一、概念界定与问题引入

我国关于个人生物识别信息的具体概念和范围界定参见于《信息安全技术 个人信息安全规范》（GB/T 35273），即个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。个人生物识别信息具备的高度敏感性和人身依附性使得其近年来备受商业机构青睐，同时也引发了诸如“动物园人脸识别第一案”“清华大学教授评小区门禁刷脸风波”等一系列社会热点案件。

本文将从安全、技术、商业三个维度，并以法规、案例、原理、期冀为主要线索对个人生物识别信息的技术应用构建出法律边界，以期能够搭建个人生物识别信息利用的理论基础和划清边界范围。

二、技术：深度学习与生物识别技术融合背景下的“利好”与“利空”

以人工智能为代表的深度学习技术和生物识别技术的融合极大地提高了当前生物医药领域的识别水平和质量。但同时，也应当看到技术作为一把双刃剑，在公共政策、社会治理以及商用效率层面呈现出技术“利好”趋向，但对于个人生物识别信息遭到滥用、泄露甚至造成危机转危害的“利空”风险。

1、技术“利好”——公共政策、社会治理、商用效率

我国目前比较成熟的生物识别技术涵盖的范围包括人脸识别、指纹识别、虹膜识别、步态识别、声纹识别、DNA识别。这些识别技术在社会中的应用正在从单生物特征识别转向多生物特征融合技术识别，尤属银行验证系统中曾经只需要采集人脸到目前采集人脸信息时要求被收集人需要伴以点头、眨眼、摇头等动作配合，其实质是增加了采集信息的宽度使得识别更加精确、有效。

生物识别技术的非接触性、无意识性、实用性使得其在市场应用中的性价比逐步升高，以其效率为王、便捷为主的优势极大地应用在公共政策、社会治理和商业活动中，如天网系统、智慧城市、道路摄像、公安部门失信联合惩戒，并因此带来了极大的商业福利，诸多公司因掌握该项技术迅速在某一市场中崛起并以其数据优势占领服务市场。

2、技术“利空”——滥用、泄露导致危机转危害

近年来，由于生物识别技术的广泛应用使得其在应用的各领域都极具危机，如深度伪造、AI换脸、用户画像、信息茧房、DNA数据存储等。

并且在这些技术“利空”的领域，一些行为甚至还未引起高度的重视，特别是用户画像和信息茧房所造成的个体生物信息流失和个体受算法控制造成的观念封闭偏见固化的影响并不是可以即时显露的，但当其危机转换为危害时，被滥用和被泄露者早已毫无任何隐私可言。

三、商业：生物信息市场的空前繁荣与技术进步的迫切需求

生物识别信息技术的诸多优势造就了生物信息市场的空前繁荣，自2020年以来，全球生物识别产业循序增长，根据国际生物识别集团(IBG)和美国咨询机构Transparency Market Research 数据显示，在2017-2018年市场增速最快，2019年呈现逐步平稳的增长的趋势，至2020年将达到233亿元。

同时，生物信息市场的高度繁荣也反推生物识别技术的不断更新迭代，使其能够更快的适用强大的商业需求。生物识别技术的进步使得商业应用场景趋向复杂多元的发展，与5G、大数据、AI、云计算、AR技术的结合正在逐步引领产业升级。

但同时，由于商业化的大幅度趋利化应用和过分追求实现效率价值造成在民事、刑事等领域的诸多问题。

民事上，案件和事件包括郭兵副教授起诉杭州动物园案件、94岁老人被抱起做银行人脸识别事件、工商银行App查询账户信息强制要求人脸识别、未成年人利用老年人人脸获取身份验证获得充足的游戏时长、公司虹膜打卡、进小区或学校图书馆等场所强制人脸采集等。同时，在欧盟亦存在相似案例，如因未经同意非法收集和存储数百万用户的生物特征数据，美国伊利诺伊州用户在2015年对Facebook发起集体诉讼。目前诉讼双方已达成和解，Facebook同意赔偿6.5亿美元，超百万用户申请赔偿金，每人或将拿到300多美元。

刑事领域，则突出表现为破坏计算机信息系统罪、因为人脸识别引发的盗窃罪。如唐杰非法获取唐某的支付宝账户信息和人脸肖像后，采用制作唐某 3D人脸动态图的方式突破了支付宝人脸识别认证系统，后又将唐某的支付宝账户信息提供给张羽，张羽采取相关手段盗窃唐某支付宝账户内的人民币2.4万余元一案。同时，还存在刑事犯罪中用尸体进行人脸识别。因此，如何在商业领域构建可信赖的生物信息识别系统成为目前备受关注的议题。

四、安全：以法律规范、行业标准为中的规范建构

目前我国对个人信息中个人生物识别信息的保护应当说已经形成较完整的体系构建。以《网络安全法》第七十六条、《民法典》第一千零三十四条、《数据安全法（草案）》分级分类、《个人信息保护法（草案）》第二十九条等法律规定为核心，并辅以大量诸如《信息安全技术 个人信息安全规范》（GB/T 35273-2020）、《公共安全 人脸识别应用图像技术要求》、《公共安全 指纹识别应用图像技术要求》、《信息安全技术 个人信息安全影响评估指南》等技术安全规范，形成了从概念的上层法律规范到操作的技术标准的整体框架。

