闫双巧

（海南大学 法学院，海南 海口 570228）

人脸识别是通过识别自然人面部特征验证个体身份的一项技术，被广泛应用于金融支付、公共安全、社交娱乐等领域。识别过程中能够获取个人容貌特征、地理位置等大量信息，其中生物识别信息是个体与生俱来的身份信息，具有唯一性、不可变更性，以及强烈的人格属性，倘若被不法分子获取则会为其实施诈骗、身份盗窃等犯罪活动提供空间，因此需要法律严加保护。与欧美国家相比，虽然我国的人脸识别技术居于世界领先地位，但针对个人生物识别信息的民事立法还处于起步阶段，对于人脸识别技术引发的侵权行为的探讨也仅停留在理论层面。本文基于我国现有的立法规定与学说观点，结合国外诉讼中所聚焦的问题，对利用人脸识别技术侵犯个人信息权的侵权责任构成要件进行探讨。

1 个人生物识别信息法律属性辨析

个人生物识别信息属于个人信息的一种，指通过生物特征识别技术获取的个人信息。生物特征识别技术是指基于计算机、物理学、生物统计学原理，通过计算机或其他具有数据运算与图像处理功能的终端设备，采集待识别人生理或行为特征，通过与数据库中的信息进行对比以实现身份识别的目的。现有的生物识别技术主要分为两类，一类是基于静态生理特征进行识别，如指纹识别、虹膜识别、人脸识别等；另一类是基于动态行为特征进行识别，如笔迹识别、步频识别、声纹识别等①Biometric Information Privacy Act,740ILL.COMP.STAT.§14/20(2008).。通过上述生物识别技术所获取的自然人的指纹、声纹等信息即为个人生物识别信息。生物特征无法被转让、抛弃或继承，个人生物识别信息因此具有典型的“身份专属性”，一旦丢失或被盗用将给权利人的人身、财产安全带来极大的风险，欧盟、美国、印度、南非等多个国家及地区已出台专门的法律予以严格保护②参见美国伊利诺伊州《生物信息隐私法》（2008）、欧盟《通用数据保护条例》（2018）、印度《个人数据保护法案》（2018）、巴西《通用数据保护法》（2018）。。但对于个人生物识别信息的法律属性学界存在“财产权”“隐私权”“声音权、肖像权”等不同观点。要想为个人生物识别信息提供周延的保护，首先应厘清其法律性质。

1.1 财产权观点评析

秉持财产权观点的学者认为，生物识别信息作为一种特殊的个人信息，蕴含着丰富的商业价值，应将其作为新型资源来开发[1]。这一观点遭到了大多数人格权学者的反对。从理论上看，将个人生物识别信息界定为可开发的资源有物化人格之嫌。若将生物识别信息投入市场，首先面临的一系列问题是——如何为生物识别信息进行定价？指纹值多少钱？声音值多少钱？男性的生物信息要比女性的更值钱吗？特殊基因的携带者或罕见疾病患者的生物信息比普通人的更加值钱吗？若将生物识别信息投入市场估价，将会衍生种族歧视、性别歧视等一系列问题，这将有损人格尊严和人格平等。从实践中看，财产权理论无法保障生物识别信息资源被公平地分配和使用。相对于掌握大量技术与资本优势的信息销售者，消费者处于弱势地位，没有对个人生物信息进行估价的能力，无法得到有意义的选择机会；当面对公权力机关的信息搜查或其他侵害时，也依然没有任何讨价还价的余地。冰岛政府将居民的生物信息予以国有化和商业化，建立了国家生物信息数据库，允许被许可人以营利为目的使用数据库信息，授权被许可人支付费用访问生物样品；但根据该国生物数据法律，只有DNA 银行能从中获益，居民个人无法分享基于自己生物信息获得的经济利益。同样的，在美国的信息交易市场中只有信息收集者才拥有信息所有者的地位，真正的信息权人只是“利益相关者”[2]。这不禁让人怀疑“信息流通”是否只是利益集团打出的幌子，暗地里却将个人信息作为其牟取暴利的工具。从权利救济的角度分析，财产权学说无法为生物识别信息权利人提供长远保障。若将个人生物识别信息视作物权的客体，倘若持有人（购买者）再次出售或泄露信息，信息主体将因丧失所有权而无权请求救济[3]299。虽然在21 世纪信息有“新型石油”之誉，但对关涉个人核心利益与人格尊严的生物识别信息的开发应该保持绝对的谨慎。哈耶克的自由价值理论认为，法律的工具价值应服务于目的价值，二者冲突时应优先保护目的价值[4]9。根据“天赋人权”思想，人格尊严属于第一位的自然属性，为目的价值，信息利用属于第二位的社会属性，为工具价值，第二属性要依附于第一属性而存在，若以放弃人格尊严的目的价值为代价追求信息利用的工具价值，无异于舍本求末。

