個人生物識別信息作為驗證手段的法律因應

個人生物識別信息的廣泛使用

隨著生物識別技術的快速發展，個人生物識別信息（如指紋、聲紋、虹膜和面部特征）已被廣泛應用于各類身份驗證場景，如日常生活中的指紋打卡、智能鎖，商業和金融活動中的支付驗證、電子簽約、身份核驗等，顯著提升了便利性和可靠性，呈現出逐漸取代傳統的密碼和物理證件驗證方式的趨勢。這一趨勢在諸多法規當中亦有體現，例如原銀保監會在《理財公司內部控制管理辦法》中明確要求理財產品銷售機構應采用生物識別等有效措施，對投資者身份進行核驗，確保身份信息的真實性和有效性；又如人民銀行在《非銀行支付機構網絡支付業務管理辦法》中將“客戶本人生理特征要素，如指紋等”作為一種強驗證方式，指紋和人臉識別也成為在移動支付場景下驗證用戶身份的重要手段。

然而，隨著技術的普及，生物識別信息的獲取渠道也越加普遍且有泛化的趨勢。如軟件開發者以“顏值檢測”軟件的名義收集用戶的人臉信息；售樓處未經客戶授權拍攝客戶的面部圖像以識別身份，用作中介傭金分配的依據；一些智能設備，如家用智能鎖和物聯網設備，在缺乏安全儲存設計的情況下，用戶指紋信息可能被他人竊取……種種現象表明了生物識別信息在收集、使用方面存在潛在的風險。

個人生物識別信息的受攻擊風險

生物識別信息因其獨特性和難以篡改性，長期以來被認為是最安全的身份驗證方式。然而，這種信息的公開性和不可更改性也導致了其容易受到攻擊。以人臉識別驗證為例，對于生物識別信息的攻擊有以下五種類型。

偽造人臉圖像。人臉識別技術的主要功能依賴于對人臉特征的提取與比對。攻擊者可以從公開照片中提取目標的面部特征，以圖片或3D打印方式制造出與目標相似的人臉圖像欺騙系統，進而通過驗證。

攻擊訓練數據集。人臉識別系統的性能依賴于其訓練數據集的規模與質量。如果數據集中存在偏差或不足，系統識別的準確性將顯著下降。攻擊者通過向訓練集注入惡意樣本、刪除關鍵樣本或注入誤導性的低質量圖像，導致系統在實際操作中無法正確區分合法用戶和攻擊者，削弱算法模型的穩定性，增加系統的錯誤驗證概率。

破解算法模型。人臉識別系統依賴復雜的算法模型進行身份驗證。如果攻擊者成功破解模型，不僅可以訪問系統存儲的所有生物識別特征，還能通過偽造數據冒充他人身份、注入惡意代碼、篡改系統的決策過程來影響驗證結果。

欺騙生物識別軟硬件。人臉識別軟硬件負責捕捉和處理用戶的生物特征。硬件方面，干擾可以導致系統誤判，攻擊者可以利用光學技術制造虛假圖像或電磁波干擾硬件傳感器，使得設備在捕捉人臉特征時無法準確工作。軟件方面，深度偽造技術的興起，更加劇了這種威脅，以人臉數據偽造生成復合驗證需要的人臉圖像或視頻，再以手機的內錄功能替代攝像頭的實時圖像捕捉，不僅能通過靜態驗證，甚至能通過動態驗證。

利用系統漏洞。任何技術系統都存在漏洞，攻擊者利用系統的身份認證或信息處理漏洞，通過或繞過安全防護，黑入系統內部，訪問敏感數據或執行惡意操作。

錯誤驗證的法律責任困境

無論是因系統內生還是系統受攻擊產生的個人生物識別信息驗證錯誤都需要有相應的法律規則予以調整、規制。在電子合同中采用個人生物識別信息驗證方式通常是為了驗證兩個要素以使合同能夠成立生效：一是驗證電子合同簽訂時合同當事人為本人，二是合同的簽訂屬于本人的意愿。依據《中華人民共和國民法典》關于合同效力的判定規則，當電子合同簽訂過程中出現錯誤驗證時：如錯誤地將非合同當事人驗證為本人，此時合同將依照無權代理規則認定為效力待定；如錯誤地將非本人意志驗證為本人意志，此時合同的效力將按照錯誤的類型劃分為欺詐或脅迫或重大誤解等情形而認定為無效或者可撤銷。理論上這一法律責任的形成是完善的，但由于傳統的合同效力認定模式與生物識別信息作為一種本人身份/意愿的驗證手段并未做到完美對接，致使其在法律責任承擔的適用方面存在一系列問題。

