張 琪，肖冬梅

0 引言

生物識別技術的快速發(fā)展和廣泛應用，在促進經(jīng)濟發(fā)展、推動社會進步的同時，也引發(fā)社會公眾對于生物識別信息的安全隱憂。生物識別信息因其主體唯一性和不可變更性而有別于其他個人信息，一經(jīng)泄露或濫用，將會對信息主體造成不可逆的危害。2021年11月1日實施的《個人信息保護法》第28條第1款將 “生物識別信息” 納入 “敏感個人信息” 范圍進行特殊保護，遺憾的是未對 “生物識別信息” 作出界定。《人民檢察院辦理網(wǎng)絡犯罪案件規(guī)定》《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》和相關國家標準雖然對 “生物識別信息” 或 “生物識別數(shù)據(jù)” “生物特征識別信息” “生物特征識別數(shù)據(jù)” 等類似概念進行界定，但適用范圍有限。這意味著司法機關在對 “生物識別信息” 進行認定時缺乏明確的法律依據(jù)。與此同時，現(xiàn)有 “生物識別信息” 或類似概念的邊界模糊且滯后于技術發(fā)展，無法為《個人信息保護法》中 “生物識別信息” 概念的明確提供參照。另外，現(xiàn)有研究聚焦于生物識別信息的法律屬性、特點、保護和風險監(jiān)管等，而生物識別信息界定的研究還處于起步階段。崔麗[1]、楊銅銅[2]、胡鵬鵬[3]等強調(diào)生物識別信息界定的重要性和意義；魏廣萍[4]認為應對生物特征信息采取廣泛定義來擴大保護范圍；曾昌[5]、商希雪[6]、焦艷玲[7]等雖對生物識別信息作出初步界定，但對生物識別信息的內(nèi)涵和外延分歧較大，不足以為立法完善和司法實踐提供理論支撐。本文旨在通過梳理我國現(xiàn)有 “生物識別信息” 和類似概念的界定，考察歐盟、美國相關立法例，為我國科學界定 “生物識別信息” 提供參考。

1 我國生物識別信息的界定現(xiàn)狀與司法適用困境

1.1 界定現(xiàn)狀

我國對 “生物識別信息” 和類似概念的界定散見于司法解釋、地方性法規(guī)和國家標準。

在司法解釋層面，2021年1月22日發(fā)布的《人民檢察院辦理網(wǎng)絡犯罪案件規(guī)定》第27條將 “生物識別信息” 等 “用戶身份信息” 作為電子數(shù)據(jù)中的一類。第62條通過 “定義+列舉” 的方式專門針對 “生物識別信息” 這一稱謂作出界定。定義部分從技術原理(計算機利用)、人體特征(人體所固有的生理特征或行為特征)、識別目的(個人身份識別)三方面明晰內(nèi)涵；列舉部分從生理特征和行為特征兩方面展開，其中生理特征包括人臉、指紋、聲紋、虹膜、DNA等，行為特征包括步態(tài)、擊鍵習慣等。

在地方性法規(guī)層面，2021年7月6日發(fā)布的《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第2條第4項同樣采取 “定義+列舉” 的方式界定 “生物識別數(shù)據(jù)” 。定義部分從人體特征(自然人的身體、生理、行為等生物特征)、技術原理(進行處理)、識別目的(能夠識別自然人獨特標識)三方面進行明確；列舉部分包括基因、指紋、聲紋、掌紋、耳廓、虹膜和面部識別特征等。

在國家標準層面，2019年6月18日發(fā)布的《生物特征識別信息的保護要求(征求意見稿)》第3.1.4條則采用 “定義式” ，將 “生物特征識別數(shù)據(jù)” 界定為 “生物特征樣本、生物特性、生物特征模型、生物性質(zhì)、原始描述數(shù)據(jù)的生物特征識別特征，或上述數(shù)據(jù)的聚合” 。2021年10月11日發(fā)布的《信息安全技術 生物特征識別信息保護基本要求》第3.3條僅給出 “生物特征識別信息” 定義，從人體特征(自然人的物理、生物或行為特征)、技術原理(技術處理)、識別方式(單獨或者與其他信息結合)以及識別目的(識別該自然人身份)四方面進行明確。此外，該標準以 “注” 的方式列舉面部識別特征、虹膜、指紋、基因、聲紋、步態(tài)、掌紋、耳廓和眼紋等種類。

