顧秀文，張 波

(江蘇師范大學 法學院，江蘇 徐州 221100)

隨著人工智能、云計算、識別終端等技術的快速發(fā)展，以“指紋識別”“人臉認證”“虹膜解鎖”為典型特征的生物識別技術開始在門禁驗證、金融支付、交通出行、大眾娛樂等領域廣泛應用，其在推動數字技術不斷進步的同時，也改變了人們的生活方式，成為人們生活的重要組成部分。個人生物識別信息不同于傳統的一般個人信息，其具有獨一無二性、不可替換性、廣泛應用性和易被竊取性，特別是易被竊取性使得個人生物識別信息面臨各種風險。目前，我國個人生物識別信息被過度采集、非法交易、濫用盜用等現象屢見不鮮，給人們的人身、財產安全造成極大威脅，甚至危害國家安全。正如王錫鋅所言：“在制度環(huán)境與技術條件不完善的當下，數據處理活動中的疏失、泄露等信息安全風險及伴隨的衍生損害亦日益加劇，個體的不安全感不斷上升?！盵1]因此，在“我們還沒有做好迎接它的準備，致使社會的很多領域出現失序和無序問題，國家治理和社會治理出現‘治理赤字’，構建智能社會法律秩序就顯得十分必要、十分緊迫”[2]。

一、個人生物識別信息的特殊性

(一)個人生物識別信息具有獨一無二性

個人生物識別信息由于其自身的天然屬性，所以是獨一無二的，這也成為個人生物識別信息區(qū)別于傳統的一般個人信息的重要特征。個人生物識別信息的權利主體是確定的、唯一的，將個人生物識別信息應用于驗證自然人身份的實踐中，并不需要輔助以個人的其他信息，只需要輸入自然人的指紋、虹膜、面部等生物識別信息，便可以通過大數據、云計算技術迅速判定“某人之為某人”，個人的生物識別信息僅與特定的自然人相匹配。就個人生物識別信息在金融支付場域應用而言，自然人在支付軟件中開通識別支付功能時，軟件平臺會通過設定算法，對用戶的生物識別信息進行采集、處理并儲存，以備用戶下次登錄驗證時對照識別。與此同時，平臺還會將收集的個人生物識別信息與自然人的身份證等物質化信息相捆綁，以固定個人生物識別信息的應用。當用戶識別支付功能開啟后，用戶可以將指紋、面部信息等直接作為其支付密碼，以便于識別驗證，而無須手動輸入相關信息、出示身份驗證證件。相較于身份認證其他方式，個人生物識別信息具有準確性與高效性，而信息驗證的準確性正是得益于自然人所擁有的獨一無二的生物識別信息。因此，個人生物識別信息常被作為確信的、具有唯一性的支付密碼、身份驗證信息，指向個人的人身和財產權益。但也正是基于這份獨一無二性，使得個人生物識別信息一旦受損將不可逆轉。

個人生物識別信息的唯一性，是其進行身份驗證的獨特優(yōu)勢，這也成為許多人看好其應用前景的主要原因。生物識別信息技術的開發(fā)者往往只注重宣傳新興技術的優(yōu)越性，卻忽略生物識別信息技術應用給人們帶來的易泄露、保密性弱、風險性大等風險。如果對個人生物識別信息技術應用風險不能預測，盲目推廣生物識別信息技術應用，放任商業(yè)逐利導致無序的市場競爭，將會造成難以想象的信息權利危機。

(二)個人生物識別信息具有不可替換性

個人生物識別信息具有穩(wěn)定性，且不可替換。在日常生活中，如若丟失身份證件，可以向公安機關申請更換新的身份證；忘記銀行卡密碼或者軟件登錄密碼，可以通過系統設置找回密碼或者直接更換新的密碼。但是個人生物識別信息是獨一無二的，一個人不可能擁有第二張臉、第二個基因信息，如若被盜用、冒用或者泄露，將無法更換。并且，不同于出生日期、電話號碼等輕度敏感信息，生物識別信息無法再次獲取，如果個人生物識別信息被濫用，將會直接影響其正常的社會活動，給個人生活帶來極大的不便。王德政指出：“一旦作為密碼使用的生物識別信息遭到泄露，將導致信息所有人無法像修改普通密碼那樣修改該密碼，只能申請停用該密碼，從而造成其在該密碼的使用上遭遇較大的不方便。”[3]因此，要對個人生物識別信息的采集、處理、儲存全流程進行保護，以保障個人生物識別信息的安全性。

