陈东强

引 言

党的十八大以来，以习近平总书记为核心的党中央重视互联网、发展互联网、治理互联网，全面促进实施大数据发展行动，推动我国网信事业取得历史性成就，走在世界前列。为促进我国由网络大国迈入网络强国，实现网络信息技术的高质量发展，维护网络和信息安全、增进人民福祉，需要加大个人信息保护力度，严厉打击侵犯公民个人隐私等违法犯罪行为，同时畅通对侵权人民事责任的追究路径，增加违法成本，实现对个人信息侵权行为的多层治理。消费者生物识别信息保护是个人信息保护的重要领域，在大数据经济快速发展的时代背景下，基于消费者生物识别信息的性质及特点，应当合理把握保护与共享的平衡，准确处理民事公益诉讼与刑事诉讼、私益诉讼、行政管理及诉讼等方面关系，畅通消费民事公益诉讼路径，促进个人信息保护治理体系的进一步完善。

当前，个人信息尤其是以“人脸识别”为代表的生物识别信息保护，已经成为信息化发展面临的突出问题。从司法角度来分析，在加大对侵犯个人信息违法犯罪行为的打击力度、促进行政机关加强行政管理的同时，也应当注意到，在民事审判领域，消费者个人私益诉讼成本高、维权难的问题突出。为维护众多消费者权益和社会公共利益，促进消费民事公益诉讼对个人生物识别信息保护的有效介入是一项可行选择。

一、当前个人生物识别信息保护的现状

（一）以“人脸识别”为代表的生物识别技术广泛应用

根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（法释〔2021〕15号）（以下简称《使用人脸识别技术处理个人信息民事案件规定》）第1条规定，人脸信息属于《民法典》第1034条规定的“生物识别信息”。人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。在当前社会生活中，人脸信息作为个人独有的生物识别信息，被广泛应用到公民的身份识别中，主要包括以下几个方面：

1.社会管理。用人脸识别技术进行闯红灯抓拍比对，有效减少行人闯红灯行为的发生。对于线上纳税申报、交通违法处理等事项，通过人脸信息进行核对识别。2.安防领域。在重要路段、地点安装相应设备，通过人脸识别技术的应用，及时准确查找犯罪及治安违法行为线索，提高破案率。3.公共出行。高铁站、机场、银行、电信、宾馆等公共服务领域广泛应用人脸识别技术，提高识别效率。4.门禁通行。单位、学校、小区等，通过安装人脸识别系统，简化了对人员出入的管理方式。5.疫情防控。受新冠肺炎疫情影响，各地采取积极应对措施，对人员跨域出行，进入医院、商场、宾馆等场所进行识别。6.消费领域。一些经营者通过人脸识别生物识别系统，识别消费者个人信息，为消费者提供更加便捷高效的服务，也从中获取商业利益。

（二）配套规制措施相对缺位

2021年央视3·15晚会曝光诸多侵害消费者权益的案件线索，个人生物识别信息的侵权程度和规模可谓触目惊心。国家市场监督管理总局组织案件线索涉及的相关地区市场监管部门，依法依规进行从快查处，但对于经营者收集、泄露、窃取个人信息问题，没有公布明确的查处意见。对于商家未经消费者同意收集人脸识别信息、招聘网站涉嫌泄露求职者信息、手机清理类软件窃取个人信息等案件线索，国家市场监督管理总局在情况通报中表述为：相关地区市场监管部门全力配合公安、网信、工信等部门做好查处工作，形成执法合力。从概括性的情况通报中，无从得知针对此类案件，各行政部门之间的职责分工与权限配置。

（三）消费者私益诉讼的弱势

在保护生物识别信息方面，消费者个人私益诉讼在同其他消费者诉讼一样呈现出小额、多数、诉讼成本高等特点之外，还存在着侵权主体难寻、证据难以收集、损失数额难以确定、知情同意原则认定存在争议、侵权后果难以消除等一系列难题，使消费者缺乏提起诉讼的动力。在大量的侵权行为面前，即使对于明显存在的侵权行为，也鲜有消费者提起诉讼。

