個人生物識別信息商業化應用規制：路徑對比與規則補正

摘 要：“私密信息”邊界存疑，使個人生物識別信息商業化應用究竟應當以隱私權路徑，還是個人信息保護路徑進行規制產生了爭議。對比兩條路徑的規則文本、現實實踐，隱私權路徑信息性質不確定性強、事后控制為主、風險撲朔等特點礙于商業創新，而個人信息保護路徑特點相反，利于在保護個體信息權益時，為商業應用提供穩定的風險預判。但現有個人信息保護規則在面對具體類別個人生物識別信息時，規則似為原則。對此，應當嵌入場景理論以細化規則，從場景劃分、“技術嵌入”、程序規則三個層次梳理嵌入邏輯，并通過場景化“信息自決權”、信息處理者義務、侵權救濟等規則，補正個人信息保護路徑中具體規則之闕謬，實現個體控制價值與商業流動價值間的平衡。

關鍵詞：個人生物識別信息；個人信息保護；隱私權；場景化；商業化

中圖分類號：D 913 文獻標志碼：A 文章編號：2096?9783（2023）05?0128?10

一、問題的提出

黨的二十大強調“加快發展數字經濟，促進數字經濟和實體經濟深度融合”，以實體經濟為根基，促進“數實融合”，將是當前以及今后經濟發展的重要任務。在“數實融合”過程中，人體指紋、掌紋、面容、虹膜、基因等個人生物識別信息常作為實體與虛擬間的“密鑰”，應用在主體識別、物聯網等場景中。有數據測算，目前個人生物識別信息商業應用處于高速發展期，中國生物識別產業市場將保持18.5%的年復合增長率，2025年市場規模將達930.5億元[1]。

商業化應用高速擴張必然伴隨著風險擴張，在采集、儲存、傳輸愈發便利的同時，信息采集未授權、儲存高風險、傳輸不透明、處理不合規等問題也越為凸顯。例如，眾多售樓處未經客戶授權，卻直接拍攝客戶形象識別客戶身份，用作中介傭金分配依據[2-3]；家用智能鎖等物聯網設備使用日益普遍，卻大多缺乏專用安全儲存設計，所儲存指紋信息甚至可通過Wi-Fi被竊取[4]；聲紋合成、人臉合成等深度合成技術在為用戶帶來新奇娛樂體驗的同時，卻隱含著聲紋信息、面部信息被第三方私自合成用作他途的風險；基因識別用于為主體預測患病風險以達到“早知早治”目的時，卻可能被用人單位作為員工篩選條件，造成就業歧視[5]。而且，相比于一般個人信息，個人生物識別信息因其唯一性與難以變更性，可牽引出更多其他隱秘信息，被濫用后，無論是對財產、人身，還是對倫理、尊嚴都有著難以量化的、隱秘且長遠的風險。

但是，存在風險不能等同于屏蔽應用。個人信息的保護取決于在信息保護與信息流動這兩種利益之間如何實現恰當的平衡[6]。當前對個人生物識別信息的保護主要依據《中華人民共和國民法典》（以下簡稱《民法典》）與《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），可二者在應用過程中卻存在張力與背馳。《民法典》“隱私權與個人信息保護”專章確立了我國“隱私權”與“個人信息保護”平行的二元法律架構，其第一千零三十二條中“隱私是……私密信息”與第一千零三十四條中“個人信息中的私密信息，適用有關隱私權的規定”的表述，又使隱私與個人信息之間出現了“私密信息”這一交叉區域。

然而，《個人信息保護法》中并未回應何種類別信息屬于“私密信息”，更未回應個人生物識別信息是否屬于“私密信息”。由此，有學者認為應當將個人生物識別信息認定為敏感信息，以個人信息保護路徑來規制[7]；也有學者認為應當進一步將其確認為“私密信息”，以《民法典》隱私權路徑進行規制[8-9]。因而，橫貫在個人生物識別信息商業化應用規制路徑中的首要問題是：個人生物識別信息究竟應當歸屬于私密信息踏入隱私權路徑，還是僅作為個人信息遵循“特定目的+充分必要”條款走個人信息保護路徑？在這種爭論之上，同時需要注意的是，個人生物識別信息本身類別豐富、應用場景復雜，且難以變更，有著比普通敏感信息更高的風險性，當前兩條路徑對該等特點的回應是匱乏的。如此，對于個人生物識別信息商業應用的規制，需要逐步分解：個人生物識別信息究竟屬性如何，是否切實具有區別于現有路徑的獨特規制需求，如何在信息主體、信息處理者的權利義務框架中修正規則以回應規制需求？

