朱 徐 何 菲

作者單位：浙江農(nóng)林大學(xué)文法學(xué)院

大數(shù)據(jù)時(shí)代下，得益于互聯(lián)網(wǎng)和人工智能技術(shù)的迅速發(fā)展，生物識(shí)別技術(shù)的應(yīng)用場(chǎng)景不斷擴(kuò)展。與此同時(shí)，個(gè)人生物識(shí)別信息安全問(wèn)題不斷受到挑戰(zhàn)。如何規(guī)制個(gè)人生物識(shí)別信息侵權(quán)現(xiàn)象，有效加強(qiáng)生物識(shí)別信息保護(hù)，以滿足在大數(shù)據(jù)時(shí)代下人們對(duì)身份識(shí)別便捷性需求到安全性需求的轉(zhuǎn)變，成為一個(gè)亟待解決的問(wèn)題。

一、 個(gè)人生物識(shí)別信息權(quán)益之侵害現(xiàn)狀及其原因

（一） 個(gè)人生物識(shí)別信息權(quán)益遭害現(xiàn)象塵囂日上

生物識(shí)別信息作為用以現(xiàn)代身份識(shí)別的數(shù)學(xué)化信息，直接從人類(lèi)本體中采集，體現(xiàn)人的行為特征和生理特征，并以二進(jìn)制形式轉(zhuǎn)化為生物標(biāo)識(shí)符存儲(chǔ)于計(jì)算機(jī)中。技術(shù)對(duì)數(shù)據(jù)的解碼能力不斷提升，大大降低了侵權(quán)成本。此外，網(wǎng)絡(luò)服務(wù)提供領(lǐng)域成為生物識(shí)別信息侵權(quán)高發(fā)地，網(wǎng)絡(luò)服務(wù)提供者對(duì)用戶個(gè)人生物識(shí)別信息進(jìn)行不正當(dāng)收集、存儲(chǔ)等侵權(quán)行為屢見(jiàn)不鮮。如“換臉App”ZAO所設(shè)置的用戶協(xié)議條款要求擁有對(duì)用戶上傳或發(fā)布內(nèi)容的完全免費(fèi)、不可撤銷(xiāo)、永久、可轉(zhuǎn)授權(quán)和可再授權(quán)的權(quán)利，完全超出了“正當(dāng)、必要”的范圍。不僅如此，人工智能深度算法的進(jìn)步如深度偽造，讓最低成本地濫用他人的生物識(shí)別信息，進(jìn)而盜用他人的身份成為現(xiàn)實(shí)。技術(shù)的高超性與便利性、侵權(quán)的低廉性、行為的隱蔽性等都推動(dòng)了生物識(shí)別信息侵權(quán)現(xiàn)象的高發(fā)性。

（二） 個(gè)人生物識(shí)別信息權(quán)益遭害現(xiàn)象頻發(fā)的原因

1.個(gè)人生物識(shí)別信息之侵權(quán)因果關(guān)系認(rèn)定復(fù)雜

生物識(shí)別信息的采集、傳輸、存儲(chǔ)、使用、銷(xiāo)毀等諸多環(huán)節(jié)所涉及到技術(shù)的復(fù)雜程度，難以為一般個(gè)人生物識(shí)別信息所有者掌握，因此很難縷清生物識(shí)別信息侵權(quán)事件中的因果關(guān)系。尤其是復(fù)雜、不透明的算法黑箱的存在，使信息主體更加無(wú)從得知生物識(shí)別信息在這個(gè)算法黑箱中是如何被獲取和使用的。不僅如此，生物識(shí)別信息的采集、傳輸?shù)榷鄠€(gè)環(huán)節(jié)的執(zhí)行者往往是多個(gè)信息執(zhí)行者的行為，當(dāng)侵權(quán)行為出現(xiàn)時(shí)，這些信息執(zhí)行者與生物識(shí)別信息侵權(quán)的行為是否存在因果關(guān)系，也很難為被侵權(quán)人所知。生物識(shí)別信息侵權(quán)行為與損害結(jié)果之間因果關(guān)系認(rèn)定的復(fù)雜，直接導(dǎo)致了被侵權(quán)人難以對(duì)實(shí)施侵權(quán)行為的行為者進(jìn)行有效的追責(zé)。