例如，浙江省杭州中院于2021年4月9日，作出“人脸识别第一案”的终审判决。基本案情为：2019年4月，郭兵夫妇支付1360元购买杭州野生动物世界有限公司（以下简称野生动物世界）双人游年卡，确定入园方式为指纹识别。后要求激活人脸识别系统，否则无法入园，引发诉讼。最终判决野生动物世界赔偿郭兵合同利益损失及交通费共计1038元，删除郭兵办理指纹年卡提交的包括照片在内的面部特征信息等。①参见李保锦：《从“人脸识别第一案”看个人信息保护》，载《江苏经济报》2021年4月28日，第B03版。在社会舆论的高度关注下，原告郭兵的部分诉讼请求获得支持，但赔偿数额1038元的结果，显然远远不足以支付诉讼成本，起不到支持个人私益诉讼，维护自身合法权益的效果，对于案涉侵权行为也起不到遏制作用。更何况，原告郭兵还是浙江理工大学特聘副教授，研究个人信息保护的法律问题多年，对于一般的消费者而言尚不具有充分的代表意义。②参见韩沁珂：《人脸识别第一案原告郭兵：个体在个人信息保护方面非常脆弱》，载新浪网2021年4月12日，https://news.sina.com.cn/c/2021-04-12/doc-ikmxzfmk6429763.shtml。消费者个人私益诉讼的程序和实体设置，尚不能起到保护广大消费者生物识别信息的作用。

（四）相关法律规定不断出台

《民法典》第1034条将生物识别信息列入个人信息的范围，在此基础上，《个人信息保护法》第28条对敏感个人信息的范围进行了明确，把生物识别信息列为敏感个人信息。该条还明确，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。在《民事诉讼法》第55条、《消费者权益保护法》第47条规定人民检察院和省级以上消费者协会具备消费公益诉讼原告资格的基础上，《个人信息保护法》第70条还明确规定了“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”。《使用人脸识别技术处理个人信息民事案件规定》第14条规定：“信息处理者处理人脸信息的行为符合《民事诉讼法》第五十五条、《消费者权益保护法》第四十七条或者其他法律关于民事公益诉讼的相关规定，法律规定的机关和有关组织提起民事公益诉讼的，人民法院应予受理。”从法律和司法解释的层面上，对消费民事公益诉讼介入个人生物识别信息保护作出了设定。

（五）消费民事公益诉讼相关案件的主要特点

笔者于2021年5月21日在中国裁判文书网搜索“消费、公益诉讼、个人信息”，结果有90篇裁判文书，经筛查涉及消费者公益诉讼和信息保护的文书为55篇，其中包括个人敏感信息的内容，但是对于生物信息保护尚未出现专门的消费民事公益诉讼。人民检察院提起的相关公益保护措施，主要在督促行政机关或者经营者整改方面进行，尽管取得一定程度的进展，①参见《最高检发布检察机关个人信息保护公益诉讼典型案例》，载新华网2021年4月22日，http://www.xinhuanet.com/legal/2021-04-22/c-1211122982.htm。但消费者生物识别信息保护的体系尚未规范运行。现就相关情况分析如下：

1.案件数量整体较少。面对现实社会生活中大量存在的个人信息侵权行为，涉及消费民事公益诉讼的有效案例仅为55件，其中刑事附带民事案件53件，民事案件2件，绝大部分案件属于刑事附带民事案件，是在刑事案件中进行处理，刑事案件53件中当事人全部被追究刑事责任。

2.诉讼主体以基层检察院为主。提起诉讼的起诉主体中，基层检察院占53件，市级检察院1件，消费保护组织1件。

3.涉及个人敏感信息的约占四成。根据判决书载明的内容，涉及公民照片、身份证、银行卡等敏感信息的21件；不涉及上述敏感信息的31件；另外有3件涉及未成年人信息。案件处理中，没有区分是否属于敏感信息，作为直接判断刑事及民事责任承担的分析说理。

4.判决赔礼道歉比较普遍。进行实体处理的54件案件中，全部判决了赔礼道歉，其中反映了在民事公益诉讼中对于侵权者的行为负面评价，对于个人信息受到侵害的精神慰藉，成为一个必然选择。