(三)個人生物識別信息具有廣泛應用性

個人生物識別信息技術應用具有準確性與穩(wěn)定性，加上信息識別技術便捷的優(yōu)勢，因而在商業(yè)與政務等方面發(fā)揮著重要的作用。個人生物識別信息技術應用主體不僅包括個人、學校和企業(yè)，而且政府部門也將這一技術應用于日常政務處理和國家安全事務中。個人生物識別信息技術“在交通管理、安檢、教育等領域都有廣泛的應用，改善了相關領域工作的質量和效率，提升了公共安全，增進了公眾生活的便利”[4]。對政府而言，個人生物識別信息技術應用在維護社會秩序、保障公共安全中發(fā)揮了重要作用；對企業(yè)而言，個人生物識別信息技術的優(yōu)化與不斷創(chuàng)新，能夠不斷造福公眾，具有廣闊的發(fā)展前景；對公眾而言，個人生物識別技術應用改變了人們的生活方式，給人們帶來全新的生活體驗。

個人生物識別信息技術應用主要包括以下五個方面：(1)國家安防領域。個人生物識別信息技術應用最初進入大眾視野是在國家安防領域，主要用于識別犯罪分子的面貌、行為等特征?！盎蛐畔⒈粡V泛用于刑事偵查程序以辨認犯罪嫌疑人和受害人的身份或者親子鑒定等。人臉信息、指紋信息、掌紋信息等還被用作研究和開發(fā)具有商業(yè)價值的新產品?！盵5]個人生物識別信息技術應用提高了犯罪抓捕的效率，在維護國家安全、社會安定等方面起到了重要作用。(2)交通出行領域。在出行方面，個人生物識別信息技術被應用于車站的旅客身份驗證中，這一應用不僅節(jié)省了人力資源，而且也提升了出行效率。就交通管制而言，為進一步規(guī)范出行秩序、提升公民的出行素質，交通部門運用生物識別技術對交通違章者進行監(jiān)控，如果出現交通違法行為，生物識別端口將會自動識別行為人的相關信息，并顯示于公屏上，以此督促公眾遵守交通規(guī)則。(3)金融支付領域。隨著支付寶、微信支付等金融支付軟件與生物識別技術的結合，軟件用戶只需要開通指紋識別或者人臉識別等免密支付功能即可進行支付，無須手動輸入密碼，非常方便快捷。與此同時，傳統的銀行業(yè)也開始引用個人生物識別信息，為用戶財產安全增添保障。(4)大眾娛樂領域。2021年初，“Avatarify”APP推出，一段“螞咿呀嘿”視頻風靡一時?！癆vatarify”軟件是對相關人物形象進行深度偽造，軟件用戶只需要上傳人物的高清照片，即可將影視片中的人物形象替換成照片人物形象，因而受到大眾的追捧。(5)門禁考勤領域。個人生物識別信息技術功能被大量應用于門禁考勤領域，從而減少了傳統刷卡考勤存在冒用頂替的情形。

(四)個人生物識別信息具有易被竊取性

生物識別信息技術在國家安全、社會治理和人們日常生活中發(fā)揮著舉足輕重的作用，給人們帶來巨大的技術紅利，為建設智慧政府、打擊違法犯罪、提高公民生活質量作出了巨大貢獻。但是，個人生物識別信息作為數字時代的產物，其易被竊取，從而造成個人信息安全隱患。個人生物識別信息的采集、處理以及后續(xù)的非法交易具有隱蔽性，侵害個人生物識別信息行為通常不會直接體現表現，而是隱藏于幕后。而且該行為不是有形的侵害行為，權利人很難在個人信息受到侵害的第一時間維護自己的權益。

