此要确定其收集、处理、使用的必要性标准。过于宽松，可能会使个人信息权益受损；而过于严格，又有可能限制信息经济产业的发展。在司法实践中，对于“合法、正当”原则的把握比较容易，但对“必要”原则，法官要把握自由裁量难度很大。

在“人脸识别第一案”中，郭兵起诉杭州野生动物园，不同意杭州野生动物园将入园年卡由指纹识别入园升级为人脸识别入园。一审法院杭州市富阳区人民法院认为，杭州野生动物园公开收集人脸识别信息，“以达到甄别年卡用户身份、提高年卡用户入园效率的目的”，符合“合法、正当、必要的原则”。[19-20]显而易见，作为经营者，杭州野生动物园收集游客的人脸信息并不符合必要性原则。这是混淆了“目的正当”与“目的必要”之间的区别，前者是对正当性原则的判断，后者则是对必要性原则的判断。提高用户入园效率的目的是正当的，但并不代表为实现该目的而进行的个人信息处理行为就是必要的，还需具体分析行为的必要性。必要性原则的具体衡量标准，包括以下4个方面：(1)目的必要，最少收集。非必要不收集，处理个人信息是为完成某个合乎法律规定和道德规范的正当目的所必需的，即舍去收集处理个人信息行为，则该目的不能实现。[21]此案中，杭州野生动物园提高管理效率的方式有很多，识别身份证就已经可以甄别用户身份，如果说是为了防止非用户冒用用户身份证的现象，可以随机抽查入园者，没有必要强制使用指纹识别、人脸识别等。我国《个人信息保护法》第13条规定，处理个人信息，应“取得个人的同意”，或“为订立、履行个人作为一方当事人的合同所必需”。需要注意的是，必需行为不仅包括会导致合同目的不能实现的行为，还应当包括可以极大地减少经济成本的行为。(2)手段必要，最小收集。“收集、使用个人信息所采取的手段不应是任意的，而应当有所限制，仅限于那些对实现收集和使用之目的必要的手段。”[18]被告在收集原告指纹信息时，已告知并获得原告同意，录入指纹收集手段是必要的，但另外进行的人脸拍照则是不必要的。(3)时间必要，最短维持。我国《个人信息保护法》第19条规定：“个人信息的保存期限应当为实现处理目的所必要的最短时间。”在特定时期内，某个处理个人信息行为或许是符合目的必要和手段必要的，但当这个时间期结束，意味着特定的条件消失，这个处理个人信息行为就不见得仍然必要了，比如疫情期间收集公民个人行程轨迹是必要的，若当地疫情解除，就要停止收集公民个人行程轨迹信息了，并且对已收集和处理的个人行程轨迹信息应当予以删除。此案中，原告与被告解除合同，被告所持有的原告所有个人信息，就并非必要，故应当予以删除。(4)安全必要，最小损害。尽管符合上述必要性，处理个人信息行为也应当将对个人可能造成的损害降到最小，尽可能少处理或者不处理个人信息，这也要求当处理个人信息行为不可避免时，也应当为个人的不同选择预留出替代方案。此案中就算杭州野生动物园升级系统经济、必要，也应当保留用户身份证、年卡识别等其他入园方式，以此保障用户的自主选择权。技术是为人服务的，应当避免人被技术所限制。

3.严格原则。鉴于个人生物识别信息的个人独特性，其被泄露使用可能产生的损失，处理人脸信息等个人生物识别信息应当遵循比非敏感个人信息更加严格的规则。有学者提出，处理人脸信息还应当满足紧迫性要件，即为实现正当目的需要立即收集或者使用人脸信息[22]，“要对人脸识别信息的收集、处理和其他过程施加更为严格的限制，并要求其以更高的标准对其加以保护”[23]。还有学者提出，“建立如下公私部门一体适用的安全与责任底线，如第三方独立机构定期检测、加密措施、建立可追踪的技术体系”[24]。我国《个人信息保护法》第28条规定，处理个人敏感信息，个人信息处理者应具有特定的目的和充分的必要性，这说明处理个人敏感信息不仅要满足目的正当的一般性要件，还要是某种特定的目的，即不收集使用某种个人敏感信息不足以完成商业活动。