5.近半数案件判决赔偿损失。53件刑事附带民事案件中，侵权者全部被追究刑事责任并判处罚金。在此基础上，判决赔偿损失的26件，未判决赔偿损失的27件。由于绝大部分为刑事程序，未判决赔偿损失但判决没收违法所得的3件，同时判决没收违法所得和赔偿损失的2件。

二、个人生物识别信息保护的比较研究

（一）域外主要立法倾向

从整体上来讲，面对信息技术发展给个人信息与隐私权保护带来的问题，域外的做法与思路主要是坚持运用既有的法律工具与权利保障工具予以解决。在信息化发展的大潮中，对于个人信息数据的保护立法进行了积极探索。①诸如1973年瑞典《数据法》、1974年美国《隐私法》、1977年德国《联邦个人数据保护法》、1984年英国《数据保护法》，1980年经合组织（OECD）《隐私保护与个人数据跨境流通指南》、1981年欧洲委员会《关于自动处理个人数据的个人保护公约》、1995年欧洲议会和欧盟理事会《关于涉及个人数据处理中的个人保护以及此类数据自由流动的指令》、2004亚太经合组织《APEC隐私框架》、2013年OECD《隐私框架》、2018年欧洲委员会《修订自动数据处理个人保护公约议定书》、2005年日本《个人信息保护法》、2006年俄罗斯《个人数据保护法》、2011年韩国《个人信息保护法》、2012年新加坡《个人数据保护法》、2018年巴西《个人数据保护法》，等等。与一般的国内立法不同的是，由于数据流通的国际化，对于个人信息保护的立法呈现出国际化的倾向。立法主要依据是联合国《世界人权宣言》及《联合国公民权利与政治权利国际公约》中关于隐私权的保护条款。②参见程雷：《大数据背景下的秘密监控与公民个人信息保护》，载《法学论坛》2021年第3期。这种保护模式在案件裁判中得以充分体现。如2019年5月英国南威尔士公民爱德华·布里斯奇在英国知名人权组织的支持下，以午餐时间被人脸识别摄像头拍摄并被侵犯人格权利为由，将南威尔士警方告上法庭。2020年8月，上诉法院最终支持原告诉求，认为公共监控中使用人脸识别侵犯公民隐私权。随后，当地人权组织将人脸识别技术称为“具有威胁性的危险技术”，并呼吁禁止在公共领域使用该技术。在美国，脸书公司则因未经用户同意而收集、存储个人生物识别信息面临集体诉讼。在最新的动议中，脸书公司除赔偿6.5亿美元，还应在动议获批后的180天内关闭当地人脸识别“照片标签”功能，同时删除数据库中存储的人脸图像及人脸生物识别符模板信息。③参见石佳友、刘思齐：《人脸识别技术中的个人信息保护——兼论动态同意模式的建构》，载《财经法学》2021年第2期。

对于生物识别信息的内涵，《通用数据保护条例》第4条第14款将“生物识别数据”定义为“对自然人的物理、生物或行为特征进行特定技术处理后所得到的具备识别性的个人数据”，例如人脸图像或指纹数据。

美国《加利福尼亚州消费者隐私保护法案》将“生物识别信息”定义为个人“生理、生物或行为上的特征”，包括脱氧核糖核酸序列等一切可以单独或结合其他信息识别特定个体的信息。美国《伊利诺伊州生物信息隐私法案》将“生物识别信息”直接概括定义为具有“个人生物识别标识符”的任何信息。由此可见，美国从生物识别信息的定义上趋于囊括尽可能多的生物特征及相关数据，在实践中可以帮助执法者快速判断涉案数据是否属于生物识别数据，从而援引相关的保护性规定。①参见程雷：《大数据背景下的秘密监控与公民个人信息保护》，载《法学论坛》2021年第3期。