隨著個人生物識別信息應用領域的不斷擴大，個人生物識別信息技術也開始異化。個人生物識別信息技術在驗證個人身份、充當支付密碼之外，可能會產生其他意料之外的功能，如信息濫用、擴大信息的應用范圍等等。生物識別信息技術的應用具有較好的應用前景，且應用門檻較低，使得許多并不具有技術背景的人也可以輕而易舉地獲得自身或者他人的生物識別信息。以2019年紅極一時的換臉軟件“ZAO”為例，在該軟件中用戶可以輕易地將視頻中的人物形象換成自己的形象，或者利用他人的照片對視頻中的人物進行換臉。這種現象表明，個人生物識別信息在日常生活中極易脫離權利人的掌控被他人竊取，一旦被他人竊取，信息權利人便無法再使用該信息，只能關閉個人生物識別信息應用相關功能，甚至退出相關場域的適用。

二、個人生物識別信息應用的風險形式

(一)過度收集引發(fā)的個人生物識別信息侵權風險

個人生物識別信息應用具有公共性，無論是在政務領域還是商業(yè)領域，對于個人生物識別信息的采集均具有強烈的需求。個人生物識別信息具有獨特的便捷性，在電子政務和社會治理中的應用價值更為突出?！巴ㄟ^政府的信息采集工作、移動互聯網應用和終端的信息收集過程、監(jiān)控攝像設備及各種物聯網設備的自動化拍攝或記錄等途徑，政府與企業(yè)逐漸掌握了大量個人信息。”[6]就生物識別信息政府采集而言，政府為進一步推進對國家、社會的精準治理，大量應用生物識別技術采集個人信息，在“網上政務”中高效應用，構筑起新型“數字政府”。在傳統的刑事偵查領域，偵查機關通過面部信息、指紋等追蹤犯罪分子、查找失蹤兒童，在維護公共安全和社會秩序方面發(fā)揮了重要作用。

除此之外，生物識別信息技術也在不斷更新換代，不斷取得技術進步，其不僅僅是身份的新型驗證方式，也逐漸成為推動產業(yè)結構調整的重要生產要素。個人生物識別信息技術的發(fā)展催生出一批以信息查詢、數據處理為經營內容的服務產業(yè)，這些產業(yè)的誕生使得搜集個人生物識別信息的現象隨處可見。“一個人在不同時間提供的單條個人信息可能并不敏感，從而不會感到存在風險或威脅，但在數據聚合技術下，不敏感的個人信息相互疊加、互為線索，可能分析得出敏感的信息?！盵7]以“萬店掌”高效運營系統為例，商戶使用該軟件用以準確了解顧客的職業(yè)、需求、報價等，以提供個性化的精準導購，而這些信息的收集并非以用戶的同意、服務所需為限，因而引發(fā)出個人生物識別信息侵權風險。個人生物識別信息的“采集階段處于信息生命周期的最前端，是個人信息從信息主體流入信息控制者手中的關鍵節(jié)點，需要重點考慮如何監(jiān)管”[8]。

(二)黑客攻擊引發(fā)的個人生物識別信息失竊風險

個人生物識別信息技術應用“本身雖然不產生危害，但是一旦被惡意主體所利用，就會對整個信息系統的安全造成損害，從而影響信息系統的正常運行，并對用戶信息產生威脅”[9]。信息科技的不斷發(fā)展，使得個人生物識別信息技術應用風險呈現多樣化的形式，信息侵權手段也呈現高技術化趨勢。隨著現代智能科技的普及，精通軟件數據操作、熟悉數據編寫流程、掌握較高計算機技術水平的人越來越多。“通過信息網絡，任何技術都要轉化為計算機識別的0-1這樣的二進制代碼。人臉不能復制，轉化的二進制計算機代碼卻可以復制，也完全可能被盜竊。生物識別技術的識別原理和提取的數據都會存儲成為企業(yè)的數據庫，在目前全世界的情況來看，都存在重大的數據泄露、失竊的潛在安全風險?！盵10]