1.2 隐私权观点评析

秉持“隐私权”观点的学者认为，生物识别信息属于敏感个人信息，法律应保护其避免非法收集和公开[5-7]。但隐私权并不符合生物识别信息之身份属性，“凡是个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私”，隐私权的客体是私密性信息，隐私一旦被披露、公开就不再属于隐私，无法得到法律保护[8]。而生物识别信息重在“可识别性”，对声音、面容的公开是确认身份的前提。隐私权不涉及公共利益，但通过生物识别信息比对，人脸识别技术正在被广泛应用于执法领域。此外，侵害隐私权的行为表现是非法骚扰与隐私披露，这会造成受害者的精神损害。从目前来看，大部分的生物识别信息诉讼是相对方“未经权利人同意非法收集、存储、使用其个人生物识别信息”所引起的①Monroy v. Shutterfly.Inc.No. 16-C-10984, 2017. Rosenbach v. Six Flags Entm't Corp. 2017 IL App (2d) 170317, rev'd, 2019 IL 123186.Sekura v. Krishna Schaumburg Tan, Inc. 2018 IL App (1st) 180175.McCollough v. Smarte Carte, Inc. No. 16 C 03777, 2016 WL 4077108(N.D. Ill. Aug. 1, 2016).。隐私权是一种消极性权利，遭受侵害时行为人能够要求他人排除妨害、赔偿损失，但在权利遭受侵害之前无法积极主张。最后，对隐私权的救济侧重于事后救济，要求造成“实际损害结果”才能获得救济，但对于生物识别信息的侵权行为，当下造成的“损害”可能并不显著，但却留下身份盗窃类犯罪的隐患。

在美国Rosenbach v. Six Flags Entm't Corp.一案中，法官明确伊利诺伊州《生物信息隐私法》（Biometric Information Privacy Act，简称BIPA）的立法目的是维护主体对个人生物识别信息享有的控制权，“不是被动地弥补过去的损失，而是主动防止可能的损害”，无论信息利用是否造成“实际损害”，权利人都能提起诉讼②Rosenbach v. Six Flags Entm't Corp. 2017 IL App (2d) 170317, rev'd,2019 IL 123186.。事实上，在BIPA 颁布以后，绝大多数案件都是被告未按照规定收集生物识别信息、违反法定程序（未造成实际可见的损害后果）所引起的[9]。将生物识别信息作为“隐私”予以保护的观点可能是受美国的影响，在美国关于个人生物识别信息的立法中，BIPA 和加利福尼亚州《消费者隐私法案》都将个人生物识别信息作为隐私来保护[10]。实际上，在美国法律语境之下，“隐私权”的地位相当于大陆法系国家的“一般人格权”，涵盖了多种人格利益。而我国的人格权法明确区分了一般人格权与具体人格权的界限，在人格权制度产生之初隐私权就属于具体人格权的一种[11]。对于生物识别信息权的保护应尊重我国的法律体系，不能盲目地搬用国外的做法。