1.2 司法適用困境

(1)既有規(guī)定適用范圍有限，無法在全國統(tǒng)一適用?！度嗣駲z察院辦理網(wǎng)絡犯罪案件規(guī)定》雖已對 “生物識別信息” 這一稱謂作出界定，但僅用于規(guī)范人民檢察院辦理網(wǎng)絡犯罪案件，民事侵權方面并無相應規(guī)范?！渡钲诮?jīng)濟特區(qū)數(shù)據(jù)條例》對 “生物識別數(shù)據(jù)” 這一類似概念所做的界定只能在該市行政區(qū)域范圍內(nèi)適用?！缎畔踩夹g 生物特征識別信息保護基本要求》《生物特征識別信息的保護要求(征求意見稿)》均為國家推薦性標準，對 “生物特征識別信息” 和 “生物特征識別數(shù)據(jù)” 的界定于司法上不具有強制力。上述既有規(guī)定的適用范圍有限，意味著各司法主體在對 “生物識別信息” 進行認定時缺乏明確的法律依據(jù)，面臨法律適用的困境。

(2)既有 “生物識別信息” 或類似概念的邊界模糊且滯后于技術發(fā)展，無法為我國科學界定 “生物識別信息” 提供現(xiàn)成參照。

一方面，《人民檢察院辦理網(wǎng)絡犯罪案件規(guī)定》未清晰表達 “生物識別信息” 的內(nèi)涵，且落后于生物識別技術的高速發(fā)展和應用。一是該界定中 “計算機” 這一表述無法確切概括生物識別的技術原理。生物識別信息的產(chǎn)生依賴于生物識別技術，其范圍會隨著生物識別技術的發(fā)展而處于動態(tài)變化中，因而準確表達生物識別技術的原理有助于把握生物識別信息的內(nèi)涵。生物識別進行身份鑒定，不僅依賴計算機技術，還需結合光學、聲學、生物傳感器和生物統(tǒng)計學原理等高科技手段[8]123。二是該界定僅列舉幾種常見的生物識別信息，無法滿足社會公眾對技術高速發(fā)展所帶來的新型生物識別信息保護需求。

另一方面， “生物識別信息” 類似概念的界定也具有局限性?！渡钲诮?jīng)濟特區(qū)數(shù)據(jù)條例》在定義中羅列出身體、生理、行為3種生物特征，但列舉的種類僅和身體、生理特征相關；《信息安全技術生物特征識別信息的保護要求(征求意見稿)》的界定過于抽象，需要另行結合該標準的其他條款理解 “生物特征樣本” “生物特性” “生物特征模型” “生物性質(zhì)” 以及 “原始描述數(shù)據(jù)” 的含義；《信息安全技術生物 特征識別信息保護基本要求》中規(guī)定 “生物特征識別數(shù)據(jù)” 可 “與其他信息結合” 識別到自然人身份，相比于其他界定擴大了 “生物特征識別數(shù)據(jù)” 的范圍，這模糊了 “生物特征識別數(shù)據(jù)” 和 “其他信息” 的邊界。

2 域外生物識別信息界定的立法例考察

2.1 歐盟

歐盟相關立法中主要采用 “biometric data” 這一稱謂。根據(jù)柯林斯詞典解釋， “biometric” 為形容詞，既可以翻譯成 “生物識別的” “生物特征的” ，又可翻譯為 “生物的” 。因此， “biometric data” 就可被翻譯成 “生物識別數(shù)據(jù)” “生物特征數(shù)據(jù)” “生物數(shù)據(jù)” “生物特征識別數(shù)據(jù)” 等多種稱謂，這與我國部分稱謂相一致。本文將其翻譯為 “生物識別數(shù)據(jù)” 。

歐盟2018年5月25日頒布的《通用數(shù)據(jù)保護條例》(General DataProtectionRegulation，GDPR)設置專門條款(第4條)，采用 “定義+列舉” 方式界定 “生物識別數(shù)據(jù)” 。定義部分從技術原理(特定技術處理)、人體特征(身體、生理或行為特征)和識別目的(確認自然人獨特身份)展開；列舉部分包括面部圖像、指紋數(shù)據(jù)。GDPR第9條將 “唯一識別自然人的生物識別數(shù)據(jù) “列入 “特殊類型個人數(shù)據(jù)” ，在一般情況下禁止使用生物識別數(shù)據(jù)進行唯一識別，體現(xiàn)出歐盟謹慎的立法態(tài)度。值得注意的是，與我國大多數(shù)規(guī)范性文件將 “DNA” “基因” 列入 “生物識別信息” 的做法不同，GDPR第9條中的 “遺傳數(shù)據(jù)” 獨立于 “生物識別數(shù)據(jù)” 而存在。

