妥英军，马琳洁

（1.甘肃省科学技术情报研究所，甘肃 兰州 730000；2.广东财经大学法学院，广东 广州 510320）

2021 年4 月9 日，“郭兵与杭州野生动物世界案”二审公开宣判，二审在原判决删除郭兵办卡时提交的包括照片在内的面部识别信息的基础上，增判野生动物世界删除郭兵办理指纹年卡时提交的指纹识别信息。此次“人脸识别第一案”，将近年来逐渐出现在大众视野中的人脸识别技术的应用问题引发了人们的思考。虽然，我国民法典已将生物识别信息纳入人格权编，但并未直接规定对于生物识别信息的保护。由于法律规定的不明确，人脸识别第一案中只能依据《消费者权益保护法》中的合法、正当、必要的原则进行审判，同时也加剧了司法裁判的难度。如何让公众拥有个人生物识别信息采纳的选择权，以及对于个人生物识别信息的收集主体、应用场景、监管机制等，都是在应用个人生物识别技术时必须要考虑的[1-2]。

1 个人生物识别信息概述

1.1 个人生物识别信息的概念

关于生物识别信息的概念，至今为止国内外并无准确定论。维基百科中对于“生物识别技术”（biometrics）的定义为：“是指用数理统计方法对生物进行分析，现在多指对生物体本身的生物特征来区分生物体个体的计算器技术。”列举了研究领域主要包括：“声音、脸、指纹、掌纹、虹膜、视网膜、体型、个人习惯（例如敲击键盘的力度和频率、签字）等。”在我国现行法的条文中，也有着“生物识别信息”的表述，其中列举了“肖像、指纹、视网膜、声音等”，但立法中并无对于生物识别信息的准确定义[3]。

《生物识别信息的保护要求》（征求意见稿）中提出，目前属于我国国家技术规范范围内规定的“生物识别信息”包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征七种。根据个人生物识别信息需经过技术处理的特点，结合上述，文章所指“个人生物识别信息”可归纳为：个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等基于人类生物属性的独特生理、行为特征，经过特定技术处理后，用于识别个人的信息。

1.2 个人生物识别信息的特征

个人生物识别信息首先具有个人信息的一般特征，但又并不与“姓名”等个人信息性质相同。（1）特定技术处理性。个人生物识别信息是经过技术处理的，具有“特定技术处理性”，如果不经处理，指纹、肖像等仅仅只是依附于身体的实体存在，而并不能认定为是个人信息。只有在特定技术处理后，个人生物识别信息才存在采用、储存等问题。（2）易采集性。日常生活中用摄像头即可实时采集面部信息，而无需配合。由于其隐蔽性强，非常适用于安保、罪犯监控与抓逃。而个人基因、声纹等生物识别信息同样可以被秘密收集。（3）唯一性。个人生物识别信息由于人类身体与生俱来的独一性，具有“唯一性”的特征。这一特征使得个人生物识别信息能够精准确定到某个个体，除去手术等其他外界因素，是唯一的，不可替换的。（4）不可变性。个人生物识别信息还具有“不可变性”，比起其他个人信息，包括“姓名、电话”等，在受到损害后可以进行改变。但对于人类而言个人基因、指纹、面部等通常情况下不会发生变化，包括手术等其他外界因素进行整容、改变虹膜等，都存在改变后不可逆的性质。个人生物识别信息还包括“非接触性”“不易察觉性”等特征[4-6]。

1.3 个人生物识别信息保护的重要性

首先，由于个人生物识别信息所具有的唯一性和不可变性的特征，如不对个人生物识别信息进行保护和技术监管，将对个人信息安全以及国家公共安全带来不可逆的危害。如近期上海检方公诉的一起涉案金额超5 亿元的虚开发票案，犯罪嫌疑人就通过人脸识别破解术，从他处以30 元每个的价格购买他人的高清头像和身份证信息，之后利用“活照片”APP 对高清头像进行处理，让照片“动起来”，形成包括点头、摇头、眨眼、张嘴等动作视频。从事虚开发票、注册新账号骗取各类APP 补贴优惠等违法犯罪。其次，对于个人生物识别信息的保护有利于限制国家滥用权力，损害公民权利。在公权力为维护国家安全及社会稳定的基础上，对于公民个人生物识别信息进行采纳，但此权力并非毫无边界。如同刑事诉讼法中的技术侦查措施，个人生物信息识别技术还需要严格的法定程序和条件进行规制。实现公权力与个人权利的平衡。最后，随着个人生物识别信息在政务、国防、生活支付等行业的广泛应用，其前景十分广阔。对于个人生物识别信息保护有利于个人生物信息识别技术的稳步推进，加强监管与控制后，将其应用于必要的场合，可以在多领域发挥良性作用。

2 个人生物识别信息所面临的法律挑战

2.1 生物信息识别技术尚不成熟

由于目前法律对于生物识别信息的采集未明确规定，政府、社区、公司等均可以安装如人脸识别等个人生物信息识别技术。而生物识别信息的采集精确性和储存安全性都存在着隐患。

面部识别包括脸部图像采集、脸部定位、脸部辨识预处理、身分确认以及身分寻找等；而狭义的脸部辨识特指通过脸部进行身分确认或者身分寻找的技术或系统。基于面部辨识技术目前还不能十分精确、缺乏既定道德标准、有侵入性，以及政府很容易滥用这项技术。因此，在美国已有旧金山、麻省萨默维尔、奥克兰等三个城市禁止公共场所使用面部辨识。美国国家标准技术研究所(NIST)的一项研究表明，不同开发者算法也并不相同。目前，商用人脸识别技术还不成熟，女性、年轻人和部分人种群体的识别失误率较高。