二、規制路徑：隱私權抑或個人信息保護？

（一）文本層面：信息性質客觀性存在差異

個人信息保護路徑相對于隱私權路徑，更注重信息處理者與自然人在信息處理能力上的實質不對等，且權利保護范圍更確定、廣泛。具體而言，隱私權的核心關切是私密性與公開性的關系，而個人信息權益的核心關切是個人信息保護與社會利用。隱私權規則屬于純粹私法規則，保護框架為侵權責任進路，規則設定視角為平等民事主體之間，主體實質能力平等與否在所不論；個人信息保護中有大量公法性質規則，其以信息處理方與自然人之間在信息處理能力上的實質不對等為規則構建原點，規則設定側重事先調整，通過為個人信息處理行為設定合目的性、必要性等事先限制，來控制好個人信息處理這一“閘口”，以彌補不對等所隱含的巨大風險。

回歸至個人生物識別信息，若以隱私權路徑規制之，會面臨兩方面詰難：一是某信息是否為隱私屬于主觀判斷范疇，而信息是否為個人生物識別信息實為客觀標準，屬事實判斷，也即個人生物識別信息被侵害后，能否以隱私權主張之，還需法官在案件中予以自由裁量；二是隱私權客體是處于私密狀態中的信息，可個人生物識別信息中的人臉、步態、聲紋等日常暴露在外，難言私密性。但若以個人信息保護路徑規制之，即便人臉、步態、聲紋等長期暴露，個人生物識別信息必須經過“技術處理”這一客觀過程是無法更改的，也即信息處理者未經法定程序收集、利用該等信息時，行為一經形成便具備了可訴性。因而，個人信息保護路徑對個人生物識別信息的保護更為確定、廣泛。

（二）實踐層面：信息流動價值及風險發生存在差異

隱私權路徑相對于個人信息保護路徑，有如下三方面的劣勢：一是隱私權以“事后控制”為主，隱私性質的判斷高度依賴于裁判者認知，此時，再疊加個人尊嚴利益的開放性與抽象性，會使企業權衡信息主體控制價值與信息流動價值時陷于高度的合規不確定性中，難以預判商業模式的風險，降低商業應用創新之欲望[10]。相對而言，個人信息保護一般為“事前控制”，企業在進行商業化應用時只要符合法律規定的告知、知情同意、安全保障等義務，行為后果便具有較高的風險可預判性。二是個人信息保護路徑側重于信息積極控制，隱私權路徑則以消極防御為重心[11]。對于個人生物識別信息這種高敏感性高風險性的信息，若僅以消極防御為主，缺乏對風險預判、風險隔離等控制性權利的配置，會增加信息主體遭遇風險的可能性。三是作為具體人格權的隱私權受到侵害時，主要救濟為精神損害賠償，若應用至個人生物識別信息場景中，個人生物識別信息不正當處理所引發的或者可能引發的財產性損失將難以得到補償。

（三）個人信息保護路徑的相對適當性與闕謬

規則設定一方面應當保障個人尊嚴與自由，另一方面也應當權衡人類發展利益與個人權利保障的邊界。當前，生物識別產業市場依然處于生長階段，對生物識別產業規范化引導比封鎖更利于探索人類生活新方式、拓展人類生活新空間。兩條路徑相較，個人信息保護路徑因注重信息相關主體力量對比、更側重“事前控制”的特點，將比隱私權路徑更適宜在保護個人權利的同時激勵信息技術發展。

然而，個人信息保護路徑亦有其適用困境。當前，《個人信息保護法》采用統一立法模式，將所有個人信息處理商業化行為均納入管轄范圍，且兼具公法與私法屬性，既包括國家對信息處理者的監管規制，也包括個體與商業化信息處理者之間的民事關系調整，也因此《個人信息保護法》整部法律74個條文在規則與原則的“比重”分配上，體現出了更強的“非純粹規則性” [12]。盡管第二章至第四章均以“規則”命名，但因信息分類具體化不足，很多類別的信息難尋安身之處，“規則”在具體適用時又成為“原則”。個人生物識別信息在《個人信息保護法》中亦未進行具體區分，面部識別特征、虹膜、指紋、基因、聲紋等均作為敏感個人信息適用同樣的規則。事實上，不同個人生物識別信息商業化應用所隱含的風險并不一致，例如，商業保險中收集面部信息與收集基因信息會產生不同的結果，面部信息多被用來核實被保險人身份，但基因信息卻可能被用來檢測被保險人健康信息、疾病信息，使被保險人陷入基因歧視[13]。雖然以個人信息保護路徑出發強調“事前控制”利于在自然人個體與商業組織之間尋求到平衡點，推動商業化發展進程，但“事前控制”的有效性依賴于規則構建的完善性，規則體系不進一步分層化、具體化，反而會縱容商業組織發展出嚴重悖于個體人格利益的商業模式。

三、嵌入場景理論支撐個人信息保護路徑

對于《個人信息保護法》內容層次、類別劃分過于原則化，難以兼顧各類具體風險的問題，場景理論可作為有效補充，為規制個人生物識別信息商業化應用提供更為明確的規則指引。

（一）場景理論的基本邏輯

場景理論由美國學者Helen Nissenbaum（2004）提出，其反對將信息簡單“公私二分”，倡導以“場景完整性（Contextual Integrity）”來對信息內涵與邊界進行動態控制，核心原則是個人信息收集、流轉應當與具體場景相契合，即當某一信息從一個信息處理者流向其他信息處理者時，信息所處場景變化，信息風險隨之變化，規制需求也產生變化，所以信息收集時的場景應當得到尊重，后續信息傳播與利用不得超出該場景[14]。

