黄佳佳

（青海民族大学,青海 西宁 810007）

1 问题的提出

随着信息技术的飞速发展，个人生物识别信息的应用领域越来越广泛。人们通过指纹、虹膜、声纹等生物特征来进行身份验证、支付和进出场所等，生物识别技术极大地方便了人们的生活。然而，与此同时，其被滥用和泄露的风险也日益增加。《民法典》和《个人信息保护法》等法律法规，对个人信息的处理提出了明确的要求，处理个人信息应当遵循合法、正当、必要原则。但个人生物识别信息具有高度敏感性与独特性，保护个人生物识别信息被处理下的个人权益成为亟待解决的难题。

2 个人生物识别信息的定义与权利属性

2.1 个人生物识别信息的定义

世界各地对个体生物识别信息的界定有所不同，普遍采取“归纳+具体罗列”方式，根据生物识别技术的发展水平，阐释应纳入个人生物识别信息范畴的数据信息。例如，在2015年颁布的美国《消费者隐私保护法案》中，“个人生物识别信息”被明确界定，包括但不限于面部特征、指纹、声线以及视网膜、虹膜和遗传标志等生物特征[1]。而欧盟的《通用数据保护条例》（GDPR）则将通过特殊技术手段分析个体的身体、生理或行为属性所产生的数据定义为个人生物识别数据，这类数据与一个人的面部图像或者指纹一样能够用以稳定地识别或确认该个体的身份，此类信息被当作个人数据中的“独特分类”来处理[2]。

在我国的法律体系中，个人生物识别信息通常被纳入个人信息的范畴。《网络安全法》第七十六条和《民法典》第一千零三十四条均给出了个人信息的定义，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等[3]。中国对个人生物识别信息的法律保护模式与欧盟相似，都将其当作一种特殊个人信息类别予以保护，此类信息包含了基于自然人的生物属性和行为特性进行唯一身份辨认的数据[4]。

基于此，借鉴欧美国家的立法实践情况，采取“归纳+具体罗列”方式，将个人生物识别信息定义为通过生物识别技术处理后能够识别个体身份的各类数据，这些数据包括但不限于脸部图像、指纹、虹膜、基因等特征。这种界定不仅能明确保护范围，同时方便管理者完善保障机制，此外，还能提高法院在审理此类案件时对法律规定的准确应用，进而减少纠纷并优化司法资源的使用。

2.2 个人生物识别信息的权益性质

个人生物识别信息的权益可从财产权与人格权两个维度分析。一是随着技术的进步，个人生物识别信息在保护财产权方面形成经济价值，使其具备财产权益属性。例如，利用指纹或面部识别进行移动支付。二是个人生物识别信息凭借其独特性、识别容易性和稳定性能等特点能够直接认定特定的公民，因此具有人格属性。《民法典》将其界定为个人信息的具体类型，赋予其人格权范畴规范化的保护。此举与现行法律体系相契合，归入人格权保护是恰当的。

首先，个人生物识别信息的核心在于其具有人格属性，其中涉及面部图像、指纹、基因等数据，这些数据与识别个体身份紧密相关，一旦信息泄露被非法处理，对个人人格权益的损害最为直接。基于此，应当将其作为一项独立的人格权予以保护。这旨在保障公民对于自己生物识别信息的收集、存储和使用等处理享有知情权和自主决策权，并能在信息处理各阶段行使同意、反对或删除等权利。

其次，个人生物识别信息权功能之一是保护财产权益。财产权益一旦遭到侵害，受害者可以依据《民法典》中的“获利视为损失”原则，要求相应的赔偿。但在个人生物识别信息被信息控制者或处理者非法利用时，若仅追求经济赔偿，可能面临证明实际损害的困难。

最后，将个人生物识别信息权归类为特定人格权而非一般人格权，对于保障个人信息安全至关重要。一般人格权的特性包括抽象性和目标不确定性，导致相关法律规定具有较宽泛的解释空间，在司法实践中，法官可能存在理解上的差异。而确认为特定人格权将使得此项权利更加明晰、易于施行，增强了个人生物识别信息权的保护效力[5]。因此，应明确个人生物识别信息权作为人格权的性质，保障个人生物识别信息的保护有法可依，同时促进信息主体积极行使相关权益。