黑客利用病毒或者特殊儀器對目標計算機發(fā)射電磁波，攔截、窺探信息采集者、處理者、儲存者數據庫中的生物識別信息，目的是謀取非法利益，這是誘發(fā)生物識別信息泄露的根源，也是黑色信息產業(yè)鏈形成的核心環(huán)節(jié)。黑客通過遠程操控信息數據庫，竊取他人的個人生物識別信息，再利用非法獲取的他人生物識別信息進行名譽損害、人身財產侵害等二次犯罪?！霸絹碓蕉嗟氖芎θ苏J為數據泄露增加了他們遭受侵害的風險，這一新型損害從而使他們產生焦慮或恐懼等精神損害?！盵11]黑客也會對生物識別技術加以研究、運用，如利用3D打印破解生物識別密碼，從而盜取財產等?！皞€人信息除遭受個人侵害外，還受到來自公權力機關的威脅，公權力機關非法監(jiān)視、監(jiān)聽以及非法收集個人信息的現象大量存在?！盵12]目前，個人已經無法憑借一己之力抵御這一高科技帶來的攻擊、竊取危害。

(三)信息濫用引發(fā)的個人生物識別信息失控風險

2021年初，Avatarify提供的以“嗎咿呀嘿”為背景音樂的“換臉”短視頻制作紅爆網絡，但一周后因為存在信息安全問題而被強制下架。這已經不是“換臉”軟件第一次進入公共視野，2019年“ZAO”APP也是如此?！皳Q臉”軟件本質上是對人物形象的“深度偽造”，是對個人生物識別信息的一種濫用。當前，“深度偽造”技術主要應用于對聲音和面部信息的偽造，以實現以假亂真的效果。借助人工智能技術，“深度偽造”實現了從以往PS、摳圖的被動偽造，到全民可以主動參與的自主性偽造。只需要在系統內輸入一定的素材，如上傳自己的照片或者他人的照片，“深度偽造”軟件便可以進行深度學習，從而重新排列組合相關內容，生成合成圖像。然而，這一技術的合法性仍有待證成，這也“意味著個人生物識別信息的價值開始得到重視，其法益侵害后果已突破傳統的公民個人信息犯罪的框架，而進入與之密切關聯的另一個犯罪領域，即身份盜竊”[13]。

“深度偽造”技術對公民個人生物識別信息的濫用，侵蝕到個人最內層的敏感信息范疇，使得個人唯一的生物識別信息甚至其他身份信息存在失控的風險。而個人生物識別信息因為具有特有的人身依附性、專屬性，一旦與個人其他一般信息所綁定，便無法重新再制造一個新的人物身份。公民個人生物識別信息的濫用，將導致濫用他人生物識別信息的成本降低，進而滋生出對他人身份盜用的風險。

(四)生物識別技術破解引發(fā)的人身和財產安全風險

隨著信息技術的發(fā)展，針對個人生物識別信息技術的驗證功能、密碼支付功能出現一系列的破譯方法，給生物識別信息應用的安全性能打上問號，也將與生物識別信息密切相關的人身和財產安全置于風險中。這“不僅僅限于私益，還與社會公益相關”[14]，“它包括良好的治安、安全的交通、有序的社會生活和可預期的行為模式與結果。這部分收益雖然不是針對特定的個體，但為所有社會主體所享有”[15]。

在日常生活中，對個人生物識別信息的采集、分析行為無處不在。這些信息捕捉于各個時段、各個路口、各個角落，看似支離破碎、錯綜復雜，實則編織了一張張生物識別信息網?！吧镒R別信息因其特有的普遍性，相對唯一性和穩(wěn)定性不但可以作為一個特殊的識別信息和鏈接各類個人信息的關鍵點，也可以根據生物識別信息分析出更多的其他相關信息?！盵16]直接采集的個人生物識別信息是一個個瞬間、一幅幅畫面，并不一定具有信息價值，但經過信息技術人員的整合，將個人的生物識別信息重新排列，將會形成有關個人的信息鏈條。掌握生物識別信息技術的人員便可以利用這些信息勾勒出個人的數字信息畫像，再輔之以3D打印技術、照片活化程序破解個人設置的生物識別信息密碼，進而危及個人的人身和財產安全。個人生物識別信息“反映的是個人參與社會活動的情況，避免信息泄露是維護社會秩序的內在需要”[17]。