(二)个人生物识别信息侵权的损害认定

我国目前公布的《个人信息保护法》对于损害赔偿的规定强调实际损失，如第69条规定：“损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额”。这一规定对于非物质性损害赔偿的规定不明，鉴于个人生物识别信息的特殊性及其被侵权的可能严重后果，个人生物识别信息侵权损害赔偿的认定不应限定于实质性损害，还要包括非物质性损害。非物质性损害赔偿，是指因侵权行为而诱发的其他损害，包括精神损害。例如，某一个人在感觉个人生物识别信息被侵害后会感到焦虑，因为人脸信息遭到泄露后，当事人很难进行人脸更换，这个就不是花费时间、精力、金钱就可以解决的，这种莫名的恐惧给当事人带来的焦虑是无形的，是需要侵权者适当赔偿的。

在侵害个人生物识别信息的案件审理中，司法审判认定精神损害赔偿难。我国目前还没有专门针对个人生物识别信息侵权责任承担的规定，即适用一般侵权责任承担方式：停止侵害，排除妨碍，消除危险，赔礼道歉，赔偿损害。在实际中，通常只有造成了“严重精神损害”才可请求对非物质性损害进行赔偿。个人生物识别信息被定性为人格权益，属于个人私密信息适用隐私权相关规定，这意味着被侵权人只有在实质性的人身、财产损失和严重精神损害时才可获得赔偿。在纠纷案件审理中，多数法官不认为个人信息侵权会造成严重的精神损害，个人信息侵权纠纷损害要件往往难以认定，致使被侵权人无法获得赔偿。[14][25-27]这种以“‘实质损害’为损害赔偿依据的传统民法范式与目前民法所规定的对个人信息处理的‘程序性违法’的损害赔偿认定之间的冲突，将有可能成为个人生物识别信息民事权益诉讼救济实现所面临的现实困境”[28]。

侵害个人生物识别信息，不需要有实质性损害发生作为前提。个人信息权利损害应当获得必要的补偿，在个人生物识别信息侵权认定的损害要件上，“人格权受侵犯程度的不同只能影响损害赔偿数额，而不能决定权利人损害赔偿请求权的有无”[29]，个人信息侵权赔偿范围，不仅要包括“内心焦虑上的精神损害，还应当包括为降低风险而支出合理成本的风险损害”[30]。鉴于个人生物识别信息具有的前述的人身唯一性、高度敏感性、侵害方式隐蔽性、侵害后果严重性等特征，特别是其遭受不法侵害后救济难，对个人生物识别信息侵权行为的认定，可以不要求实质性的损害或者严重精神损害发生，主要是基于以下4种原因：(1)个人生物识别信息被侵害的后果可能很严重，有明显的侵害过程和结果的不确定性。人脸信息的泄露不一定会在被侵权的当下就产生某种损害，但由于网络空间的特殊性，信息传播速度快，不能保证该信息不会被有心之人保存及在未来某个时间挖掘、恢复和利用，进而造成损害。侵害个人信息损害后果可预见性低，若严格按照侵权责任一般要求侵害个人信息赔偿要有物质性的损害，多数的个人信息受害人在受侵害之时是无法获得赔偿的，待实际损害发生后，也会由于时间的推移和过程的技术复杂而无法证明。(2)个人生物识别信息虽不是绝对的人格权，但其具有明显的人格权益，在受侵害时应当予以保护。在大数据时代背景下，个人生物识别信息的侵害极具广泛性，包括受害群体的数量大，即使对单一个体产生的精神损害轻微，当涉及整个群体时可能就会很严重。因此，应当认为个人生物识别信息遭受侵害，即可能会产生不同程度精神损害，需要予以保护，而不能苛求其要有损害的严重性。(3)不要求证明实质损害的侵权认定，我国目前已有相关规定。在隐私权侵权纠纷中，我国《民法典》中规定不要求证明实质损害的发生，只要行为人实施了法律禁止行为，如非法跟踪、窥探等，且没有法定免责事由的前提，行为人就应当承担责任，这是因为侵害隐私权造成的受害人焦虑、恐慌等精神损害很难证明。自然，侵害个人生物识别信息，也不需要有实质性损害发生为前提。鉴于司法审判中，法官要在个案中判定诱发或潜在的其他损害，难度较大，还会严重影响司法效率，因而涉及个人生物识别信息这类案件时，可以立法规定一定的赔偿限额范围。

