張建文，趙梓羽

摘要：個人生物識別信息具有唯一性及不可更改性的特質(zhì)，一旦被非法處理，將造成不可逆的損害，由此催生出個人生物識別信息特殊保護的現(xiàn)實需求。對此，應當制定個人生物識別信息專門法律保護規(guī)范，以明確個人生物識別信息的保護指向及救濟措施，構建系統(tǒng)完備的保護體系。同時，應在敏感個人信息基礎上強化個人生物識別信息的保護力度，以回應對生物識別信息產(chǎn)業(yè)嚴格規(guī)制的現(xiàn)實需求。綜合來看，我國應構建相對獨立于敏感個人信息的專門立法保護模式，并在此基礎上細化個人生物識別信息保護規(guī)則。具體包括：明確個人生物識別信息保護核心概念及宗旨、構建個人生物識別信息處理的特殊規(guī)則、完善非法處理個人生物識別信息的權利救濟機制。

關鍵詞：個人生物識別信息;敏感個人信息;生物識別技術;專門立法保護

中圖分類號：D913

文獻標識碼：A

文章編號：1673-8268（2022）01-0037-11

個人生物識別信息是指通過運用科學技術手段對人的身體、生理及行為特征進行數(shù)字化處理后得到的信息[1]，包括基因、指紋、聲紋、虹膜、面部特征等，是個人數(shù)字身份的重要組成部分[2]。在大數(shù)據(jù)時代，生物識別技術的應用與發(fā)展加深了個人生物識別信息被不斷挖掘與利用的程度，這種挖掘與利用在一定情形下能為公共利益之實現(xiàn)作出很大貢獻，但與此同時也增大了個人生物識別信息被非法處理的風險。尤其是隨著多樣化的生物識別技術在商業(yè)金融領域的廣泛應用，生物識別技術黑色產(chǎn)業(yè)鏈條始見端倪，相關侵權行為的種類、數(shù)量及侵害程度同步遞增，個人信息保護不斷受到挑戰(zhàn)。全國信息安全標準化技術委員會于2021年4月23日、28日相繼發(fā)布了《信息安全技術 人臉識別數(shù)據(jù)安全要求》[3]《信息安全技術 步態(tài)識別數(shù)據(jù)安全要求》[4]《信息安全技術 聲紋識別數(shù)據(jù)安全要求》[5]《信息安全技術 基因識別數(shù)據(jù)安全要求》[6]四項征求意見稿，旨在保障大數(shù)據(jù)時代以面部特征信息、步態(tài)信息、聲紋信息、基因信息為代表的個人生物識別信息安全。在此背景下，有必要加快個人生物識別信息保護立法的步伐，從法律層面給予個人生物識別信息有力保障?；诖?，如何針對個人生物識別信息的特質(zhì)構建其保護模式，規(guī)制個人生物識別信息的處理方式和范圍，從而維護個人信息權益與促進信息技術發(fā)展之間的衡平，便成為理論和實務中亟待解決的首要問題。

一、個人生物識別信息的特質(zhì)及非法處理的風險

（一）個人生物識別信息的特質(zhì)

2021年8月20日公布的《個人信息保護法》第28條第1款將個人生物特征納入敏感個人信息目錄。這一條款雖宣示著個人生物識別信息與自然人的種族、民族等同屬敏感個人信息之列，但個人生物識別信息仍具有不同于其他敏感個人信息的顯著特質(zhì)。

其一，個人生物識別信息具有唯一性。歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulations，GDPR）將個人生物識別數(shù)據(jù)定義為“通過對自然人的物理、生物或行為特征進行特定技術處理而得到的個人數(shù)據(jù)。這類數(shù)據(jù)生成該自然人的唯一標識，比如人臉圖像或指紋數(shù)據(jù)”。這一概念不僅明確了個人生物識別數(shù)據(jù)從屬于個人數(shù)據(jù)，并且強調(diào)了個人生物識別數(shù)據(jù)具有唯一標識的特征。類似的立法例還有印度2019年的《個人數(shù)據(jù)保護法案》以及美國聯(lián)邦正在提案中的《消費者在線隱私權法》（Consumer Online Privacy Rights Act）等。以上法律規(guī)范所指的唯一性特質(zhì)具體體現(xiàn)在兩個方面，即個人生物識別信息本身唯一及識別對象唯一。首先，自然人的面部特征、指紋、虹膜等單個個人生物識別信息因其具有強烈的個人生物特征屬性且獨一無二，從同一個自然人處不可能獲取兩項完全相同的個人生物識別信息從而實現(xiàn)信息的相互替代。如果個人的信用卡或社會安全號碼被盜，他們有能力建立一個新的進行替換，然而，人們無法替換被盜的指紋或DNA[7]。其次，單個個人生物識別信息所對應的主體也是唯一的，這就意味著個人生物識別信息不需要與其他個人信息相結合便能實現(xiàn)信息與自然人的匹配，從而使得個人生物識別信息具備其他敏感個人信息所不具備的直接、單獨、準確辨別自然人身份的功能[8]。對比之下，宗教、種族等其他敏感個人信息因相同信息大量存在，且通過該類信息不能單獨實現(xiàn)識別的匹配而不具有唯一性的特質(zhì)。

其二，個人生物識別信息具有不可更改性。不可更改性也可稱為穩(wěn)定性，指自然狀態(tài)下個人生物識別信息不會隨著時間的變化而變化，不能自我實現(xiàn)更新[9]。盡管個人生物識別信息有先天形成與后天形成之分[10]，但從根本上影響個人生物識別信息性質(zhì)及內(nèi)容的只有遺傳和環(huán)境兩項因素。因此，與財產(chǎn)信息、健康信息等其他敏感個人信息可通過修改而輕易實現(xiàn)信息的變更有所不同，自然人的面部特征、指紋、步態(tài)等個人生物識別信息或受限于繁瑣的基因排列，或受制于特定環(huán)境，其在自然狀態(tài)下是不可更改的。例如，自然人的DNA分子片段復雜組合形成基因信息，這些基因信息再決定著每個自然人特有的容貌，非經(jīng)特意處理，自然人的面部特征信息將持久處于穩(wěn)定不變的狀態(tài)。但需注意的是，此處的不可更改特指自然狀態(tài)下的不可更改，通過整容技術等物理處理當然也可實現(xiàn)面部特征等個人生物識別信息的強制更改，但這種更改的代價是巨大的，自然人面臨的將是身份認證等一系列與原有個人生物識別信息相關的程序操作的崩潰，在下文將進行具體闡述。