1.3 声音权、肖像权观点评析

杨立新教授认为，声音人格利益具有独特性，不能被隐私权、肖像权所涵盖，应设立单独的“声音权”[12]。王利明教授主张，个人信息中的肖像已经形成一种具体的人格权，不再需要个人信息权来单独保护[8]。这些观点也得到了程啸教授的认同，他认为根据《民法典》（人格权编）规定，伪造他人声音、肖像的行为侵犯了自然人的肖像权，非法采集生物识别信息的行为侵害了自然人的隐私权，对于不属于肖像与隐私的生物识别信息应予以保护[13]。与财产权、隐私权观点相比，此类观点看到了个人生物识别信息的法益独特性，但仍然具有封闭性。一方面，声音、肖像只是个人生物识别信息的载体之一，除此之外还有掌纹、虹膜、脉搏等生物识别信息，按照此种观点，对于前者适用肖像权保护，而后者则适用信息权保护，其侵权构成要件、损害赔偿的方式也不甚相同，同一类型的信息分属不同权利，将为司法实务增添不必要的麻烦。应明确的是，随着生物识别技术的发展，“生物识别信息”的内涵也将越来越丰富，个人信息权作为开放的权利体系能够容纳多种生物识别信息类型，更能适应科技的发展。另一方面，声音权、肖像权并无法完全涵盖生物识别信息之上的法益。权利人在意的并不仅仅是被偷拍、被丑化的形象，而是担心被他人利用生物识别信息假冒身份、因丢失身份而不得已退出所有身份验证系统、被他人利用生物识别信息窥探个人隐私。安全感源于权利人对个人生物识别信息的控制感，这是肖像权、隐私权所无法提供的。

根据上述分析，“财产权”观点有违生物识别信息的人格属性，“隐私权”观点无法发挥生物识别信息的利用价值，“声音权、肖像权”观点不能涵盖所有的生物识别信息形式，相较之下，只有“个人信息权”契合生物识别信息的权利属性。一方面，信息主体享有 “信息保有权、信息决定权、信息知情权、信息更正权、信息锁定权、信息保护权、被遗忘权”等多种权利内容，拥有对生物识别信息的绝对控制；另一方面，信息权人在生物识别信息遭到侵害的同时还享有人格权请求权与侵权责任请求权，通过对精神利益与财产利益的保护，保障权利人充分得到救济[14]。

2 人脸识别技术侵权表现形态

法律行为是个人信息保护法律关系发生、变更和消灭的主要原因，要明确人脸识别技术是否构成对个人隐私信息的侵犯，就有必要详细分析生物识别行为对个人隐私信息的使用情形，并分析其侵权法意义①《民法典》一千零三十四条规定，个人生物识别信息属于个人信息，受到法律的保护。。个人信息的法律保护客体有信息自决、保持信息完整、信息处理合目的、隐私利益四类法益，人脸识别技术在信息收集—处理—利用过程中可能对这四类法益造成侵犯。

