個人生物識別信息的民法保護路徑探究

黃佳佳

（青海民族大學,青海 西寧 810007）

1 問題的提出

隨著信息技術的飛速發展，個人生物識別信息的應用領域越來越廣泛。人們通過指紋、虹膜、聲紋等生物特征來進行身份驗證、支付和進出場所等，生物識別技術極大地方便了人們的生活。然而，與此同時，其被濫用和泄露的風險也日益增加?！睹穹ǖ洹泛汀秱€人信息保護法》等法律法規，對個人信息的處理提出了明確的要求，處理個人信息應當遵循合法、正當、必要原則。但個人生物識別信息具有高度敏感性與獨特性，保護個人生物識別信息被處理下的個人權益成為亟待解決的難題。

2 個人生物識別信息的定義與權利屬性

2.1 個人生物識別信息的定義

世界各地對個體生物識別信息的界定有所不同，普遍采取“歸納+具體羅列”方式，根據生物識別技術的發展水平，闡釋應納入個人生物識別信息范疇的數據信息。例如，在2015年頒布的美國《消費者隱私保護法案》中，“個人生物識別信息”被明確界定，包括但不限于面部特征、指紋、聲線以及視網膜、虹膜和遺傳標志等生物特征[1]。而歐盟的《通用數據保護條例》（GDPR）則將通過特殊技術手段分析個體的身體、生理或行為屬性所產生的數據定義為個人生物識別數據，這類數據與一個人的面部圖像或者指紋一樣能夠用以穩定地識別或確認該個體的身份，此類信息被當作個人數據中的“獨特分類”來處理[2]。

在我國的法律體系中，個人生物識別信息通常被納入個人信息的范疇?！毒W絡安全法》第七十六條和《民法典》第一千零三十四條均給出了個人信息的定義，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等[3]。中國對個人生物識別信息的法律保護模式與歐盟相似，都將其當作一種特殊個人信息類別予以保護，此類信息包含了基于自然人的生物屬性和行為特性進行唯一身份辨認的數據[4]。

基于此，借鑒歐美國家的立法實踐情況，采取“歸納+具體羅列”方式，將個人生物識別信息定義為通過生物識別技術處理后能夠識別個體身份的各類數據，這些數據包括但不限于臉部圖像、指紋、虹膜、基因等特征。這種界定不僅能明確保護范圍，同時方便管理者完善保障機制，此外，還能提高法院在審理此類案件時對法律規定的準確應用，進而減少糾紛并優化司法資源的使用。

2.2 個人生物識別信息的權益性質

個人生物識別信息的權益可從財產權與人格權兩個維度分析。一是隨著技術的進步，個人生物識別信息在保護財產權方面形成經濟價值，使其具備財產權益屬性。例如，利用指紋或面部識別進行移動支付。二是個人生物識別信息憑借其獨特性、識別容易性和穩定性能等特點能夠直接認定特定的公民，因此具有人格屬性?！睹穹ǖ洹穼⑵浣缍閭€人信息的具體類型，賦予其人格權范疇規范化的保護。此舉與現行法律體系相契合，歸入人格權保護是恰當的。

首先，個人生物識別信息的核心在于其具有人格屬性，其中涉及面部圖像、指紋、基因等數據，這些數據與識別個體身份緊密相關，一旦信息泄露被非法處理，對個人人格權益的損害最為直接?；诖?，應當將其作為一項獨立的人格權予以保護。這旨在保障公民對于自己生物識別信息的收集、存儲和使用等處理享有知情權和自主決策權，并能在信息處理各階段行使同意、反對或刪除等權利。

其次，個人生物識別信息權功能之一是保護財產權益。財產權益一旦遭到侵害，受害者可以依據《民法典》中的“獲利視為損失”原則，要求相應的賠償。但在個人生物識別信息被信息控制者或處理者非法利用時，若僅追求經濟賠償，可能面臨證明實際損害的困難。

最后，將個人生物識別信息權歸類為特定人格權而非一般人格權，對于保障個人信息安全至關重要。一般人格權的特性包括抽象性和目標不確定性，導致相關法律規定具有較寬泛的解釋空間，在司法實踐中，法官可能存在理解上的差異。而確認為特定人格權將使得此項權利更加明晰、易于施行，增強了個人生物識別信息權的保護效力[5]。因此，應明確個人生物識別信息權作為人格權的性質，保障個人生物識別信息的保護有法可依，同時促進信息主體積極行使相關權益。