（二）非法處理個人生物識別信息的風險

生物識別數(shù)據(jù)對每個人來說都是永久和獨特的，這使得它成為非常敏感的個人信息[11]。個人生物識別信息的特質(zhì)在一定程度上決定了其一旦被非法處理，所造成的損害是不可逆的。這種不可逆的損害通常需要通過以下三個步驟得以實現(xiàn)。

一是個人生物識別信息被非法處理。對個人生物識別信息的非法處理集中在對個人生物識別信息的濫用之上，而信息的濫用又可以通過多種途徑實現(xiàn)。個人生物識別信息因其獨一無二、不可更改的特質(zhì)往往在保密、防偽活動中受到青睞，但這并不意味著其無法被偽造或復制。隨著AI、深度偽造技術的發(fā)展，面部特征信息、指紋、虹膜等可以通過臨摹復制達到以假亂真的效果[12]，加劇了個人生物識別信息在非法泄露后遭到濫用的可能。

二是通過個人生物識別信息關聯(lián)到其他個人信息。關聯(lián)其他個人信息是個人生物識別信息被非法處理后的必然結果。隨著未來網(wǎng)絡制式的不斷發(fā)展，萬物互聯(lián)是一定的[13]。個人生物識別信息作為自然人身份的代表性標識，其本身可能并未承載商業(yè)價值，而其真正的價值在于通過該項信息關聯(lián)到對信息處理者有利的自然人的其他個人信息。例如，經(jīng)營者在特定的技術操作之下，利用智能換臉軟件能輕松通過用戶的人臉識別認證，從而獲取消費者近期各項消費信息，為其量身定制廣告推銷服務。

三是造成不可逆的損害。個人生物識別信息被非法處理再經(jīng)過信息關聯(lián)后將造成永久的、不可消除的影響[14]。這是因為個人生物識別信息遭到非法處理時難以通過修改的方式進行補救，而通過個人生物識別信息往往能夠挖掘到自然人更深層次的個人信息，自然人將被迫面臨著永久性放棄該項個人生物識別信息帶來的程序性便捷，抑或接受信息風險進而繼續(xù)使用的選擇。早在美國境內(nèi)于2008年頒布的首部保護個人生物識別信息的專門隱私法案，即伊利諾伊州《生物識別信息隱私法案》（Biometric Information Privacy Act，BIPA）便意識到了個人生物識別信息特質(zhì)背后的這些潛在風險：“生物識別信息在生物學上為個體所獨有，受到危害時個人將面臨著極高的身份盜用風險且難以進行追索，并且可能被迫退出與之相關的交易?！币晾Z伊州《生物識別信息隱私法案》對非法處理個人生物識別信息所致風險的闡釋可以說在一定程度上引導了后來各國對個人生物識別信息做出高于一般個人信息甚至高于其他敏感個人信息的立法保護。

二、個人生物識別信息的立法保護模式

個人生物識別信息因以上特質(zhì)而具有高度的敏感性，由此催生出強烈的個人生物識別信息保護需求。如何選取個人生物識別信息的保護模式以構建個人生物識別信息處理準則，是立法保護的先決性問題。

（一）形式上的保護模式：綜合立法保護與專門立法保護

盡管世界范圍內(nèi)對個人生物識別信息的法律定位尚存在不同認知[15]，但已形成了其保護應不同于一般個人信息保護的基本共識[16]。就立法形式上的保護模式而言，基于不同的立法理念、立法背景、法律傳統(tǒng)，目前主要存在綜合立法保護與專門立法保護兩種個人生物識別信息法律保護模式。

1.綜合立法保護模式

綜合立法保護模式，是指在綜合個人信息保護的統(tǒng)一法案中設置個人生物識別信息保護的特別條款，是集民法、刑法、行政法保護措施為一體的法律保護模式。當前，大多數(shù)國家和地區(qū)均采用綜合立法保護模式，如歐盟《通用數(shù)據(jù)保護條例》、俄羅斯《個人資料法》、巴西《通用數(shù)據(jù)保護法案》等。其中，歐盟為綜合立法保護的典型代表，歐盟對包括生物特征數(shù)據(jù)在內(nèi)的個人數(shù)據(jù)采取嚴格的法律規(guī)制態(tài)度。歐盟《通用數(shù)據(jù)保護條例》第5條首先以原則性規(guī)定的方式對包括生物特征數(shù)據(jù)在內(nèi)的個人數(shù)據(jù)處理行為作了較大程度的限制，具體包括合法性、合理性、透明性原則，目的限制原則，數(shù)據(jù)最小化原則，準確性原則等。在宏觀原則之下，歐盟《通用數(shù)據(jù)保護條例》單獨規(guī)定了生物特征數(shù)據(jù)相關概念并將其作為特殊類型的個人數(shù)據(jù)予以保護：原則上禁止處理包括生物識別數(shù)據(jù)在內(nèi)的特殊個人數(shù)據(jù)，同時作出9種情形下的例外規(guī)定，包括數(shù)據(jù)主體明示同意、維護公共利益等。此外，歐盟還規(guī)定了數(shù)據(jù)主體享有更正權、刪除權、攜帶權以及能夠單獨向監(jiān)管機構提起司法訴訟等實質(zhì)性權益，并規(guī)定了基于物質(zhì)或非物質(zhì)損害可獲得民事賠償?shù)认鄳痉ň葷鶾17]?？傮w而言，以歐盟《通用數(shù)據(jù)保護條例》為代表的綜合立法保護模式以特殊數(shù)據(jù)保護制度為生物特征數(shù)據(jù)保護提供了有力保障，為后續(xù)立法提供了有益借鑒。深受歐盟影響，亞洲地區(qū)關于個人生物識別信息保護的立法也大多采用綜合立法的模式，開始使用“個人生物識別數(shù)據(jù)”的定義，并規(guī)定其適用敏感個人數(shù)據(jù)保護規(guī)則，同時規(guī)定相應的訴訟救濟制度。