2.個(gè)人生物識(shí)別信息之侵權(quán)損害事實(shí)難以認(rèn)定

個(gè)人生物識(shí)別信息侵權(quán)案件不同于傳統(tǒng)的侵權(quán)案件，對(duì)損害事實(shí)和損害程度的判斷存在困難。當(dāng)信息主體的生物對(duì)識(shí)別信息被侵權(quán)時(shí)，侵權(quán)損害結(jié)果的表現(xiàn)形式并不一定是有形的損害性，具體表現(xiàn)為對(duì)人身權(quán)或財(cái)產(chǎn)權(quán)的損害性，也可能是無(wú)形的損害性，具體表現(xiàn)為程序性違法的損害性。對(duì)于前者來(lái)說(shuō)，在當(dāng)事人無(wú)法充分舉證所受損害的情況下，法院往往依據(jù)事實(shí)推定損害事實(shí)，而對(duì)損害程度的認(rèn)定標(biāo)準(zhǔn)沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)。對(duì)于后者而言，程序性違法的表現(xiàn)形式為消極履行或不履行程序性義務(wù)，如告知義務(wù)、安全保障義務(wù)等。而程序性違法的侵權(quán)行為往往缺乏實(shí)際損害事實(shí)，這無(wú)疑加大了個(gè)人生物識(shí)別信息侵權(quán)損害事實(shí)的認(rèn)定難度。在當(dāng)前民事訴訟救濟(jì)模式下，由于生物識(shí)別信息侵權(quán)案件的損害事實(shí)難以認(rèn)定的問(wèn)題存在，很難充分保障被侵權(quán)者的民事救濟(jì)權(quán)利，也很難有效保護(hù)信息主體的生物識(shí)別信息。

二、 域外個(gè)人生物識(shí)別信息保護(hù)立法例及其借鑒

（一）美國(guó)專項(xiàng)立法保護(hù)個(gè)人生物識(shí)別信息

美國(guó)目前在聯(lián)邦層面沒(méi)有統(tǒng)一的法律對(duì)個(gè)人生物識(shí)別信息保護(hù)進(jìn)行規(guī)制，對(duì)生物識(shí)別信息的專門(mén)立法僅存在于州的層面。其中伊利諾伊州2008年通過(guò)的《生物識(shí)別信息隱私法》（BIPA），是唯一允許個(gè)人就違法行為造成的損害提起訴訟的法律。BIPA授權(quán)個(gè)人就私人企業(yè)對(duì)個(gè)人生物識(shí)別信息數(shù)據(jù)的侵權(quán)行為提起民事訴訟進(jìn)行救濟(jì)，并規(guī)定了私人企業(yè)向受害者支付的金錢(qián)賠償標(biāo)準(zhǔn)，已成為美國(guó)個(gè)人生物識(shí)別信息民事侵權(quán)救濟(jì)保護(hù)的重要法律依據(jù)，但就法律責(zé)任的認(rèn)定存有爭(zhēng)議。由于生物識(shí)別信息的侵權(quán)事件往往表現(xiàn)為侵權(quán)行為的同類(lèi)型化，因而在美國(guó)多數(shù)生物識(shí)別信息侵權(quán)案件中，如Facebook集體訴訟、谷歌面部識(shí)別案等為使全體人員的權(quán)益能夠得到普遍的保護(hù)，被侵權(quán)人選擇集團(tuán)訴訟而非個(gè)人訴訟進(jìn)行民事權(quán)利的救濟(jì)。此外，侵權(quán)行為以程序性違法為主，對(duì)被侵權(quán)人的損害往往是無(wú)形的，不能為一般侵權(quán)要件之實(shí)際損害所包容，被侵權(quán)人也很難就侵權(quán)人所實(shí)施的程序性違法行為對(duì)自身造成的損害進(jìn)行舉證。在美國(guó)司法實(shí)踐中，信息主體以BIPA為據(jù)進(jìn)行個(gè)人生物識(shí)別信息民事侵權(quán)救濟(jì)、要求損害賠償時(shí)，因缺乏實(shí)際損害或不能舉證證明對(duì)自身是否產(chǎn)生實(shí)際損害而被聯(lián)邦法院駁回訴訟，如不同法院對(duì)六旗案是否應(yīng)當(dāng)受理的認(rèn)定。BIPA雖然為個(gè)人生物識(shí)別信息的侵權(quán)提供了一定的民事賠償救濟(jì)途徑，但仍不能擺脫傳統(tǒng)民事侵權(quán)要件的束縛，解決生物識(shí)別信息程序性違法侵權(quán)行為的民事?lián)p害賠償權(quán)利救濟(jì)問(wèn)題。