三、個人生物識別信息技術應用和保護面臨的困境

(一)個人生物識別信息保護專門性法律規(guī)制缺失

近年來，個人生物識別信息技術作為一種新興技術因其便捷性和高效性在世界各國得到廣泛應用，同時也引發(fā)各國對于技術風險法律規(guī)制的探索。美國采取專門的立法保護模式，對個人生物識別信息應用制定專門的法律加強保護，最典型的是伊利諾伊州的《生物識別信息隱私法案》。歐亞一些國家采取綜合性的立法保護模式，將個人生物識別信息作為個人信息的一部分加以保護。國外無論是專門的立法保護模式還是綜合性的立法保護模式，都是在普遍適用一般個人信息保護原則基礎上，對個人生物識別信息保護的保護模式。

目前，我國尚無專門的個人生物識別信息法律保護制度，2020年10月全國人民代表大會常務委員會發(fā)布《個人信息保護法(草案)》，就個人信息保護有關立法問題向社會公開征求意見。當前，我國對于個人信息保護主要依據《民法典》《電子商務法》中的相關條款，從而導致“個人生物識別信息保護規(guī)范的法律位階較低，大多為規(guī)章、規(guī)范性文件，甚至是行業(yè)協會與企業(yè)制定的行業(yè)規(guī)則”[18]。缺乏專門的個人生物識別信息保護法律制度，存在概念不統一、規(guī)定相沖突、法律屬性不明確等問題。

(二)個人生物識別信息應用缺乏監(jiān)管機構跟進

個人生物識別信息應用具有高科技性，全過程采用自動化的處理模式，因此，對于個人生物識別信息風險的認定，需要既知曉信息技術又精通法律知識的專業(yè)人員和專業(yè)機構予以跟進。由于個人生物識別信息具有不可替換性和獨一無二的特征，一旦產生失竊、泄露、濫用等風險，損害后果將不可清除或逆轉。有鑒于此，事前的隱私保護機制設計與審查，將成為個人生物識別信息應用風險規(guī)避的關鍵。

然而，我國“個人信息保護所依賴的借助國家公權力保障的現代保護機制(即個人信息主體權利保護主管機關制度)并沒有在立法上確立”[19]，且缺乏個人生物識別信息保護的專門機構，更無個人生物識別信息處理的專業(yè)監(jiān)管機構，而國家對于個人生物識別信息權利的司法救濟又存在滯后性，因而建立健全個人生物識別信息保護專門專業(yè)機構至關重要。

(三)個人生物識別信息應用平臺行業(yè)規(guī)制力度較弱

隨著個人生物識別信息應用領域的不斷拓展，形成一系列關于個人生物識別信息采集、分析以及應用產品設計的行業(yè)。由于我國關于個人生物識別信息應用風險的制度匱乏，因而個人生物識別信息應用平臺行業(yè)規(guī)制成為政府監(jiān)管的有力補充。然而，由于行業(yè)的自我規(guī)制并不具有強制性，規(guī)制力度較弱，致使個人生物識別信息應用行業(yè)規(guī)制成為軟肋。當前，個人生物識別信息應用平臺行業(yè)規(guī)制措施主要是設置信息采集、處理“告知同意”義務，這是在形式上最容易實現的平臺義務。

在復雜的個人生物識別信息應用中，個人同意并不代表其確切知情。在傳統的“告知同意”模式下，應用平臺的告知信息常常過載，信息行文冗長混雜，使得個人生物識別信息在后續(xù)采集、分析中可能面臨不利后果而不容易發(fā)現。除此之外，個人生物識別信息告知文件通常用語晦澀難懂，且篇幅較長，導致用戶會不仔細閱讀，隨意瀏覽后即確認同意，造成“告知同意”模式的設置流于形式。

