顧秀文，張 波

(江蘇師范大學(xué) 法學(xué)院，江蘇 徐州 221100)

隨著人工智能、云計(jì)算、識(shí)別終端等技術(shù)的快速發(fā)展，以“指紋識(shí)別”“人臉認(rèn)證”“虹膜解鎖”為典型特征的生物識(shí)別技術(shù)開始在門禁驗(yàn)證、金融支付、交通出行、大眾娛樂等領(lǐng)域廣泛應(yīng)用，其在推動(dòng)數(shù)字技術(shù)不斷進(jìn)步的同時(shí)，也改變了人們的生活方式，成為人們生活的重要組成部分。個(gè)人生物識(shí)別信息不同于傳統(tǒng)的一般個(gè)人信息，其具有獨(dú)一無二性、不可替換性、廣泛應(yīng)用性和易被竊取性，特別是易被竊取性使得個(gè)人生物識(shí)別信息面臨各種風(fēng)險(xiǎn)。目前，我國個(gè)人生物識(shí)別信息被過度采集、非法交易、濫用盜用等現(xiàn)象屢見不鮮，給人們的人身、財(cái)產(chǎn)安全造成極大威脅，甚至危害國家安全。正如王錫鋅所言：“在制度環(huán)境與技術(shù)條件不完善的當(dāng)下，數(shù)據(jù)處理活動(dòng)中的疏失、泄露等信息安全風(fēng)險(xiǎn)及伴隨的衍生損害亦日益加劇，個(gè)體的不安全感不斷上升?！盵1]因此，在“我們還沒有做好迎接它的準(zhǔn)備，致使社會(huì)的很多領(lǐng)域出現(xiàn)失序和無序問題，國家治理和社會(huì)治理出現(xiàn)‘治理赤字’，構(gòu)建智能社會(huì)法律秩序就顯得十分必要、十分緊迫”[2]。

一、個(gè)人生物識(shí)別信息的特殊性

(一)個(gè)人生物識(shí)別信息具有獨(dú)一無二性

個(gè)人生物識(shí)別信息由于其自身的天然屬性，所以是獨(dú)一無二的，這也成為個(gè)人生物識(shí)別信息區(qū)別于傳統(tǒng)的一般個(gè)人信息的重要特征。個(gè)人生物識(shí)別信息的權(quán)利主體是確定的、唯一的，將個(gè)人生物識(shí)別信息應(yīng)用于驗(yàn)證自然人身份的實(shí)踐中，并不需要輔助以個(gè)人的其他信息，只需要輸入自然人的指紋、虹膜、面部等生物識(shí)別信息，便可以通過大數(shù)據(jù)、云計(jì)算技術(shù)迅速判定“某人之為某人”，個(gè)人的生物識(shí)別信息僅與特定的自然人相匹配。就個(gè)人生物識(shí)別信息在金融支付場域應(yīng)用而言，自然人在支付軟件中開通識(shí)別支付功能時(shí)，軟件平臺(tái)會(huì)通過設(shè)定算法，對用戶的生物識(shí)別信息進(jìn)行采集、處理并儲(chǔ)存，以備用戶下次登錄驗(yàn)證時(shí)對照識(shí)別。與此同時(shí)，平臺(tái)還會(huì)將收集的個(gè)人生物識(shí)別信息與自然人的身份證等物質(zhì)化信息相捆綁，以固定個(gè)人生物識(shí)別信息的應(yīng)用。當(dāng)用戶識(shí)別支付功能開啟后，用戶可以將指紋、面部信息等直接作為其支付密碼，以便于識(shí)別驗(yàn)證，而無須手動(dòng)輸入相關(guān)信息、出示身份驗(yàn)證證件。相較于身份認(rèn)證其他方式，個(gè)人生物識(shí)別信息具有準(zhǔn)確性與高效性，而信息驗(yàn)證的準(zhǔn)確性正是得益于自然人所擁有的獨(dú)一無二的生物識(shí)別信息。因此，個(gè)人生物識(shí)別信息常被作為確信的、具有唯一性的支付密碼、身份驗(yàn)證信息，指向個(gè)人的人身和財(cái)產(chǎn)權(quán)益。但也正是基于這份獨(dú)一無二性，使得個(gè)人生物識(shí)別信息一旦受損將不可逆轉(zhuǎn)。

個(gè)人生物識(shí)別信息的唯一性，是其進(jìn)行身份驗(yàn)證的獨(dú)特優(yōu)勢，這也成為許多人看好其應(yīng)用前景的主要原因。生物識(shí)別信息技術(shù)的開發(fā)者往往只注重宣傳新興技術(shù)的優(yōu)越性，卻忽略生物識(shí)別信息技術(shù)應(yīng)用給人們帶來的易泄露、保密性弱、風(fēng)險(xiǎn)性大等風(fēng)險(xiǎn)。如果對個(gè)人生物識(shí)別信息技術(shù)應(yīng)用風(fēng)險(xiǎn)不能預(yù)測，盲目推廣生物識(shí)別信息技術(shù)應(yīng)用，放任商業(yè)逐利導(dǎo)致無序的市場競爭，將會(huì)造成難以想象的信息權(quán)利危機(jī)。

(二)個(gè)人生物識(shí)別信息具有不可替換性

個(gè)人生物識(shí)別信息具有穩(wěn)定性，且不可替換。在日常生活中，如若丟失身份證件，可以向公安機(jī)關(guān)申請更換新的身份證；忘記銀行卡密碼或者軟件登錄密碼，可以通過系統(tǒng)設(shè)置找回密碼或者直接更換新的密碼。但是個(gè)人生物識(shí)別信息是獨(dú)一無二的，一個(gè)人不可能擁有第二張臉、第二個(gè)基因信息，如若被盜用、冒用或者泄露，將無法更換。并且，不同于出生日期、電話號(hào)碼等輕度敏感信息，生物識(shí)別信息無法再次獲取，如果個(gè)人生物識(shí)別信息被濫用，將會(huì)直接影響其正常的社會(huì)活動(dòng)，給個(gè)人生活帶來極大的不便。王德政指出：“一旦作為密碼使用的生物識(shí)別信息遭到泄露，將導(dǎo)致信息所有人無法像修改普通密碼那樣修改該密碼，只能申請停用該密碼，從而造成其在該密碼的使用上遭遇較大的不方便?！盵3]因此，要對個(gè)人生物識(shí)別信息的采集、處理、儲(chǔ)存全流程進(jìn)行保護(hù)，以保障個(gè)人生物識(shí)別信息的安全性。