2.2 美國

美國相關立法中主要有 “biometric data” “biometric information” “biometric identifier” 3種稱謂，以不同方式指向個體特有的可測量的生物學或行為特征①。本文將后兩者分別翻譯為 “生物識別信息” 和 “生物識別標識符” 。

2.2.1 美國各州生物識別信息的立法界定

美國在州層面對于 “生物識別信息” 或類似概念的界定散見于各州專門的生物識別信息保護法案或相關的隱私、數(shù)據(jù)保護法案。

專門的生物識別信息保護法案分別為伊利諾伊州《生物識別信息隱私法案》(National Biometric Information Privacy Act，BIPA)、德克薩斯州《生物特征符獲取或使用法》(CaptureorUseofBiometricIdentifiers，CUBI)和華盛頓州《生物識別隱私法》(Biometric InformationPrivacyAct，WBPA)。美國伊利諾伊州2008年頒布的BIPA最早對 “生物識別信息” 作出界定。該法第10條將 “生物識別信息” 定義為基于識別個人 “生物識別標識符” 的任何信息，無論該生物識別信息是如何被獲得、轉(zhuǎn)換、存儲或共享，不包括 “生物識別標識符” 排除的項目或程序中獲取的信息。該法案對 “生物識別標識符” 采取 “列舉+排除” 式的界定。列舉部分為窮盡式列舉，包括視網(wǎng)膜或虹膜掃描、指紋、聲紋、手部幾何掃描和面部幾何掃描。排除部分包括5類情形，分別為原始樣本或外貌描述、器官捐贈移植、生物樣本、醫(yī)療保健以及醫(yī)學影像。關于 “生物識別信息” 和 “生物識別標識符” 的關系，美國法院在里維拉訴谷歌案(Rivera v.Google Inc.)案中闡述。該案雙方當事人就里維拉上傳到谷歌云服務上的照片進行的人臉掃描后創(chuàng)建人臉模板，是否屬于BIPA中的 “生物識別信息” 產(chǎn)生爭議，法院指出 “生物識別標識符” 是一組用于識別個人、基于生物學的測量，而 “生物識別信息” 是將這些測量轉(zhuǎn)換成其他可用的形式。換言之，雖然原始的照片本身不屬于 “生物識別標識符” ，但若對其進行技術處理后可識別特定個人，該行為就落入BIPA的規(guī)制范圍。隨后德克薩斯州于2009年通過CUBI，對 “生物識別標識符” 采取 “列舉式” 的界定，該界定與BIPA列舉范圍相同，未含有排除范圍。華盛頓州于2017年6月16日通過的WBPA則是美國第三個專門保護生物識別信息的立法。該法采取 “定義+列舉+排除” 的方式界定 “生物識別信息” 。定義部分包括技術原理(自動測量)、人體特征(生物特征或其他獨特的生物模式或特征)和識別目的(識別特定個人)。列舉部分為不完全列舉模式，包括指紋、聲紋、眼睛視網(wǎng)膜和虹膜等。排除部分包括兩類情形：物理形式或數(shù)字形式的照片、視頻、音頻；醫(yī)療保健治療、支付或運營而收集、使用或存儲的信息。

相關的隱私、數(shù)據(jù)保護法案分別為加利福尼亞州《消費者隱私法案》(CaliforniaConsumer Privacy Act，CCPA)、《隱私權法》(California PrivacyRightsAct，CPRA)和弗吉尼亞州《消費者數(shù)據(jù)保護法》(Consumer Data Protection Act，CDPA)。加利福尼亞州為加強消費者個人信息保護，于2018年6月通過CCPA，采取 “定義+列舉” 的方式對 “生物識別信息” 進行界定。定義部分從人體特征(生理、生物或行為特征，包括個人DNA)、識別方式(單獨、相互結合或與其他可識別數(shù)據(jù)結合)和識別目的(識別個人身份)三方面展開。列舉部分為不完全列舉模式，包括虹膜、視網(wǎng)膜、指紋、人臉、手部、掌紋、靜脈模式、聲紋、擊鍵習慣、步態(tài)以及包含識別信息的睡眠、健康、鍛煉數(shù)據(jù)。2020年11月3日，加利福尼亞州通過CPRA，意圖對CCPA進行修正，但并未對 “生物識別信息” 的內(nèi)涵與外延進行修改。弗吉尼亞州2021年1月29日通過的CDPA對 “生物識別數(shù)據(jù)” 的界定與WBPA中 “生物識別標識符” 的界定相一致。