如果经营者存在实质性欺诈行为，要承担惩罚性赔偿。在实际中，经营者以欺诈手段骗取个人生物识别信息，要远比普通老百姓想象得复杂。由于大数据技术的科技性以及商业经营者的排他性商业竞争，算法就像一个“黑箱”，消费者无从真正清楚算法的目的和意图，也无法监督算法控制者的行为，每一套算法背后都可能隐藏着侵害个人信息权益的可能。[31]个人生物识别信息在被收集后，经营者会运用大数据算法技术对个人信息进行有利于商业活动的整合，在这个过程中消费者无从感知也无从避免，时刻处于被违法收集和被违法使用的风险当中，经营者的行为从一开始就是蓄意的。像建立在大量个人信息数据基础上的大数据杀熟，此种行为主观上具有恶意欺诈的故意，客观上会造成侵害个人生物识别信息权益的严重后果，要予以法律遏制。[32]由于经营者存在实质性欺诈行为，可以适用我国《消费者权益保护法》中的惩罚性赔偿。对于恶意“欺诈者课以惩罚性赔偿，是为了起到对于欺诈者的惩罚作用，对于受害者的补偿作用，而更重要的是能够起到阻遏其他有不良动机的潜在经营欺诈者，在社会上形成对于欺诈获利行为的否定性评价”[33]，从而有利于维护个人生物识别信息安全和法律权威。对于惩罚性赔偿的范围，由于个人生物识别信息的收集、使用可能存在于消费者购买商品或者接受服务的整个过程当中，个人生物识别信息本身不是合同标的，无法按照《消费者权益保护法》中3倍价款计算赔偿。如果按照购买商品或者服务的价款计算，则很可能因为价款标的额太小而起不到惩罚性作用，毕竟相较于个人生物识别信息给经营者带来的收益，几百块甚至是几千块的赔偿都是经营者所不在乎的。无论标的额大小，个人生物识别信息一旦泄露都会造成极大损害，因此可以对个人生物识别信息欺诈行为课以一定范围的惩罚性赔偿，具体数额的判定方法有待司法解释明确，目前可以视欺诈情节由法官酌情裁量。

四、个人生物识别信息保护的公益诉讼

我国《个人信息保护法》第70条规定了个人信息保护的公益诉讼制度。鉴于个人生物识别信息具有的人身唯一性、高度敏感性、侵害方式隐蔽性、侵害后果严重性等特征，当事人在无意识、不知情情况下，个人生物识别信息被收集、泄露、使用，由于个人很难判定如何被收集被使用和收集证据，有必要倡导公益诉讼。

(一)公益诉讼的必要性

由于个人生物识别信息被侵害的事件发生，往往是具有侵害的涉及人数众多、隐形损害严重、不利影响持久的特点。在现实社会生活中，涉及众多人利益的侵害事件，侵害者一般都是经济实力强大的实体，而受害者是单个的自然个体，在经济、经验、精力等方面都是不均衡的，迫使不少的受害者会认为自己只是众多普通人的一员，等着其他人去主张权利，容易出现维权者缺位。这样，需要有代表公众利益的机构出面帮助大家去诉讼。公益诉讼的出发点和归宿都是为了公共利益，区别于个人信息受害者的民事诉讼，两者相对照，公益诉讼的发起者基本上不是直接的受害者，没有直接的利益关系，也就是说诉讼的原因与目的都不是为了自己的利益。