3 国内外个人生物识别信息保障机制

3.1 美国保障模式

在全球范围内，美国始终是信息技术发展的佼佼者，尤其在物联网、生物技术和人工智能领域展现出其领先优势。在信息数据保障方面，美国更侧重于企业自行监管，以免过多干预信息流动。在立法方面，美国联邦立法机关将个人生物特征数据定义为一种独特的个人信息类别，将其纳入隐私权法律框架，还通过专门法规予以管理，并赋予权利主体特定的诉讼权利以便加强保护。2008年伊利诺伊州领先于其他州，制定了《生物识别信息隐私法案》，该法专门针对企业处理个人生物识别信息提出了法律要求，构建了一套较为完善的法律标准系统，它的关键条文成为后续法规的参照依据。

《生物识别信息隐私法案》中，明确规定了企业必须以书面形式通知信息主体，详细说明他们收集数据的目的、使用范围及时间等，并且仅在获得个人书面授权后才能使用个人信息；企业禁止利用个人生物识别信息进行商业牟利，同时限制信息的公开，仅当个人同意、有财务交易需要、具有有效的搜查命令或传票时才允许对外披露；企业保管个人信息时，需遵守一定的保密措施，并须有书面政策公开说明使用个人信息的基本原则和保留期限。例如，企业获取公民的个人生物识别信息达到信息获取的目的或者公民与企业的最后一次交易超过三年，企业必须销毁相关的生物识别信息。

然而，在美国各州，对于个人生物识别信息的保护并没有统一的规定，例如，得克萨斯州仅要求企业在收集信息前取得个人的知情同意，且并不要求以书面形式表达同意。这样的差异性显示了法律保护的不平衡和不一致。

3.2 欧盟保护模式

欧盟的法律强调将个人数据纳入人权的保护范畴。这使得欧盟成为全球个人数据立法的先驱。自1981年的《个人数据自动化处理中的个人保护公约》开始，到1995年的《关于在个人数据处理过程中保护当事人及此类数据自由流通的95/46/EC指令》（以下简称95/46/EC指令），再到2008年施行的《通用数据保护条例》，这些法案标志着欧盟在个人数据保护立法方面的不断演进和完善。欧盟对个人生物识别信息的保护主要体现于《通用数据保护条例》的规定之中，该法规推动生物信息技术发展的同时，致力于维护信息收集和存储的安全性，力求平衡技术进步和个人权益保护的关系。它为解决成员国法律体系的分歧、统一执行标准提供了框架，并对全球个人信息保护立法产生重大影响，逐渐成为多数国家制定相关法规的新典范。

自1995年起，95/46/EC指令引入并确立了信息主体的权利，在《通用数据保护条例》中，这一权利得到进一步强化。这些条例要求数据控制方必须明确通知数据所有者其个人信息的收集与处理方式，并详细说明必须披露给用户的事项。同时，数据主体在合法撤销授权或数据控制方缺乏合理处理依据时，可要求数据控制方移除其信息。此外，如果数据管理者已经公开了个人数据，必须采取一切合适的方法去除，并向其他管理个人信息的实体下达移除链接和复制的命令[6]。另外，“信息可携带权”的新增，允许信息主体在某些条件下，将自己提交给一方数据管理者的数据转移到另一方。该规定体现了数据主体对个人信息的掌控权，使其有权在遇到不满的服务或不平等对待时，将自己的数据转移给其他数据管理者，但只限于他们自己提供的信息。《通用数据保护条例》还要求涉及数据处理和管理的人员实施合适的技术和管理策略，以确保信息的安全性得到有效保障，这意味着他们在选择处理程序和决策时必须考虑信息主体权益[7]。每一位数据处理者都应维护对其处理行为的详尽记录。他们还需负责确保数据安全，报告任何数据泄露事件，并执行数据保护影响评估，以保障数据主体的权益。

《通用数据保护条例》对个人生物识别数据进行严格管理，将显著影响网络经济中新兴商业模式。尽管这种信息的收集有助于优化产品和服务，但在该法规约束下，这种商业模式可能面临合法性争议，甚至有终止的风险。

3.3 我国保护模式

根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》，网络服务提供者收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息[8]。该决定还要求网络服务提供者应当采取技术措施来保障信息安全，防止公民个人电子信息泄露、毁损、丢失，并在发生此类情况时立即采取补救措施。在个人信息保护方面，《网络安全法》和《个人信息保护法》等法律进一步明确了企业的合规要求。这些法律文件要求企业建立健全的信息管理制度，采取必要的措施保护个人信息的安全，包括技术保护手段的应用、数据分类和加密等工作。此外，企业还应定期进行信息安全评估和风险评估，确保个人信息受到有效的保护。