2.2.2 美國聯(lián)邦生物識別信息的立法界定

美國聯(lián)邦層面沒有專門的生物識別信息立法， “生物識別信息” 或類似概念的界定出現(xiàn)在相關草案中。

2019年12月3日，為保護公民個人數(shù)據(jù)權利，Maria Cantwell提出《消費者在線隱私權法案(草 案)》(Consumer Online Privacy Rights Act，COPRA)，建議采用 “定義+列舉+排除” 的方式對 “生物識別信息” 進行界定。定義部分包括技術原理(測量或特定技術處理)和人體特征(生物、身體或生理特征)。可見，該界定并不要求識別到特定個人，只要和人體特征相關即為 “生物識別信息” 。列舉部分為不完全列舉形式，包括指紋、聲紋、虹膜或視網(wǎng)膜掃描、面部掃描或面部模板、DNA和步態(tài)。排除部分僅列舉伊利諾伊州BIPA中排除的第一類情形，但附加 “該等數(shù)據(jù)不用于識別個人獨特的生物、身體或生理特征” 的限定語。同月，為建立統(tǒng)一的隱私法，Roger Wicker提出《2019年美國消費者數(shù)據(jù)隱私法案(草案)》(Consumer Data Privacy Act of 2019，CDPA)，對 “生物識別信息” 的界定與CCPA、CPRA一致。2020年3月12日，Mr.Moran提出《2020年消費者數(shù)據(jù)隱私和安全法(草 案)》(Consumer Data Privacy and Security Act of 2020，CDPSA)，建議對 “生物識別信息” 采取 “定義式” 界定，包括技術原理(特定技術處理)、人體特征(身體、生物、生理、基因、行為方面的特征)與識別目的(能夠識別個人)。

Sens.Jeff Merkley和Bernie Sanders于2020年8月10日提出的《國家生物識別信息隱私法(草案)》(National Biometric Information PrivacyAct，NBIPA)對 “生物識別信息” 的界定也值得注意。該草案以BIPA為藍本，有待成為聯(lián)邦層面專門的生物識別信息保護法案，采用 “定義+列舉+排除” 方式界定 “生物識別信息” 。定義部分包括人體特征(個人步態(tài)特征或其他不可變特征)和識別目的(具有識別性)。列舉部分為不完全列舉模式，相較于BIPA列舉的種類更廣泛，包括視網(wǎng)膜或虹膜掃描、聲紋、面紋、指紋、掌紋、步態(tài)等。排除范圍除未保留 “生物材料” 這類情形外，其余部分則與BIPA保持一致。

2.3 可借鑒之處

歐盟、美國相關立法例均認為生物識別信息是人體特征的反映，均認可 “唯一/單獨識別” 識別方式，并對 “識別到特定個人” 的識別目的達成一致。歐盟、美國對 “生物識別信息” 或其類似概念界定的差異主要體現(xiàn)在3個方面。

(1)界定方式的差異。歐盟GDPR采取 “定義+列舉” 的界定方式闡述 “生物識別數(shù)據(jù)” 的內(nèi)涵和外延。概因美國尚無統(tǒng)一的生物識別信息保護法案，美國州層面、聯(lián)邦層面對于 “生物識別信息” 或其類似概念的界定方式顯現(xiàn)出多元化格局，除 “定義+列舉” 外，還存在 “定義式” “列舉式” “列舉+排除” 和 “定義+列舉+排除” 4種界定方式。較為明顯的是，美國立法趨勢更傾向于 “定義+列舉+排除” 這一界定方式。

(2)概念定義的差異。歐盟GDPR用 “特定技術處理” 這一表述來闡述生物識別的技術原理，美國相關立法例則還存在 “通過測量/自動測量” 的表述；歐盟GDPR僅羅列了身體、生理、行為3類人體特征，而美國相關立法例則還羅列了生物、基因、DNA等人體特征；歐盟GDPR將 “生物識別數(shù)據(jù)” 限定于 “唯一識別” ，而美國立法例還存在 “相互結合” 和 “與其他可識別數(shù)據(jù)結合” 的識別方式。

(3)種類列舉的差異。歐盟GDPR僅列舉出面部圖像、指紋數(shù)據(jù)兩類，而美國相關立法例更傾向于列舉多種類型?？梢?，無論是從界定方式看，還是從概念定義和種類列舉看，相較于歐盟謹慎的立法態(tài)度， “美國趨于囊括盡可能多的生物特征及相關數(shù)據(jù)”[9]。