3 國內外個人生物識別信息保障機制

3.1 美國保障模式

在全球范圍內，美國始終是信息技術發展的佼佼者，尤其在物聯網、生物技術和人工智能領域展現出其領先優勢。在信息數據保障方面，美國更側重于企業自行監管，以免過多干預信息流動。在立法方面，美國聯邦立法機關將個人生物特征數據定義為一種獨特的個人信息類別，將其納入隱私權法律框架，還通過專門法規予以管理，并賦予權利主體特定的訴訟權利以便加強保護。2008年伊利諾伊州領先于其他州，制定了《生物識別信息隱私法案》，該法專門針對企業處理個人生物識別信息提出了法律要求，構建了一套較為完善的法律標準系統，它的關鍵條文成為后續法規的參照依據。

《生物識別信息隱私法案》中，明確規定了企業必須以書面形式通知信息主體，詳細說明他們收集數據的目的、使用范圍及時間等，并且僅在獲得個人書面授權后才能使用個人信息；企業禁止利用個人生物識別信息進行商業牟利，同時限制信息的公開，僅當個人同意、有財務交易需要、具有有效的搜查命令或傳票時才允許對外披露；企業保管個人信息時，需遵守一定的保密措施，并須有書面政策公開說明使用個人信息的基本原則和保留期限。例如，企業獲取公民的個人生物識別信息達到信息獲取的目的或者公民與企業的最后一次交易超過三年，企業必須銷毀相關的生物識別信息。

然而，在美國各州，對于個人生物識別信息的保護并沒有統一的規定，例如，得克薩斯州僅要求企業在收集信息前取得個人的知情同意，且并不要求以書面形式表達同意。這樣的差異性顯示了法律保護的不平衡和不一致。

3.2 歐盟保護模式

歐盟的法律強調將個人數據納入人權的保護范疇。這使得歐盟成為全球個人數據立法的先驅。自1981年的《個人數據自動化處理中的個人保護公約》開始，到1995年的《關于在個人數據處理過程中保護當事人及此類數據自由流通的95/46/EC指令》（以下簡稱95/46/EC指令），再到2008年施行的《通用數據保護條例》，這些法案標志著歐盟在個人數據保護立法方面的不斷演進和完善。歐盟對個人生物識別信息的保護主要體現于《通用數據保護條例》的規定之中，該法規推動生物信息技術發展的同時，致力于維護信息收集和存儲的安全性，力求平衡技術進步和個人權益保護的關系。它為解決成員國法律體系的分歧、統一執行標準提供了框架，并對全球個人信息保護立法產生重大影響，逐漸成為多數國家制定相關法規的新典范。

自1995年起，95/46/EC指令引入并確立了信息主體的權利，在《通用數據保護條例》中，這一權利得到進一步強化。這些條例要求數據控制方必須明確通知數據所有者其個人信息的收集與處理方式，并詳細說明必須披露給用戶的事項。同時，數據主體在合法撤銷授權或數據控制方缺乏合理處理依據時，可要求數據控制方移除其信息。此外，如果數據管理者已經公開了個人數據，必須采取一切合適的方法去除，并向其他管理個人信息的實體下達移除鏈接和復制的命令[6]。另外，“信息可攜帶權”的新增，允許信息主體在某些條件下，將自己提交給一方數據管理者的數據轉移到另一方。該規定體現了數據主體對個人信息的掌控權，使其有權在遇到不滿的服務或不平等對待時，將自己的數據轉移給其他數據管理者，但只限于他們自己提供的信息?！锻ㄓ脭祿Ｗo條例》還要求涉及數據處理和管理的人員實施合適的技術和管理策略，以確保信息的安全性得到有效保障，這意味著他們在選擇處理程序和決策時必須考慮信息主體權益[7]。每一位數據處理者都應維護對其處理行為的詳盡記錄。他們還需負責確保數據安全，報告任何數據泄露事件，并執行數據保護影響評估，以保障數據主體的權益。

《通用數據保護條例》對個人生物識別數據進行嚴格管理，將顯著影響網絡經濟中新興商業模式。盡管這種信息的收集有助于優化產品和服務，但在該法規約束下，這種商業模式可能面臨合法性爭議，甚至有終止的風險。

3.3 我國保護模式

根據《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，網絡服務提供者收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，不得違反法律、法規的規定和雙方的約定收集、使用信息[8]。該決定還要求網絡服務提供者應當采取技術措施來保障信息安全，防止公民個人電子信息泄露、毀損、丟失，并在發生此類情況時立即采取補救措施。在個人信息保護方面，《網絡安全法》和《個人信息保護法》等法律進一步明確了企業的合規要求。這些法律文件要求企業建立健全的信息管理制度，采取必要的措施保護個人信息的安全，包括技術保護手段的應用、數據分類和加密等工作。此外，企業還應定期進行信息安全評估和風險評估，確保個人信息受到有效的保護。