2.專門立法保護模式

專門立法保護模式，是指通過制定個人生物識別信息專門隱私法案對個人生物識別信息進行保護，以美國各州為代表[18]。伊利諾伊州于2008年制定了全國首部《生物識別信息隱私法案》，德克薩斯州緊隨其后于2009年出臺了《生物特征隱私法》，此后，佛羅里達、紐約等州也制定了個人生物識別信息保護的專門法案。隨著個人生物識別信息保護專門立法的大范圍推進，美國越來越多的地區(qū)已將獨立的個人生物識別信息保護法提上立法日程。聯(lián)邦層面也有所行動。參議院于2020年8月3日引入了Merkley提議的《國家生物識別信息隱私法案》（National Biometric Information Privacy Act），并將其提交司法委員會。個人生物識別信息保護專門法案接踵而至，其背后是不斷涌現(xiàn)的個人生物識別信息保護現(xiàn)實問題及對生物識別技術規(guī)制的迫切需要。以上法案中，伊利諾伊州的《生物識別信息隱私法案》的影響最為深遠，其通過規(guī)定與個人生物識別信息有關的核心法律概念，明確了權責關系、處理規(guī)范、監(jiān)管救濟等內(nèi)容，以達到規(guī)制私營企業(yè)的個人生物識別信息行為之目的。

近年來，以人臉識別技術為代表的個人生物識別信息處理技術不斷引起紛爭，美國在個人生物識別信息保護專門立法規(guī)制方面采取了新的轉(zhuǎn)向，即直接針對人臉識別技術的應用制定專門法律規(guī)范。舊金山發(fā)布的《停止秘密監(jiān)視條例》（Stop Secret Surveillance Ordinance）即為直接規(guī)制政府部門采集面部特征信息的法案。薩默維爾市也通過了《人臉識別全面禁止條例》（Banning the Usage of Facial Technology Surveillance in Somerville），宣告人臉識別技術下獲取自然人面部特征信息的行為是非法的。此外，聯(lián)邦層面也采取了相應措施，從2019年度起，多部專門保護面部特征信息的法案被提交至參議院，其中，有現(xiàn)已通過審議的《商業(yè)面部識別隱私法案》（Commercial Facial Recognition Privacy Act of 2019），以及正在審議中的《人臉識別道德使用法》（Moral Use of Face Recognition）等。該類法案雖規(guī)制對象特定，但實踐意義極強，對面部特征信息這類最具代表性的個人生物識別信息進行單獨保護，能夠在一定程度上達到對個人生物識別信息保護較為理想的效果。

（二）實質(zhì)上的保護模式：附屬于敏感個人信息的保護與敏感個人信息基礎上的強化保護

無論是在綜合立法保護還是在專門立法保護模式之下，個人生物識別信息大都被納入敏感個人信息之列。然而，就實質(zhì)意義的具體制度規(guī)范來看，各個國家和地區(qū)對個人生物識別信息又存在保護力度的差別。以其他敏感個人信息保護強度為參照，可將個人生物識別信息保護分為附屬于敏感個人信息的保護與敏感個人信息基礎上的強化保護兩種模式。

1.附屬于敏感個人信息的保護模式

附屬于敏感個人信息的保護模式指個人生物識別信息適用敏感個人信息保護法律規(guī)范，使個人生物識別信息保護力度強于一般個人信息但無異于其他敏感個人信息保護。個人信息的敏感度用以描述個人信息泄露后對自然人的影響和損害程度[19]：敏感程度越高，個人信息泄露對自然人可能造成的損害程度和影響越大，反之則越小[20]。個人生物識別信息承載著人格尊嚴、隱私等重要價值，且有著彰顯自然人身份的核心功能，被視為“數(shù)字人格”的重要構成部分。正是由于其與個人生理特征最為緊密，與人格利益息息相關，因而具有敏感性。鑒于此，對個人生物識別信息適用更為嚴格的敏感個人信息保護規(guī)則是大數(shù)據(jù)時代對個人生物識別信息進行有益利用的必要前提。附屬于敏感個人信息的保護模式為大多數(shù)國家和地區(qū)的立法所采納，我國2021年8月公布的《個人信息保護法》第28條第1款將“個人生物特征”納入敏感個人信息目錄，明確個人生物識別信息的保護適用敏感個人信息保護的相關規(guī)定。除此之外，并無其他條款對個人生物識別信息的保護另作規(guī)定。在國際層面，多項法律規(guī)范也采取類似立法模式。歐盟《通用數(shù)據(jù)保護條例》第9條將“生物特征數(shù)據(jù)”納入特殊個人數(shù)據(jù)，使其保護附屬于特殊個人數(shù)據(jù);印度頒布的《個人數(shù)據(jù)保護法案》也采用一般個人數(shù)據(jù)與特殊個人數(shù)據(jù)相區(qū)分的理念，將個人數(shù)據(jù)分為一般個人數(shù)據(jù)、敏感個人數(shù)據(jù)、關鍵個人數(shù)據(jù)三個層次，并以敏感個人數(shù)據(jù)處理規(guī)則規(guī)范個人生物識別信息的跨境傳輸、存儲等處理活動。

2.敏感個人信息基礎上的強化保護模式

敏感個人信息基礎上的強化保護模式即對個人生物識別信息的保護相較于其他敏感個人信息保護作了一定力度的提升，形成了相對獨立于敏感個人信息保護的狀態(tài)。2020年修訂的《信息安全技術 個人信息安全規(guī)范》在2017年版本的基礎上對個人生物識別信息保護作了進一步規(guī)定。從敏感個人信息收集到公開披露的整個處理環(huán)節(jié)都嵌入個人生物識別信息保護的特殊條款。例如，于“收集使用個人信息時的授權同意”一節(jié)新增了收集個人生物識別信息的同意規(guī)則：收集個人生物識別信息不僅需滿足收集敏感個人信息的最基本要件，即征得個人信息主體的明示同意，還應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、范圍和方式，以及存儲時間等?？梢?，《信息安全技術 個人信息安全規(guī)范》雖將個人生物識別信息歸入敏感個人信息之列，但又另列條款對個人生物識別信息處理規(guī)則作特殊規(guī)定，使個人生物識別信息的保護力度明顯強于一般敏感個人信息。此即本文所指的敏感信息基礎上的強化保護模式。敏感個人信息基礎上的強化保護模式通過從敏感個人信息保護中獨立出個人生物識別信息保護，為其創(chuàng)設更為嚴密的保護規(guī)則以實現(xiàn)強化個人生物識別信息保護的宗旨。