（二）欧盟模式

由于存在二战时期纳粹集团战争机器的历史阴影，欧盟最初的个人信息保护立法的宗旨大多为规范国家行为，在现行立法中也多将公民个人信息作为一项基本权利加以体系化保护。在以往欧盟各国多项立法的基础上，2018年5月，欧盟各成员国正式实施《通用数据保护条例》（GDPR），立法逻辑起点为人格权保护，在个人信息保护领域实施标准化、一体化的立法和执法措施。《通用数据保护条例》生效后，Facebook和谷歌等互联网企业即被指控强迫用户同意共享个人数据而面临巨额罚款，并被推上舆论关注的风口浪尖。《通用数据保护条例》专章规定了数据主体权利，包括信息透明度和信息机制、数据访问权、数据主体的修正权和删除权即“被遗忘权”、限制处理权、反对权、拒绝权和自主决定权、知晓黑客入侵权等，建立了个人信息权利保护的公益诉讼制度，规定数据主体为了自身利益，有权委托非营利组织行使救济权利。同时，欧盟也倾向于通过争夺数据规则制定的主动权，推动欧盟单一数字市场建设。2020年12月15日，欧盟公布了《数字服务法》和《数字市场法》的草案，旨在加强对数字平台企业的治理，保护用户权益，构建安全的网络空间，遏制大型平台企业的垄断，创造公平竞争环境监管。②参见沈红雨：《大数据流动背景下个人信息保护法律制度的挑战与对策——基于比较法的视角》，载《中国应用法学》2021年第2期。

（三）美国模式

美国个人信息保护的立法，呈现出对政府权力的一般限制、市场自我规制和特定行业、敏感信息重点保护的立法模式，区分金融、健康、未成年人等不同情形进行保护。③参见美国联邦《隐私法》《金融服务现代化法》《家庭教育权利与隐私法》《健康保险可携带性和责任法案》《儿童在线隐私保护法》《驾驶者隐私保护法》《视频隐私保护法》等。由于美国联邦及各州涉及个人信息和隐私保护的法律过于多样化，因此很难充分概括美国立法的全貌。美国在联邦层面目前没有针对个人信息和隐私保护的专门性法律规范。对于个人信息和隐私的保护，美国采用的依靠行业立法、监管和行业自律相结合的行业监管方式。④参见韩晗、林野丽：《十二国/地区个人信息保护与企业数据合规制度概述——美国篇》，载知乎网2020年7月21日，https://zhuanlan.zhihu.com/p/162258086。2020年9月，美国伊利诺伊州斯普林菲尔德市发布市政令，暂停人脸识别在公开政务中的使用。加利福尼亚州、马萨诸塞州、俄勒冈州等州所属的10个城市亦相继发布市政令，直接禁止包括警察部门在内的政府机构在辖区内公共场合使用人脸识别技术。对于消费者个人信息的保护，2020年1月1日，美国加利福尼亚州《消费者隐私法》生效，所有的加州居民均被列为消费者保护的范围，除小微企业和一般自然人的信息收集与处理活动外，规定了消费者享有的信息披露请求权、信息删除请求权、禁止企业出售个人信息的权利、赔偿诉讼请求权等，提高了美国保护隐私的标准，平台化精准营销的互联网商业模式将受到一定程度的制约。

三、个人生物识别信息保护类型的差别化分析

（一）关于生物识别信息保护与疫情防控

我们正处于新冠疫情防控的重要时期，疫情的发展涉及国家社会和公共安全，涉及人民群众的生命健康安全，因此，公民生物识别信息的收集、行动轨迹的识别，在适度的范围内是应当得到允许的。一种观点认为，因为在我国《民法典》中生命权、健康权、身体权优先，隐私权虽然也很重要，但在隐私权和生命权发生冲突时，比如采取扫“健康码”、人脸识别这些措施，是为了优先保护生命权不得已付出的代价。①参见王利明：《民法典顺应良法善治新期待》，载《网络传播》2020年第8期。在此情形下，对于个人信息的收集和处置，应当进行让渡。另一种观点认为，即便是疫情防控需要，对个人生物识别信息的保护也应当限于合理的存储、利用，不应无限度的利用、共享甚至是侵犯。