公益诉讼的核心是为了保护公共利益，由法律规定的国家机关或者组织向法院提起诉讼，代表广大消费者寻求司法救济。在个人生物识别信息侵权纠纷中，个人处于明显的弱势地位，应当适用公益诉讼的相关规定，主要有3方面的原因：(1)侵权行为的个人无意识感和科技性所导致的消费者维权困难。基于现代社会治理的需要，智能化监控设备遍布各地，实时抓取各类信息，驻留于特定封闭空间(如超市、商城等营业场所)内的消费者会比流动者更易暴露人脸信息特征，换言之，经营者能够不经同意获取到消费者全面、准确的人脸信息。“这样的顾虑在日常消费中已成为事实，几乎困扰着每一位消费者。个人信息被盗用也成为消费领域的痛点难点。”[34]生物识别技术的专业技术性、隐蔽性，造成了侵权方与被侵权方信息的严重不对称。(2)生物识别技术以海量的个人生物识别信息数据库为基础，具有侵权对象规模性和损害后果严重性的特征，一旦损害发生影响广泛，就是一个社会公共性问题。侵犯对象的规模性意味着在一定范围内存在不特定多数人的共同利益受到侵害，已经构成事实上的公共利益，损害后果严重性则增加了公共利益保护的紧迫性，应当发动公权力予以救济。(3)个人生物识别信息纠纷救济困难。多数案件显示的损害不明显、难证明，也有少数案件的损害明显，却因为生物识别信息的特殊性而难以恢复，收集证据和举证太难，以致维权意识和动力不足。

基于上述3种原因，个人生物识别信息纠纷依靠个人的力量难以在诉讼中与侵权方抗衡，如“人脸识别第一案”中原告其实没有获得任何实质性的侵权损害赔偿。因此，当侵害不特定、众多人的个人信息权益现象发生时，公益诉讼能够提高维权效率，确保违法行为得以惩罚，危害个人信息的现象得以尽快消除，体现社会的公平、正义。

(二)检察公益诉讼的倡导

作为消费者权益保护的重要方式，我国《消费者权益保护法》第47条规定了消费者协会可以提起消费问题公益诉讼。我国《民事诉讼法》第55条明确在消费者公益诉讼中人民检察院的补充作用，即在规定的机关和组织不提起诉讼的情况下，人民检察院可以向人民法院提起诉讼。而我国《个人信息保护法》第70条规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”，即在个人信息保护公益诉讼中，没有明确各起诉主体的起诉顺序，可见立法者是考虑到了个人信息保护公益诉讼的实际情况。目前，检察机关的公益诉讼作用是明显的，也是必要的。鉴于当前个人生物识别信息权利性质模糊，侵害行为的高科技、大数据因素，证据的发现、收集、固定、鉴定等都需要一定的专业技术手段，这给公益诉讼工作带来一定的挑战，侵害行为可能横跨多个县、市、省甚至国家，因此鼓励检察公益诉讼发挥主导作用。从长远看，在消费和个人信息交叉的领域，也要发挥消费者保护协会在消费者个人信息保护中的作用，包括消费公益诉讼。

2021年8月，最高人民检察院发布《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》，使检察院开展个人信息保护公益诉讼工作有了工作规范。实践中，检察机关成为个人信息民事公益诉讼的主要起诉主体，发挥良好作用。通过北大法宝平台数据库，检索到个人信息保护民事公益诉讼案件209例，其中检察院参与的案件多达193例，占比92.3%。(4)2021年11月5日在北大法宝数据库司法案例检索栏输入“个人信息”“公益诉讼”检索到209篇案例，https:∥www.pkulaw.com/law/。也有消费者协会提起的个人信息保护公益诉讼，如重庆首例消费者个人信息保护民事公益诉讼案[35]，但不多，这其中的原因，一方面是目前存在大量侵害个人信息的刑事附带民事公益诉讼案件；另一方面可能是相较于其他起诉主体，检察院更具诉讼能力。鉴于当前我国《个人信息保护法》刚刚出台，可能存在诸多实践问题以及消费者维权难度大等现实，消费者协会应对大量侵权事件力量不足，需要鼓励检察公益诉讼发挥主导作用。