（二）歐盟對(duì)個(gè)人生物識(shí)別信息采取統(tǒng)一立法保護(hù)

2016年通過(guò)的《一般數(shù)據(jù)保護(hù)條例》（GDPR），將多種類(lèi)型的個(gè)人信息包括生物識(shí)別信息納入到統(tǒng)一的個(gè)人信息保護(hù)之下，適用于一部集行政、民事和刑事法律保護(hù)措施為一體的法律。GDPR明確“個(gè)人數(shù)據(jù)保護(hù)權(quán)”是自然人的基本權(quán)利和自由，認(rèn)定生物特征數(shù)據(jù)屬于“特殊類(lèi)別的個(gè)人數(shù)據(jù)”，對(duì)生物識(shí)別信息處理的適用范圍進(jìn)行了嚴(yán)格的限制。同時(shí)，GDPR規(guī)定信息主體有權(quán)依照該法提起訴訟即進(jìn)行司法救濟(jì)，但信息主體獲取司法救濟(jì)存在前置程序——向數(shù)據(jù)監(jiān)管機(jī)構(gòu)進(jìn)行申訴。在索賠權(quán)和賠償責(zé)任范圍中，GDPR規(guī)定信息主體有權(quán)從數(shù)據(jù)的控制者或加工者處獲得因其違反該法規(guī)實(shí)施的侵權(quán)行為而使信息主體遭受損害的賠償，不論該損害是物質(zhì)性的還是非物質(zhì)性的。但GDPR以行政法律保護(hù)方式為主，對(duì)民事救濟(jì)規(guī)定較少，生物識(shí)別信息數(shù)據(jù)主體的民事訴訟救濟(jì)的實(shí)現(xiàn)缺少法律上足夠的支撐。此外，GDPR缺乏對(duì)民事?lián)p害賠償中的“損害”規(guī)定相關(guān)的認(rèn)定標(biāo)準(zhǔn)，涉及主觀的侵權(quán)程度感受很難量化為統(tǒng)一的客觀標(biāo)準(zhǔn)，這使得在司法實(shí)踐中對(duì)生物識(shí)別信息的侵權(quán)而產(chǎn)生的“無(wú)形損害”這一賠償金額不能統(tǒng)一，以致不能很好地保護(hù)個(gè)人生物識(shí)別信息權(quán)利。

三、 構(gòu)建我國(guó)個(gè)人生物識(shí)別信息法律保護(hù)制度之設(shè)想

我國(guó)法律雖然對(duì)生物識(shí)別信息進(jìn)行了原則性的保護(hù)，將其統(tǒng)括為敏感個(gè)人信息保護(hù)范疇之內(nèi)，但目前尚未針對(duì)生物識(shí)別信息的民事侵權(quán)行為進(jìn)行相關(guān)法律規(guī)定。因此，在民事侵權(quán)上，我國(guó)應(yīng)當(dāng)構(gòu)建完善的個(gè)人生物識(shí)別信息侵權(quán)規(guī)則，以充分保障信息主體的生物識(shí)別信息民事救濟(jì)權(quán)利的實(shí)現(xiàn)。