（二）关于生物识别信息保护与安全

《数据安全法》第35条规定：“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。”由于许多公开获取公民信息的媒介所储存的大数据也被应用到刑事司法、情报信息与国家安全领域，由此产生了“用隐私换安全”的现实做法和思维基调，形成了隐私和安全边界与冲突的考量。一种观点认为，公民让渡出部分个人信息由政府加以利用，以获得更为安全、稳定的生活状态以及更为正当、文明的刑事司法程序。这种交易理论是个人信息及隐私权的让渡正当性的一个有力推定。另一种观点认为，从人类信息保护的发展历史来看，对公民信息自由与安全的最大威胁莫过于政府，政府对于公民权利的侵犯和滥用曾经导致很多灾难性的历史事件。②参见程雷：《大数据背景下的秘密监控与公民个人信息保护》，载《法学论坛》2021年第3期。因此，所谓的以“隐私换安全”远远没有解读者的云淡风轻和义正词严。这种让渡程度如何界定，交易是否应由公民认可，应当属于公民基本权利的内容。这种让渡中政府监控如何受正当程序的制约，如何设定监管，公民生物识别信息的公开、保存、利用、处置是否应纳入行政诉讼的范畴，值得进一步研究。

（三）关于生物识别信息保护与共享

排除前述两个问题涵盖的内容，这里的共享，仅指以经济发展为目的的信息共享。对于公民个人信息隐私权与共享之间的关系问题，一种观点认为，大数据时代的显著特征在于数据的开发与再次利用在很大程度上依赖于数据共享，数据共享能实现数据资源的重复利用，降低数据收集成本，实现同类数据社会效益的最大化。①参见王利明：《数据共享与个人信息保护》，载《现代法学》2019年第1期。可以说没有数据共享，大数据的优势就难以体现。因此，为促进我国大数据产业快速发展和赶超，应当尽最大幅度地实现信息的共享，这也是我们大数据产业发展的一个基础和特色。另一种观点认为，经营者在收集消费者生物识别信息时，如果侵犯了消费者的知情权，不适当的进行存储、利用，对于消费者造成的损害是不可估量的。这里需要区分的是，基于公共安全目的的信息收集、保存、利用与商业目的的信息处理尽管存在一定的联系，但由于信息的持有者和利用者同公权力机关的性质不同，与消费者之间属于平等主体的民事法律关系，对其通过大数据发展实现的经济利益应当至少和公民权益在同一纬度上进行衡量，而不宜以大数据发展为名，过分损害公民的合法权益。

（四）关于生物识别信息保护与物业管理

一种观点认为，对于物业小区设置的个人生物信息识别系统，如进入小区刷脸等，反映了现代化管理的需求，为提高物业管理准确程度和效率，业主应当服从物业安排，提供生物识别信息。另一种观点认为，即便是小区业主的公共管理也不必然产生要求业主提供个人生物识别信息的权利，物业公司在未经业主许可的情形下处理个人敏感信息，缺乏法律依据。因此，业主有权拒绝提供，同时物业公司应当给予替代识别措施，便于业主实现同等的行动自由。

（五）关于生物识别信息保护与劳动关系

一种观点认为，对于用人单位在日常管理中收集的个人信息，比如采取人脸识别打卡、门禁等措施，属于用人单位管理制度的内容，一般情形下劳动者无权拒绝。另一种观点认为，用人单位收集劳动者生物识别信息应当以适当为原则，且有安全保存该信息的义务，在劳动关系解除时，劳动者享有请求合理处置该信息的权利。用人单位或者其工作人员违法处置个人信息，应当承担相应法律责任。用人单位处置个人生物识别信息时，应当进行必要的限制，并在双方签订劳动合同中载明，过分侵犯劳动者个人信息权益的条款，应属无效。

