什么是识别阈数字人权视阈下个人生物识别信息合理使用制度构造

  摘要  

随着新时代“数字中国”的发展，数字属性逐渐被纳入人们的社会属性，诸如人脸、指纹、虹膜等生物特征已成为识别个人身份的重要信息。然而，当生物识别技术被广泛应用于社会经济、公共安全等领域时，由于个人生物识别信息保护与国家利益保护之间存在一定的紧张关系，个人私权与国家公权二者间不可避免地产生冲突碰撞。如何处理好个人权益与公共利益之间的关系，成为引人深思并亟待解决的问题。因此，为保证个人生物识别信息在数字人权背景下合理使用，需要在厘清个人生物识别信息法律属性的基础上，明确我国个人生物识别信息合理使用的判断标准并逐步构建相应的制度措施，依法保障公民的合法权益，从而实现科技创新与人权保障之间的平衡。

  关键词  

个人生物识别信息；合理使用；数字人权；制度构造

  作者简介  

娄秉文，东南大学法学院博士研究生，东南大学人权研究院（国家人权教育与培训基地）研究人员，从事人权法学、教育法学与行政法学研究。

在数字化发展浪潮下，人脸、指纹、声纹、虹膜、静脉等各类生物信息识别技术的应用范围不断扩大，而随着个人生物识别信息在社会生活和公共服务中被使用的现象不断增加，人们对其安全性的担忧也愈发显著，个人权益保护与社会秩序稳定二者之间也不可避免地产生冲突和碰撞。因此，亟须建立个人生物识别信息的合理使用体系以规范个人生物识别信息的使用，进而降低其受到侵害的风险。与此同时，伴随着数字社会的出现，数字属性逐渐被纳入人们的社会属性，数字人权便是基于人的数字属性而催生发展出的一种新型人权及其法律保障。一方面，其以数据和信息为载体，展现了人们在智慧社会中进行数字化生存和发展的基本需求和权利；另一方面，其提出了大数据时代的个人信息或数据被保护的权利，主要包括数据信息自主权、知情权、表达权、公平利用权、隐私权和财产权等。在数字人权的背景下探究个人生物识别信息合理使用的制度构造，有助于保障社会主体尽可能公平地享有数字红利、规避数字侵权，在科技创新与人权保障之间探求平衡，并进一步反促数字人权的具体化、可操作性。

在对个人生物识别信息合理使用这一问题进行研究前，首先应当明确个人生物识别信息的权利属性，厘清其法律意涵，探究其特殊性质，这对我国个人生物识别信息合理使用制度的构建具有重要意义。

（一） 个人生物识别信息的权利属性

目前，学术界对个人生物识别信息的权利属性还没有形成共识，当前主流理论主要包括注重信息收集处理安全性的“隐私权说”，覆盖信息实质利益的“一般人格权说”，聚焦侵权损害赔偿的“财产权说”，兼顾两者的“人格权兼财产权说”和以数字人权为依据的“基本人权说”。

《中华人民共和国民法典》（以下简称《民法典》）第1034条就个人信息权做出了独立的规定，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第13条对合理使用条款进行了整合和细化，第28条第1款将个人生物识别信息列举为敏感个人信息。但是，将个人生物识别信息仅仅纳入强调当事人意思自治的私法权利来予以保护不足以彰显和保护个人权益，应当将其提升至数字人权高度，并以人权的力量和权威强化对数字科技开发及其运用的伦理约束和法律规制，从而助力实现人格自由，弥补数字社会下私法对个人权利保护的“天然不足”，促进数字社会向着更具有人文关怀、更加文明的新型社会形态迈进。

因此，笔者认为，个人生物识别信息的权利属性应当采用基本人权说。第一，数字人权具有基本安全利益与价值，为人的基本生物性安全提供保护。基于此，在个人生物识别信息收集之前，数据处理者需要明确清晰地告知数据主体并取得同意；在数据储存、处理与流通阶段，数据主体享有的删除权等权利可以在一定程度上预防相关数据风险的发生。第二，数字人权具有人格和财产价值。基于此，当个人生物识别信息遭到侵害时，我们可以依据其人格及财产属性寻求相应的赔偿。因此，数字人权视阈下的个人生物识别信息，既包括前三代人权（实现自由平等权利、经济社会文化权利、生存发展权利）在智慧发展条件下的数字化呈现及其相应保护，也包括各种新兴数据信息权利及其相应保护，其本质是在数字时代和智慧发展中作为人应该享有的权利。它一方面回应了“数字弱势群体”权益保障的理论诉求；另一方面又通过所包含的权利要素，指引建构“数字弱势群体”的具体权利体系。