Nissenbaum的場景理論提出后，成為數據、信息、隱私保護領域的重要觀點。我國學者就個人信息與“場景”之間的關系也展開了廣泛討論，凸顯不同場景下信息流轉對規則需求的差異[15-23]。關于信息性質界定，依據場景理論，應當擺脫“全有或全無”的思路，根據信息處理行為所處場景，對該場景中各類元素，尤其是信息主體身份、信息處理者身份、處理目的、處理情景、處理后果等進行綜合評價[22]。關于信息傳輸規則，一般個人信息可采用“相對同意”之方式，但對于個人生物識別信息、兒童個人信息等敏感信息，必須堅持“絕對同意”①為前提[20]。關于權利救濟，個人信息權益是否被侵犯需要在具體場景中加以確定，個人信息保護應當考慮場景、行為人、信息類型、傳輸原則等不同要素，針對不同場景適用不同規則[16]。

場景理論在立法中也得到諸多認可，如美國《消費者隱私權利法案（2015）》（Consumer Privacy Bill ofRights Act of 2015， CPBR）提出“尊重場景原則”，要求企業收集、使用和披露個人信息的場景應當與向消費者收集數據時場景相一致；歐盟《一般數據保護條例》（General Data Protection Regulation，GDPR）規定信息處理必須限定在與初始收集目的一致的范圍內，關于信息進一步處理是否與初始目的相一致，需考慮數據收集時的場景，尤其是信息主體與信息控制者之間的關系；我國《個人信息保護法》中亦有類似“尊重場景原則”之條款，第十四條規定當個人信息處理目的、處理方式和處理種類發生變更時，應當重新取得個人同意。可見，立法中“尊重場景原則”著重體現在對信息主體“合理預期”的尊重上，無論是“信息進一步處理是否與初始目的相一致”，還是“信息處理方式發生變更時應當重新取得個人同意”，都以信息處理突破原始場景有可能違背用戶“合理預期”為邏輯起點。

因而，對于個人生物識別信息商業化應用規制路徑中的場景理論可作如下理解：根據個人生物識別信息應用場景中所體現出的信息技術特征、信息性質、信息風險，結合信息主體的“合理預期”，采取契合場景的、具有針對性的法律規制手段，并要求信息處理者對個人生物識別信息的應用不得超過“合理預期”。應當明確，場景理論并非指僅依據場景來匹配侵權的事后救濟方式，更強調圍繞對場景的尊重，事先制定出不同場景下具體化的特殊規則。

（二）場景理論嵌入個人信息保護路徑的策略

個人信息保護路徑對于個人生物識別信息的規制缺憾，主要在于將面部識別特征、虹膜、指紋、基因、聲紋等均作為敏感個人信息適用同樣的規則，《個人信息保護法》中名為“規則”的內容在具體適用時淪為“原則”。將場景理論嵌入進個人信息保護路徑，就是將場景理論嵌入個人信息保護以“事前控制”為主，兼具公法規則與私法規則的規制路徑中。關于場景理論嵌入個人信息保護路徑的策略，結合場景理論基本框架，可從以下三個層次的邏輯遞進中進行建構。

第一，以個人生物識別信息的類別及應用階段來劃分“場景”。合理劃分場景對于法律規則場景化制定具有基礎性意義。關于場景劃分方法，學術界與實務界有多種觀點。場景理論創始人Nissenbaum提出了四種分類方式：以技術平臺或系統劃分場景；以行業劃分場景；以商業模式劃分場景；以社會領域劃分場景，并認為以社會領域劃分場景在政策制定領域有著更為積極的作用[24]。我國有學者從行業領域視角區分出電子商務、智慧政務、自動駕駛、精準醫療等場景[18]。亦有學者認為應當依據信息來源、參與主體和傳輸原則的不同，將場景區分為單一場景與復合場景[23]。在現有技術標準中，則主要以技術類別及信息處理階段為場景劃分標準，如現行國家標準分別發布了指紋、人臉識別、虹膜、聲紋、指靜脈、基因等信息技術標準②，又在每類標準中依據信息處理階段區分采集、比對、存儲等場景。以上分類方式均有其合理之處，但對于個人生物識別信息來講，其敏感性與危險性主要體現在信息類別上，如指紋、聲紋信息很難關聯到就業歧視，基因信息、面部信息卻很可能使信息主體被拒于就業機會之外。這種因類別而產生的差異自然需要差異性的規則。若以商業模式或行業領域來劃分，區分為電子商務、自動駕駛、精準醫療等，一方面很難兼顧不同類別信息的風險差異，如將類別場景與之相乘，易使規則因復雜性高而產生規則混亂，另一方面也會因數據時代新型商業模式層出不窮而陷入規則永遠滯后的問題中。因而，此時相對于外延不確定的劃分模式，個人生物識別信息的類型更具有穩定性，采用類似國家技術標準以“信息的類別及應用階段”來劃分場景的方式更為合理。