(三)個(gè)人生物識(shí)別信息具有廣泛應(yīng)用性

個(gè)人生物識(shí)別信息技術(shù)應(yīng)用具有準(zhǔn)確性與穩(wěn)定性，加上信息識(shí)別技術(shù)便捷的優(yōu)勢，因而在商業(yè)與政務(wù)等方面發(fā)揮著重要的作用。個(gè)人生物識(shí)別信息技術(shù)應(yīng)用主體不僅包括個(gè)人、學(xué)校和企業(yè)，而且政府部門也將這一技術(shù)應(yīng)用于日常政務(wù)處理和國家安全事務(wù)中。個(gè)人生物識(shí)別信息技術(shù)“在交通管理、安檢、教育等領(lǐng)域都有廣泛的應(yīng)用，改善了相關(guān)領(lǐng)域工作的質(zhì)量和效率，提升了公共安全，增進(jìn)了公眾生活的便利”[4]。對政府而言，個(gè)人生物識(shí)別信息技術(shù)應(yīng)用在維護(hù)社會(huì)秩序、保障公共安全中發(fā)揮了重要作用；對企業(yè)而言，個(gè)人生物識(shí)別信息技術(shù)的優(yōu)化與不斷創(chuàng)新，能夠不斷造福公眾，具有廣闊的發(fā)展前景；對公眾而言，個(gè)人生物識(shí)別技術(shù)應(yīng)用改變了人們的生活方式，給人們帶來全新的生活體驗(yàn)。

個(gè)人生物識(shí)別信息技術(shù)應(yīng)用主要包括以下五個(gè)方面：(1)國家安防領(lǐng)域。個(gè)人生物識(shí)別信息技術(shù)應(yīng)用最初進(jìn)入大眾視野是在國家安防領(lǐng)域，主要用于識(shí)別犯罪分子的面貌、行為等特征。“基因信息被廣泛用于刑事偵查程序以辨認(rèn)犯罪嫌疑人和受害人的身份或者親子鑒定等。人臉信息、指紋信息、掌紋信息等還被用作研究和開發(fā)具有商業(yè)價(jià)值的新產(chǎn)品?！盵5]個(gè)人生物識(shí)別信息技術(shù)應(yīng)用提高了犯罪抓捕的效率，在維護(hù)國家安全、社會(huì)安定等方面起到了重要作用。(2)交通出行領(lǐng)域。在出行方面，個(gè)人生物識(shí)別信息技術(shù)被應(yīng)用于車站的旅客身份驗(yàn)證中，這一應(yīng)用不僅節(jié)省了人力資源，而且也提升了出行效率。就交通管制而言，為進(jìn)一步規(guī)范出行秩序、提升公民的出行素質(zhì)，交通部門運(yùn)用生物識(shí)別技術(shù)對交通違章者進(jìn)行監(jiān)控，如果出現(xiàn)交通違法行為，生物識(shí)別端口將會(huì)自動(dòng)識(shí)別行為人的相關(guān)信息，并顯示于公屏上，以此督促公眾遵守交通規(guī)則。(3)金融支付領(lǐng)域。隨著支付寶、微信支付等金融支付軟件與生物識(shí)別技術(shù)的結(jié)合，軟件用戶只需要開通指紋識(shí)別或者人臉識(shí)別等免密支付功能即可進(jìn)行支付，無須手動(dòng)輸入密碼，非常方便快捷。與此同時(shí)，傳統(tǒng)的銀行業(yè)也開始引用個(gè)人生物識(shí)別信息，為用戶財(cái)產(chǎn)安全增添保障。(4)大眾娛樂領(lǐng)域。2021年初，“Avatarify”APP推出，一段“螞咿呀嘿”視頻風(fēng)靡一時(shí)?！癆vatarify”軟件是對相關(guān)人物形象進(jìn)行深度偽造，軟件用戶只需要上傳人物的高清照片，即可將影視片中的人物形象替換成照片人物形象，因而受到大眾的追捧。(5)門禁考勤領(lǐng)域。個(gè)人生物識(shí)別信息技術(shù)功能被大量應(yīng)用于門禁考勤領(lǐng)域，從而減少了傳統(tǒng)刷卡考勤存在冒用頂替的情形。

(四)個(gè)人生物識(shí)別信息具有易被竊取性

生物識(shí)別信息技術(shù)在國家安全、社會(huì)治理和人們?nèi)粘Ｉ钪邪l(fā)揮著舉足輕重的作用，給人們帶來巨大的技術(shù)紅利，為建設(shè)智慧政府、打擊違法犯罪、提高公民生活質(zhì)量作出了巨大貢獻(xiàn)。但是，個(gè)人生物識(shí)別信息作為數(shù)字時(shí)代的產(chǎn)物，其易被竊取，從而造成個(gè)人信息安全隱患。個(gè)人生物識(shí)別信息的采集、處理以及后續(xù)的非法交易具有隱蔽性，侵害個(gè)人生物識(shí)別信息行為通常不會(huì)直接體現(xiàn)表現(xiàn)，而是隱藏于幕后。而且該行為不是有形的侵害行為，權(quán)利人很難在個(gè)人信息受到侵害的第一時(shí)間維護(hù)自己的權(quán)益。