實際上，這種保護模式在國際上最早可追溯至伊利諾伊州《生物識別信息隱私法案》。伊利諾伊州《生物識別信息隱私法案》于第15條“生物識別信息的保留、收集、披露、銷毀”中規(guī)定“存儲、傳輸和保護所有生物識別標識符和生物識別信息不被披露的方式應與私人實體存儲、傳輸和保護其他機密和敏感信息的方式相同或更具保護性”。該條款示意著個人生物識別信息有著受到更為嚴密保護的可能性。以伊利諾伊州《生物識別信息隱私法案》為藍本，美國參議院于2020年8月3日通過的由Sens.Jeff Merkley和Bernie Sanders提出的隱私保護提案《2020年國家生物識別信息隱私法案》同樣作出了類似規(guī)定。此外，俄國的《個人資料法》也將生物個人資料作為獨立的個人資料類型予以更加嚴格的法律調(diào)整[21]。

以上兩類保護模式是從不同分類視角對個人生物識別信息所作出的立法保護模式上的選擇。其中，綜合立法保護與專門立法保護的區(qū)分立足于形式意義上的保護模式，而敏感個人信息保護與敏感個人信息基礎上的強化保護模式的區(qū)分則立足于實質(zhì)意義上的保護力度。這兩類保護模式之間并非割裂的關系，相反，其因形式與實質(zhì)的區(qū)分標準并不互斥而能夠?qū)崿F(xiàn)保護模式的自由組合。

（三）我國個人生物識別信息保護模式的立法選擇：構建相對獨立于敏感個人信息的專門立法保護模式

我國目前關于個人生物識別信息保護的法律規(guī)范十分有限且難以發(fā)揮實質(zhì)作用。相關規(guī)定主要散見于《民法典》《刑法》《網(wǎng)絡安全法》《消費者權益保護法》等法律以及《征信業(yè)管理條例》《互聯(lián)網(wǎng)個人信息安全保護指南》《信息安全技術 個人信息安全規(guī)范》等行政法規(guī)、規(guī)章、規(guī)范性文件或國家標準之中。從體系上看，現(xiàn)有法律規(guī)范過于碎片化，缺乏系統(tǒng)的保護機制。從實際效能上看，現(xiàn)有法律規(guī)范或因其規(guī)定過于籠統(tǒng)、概括而在應對具體實踐問題之時捉襟見肘，或因其法律位階較低難以對個人生物識別信息進行有力保護。2021年11月1日起生效的《個人信息保護法》也對個人生物識別信息保護作出了部分規(guī)定，但亦未能跳出以上局限。總體而言，我國個人生物識別信息的法律保護在一定程度上陷入了困境，基于補足相關法律空白的現(xiàn)實需要，對個人生物識別信息進行立法保護已箭在弦上。

立法保護的第一階段即進行保護模式的構建。我國個人生物識別信息保護模式的構建，應綜合考量兩個角度之下四種立法模式的優(yōu)劣之處，在立法宗旨、規(guī)范體系、保護措施等方面實現(xiàn)揚長避短。結合個人生物識別信息的特質(zhì)、個人生物識別技術應用現(xiàn)狀及國際立法潮流，筆者認為，我國宜采納專門立法模式并承認個人生物識別信息保護的相對獨立性。

1.確立專門立法保護模式

在進行個人生物識別信息的專門立法保護或綜合立法保護模式選擇時，應具體考量以下因素。

其一，個人生物識別信息保護指向是否明確。綜合立法保護模式大多采用“定義+列舉”的方式界定個人生物識別信息，如判定某項個人信息是否能被歸入歐盟《通用數(shù)據(jù)保護條例》中的個人生物識別信息范圍之內(nèi)，僅能參照第4條第14款的描述性條款進行檢驗，由此導致個人生物識別信息的外延在一定程度上難以確定。個人生物識別信息外延的含糊將成為阻礙其規(guī)則適用的最大障礙。不同于綜合立法保護模式下個人生物識別信息相關概念及規(guī)定的模糊性，美國州層面的專門立法都是通過具體列舉的方式明確其保護對象及范圍。其中，伊利諾伊州《生物識別信息隱私法案》的規(guī)定最為詳細，其通過明示列舉加排除的方式對“生物標識”（biometric identifier）、“生物識別信息”（biometric information）、“機密敏感信息”（confidential and sensitive information）等概念進行闡釋，明確了法律意義上個人生物識別信息的生成，為個人生物識別信息處理規(guī)則的適用劃定了明確的范圍。

其二，個人生物識別信息保護體系是否完備。綜合立法保護模式下，個人生物識別信息保護僅為個人信息保護的一個組成部分，個人信息保護范圍之寬泛使得個人生物識別信息保護略顯局限，尤其體現(xiàn)在粗放的保護規(guī)則之上。以歐盟《通用數(shù)據(jù)保護條例》為代表的綜合立法保護模式大都將個人生物識別信息納入敏感個人信息進行保護，而敏感個人信息保護往往以原則性規(guī)定為主，未設計信息處理的具體規(guī)則[22]，因而難以實現(xiàn)對個人生物識別信息全面、實質(zhì)的保護。相反，專門立法保護模式下，美國各州制定的個人生物識別信息保護法案規(guī)定了更為全面、更為細化的個人生物識別信息保護規(guī)則，構建了完備的個人生物識別信息保護體系。特別是伊利諾伊州《生物識別信息隱私法案》通過明確三大相對權責、三大禁止規(guī)范和豁免條款以及設置監(jiān)管機構的方式，從多個角度為個人生物識別信息保護提供有力支持[2]。

其三，個人生物識別信息侵權救濟是否有保障。綜合立法保護模式下自然人面臨著個人生物識別信息民事訴訟的諸多挑戰(zhàn)，為其權利救濟帶來困難。首先，訴訟提起困難。個人生物識別信息的處理借助特定技術且主要針對網(wǎng)絡用戶群體，侵權對象具有規(guī)模性[23]。然而，受到訴訟成本、時間、地域等限制，權益受到侵犯的自然人往往難以提起訴訟。其次，責任認定困難。綜合立法保護模式下適用過錯推定原則處理這類新興權益糾紛是主流趨勢[15]。而個人生物識別信息侵權行為有極強的“程序性違法”特點，并且其造成的損害通常不是有形的或者不是十分明顯。信息處理者很容易證明其在信息處理程序中無意導致?lián)p害，自然人也難以證實實質(zhì)損害，從而阻礙民事訴訟救濟的實現(xiàn)。對此，專門立法保護模式圍繞民事訴訟救濟進行了嚴密的制度設計，確保自然人在個人生物識別信息遭到濫用時得到救濟保障。針對個人生物識別信息訴訟提起困難，美國各州積極推動“集體訴訟”（class actions）[24]。針對個人生物識別信息侵權的“程序性”特征，美國伊利諾伊州《生物識別信息隱私法案》規(guī)定因玩忽職守或故意、罔顧后果違反個人生物識別信息收集、保留、披露或銷毀規(guī)則的都應承擔相應責任，只是其賠償標準有所區(qū)分而已。此外，很多采用專門保護模式的立法例還在損害認定方面作出了特殊規(guī)定。例如，適用伊利諾伊州《生物識別信息隱私法案》審理的羅森巴赫訴六旗娛樂公司（Rosenbach v. Six Flags Entertainment Corporation）一案確認了原告無需證明“實際損害”也可獲得賠償?shù)囊?guī)則，從而使得自然人在個人生物識別信息權益受到侵害時能夠得到有效救濟。