第二，通過“技術嵌入”將場景化的信息處理者義務內化為商業應用邏輯。個人生物識別信息在收集、儲存、利用階段風險存在差異，依據場景理論，應當為信息處理者配置場景化的義務。但多元場景與相應規則相乘，無疑會產生大量相似卻又不同的規則，如此，僅文本披露便有著高度復雜性，會大量增加信息處理者學習成本，也會增加規則適用錯誤的風險。通過技術方式將場景化規則在信息系統設計、開發時嵌入系統結構中，是解決復雜法律規則難以讓人知曉、理解和執行的有效措施。這種嵌入可以有兩方面的體現：一是類似隱私保護設計（Privacy by design，PbD）技術，在產品開發時，適配產品應用場景將個人生物識別信息保護規則嵌入進產品全生命周期的業務流程及基礎架構中，以便該產品自動執行相應的信息保護義務。二是在商業網絡平臺上嵌入各類“合規提示”，因為互聯網平臺上進行的各類互動行為都可以被識別、記錄與分析，此時法律規則可以通過可計算的法律系統自動適用于這些具體的業務場景[25]。

第三，完善程序性規則以防止場景理論將個人生物識別信息帶入法律適用的不確定性與恣意性窠臼之中。以個人信息保護路徑為基礎路徑的重要緣由之一是該路徑具有較強的可預見性，利于商業主體預測行為風險，激勵商業模式與技術的創新。但場景理論基于信息處理具體場景進行綜合判斷的特征，可能使得個人信息權益在救濟階段落入法律適用的高度不確定性之中。因而，為了避免場景理論引發恣意性質疑，場景化應當建立在明確的程序規則基礎上，一方面，當事先制定出的不同場景下具體化特殊規則已經較為完備時，應當明確若商業主體可證明信息處理行為合規，便認可其處理行為的合法性；另一方面，應當制定適應個人生物識別信息場景中個人與企業實質不平等的證明規則，且針對個人生物識別信息高風險性厘清糾紛當事人的證明標準。

四、個人生物識別信息商業化應用規制規則補正

為使以場景理論完善個人信息保護路徑的策略落實于具體規則，下文從信息主體權利、信息處理者義務、信息糾紛解決三個向度進行分解，以期得到更具實踐性的個人生物識別信息商業化應用規則。

（一）強化個人生物識別信息主體“信息自決權”

信息自決權在我國學術界得到眾多肯定，認為信息自決乃是個人信息權益的本質。但亦招致不少反對，有學者認為如此無異于保護一種漫無邊際的自由意志，忽視了個人社會活動開展所依賴的信息交流前提，其產生的效果不僅是個體對個人信息的支配，更相當于是對他人行為的支配[26]；或認為這種不分層的保護容易導致保護范疇過度擴大，基于個人意志的預防式控制容易導致過度保護[27]。肯定性觀點在于認可信息主體占有與控制個人信息是一種排他的絕對權，他人不得干涉與侵害；反對性觀點則從個人信息保護應當分層分類的視角出發，認為不加區分地對個人信息進行同等保護弊端明顯。但是，當研究對象集中于個人生物識別信息時并不會遭受相似詰難，因為不論何種類別的個人生物識別信息都可作為打開個人其他信息的“密鑰”，商業行為追求利益的屬性會擴展這種原本就已經具備高度人身、財產威脅的風險，故而，縱然不同類別個人生物識別信息風險程度有差異，但均屬于高敏感個人信息，在商業應用場景中均匹配信息支配權實屬應當。

據此，審視我國《個人信息保護法》，其中第四十四條至第四十七條賦予了信息主體知情權、決定權、查閱權、復制權、更正權、刪除權等權能，可看作是信息自決權在我國的部分具體化③。但這些規則無差別地適用于一般個人信息與敏感個人信息并不適宜。有學者提出“兩頭強化”策略，即敏感信息應當強化個人利益的保護，一般信息應當強化信息業者與國家對信息的利用。鑒于個人生物識別信息高敏感性及場景理論之嵌入，強化對個人生物識別信息主體“信息自決權”的保護，且依據場景構建不同保護規則是為應有之義。

以“基因信息”處理場景為例，強化保護應當體現在對信息處理者合理使用范圍的限縮、對信息主體選擇不知情的尊重。基因信息蘊含著眾多其他敏感信息，其不僅可以作為“生命密碼”識別主體身份、種族、生理機能與健康狀況，甚至可以作為“未來日記”來分析主體未來患病的可能性[28]。對此，GDPR將基因信息從生物識別信息中剝離，專門定義基因信息，國際上也發展出“基因信息不知情權”④，主張權利人有權不接受基因信息的披露，尤其是關于未來疾病風險的披露，以免自身承受心理傷害⑤。因此，相對于面部信息、指紋、虹膜、聲紋等，基因信息自決權應當凸顯如下兩方面：一是警惕種族、疾病等信息帶來“基因歧視”，如基因信息不應當適用《個人信息保護法》中“為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需……信息處理者不需取得個人同意”的條款，避免用人單位、保險公司等以“合同”為由根據基因信息采取歧視性待遇。二是考慮賦予信息主體選擇不知情的權利，信息主體可依據自己的價值觀判斷在多大程度上接受基因信息的披露，可明確拒絕知曉全部或者部分基因信息，完善基因信息自決權的消極維度[29]。