隨著個(gè)人生物識(shí)別信息應(yīng)用領(lǐng)域的不斷擴(kuò)大，個(gè)人生物識(shí)別信息技術(shù)也開始異化。個(gè)人生物識(shí)別信息技術(shù)在驗(yàn)證個(gè)人身份、充當(dāng)支付密碼之外，可能會(huì)產(chǎn)生其他意料之外的功能，如信息濫用、擴(kuò)大信息的應(yīng)用范圍等等。生物識(shí)別信息技術(shù)的應(yīng)用具有較好的應(yīng)用前景，且應(yīng)用門檻較低，使得許多并不具有技術(shù)背景的人也可以輕而易舉地獲得自身或者他人的生物識(shí)別信息。以2019年紅極一時(shí)的換臉軟件“ZAO”為例，在該軟件中用戶可以輕易地將視頻中的人物形象換成自己的形象，或者利用他人的照片對視頻中的人物進(jìn)行換臉。這種現(xiàn)象表明，個(gè)人生物識(shí)別信息在日常生活中極易脫離權(quán)利人的掌控被他人竊取，一旦被他人竊取，信息權(quán)利人便無法再使用該信息，只能關(guān)閉個(gè)人生物識(shí)別信息應(yīng)用相關(guān)功能，甚至退出相關(guān)場域的適用。

二、個(gè)人生物識(shí)別信息應(yīng)用的風(fēng)險(xiǎn)形式

(一)過度收集引發(fā)的個(gè)人生物識(shí)別信息侵權(quán)風(fēng)險(xiǎn)

個(gè)人生物識(shí)別信息應(yīng)用具有公共性，無論是在政務(wù)領(lǐng)域還是商業(yè)領(lǐng)域，對于個(gè)人生物識(shí)別信息的采集均具有強(qiáng)烈的需求。個(gè)人生物識(shí)別信息具有獨(dú)特的便捷性，在電子政務(wù)和社會(huì)治理中的應(yīng)用價(jià)值更為突出?！巴ㄟ^政府的信息采集工作、移動(dòng)互聯(lián)網(wǎng)應(yīng)用和終端的信息收集過程、監(jiān)控?cái)z像設(shè)備及各種物聯(lián)網(wǎng)設(shè)備的自動(dòng)化拍攝或記錄等途徑，政府與企業(yè)逐漸掌握了大量個(gè)人信息?！盵6]就生物識(shí)別信息政府采集而言，政府為進(jìn)一步推進(jìn)對國家、社會(huì)的精準(zhǔn)治理，大量應(yīng)用生物識(shí)別技術(shù)采集個(gè)人信息，在“網(wǎng)上政務(wù)”中高效應(yīng)用，構(gòu)筑起新型“數(shù)字政府”。在傳統(tǒng)的刑事偵查領(lǐng)域，偵查機(jī)關(guān)通過面部信息、指紋等追蹤犯罪分子、查找失蹤兒童，在維護(hù)公共安全和社會(huì)秩序方面發(fā)揮了重要作用。

除此之外，生物識(shí)別信息技術(shù)也在不斷更新?lián)Q代，不斷取得技術(shù)進(jìn)步，其不僅僅是身份的新型驗(yàn)證方式，也逐漸成為推動(dòng)產(chǎn)業(yè)結(jié)構(gòu)調(diào)整的重要生產(chǎn)要素。個(gè)人生物識(shí)別信息技術(shù)的發(fā)展催生出一批以信息查詢、數(shù)據(jù)處理為經(jīng)營內(nèi)容的服務(wù)產(chǎn)業(yè)，這些產(chǎn)業(yè)的誕生使得搜集個(gè)人生物識(shí)別信息的現(xiàn)象隨處可見?！耙粋€(gè)人在不同時(shí)間提供的單條個(gè)人信息可能并不敏感，從而不會(huì)感到存在風(fēng)險(xiǎn)或威脅，但在數(shù)據(jù)聚合技術(shù)下，不敏感的個(gè)人信息相互疊加、互為線索，可能分析得出敏感的信息?！盵7]以“萬店掌”高效運(yùn)營系統(tǒng)為例，商戶使用該軟件用以準(zhǔn)確了解顧客的職業(yè)、需求、報(bào)價(jià)等，以提供個(gè)性化的精準(zhǔn)導(dǎo)購，而這些信息的收集并非以用戶的同意、服務(wù)所需為限，因而引發(fā)出個(gè)人生物識(shí)別信息侵權(quán)風(fēng)險(xiǎn)。個(gè)人生物識(shí)別信息的“采集階段處于信息生命周期的最前端，是個(gè)人信息從信息主體流入信息控制者手中的關(guān)鍵節(jié)點(diǎn)，需要重點(diǎn)考慮如何監(jiān)管”[8]。

(二)黑客攻擊引發(fā)的個(gè)人生物識(shí)別信息失竊風(fēng)險(xiǎn)

個(gè)人生物識(shí)別信息技術(shù)應(yīng)用“本身雖然不產(chǎn)生危害，但是一旦被惡意主體所利用，就會(huì)對整個(gè)信息系統(tǒng)的安全造成損害，從而影響信息系統(tǒng)的正常運(yùn)行，并對用戶信息產(chǎn)生威脅”[9]。信息科技的不斷發(fā)展，使得個(gè)人生物識(shí)別信息技術(shù)應(yīng)用風(fēng)險(xiǎn)呈現(xiàn)多樣化的形式，信息侵權(quán)手段也呈現(xiàn)高技術(shù)化趨勢。隨著現(xiàn)代智能科技的普及，精通軟件數(shù)據(jù)操作、熟悉數(shù)據(jù)編寫流程、掌握較高計(jì)算機(jī)技術(shù)水平的人越來越多。“通過信息網(wǎng)絡(luò)，任何技術(shù)都要轉(zhuǎn)化為計(jì)算機(jī)識(shí)別的0-1這樣的二進(jìn)制代碼。人臉不能復(fù)制，轉(zhuǎn)化的二進(jìn)制計(jì)算機(jī)代碼卻可以復(fù)制，也完全可能被盜竊。生物識(shí)別技術(shù)的識(shí)別原理和提取的數(shù)據(jù)都會(huì)存儲(chǔ)成為企業(yè)的數(shù)據(jù)庫，在目前全世界的情況來看，都存在重大的數(shù)據(jù)泄露、失竊的潛在安全風(fēng)險(xiǎn)?！盵10]