但也应当注意到，尽管我国《网络安全法》明确将个人生物识别信息纳入个人信息范围,对于信息的使用、存储、运输、管理仍需进一步细化。我国目前出台的《公共安全指纹识别应用图像技术要求》(GB/T35736-2017)、《公共安全人脸识别应用图像技术要求》(GB/T35678-2017)等相关标准,都是以公安机关具体的刑事侦查、证照管理等公安业务及安防为基础制定的技术标准。同时，随着生物识别技术在各领域尤其是金融领域的逐步拓宽,统一的人体生物识别技术层面建立的各行业标准必将成为未来的技术认定刚需。

质言之，目前构筑出来的个人生物识别信息概念的上层法律规范到具体操作技术标准的整体框架，缺乏具体操作实施的法律符合性标准，也暂未有效形成行业内通行的技术标准或行业惯例。

五、禁止商业使用的否定论与法律保护基础的统一：目的区分原则

对于个人生物识别信息的安全规范所构成的限制是否就意味着应该禁止其进行商业使用，对该问题的回答必然是否定性的，其应当转化为如何积极而理性地认识个人生物识别技术，在得以验证的前提下给予其进入商业应用的机会。因此，对该问题的解决方案实际是法律如何在技术洪流和商业巨浪中实现自己的价值，本文认为应当从法律保护基础和区分原则的适用视角寻求解答。

1、法律保护基础

由于个人生物识别信息主体的人格权益，即其强烈的人身依附性，唯一性、不可更改性、复杂性使得在主体识别结果和有关认证方面更加安全可靠。

根据《民法典》一千零三十四条所处的法条位序，应当进行体系解释，即个人生物识别信息保护法律基础应当是该章所保护的个人信息权益，实质上是区别于隐私权的个人信息权益。

对比美国模式所展现的个人信息保护依附于隐私权，欧盟模式所展现的个人数据权利属于宪法权利。我国在构建以个人信息权益为基础的规范体系中，也存在一定交叉，如针对不同违法行为后采取相应的保护措施，比如隐私权、肖像权保护（《民法典》第四章），这种区分式的保护虽然覆盖了个人生物识别信息应用的各个环节，但是某种程度上加剧主体的维权难度，即请求权过多过杂、边界不清晰。

针对以上不同模式表现出的保护强度不同决定了各个国家在面对个人信息，特别是个人生物识别信息的技术应用所表现的保护强度也存在差异。本文认为，在以隐私权为同章保护的中国《民法典》中，针对个人信息的保护范式应当具备信息的关联度与保护强度成正相关关系的价值取向（如图3），因此，个人生物识别信息作为与个人关联度最强的信息，其保护强度亦理应最强。

2、目的区分原则

在法律保护建立于个人信息权益的基础时，如何实现对个人生物识别信息的技术有效利用应当从目的区分原则寻求主要点。

目的区分原则是指对于个人生物识别信息的收集处理既有可能出于公共目的，也可能出于商业目的，在立法上有必要对目的进行二分，明确权利主体的权利保护。

目前，生物识别信息的商业利用备受社会关注，确定商业应用的范围是构建生物识别信息商业利用的前提基础。在确定商业应用范围时，充分评估个人生物识别信息应用的收益和风险，遵循最小收集原则，只允许企业收集、处理个人信息类型和数量。同时，在商业领域应该采取措施确保多元认证方式并存，避免将个人生物识别信息作为解决认证或识别问题的唯一途径，以平衡信息主体知情、选择的权益和企业技术创新的需求。

另外，对于信息处理者而言，生物识别信息技术的监管应当遵循“技术伦理+明确法律责任”模式。个人生物识别信息泄露可能造成人身权益和财产权益共同的损害，该损害是现实的已有可能是潜在的。因此，在目的区分原则基础上施行责权匹配标准，即掌握信息量应当具备与所面临的安全风险相匹配的管理能力、保密能力，以保证信息的私密性和完整性和可用性。

同时，在司法救济上，对侵犯个人生物识别信息行为惩治措施的预防功能显得尤为重要，此时亦应当在目的区分原则基础上匹配基于个人生物识别信息的唯一性、复杂性、不可更改性而采取保护措施强弱程度。

结语

科技在给我们生活带来极大便利的同时，亦会悄无声息地为侵权行为积累土壤。如何在社会生活中实现“刷脸”不“变脸”，实现高效率、高安全、高便捷、非接触、低成本的价值逻辑，法律如何在商业和技术进步中徘徊摇摆仍然是一个难题，但基于信息个人关联度和保护强度成正比的价值基础和在目的区分原则的统辖下应当可以解决目前出现的对该问题解决方案毫无理论基础的众家争鸣情况。

（作者：辜凌云^*）