（一）建立分級(jí)式個(gè)人生物識(shí)別信息保護(hù)體系

生物識(shí)別信息高度的人身屬性，注定了生物識(shí)別信息具有其不同于一般個(gè)人信息的特殊性，而不同的生物識(shí)別信息也存在著不同之處。生物識(shí)別信息更改難易度不同：大部分反映人體生理特征的生物識(shí)別信息的更改以目前科技水平來(lái)說(shuō)是非常困難的，如指紋、基因信息等，面部信息雖然可以通過(guò)整容改變，但臉部大部分特征仍會(huì)被機(jī)器識(shí)別；而步態(tài)等反映人體行為特征的生物識(shí)別信息則可通過(guò)人力改變。生物識(shí)別信息采集難易度不同：面部信息的采集只需攝像頭即可，且具有極大的隱蔽性；而基因信息的采集相對(duì)困難，需要專業(yè)的操作技術(shù)和設(shè)備，為一般人所不能具備。生物識(shí)別信息侵權(quán)的后果程度不同：基因信息泄露較面部信息泄露的損害后果更嚴(yán)重，代表個(gè)人遺傳密碼的基因信息泄露，將深刻影響自己乃至后代。生物識(shí)別信息較一般個(gè)人信息的特殊性與生物識(shí)別信息內(nèi)部的差異性決定了對(duì)個(gè)人生物識(shí)別信息需要進(jìn)行分級(jí)式保護(hù)。對(duì)生物識(shí)別信息的規(guī)制可以通過(guò)同一與差異相結(jié)合的規(guī)制原理來(lái)進(jìn)行：一方面，應(yīng)當(dāng)看到不同生物識(shí)別信息的共同之處，對(duì)其進(jìn)行統(tǒng)一的原則性規(guī)制；另一方面，更應(yīng)當(dāng)看到這些生物識(shí)別信息中的差異性與特殊性，根據(jù)它們的特性進(jìn)行專門(mén)化規(guī)制，做到分級(jí)式保護(hù)。

（二）生物識(shí)別信息之侵害方式之再分類(lèi)

構(gòu)建生物識(shí)別信息侵權(quán)規(guī)則的構(gòu)建路徑，就需要對(duì)生物識(shí)別信息的侵權(quán)形式進(jìn)行細(xì)化分類(lèi)，以更好地對(duì)生物識(shí)別信息的侵權(quán)進(jìn)行救濟(jì)。目前，生物識(shí)別信息的侵權(quán)行為主要有程序性侵權(quán)行為，表現(xiàn)為數(shù)據(jù)控制者或處理人的違反程序性義務(wù)的行為；未經(jīng)信息主體授權(quán)的對(duì)生物識(shí)別信息進(jìn)行侵入行為，如盜取、復(fù)制；二次創(chuàng)作、更改、技術(shù)模擬行為，如“深度偽造”（deepfake）技術(shù)、“3D面具”技術(shù)；不法交易行為，如人臉信息非法售賣(mài)等。科學(xué)技術(shù)的飛速發(fā)展，對(duì)生物識(shí)別信息的侵權(quán)行為也更加層出不窮，滯后性的法律所規(guī)制的侵權(quán)行為不能容納所有侵權(quán)方式，故需將特定的侵權(quán)方式歸類(lèi)到一般的侵權(quán)形式類(lèi)別中，以更好地實(shí)現(xiàn)信息主體的生物識(shí)別信息民事侵權(quán)救濟(jì)。

（三）個(gè)人生物識(shí)別信息之侵權(quán)責(zé)任認(rèn)定規(guī)則

生物識(shí)別信息作為現(xiàn)代社會(huì)中個(gè)人身份識(shí)別的重要標(biāo)識(shí)，其所承載的權(quán)利不僅包括個(gè)人的隱私權(quán)、人格權(quán)和身份權(quán)，更影響著個(gè)人的財(cái)產(chǎn)安全，故需要充分保障信息主體的救濟(jì)權(quán)利。

1.個(gè)人生物識(shí)別信息被侵害時(shí)無(wú)實(shí)際損害事實(shí)的認(rèn)定

傳統(tǒng)民事侵權(quán)要件中，責(zé)任的構(gòu)成要件中都要求有損害事實(shí)，并要求損害事實(shí)具有客觀性，即損害事實(shí)具有客觀真實(shí)性和確定性。而在個(gè)人生物識(shí)別信息民事侵權(quán)案件中，就違法程序性義務(wù)的個(gè)人生物識(shí)別信息侵權(quán)行為，不能導(dǎo)致實(shí)際損害事實(shí)的發(fā)生，故此信息主體就此提出的民事訴訟救濟(jì)會(huì)因缺乏損害而不能實(shí)現(xiàn)，這無(wú)疑加大了信息主體對(duì)個(gè)人生物識(shí)別信息侵權(quán)救濟(jì)的難度。因此，個(gè)人生物識(shí)別信息民事侵權(quán)損害事實(shí)的認(rèn)定要進(jìn)行特殊規(guī)制。就個(gè)人生物識(shí)別信息民事侵權(quán)損害事實(shí)的認(rèn)定中，尤其對(duì)程序性違法侵權(quán)行為的規(guī)制中，不能僅以缺乏損害而否定民事訴訟救濟(jì)權(quán)利的實(shí)現(xiàn)，應(yīng)當(dāng)從保護(hù)信息主體的利益出發(fā)，保障權(quán)利人的民事訴訟救濟(jì)權(quán)利的實(shí)現(xiàn)。