（二） 个人生物识别信息的法律意涵

《个人信息保护法》第28条首次对敏感个人信息作出了明确的定义，生物识别信息也被归入其中，这是我国首次将敏感个人信息这一重要类别引入立法文件，无论是在理论上还是在实践中都具有极为重要的意义。但个人生物识别信息比宗教信仰、特定身份等其他普通敏感个人信息更为特殊，需要在适用敏感个人信息相关保护规定的基础上，得到更为严格的保护，建立更加完备的合理使用制度和体系。

1. 个人生物识别信息具有唯一性。“每个人都是一个独立的生物体，对应一套独一无二的生物识别信息。”在现代科技的加持下，生物识别信息作为一种独立且具备唯一指向的身份验证方式，正逐渐成为个人身份识别的重要手段。例如，在银行开户时，用户只需要提交自己的生物识别信息，就能够绑定身份证等证件并完成注册，后续的支付和转账也可以通过“刷脸”（人脸验证）来完成，无需再输入账号密码，因为生物识别信息可以作为独立而又唯一的命令或指示。当前，各国都逐渐认识到了生物识别信息的唯一性而需要被特别保护。欧盟《通用数据保护条例》（Genenal Data Protection Regulation,以下简称GDPR）第4条对生物识别数据概念的界定中，其唯一性被重点突出，即人脸、指纹等个人生物识别数据可以确认自然人的独特身份。

2. 个人生物识别信息具有不可撤销性。个人生物识别信息相对于姓名、手机号码、银行账号等信息的更改十分困难，一旦泄露几乎无法挽回。目前，现有技术只能通过皮肤移植、眼球替换以及其他复杂且不可逆转的方式，对人的面部、虹膜等生物识别信息进行改变。而传统的敏感个人信息如金融账号、银行密码等，即使遭遇泄露，也可以通过挂失补办、修改密码等方式进行补救。正因为这种不可逆性的存在，一旦个人生物识别信息被泄露、盗用或冒用等违法行为所侵犯，极有可能给信息主体带来不可挽回的危害和损失。美国伊利诺伊州颁布的《生物识别信息隐私法案》（Biometric Information Privacy Act,以下简称BIPA），特别强调生物识别信息的特殊之处在于其具有不可撤销性和唯一性等特点，如果被泄露，可能会导致个人身份安全面临风险。因此，为了维护生物识别技术的安全性和保护公民生物识别信息，应当对生物识别信息泄露、滥用、盗用和冒用等违法行为进行精准打击。

3. 个人生物识别信息具有高风险性。个人生物识别信息虽属敏感个人信息，但是因其具有识别精准度高和数据抽象危险性大的特质，所以风险性又高于其他敏感个人信息乃至普通个人信息。它是直观的、开放的，不需要个人主动提供即可被他人感知，如人脸、耳廓、声纹、步态、表情等，都可以被监控探头隔空捕捉并记录，这个过程不需要与信息主体进行接触，且信息主体难以感知到被侵害。此外，生物特征识别程序操作起来相对简单、迅捷，这进一步增加了生物特征数据的风险程度。例如，在人脸识别的活体采集过程中，规定的必要识别动作非常少，而这些动作都可以通过视频或电脑模拟来实现，从而避开验证输入信息系统。与此同时，现实生活中，信息控制、处理者对个人生物识别信息的保护不够重视，未能建立严格的数据处理规则。一旦个人生物识别信息被非法获取，就相当于打开了信息主体的完整档案，使其失去了对其他数据和信息进行独立掌控的能力。

综上，生物识别信息相较于其他个人信息不仅具有人身专属性、高风险性等特质，而且因其特殊性质导致数据主体难以变更，因此，需要比其他个人信息更为特殊和严格的保护。

随着生物识别技术在公共管理、社会生活等领域的广泛应用，公共权益与个人私权二者不断产生异种权利之间的冲突碰撞。因此，如何平衡好社会公共利益和个人利益就成为我们亟须思考并解决的问题。