以刷臉支付為例。在法律規范方面，《最高人民法院關于審理銀行卡民事糾紛案件若干問題的規定》（以下簡稱《銀行卡規定》）第七條規定，“發生偽卡盜刷交易或者網絡盜刷交易，借記卡持卡人基于借記卡合同法律關系請求發卡行支付被盜刷存款本息并賠償損失的，人民法院依法予以支持……持卡人對銀行卡、密碼、驗證碼等身份識別信息、交易驗證信息未盡妥善保管義務具有過錯，發卡行主張持卡人承擔相應責任的，人民法院應予支持。持卡人未及時采取掛失等措施防止損失擴大，發卡行主張持卡人自行承擔擴大損失責任的，人民法院應予支持”。為因通過持卡人驗證而形成的偽卡盜刷提供了規則體系，但現行的規則體系對于錯誤驗證的認定至少存在以下三個方面的問題。

第一，銀行原則上承擔錯誤驗證導致的盜刷的前提假設是銀行卡、密碼、驗證碼等身份識別信息、交易驗證信息只有銀行和持卡人知曉。發生盜刷意味因一方的原因導致信息泄露而通過驗證，基于激勵和保護持卡人的角度，在此前提下法律規定采用無過錯歸責原則認定違約責任。但人臉、指紋、聲紋等個人生物識別信息收集、使用具有廣泛性與任意性，此時泄露責任承擔的判定可能并不是在雙方之間權衡，因此無過錯責任認定的原因來源并不契合。

第二，“銀行證明持卡人未盡保管義務方能免責”作為人臉、指紋等生物特征識別的免責條款缺乏說服力。從《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第二條第（五）款來看，只有當“信息處理者”未采取應有的技術措施或者其他必要措施確保其收集、存儲的人臉信息安全，致使人臉信息泄露、篡改、丟失才能認定為侵權，而《銀行卡規定》對于金融機構的要求明顯更高。從生物識別信息與密碼識別的本質來看，人臉與密碼的差別在于人臉是公開且不可變更的，這也導致銀行通常因難以證明個人生物識別信息的泄露主體而承擔偽卡盜刷的舉證不能后果，可以說該規則是變相加重了銀行的舉證責任。

第三，“持卡人需要對因自身過錯導致損失擴大承擔責任”不合理地擴大持卡人的賠償范圍。銀行卡等支付工具可以做到每個的密碼不同，實現“一把鑰匙開一把鎖”；但當使用指紋、聲紋、人臉等生物識別信息驗證時，是“一把鑰匙開所有鎖”。持卡人在接到金融機構通知或意識到發生盜刷情況后，此時若需更改驗證方式，則需要同時修改完成所有的支付工具的驗證方式，在此漫長的過程中，持卡人可能將會被認定存在過錯而對此承擔不必要的賠償風險。

錯誤驗證的責任分配改進

應用范圍層面。個人生物識別信息的應用應當嚴格限制在必要且安全的場景中，如邊境控制、公共安全、金融交易等高風險領域，以充分發揮其安全保障作用。在商業營銷、娛樂活動等非必要場合，應盡量避免使用個人生物識別信息作為主要驗證手段或采用生物識別信息與其他驗證方式相結合的多重驗證機制，降低單一驗證方式帶來的風險。

技術安全層面。信息獲得時應采用具備防干擾、防偽造能力的生物識別硬件設備，防止因硬件漏洞或干擾導致的誤判；信息存儲時應采用加密技術，避免以原始數據形式存儲；信息的傳輸時應使用安全的通信協議，防止信息在傳輸過程中被截獲或篡改。在驗證中生物識別軟件應定期更新，修復潛在漏洞，采用先進的算法模型以提高識別的準確性和抗攻擊能力，軟件供應商應提供詳細的錯誤率（如 FAR 和 FRR）數據，根據應用場景的需求調整參數，確保驗證結果的可靠性。

法律規則層面。對責任主體認定時，應根據信息的收集、存儲、使用等環節明確責任主體。例如，信息收集方需證明其收集行為的合法性與安全性；信息存儲方需證明其采取了合理的安全措施防止信息泄露；信息使用方需證明其驗證過程符合技術標準和安全要求。對于因技術漏洞或攻擊導致的錯誤驗證，應由使用方承擔主要舉證責任，證明其已盡到合理的技術防范義務。在舉證責任的分擔中，可根據具體案件的情節和證據情況動態調整舉證責任分配。例如，當存在明顯的技術攻擊痕跡時，應加重使用方的舉證責任；當用戶能夠提供初步證據證明其生物識別信息被非法獲取或使用時，應適當減輕用戶的舉證負擔。

（本文作者系南昌大學立法研究中心研究員、法學博士）