黑客利用病毒或者特殊儀器對目標(biāo)計(jì)算機(jī)發(fā)射電磁波，攔截、窺探信息采集者、處理者、儲(chǔ)存者數(shù)據(jù)庫中的生物識(shí)別信息，目的是謀取非法利益，這是誘發(fā)生物識(shí)別信息泄露的根源，也是黑色信息產(chǎn)業(yè)鏈形成的核心環(huán)節(jié)。黑客通過遠(yuǎn)程操控信息數(shù)據(jù)庫，竊取他人的個(gè)人生物識(shí)別信息，再利用非法獲取的他人生物識(shí)別信息進(jìn)行名譽(yù)損害、人身財(cái)產(chǎn)侵害等二次犯罪?！霸絹碓蕉嗟氖芎θ苏J(rèn)為數(shù)據(jù)泄露增加了他們遭受侵害的風(fēng)險(xiǎn)，這一新型損害從而使他們產(chǎn)生焦慮或恐懼等精神損害。”[11]黑客也會(huì)對生物識(shí)別技術(shù)加以研究、運(yùn)用，如利用3D打印破解生物識(shí)別密碼，從而盜取財(cái)產(chǎn)等?！皞€(gè)人信息除遭受個(gè)人侵害外，還受到來自公權(quán)力機(jī)關(guān)的威脅，公權(quán)力機(jī)關(guān)非法監(jiān)視、監(jiān)聽以及非法收集個(gè)人信息的現(xiàn)象大量存在?！盵12]目前，個(gè)人已經(jīng)無法憑借一己之力抵御這一高科技帶來的攻擊、竊取危害。

(三)信息濫用引發(fā)的個(gè)人生物識(shí)別信息失控風(fēng)險(xiǎn)

2021年初，Avatarify提供的以“嗎咿呀嘿”為背景音樂的“換臉”短視頻制作紅爆網(wǎng)絡(luò)，但一周后因?yàn)榇嬖谛畔踩珕栴}而被強(qiáng)制下架。這已經(jīng)不是“換臉”軟件第一次進(jìn)入公共視野，2019年“ZAO”APP也是如此?！皳Q臉”軟件本質(zhì)上是對人物形象的“深度偽造”，是對個(gè)人生物識(shí)別信息的一種濫用。當(dāng)前，“深度偽造”技術(shù)主要應(yīng)用于對聲音和面部信息的偽造，以實(shí)現(xiàn)以假亂真的效果。借助人工智能技術(shù)，“深度偽造”實(shí)現(xiàn)了從以往PS、摳圖的被動(dòng)偽造，到全民可以主動(dòng)參與的自主性偽造。只需要在系統(tǒng)內(nèi)輸入一定的素材，如上傳自己的照片或者他人的照片，“深度偽造”軟件便可以進(jìn)行深度學(xué)習(xí)，從而重新排列組合相關(guān)內(nèi)容，生成合成圖像。然而，這一技術(shù)的合法性仍有待證成，這也“意味著個(gè)人生物識(shí)別信息的價(jià)值開始得到重視，其法益侵害后果已突破傳統(tǒng)的公民個(gè)人信息犯罪的框架，而進(jìn)入與之密切關(guān)聯(lián)的另一個(gè)犯罪領(lǐng)域，即身份盜竊”[13]。

“深度偽造”技術(shù)對公民個(gè)人生物識(shí)別信息的濫用，侵蝕到個(gè)人最內(nèi)層的敏感信息范疇，使得個(gè)人唯一的生物識(shí)別信息甚至其他身份信息存在失控的風(fēng)險(xiǎn)。而個(gè)人生物識(shí)別信息因?yàn)榫哂刑赜械娜松硪栏叫?、專屬性，一旦與個(gè)人其他一般信息所綁定，便無法重新再制造一個(gè)新的人物身份。公民個(gè)人生物識(shí)別信息的濫用，將導(dǎo)致濫用他人生物識(shí)別信息的成本降低，進(jìn)而滋生出對他人身份盜用的風(fēng)險(xiǎn)。

(四)生物識(shí)別技術(shù)破解引發(fā)的人身和財(cái)產(chǎn)安全風(fēng)險(xiǎn)

隨著信息技術(shù)的發(fā)展，針對個(gè)人生物識(shí)別信息技術(shù)的驗(yàn)證功能、密碼支付功能出現(xiàn)一系列的破譯方法，給生物識(shí)別信息應(yīng)用的安全性能打上問號(hào)，也將與生物識(shí)別信息密切相關(guān)的人身和財(cái)產(chǎn)安全置于風(fēng)險(xiǎn)中。這“不僅僅限于私益，還與社會(huì)公益相關(guān)”[14]，“它包括良好的治安、安全的交通、有序的社會(huì)生活和可預(yù)期的行為模式與結(jié)果。這部分收益雖然不是針對特定的個(gè)體，但為所有社會(huì)主體所享有”[15]。

在日常生活中，對個(gè)人生物識(shí)別信息的采集、分析行為無處不在。這些信息捕捉于各個(gè)時(shí)段、各個(gè)路口、各個(gè)角落，看似支離破碎、錯(cuò)綜復(fù)雜，實(shí)則編織了一張張生物識(shí)別信息網(wǎng)。“生物識(shí)別信息因其特有的普遍性，相對唯一性和穩(wěn)定性不但可以作為一個(gè)特殊的識(shí)別信息和鏈接各類個(gè)人信息的關(guān)鍵點(diǎn)，也可以根據(jù)生物識(shí)別信息分析出更多的其他相關(guān)信息?！盵16]直接采集的個(gè)人生物識(shí)別信息是一個(gè)個(gè)瞬間、一幅幅畫面，并不一定具有信息價(jià)值，但經(jīng)過信息技術(shù)人員的整合，將個(gè)人的生物識(shí)別信息重新排列，將會(huì)形成有關(guān)個(gè)人的信息鏈條。掌握生物識(shí)別信息技術(shù)的人員便可以利用這些信息勾勒出個(gè)人的數(shù)字信息畫像，再輔之以3D打印技術(shù)、照片活化程序破解個(gè)人設(shè)置的生物識(shí)別信息密碼，進(jìn)而危及個(gè)人的人身和財(cái)產(chǎn)安全。個(gè)人生物識(shí)別信息“反映的是個(gè)人參與社會(huì)活動(dòng)的情況，避免信息泄露是維護(hù)社會(huì)秩序的內(nèi)在需要”[17]。