(四)生物識別信息個人權利救濟缺乏專業(yè)路徑

智能媒介、大數據、識別終端等被廣泛運用于各個生活場景中，如門禁識別、金融支付、電子政務等。個人生物識別信息經識別采集后，由算法進行解析、分類儲存于運營商的云端數據庫中，供人們使用智能終端時匹配驗證。同時，海量個人生物識別信息的數據空間逐漸與人們現實生活的物理空間相對應，智能終端前的表達、交流等行為同樣被固定為數據，形成數據空間與生活空間的全時段互動場景。然而，個人生物識別信息數據運營商與信息權利人之間對于數據的控制不平衡，信息權利人無法掌握、控制自己的生物識別信息數據應用動向，在涉及其信息數據存在風險的場域中往往難以充分舉證，無法對抗隱藏于專業(yè)算法背后的信息數據運營商，喪失權利救濟的能力。就個人生物識別信息應用的風險規(guī)制邊界而言，信息應用各方對此也有一定的爭議。

公民個人生物識別信息所蘊含的隱私內容是動態(tài)的，不是一成不變的，包括個人信息數據以及個人繼續(xù)在物理世界中生活而形成的數據鏈條。個人生物識別信息權利人在不同應用場域中所感受到的權利侵害程度也是不同的，對個人生物識別信息應用風險予以規(guī)制，往往會從風險侵害程度的認定演變?yōu)樾畔酶鞣街g利益的博弈，這對信息權利人、信息運營商以及侵權方而言，維權的訴訟成本都較高。個人生物識別信息個人權利救濟專業(yè)路徑缺乏，加上個人生物識別信息權利人舉證能力的限制，將會影響整個案件證據的收集及案件流程的推進，使得風險難以得到有效規(guī)制，權利救濟舉步維艱。

四、個人生物識別信息應用風險的法律規(guī)制路徑

(一)立法：明晰個人生物識別信息應用風險的法律規(guī)制維度

第一，構建專門的個人生物識別信息法律體系。隨著個人生物識別信息技術的廣泛應用，對于個人生物識別信息應用風險的法律規(guī)制迫在眉睫。然而，目前我國法律對于這一領域的規(guī)制尚處于空白狀態(tài)，“具有滯后性的法律法規(guī)和國家標準難以及時解決本領域有序發(fā)展的各種障礙”[20]。有鑒于此，對于個人生物識別信息應用風險的規(guī)制，不能僅僅依靠民法、行政法規(guī)，還要進一步探索侵害個人生物識別信息的刑事責任，加大非法買賣、惡用、冒用個人生物識別信息懲罰力度，以構建良好的個人生物識別信息應用秩序。同時，應當建立專門的個人生物識別信息法律保護體系。《個人信息保護法(草案)》已經公布，相關條款正處于討論階段，應當在法律上賦予其獨立的法律地位。“針對生物識別技術的應用以及生物識別信息的保護進行專門立法，對取得許可的生物識別技術的研發(fā)主體和應用主體分別設置安全保障義務與責任，以詳盡規(guī)制不同的生物識別技術行為，從而更加全面地保護公民個人信息以及個人人身、財產安全?！盵21]當然，“如何處理法律的穩(wěn)定性與變動性、現實性與前瞻性、原則性和操作性，是立法中很難把握的一個問題”[22]。

