杨琼宇

桂林电子科技大学，广西 桂林 541000

一、生物识别信息概述

（一）语义解释

个人生物识别信息必须能够识别特定人身份。每个人的指纹、虹膜以及面部形态都是与众不同的。因此，通过生物识别信息技术，运用科学算法，可以准确识别特定人的身份。个人生物识别技术因其有识别自然人身份的作用而被广泛运用于社会生活中。《民法典》第一千零三十四条规定：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。由此可见，我国《民法典》认为个人生物识别信息是可以包含在个人信息这个大框架内的，所以说该信息内容也必须具有“识别特定人”的功能，如果该信息无法识别特定人，则会被排除于个人信息之外。

（二）个人生物识别信息的特征

1.生物识别信息的唯一性

个人生物识别信息不同于传统个人信息，其具有唯一性。最具典型的传统个人信息，例如手机号，一个人可以同时具备多个不同的手机号，或者多人同时使用一个手机号，此时该手机号作为传统个人信息并不能识别出具体某一个人。但是个人生物识别信息，是一种通过科学技术采集自然人的生理信息而成的特殊个人信息，具有独一无二的特征。例如，自然人的指纹信息，即使是一对同卵双胞胎两人的指纹也是不尽相同。因此，个人生物识别信息可以准确识别自然人，且难以被仿造和冒用。

2.生物识别信息的稳定性

生物识别信息因其通过采集自然人独一无二的生理信息和行为信息，使其具有稳定性的特征。传统个人信息，如个人的家庭住址，自然人可以随意选择住所、变更住所，因此家庭住址信息是可以改变，不具有稳定性。但是自然人的虹膜、指纹等生理信息，是长久伴随着自己，轻易不会改变。因此，生物识别信息因其稳定性而广泛运用于社会生活中。

（三）个人生物识别信息和隐私的区别

1.部分生物识别信息不具备隐私的“私密性”

隐私权要求其客体“私密信息”具有“私密性”的特征，同时个人生物识别信息又能够识别个人的身份信息。因此，二者存在交叉联系，但又有区别。生物识别信息包括两类：一类是不被公开的生物识别信息；一类是可以公开的信息。不被公开的信息，例如有关自然人遗传方面的信息和自然人健康方面的信息等，通常会涉及个人隐私。因此，如果泄露相关信息，则在被认定侵犯个人信息权的同时也会被认定为侵犯个人隐私权。此时生物识别信息与隐私属于同个范畴。但是，并非所有的生物识别信息都归属于隐私，第二类公开的生物识别信息，例如，个人的面部特征、行为动作等信息，通常都暴露于公众中，因此不具有隐私性。由于隐私一旦被保护、公开就被公众所知，失去其私密性，不再属于隐私。［1］

2.生物识别信息主体可以主动行使权利

隐私权是一种消极性权利。所谓消极性权利，是指这类权利主体只有在该权利受到侵犯时才能够行使，通常表现为损害赔偿请求权和排除妨害请求权，更多地体现为一种事后救济。但是，生物识别信息权属于主动性权利，这意味着其权利主体并非只能在其权利受到侵犯时行使，而是可以主动行使，例如权利主体的“知情同意权”等。同时，隐私权因其人身依附性的特征而缺少财产价值，但生物识别信息权与此相反，权利主体可以通过积极地行使该项权利以获得一定的财产利益。

二、国外生物识别信息的保护现状

（一）参照普通个人信息的保护方式

在参照普通个人信息的保护方式来保护个人生物识别信息的国家或区域组织中以欧盟和德国最具特色。德国的《联邦数据保护法》具有前瞻性和系统性的特征而最具典型。欧盟的《一般数据保护条例》因其适用的国家众多而知名。