歐盟與美國對 “生物識別信息” 或類似概念的界定對我國立法存在可鑒之處。

(1)美國華盛頓州WBPA、弗吉尼亞州CDPA以及參議院法案COPRA、NBIPA所采取的 “定義+列舉+排除” 的界定方式，在盡可能明確多種類型的同時，又考慮了一定的排除范圍，能夠指導司法適用，降低司法成本。本文贊同這種界定方式，但認為 “生物識別信息” 的范圍不宜過度擴張，應考慮其與被結合信息的界限。

(2)歐盟GDPR和美國參議院法案COPRA、CDPSA中所采用的 “特定技術處理” ，相較于 “計算機利用” “通過測量/自動測量” 等，更能準確概括生物識別技術的原理。

(3)加利福尼亞州CCPA、CPRA和參議院法案CDPA中 “相互結合” 的表述，明確表達了兩種確認自然人身份的方式，分別是 “A生物識別信息+B生物識別信息” 與 “生物識別信息+其他可識別信息(如行蹤軌跡信息)” 。這種表述科學地認識了生物識別技術的多種功能且應合了多生物識別技術融合的發(fā)展趨勢。

(4)不可變更性是生物識別信息的重要特征之一，美國參議院法案NBIPA在 “生物識別信息” 的定義中表明其 “不可變” 的特征，能夠進一步降低司法成本、節(jié)約司法資源。

3 我國生物識別信息的界定構想

3.1 我國生物識別信息界定可采取的方式

現(xiàn)有生物識別信息的界定方式主要有 “定義式” “列舉式” “定義+列舉” “列舉+排除” “定義+列舉+排除” 5種方式。

“定義式” 即僅給出生物識別信息的抽象概念，并不明確種類。本文認為對 “生物識別信息” 進行界定時不宜采取此種界定方式。單純地給出生物識別信息的概念無法直接對某種信息是否屬于生物識別信息作出判斷，會造成司法適用困難?！缎畔踩夹g 生物特征識別信息保護基本要求》雖對 “生物特征識別信息” 采取定義式的界定方式，但以 “注” 的方式列舉類型，因此其實際上是通過定義式的界定和 “注” 的種類列舉展現(xiàn) “生物特征識別信息” 的內(nèi)涵與外延。而《生物特征識別信息的保護要求(征求意見稿)》系采取 “定義式” 界定，從而需要結合該標準的其他條款才能理解 “生物特征識別數(shù)據(jù)” 。

“列舉式” 即直接逐項列舉生物識別信息的種類，包括窮盡式列舉和非窮盡式列舉。這兩種列舉式界定均不適用于生物識別信息。

(1)窮盡式列舉無法涵蓋生物識別信息的所有種類。生物識別信息的種類會隨著生物識別技術的發(fā)展和提高而不斷增加，類型尚無法窮盡。德克薩斯州CUBI列舉的5種類型，已經(jīng)無法涵蓋現(xiàn)有生物識別技術能夠識別出的生物特征信息種類。窮盡式列舉的滯后性和局限性使生物識別信息無法在實踐中被靈活適用，無法為生物識別信息留有解釋空間。

(2)非窮盡列舉式雖能克服窮盡式列舉的滯后性，以應對生物識別技術的快速發(fā)展，但是缺乏統(tǒng)一的判斷標準，存在較高的濫用風險。

“定義+列舉” 即在說明生物識別信息抽象概念的同時列舉生物識別信息的種類。此種界定方式能夠在一定程度上彌補單純 “定義式” 的不確定性、窮盡式列舉的滯后性和非窮盡式列舉標準缺失的局限，這也是我國立法和學者比較青睞的界定方式。歐盟GDPR、加利福尼亞州CCPA、CPRA和美國參議院法案CDPA也采用這種界定方式。

“列舉+排除” 即對生物識別信息進行窮盡式列舉后，又列出生物識別信息的排除范圍，但該種界定方式未解決窮盡式列舉的滯后性。德克薩斯州CUBI、伊利諾伊州BIPA所列舉的類型已經(jīng)落后于技術發(fā)展。但BIPA所列舉的排除范圍，有效區(qū)分了生物識別信息本身和生物識別信息來源，并將 “醫(yī)療保健” 場景對生物識別信息的利用，規(guī)定為豁免事由，進一步明確了 “生物識別信息” 的邊界。

“定義+列舉+排除” 即說明生物識別信息的抽象概念、列舉生物識別信息種類的同時，又給出生物識別信息的排除范圍。這一界定方式集合了 “定義+列舉” “列舉+排除” 的優(yōu)點。相對于 “定義+列舉” ，該種界定方式使生物識別信息的內(nèi)涵和外延更加清晰；相對于 “列舉+排除” ，該種界定方式能夠回應生物識別技術的發(fā)展，為新型生物識別信息留有解釋空間。本文認為此乃最優(yōu)界定方式。