三、個(gè)人生物識(shí)別信息技術(shù)應(yīng)用和保護(hù)面臨的困境

(一)個(gè)人生物識(shí)別信息保護(hù)專門性法律規(guī)制缺失

近年來，個(gè)人生物識(shí)別信息技術(shù)作為一種新興技術(shù)因其便捷性和高效性在世界各國得到廣泛應(yīng)用，同時(shí)也引發(fā)各國對于技術(shù)風(fēng)險(xiǎn)法律規(guī)制的探索。美國采取專門的立法保護(hù)模式，對個(gè)人生物識(shí)別信息應(yīng)用制定專門的法律加強(qiáng)保護(hù)，最典型的是伊利諾伊州的《生物識(shí)別信息隱私法案》。歐亞一些國家采取綜合性的立法保護(hù)模式，將個(gè)人生物識(shí)別信息作為個(gè)人信息的一部分加以保護(hù)。國外無論是專門的立法保護(hù)模式還是綜合性的立法保護(hù)模式，都是在普遍適用一般個(gè)人信息保護(hù)原則基礎(chǔ)上，對個(gè)人生物識(shí)別信息保護(hù)的保護(hù)模式。

目前，我國尚無專門的個(gè)人生物識(shí)別信息法律保護(hù)制度，2020年10月全國人民代表大會(huì)常務(wù)委員會(huì)發(fā)布《個(gè)人信息保護(hù)法(草案)》，就個(gè)人信息保護(hù)有關(guān)立法問題向社會(huì)公開征求意見。當(dāng)前，我國對于個(gè)人信息保護(hù)主要依據(jù)《民法典》《電子商務(wù)法》中的相關(guān)條款，從而導(dǎo)致“個(gè)人生物識(shí)別信息保護(hù)規(guī)范的法律位階較低，大多為規(guī)章、規(guī)范性文件，甚至是行業(yè)協(xié)會(huì)與企業(yè)制定的行業(yè)規(guī)則”[18]。缺乏專門的個(gè)人生物識(shí)別信息保護(hù)法律制度，存在概念不統(tǒng)一、規(guī)定相沖突、法律屬性不明確等問題。

(二)個(gè)人生物識(shí)別信息應(yīng)用缺乏監(jiān)管機(jī)構(gòu)跟進(jìn)

個(gè)人生物識(shí)別信息應(yīng)用具有高科技性，全過程采用自動(dòng)化的處理模式，因此，對于個(gè)人生物識(shí)別信息風(fēng)險(xiǎn)的認(rèn)定，需要既知曉信息技術(shù)又精通法律知識(shí)的專業(yè)人員和專業(yè)機(jī)構(gòu)予以跟進(jìn)。由于個(gè)人生物識(shí)別信息具有不可替換性和獨(dú)一無二的特征，一旦產(chǎn)生失竊、泄露、濫用等風(fēng)險(xiǎn)，損害后果將不可清除或逆轉(zhuǎn)。有鑒于此，事前的隱私保護(hù)機(jī)制設(shè)計(jì)與審查，將成為個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)規(guī)避的關(guān)鍵。

然而，我國“個(gè)人信息保護(hù)所依賴的借助國家公權(quán)力保障的現(xiàn)代保護(hù)機(jī)制(即個(gè)人信息主體權(quán)利保護(hù)主管機(jī)關(guān)制度)并沒有在立法上確立”[19]，且缺乏個(gè)人生物識(shí)別信息保護(hù)的專門機(jī)構(gòu)，更無個(gè)人生物識(shí)別信息處理的專業(yè)監(jiān)管機(jī)構(gòu)，而國家對于個(gè)人生物識(shí)別信息權(quán)利的司法救濟(jì)又存在滯后性，因而建立健全個(gè)人生物識(shí)別信息保護(hù)專門專業(yè)機(jī)構(gòu)至關(guān)重要。

(三)個(gè)人生物識(shí)別信息應(yīng)用平臺(tái)行業(yè)規(guī)制力度較弱

隨著個(gè)人生物識(shí)別信息應(yīng)用領(lǐng)域的不斷拓展，形成一系列關(guān)于個(gè)人生物識(shí)別信息采集、分析以及應(yīng)用產(chǎn)品設(shè)計(jì)的行業(yè)。由于我國關(guān)于個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)的制度匱乏，因而個(gè)人生物識(shí)別信息應(yīng)用平臺(tái)行業(yè)規(guī)制成為政府監(jiān)管的有力補(bǔ)充。然而，由于行業(yè)的自我規(guī)制并不具有強(qiáng)制性，規(guī)制力度較弱，致使個(gè)人生物識(shí)別信息應(yīng)用行業(yè)規(guī)制成為軟肋。當(dāng)前，個(gè)人生物識(shí)別信息應(yīng)用平臺(tái)行業(yè)規(guī)制措施主要是設(shè)置信息采集、處理“告知同意”義務(wù)，這是在形式上最容易實(shí)現(xiàn)的平臺(tái)義務(wù)。

在復(fù)雜的個(gè)人生物識(shí)別信息應(yīng)用中，個(gè)人同意并不代表其確切知情。在傳統(tǒng)的“告知同意”模式下，應(yīng)用平臺(tái)的告知信息常常過載，信息行文冗長混雜，使得個(gè)人生物識(shí)別信息在后續(xù)采集、分析中可能面臨不利后果而不容易發(fā)現(xiàn)。除此之外，個(gè)人生物識(shí)別信息告知文件通常用語晦澀難懂，且篇幅較長，導(dǎo)致用戶會(huì)不仔細(xì)閱讀，隨意瀏覽后即確認(rèn)同意，造成“告知同意”模式的設(shè)置流于形式。