1.欧盟的《一般数据保护条例》

欧盟的《一般数据保护条例》(General Data Protection Regulation,简称GDPR)将个人生物识别信息归属于个人信息之中，又将对个人信息的保护排除于隐私权保护之列，认为个人生物识别信息权是一项综合性权益，需要通过多个部门法，如民法、刑法、行政法等法律予以保护。欧盟GDPR认为所谓的个人生物识别信息是指一种以自然人的身体结构、生理特征以及行为方式为基本内容的，同时需要借用计算机的信息数据处理系统来辨别和确认的新形式的个人信息。个人生物识别信息有助于对自然人身份的识别和明确。欧盟也是以可识别性来定义这些信息，不仅包含直接识别个人的信息，也包括可以间接识别个人的信息。①See General Data Protection Regulation，Art.16-21。

2.德国的《联邦数据保护法》

虽然德国的法律体系归属于大陆法系，但是其对个人信息的保护并非全部应用大陆法系保护法，反而是借鉴、融合、参考了诸多英美法系在保护个人生物识别信息上的做法，即在对个人生物识别信息进行人格权保护的同时，吸收借鉴了隐私权保护模式，产生了德国立法中首创的信息自决权。德国立法将这项权利写入宪法，并规定此项权利是公民的基本权利。

（二）生物识别信息的隐私权保护

美国1974年《隐私法案》规定公民的隐私包括公民的个人信息。不同于欧盟和德国将个人生物识别信息纳入一般个人信息中保护，美国则是将其归入隐私权法中予以保护。但是目前美国缺少专门针对生物识别信息保护的联邦立法。因此，各州都出台了自己的法律。对各大州的相关立法模式进行分析可知，针对生物识别信息的保护由两种模式构成，一种是将其直接归于一般个人信息予以保护，另一种则是专门为其单独立法，设置一套专门的规制方法。

三、我国以隐私权保护生物识别信息的问题

（一）传统隐私权保护范围不包括生物识别信息

1.我国法律对个人信息的保护还未分门别类

我国《网络安全法》第七十六条规定了个人信息的概念，同时也规定了我国个人信息的范围包括个人生物识别信息。②参见《中华人民共和国网络安全法》第七十六条。另外，我国《民法典》第一千零三十四条规定将“可识别性”作为判断是否为个人信息的标志，同时也明确了个人信息包括个人生物识别信息。③参见《中华人民共和国民法典》第一千零三十四条。例如，有关自然人的身体健康与遗传基因的个人信息，就比自然人的手机号或者年龄等个人信息更加隐秘和敏感。这些高敏感信息一旦被泄露，不仅侵犯了自然人的隐私权，有时还会侵犯自然人的人格尊严，给被侵权人带来严重的社会伤害。因此，将个人信息进行分类保护，尤其对高敏感信息进行更加严格的保护，才能有效保护自然人的个人信息。

2.生物识别信息与隐私间的界限较模糊

《民法典》第一千零三十四条规定个人信息包括生物识别信息，个人信息中的私密信息适用隐私法的规定，没有规定的适用个人信息保护的规定。④参见《中华人民共和国民法典》第一千零三十四条。但是《民法典》并没有进一步划分个人信息中私密信息的范围。由于法律规定对私密信息和除私密信息以外的个人信息不同的保护方式，因此，准确划分二者范围对于确定适用何种保护手段至关重要。不仅如此，《民法典》将个人生物识别信息纳入个人信息，却没有明确哪些个人识别信息属于私密信息，也就难以确定对某个具体的个人生物识别信息决定适用何种保护方式。

（二）个人生物识别信息侵权因果关系认定复杂

1.侵权主体及环节证明困难

信息侵权案件中因果关系难以认定主要有两方面原因：首先，法律的稳定性要求其不能随意变更，但科学技术一直在高速发展，因此法律的规定难以适应科学技术的发展；其次，科学技术的空间、行为和客体具有拟制的特点，更加难以认定侵权因果关系。

在信息科技时代，侵权人大多躲在信息世界的背后，被侵权人不仅很难发现信息数据背后的侵权人，甚至多数情况下连自己权利受到侵犯都不得而知。在复杂的虚拟世界下，一旦出现存在多个侵权人的情况，被侵权人就更加难以理清复杂的侵权因果关系，更加难以在关系网中找出侵权人。