基于个人生物识别信息保护的紧迫性和重要性，人民检察院除了发挥消费公益诉讼补充作用外，还可以通过行政公益诉讼发挥其监督作用。2021年4月22日最高人民检察院发布11件检察机关个人信息保护公益诉讼典型案例，其中包括6件行政公益诉讼案。[36]行政机关是维护公共利益第一顺位的代表，且行政机关部门依据管理领域划分，在处理个人信息保护问题上更具有专业性优势。人民检察院向行政机关提出检察建议，督促行政机关依法履行职责，有利于及时纠正违法行为，提高个人信息保护执法效率。

(三)公共利益的认定

在公益诉讼司法实践中，公共利益的认定是一个难点。公益诉讼，在我国已经开展多年，成绩斐然，形成了较为完善的司法制度，但涉及公共利益的认定问题，一直在理论上没有大家认可的主流观点，实践中也没有形成可行性的判断标准。

我国法学界对于公共利益一直很重视，在很多的研究文献中都会涉及，但对于公共利益的概念界定及其内涵外延却没有准确的表述，存在文字表述和内容的不确定性。这种法律概念含义的不确定性，很有可能会长期持续，从历史上看其内涵似乎更具有价值性的一种正义理念和行动追求，也可能正是这种概念及其内容的不确定性，却具有社会变化适应能力，使其具有历久弥新的生命力。回到公共利益的原初含义，汉语里的公共利益，与私人利益并存，是公众利益之意，在某一个一定时期、一定范围内，代表最多数人的利益。由于我国历史上，大多数时候是高度集中统一的政权，公共利益往往与国家利益、社会利益、集体利益相关联，但又有区别。从字义来看，公共利益可以拆分为“公共”和“利益”。“公共”是指一定时期、一定范围内的最多数人，那么“公共利益”就应该是最多数人的利益，这个人数多少的确定，要依照一定时期或一定范围来确定，并且这种人数众多的群体，是分散的、不特定的人群，不是事先组织起来的，更不会是特定的利益集团，是自然生态式的客观存在，具有人数众多、人群组成不特定的特征。这些不特定人的利益是具有共同性的，不是每个人利益的简单相加，具有不可分割性，并且这样的利益应该是基于人的生存发展所必需的基本性的利益，如涉及饮食医疗、住宿休息、生活环境、人身安全等，具有利益的普遍性、基本性，也就是说，判断是否是公共利益的时候，要考虑涉及人数的众多、组成人员的不特定、利益的普遍性、人的基本生存发展需要这4个因素。

由于个人生物识别信息的特征，在认定损害公共利益的“众多个人的权益”时，需要考虑以下3个因素：(1)受害人数，包括实际受害人数，也包括潜在的受害者。如前文所述央视报道的某某卫浴门店利用监控设备抓取消费者人脸信息，并非一次抓取，而是多次反复，尽管实际受害人数不多，但潜在危害很大。(2)受害群体，要考虑不同类别的受害群体。如同样人数的未成年人与成年人的个人信息所包含的公共利益不同，未成年人个人信息受损的危害性更大，法律对未成年人保护应有所倾斜，对侵害未成年人生物识别信息权益的行为不要求与成年人同样的“众多”标准。同样地，在个人信息保护公益诉讼中，消费者属于明显弱势群体，应当适用较为宽松的“众多”标准。(3)权益范围，鉴于个人生物识别信息对于其他个人信息的关联性，不仅包括已经侵害的权益，还应包括未来可能侵害的权益。