2.1 人脸识别信息收集阶段的侵权行为

信息收集阶段是信息流转的基础，不当地收集个人信息将会造成对信息自决权及隐私利益的侵犯②《民法典》第一千零三十五条规定，收集个人信息原则上需获得自然人的同意，法律、行政法规另有规定的除外。。一直以来，理论上和实践中的通行做法都将“知情同意”作为个人信息处理的正当性基础，但在大数据时代同意的正当性受到了挑战[15]。在人脸识别过程中，信息主体“不知情”成为常态，即使“同意”也难以保障其真实性。不同于指纹识别等生物识别技术，人脸识别技术是一种真正的“非接触式”技术，不需要与信息主体进行交互，很多情形下信息权人根本没有意识到自己的信息被收集。此外，大多数用户在使用人脸识别时并不清楚潜在的风险，对于收集者是否会存储主体的面部信息、是否会将信息共享，信息是存储在移动介质中还是网络中、存储时间有多久、数据库是否安全，如果发生信息泄露信息主体将享有哪些权利等关键性问题根本不了解。形式上的“知情同意”实际上侵犯了自然人的信息自决权，因为“在缺少对自己所提供的信息的必要认识的基础上所做的选择，并非个人之真正选择，而这种选择的效力也实在值得怀疑”[5]91。收集未成年人的面部识别信息更应慎重，不仅需要获取其监护人的同意，还应确保监护人是在了解风险与权利之后做出的同意决定。瑞典一所学校收集学生面部识别特征进行自动化课程登记后被处以200,000 瑞典克朗（约人民币15 万元）的罚款，数据保护机构认为监护人与校方的地位不对等，家长可能迫于压力才做出同意决定。根据欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）规定，在信息权人非自愿情形下取得的同意不能作为个人数据处理合法化的依据[16]。

2.2 人脸识别信息处理阶段的侵权行为

人脸识别技术中的信息处理行为包括对收集的人脸信息进行编辑、对比和存储。人脸信息作为身份信息的一种，兼具社会性与隐蔽性，公务机关在运用人脸识别技术进行执法时如果没能平衡隐私利益与公共利益，就会在信息处理中侵犯到隐私利益，诱发非法公开个人信息与数据泄露事件。

与可更换的数字密码不同，脸部特征是每个人与生俱来的生理特征，具有唯一性。但人脸识别信息处理要通过电子形式进行，而网络传播又加大了信息扩散的不可控性。一旦人脸识别信息被泄露，不仅会给主体的信息安全、财产安全带来风险，也会增大其身份被盗窃的风险甚至威胁其人身安全。

2.3 人脸识别信息使用阶段的侵权行为

信息使用范围将受到原始收集目的的限制，超出收集目的的信息使用行为属于非法行为[17]。国外学者指出，人脸识别的最终发展前景并不是身份识别，而是通过面部特征信息进行行为预测，相较于数据泄露，这才是更让人害怕的事情。现有技术已经可以通过追踪眼球运动、激素波动情况，检测个体怀孕与否，判断性取向，甚至分析个体罹患抑郁症、自闭症、阿尔兹海默症等疾病的发生概率。倘若不加以规范，未来很可能有雇主将这种技术的预测结果作为录用员工或裁员的标准，引发就业歧视[18]。在BIPA 通过后即出现了一系列“劳动诉讼”：雇主告诉员工收集指纹信息用于签到考勤，但在员工不知情的情况下擅自利用这些信息记录其工作时长。法院判决这种行为违反了BIPA 对于企业使用个人生物识别信息的规定，构成“超出原始目的的使用”，侵害了员工的知情同意权[19]。又如交通管理部门对违章者进行人脸识别，并将违法者的姓名、证件照片等身份信息投放在道路显示屏中播放，就有违《民法总则》第一百一十一条关于“禁止任何组织和个人非法公开他人个人信息”的规定，构成非法公开个人信息的侵权行为。因此，未经信息权人同意，超出收集目的使用面部识别信息的行为也构成对个人信息权益的侵犯，应由侵权责任法进行规制。

3 侵犯个人信息损害认定

具体案件中如何确定“损害”的范围对于认定人脸识别技术侵权与否占据关键地位，关乎受害者能否得到损害赔偿。根据损害类型的不同，可以将个人信息的损害分为财产损害与精神损害。个人生物识别信息属于人格权的客体，其损害后果主要是精神损害。不当利用人脸识别技术会侵犯隐私利益，可能给信息主体带来社会评价降低、信誉受损、被歧视等损害，人脸识别技术的算法偏差性也间接导致了损害的发生。微软和IBM 公司已经承认其人脸识别技术对白人的识别准确度高于有色人种，男性高于女性。谷歌一款人脸识别应用程序曾将一对黑人夫妇的照片标记为“大猩猩”而引发争议[20]。因担心运用人脸识别技术进行执法会导致有色人种遭受不公正对待，亚马逊公司已经暂停美国警方使用其人脸识别技术Rekognition[21]。识别错误也会给受害者的生活、工作造成重大影响，如美国联邦调查局（FBI）在执法中运用人脸识别技术而错误逮捕了华尔街金融才俊导致其失业又失家、误将丢失学生证的学生当成小偷抓捕给其造成心理障碍等[22]。