可見，專門保護模式具有專屬的法律概念、完備的規(guī)范制度以及切實可行的司法救濟規(guī)則，且能夠根據(jù)個人生物識別信息的特性作出具體調(diào)整，針對性和操作性較強，因而具備綜合立法保護模式所不具備的優(yōu)勢。在個人生物識別信息權益侵權泛濫的背景下，專門保護模式應當成為我國個人生物識別信息保護立法的應然選擇。

2.確立敏感個人信息基礎上的強化保護模式

就個人生物識別信息的實質(zhì)保護模式而言，附屬于敏感個人信息保護模式的困境在于忽視個人生物識別信息保護的特殊性。在個人生物識別信息與其他敏感個人信息的關系上，我們一方面應看到個人生物識別信息與其他敏感個人信息的同一性;另一方面也應看到其區(qū)別于其他敏感個人信息的特殊性[25]。因此，個人生物識別信息保護的制度構建既應考慮個人生物識別信息與其他敏感個人信息保護的共同性，也不可忽視與其他敏感個人信息保護的差異性。在附屬于敏感個人信息的保護模式之下，法律規(guī)范的保護對象為一定范圍內(nèi)多種類的個人信息，未能考慮個人生物識別信息保護應具有的特殊性。這種特殊性集中體現(xiàn)于以下兩方面：首先，個人生物識別信息具有唯一性、不可更改性的特質(zhì)，非法處理的情形下會為自然人帶來不可逆的損害后果。非法處理其他敏感個人信息雖也存在造成自然人人身與財產(chǎn)重大損害的可能性，但尚未達到不可逆的程度。其次，個人生物識別信息具體應用領域也不同于其他敏感個人信息。以面部特征信息為代表的個人生物識別信息因其能為反恐、打擊犯罪帶來收益而被廣泛用于維護國家安全[26]，這是其他敏感個人信息難以涉及的領域。

基于此，個人生物識別信息保護的具體規(guī)則應與其他敏感個人信息保護規(guī)則有所區(qū)分。附屬于敏感個人信息的保護模式不能達到此效果，而敏感個人信息基礎之上的強化保護模式則基于個人生物識別信息本身的特殊性及應用領域的不同，將個人生物識別信息保護與其他敏感個人信息保護作出了具體規(guī)則上的區(qū)分。在歐盟委員會最新發(fā)布的人工智能行業(yè)監(jiān)管草案中，人臉識別所基于的所有遠距離生物識別系統(tǒng)均被劃入人工智能應用風險四個等級之中的“高風險”區(qū)，違背生物識別行業(yè)監(jiān)管將受到人工智能領域最嚴的懲處[27]。遠距離生物識別系統(tǒng)被劃入“高風險”區(qū)，再次證實了個人生物識別技術濫用風險不可估量，示意著個人生物識別信息受到單獨保護的需要。此外，中國信息通信研究院發(fā)布的《生物識別隱私保護研究報告（2020年）》指出，個人生物識別信息與個人身份高度綁定，且有不易變的特質(zhì)，生物識別信息的濫用將帶來嚴重的社會問題，呈現(xiàn)攻擊、深度偽造、算法缺陷等技術難題，更是加劇了生物識別隱私保護帶來的挑戰(zhàn)。報告同時指出，個人生物識別技術應用場景趨向多元化，為不同行業(yè)、領域提供定制化的識別技術是生物識別技術未來的發(fā)展趨勢。但不同應用場景對個人生物識別信息的保護需求存在差異，難以統(tǒng)一個人生物識別信息處理標準[28]。在此背景下，強化個人生物識別信息的保護力度不失為最穩(wěn)妥的做法。2020年，《信息安全技術 個人信息安全規(guī)范》將個人生物識別信息的同意要件從明示同意強化到單獨同意，增加了存儲要件，強化了披露規(guī)則。此次保護規(guī)則的強化既是基于其特質(zhì)的現(xiàn)實需要，同時順應了世界生物識別產(chǎn)業(yè)革命的潮流，為我國個人生物識別信息保護立法提供了有益借鑒。

可見，涉及個人生物識別信息處理的問題往往具有較高的技術要求，僅僅將其附屬于敏感個人信息保護，依靠概括且有限的敏感個人信息保護規(guī)則難以應對實踐中的法律難題。應當采取敏感個人信息基礎上的強化保護模式，將個人生物識別信息保護與敏感個人信息保護作出一定區(qū)分。對此，《信息安全技術 個人信息安全規(guī)范》雖創(chuàng)設了較為嚴密的個人生物識別信息保護規(guī)則，使個人生物識別信息相對獨立于敏感個人信息保護，但該規(guī)范終究僅為國家層面的推薦性標準，不具有強制效力[29]。我國未來個人生物識別信息保護立法應以此為參照，制定法律位階較高的專門法律規(guī)范，同時在具體規(guī)則構建中將其與敏感個人信息保護有所區(qū)分，體現(xiàn)對個人生物識別信息的單獨強化保護。

三、個人生物識別信息保護的具體制度構建

在恰當?shù)姆杀Ｗo模式之下還應構建適宜的具體制度規(guī)范，并通過創(chuàng)設具體的法律條文以落實個人生物識別信息保護。個人生物識別信息保護所涉范圍較廣，在明確我國采用敏感個人信息基礎上的專門立法保護模式的前提下，應著重把握核心內(nèi)容，結合我國現(xiàn)實需要，創(chuàng)設實踐性、針對性較強的個人生物識別信息保護具體規(guī)范。