（二）場景化構建個人生物識別信息商業處理者義務

個人生物識別信息處理環節主要包括生物特征采集、存儲、傳輸、分析、構建模板、產生樣本、信息比對、身份匹配等[30]。該等環節并非一定對應不同的處理者，通常是由同一處理者交錯完成。在技術處理日新月異的情境下，與其精確區分信息收集者、信息處理者、信息控制者的身份，倒不如予以統一身份——“個人生物識別信息處理者”。對所謂收集者、處理者、控制者的規制轉變為對“信息處理者”在不同信息類別及應用階段的場景化規制。

《個人信息保護法》第二十八條第二款對敏感個人信息的處理做了特殊限制，要求處理行為同時符合“特定的目的”“充分的必要性”“嚴格保護措施”三項條件，這三項條件分別對應目的限制原則、最小必要原則與安全保護原則[31]。個人生物識別信息處理者義務的場景化構建亦是在這三項原則基礎上進行具體化。

1.為信息主體建設場景化“合理預期”

目的限制原則要求處理行為與處理目的之間直接關聯，最小必要原則要求個人信息的處理類型最少、數量最少、期限最短[32]。兩項原則與“尊重場景原則”均要求信息處理立基于信息主體“合理預期”之上，處理目的的模糊或變化、處理范圍的擴張都可能溢出“合理預期”。“合理預期”需在具體場景中有與場景相適之表達，信息處理者義務亦應當圍繞“合理預期”展開，鋪墊好處理行為的正當化基礎。

其一，精準陳述“特定目的”，建立起主體對信息場景與風險的清晰認知。精準陳述“特定目的”不僅是對目的限制原則的落實，也是最小必要原則的應用基礎，只有目的精準，才能使信息主體真實具備判斷信息收集必要性的條件，進而做出是否提供信息的決策。現實中，不少爭議源于信息應用與主體合理預期不相符合，例如，我國“人臉識別第一案”起因于杭州野生動物世界在采集當事人照片時，未說明照片所含人臉信息將被錄入門禁識別系統，所以當事人認為其人臉信息被用于入園驗證是超出預期的，是對其個人信息安全保障權、知情權以及選擇權的排除與限制⑥。所謂精準陳述，即應當描述清楚信息處理是在何種情況下為達到何種目的，如應當表述為“當您使用租車服務時，為保護出租方財產權利，我們需收集您的面部識別信息、人車合影信息，以核實是否為您本人使用服務”，而非“為提供更優質服務”“為確保程序運行”“為進行交易”等泛泛之描述。

其二，逐項取得信息主體授權，“知情同意”動態化。隱私政策常常因為冗長、專業、枯燥而常常無法有效告知用戶，以“滴滴”隱私政策為例，全文近2萬字，涉及核心業務場景12類，收集個人信息20余種，其中敏感個人信息包括身份證、信用信息、銀行卡卡號及預留手機號、行程信息等，個人生物識別信息有面部識別信息、聲紋（錄音）等[33]。如此冗長的隱私政策，若利于用戶疲于閱讀的習慣，以純文字形式呈現，“一攬子”獲取同意，無異于未經過告知同意。對此，《個人信息保護法》第二十九條明確處理敏感個人信息應當取得個人的“單獨同意”，然而法條對于何為“單獨同意”未作進一步陳述，為防止“單獨同意”流于形式，應當以司法解釋等明確：禁止一攬子授權，需要逐項明確告知，逐項取得信息主體授權[22]。在具體實施過程中，對于不同類別的敏感信息，尤其是個人生物識別信息，應當以“彈窗”“警示”等形式進行直觀呈現，不同類別的個人生物識別信息也可根據風險差異采用不同警示度的告知。

此外，遵循最小必要原則，除非特殊情形，平臺不得將收集個人生物識別信息限定為實現業務目標的唯一方式，在提供多種可供選擇的身份識別方式時，不應將使用個人生物識別信息方式作為初始設置的默認選項。

2.企業信息處理技術安全場景化

生物識別商業化應用產業鏈條中，與個人生物信息處理相關的生物機構可以區別為兩類，一是生物識別技術供給商，二是生物識別技術應用商⑦。前者進行技術研發，作為技術提供者間接影響生物識別信息收集階段的合規性；后者進行商業應用，直接影響個人生物識別信息是否被合理處理。因而，對這兩類主體應當做差異化制度安排。