（六）关于生物识别信息保护与医疗

健康医疗大数据是国家重要的基础性战略资源，对于身体状况监测、疾病预防和健康趋势分析等都具有积极意义。一种观点认为，理想化的健康医疗大数据是通过能够穿戴的设备或其他终端，对人体健康数据进行持续收集，并给出诊断或康复建议，真正缩减了医疗服务的人、财、物等成本，实现医疗健康数据的全覆盖。另一种观点认为，个人生物识别信息和健康状况的隐私信息能否得到充分保护，直接影响到公共空间和私人空间的界限。在对健康医疗大数据的监管治理模式上，应当通过落实知情同意、无害利用等原则，探寻一条鼓励创新和保护个人隐私的允中之道。①参见刘影、管仲军：《健康医疗大数据共享时代切勿将公众变成“透明人”》，载《光明日报》2020年12月6日，第6版。

四、消费民事公益诉讼进行生物识别信息保护的可行性探析

我国学者对个人信息权属性定位有两种不同的观点:一种观点认为个人信息权是人格权，认为个人信息权与权利人的人格尊严和人格自由紧密相关，但个人信息与隐私权之间存在诸多差别，②参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期。此种观点在民法学界比较普遍;另一种观点认为个人信息权是财产权，个人信息权与权利人的财产利益紧密相关，界定为财产权有利于个人信息权的保护。③参见张融:《个人信息权的私权属性探析——人格权抑或财产权》，载《北京邮电大学学报（社会科学版）》2017年第2期。在此基础上，对于个人信息属于个人所有还是共有，也存在不同认识。有观点认为，个人信息本质上类似于纯公共产品，如阳光、空气等，带有一定的共有财产属性，且具有极大的社会价值。④参见付大学：《个人信息之半公地悲剧与政府监管》，载《首都师范大学学报（社会科学版）》2019年第1期。这种争议观点主要是建立在尚未对个人信息进行分类的情况下展开的，在将个人信息与安全、共享进行分析比对的情境下，包括生物识别信息在内的个人信息，很难具有独立的可深入研究的空间，也将消费者生物识别信息的保护置于困境。因此可以从消费者生物识别信息与一般的个人信息关系和特点进行分析：

（一）消费者生物识别信息将形成社会公共利益新形态

个人信息权不能简单地定位为人格权或财产权，其人格利益和财产利益同等重要。从财产权角度，个人信息是私有和共有之混合，而且共有涉及多数权利人的共有，完全靠自治难以取得成效。在大数据时代，包括消费者生物信息在内的个人信息只有形成规模才具有价值。在严格单一个人权利保护的路径下，个人信息的处理需要征得个人的同意，此种情形下，并不利于个人信息的利用和共享，可能不完全符合个人信息的半公地的性质及特点。众多个人信息形成的大数据，并非被每一位消费者独享，但形成了众多消费者共同组成的数据利益，正在形成一种新型的社会公共利益，这也是网络化背景下新类型纠纷，给类似权利保护路径的完善带来的新命题。

（二）消费者生物识别信息保护与大数据发展不存在冲突

当前，我国法律对于生物识别信息的保护尚未从公民个人信息保护中作出特别规定，而是同其他个人信息一并进行规定和考量。通过前文所述的公民个人生物识别信息技术的应用场景可知，可以对该类信息的处理包含传染疾病预防、安全、共享、社区管理等方面，也就产生了公民个人生物识别信息权益与公共卫生安全、社会治安安全、共享、社区自治、劳动制度等方面的冲突和博弈。但是消费者生物识别信息不同，与之相对立的主要是商业利益，而非公共利益和国家利益。这里存在着个人信息的主体与客体的转换问题，即对于消费者生物识别信息保护领域，公民个人是权利主体而非权利涉及的客体。

（三）个人生物识别信息侵权的不可逆性降低私益诉讼的动因

人格权方面的侵权，损害的结果一旦蔓延之后损害后果无法估计，也不可恢复原状。①参见王利明：《民法典顺应良法善治新期待》，载《网络传播》2020年第8期。消费者生物识别信息被收集尤其转让后，往往难以尽数删除并消除影响，由于涉及个人隐私，开展维权行为可能给消费者造成更大的伤害，因此消费者本人往往不具备遏制侵权行为的合理动机。为制止正在进行的侵权行为，遏制侵权行为的蔓延，需要维护公益的国家机关或社会组织代表受侵害人主张权利，才能对消费者生物识别信息进行适当的司法保护，对侵权行为进行有效约束。