（一）確立個人生物識別信息保護的核心概念及宗旨

概念的明確程度將直接關系到法律規(guī)范邏輯的成立與具體規(guī)則的適用。個人生物識別信息處理規(guī)則具有相當程度的嚴苛性，更應對“個人生物識別信息”進行嚴格的限定，劃定明確的個人生物識別信息保護范圍。專門立法模式下的法律規(guī)范大都明確了個人生物識別信息的外延。伊利諾伊州《生物識別信息隱私法》明確個人生物識別信息包括視網(wǎng)膜或虹膜掃描圖、指紋、聲紋、手或臉的結構掃描。同時，列明個人生物識別信息不包括用于書寫樣本、書寫簽名、照片、用于有效科學測試或篩選的人口統(tǒng)計數(shù)據(jù)、紋身描述或身體描述。我國立法可借鑒該種肯定式列舉加排除的立法技術規(guī)定個人生物識別信息的概念，同時采納《信息安全技術 個人信息安全規(guī)范》附個人生物識別信息目錄的做法對個人生物識別信息的外延予以明確。與此同時，立法還需要確立諸如“個人生物識別信息主體”“個人生物識別信息處理者”“明示同意”“授權同意”“書面許可”等個人生物識別信息處理過程所涉及的核心概念。

此外，通過明確的法律條文確立平衡自然人權益保護與促進生物識別產(chǎn)業(yè)健康發(fā)展的個人生物識別信息保護的立法宗旨也顯得十分必要。目前，我國規(guī)定個人生物識別信息保護的多數(shù)法律規(guī)范均缺少此條規(guī)定，包括規(guī)則最為完備的《信息安全技術 個人信息安全規(guī)范》也未曾提及個人生物識別信息保護的宗旨和規(guī)范依據(jù)。如何通過立法實現(xiàn)兩種價值的平衡，而不是一方絕對性地抑制另一方，是立法宗旨條文的重要價值[30]。未來，我國立法應將個人生物識別信息的保護宗旨和立法依據(jù)作為重點規(guī)范內(nèi)容。

（二）構建個人生物識別信息處理的特殊規(guī)則

個人信息保護經(jīng)歷了由權利化模式到行為規(guī)制模式的轉(zhuǎn)變[31]。行為規(guī)制模式即通過為信息處理者設定行為規(guī)范的方式構建利益空間，為未上升為權利的法益提供適度且必要的保護[32]。個人生物識別信息是兼具個體性和公共性的戰(zhàn)略資源，其處理關涉多方利益[33]。個人生物識別信息處理行為紛繁復雜，僵化的措施難以實現(xiàn)對個人生物識別信息的有效保護，應結合場景化理論，從信息的收集、利用、存儲三個方面入手為信息處理者設置相應的行為規(guī)范，進而構建個人生物識別信息處理全周期的特殊規(guī)則[34]。鑒于本文采納敏感個人信息基礎上的強化保護模式，個人生物識別信息處理規(guī)則不僅應滿足敏感個人信息處理的一般要求，還應結合其特質(zhì)進行特別規(guī)定。

收集是個人生物識別信息處理的起點。處理好個人生物識別信息的特別保護問題應當從信息收集開始就嚴加對待，從而避免個人生物識別信息被不當收集后產(chǎn)生的一系列衍生問題。知情同意規(guī)則是個人信息保護的核心和基礎，是自然人信息自決的體現(xiàn)[35]。個人生物識別信息的特殊保護更應強化收集階段的同意規(guī)則?！秱€人信息保護法》第29條規(guī)定，處理敏感個人信息需獲“單獨同意”;《信息安全技術 個人信息安全規(guī)范》第5.4條則規(guī)定，處理個人生物識別信息應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意。為適應個人生物識別信息保護的特殊需求，同時為防止同意規(guī)則的虛設，應當對信息處理者設定告知義務，要求信息處理者在收集個人生物識別信息前進行明確的目的、范圍、處理方式告知與風險披露，并取得自然人的明示同意[36]。開發(fā)利用是最為重要的個人生物識別信息處理行為?；诜欠ㄌ幚韨€人生物識別信息的高風險性，應規(guī)定原則上不得開發(fā)利用個人生物識別信息，基于特定情形需要進行開發(fā)利用的，其行為也應合法、合目的且具有正當性。其中，對“合法”應采取廣義的理解，既不能違反法律、法規(guī)、規(guī)章等法律規(guī)范的規(guī)定，也不得違反自然人與信息處理者雙方的約定。對“合理”的解釋則應靈活進行，應當綜合考量個人生物識別信息的處理行為是否符合自然人預期，處理所引起的風險是否能為自然人所接受，防止僵化地審視個人生物識別信息處理行為是否合理[37]。

存儲、披露是個人生物識別信息處理的后續(xù)階段。一旦發(fā)生個人生物識別信息的不當泄露，不僅將招致自然人隱私及相關權益被侵犯，還可能危及公共安全。在這一階段必須采取最為嚴格的規(guī)制措施，加以最高程度的防范[38]。例如，規(guī)定原則上不得存儲個人生物識別信息，在特定情形下需要進行存儲的，可附條件、附期限地對摘要信息進行存儲并采取加密措施。

自然人基于正當理由在任何時候都有權拒絕信息存儲，且因存儲不當造成信息泄露的，自然人有權向個人生物識別信息處理者要求賠償。最后還可以規(guī)定信息泄露后的報告義務作為兜底防范措施，在發(fā)生信息泄露的情況下，個人生物識別信息處理者應及時告知自然人及監(jiān)管機構，以便相關主體及時采取措施遏制信息傳播，降低個人生物識別信息泄露風險。

（三）完善非法處理個人生物識別信息的權利救濟機制

個人生物識別信息民事救濟制度是自然人個人生物識別信息的最后保障，對此可采取完善集體訴訟制度、落實侵權責任等途徑對該制度進行優(yōu)化。域外法律中的“集體訴訟”制度免去了自然人單獨訴訟的困難，使得“集體訴訟成員”的權益得到普遍保障，是個人生物識別信息民事權利救濟的有效路徑[39]。我國立法應借鑒美國建立完備的集體訴訟制度，規(guī)定集體訴訟的先決條件及認定標準，明確“集體訴訟”“集體訴訟成員”等相關概念，規(guī)定集體訴訟利益分配等。

在自然人訴訟權利得到保障的前提下，可確立恰當?shù)臋嘁媲趾w責原則，并對個人生物識別信息侵權責任構成要件進行解釋，最后劃定損害賠償數(shù)額區(qū)間，在適宜的情形下還可要求懲罰性賠償。以此層層遞進，構建一套專屬于個人生物識別信息的侵權損害賠償救濟機制。