生物識別技術供應商技術供應需符合相應類別生物信息技術標準，并進行行政備案。之所以強調技術“供給機構”而非“研發機構”，是為了明確技術在研發過程中是“中立”的，無論研發過程中有何疏漏都無苛責之理由，但所研發技術作為產品向應用商售賣時，產品必須符合相應的技術要求。不同的生物識別技術在隱私性、穩定性、安全性等多方面存在差異，如指紋信息易采集、易仿造、財產性風險高；人臉信息易采集、常暴露、財產性與人身性風險俱高；基因信息難采集、難仿造，人格尊嚴侵害風險高。因而，不同的技術應當滿足不同的技術標準。當前，國家市場監督管理總局、國家標準化管理委員會已經針對基因、虹膜、聲音、血管、人臉、手型等發布了系列技術標準、安全標準。可賦予該等標準一定參考性，甚至是強制性，要求生物識別技術供應商在進行技術產品輸出時必須符合當時的技術標準，并在技術供應周期內定期維護，避免個人生物識別信息因技術系統安全性差而被非法處理。

生物識別技術應用商內部需配置企業信息合規機制。《個人信息保護法》第五十四條規定“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計”，該條文明確建立合規機制保護個人信息是企業的法定義務。2007年《信息安全等級保護管理辦法》便已經確立網絡安全分類分級保護制度，企業內部信息合規機制也應當依據信息類別分類分層，建立符合個人生物識別信息高度敏感性的、有區別度的數據合規機制。同時，依據個人生物識別信息處理流程，不同階段信息合規審查至少滿足如下標準：（1）信息收集。特定目的具體化、目的與收集行為之間具備充分必要性、單獨逐項告知用戶并取得同意。（2）信息儲存。不得長期儲存用戶生物識別信息，期間屆滿時需重新取得授權；建立符合技術標準的安全保障機制，對外嚴禁公開，對內設立數據訪問權限機制，并為用戶提供僅供用戶個人查詢的個人信息被收集清單。（3）信息使用。依據《個人信息保護法》第二十四條，建立包括算法透明、算法公正、算法弱勢群體保護機制在內的算法審查機制，同時明確配合用戶行使信息查詢權、更正權、刪除權等信息自決權的流程[34]。（4）信息流轉。禁止企業在未取得用戶明確、單獨的授權時向關聯企業共享個人生物識別信息。

（三）以商業處理者“侵權之訴”代替“違約之訴”

我國《個人信息保護法》在法益保護、告知同意、損害救濟、行政監管等多個層面都體現了濃烈的公私法融合特征[35]。就損害救濟而言，《個人信息保護法》為個體提供了投訴、舉報、訴訟等多種救濟權利，投訴與舉報是個人向相關行政部門尋求公權力調查介入，訴訟既包括個人獨立提起，也包括公益訴訟。關于這幾種救濟方式的討論主要集中于“訴訟”，個人信息保護規制路徑并不能直接得出該類訴訟均為“侵權之訴”，亦有學者認為其屬于違約之訴，理由是企業責任來源于企業與個人之間的服務合同，信息泄露、信息濫用是對合同條款的違背，如“人臉識別第一案”案由即“服務合同糾紛” [36]。

若采違約之訴，以“合同關系”來認定企業與個人的關系，會面臨如下困境：一是難以獲得無瑕疵的用戶意思表示，平臺信息保護文件一般繁瑣冗長，幾無用戶詳細閱讀，即便通過逐項征求“知情同意”督促用戶詳細閱讀個人生物識別信息相關條文，依然無法保證用戶有足夠的表意自由，因為當用戶對某平臺的使用形成習慣后，若平臺更新服務、更新信息保護條款內容，用戶基于使用成本的考量只能選擇接受該種變動，此種情境下用戶表意自由被嚴重限縮。二是難以有效保護信息主體的權利，將平臺信息保護文件視為合同時，其內容符合格式條款“為了重復使用而預先擬定”的條件。但依據《民法典》，只有當提供格式條款一方“不合理地免除或者減輕其責任、加重對方責任、限制對方主要權利、排除對方主要權利”時，條款無效。事實上，在這一類案件中多數糾紛并非源于格式條款的不合理，而是由于逾越隱私政策文本的信息處理行為損害了用戶利益，此時若以合同路徑主張之，會陷入合同條款約定不周的困境[37]。

傳統侵權之訴基本理念為“無損害，無救濟”，圍繞“損害”有兩種基本觀念，一是損害實際發生，二是侵害行為與主體狀況變差之間具有因果關系，財產性損害需判斷侵害行為發生前后是否存在利益差額[38]。但這種傳統侵權損害觀念也在逐步變化，損害確定性要求大為降低，如環境法領域用風險概念替代損害，醫療領域認為患病風險增加、避免疾病機會喪失都構成損害[39]。個人生物識別信息保護場景下，變革傳統侵權之訴中損害現實發生觀念的需求也已顯現，個人生物識別信息泄露大多時候并不會直接造成財產損失，而是經過一段時間的潛藏后逐步造成危害，同時，由于生物識別技術高度復雜，信息處理鏈條往往交錯纏繞，很難界定究竟是哪一主體在何時侵害了個人信息權益，這樣的情境下若堅持嚴苛的侵權責任損害結果、嚴苛的因果關系判斷，會將侵權之訴對信息主體的保護也囿于殘缺。