《民法典》第一千零三十四条为保护个人生物识别信息提供了法律依据和基础。在未来的立法和法律实践中，此条款将发挥重要作用，进一步明确和完善对个人生物识别信息的保护措施和法律责任[9]。

尽管目前尚无专门针对个人生物识别信息的专门法律规定，但在个人信息保护领域已经形成了一系列相关法律和法规。这些法律文件为个人生物识别信息的保护提供了基本框架和合规要求。为了更好地保障个人生物识别信息的安全与合法使用，确保公民权益不受损害，我们需要充分考虑其特殊性和敏感性，进一步完善个人生物识别信息的法律保护机制，明确企业处理个人生物识别信息的责任义务，并完善民事救济途径。只有通过持续的法治建设和法律实践，才能够适应快速发展的信息技术，维护公民个人信息安全，促进社会的和谐发展。

4 对个人生物识别信息民法层面保护的改善措施及建议

分析我国目前的个人生物识别信息的法律规定，发现明显缺乏专门的保护制度，相关规定散见于不同的法律文本之中。从国际视角来看，随着生物识别技术的快速发展，全球范围内越来越倾向于通过专门的法律条文对生物识别信息进行保护。由此，借鉴美欧等关于数据主体权利以及数据处理者责任的法律，完善我国在此领域的法律体系。

4.1 建立健全个人生物识别信息权益机制

首先，确保个人生物识别信息主体仅限于自然人。同时，设置以“信息自决权”为核心的权利构架，涵盖知情权、同意权等，这些权利在个人生物识别信息的处理全程中至关重要，反映了其内在的人格权属性，应为该权利体系中最为核心的部分。另外，也应考虑引入访问权、删除权和数据携带权等新权限来确保数据安全。例如，《通用数据保护条例》中的“信息消隐权”，赋予信息主体让数据处理者或控制者删除网络上的个人信息的权利。

其次，明确该信息权益性质为特定人格权。鉴于国内个人生物识别信息交易泛滥，可制定禁止非法处理个人生物识别信息的条款，禁止无授权的获取、使用、管理、储存及公开发布行为。此外，也应禁止以“伪自愿”的方式强制收集个人生物识别信息，确保信息主体的自主决策权得到尊重和保护。

4.2 个人生物识别信息处理行为的责任机制

个人生物识别信息的保护是一个涉及私权、信息安全等多方面的重要议题。维护公民权益并规范相关行为是社会共同责任，法律在此起关键指导和监管作用。所有民事主体，尤其是数据管理者必须承担个人生物识别信息的保护职责。首先，数据处理者或控制者收集、使用、分享此类信息应受法律明确规制，需事先获个人同意，并满足必要性要求，有明确目的及安全措施等，以保障其行为合法、正当和透明[10]；其次，法律还需要规定执法机构权责，以保证该类信息的合规保护，设专门监管机构，负责监督和管理信息收集使用，确认符合法规，并对非法处理行为实行必要执法行动；最后，该类信息保护在法律视角内不仅是个人权利也是社会责任，通过法定规章举措和有效执行，可以进一步升级信息保护的力度。

4.3 加强侵权救济制度以完善民事司法保护

完善民事侵权救济制度是法律领域的重要课题。一是对恶意侵权行为规定惩罚性民事赔偿，对于泄露个人信息的行为，需追责并确定详细的赔偿额度，建立最低赔偿额度，促进数据主体追索权益的热情，从而增强生物识别信息保障条款的执行力度；二是建立迅速高效的救济程序，如利用电子证据和在线仲裁，使消费者维权效率提升。通过上述措施，改善个人生物识别信息的民事侵权救济制度，提升公众对法律的信任，并促进社会整体的公正[11]。

5 结语

本文对个人生物识别信息的法律属性进行了深入分析，对比了国内外现有法律保护模式。我国对于个人生物识别信息的定义和法律属性仍不够明确，相关规定也存在专门性不足和责任界限不明确等问题。在界定个人生物识别信息的法律属性时，应该将人格权和财产权作为参考，从风险角度出发来进行界定。保护个人生物识别信息需要明确其敏感性和重要性，制定更明确和细化的法律规定，并加强监管和执法力度。此外，完善民事救济途径，建立最低赔偿额度，并明确相应的法律程序。只有通过全社会的共同努力和法治的确立，才能够更好地保护个人生物识别信息安全。