3.2 我國生物識別信息的明確定義

采取 “定義+列舉+排除” 的方式界定 “生物識別信息” ，首先要明確定義。 “生物識別信息” 的定義是鑒定生物識別信息種類的判斷標準，其應能清晰、明確地闡述 “生物識別信息” 的內(nèi)涵，靈活應對生物識別技術的發(fā)展趨勢，為司法機關提供認定依據(jù)?，F(xiàn)有定義聚焦于 “技術原理” “人體特征” “識別方式” “識別目的” 四要素，以此明確 “生物識別信息” 或其類似概念的內(nèi)涵。前3種要素尚存爭議，但對 “識別目的” 這一要素已達成共識，即為識別到個人。

“技術原理” 要素有時會被忽略，但事實上明確 “技術原理” 有助于正確把握 “生物識別信息” 的內(nèi)涵， “技術原理” 這一要素應是 “生物識別信息” 定義中不可或缺的要素之一。生物識別系統(tǒng)提取人的手背靜脈圖像、指紋、面部等原始生物識別信息，從而利用該原始生物識別信息進行特征提取和特征匹配[10]4-5。由此，生物識別實際上是一個從人體生物識別信息來源(照片、身體部位)中提取生物識別原始信息(自然人生物特征的樣本、圖像)，再從生物識別原始信息中提取生物識別比對信息的過程。相對于 “計算機利用” “通過測量” “自動測量” “技術處理” 等表述，歐盟GDPR和美國參議院法案COPRA、CDPSA所采用的 “特定技術處理” 這一表述顯然對于生物識別技術原理的概括更為精確。根據(jù)GDPR導言第51條，照片的處理不應被系統(tǒng)地視為對特殊類別的個人數(shù)據(jù)的處理，只有通過允許對自然人進行唯一識別或認證的特定技術手段進行處理時，才被生物識別數(shù)據(jù)的定義所涵蓋。因此，GDPR第4條的 “特定技術” 是指對自然人進行唯一識別或身份認證的技術，而不僅僅是單純的測量、掃描或計算機技術。在此需要說明的是， “特定技術處理” 僅限于提取、識別和匹配，而非技術挖掘，不能將生物識別信息(原始信息和比對信息)視為對信息處理所形成的成果。

“人體特征” 要素解決生物識別信息究竟與人體哪些特征相關的問題。要解決該問題，需對現(xiàn)有身體、生物、生理、行為、基因、DNA等相關概念進行辨析，明確其區(qū)別與聯(lián)系。

第一步，厘清 “身體特征” 和 “生理特征” 的關系。 “身體” 一般指各系統(tǒng)器官、組織構成的統(tǒng)一整體，側(cè)重結構性；而 “生理” 指生物機體的生命活動和各個器官的機能，側(cè)重功能性[11]1。但是人體的結構和功能往往密切相關，器官的結構總是同其功能相適應[12]2?，F(xiàn)有研究生物識別技術原理的學者實際上混同了 “身體特征” 與 “生理特征” 的內(nèi)涵。董鳳服稱生物特征分為 “生理特征” 和 “行為特征”[13]71；邱建華等認為生物特征識別技術主要通過可測量的 “身體” 或 “行為” 等生物特征進行身份認證[14]13。因此， “身體特征” 與 “生理特征” 不能完全等同，應被同時列入抽象概念中。

第二步，厘清 “生物” 特征與其他特征的關系。生物識別技術利用 “生物特征” 進行個人身份識別[13]71，一般認為 “生物特征” 是其他特征的上位概念。另外，相對于僅列舉上位概念，一定程度上的分類可使生物識別信息的判斷標準更為清晰。因此，不應將 “生物” 特征列入抽象概念中。

第三步，厘清 “基因” 和 “DNA” 之間的關系。學界通常將 “基因識別” 等同于 “DNA識別” ，其識別對象主要為蛋白質(zhì)編碼基因，還包括RNA基因等具有一定生物學功能的因子[15]47。由于基因與自然人的生理特征息息相關，因此可將 “基因” 或 “DNA” 列為生理特征。雖然歐盟GDPR將 “基因數(shù)據(jù)” 獨立于 “生物識別數(shù)據(jù)” ，但該種分類不適用于我國立法。首先，歐盟GDPR雖意識到基因數(shù)據(jù)的特殊性，但該種界定方式會產(chǎn)生基因數(shù)據(jù)是否屬于 “生物識別數(shù)據(jù)” 的爭議。實質(zhì)上，基因信息完全符合生物識別信息的唯一性和不可變更性。我國《基因識別數(shù)據(jù)安全要求(征求意見稿)》雖是專門規(guī)定基因識別數(shù)據(jù)安全要求的國家標準，但根據(jù)編制說明，旨在一定程度上彌補我國在生物特征識別數(shù)據(jù)的安全規(guī)范上的劣勢?？梢姡摌藴收J為基因信息屬于生物特征識別數(shù)據(jù)。其次，《個人信息保護法》并未將 “基因識別信息” 單獨作為一類敏感個人信息，為使其得到有效保護，應在司法解釋中將其列為生物識別信息種類之一。