（一） 商业利益与个人生物识别信息使用的利益冲突

生物识别技术因其广泛的应用前景，成为市场经济和商业资本所追捧的热门领域，它所带来的商业利益也获得了各类经济实体的密切关注。为了抢占市场和获得利润，这些经济实体不仅关注生物识别类算法模型和软件解决方案等研发工作，同时也致力于制造生物识别设备硬件并将大量资源投入生物识别信息的获取和处理方面。这种以市场为导向的发展模式，可以更好地促进资金的吸引和利用，激发技术创新和生产积极性。但是，当个人生物识别信息数据的管控权发生失衡时，即信息控制、处理者和信息主体之间无法协调管理，就会导致个人生物识别信息数据的应用出现难以为信息权利人所掌握和控制的趋势，并且，在涉及其信息数据风险的场域中，作为信息主体的个人，很难及时发现自己合法权益遭到侵害，即使发现，通常也很难进行充分地举证；抑或是个人生物识别信息的处理没有经过充分的许可或缺乏安全措施，例如因处理流程不严格导致个人生物识别信息被错误使用、泄露、买卖、盗用或占用等，会给个人的人身和财产权利带来极大的危害，进而演变为对公共利益的损害。为此，必须强化对市场中个人生物识别信息处理行为的监测与管理，特别是防止严重侵犯个人权利现象的出现，充分保障个人信息权利和相关权益。在此前提下，建立相应的个人信息保护监管机关以查处各种非法处理活动，保障个人基本权利，规范市场行为，推动社会经济的正常发展，在生物识别技术商业利益与个人隐私权保护之间取得平衡，实现社会公正与经济繁荣的双赢。

（二） 社会交往空间中个人生物识别信息的应用风险

当前，生物信息识别技术广泛运用于交通、安保、教育等领域，大大提高了工作质量和效率，降低了运营成本，节约了人力资源，提升了管理和服务过程中的身份认证速度，增加了公众生活的便利。生物识别技术已然成为当代社会生活中不可或缺的部分，特别是对于随着数字化设备成长、对网络技术有着天然认同和接受度的人群来说更是如此。但是，生物识别技术的普及和广泛应用，也给社会交往活动带来了一些风险和挑战。例如，在使用生物识别技术进行身份验证、门禁管理等方面，可能会导致个人生物识别信息被非法获取和滥用，以及个人隐私泄露和身份被冒用的风险。此外，生物识别技术也可能存在误识别或拒识等问题，导致合法用户无法正常使用服务或者身份信息被非法用户冒用。因此，在推广生物识别技术的同时，必须加强监管和管理，加强数据保护和隐私保护，同时要注重技术研发和完善，以提高识别准确度和可靠性。只有这样，才能更好地促进生物识别技术在社会交往活动中的应用，为人们带来更多的便利和福利。

（三） 国家利益与个人生物识别信息使用的模糊边界

国家利益与个人信息权益之间既有相互冲突的一面，又有彼此协调的一面。在国家层面而言，使用生物识别技术在于保障公共安全，维护社会秩序与稳定，促进国家治理。而对个人信息利益而言，生物识别技术的价值则在于维护个人信息主体的基本权利，促进个人自由的实现。目前，生物识别技术已经广泛应用于国家身份识别信息数据库、海关、司法鉴定和犯罪调查等方面，例如在刑事侦查程序中，人脸、基因信息已经广泛用于识别犯罪嫌疑人、被害人身份等方面。但技术的快速发展和治安环境的不断改善也带来新的思考，比如警方未经依法授权，是否可以直接收集人脸等个人生物识别信息；抑或是当人脸识别技术与广泛存在的监控摄像头相结合，这是否会被认为是对公民进行全方位的监视；等等。这些成为值得探讨的问题，而此类行为是否合法也值得进一步研究和讨论。随着科技的迅猛发展，生物识别技术虽然已成为保障公共安全的有力工具，但这并不意味着相关机关可以在没有限制的情况下无限制地使用，而是必须严格限制使用范围，并采取必要的安全措施，以确保不侵犯公民合法权益。