相較于違約之訴以“合同關系”為基礎，忽視企業與個人之間信息處理能力的懸殊，苛于個人過高的注意義務，優化侵權之訴程序設計更為適宜。在侵權責任體系損害賠償與確認過錯的功能逐漸下降，而威懾與預防功能逐漸生長的當前[40]，借鑒環境領域、醫療領域對于侵權損害的拓展性理解，個人生物識別信息侵權之訴應予適當重構：（1）“損害”認定。可以將風險作為直接損害，即使損害尚未真實發生，只要各種事實形成的鏈條表明因信息處理不當造成未來遭受損害的風險是客觀的、確定的，就應當認為“損害”成立，即使損害在未來并未實際發生[19]。（2）證明責任。對于個人生物識別信息這種高敏感的信息而言，應當課予信息掌控能力更強的商業處理者以更重的證明責任，適用《個人信息保護法》第六十九條第一款規定的過錯推定責任是合適的，處理者需證明完整履行了信息保護義務，或證明被訴行為與損害結果之間不存在相關性。相關性證明標準依據案件場景不同可作差異化適配，如，在損害結果實際發生的一般場景中采用高度蓋然性標準，在損害結果為“風險狀態”的特殊場景中可采用合理蓋然性標準。其中，確認“風險合理蓋然性”需要依據信息敏感程度、信息暴露程度，以及風險預防成本等作綜合判斷，這也要求著司法機關接受來自統計學、精算學的證據。

綜合本文之分析，關于“問題的提出”部分涉及的信息采集未授權、儲存高風險、傳輸不透明、處理不合規等事例，可作如下回應：對于家用智能鎖等物聯網設備，應當強化其技術供應商行政監督程序，一方面為其提供技術標準。另一方面強制行政備案，阻斷安全不達標的信息采集儲存技術流通；對于聲紋合成、人臉合成等深度合成技術，在強化事前備案的同時，必須內置完整PbD設計，逐項精準陳述“特定目的”取得用戶授權，不得脫離用戶授權進行“換臉”“合聲”操作；對于基因這種敏感程度極高的生物識別信息，禁止以“就業合同所必須”為由的所謂合理使用；對于未經客戶授權隱秘采集人臉的，事后救濟時以風險存在為侵權標準，計算賠償。

五、結語

生物識別技術為人類生活創造出了諸多便捷，大幅節省了身份識別場景中的人力成本。但也因強大的識別能力，常被利用為打開其他人身、財產信息的密鑰。由此，如何平衡好信息個體控制價值與商業流動價值，成為個人生物識別信息商業化應用規制重心所在。對比隱私權路徑與個人信息保護路徑兩種主要爭議路徑，隱私權路徑呈現出信息性質判定主觀性強、事后控制為主、風險預測性差等特點；而個人信息保護路徑一一反之，更適宜在保護個體的同時激勵技術發展。但是，個人信息保護路徑也有著規則原則化的不足，若不進一步分層化具體化，其“事前控制”的特點反而可能被利用為信息處理不當的擋箭牌。對此，應嵌入場景理論，根據個人生物識別信息類別、應用階段劃分場景，通過PbD設計、“合規提示”等技術設計將信息處理者義務內化為產品邏輯，并通過細化程序規則來規避場景理論引發的恣意性質疑。將這樣的嵌入路徑具體化為規則時，對個人信息保護路徑闕謬之補正體現為：依據場景強化信息主體“信息自決權”；要求信息處理者精準陳述處理目的、逐項取得授權，為信息主體建設場景化“合理預期”；區分生物識別技術供應商與應用商，要求其分別滿足行政備案與信息合規評價；救濟時可將風險視為“損害”，并依據統計學、精算學證據來判斷風險的蓋然性。

參考文獻：

[1] 生物識別設備行業市場規模 生物識別設備行業應用前景分析[EB/OL]. （2022-11-18）[2023-3-23]. https： //www.chinairn.com/news/20221118/124124681. shtml

[2] 富陽首例！罰款20000元[EB/OL]. （2023-3-14）[2023-3-23].https： //www.163.com/dy/article/HVQ1 CT EF0552JR7A. html.

[3] 聚焦“3·15”， 廣州檢察力量為個人信息安全筑牢“防火墻”[EB/OL]. （2023-3-15） [2023-3-23]. https： //news.dayoo.com/gzrbyc/202303/15/158752_5444 0740. htm.

[4] KERRISON S. IoT Droplocks： Wireless Fingerprint TheftUsing Hacked Smart Locks[C/OL]. 2022 IEEE Interna‐tional Conferences on Internet of Things （iThings） . 2022[2023-3-16]. http： //arxiv. org/abs/2208. 13343.

[5] 田野. 雇員基因信息保護的私法進路[J]. 法商研究，2021， 38（1）： 54-67.

[6] 齊愛民. 拯救信息社會中的人格： 個人信息保護法總論[M]. 北京： 北京大學出版社， 2009： 207.