2.“算法黑箱”下个人举证困难

目前社会公众对于个人信息的保护意识还有待加强，大部分人的个人信息保护的专业知识和素养是远远不够，再加之在“算法黑箱”下，许多数据的处理过程、流转信息的运算程序被掩盖，使得信息侵权案件的损害后果通常具有隐蔽性。在侵权损害结果发生之前，被侵权人通常是难以发觉自身个人信息被不合理利用的。但即使侵权损害结果已显露，被侵权人也很难找到信息处理人和信息滥用人之间的因果关系。

（三）被侵权人遭受损害的程度难以判断

由于我国法律并没有区分生物识别信息的侵权和人格权侵权的认定条件，所以，在司法实务上认定生物识别信息侵权时采用人格权侵权的认定标准——过错责任标准，即需要被侵权人证明自己的生物识别信息权受到侵犯。生物识别信息有别于人格权，其损害后果的表现多种多样：例如数据被泄露后引发下游犯罪、面部特征信息被泄露后被别有用心之人处理加工用于不当场合导致被侵权人遭受精神痛苦等。比之于人格权，生物识别信息遭到损害后更难以证明，因为证明一般人格权受到损害需要行为具备不法性，但是生物识别信息的损害行为有时也是合法的，这是因为在社会公众的知情同意前提下，我国有时候是允许某些商事行为去收集采样社会公众的生物识别信息的，国家对这些领域并没有一律禁止。

四、我国生物识别信息隐私权保护路径的完善

（一）明确生物识别信息的法律性质

私密信息即符合个人信息的“可识别”要求，能够单独识别并和其他数据结合用以识别自然人的身份，或者兼具隐私的私密性，具有隐私利益，与公共利益无涉。［2］上文提及，私密信息和普通个人信息的保护方式和保护程度是有很大区别的，对于私密信息的保护通常比对于普通个人信息的保护更加严格。因此，只有明确二者的范围，确定个人信息中哪些信息属于私密信息，才能在信息侵权案件中选择正确的保护方式。

（二）生物识别信息中侵权的规则原则和证明责任

我们国家的法律将个人信息的范围扩大到包括了个人生物识别信息，并且还明确了涉及此类信息的侵权案件的举证责任也是采取同个人信息侵权案件的举证责任一致的过错原则，即谁主张谁举证，由被侵权人对自己生物识别信息受到侵犯承担举证责任。但是事实上，生物识别信息与身高、体重、家庭住址等个人信息有所不同，生物识别信息是通过计算机操作，具有无形性的特征。因此，被侵权人通常难以发现自己的权利受到侵犯。加之通过计算机操作之后，侵权证据非常容易销毁。被侵权人很难收集到自己信息遭受侵犯的证据，因此，权利很难得到保障。

（三）生物识别信息侵权损害结果的认定

法律规定物权一旦被使用，他人就无法再利用，这是由物权的竞争性和排他性决定的。但是，生物识别信息则正好相反，生物识别信息具有非竞争性和非排他性，所以可以被轻易复制使用。之所以个人生物识别信息受到侵犯后会使受害方的财产利益受损，是因为个人生物识别信息与当事人的财产利益有直接关联，通常都是侵权方通过非法利用信息的行为，使受害者财产、利益受损。

五、结语

生物识别信息在大数据时代被广泛运用于社会生活的方方面面，但由于个人生物识别信息具有唯一性、稳定性、非接触性和关联性的特征，使得个人生物识别信息一旦被非法利用会造成重大影响。因此，有必要明确生物识别信息的权利属性、确定过错推定的证明责任以及多个侵权主体间的连带责任、扩大损害的认定范围，不限制于实质性损害，将损害可能性也纳入其中、扩大精神损害赔偿的范围，以期实现对生物识别信息权的全面保护。