就歸責原則來說，《個人信息保護法》第69條明確規(guī)定侵害個人信息的歸責原則為過錯推定，相較于一審稿有了較大進步，但在一定程度上也未實質(zhì)解決個人信息侵權認定的難題。個人生物識別信息侵權認定更需保護受害人的權益，未來專門立法可在此基礎上作進一步的規(guī)定?？煽紤]過錯推定原則與無過錯責任原則的“二分法”思路。一方面，在處理主體方面可以進行二分劃分，可借鑒我國臺灣地區(qū)相關規(guī)定，使公共機構、非公共機構分別承擔個人生物識別信息侵權的無過錯責任與過錯推定責任;另一方面，在處理行為方面也可以進行二分劃分，可借鑒德國進行自動化、非自動化技術處理的區(qū)分，采用自動化技術處理個人生物識別信息侵權的適用無過錯責任原則[40]。以此，可在一定程度上緩和由舉證責任帶來的個人生物識別信息侵權責任認定困難的問題。

個人生物識別信息侵權責任構成要件的解釋是責任認定的核心環(huán)節(jié)，而構成要件中應著重解釋損害這一要件，突出非法處理個人生物識別信息造成損害的特殊性。非法處理個人生物識別信息造成的后果較其他敏感個人信息更為嚴重，因此，應當放低非法處理個人生物識別信息的損害認定標準，確立較其他敏感個人信息更為容易的損害認定規(guī)則?？梢?guī)定只要個人生物識別信息處理者具體的收集、處理、存儲等行為被認定為非法處理即可推定該行為造成了損害。而如果個人信息處理者違反信息安全保障義務導致個人生物識別信息泄露的，即便該信息尚未被非法處理，法院也可以借鑒環(huán)境污染、貶值損失等領域中風險即損害的適用規(guī)則，認可未來損害的存在[41]。

若個人生物識別信息侵權責任成立，應綜合各項因素對個人生物識別信息非法處理者的損害賠償責任進行考量。在受害人不能獲完全賠償而侵權行為造成的影響過大時，可借鑒美國對非法處理個人生物識別信息的行為適用懲罰性賠償，規(guī)定適當?shù)淖畹唾r償標準并參照認定損害賠償時的各項因素酌情增加懲罰性賠償額。

四、結語

生物識別技術的廣泛應用加深了社會信息化的程度，其在為用戶帶來極大便捷的同時也存在一定產(chǎn)業(yè)亂象，進而引發(fā)潛在或現(xiàn)實的應用風險，個人生物識別信息的法律保護問題應受到足夠重視。當前，歐美國家已經(jīng)積累了一定的立法經(jīng)驗，我國應在借鑒比較法的基礎上有所創(chuàng)新，結合我國實際建立并完善我國個人生物識別信息保護制度。本文基于個人生物識別信息應受到何種程度的保護之問題意識，以其特性及非法處理的風險為切入點，對個人生物識別信息應受到特殊保護的觀點進行了論證。在此基礎上，對域外個人生物識別信息保護制度進行考察，從形式與實質(zhì)兩個角度出發(fā)，作出我國個人生物識別信息保護立法模式的抉擇：構建相對獨立于敏感個人信息的專門立法保護模式。專門性法律保護規(guī)范具有體系完備、操作性及針對性較強的優(yōu)點，應為我國所采納，同時考慮個人生物識別信息特質(zhì)所帶來的極大風險，在具體制度設計上，其保護力度相較于其他敏感個人信息應有所加強。在保護模式之外，還應進行制度構建，將保護落實到具體條文之上。首先，需明確個人生物識別信息保護的核心概念及宗旨以為信息處理行為提供確切的法律指引;其次，可以基于信息處理的生命周期構建個人生物識別信息保護的特殊規(guī)則;最后，還應完善非法處理個人生物識別信息的權利救濟機制。以此從核心概念到權利義務設計再到權利救濟，搭建起完備的個人生物識別信息保護體系。此外，考慮到個人生物識別信息蘊含的法益保護內(nèi)容具有復合性、多元化特征，在保護規(guī)則設計之時，應最大限度地實現(xiàn)個人權益保護與公共利益的衡平，才能使生物識別產(chǎn)業(yè)健康有序地發(fā)展，使生物識別技術的應用為社會創(chuàng)造更大的價值。

參考文獻：

[1]冉克平.論個人生物識別信息及其法律保護[J].社會科學輯刊，2020（6）：111-120.

[2]付微明.個人生物識別信息的法律保護模式與中國選擇[J].華東政法大學學報，2019（6）：78-88.

[3]全國信息安全標準化技術委員會.關于國家標準《信息安全技術 人臉識別數(shù)據(jù)安全要求》征求意見稿征求意見的通知[EB/OL].（2021-04-23）[2021-06-27].https：//www.tc260.org.cn/front/bzzqyjDetail.html？id=20210423182442&norm_id=20201104200034&recode_id=41855.

[4]全國信息安全標準化技術委員會.關于國家標準《信息安全技術 步態(tài)識別數(shù)據(jù)安全要求》征求意見稿征求意見的通知[EB/OL].（2021-04-28）[2021-06-27].https：//www.tc260.org.cn/front/bzzqyjDetail.html？id=20210428192458048637&norm_id=20201104200035&recode_id=42233.

[5]全國信息安全標準化技術委員會.關于國家標準《信息安全技術 聲紋識別數(shù)據(jù)安全要求》征求意見稿征求意見的通知

[EB/OL].（2021-04-28）[2021-06-27].https：//www.tc260.org.cn/front/bzzqyjDetail.html？id=20210428192458017329&norm_id=20201104200025&recode_id=42231.

[6]全國信息安全標準化技術委員會.關于國家標準《信息安全技術 基因識別數(shù)據(jù)安全要求》征求意見稿征求意見的通知[EB/OL].（2021-05-11）[2021-06-27].https：//www.tc260.org.cn/front/bzzqyjDetail.html？id=20210511175221&norm_id=20201104200041&reco de_id=42563.

[7]JULIA M. The Future of Our Fingerprints： The Importance of Instituting Biometric Data Protections in Pennsylvania[J].Duquesne Law Review，2021（2）：303-328.

[8]劉憶成.電子身份認證中生物辨識技術法律問題比較研究[J].信息網(wǎng)絡安全，2011（3）：31-33.

[9]宋丹，黃旭.生物識別技術及其在金融支付安全領域的應用[J].信息安全研究，2016（1）：27-32.