第二，明確個人生物識別信息的權益屬性。相對于隱私權保護而言，個人信息相關法律權益是在大數據時代涌現出的新型權益。個人生物識別信息與隱私權緊密關聯，兩者難以區(qū)分。首先，個人生物識別信息作為個人信息的一部分，在《民法典》人格權編中得以確認，與同屬于人格權的隱私權保護具有天然的關聯屬性。其次，個人生物識別信息與隱私權保護客體具有一定的重合性，如金融支付的密碼、身體信息等。最后，個人生物識別信息與隱私權被侵害的風險形式相同，都包括泄露、非法收集、濫用等。然而，個人生物識別信息與隱私權也相互區(qū)別，“隱私一般涉及到人格尊嚴問題，個人信息往往與大數據發(fā)生聯系。因此，侵犯隱私的形式是多元化的，而針對個人信息恰恰是在數據應用的前提下才產生個人信息保護的問題”[23]。隨著信息的科技變革，傳統的隱私權保護模式已經無法滿足對于個人生物識別信息保護的新訴求。個人生物識別信息的獨一無二性、不可替換性、不可逆性，決定了應當給予個人生物識別信息與隱私權不同程度的保護。應當明確個人生物識別信息的權益屬性，以完善信息保護相關立法制度。

第三，實現個人生物識別信息保護“軟法”與“硬法”共治。個人生物識別信息數據的復雜性、技術性等特征，決定了對其風險規(guī)制需要“軟法”與“硬法”共同參與。軟法具有應時性與靈活性，在專門的個人生物識別信息保護法出臺前，軟法先行不失為一種選擇。因為硬法立法周期長、程序繁瑣，硬法修訂滯后于個人生物識別信息技術的發(fā)展；硬法出于對國家權力這一外部規(guī)制的強調，忽視了個人生物識別信息運營主體自我規(guī)制的內生作用。但這并不意味著個人生物識別信息風險不需要硬法的外部規(guī)制，“若沒有硬法規(guī)定基礎性規(guī)范，軟法也難以發(fā)揮真正有效的作用”[24]。軟法規(guī)范的強制性較弱，也決定個人生物識別信息風險規(guī)制需要硬法托底。立法者應當總結成熟的軟法治理經驗，并在此基礎上使其上升為硬法，以遏制個人生物識別信息面臨的風險。

(二)執(zhí)法：強化個人生物識別信息應用風險規(guī)制的政府職責及加大行業(yè)自律力度

第一，設置專門化的個人生物識別信息處理監(jiān)管機構。當前，在我國現行法律法規(guī)中，對于個人生物識別信息應用風險規(guī)制的主體責任和權利范圍規(guī)定概括性較強。對于規(guī)制主體而言，主要是工業(yè)和信息化部、國家互聯網信息辦公室、公安部等部門，其承擔著個人生物識別信息應用風險規(guī)制、行業(yè)標準制定以及數據保護等職責。多個部門共同治理、規(guī)制風險的模式可以最大限度覆蓋風險范圍，但也存在部門之間管轄范圍重合或者無人管轄的空間，造成個人生物識別信息應用風險。傳統的分散管轄模式已經無法滿足個人生物識別信息發(fā)展及風險規(guī)制需求，為進一步實現對個人生物識別信息應用的有效監(jiān)管，應建立權威、穩(wěn)定、獨立、專業(yè)的個人生物識別信息保護監(jiān)管機構，以履行規(guī)制個人生物識別信息應用風險的公共職責。同時，聘任具有專業(yè)技術背景的復合型人才，解決信息保護執(zhí)法監(jiān)管技術問題，實現對個人生物識別信息應用的有效監(jiān)管。域外國家對于個人生物識別信息應用風險規(guī)制的機構設置值得我國借鑒，如美國設置專門的“生物識別信息隱私調查委員會”，印度針對個人信息保護設置“數據保護局”。

第二，明晰生物識別信息應用風險規(guī)制的政府責任。面對技術進步中持續(xù)化的個人生物識別信息侵害風險，政府部門應當履行政府責任，營造有利于保護個人生物識別信息的制度環(huán)境氛圍。首先，相關立法部門應當制定個人生物識別信息專業(yè)化法律制度，形成完備的法律體系，對個人生物識別信息應用風險進行有效規(guī)制，為生物識別信息技術發(fā)展和產業(yè)進步提供制度支撐。其次，行政機關在履行社會公共職能時，應當以不侵害個人生物識別信息相關權益為考量因素，實現理性監(jiān)管，并引導信息產業(yè)在法治軌道上運行。最后，司法機關在對侵害個人生物識別信息權益行為進行審查時，不能簡單地直接套用民事法律關系中的意思自治法律原則，應當著眼于雙方對生物識別信息技術不平等的認識水平和權力對抗，以作出更加公平的判決。