（四）对于消费者生物识别信息的处理应当采取相对严格的管理模式

现实中往往存在侵害不特定众多消费者权益的情形，直接影响到广大人民群众的合法权益，所以应在消费领域为消费者生物识别信息予以特殊的保护。侵犯消费者个人生物识别信息行为是否损害社会公共利益，是对其违法性判断的逻辑起点。②参见王辉、韩荣：《消费者个人信息保护检察民事公益诉讼相关问题探析》，载《中国检察官》2020年第12期。根据《个人信息保护法》第28条规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。为促进消费者个人信息的保护，《消费者权益保护法》《个人信息保护法》《使用人脸识别技术处理个人信息民事案件规定》等法律和司法解释，均明确了消费民事公益诉讼的功能设置。

从前文所述权利冲突的情景分析，经营者收集、利用、共享等处理消费者生物识别信息的过程，往往在消费者不知情的情况进行。即使征询消费者的意见，在收集消费者信息时，也采取消费者无法识别、对抗的方式进行，经营者的行为往往针对不特定的消费者进行。经营者对于收集的信息进行处置时，也会针对众多的消费者。根据我国《民事诉讼法》第55条规定，对侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼。符合《民事诉讼法》规定的公益诉讼提起的条件，可以提起民事公益诉讼。

五、消费民事公益诉讼介入消费者生物识别信息保护的诉讼程序定位

（一）与刑事诉讼

从目前中国裁判文书网上公益诉讼涉及消费者个人信息的案件来看，几乎全部通过刑事附带民事案件进行。在刑事案件中对犯罪行为进行认定并作出处罚时，一并通过民事公益诉讼的方式，判决侵权人赔礼道歉、删除信息、赔偿损失，对刑事案件有较强的依附性，同时对刑事责任的追究也起到补充作用，主要功能在于通过对违法获利的剥夺，起到预防、制止作用。由于刑事责任追究的谦抑性，对于大量的轻微违法行为、侵权行为以及违约行为，不宜进行刑事打击，所以民事公益诉讼的预防、制止、引导作用存在着较大的发挥空间。

（二）与行政管理及行政公益诉讼

《民法典》第534条规定：“对当事人利用合同实施危害国家利益、社会公共利益行为的，市场监督管理和其他有关行政主管部门依照法律、行政法规的规定负责监督处理。”但由于对消费者生物识别信息的保护职责尚待明晰，对于数据信息共享和个人信息保护的认识存在争议，市场监管局对于消费者权益的生物识别信息的保护，远远不如其他消费侵权行为更为主动。从办案数量上来看，以大数据经济比较活跃的浙江省为例，2017—2020年全省查办侵犯消费者个人信息案件分别为24件、48件、106件和142件，共320件，平均每年每市不足8件。个人信息保护公益诉讼既包括行政公益诉讼又包括民事公益诉讼,根据《行政诉讼法》规定,人民检察院是我国行政公益诉讼的唯一起诉主体,但在《民事诉讼法》的规定中有权提起公益诉讼的主体除了人民检察院,还包括法律规定的其他机关和有关组织。鉴于涉及公共利益，行政管理部门应当更好地发挥主导作用，行政公益诉讼将对此发挥监督功能。但是，由于行政公益诉讼对于行政行为约束的谦抑性，对于侵权行为的具体应对措施，一般仍由行政机关进行，可能会影响生物识别信息保护的效率，形成难以挽回的侵权后果。消费民事公益诉讼能够在诉讼中直接申请采取保全措施或者禁令，及时控制侵权行为的蔓延。由于目前法律规定尚待完善，检察机关倾向于较为灵活的行政公益诉讼方式，督促行政机关加强对个人信息违法行为的监管。