在人工智能的时代背景下，“个人信息的控制主体已经从个人变为社会组织和政府机构，控制权能也已经从个人实际掌控变为组织责任承担”，因此在平衡公共安全和个人隐私之间，我们必须认真考虑生物识别技术的合理应用，并采取必要的措施确保人民的权利和隐私得到充分保护，确保国家公权和个人私权在各自轨道上合理运行，实现个人权益和国家利益的平衡与协调。

在建构个人生物识别信息合理使用制度前，需系统阐释与科学界定合理性判断标准。基于比例原则，限定使用范围与方式的适当性，并通过利益平衡理论，构建使用与保护之间的动态均衡机制，为后续制度设计提供理论支撑。

（一） 使用范围与方式的比例适当

比例原则，又可称作适当性原则、均衡原则，指的是信息处理者所增进的个人或公共利益应与所侵犯的个人信息权益成正比，其在保护个人权益和规制公权力方面发挥着重要作用。按照比例原则的要求，作为公权力行使主体的信息处理者应在保障与限制之间保持平衡，并在生物识别技术的应用中控制其可能造成的危险和侵犯。比例原则的应用可以为特定情境中“合理”情形的认定与决策提供更具操作性的标准，也是构建更坚实利益平衡的有效途径。就具体情况而言，其适用需要遵循以下要求：第一，必要性原则，即信息处理者在实现目的时使用的手段必须是最必要的；第二，适当性原则，即信息处理者对个人权利施以某种行为时，应当符合最小侵害、最小风险、最佳效益的基本要求。

个人生物识别信息使用者应当基于使用目的的必要，收集、处理信息主体个人信息中最少数量、最小范围内的个人生物识别信息，不应当超过可以实现处理目的的最低限度。即在实现目标的前提下，尽可能限制对个人生物识别信息的使用与加工。如果未经信息主体同意，收集和使用个人生物识别信息，这无疑是对合理使用适用条件的极大放宽，而这也将导致信息主体的权益处于一个较为危险的环境中，进而使得信息主体受损害的可能性被提高。因此，在评估信息使用者的合理使用程度时，应该考虑该信息使用者对个人生物识别信息的使用是否达到最低限度，来检查信息使用者所使用的个人生物识别信息的数量是否为最少，范围是否为最小，其使用是否导致了需要使用的个人生物识别信息的数量和范围被无谓地扩展。其次，使用程度最小化在使用方式的选择上体现为信息使用者为实现使用目的而选取了最必要的方式。当信息使用者只需采取一种或几种方式便可以达到所需要的使用目的时，其他非必要的使用方式便不能再被应用。总而言之，比例原则具体衡量标准体现在：第一，目的必要，最少收集，限制收集范围；第二，手段必要，最小收集，限制收集方式；第三，时间必要，最短收集，限制保存时间；第四，安全必要，最小损害，限制处理次数。

（二） 使用与保护的利益平衡

在现代信息社会中，个人生物识别信息包含着多方利益，不仅涉及信息主体人格权益、财产权益，还包括国家机关和企业对于个人信息的合理使用权益，这也关系到公共安全以及国家安全等重要领域。因此，个人生物识别信息的使用需要考虑信息从业者和政府的合理使用需求，保持个人生物识别信息的保护和使用之间的平衡，以最终实现手段与目的的价值取向协调一致。

利益平衡是使用价值衡量作为调节手段，来维持并协调在使用与保护个人生物识别信息过程中不同利益主体之间产生的冲突，即综合考虑个人信息权益、公众利益和他人合法权益等相关需求，这不仅是个人生物识别信息合理使用制度的意义体现，也是其价值所在。利益平衡的良好运用既能够满足机构、企业、个人的利益需求，又能考虑到信息主体的利益，避免各主体间的利益冲突与失衡，还可以平衡与协调信息主体的个人利益与公共利益之间的冲突，从而使个人利益与公共利益达到最优资源配置。同时，引入场景理论对个人信息合理使用加以判定，以便将利益衡量细化到具体场景中实现个人信息的合理控制，可弥补传统框架下的不足，避免了全有或全无、利用或不利用、侵权或不侵权即从一个极端到另一个极端的评断，通过妥协寻求利益的共存和最大化。信息处理者需要综合考虑身份、目的、地点以及由此产生的影响结果等各要素，并针对不同场景进行全面评估，从而规避一种利益空间对另一种利益空间的过分挤压，尤其注重协调具体场景中信息处理与信息主体自决的程度关系，进而促进不同利益间的平衡。具体而言，第一，信息处理者应当依据具体场景中信息主体的合理预期对其收集个人信息的说明方式及信息主体同意的表示方式作出限定；第二，信息处理者应当根据场景中信息收集的必要程度和时限变化适时调整识别手段；第三，信息处理者应当对人脸识别等技术应用的必要性、精准性、安全性进行评估。