第三，加大個人生物識別信息應用行業(yè)自律力度。加大生物識別信息行業(yè)自律力度，及時調整和完善規(guī)制措施，保障新興技術的有序應用。行業(yè)組織應當制定系統完備的行業(yè)自律制度，以實現對行業(yè)的有效規(guī)制。應當加強對行業(yè)的領導，設置個人生物識別信息風險規(guī)制目標及實現目標的方式和路徑。就個人生物識別信息“告知同意”機制設置而言，行業(yè)組織可以重新定義“告知”內涵，區(qū)分不同生物識別信息的同意標準。同時，建立個人生物識別信息保護組織，發(fā)揮多元主體優(yōu)勢。

(三)司法：構建個人生物識別信息權利救濟機制

第一，引入公益訴訟制度。在個人生物識別信息風險規(guī)制實踐中，我國尚未對個人生物識別信息法律屬性作出明確界定，且政府部門對于個人生物識別信息的專業(yè)性認知不足，救濟渠道狹窄，以至于國家權力在個人生物識別信息風險規(guī)制中不能及時就位甚至缺位。然而，個人生物識別信息行業(yè)鏈中亂象叢生，危及社會公共利益，乃至國家安全利益。為救濟那些“損害社會公共利益的行為”，滿足人們對于美好生活的期待，公益訴訟制度應運而生。公益訴訟制度分為民事公益訴訟制度和行政公益訴訟制度，兩種公益訴訟制度的出現，一方面對于社會反映強烈的損害公共利益的問題予以回應，另一方面也督促公權力對于公共利益的保護。公益訴訟制度的設立及其發(fā)揮的作用，使特定機關、組織介入司法活動符合公共利益保護的現實需求，對于私人力量難以企及的案件，公益訴訟能夠彌補這一缺憾。

第二，建立健全信息訴訟調查取證保障體系。在個人生物識別信息風險規(guī)制領域中引入公益訴訟制度，實質上是以一種訴的形式實現個人生物識別信息權益的保障。就訴訟而言，決定能否勝訴的核心在于證據是否充分。然而，在現實的個人生物識別信息侵害案中，個人用戶與生物識別信息處理者之間“無論在收集證據的能力上，還是在技術能力或經濟實力上都存在顯著的差距”[25]，導致個人用戶維權難度大、成本高、效率低。因此，需要提升檢察機關“公益訴訟公訴人”取證能力，“確保檢察機關充分享有并運用好調查取證權”[26]。同時，建立個人生物識別信息公益訴訟調查取證保障體系。一方面，設立個人生物識別信息調查取證基金，用于個人生物識別信息公益訴訟風險評估、專家檢測等；另一方面，建立個人生物識別信息風險規(guī)制咨詢專家?guī)?，?yōu)化個人生物識別信息公益訴訟調查取證人才隊伍。

結 語

個人生物識別信息技術的出現，并借由大數據分析的支持，讓我們能夠僅憑一張臉、一個指紋便可以驗證自己的身份，極大地減少了繁瑣的過程性細節(jié)，節(jié)約了人力資源。信息的價值也在人們讓渡出部分信息權利的基礎上得以呈現。然而，伴隨著信息科技的廣泛應用與快速發(fā)展，個人生物識別信息被過度收集、黑客攻擊、濫用失控、技術破解的頻率越來越高，因而個人生物識別信息應用存在諸多風險。我國對于個人生物識別信息應用風險的法律規(guī)制起步較晚，現階段對于個人生物識別信息的應用尚不能提供完善的風險規(guī)制對策。這也為我國進一步細化個人信息保護制度，建立健全個人生物識別信息應用風險規(guī)制預留了空間。未來，應在立法、執(zhí)法、司法合力作用下，走出一條個人生物識別信息應用技術與合法權益保障協同的發(fā)展之路。