根据我国《民法典》第一千一百八十三条与《侵权责任法》第二十二条规定，承担精神损害赔偿责任须造成严重精神损害，但法律并未说明何为“严重精神损害”，这实际上只能依靠法官的自由裁量。多数案件中法官都认为侵害个人信息的后果往往较为轻微，导致受害人无法得到救济。杨立新教授指出，以这种“入罪标准化”的刑事思路审判民事案件是错误的，这在一定程度上放纵了个人信息侵权行为的发生，且受害者很难得到救济[23]。有学者进一步提出，人格权受侵犯程度的不同只能影响损害赔偿数额，而不能决定权利人损害赔偿请求权的有无[24]。笔者赞同上述观点。立法者设立精神损害赔偿的最初目的即为保护人格权，但基于侵权法的“填平规则”，为防止该项请求权被过分利用而导致受害者得到多于损害的赔偿，以“严重程度”限制精神赔偿的请求权是不适当的。在个人信息侵权案件中，信息主体遭受的精神损害远超财产损害，此时再对前者规定过高的门槛会影响受害者得到救济，有违人格权保护的立法初衷，因此有必要根据时代的发展适当缓和精神损害的赔偿要件。目前大多数国家和地区在个人信息保护立法中都采用了这一做法，如欧盟GDPR 第82 条规定：“任何因为违反本条例而受到物质或非物质性伤害的人都有权从控制者或数据者那里获得对损害的赔偿。”德国现行的《联邦数据保护法》第83 条第2 款删除了精神损害赔偿需要以“严重侵害人格权”为前提的规定。台湾地区《个人资料保护法》对精神损害的认定不仅没有限制性条件，还直接规定了“每人每一事件新台币五百元以上二万元以下”的赔偿额度，大大增加了信息权人获得精神损害赔偿的可能性[25]。

此外，对于人脸识别技术带来的损害不能全部归入当前我国法律的调整范畴，这会大大影响受害者获得损害赔偿的可能。笔者建议在个人信息立法中扩大“信息损害”的范围，这也是目前绝大多数国家的个人信息立法趋势。如德国《联邦数据保护法》将“歧视、身份窃用或诈骗、金融损失、信誉受损、数据泄密、擅自实施的去匿名化以及显著的经济或社会不利后果”归为新型数据损害类型。印度在2018 年颁布的《个人数据保护法案》中也规定了因数据处理诱发的“伤害”包含“失业、勒索或敲诈、因对数据主体的评估性决策而产生的拒绝或撤回服务、福利及相关利益、因害怕被监视引起的言论或行动限制，以及超出数据主体合理预期的监视”①2018 年印度《个人数据保护法案》第1 章第21 款规定，“数据损害”包括：身体或精神伤害；身份的丧失、扭曲或失窃；财物损失或财产损失；丧失声誉或羞辱；失业；歧视性待遇；勒索或敲诈；源于对数据主体的评估性决策而产生的拒绝或撤回服务、福利或相关利益；因害怕被监视引起的言论或行为限制；不符合数据主体预期的观察或监视。。