[7] 石佳友. 隱私權與個人信息關系的再思考[J]. 上海政法學院學報（法治論叢）， 2021， 36（5）： 81-98.

[8] 于洋. 論個人生物識別信息應用風險的監管構造[J].行政法學研究， 2021（6）： 101-114.

[9] 王利明. 和而不同： 隱私權與個人信息的規則界分和適用[J]. 法學評論， 2021， 39（2）： 15-24.

[10] 謝堯雯. 個人信息保護制度“個人控制”模式的立法選擇[J]. 青海社會科學， 2021（4）： 165-172.

[11] 田野. 大數據時代知情同意原則的困境與出路——以生物資料庫的個人信息保護為例[J]. 法制與社會發展， 2018， 24（6）： 111-136.

[12] 丁曉東.《 個人信息保護法》的比較法重思： 中國道路與解釋原理[J]. 華東政法大學學報， 2022， 25（2）： 73-86.

[13] 周學峰. 論保險法上的風險分類： 合理區分V. 歧視[J].比較法研究， 2014（2）： 93-108.

[14] NISSENBAUM H. Privacy as contextual integrity[J].Washington Law Review， 2004， 79（1）： 119-157.

[15] 范為. 大數據時代個人信息保護的路徑重構——初探歐美改革法案中的場景與風險理念[J]. 網絡信息法學研究， 2017（1）： 248-394.

[16] 丁曉東. 個人信息的雙重屬性與行為主義規制[J]. 法學家， 2020（1）： 64-193.

[17] 邢會強. 人臉識別的法律規制[J]. 比較法研究， 2020（5）： 51-63.

[18] 申衛星， 劉云. 法學研究新范式： 計算法學的內涵、范疇與方法[J]. 法學研究， 2020， 42（5）： 3-23.

[19] 田野. 風險作為損害： 大數據時代侵權“損害”概念的革新[J]. 政治與法律， 2021（10）： 25-39.

[20] 趙龍. 個人信息權法益確證及其場景化實踐規則[J]. 北京理工大學學報（社會科學版）， 2021， 23（5）： 169-178.

[21] 蘇今. 后疫情時代個人涉疫信息的控制特點及其路徑修正——以隱私場景理論為視角[J]. 情報雜志，2021， 40（9）： 123-132.

[22] 王利明. 敏感個人信息保護的基本問題——以《民法典》和《個人信息保護法》的解釋為背景[J]. 當代法學， 2022， 36（1）： 3-14.

[23] 姜野. 人臉識別技術應用的場景化法律規制[J]. 法制與社會發展， 2023， 29（1）： 208-224.

[24] NISSENBAUM H. Respecting context to protect privacy：why meaning matters[J]. Science and Engineering Ethics，2018， 24（3）： 831-852.

[25] LOVE N， GENESERETH M R. Computational law[C].The Tenth International Conference on Artificial Intelligenceand Law， Italy： 2005.

[26] 楊芳. 個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體[J]. 比較法研究， 2015（6）： 22-33.

[27] 孔祥穩. 個人信息自決權的理論批評與實踐反思——兼論個人信息保護法第44條決定權之適用[J].法治現代化研究， 2022， 6（4）： 78-97.

[28] 朱榮榮. 論我國基因信息不知情權的確立[J]. 法律科學（西北政法大學學報）， 2021， 39（1）： 71-82.

[29] 甘紹平. 信息自決權的兩個維度[J]. 哲學研究， 2019（3）： 117-129.

[30] 付微明. 生物識別信息法律保護問題研究[D]. 北京：中國政法大學， 2020.

[31] 韓旭至. 敏感個人信息的界定及其處理前提——以《個人信息保護法》第28 條為中心[J]. 求是學刊，2022， 49（5）： 132-145.

[32] 張新寶. 個人信息收集： 告知同意原則適用的限制[J].比較法研究， 2019（6）： 1-20.

[33] 滴滴官網. 個人信息保護及隱私政策[EB/OL]. （2021-07-08）[2023-3-23]. https： //www. didiglobal. com/law.

[34] 丁曉東. 論算法的法律規制[J]. 中國社會科學， 2020（12）： 138-203.

[35] 丁曉東. 個人信息公私法融合保護的多維解讀[J]. 法治研究， 2022（5）： 14-25.

[36] 商希雪. 生物識別信息公共與商業使用的制度定位與規范構建——兼論對人格權保護模式的反思[J].青海社會科學， 2021（2）： 141-152.

[37] 萬方. 個人信息處理中的“同意”與“同意撤回”[J]. 中國法學， 2021（1）： 167-188.

[38] 曾世雄. 損害賠償法原理[M]. 北京： 中國政法大學出版社， 2001： 118.

[39] 謝鴻飛. 個人信息泄露侵權責任構成中的“損害”——兼論風險社會中損害的觀念化[J]. 國家檢察官學院學報， 2021， 29（5）： 21-37.

[40] 丁曉東. 從個體救濟到公共治理： 論侵害個人信息的司法應對[J]. 國家檢察官學院學報， 2022， 30（5）： 103-120.