“識別方式” 這一要素解決生物識別信息是否必須單獨識別特定自然人身份的問題。商希雪提出唯一識別性是判定生物識別信息的前提條件，認為生物特征信息必須可以單獨識別個人身份[6]。曾昌認為只有不需關聯(lián)其他信息就可直接識別個人才能被稱為生物識別信息[5]。但本文認為唯一識別性不應成為對生物識別信息的限制，其原因在于：首先，根據(jù)《生物特征識別信息的保護要求(征求意見稿)》，生物特征識別系統(tǒng)并非只有利用單獨的生物識別信息直接識別到個人這一種形式，還存在間接識別到個人(如結合指紋的細節(jié)點和面部的特征系數(shù))的可能。雖不可否認生物識別信息對于單個自然人的唯一性，但不能忽視兩種或以上生物識別技術的中大型應用系統(tǒng)具有更大的市場價值[16]45。在疫情防控中，單一生物識別技術無法同時滿足社會公眾對于 “戴口罩” “非接觸” “篩高溫” 的防疫需求，而多模態(tài)生物識別可應用在多場景，能夠充分發(fā)揮不同生物識別技術的優(yōu)勢，或?qū)⒊蔀楹笠咔闀r代的常態(tài)化標配[17]。其次，生物識別技術除具有驗證 “1∶1比對” 和識別 “1∶N比對” 兩種功能外，還具有 “特征分析” 功能[18]241。以人臉識別為例，這種 “特征分析” 功能體現(xiàn)為從面部圖像中推斷出個人的性取向、情緒等，但這些從面部圖像中推斷的特征也有可能與其他數(shù)據(jù)(如位置數(shù)據(jù))結合以識別到特定個人[19]。間接識別到人的生物識別信息一旦被泄露，其危害也不容小覷。因此，不應局限于 “單個” 生物識別信息 “唯一” 識別自然人身份，生物識別信息應可以 “A生物識別信息+B生物識別信息” 和 “生物識別信息+其他可識別信息” 兩種識別方式進行身份識別。此外，在承認上述兩種間接識別方式的同時，也模糊了生物識別信息與其他可識別信息的界限，應在 “生物識別信息” 的定義中明確其 “唯一性” 和 “不可變更性” ，防止將被結合的其他可識別信息認定為生物識別信息?！渡钲诮?jīng)濟特區(qū)數(shù)據(jù)條例》的定義中 “獨特” 一詞就是對 “唯一性” 的表達，而 “不可變更性” 則可借鑒美國參議院法案NBIPA中 “不可變” 的表述。

綜上所述，經(jīng)語序調(diào)整，應將 “生物識別信息” 定義為：通過特定技術對自然人不可變的身體、生理或行為等獨特生物特征進行處理所得到的，單獨、相互結合或與其他可識別信息結合以確認自然人身份的信息。

3.3 我國生物識別信息應納入的種類

《出境入境管理法》等雖未對 “生物識別信息” 或其類似概念進行界定，但也列舉了一些類型。此外，2018年英國信息專員辦公室發(fā)布的《特殊數(shù)據(jù)的處理指南》也對身體、生理以及行為類生物識別技術進行了較詳細的列舉。這些明示或暗含的類型應在 “生物識別信息” 的界定中予以考慮。統(tǒng)計上述種類，共23種(見表1)。

表1 生物識別信息的種類統(tǒng)計

“生物識別信息” 的種類應盡可能明確。對于各國規(guī)定頻次較高的種類，已成為社會共識，理應予以認可；對于規(guī)定頻次較低的種類，需結合 “生物識別信息” 的定義和生物識別技術的各類應用場景做進一步判斷。本文建議將手部(指紋、指靜脈、掌靜脈、手型、掌紋)、人臉、虹膜、聲紋、視網(wǎng)膜、眼紋、耳廓、基因(DNA)列為身體、生理類特征生物識別信息；將步態(tài)、擊鍵習慣、心律、手寫簽名列為行為類特征生物識別信息。主要理由如下。