4 因果关系判断标准

理论界存在因果关系“条件说”与“原因说”两大理论，后者又分为“必然因果关系说”与“相当因果关系说”，目前学界通说接受“相当因果关系说”。在个人信息侵权案件中，因果关系的证明往往困难重重。一方面，信息主体无法确定行为人的范围，难以证明存在“事实上的因果关系”。随着生物识别技术的普及，越来越多的主体将会参与信息处理的过程，每个能接触生物识别信息的主体都有侵权的可能，网络传播会扩大信息侵权者的范围，加大受害者的证明难度。如行为人在便利店、公司、地铁站与居住区都被进行了人脸识别，随后信息被泄露。其中便利店、公司均未将信息进行加密就上传到网络，地铁站和居住区将收集到的信息共享给了公安局，此时各个接触过权利人人脸识别信息的主体都可能成为潜在的侵权人，但受害者无法得知是在哪儿发生了信息泄露，也不清楚信息收集者、处理者之间的分工协作关系，是应该对他们按照共同侵权提起诉讼，还是只起诉公司、便利店，保留对居住区和地铁站的追诉权？如果其中涉及黑客攻击数据库等介入因素，受害者是否应先就收集者是否尽到注意义务、信息泄露在多大程度上可归责于信息处理者或黑客进行评估，再决定起诉哪个或哪几个主体？这样的因果关系很难理清[26]。另一方面，法律对于信息侵权的损害没有规定，不利于法官判断是否存在“法律上的因果关系”。法律的缺位将导致法院认定“数据泄露、身份盗窃、社会分选与歧视”等损害与侵权行为之间的联系过于遥远而否认因果关系，导致受害者无法得到救济。

针对这一问题，有两种解决方案:其一，根据信息处理者掌握的被泄露信息的范围、程度、保护措施，根据信息处理者是否履行管理义务、是否存在信息泄露历史，以及其他主体接触信息的可能性等因素判断是否存在“事实因果关系”[27]。其二，在有多个可能的信息侵权人情形中引入因果关系推定规则。相对于信息主体，信息处理者拥有更强的能力并可以更低的成本证明其行为与信息损害后果之间有无因果关系，倘若无法证明则可推定事实上的因果关系成立，这符合“享受利益者承担风险”的法理，也能够激励信息处理者尽到合理注意义务，降低信息泄露风险[28]。

5 过错评价与归责原则

在主观过错理论中，过错包括故意和过失，是对行为人主观心理状态的评价。主观过错理论发展于19 世纪，进入20 世纪后逐渐显现出弊端：一方面，损害的发生可能是技术不成熟所致，加害人自身难以预见；另一方面，受害人知识能力有限，难以证明侵权人存在过错。此时在德国与英美法系国家先后出现了“客观过失理论”，即采用客观化标准判断过错，这个要求为行为人确立了相应的行为准则。美国将信息行业的自律规范上升为法律标准作为注意义务的来源，欧盟GDPR 对企业和国家机关规定了相应的信息处理注意义务，我国全国人大常委会发布的《关于加强网络信息保护的决定》也规定了企业收集、使用个人信息的规则，这都可以作为信息企业注意义务的来源，对于确定企业“过错”具有指导意义②美国《儿童在线隐私保护规则》第10 部分详细规定了“安全港待遇”，这是全球第一次以立法形式确认行业自律的法律效力。欧盟《通用数据保护条例》规定信息控制者、处理者包括自然人、法人、公共机构、行政机关和其他非法人组织。。相对于GDPR，我国现行法律对于政府机关、社会公共部门等大量掌握个人信息部门的关注严重不足，导致公务机关侵害个人信息的责任难以被追究[29]。所以，有必要在法律上为所有信息处理者规定行为准则[30]347。这一方面有赖于信息行业制定灵活的行业规范，另一方面也可以通过不同的归责原则来解决。