《民法典》第一千零三十四條為保護個人生物識別信息提供了法律依據和基礎。在未來的立法和法律實踐中，此條款將發揮重要作用，進一步明確和完善對個人生物識別信息的保護措施和法律責任[9]。

盡管目前尚無專門針對個人生物識別信息的專門法律規定，但在個人信息保護領域已經形成了一系列相關法律和法規。這些法律文件為個人生物識別信息的保護提供了基本框架和合規要求。為了更好地保障個人生物識別信息的安全與合法使用，確保公民權益不受損害，我們需要充分考慮其特殊性和敏感性，進一步完善個人生物識別信息的法律保護機制，明確企業處理個人生物識別信息的責任義務，并完善民事救濟途徑。只有通過持續的法治建設和法律實踐，才能夠適應快速發展的信息技術，維護公民個人信息安全，促進社會的和諧發展。

4 對個人生物識別信息民法層面保護的改善措施及建議

分析我國目前的個人生物識別信息的法律規定，發現明顯缺乏專門的保護制度，相關規定散見于不同的法律文本之中。從國際視角來看，隨著生物識別技術的快速發展，全球范圍內越來越傾向于通過專門的法律條文對生物識別信息進行保護。由此，借鑒美歐等關于數據主體權利以及數據處理者責任的法律，完善我國在此領域的法律體系。

4.1 建立健全個人生物識別信息權益機制

首先，確保個人生物識別信息主體僅限于自然人。同時，設置以“信息自決權”為核心的權利構架，涵蓋知情權、同意權等，這些權利在個人生物識別信息的處理全程中至關重要，反映了其內在的人格權屬性，應為該權利體系中最為核心的部分。另外，也應考慮引入訪問權、刪除權和數據攜帶權等新權限來確保數據安全。例如，《通用數據保護條例》中的“信息消隱權”，賦予信息主體讓數據處理者或控制者刪除網絡上的個人信息的權利。

其次，明確該信息權益性質為特定人格權。鑒于國內個人生物識別信息交易泛濫，可制定禁止非法處理個人生物識別信息的條款，禁止無授權的獲取、使用、管理、儲存及公開發布行為。此外，也應禁止以“偽自愿”的方式強制收集個人生物識別信息，確保信息主體的自主決策權得到尊重和保護。

4.2 個人生物識別信息處理行為的責任機制

個人生物識別信息的保護是一個涉及私權、信息安全等多方面的重要議題。維護公民權益并規范相關行為是社會共同責任，法律在此起關鍵指導和監管作用。所有民事主體，尤其是數據管理者必須承擔個人生物識別信息的保護職責。首先，數據處理者或控制者收集、使用、分享此類信息應受法律明確規制，需事先獲個人同意，并滿足必要性要求，有明確目的及安全措施等，以保障其行為合法、正當和透明[10]；其次，法律還需要規定執法機構權責，以保證該類信息的合規保護，設專門監管機構，負責監督和管理信息收集使用，確認符合法規，并對非法處理行為實行必要執法行動；最后，該類信息保護在法律視角內不僅是個人權利也是社會責任，通過法定規章舉措和有效執行，可以進一步升級信息保護的力度。

4.3 加強侵權救濟制度以完善民事司法保護

完善民事侵權救濟制度是法律領域的重要課題。一是對惡意侵權行為規定懲罰性民事賠償，對于泄露個人信息的行為，需追責并確定詳細的賠償額度，建立最低賠償額度，促進數據主體追索權益的熱情，從而增強生物識別信息保障條款的執行力度；二是建立迅速高效的救濟程序，如利用電子證據和在線仲裁，使消費者維權效率提升。通過上述措施，改善個人生物識別信息的民事侵權救濟制度，提升公眾對法律的信任，并促進社會整體的公正[11]。

5 結語

本文對個人生物識別信息的法律屬性進行了深入分析，對比了國內外現有法律保護模式。我國對于個人生物識別信息的定義和法律屬性仍不夠明確，相關規定也存在專門性不足和責任界限不明確等問題。在界定個人生物識別信息的法律屬性時，應該將人格權和財產權作為參考，從風險角度出發來進行界定。保護個人生物識別信息需要明確其敏感性和重要性，制定更明確和細化的法律規定，并加強監管和執法力度。此外，完善民事救濟途徑，建立最低賠償額度，并明確相應的法律程序。只有通過全社會的共同努力和法治的確立，才能夠更好地保護個人生物識別信息安全。