2.個(gè)人生物識(shí)別信息被侵害時(shí)舉證責(zé)任承擔(dān)方的認(rèn)定

完善個(gè)人生物識(shí)別信息侵權(quán)案件的舉證責(zé)任和責(zé)任承擔(dān)機(jī)制，以降低生物識(shí)別信息侵權(quán)案件的訴訟成本、提高生物識(shí)別信息侵權(quán)案件的訴訟效率，有利于被侵權(quán)方通過(guò)民事訴訟機(jī)制進(jìn)行有效的救濟(jì)。故此，應(yīng)當(dāng)從利益平衡角度出發(fā)規(guī)制個(gè)人生物識(shí)別信息侵權(quán)的舉證責(zé)任。不能為了保護(hù)信息主體的生物識(shí)別信息安全，而完全犧牲信息自由流通，損害網(wǎng)絡(luò)服務(wù)者的運(yùn)營(yíng)環(huán)境。在不同類(lèi)型的侵權(quán)案件中，應(yīng)靈活采取不同的民事責(zé)任認(rèn)定，并轉(zhuǎn)移主張方的部分舉證責(zé)任于被侵權(quán)人上，即只要求主張方提出初步的侵權(quán)證據(jù)。在明確侵權(quán)人侵權(quán)責(zé)任中賠償損失的承擔(dān)中，可借鑒美國(guó)BIPA的規(guī)定，以侵權(quán)人的主觀過(guò)錯(cuò)分別規(guī)定法定的最低賠償金。此外在索賠權(quán)和賠償責(zé)任范圍的規(guī)定上，我國(guó)可以借鑒GDPR的規(guī)定，即明確信息主體有權(quán)從數(shù)據(jù)的控制者或加工者處獲得因其侵權(quán)行為而使本人遭受損害的賠償，不論損害是否有形。

3.個(gè)人生物識(shí)別信息受侵害時(shí)因果關(guān)系的適用

對(duì)于個(gè)人生物識(shí)別信息民事侵權(quán)因果關(guān)系的適用上，應(yīng)當(dāng)防止消極道德危險(xiǎn)的發(fā)生。有學(xué)者認(rèn)為應(yīng)當(dāng)采用“條件說(shuō)”來(lái)認(rèn)定因果關(guān)系，即只要實(shí)施的行為與損害事實(shí)的發(fā)生存在條件關(guān)系時(shí)，便可以認(rèn)定實(shí)施該行為的人為侵權(quán)人。雖然這種主張能夠起到積極保護(hù)信息主體對(duì)生物識(shí)別信息侵權(quán)救濟(jì)的權(quán)利，但在實(shí)際操作中可能會(huì)存在困難，難以解決“多因一果”問(wèn)題，且該種主張對(duì)從事大數(shù)據(jù)信息處理或控制的行業(yè)過(guò)于嚴(yán)苛，不利于行業(yè)發(fā)展和信息自由流通。也有學(xué)者認(rèn)為，傳統(tǒng)的因果關(guān)系理論完全可以滿足信息網(wǎng)絡(luò)侵權(quán)案件中追責(zé)的需要，認(rèn)為無(wú)需適用特殊的因果關(guān)系理論。但在個(gè)人生物識(shí)別信息民事侵權(quán)案件中，其所處的環(huán)境是虛擬的網(wǎng)絡(luò)空間，且存在“算法黑箱”和“信息繭房”與他一般的侵權(quán)案件有其特殊性。因此在個(gè)人生物識(shí)別信息民事侵權(quán)因果關(guān)系的適用上，應(yīng)當(dāng)基于生物識(shí)別信息侵權(quán)行為類(lèi)型的不同，采用不同的歸責(zé)責(zé)任，在不同歸責(zé)責(zé)任的生物識(shí)別信息侵權(quán)案件中適用不同且適合的因果關(guān)系理論，不能一概而論。