由于个人信息侵权的主体具有复杂性，学界通说观点采用“多元归责原则”，但对于划分标准学者之间存在不同的看法。一为邓佑文教授为代表的“主体说”，该学说认为应根据信息收集的主体是否为公务机关采用二元归责原则，公务机关适用无过错责任，非公务机关适用过错推定责任。二为学者陈吉栋为代表的“技术说”，该学说认为应根据主体是否采用自动化处理技术适用二元归责原则。单从信息处理能力上来看，公务机关未必强于非公务机关，因此对所有采取自动化处理的主体应一视同仁，要求其承担相当的义务①根据美国商务部2018 年底的报告，排名全球前四的人脸算法技术均为中国公司持有。中国对这一技术的应用广泛而迅速，其应用规模世界第一，积累数据世界第一。。三为叶名怡教授为代表的“综合说”，该学说在“主体说”“技术说”的基础上发展而来。一方面，叶教授赞同“相对于行为主体，是否采用大数据技术才是归责的关键”；另一方面，其也认为“政府是最大的数据掌控者，个体在财力、技术、举证和诉讼能力上都无法与之抗衡”，对于政府机关采用自动化技术处理个人数据的行为应尤为谨慎。在此基础上他提出了个人信息侵权的“三元归责原则体系”：第一，判断信息管理者是否采用自动化处理系统，若未采用自动化处理技术则一般过错原则即可调整，并根据《侵权责任法》第六条与《民法总则》第一百一十一条规定，由信息权人证明处理者存在过错。第二，在采用自动化处理技术的前提下，判断数据处理者是否为公务机关，若处理者为非公务机关则适用过错推定责任。第三，若采用自动化处理技术的信息管理者是公务机关，则适用无过错责任。笔者更同意“综合说”的观点。首先，应在技术层面上区分责任。采用自动化数据处理技术收集人脸数据的行为给信息主体带来了信息泄露风险，信息控制者也有能力控制风险，因此采用自动化技术的数据管理者应作为“危险开启者”承担责任。其次，应在主体层面区分责任。基于对公权力机关的天然信任，国民对于政府运用人脸识别技术、采集个人生物识别信息的行为多持开放态度，难以认识到信息泄露的风险。公务机关使用人脸识别技术的场景多为“强制应用”，但出于对国家公权的敬畏心理，国民对于政府采集身份识别信息的行为很难说“不”，即使发生损害也很少去寻求救济②为了防止政府控制个人隐私，美国旧金山市成为世界上首个禁止政府机关购买或使用人脸识别技术的城市，欧盟委员宣布将在三到五年内禁止在公共场所使用人脸识别技术。。从目前世界各国针对人脸识别技术的立法来看，多数法案都致力于规范政府机关收集、处理个人生物识别信息的行为。相对于非公务机关，法律有必要对公务机关采用更严格的归责原则，从反面促使其在个人生物识别信息管理中尽到更高水平的注意义务。而对于非公务机关使用人脸识别技术的行为民众多持谨慎态度，但由于信息的匮乏和法律的欠缺，受害者仍难以证明侵权人存在过错，采取“无过错责任”则会加重企业的负担。此时更宜采用“过错推定”将举证责任划分给信息收集者，以减轻受害者的证明责任，倘若信息收集者没有过错则不用负责，这也在一定程度上降低了企业的风险。

6 结语

人脸识别等生物识别技术赋予个人生物特征以识别属性，使其成为链接个体社会身份的源代码。信息科技日新月异，不仅为我们的人身、财产安全带来不可预知的风险，也给个人信息权利保护带来新的挑战，立法者有必要及时做出回应：明确个人信息的权利属性，从侵权法的角度加强对个人信息权的保护——将信誉受损、社会分选与歧视等新型损害纳入赔偿范围、取消精神损害赔偿的程度要件。法官宜采用因果关系推定原则，以高度盖然性降低受害者对事实因果关系的证明难度；采用客观过失理论，将行业注意义务作为过错的判断标准；根据信息处理的主体与技术手段，将侵权责任归责原则进行场景化区分。在生物识别技术推广之前应筑好信息权利保护的围墙，这是平衡个人权利与公共利益、让科技真正造福人类的关键。