(四)生物識(shí)別信息個(gè)人權(quán)利救濟(jì)缺乏專業(yè)路徑

智能媒介、大數(shù)據(jù)、識(shí)別終端等被廣泛運(yùn)用于各個(gè)生活場景中，如門禁識(shí)別、金融支付、電子政務(wù)等。個(gè)人生物識(shí)別信息經(jīng)識(shí)別采集后，由算法進(jìn)行解析、分類儲(chǔ)存于運(yùn)營商的云端數(shù)據(jù)庫中，供人們使用智能終端時(shí)匹配驗(yàn)證。同時(shí)，海量個(gè)人生物識(shí)別信息的數(shù)據(jù)空間逐漸與人們現(xiàn)實(shí)生活的物理空間相對應(yīng)，智能終端前的表達(dá)、交流等行為同樣被固定為數(shù)據(jù)，形成數(shù)據(jù)空間與生活空間的全時(shí)段互動(dòng)場景。然而，個(gè)人生物識(shí)別信息數(shù)據(jù)運(yùn)營商與信息權(quán)利人之間對于數(shù)據(jù)的控制不平衡，信息權(quán)利人無法掌握、控制自己的生物識(shí)別信息數(shù)據(jù)應(yīng)用動(dòng)向，在涉及其信息數(shù)據(jù)存在風(fēng)險(xiǎn)的場域中往往難以充分舉證，無法對抗隱藏于專業(yè)算法背后的信息數(shù)據(jù)運(yùn)營商，喪失權(quán)利救濟(jì)的能力。就個(gè)人生物識(shí)別信息應(yīng)用的風(fēng)險(xiǎn)規(guī)制邊界而言，信息應(yīng)用各方對此也有一定的爭議。

公民個(gè)人生物識(shí)別信息所蘊(yùn)含的隱私內(nèi)容是動(dòng)態(tài)的，不是一成不變的，包括個(gè)人信息數(shù)據(jù)以及個(gè)人繼續(xù)在物理世界中生活而形成的數(shù)據(jù)鏈條。個(gè)人生物識(shí)別信息權(quán)利人在不同應(yīng)用場域中所感受到的權(quán)利侵害程度也是不同的，對個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)予以規(guī)制，往往會(huì)從風(fēng)險(xiǎn)侵害程度的認(rèn)定演變?yōu)樾畔?yīng)用各方之間利益的博弈，這對信息權(quán)利人、信息運(yùn)營商以及侵權(quán)方而言，維權(quán)的訴訟成本都較高。個(gè)人生物識(shí)別信息個(gè)人權(quán)利救濟(jì)專業(yè)路徑缺乏，加上個(gè)人生物識(shí)別信息權(quán)利人舉證能力的限制，將會(huì)影響整個(gè)案件證據(jù)的收集及案件流程的推進(jìn)，使得風(fēng)險(xiǎn)難以得到有效規(guī)制，權(quán)利救濟(jì)舉步維艱。

四、個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)的法律規(guī)制路徑

(一)立法：明晰個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)的法律規(guī)制維度

第一，構(gòu)建專門的個(gè)人生物識(shí)別信息法律體系。隨著個(gè)人生物識(shí)別信息技術(shù)的廣泛應(yīng)用，對于個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)的法律規(guī)制迫在眉睫。然而，目前我國法律對于這一領(lǐng)域的規(guī)制尚處于空白狀態(tài)，“具有滯后性的法律法規(guī)和國家標(biāo)準(zhǔn)難以及時(shí)解決本領(lǐng)域有序發(fā)展的各種障礙”[20]。有鑒于此，對于個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)的規(guī)制，不能僅僅依靠民法、行政法規(guī)，還要進(jìn)一步探索侵害個(gè)人生物識(shí)別信息的刑事責(zé)任，加大非法買賣、惡用、冒用個(gè)人生物識(shí)別信息懲罰力度，以構(gòu)建良好的個(gè)人生物識(shí)別信息應(yīng)用秩序。同時(shí)，應(yīng)當(dāng)建立專門的個(gè)人生物識(shí)別信息法律保護(hù)體系。《個(gè)人信息保護(hù)法(草案)》已經(jīng)公布，相關(guān)條款正處于討論階段，應(yīng)當(dāng)在法律上賦予其獨(dú)立的法律地位。“針對生物識(shí)別技術(shù)的應(yīng)用以及生物識(shí)別信息的保護(hù)進(jìn)行專門立法，對取得許可的生物識(shí)別技術(shù)的研發(fā)主體和應(yīng)用主體分別設(shè)置安全保障義務(wù)與責(zé)任，以詳盡規(guī)制不同的生物識(shí)別技術(shù)行為，從而更加全面地保護(hù)公民個(gè)人信息以及個(gè)人人身、財(cái)產(chǎn)安全。”[21]當(dāng)然，“如何處理法律的穩(wěn)定性與變動(dòng)性、現(xiàn)實(shí)性與前瞻性、原則性和操作性，是立法中很難把握的一個(gè)問題”[22]。

第二，明確個(gè)人生物識(shí)別信息的權(quán)益屬性。相對于隱私權(quán)保護(hù)而言，個(gè)人信息相關(guān)法律權(quán)益是在大數(shù)據(jù)時(shí)代涌現(xiàn)出的新型權(quán)益。個(gè)人生物識(shí)別信息與隱私權(quán)緊密關(guān)聯(lián)，兩者難以區(qū)分。首先，個(gè)人生物識(shí)別信息作為個(gè)人信息的一部分，在《民法典》人格權(quán)編中得以確認(rèn)，與同屬于人格權(quán)的隱私權(quán)保護(hù)具有天然的關(guān)聯(lián)屬性。其次，個(gè)人生物識(shí)別信息與隱私權(quán)保護(hù)客體具有一定的重合性，如金融支付的密碼、身體信息等。最后，個(gè)人生物識(shí)別信息與隱私權(quán)被侵害的風(fēng)險(xiǎn)形式相同，都包括泄露、非法收集、濫用等。然而，個(gè)人生物識(shí)別信息與隱私權(quán)也相互區(qū)別，“隱私一般涉及到人格尊嚴(yán)問題，個(gè)人信息往往與大數(shù)據(jù)發(fā)生聯(lián)系。因此，侵犯隱私的形式是多元化的，而針對個(gè)人信息恰恰是在數(shù)據(jù)應(yīng)用的前提下才產(chǎn)生個(gè)人信息保護(hù)的問題”[23]。隨著信息的科技變革，傳統(tǒng)的隱私權(quán)保護(hù)模式已經(jīng)無法滿足對于個(gè)人生物識(shí)別信息保護(hù)的新訴求。個(gè)人生物識(shí)別信息的獨(dú)一無二性、不可替換性、不可逆性，決定了應(yīng)當(dāng)給予個(gè)人生物識(shí)別信息與隱私權(quán)不同程度的保護(hù)。應(yīng)當(dāng)明確個(gè)人生物識(shí)別信息的權(quán)益屬性，以完善信息保護(hù)相關(guān)立法制度。