习近平总书记强调：“国家网络安全工作要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。”建立个人生物识别信息的合理使用体系，有利于规范个人生物识别信息的使用、平衡个人利益与公共利益，保障公民合法权益。

（一） 适用个人生物识别信息“特定目的+单独同意”规则

“特定的目的”首先意味着个人生物识别信息有着具体而非抽象的用途，该用途是确定而非泛化的。对预定目的进行明确是处理个人信息的前提，同时也要考虑信息主体的可预见性期待，即信息主体应该能够预见到信息处理的方式，且这种方式不应超出信息主体的合理期望。其次，应在进行信息处理行为之前对个人生物识别信息处理活动的目的予以明确，对目的描述提供足够的细节，使之具备辨识度。后续的处理行为应当以该目的为中心，围绕其展开，而绝不允许发生任何无目的的个人信息处理行为。同时，使用个人生物识别信息与目的事业相符。所谓的“特定”是指法定或约定的明确限制，对个人生物识别信息进行处理时必须出于法律明确规定的履行职责的目的，或者出于合同约定的明确目的。因此，在处理个人生物识别信息时：首先，不能超出预先明确设定的目的；其次，一旦特定目的达到或消失，必须立即停止处理相关行为；最后，如果想要变更具体目的，也应该以原先设定目的的合理范围为限度，不得超出原先的范围。

同时，在处理个人生物识别信息时，需要比处理一般个人信息更加慎重，应该优先获得个人单独同意。单独同意的直接好处是，个人信息处理者将提供更加详细的处理目的、处理规则和权益影响等信息，并赋予信息主体权利，可以单独选择是否同意信息的加工处理。加强处理个人生物识别信息的同意要件，可以使同意内容更加具体和显著，有助于信息主体更加审慎地做出决策，并重视个人生物识别信息的风险防范和安全管理。这样，可以解决“强制收集”等严重限制同意自由行使的问题，这种限制表现为强制捆绑多项服务或功能，征求一揽子的同意以及对个别服务或职能的资料收集进行扩展。强化个人生物识别信息同意规则的标准，让同意内容更具针对性，可以帮助信息主体更加审慎地做出决策，并增强其对个人生物识别信息的风险防范和安全管理的重视。

（二） 明确个人生物识别信息侵权损害结果的认定方法

非法使用个人生物识别信息可能并不会给个人财产带来直接危害，但是由于生物识别信息具备人格权和财产权双重属性，对其不正当使用极有可能造成人身或者财产损失并引发犯罪。例如，四川省人民法院曾审理一起案件张羽、唐杰、李瑞安侵犯公民个人信息罪，四川省成都市郫都区人民法院（2019）川0124刑初610号刑事判决书。，被告通过非法手段获取被害人的肖像，并制作了被害人的3D人脸图像，从而利用人脸动态图像盗取其支付宝财产。此外，我国财产损害赔偿制度是从差额说出发建构起来的一种完全赔偿制度，即在没有财产差额的情况下，则不会有损失。因此，当个人生物识别信息被非法采集但尚且没有给信息主体带来财产损失或人身损害时，信息主体就无法证明其已经遭受过伤害，从而也不可能得到相关补偿。

据此，笔者认为应该将个人信息自决权纳入公民个人信息的法益之中，这样生物识别信息所有者对信息便可享有主动权，这种权利是“进攻性”的，而不仅仅是“被动防御”的。也即如果个人信息权利受到侵害，侵害范围应包括真实的伤害和潜在的不利后果，因此，信息主体无需等到严重后果，无需增加独立或附加损害证明，也可要求侵害者承担相应的责任。例如，如果信息窃取者未经信息主体知情而擅自窃取其生物识别信息时，就已经侵犯到了公民个人信息，至于窃取者在窃取到这些信息后是否使用，并不影响该行为本身对公民信息权的侵犯。基于此，我国可以参考借鉴GDPR的损害推定模式，其要求信息控制者和处理者证明对引起损失的事件没有任何责任，才可以免除损害赔偿责任，换言之，原告无需证明实际损害及其不利后果，即可要求赔偿。