对于生物识别信息的存储技术也同样存在着问题。大数据时代下，生物信息识别技术的使用者对于信息储存的安全问题并不重视，储存技术的不完善导致大量公民信息的泄漏和窃取。有调查显示，在淘宝等平台上就有贩卖人脸数据的店铺，标价0.5 元一份。公安部发布数据显示，2020 年破获窃取、贩卖人脸数据案件22 起，抓获犯罪嫌疑人60名。可见，对于生物识别信息的采集和储存都存在着安全隐患，生物信息识别技术有待完善。

2.2 监管主体缺失

目前在我国现行法中，并未对于生物识别信息的审批监管机构作出明确规定，实践中也缺乏对于个人生物识别信息保护和监管的机构。在之前走红的ZAO 融合生成换脸手机应用中，其软件用户协议规定，肖像权利人同意授权给该公司及其关联公司，并可免费使用和修改。针对媒体和公众的曝光，工业和信息化部网络安全管理局仅对该公司进行了问询、约谈、整改。2020 年11 月，“戴头盔看房”售楼处人脸识别分流客户事件曝光后，南京市相关部门发布通知，拆除当地售楼处人脸识别系统。但“相关部门”为何部门，由谁监管，并未说明。相似的事件发生在浙江，2021 年5 月两起售楼处擅自使用人脸识别技术案件，浙江当地市场监管部门依据《消费者权益保护法》等规定，处以万元罚款。在近日广东发布的《广东省社会信用条例》中规定，对于有采集禁止采集的个人信息或未经同意采集个人信息的行为，由“县级以上人民政府社会信用主管部门”或“法律法规规定的部门”责令整改。总之，法律和实践中并无对于个人生物信息识别技术的审批、保护和监管的统一专门机构，使得市场得以随意采集和使用。

2.3 总体立法存在疏漏

目前，我国法律对于生物识别信息的保护，总体上还存在着许多空白和疏漏。在“郭兵案”和浙江售楼处擅自使用人脸识别技术的案件中，都是依据《消费者权益保护法》中的原则性规定。而对于公民的个人生物识别信息的定义以及享有的权利，并无规定，特别是公民对于个人信息的同意权尚未在法律中受到重视和保护。虽然，去年以来，我国出台了许多相关规定。如《信息安全技术个人信息安全规范》《个人信息保护法（草案）》征求意见稿的发布，以及部分省出台的相关条例，可以看出我国针对个人生物识别信息的相关法律并不健全，且对于公权力收集个人信息并无限制。个人生物识别信息作为一种特殊的个人信息，与公民的隐私权、财产权、基本人权都有着重要的关系。所以，个人生物识别信息需要多部门法律，如民法、刑法、行政法或专门性保护法律等进行具有强制执行性的保护。对于个人生物识别信息的法律属性进行明晰，法定明确审批监管部门，建立对于生物识别信息保护的法律体系，才能防止个人生物识别信息的任意采集、滥用和贩卖，在发生此类事件时有法可依。

3 个人生物识别信息法律保护路径

3.1 完善个人生物识别信息立法保护

采用专门立法保护模式。目前各国对于生物识别信息保护的立法模式可大致分为专门立法保护模式，如美国伊利诺伊州、德克萨斯州、马萨诸塞州等地区制定或正在制定出台的生物识别信息隐私法案。由于我国目前尚无全面的个人生物识别信息保护的法律制度，个人生物识别信息又有特殊的性质和广阔的发展前景，应采取制定专门的《个人生物识别信息保护法》，结合目前出台的国家标准《人脸识别数据安全要求》征求意见稿等，健全和细化规定其法律性质、使用范围、数据保存期限、审批流程、监督机构的义务和责任以及损害后救济等，还可以细化政企分离的差异化制度。作为特殊法，遵循上位法的基本原则，形成多层级的法律保护机制。

衔接上位法，形成法律规范体系。在目前我国尚未出台对于个人生物识别信息的全面规定和专门的个人生物识别信息保护法，应当发挥现有法律作用，在民法、刑法、行政法中制定相应规定进行衔接。在民法中确定个人生物识别信息的人身性和财产性，明确个人对于自身生物识别信息的同意权和删除权等基本权利，并制定相应的法律救济规定。在刑法中制定过度使用、滥用、泄露和贩卖等，不正当使用个人生物识别信息的罪名以及相应的刑罚。在行政法中规定设立专门的审批和监督机关，未经审批不得安装个人生物信息识别技术，在公权力或其他组织滥用权力时可以向监督机关进行举报。三大基本法与专门法相结合，以完善个人生物识别信息的法律保护体系，弥补目前存在的法律空白。

3.2 建立专门的行政审批监管部门

在目前发生的案件中，我国工信部、市场监督管理局、网信办等都对个人生物信息识别技术的管制承担了一定的监管职责，但管制范围和权责并无明确的规定，存在多头管理或无人管理的现状。在个人生物信息识别技术飞速发展的情况下，此种监管方式已无法适应，需建立专门的个人生物识别信息的行政审批监管部门。美国、欧盟、印度等都在法律或法案中确定了行政监督机构，以监督个人生物识别信息的法律法规、行政救济及对于主体的审查登记进行严格监管。

4 结语

大数据时代背景下，个人生物识别信息的发展对于公民、社会和国家都具有着重要的意义。个人生物信息识别技术会愈来愈成熟，虹膜、声纹等在未来的科技发展中也会运用更广。如何实现“科技向善”，保护公民个人信息是我国以及其他国家都面临的最大挑战。我国目前正在积极出台相关政策和法规，通过借鉴域外立法经验，结合我国国情，在制定专门立法的同时结合上位法，形成完善的个人生物识别信息法律保护体系，定会实现规制个人生物信息识别技术、保障个人生物识别信息与国家安全利益、社会经济发展之间的平衡。