第三，實(shí)現(xiàn)個(gè)人生物識(shí)別信息保護(hù)“軟法”與“硬法”共治。個(gè)人生物識(shí)別信息數(shù)據(jù)的復(fù)雜性、技術(shù)性等特征，決定了對其風(fēng)險(xiǎn)規(guī)制需要“軟法”與“硬法”共同參與。軟法具有應(yīng)時(shí)性與靈活性，在專門的個(gè)人生物識(shí)別信息保護(hù)法出臺(tái)前，軟法先行不失為一種選擇。因?yàn)橛卜⒎ㄖ芷陂L、程序繁瑣，硬法修訂滯后于個(gè)人生物識(shí)別信息技術(shù)的發(fā)展；硬法出于對國家權(quán)力這一外部規(guī)制的強(qiáng)調(diào)，忽視了個(gè)人生物識(shí)別信息運(yùn)營主體自我規(guī)制的內(nèi)生作用。但這并不意味著個(gè)人生物識(shí)別信息風(fēng)險(xiǎn)不需要硬法的外部規(guī)制，“若沒有硬法規(guī)定基礎(chǔ)性規(guī)范，軟法也難以發(fā)揮真正有效的作用”[24]。軟法規(guī)范的強(qiáng)制性較弱，也決定個(gè)人生物識(shí)別信息風(fēng)險(xiǎn)規(guī)制需要硬法托底。立法者應(yīng)當(dāng)總結(jié)成熟的軟法治理經(jīng)驗(yàn)，并在此基礎(chǔ)上使其上升為硬法，以遏制個(gè)人生物識(shí)別信息面臨的風(fēng)險(xiǎn)。

(二)執(zhí)法：強(qiáng)化個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)規(guī)制的政府職責(zé)及加大行業(yè)自律力度

第一，設(shè)置專門化的個(gè)人生物識(shí)別信息處理監(jiān)管機(jī)構(gòu)。當(dāng)前，在我國現(xiàn)行法律法規(guī)中，對于個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)規(guī)制的主體責(zé)任和權(quán)利范圍規(guī)定概括性較強(qiáng)。對于規(guī)制主體而言，主要是工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部等部門，其承擔(dān)著個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)規(guī)制、行業(yè)標(biāo)準(zhǔn)制定以及數(shù)據(jù)保護(hù)等職責(zé)。多個(gè)部門共同治理、規(guī)制風(fēng)險(xiǎn)的模式可以最大限度覆蓋風(fēng)險(xiǎn)范圍，但也存在部門之間管轄范圍重合或者無人管轄的空間，造成個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)。傳統(tǒng)的分散管轄模式已經(jīng)無法滿足個(gè)人生物識(shí)別信息發(fā)展及風(fēng)險(xiǎn)規(guī)制需求，為進(jìn)一步實(shí)現(xiàn)對個(gè)人生物識(shí)別信息應(yīng)用的有效監(jiān)管，應(yīng)建立權(quán)威、穩(wěn)定、獨(dú)立、專業(yè)的個(gè)人生物識(shí)別信息保護(hù)監(jiān)管機(jī)構(gòu)，以履行規(guī)制個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)的公共職責(zé)。同時(shí)，聘任具有專業(yè)技術(shù)背景的復(fù)合型人才，解決信息保護(hù)執(zhí)法監(jiān)管技術(shù)問題，實(shí)現(xiàn)對個(gè)人生物識(shí)別信息應(yīng)用的有效監(jiān)管。域外國家對于個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)規(guī)制的機(jī)構(gòu)設(shè)置值得我國借鑒，如美國設(shè)置專門的“生物識(shí)別信息隱私調(diào)查委員會(huì)”，印度針對個(gè)人信息保護(hù)設(shè)置“數(shù)據(jù)保護(hù)局”。

第二，明晰生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)規(guī)制的政府責(zé)任。面對技術(shù)進(jìn)步中持續(xù)化的個(gè)人生物識(shí)別信息侵害風(fēng)險(xiǎn)，政府部門應(yīng)當(dāng)履行政府責(zé)任，營造有利于保護(hù)個(gè)人生物識(shí)別信息的制度環(huán)境氛圍。首先，相關(guān)立法部門應(yīng)當(dāng)制定個(gè)人生物識(shí)別信息專業(yè)化法律制度，形成完備的法律體系，對個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)進(jìn)行有效規(guī)制，為生物識(shí)別信息技術(shù)發(fā)展和產(chǎn)業(yè)進(jìn)步提供制度支撐。其次，行政機(jī)關(guān)在履行社會(huì)公共職能時(shí)，應(yīng)當(dāng)以不侵害個(gè)人生物識(shí)別信息相關(guān)權(quán)益為考量因素，實(shí)現(xiàn)理性監(jiān)管，并引導(dǎo)信息產(chǎn)業(yè)在法治軌道上運(yùn)行。最后，司法機(jī)關(guān)在對侵害個(gè)人生物識(shí)別信息權(quán)益行為進(jìn)行審查時(shí)，不能簡單地直接套用民事法律關(guān)系中的意思自治法律原則，應(yīng)當(dāng)著眼于雙方對生物識(shí)別信息技術(shù)不平等的認(rèn)識(shí)水平和權(quán)力對抗，以作出更加公平的判決。