（三）与私益诉讼

第一，对于在生物识别信息保护中公益诉讼和私益诉讼的关系问题。由于诉讼成本高、难以实现预期效果，个人对于信息保护的动力欠缺。如果设置过多激励方式，过度保护又可能会导致信息利用价值的丧失。由于该种保护与设立消费者保护的惩罚性赔偿机制的背景存在差异，加之大数据本身具有的公共属性，该领域尚不存在职业维权人的问题，相对于私益诉讼而言，公益诉讼发挥作用的空间更为广阔。第二，基于其他类型消费者权益保护发展之得失和争议，推动职业打假式的个人信息保护模式不利于权利保护的规范性，不符合个人信息数据化特征，也会影响大数据产业的快速发展。第三，我国实行国家主导的政治经济体制，私权和社群自治不够发达，权利意识相对淡漠，因此不宜生搬硬套域外的个人信息保护路径。消费公益诉讼应当是行政管理的必要补充，是体系化保护中的一个重要路径。

六、消费民事公益诉讼保护生物识别信息功能发挥之前瞻

（一）明确功能定位

从以上涉及个人信息保护的消费民事公益诉讼所涉及的情况来分析，该类诉讼尚未在保护个人生物识别信息中发挥应有作用。仅从目前案件数量上来看，明显与侵权行为大量存在的情况不对称，问题产生的原因是多方面的，但究其原因还是在于，对于消费民事公益诉讼介入个人生物识别信息保护缺乏明确的定位。消费民事公益诉讼的目的应重在制止和预防，诉讼重点针对未被追究刑事责任和行政责任的大规模侵害消费者生物识别信息行为开展，补足目前社会规制的缺位，与刑事诉讼、行政监管、消费私益诉讼相互配合，共同构筑生物识别信息保护社会治理体系。

（二）扩大主体范围

由于涉及网络的安全和技术问题，人民检察院和消费者协会对技术层面缺乏专业背景，也是影响民事公益诉讼深入推进一项重要因素。因此，消费者生物识别信息公益诉讼的主体，应当在具有互联网管理背景的机构中进行扩大，根据《个人信息保护法》的规定，可由国家网信办等部门根据实际情况进行确定，在司法实践中，也可建立相应技术机构支持人民检察院和消费者协会进行公益诉讼的制度。另外，从消费民事公益诉讼整体开展情况来看，消费者协会诉讼的案件数量非常少，激励机制需要进一步完善，提起公益诉讼的社会主体还需扩大。

（三）改革证据制度

从目前提起诉讼的案件来分析，55件案件中53件是侵权人被追究刑事责任的情况，侵权行为的认定已经不存在争议。对于民事案件中侵权行为的证明，是现实影响公益诉讼提起的一个重要因素。大数据背景下，由于自动化技术的广泛应用，自然人与信息处理者之间诉讼能力差距进一步增大，《民法典》第1165条第1款过错责任的一般条款和第1194条网络信息的侵权责任条款以及《民事诉讼法》第64条等规定，已经不足以完成个人生物识别信息侵权救济的使命。一方面要将《个人信息保护法》第69条中关于“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任”的规定引入公益诉讼；另一方面立足于赋予检察机关、消费者协会等公益诉讼主体一定的调查权，增强原告主体的举证能力。

（四）规范损失赔偿

实践中，对于损失的计算有以下三种模式：一是根据受害人遭受的实际损失进行赔偿；二是按照信息处理者侵害个人信息而获得的不当利益进行赔偿；三是当受害人遭受的实际损失和信息处理者的获益范围难以确定时，法院综合各项评价要素酌定损害赔偿额。由于个人生物识别信息被侵犯后果的不可确定性，导致此类诉讼维权成本和胜诉利益不均衡，因此建立何种激励机制促进权益保护值得深入研究。重点在于依托《消费者权益保护法》第55条的相关规定，建立符合司法规律的惩罚性赔偿制度。

（五）构建综合体系

信息技术背景下的“风险社会”中，经营者与消费者之间信息不对称性进一步加剧。由于消费者生物识别信息兼具个体性和公共性的双重属性，其同安全、共享之间的关系，需要区分不同情形，由不同的社会组织进行调整把握，还需要各主体之间、制度之间的协调互补，从而建构一套基础更稳固、内容更完整、结构更合理的法律体系，以更有利于实现维护公民权利、促进社会进步的功能。