[10]邱建華，馮敬，郭偉，等.生物特征識別——身份認證的革命[M].北京：清華大學出版社，2016：13.

[11]LINDSEY B. Ban Facial Recognition Technologies for Children—And for Everyone Else[J].Boston University Journal of Science and Technology Law，2020（2）：223-285.

[12]曹建峰，方齡曼.“深度偽造”的風險及對策研究[J].信息安全與通信保密，2020（2）：89-97.

[13]高一驕.AI+生物識別技術對可信身份認證的挑戰(zhàn)[J].信息安全研究，2020（7）：645-651.

[14]閆坤如，劉丹.技術介入主體及其倫理規(guī)約探析——以生物識別技術為例[J].東北大學學報（社會科學版），2017（1）：1-6.

[15]羅斌，李卓雄.個人生物識別信息民事法律保護比較研究——我國“人臉識別第一案”的啟示[J].當代傳播，2021（1）：77-81.

[16]吳小帥.大數(shù)據(jù)背景下個人生物識別信息安全的法律規(guī)制[J].法學論壇，2021（2）：152-160.

[17]OLIVER B. Obligations Imposed on Private Parties by the GDPR and UK Data Protection Law： Blurring the Public-Private Divide[J].European Public Law，2018（3）：555-572.

[18]王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現(xiàn)代法學，2013（4）：62-72.

[19]姬蕾蕾.大數(shù)據(jù)時代個人敏感信息的法律保護[J].圖書館，2021（1）：99-106.

[20]劉雅琦.基于敏感度分級的個人信息開發(fā)利用保障體系研究[M].武漢：武漢大學出版社，2015：17.

[21]張建文.俄羅斯個人資料法研究[J].重慶大學學報（社會科學版），2018（2）：138.

[22]邢會強.人臉識別的法律規(guī)制[J].比較法研究，2020（5）：51-63.

[23]付微明.個人生物識別信息民事權利訴訟救濟問題研究[J].法學雜志，2020（3）：73-81.

[24]林凌，賀小石.人臉識別的法律規(guī)制路徑[J].法學雜志，2020（7）：68-75.

[25]邢會強.大數(shù)據(jù)交易背景下個人信息財產(chǎn)權的分配與實現(xiàn)機制[J].法學評論，2019（6）：98-110.

[26]石佳友，劉思齊.人臉識別技術中的個人信息保護——兼論動態(tài)同意模式的建構[J].財經(jīng)法學，2021（2）：60-78.

[27]歐盟發(fā)布最嚴人工智能監(jiān)管法律框架，人臉識別、自動駕駛等受限[EB/OL].（2021-04-27）[2021-06-27]. https：//www.sohu.com/a/463282853_466840.

[28]中國信息通信研究院.生物識別隱私保護研究報告（2020年）[R/OL].[2021-06-27].http：//www.caict.ac.cn/kxyj/qwfb/ztbg/202010/t20201027_360753.htm.

[29]京東法律研究院.歐盟數(shù)據(jù)憲章——《一般數(shù)據(jù)保護條例》GDPR評述及實務指引[M].北京：法律出版社，2018：129.

[30]韓偉.安全與自由的平衡——數(shù)據(jù)安全立法宗旨探析[J].科技與法律，2019（6）：41-48.

[31]鄭曉劍.個人信息的民法定位及保護模式[J].法學，2021（3）：116-130.

[32]葉金強.《民法總則》“民事權利章”的得與失[J].中外法學，2017（3）：650-651.

[33]杜永欣，周茂君.我國網(wǎng)站個人信息保護的合規(guī)性考察——基于九家網(wǎng)站隱私政策的文本分析[J].重慶郵電大學學報（社會科學版），2021（4）：62-72.

[34]丁曉東.個人信息的雙重屬性與行為主義規(guī)制[J].法學家，2020（1）：64-76.

[35]郭春鎮(zhèn).數(shù)字人權時代人臉識別技術應用的治理[J].現(xiàn)代法學，2020（4）：19-36.

[36]徐麗枝.個人信息處理中同意原則適用的困境與破解思路[J].圖書情報知識，2017（1）：106-113.

[37]范為.大數(shù)據(jù)時代個人信息保護的路徑重構[J].環(huán)球法律評論，2016（5）：92-115.

[38]葉名怡.個人信息的侵權法保護[J].法學研究，2018（4）：84.

[39]張瑩，冀宗儒.民事訴訟代表人制度中訴訟當事人制度論[J].河北法學，2020（5）：187-197.

[40]張建文，時誠.個人信息的新型侵權形態(tài)及其救濟[J].法學雜志，2021（4）：39-52.

[41]時誠.房屋貶值損失的類型構造與救濟規(guī)則[J].中國不動產(chǎn)法研究，2020（2）：166-181.

Legislative Model and System Construction of PersonalBiometric Information Protection

ZHANG Jianwen， ZHAO Ziyu

（School of Civil and Commercial Law， Southwest University of Political Science and Law， Chongqing 401120， China）

Abstract：

Personal biometric information is unique and cannot be modified. Once it is abused， it will cause irreversible damage， which gives birth to the practical need for special protection of personal biometric information. Therefore， it is necessary to formulate special legal protection norms of personal biometric information， to clarify the protection direction and relief measures of personal biometric information， and to construct a complete protection system. At the same time， the protection of personal biometric information should be strengthened on the basis of sensitive personal information in order to respond to the realistic demand of strict regulation of biometric information industry. In conclusion， China should build a special legislative protection mode that is relatively independent of sensitive personal information， and refine the protection rules of personal biometric information on this basis. Specifically， it includes clarifying the core concept and purpose of personal biometric information protection， constructing special rules of personal biometric information processing， and perfecting the right relief mechanism of illegal processing of personal biometric information.

Keywords：personal biometric information; sensitive personal information; biometric identification technology; special legislative protection

（編輯：劉仲秋）

收稿日期：2021-05-25修訂日期：2021-11-02

基金項目：中國人權研究會部級課題：中國民法典編纂與人權保護（CSHRS2020-20YB）;重慶市研究生科研創(chuàng)新項目：個人生物識別信息的法律保護問題研究（CYS21147）

作者簡介：

張建文，教授，博士生導師，博士，主要從事人格權法、信息法學研究，E-mail：zhangjianwen1977@qq.com;

趙梓羽，碩士研究生，主要從事民法、信息法學研究，E-mail：2291701844@qq.com。