第三，加大個(gè)人生物識(shí)別信息應(yīng)用行業(yè)自律力度。加大生物識(shí)別信息行業(yè)自律力度，及時(shí)調(diào)整和完善規(guī)制措施，保障新興技術(shù)的有序應(yīng)用。行業(yè)組織應(yīng)當(dāng)制定系統(tǒng)完備的行業(yè)自律制度，以實(shí)現(xiàn)對行業(yè)的有效規(guī)制。應(yīng)當(dāng)加強(qiáng)對行業(yè)的領(lǐng)導(dǎo)，設(shè)置個(gè)人生物識(shí)別信息風(fēng)險(xiǎn)規(guī)制目標(biāo)及實(shí)現(xiàn)目標(biāo)的方式和路徑。就個(gè)人生物識(shí)別信息“告知同意”機(jī)制設(shè)置而言，行業(yè)組織可以重新定義“告知”內(nèi)涵，區(qū)分不同生物識(shí)別信息的同意標(biāo)準(zhǔn)。同時(shí)，建立個(gè)人生物識(shí)別信息保護(hù)組織，發(fā)揮多元主體優(yōu)勢。

(三)司法：構(gòu)建個(gè)人生物識(shí)別信息權(quán)利救濟(jì)機(jī)制

第一，引入公益訴訟制度。在個(gè)人生物識(shí)別信息風(fēng)險(xiǎn)規(guī)制實(shí)踐中，我國尚未對個(gè)人生物識(shí)別信息法律屬性作出明確界定，且政府部門對于個(gè)人生物識(shí)別信息的專業(yè)性認(rèn)知不足，救濟(jì)渠道狹窄，以至于國家權(quán)力在個(gè)人生物識(shí)別信息風(fēng)險(xiǎn)規(guī)制中不能及時(shí)就位甚至缺位。然而，個(gè)人生物識(shí)別信息行業(yè)鏈中亂象叢生，危及社會(huì)公共利益，乃至國家安全利益。為救濟(jì)那些“損害社會(huì)公共利益的行為”，滿足人們對于美好生活的期待，公益訴訟制度應(yīng)運(yùn)而生。公益訴訟制度分為民事公益訴訟制度和行政公益訴訟制度，兩種公益訴訟制度的出現(xiàn)，一方面對于社會(huì)反映強(qiáng)烈的損害公共利益的問題予以回應(yīng)，另一方面也督促公權(quán)力對于公共利益的保護(hù)。公益訴訟制度的設(shè)立及其發(fā)揮的作用，使特定機(jī)關(guān)、組織介入司法活動(dòng)符合公共利益保護(hù)的現(xiàn)實(shí)需求，對于私人力量難以企及的案件，公益訴訟能夠彌補(bǔ)這一缺憾。

第二，建立健全信息訴訟調(diào)查取證保障體系。在個(gè)人生物識(shí)別信息風(fēng)險(xiǎn)規(guī)制領(lǐng)域中引入公益訴訟制度，實(shí)質(zhì)上是以一種訴的形式實(shí)現(xiàn)個(gè)人生物識(shí)別信息權(quán)益的保障。就訴訟而言，決定能否勝訴的核心在于證據(jù)是否充分。然而，在現(xiàn)實(shí)的個(gè)人生物識(shí)別信息侵害案中，個(gè)人用戶與生物識(shí)別信息處理者之間“無論在收集證據(jù)的能力上，還是在技術(shù)能力或經(jīng)濟(jì)實(shí)力上都存在顯著的差距”[25]，導(dǎo)致個(gè)人用戶維權(quán)難度大、成本高、效率低。因此，需要提升檢察機(jī)關(guān)“公益訴訟公訴人”取證能力，“確保檢察機(jī)關(guān)充分享有并運(yùn)用好調(diào)查取證權(quán)”[26]。同時(shí)，建立個(gè)人生物識(shí)別信息公益訴訟調(diào)查取證保障體系。一方面，設(shè)立個(gè)人生物識(shí)別信息調(diào)查取證基金，用于個(gè)人生物識(shí)別信息公益訴訟風(fēng)險(xiǎn)評估、專家檢測等；另一方面，建立個(gè)人生物識(shí)別信息風(fēng)險(xiǎn)規(guī)制咨詢專家?guī)?，?yōu)化個(gè)人生物識(shí)別信息公益訴訟調(diào)查取證人才隊(duì)伍。

結(jié) 語

個(gè)人生物識(shí)別信息技術(shù)的出現(xiàn)，并借由大數(shù)據(jù)分析的支持，讓我們能夠僅憑一張臉、一個(gè)指紋便可以驗(yàn)證自己的身份，極大地減少了繁瑣的過程性細(xì)節(jié)，節(jié)約了人力資源。信息的價(jià)值也在人們讓渡出部分信息權(quán)利的基礎(chǔ)上得以呈現(xiàn)。然而，伴隨著信息科技的廣泛應(yīng)用與快速發(fā)展，個(gè)人生物識(shí)別信息被過度收集、黑客攻擊、濫用失控、技術(shù)破解的頻率越來越高，因而個(gè)人生物識(shí)別信息應(yīng)用存在諸多風(fēng)險(xiǎn)。我國對于個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)的法律規(guī)制起步較晚，現(xiàn)階段對于個(gè)人生物識(shí)別信息的應(yīng)用尚不能提供完善的風(fēng)險(xiǎn)規(guī)制對策。這也為我國進(jìn)一步細(xì)化個(gè)人信息保護(hù)制度，建立健全個(gè)人生物識(shí)別信息應(yīng)用風(fēng)險(xiǎn)規(guī)制預(yù)留了空間。未來，應(yīng)在立法、執(zhí)法、司法合力作用下，走出一條個(gè)人生物識(shí)別信息應(yīng)用技術(shù)與合法權(quán)益保障協(xié)同的發(fā)展之路。