（三） 构建个人生物识别信息保护治理体系

在法律规定方面，我国已经有敏感个人信息保护相关条款。但是，如前所述，个人生物识别信息所包含的法益价值明显高于其他敏感个人信息，即个人生物识别信息被侵犯后所造成的法律后果较为严重且不容易被弥补。并且，我国尚未出台专门针对个人生物识别信息单独的保护规定，对这类信息所产生的风险并未引起足够的重视，导致个人生物识别信息在我国只能像一般个人信息一样获得保护，相关学术讨论也相对较少。同时，因为对个人生物识别信息使用人权利保障问题关注不够，导致部分非刑事侵犯公民个人信息案件，我国法院司法审判所做的多为无关痛痒的判决，难以对部分侵犯公民个人生物识别信息的大企业产生警示效果。当前，欧盟、美国等对侵犯个人生物识别信息的处罚力度比较严厉，特别是对部分大企业的判决结果明显具有警示之效，有利于通过司法保护个人生物识别信息。

因此，“就我国目前生物识别技术的应用，宜采取专门立法的保护模式”，需要在借鉴国外法律制度的基础上，制定专门法律来规范生物识别技术以及个人生物识别信息的处理。专门的法律可以在短时间内建立起综合的个人生物信息保护框架，具有较强的针对性，同时还能更全面地规定个人生物识别信息可能受到侵犯的方式、权利和义务，以及法律责任。并且，在生物识别技术的应用中，需要设置专门的数据保护机构以保障信息数据监管工作的权责统一及政策整体性；有必要明确公权行为与私人行为之间的边界，对公共部门和私人机构在个人生物识别信息处理及保护上分置不同的资质、权限与要求；针对个人生物信息数据的处理、流通设置更为细致的合同与交易机制安排，通过合同与交易机制促进利益各方主体对个人信息收集、使用、交易形成多样化、场景化的权益安排。

当然，制定针对生物信息识别技术以及个人生物识别信息的专门法律时，不应仅仅考虑特定技术或领域的规制，还需要将综合保护模式的一般法律原则、监管措施和多层法律保护机制纳入具体立法之中。这有助于克服国外专项保护立法的缺陷，例如保护措施过于简单和保护机制不完备等问题，从而促进内部和外部的法律法规之间的协调与衔接，完善国家信息安全法律制度体系，并提高风险防范和抵御能力。同时，建构个人生物识别信息合理使用的制度规范，使个人生物识别信息得以在法律的框架内被收集、使用。确保个人生物识别信息的多重法益得到全面的保护，从而实现科技向善的美好愿景。

数字化时代，个人生物识别技术呈现出前所未有的迅猛发展态势，其技术迭代与应用的扩张速度，已显著超越了全球多数国家对其进行立法管理的进程，由此导致技术与法律之间出现了一定程度的失衡现象。鉴于此，明确个人生物识别信息法律属性、平衡各相关主体利益，构建个人生物识别信息合理使用制度已成为当前亟待解决的重大课题。个人生物识别信息合理使用的法治化进程，不仅是积极响应全面依法治国战略，加速推进法治国家、法治政府及法治社会建设的时代要求，更是基于对国家利益、社会公共利益与个人权益三者之间复杂关系的深思熟虑与综合权衡。建立并完善个人生物识别信息合理使用的法律制度，能够为数据的收集、处理、利用等各个环节提供明确的法律指引，有效促进各方利益主体在法治轨道上的相互协调与合作，是确保技术进步与社会秩序和谐共生的必由之路。从而确保在促进经济社会发展的同时，也能充分尊重和保障个人隐私权及信息安全，对于推动大数据战略的深入实施具有至关重要的意义。衷心希望我国能够早日建立具有中国特色的个人生物识别信息合理使用制度，推动个人生物识别信息保护法治化进程的纵深发展，构建一个更加安全、有序且公正的数字社会环境。