(1)身體、生理類特征生物識別信息中，指紋、人臉、虹膜、聲紋、視網(wǎng)膜、掌紋、基因(DNA)、手型是規(guī)定頻次較高的生物識別信息。被列入生物識別信息頻率較高的種類一般較為契合公眾認可度，且上述生物識別技術也在社會中運用廣泛。指靜脈、掌靜脈、耳廓、眼紋等雖出現(xiàn)頻率較低，但此4種類型符合生物識別信息的唯一性和不可變更性，并且已經(jīng)隨著技術發(fā)展在生活中得以應用，一旦泄漏或被濫用，都會產(chǎn)生重大風險。此四種類型也應在 “生物識別信息” 界定中進行列明。其一，指靜脈、掌靜脈等利用體內(nèi)信息進行識別的第二代生物識別技術已經(jīng)被廣泛運用在門禁考勤中[20]119-120，生物識別信息的種類范圍應結合生物識別技術的發(fā)展而適時調(diào)整。其二，耳廓生物識別技術基于外耳輪廓和特征點信息提取來識別個人，其穩(wěn)定性甚至要大于人臉[21]8。雖耳廓識別可能會受到頭發(fā)遮蓋的影響，便捷性不高，但不能否認其為生物識別信息本身。其三，眼紋識別技術利用眼白的可見靜脈圖案進行身份識別，即使容貌變化大，眼紋識別技術也能夠基于獨一無二的眼紋進行精準識別。螞蟻金服旗下螞蟻佐羅(ZOLOZ)研發(fā)的眼紋識別技術可對同卵四胞胎進行精準識別，目前這一技術已在普通手機上進行了應用[22]。具有潛在應用價值的眼紋識別技術，也將眼紋這一新型生物識別信息置于被泄露和濫用的風險之中，應將其確定為 “生物識別信息” 的一種。

本文不贊同將肖像、靜脈模式、疾病3類列入生物識別信息。其一，肖像雖是用相片、錄像、攝影等載體表現(xiàn)出來的某個人外部形象的客觀反映，但是一般僅憑肉眼觀察即可識別該自然人，無需通過 “特定技術” 來識別特定自然人，與生物識別信息的抽象概念不符；其二，靜脈模式類生物識別技術目前主要體現(xiàn)為指靜脈、掌靜脈和眼紋識別技術，因此沒有必要單獨將靜脈模式列入生理特征類生物識別信息中；其三，疾病與病人之間是多對多的關系，并不符合生物識別信息的唯一性，將其視為醫(yī)療健康信息更為合理。

(2)步態(tài)和擊鍵習慣是較受各國認可的行為特征類生物識別信息。心律、簽名兩類識別信息雖未得到較高認可度，但其對應的生物識別技術在各自應用的行業(yè)領域發(fā)揮著不可小覷的作用。心律識別即根據(jù)心臟的跳動頻率來進行身份識別的技術，利用心律信息解鎖和啟動汽車的心臟鑰匙技術被廣泛用于汽車和智能交通場景[23]?！镀嚁?shù)據(jù)安全管理若干規(guī)定(試行)》正是意識到了心律識別信息的利用價值，才將其列為生物識別特征信息。簽名同步態(tài)、擊鍵習慣具有一定程度的不可變更性。隨著電子簽章服務的普及，簽名識別技術判斷各種確認性文件的簽署上得以廣泛運用，簽名識別信息一旦被泄露，該自然人極有可能面臨法律風險，考慮到簽名信息的敏感性，有必要將其列入生物識別信息。

本文不贊同將語音和含有識別信息的睡眠、健康、訓練信息列入行為特征類生物識別信息。其一，語音識別技術側(cè)重于對語音內(nèi)容的識別與理解，通常與聲紋識別技術結合應用提高聲紋身份認證系統(tǒng)的安全性能[24]33-34，用于身份認證的實際為聲紋識別技術。其二，睡眠、健康、訓練信息雖能體現(xiàn)一定程度的規(guī)律性，但相對于步態(tài)和擊鍵習慣，這種規(guī)律性易被打破；且實踐中，睡眠、健康、訓練信息往往應用于可穿戴設備場景，用于評估穿戴者的整體狀態(tài)，將其列為醫(yī)療健康信息更為適宜。其三，眼球追蹤技術的原理是對視線進行追蹤和檢測或者實現(xiàn)對視線移動方向的預判，通常是與虹膜識別結合應用加強人體活體檢測[25]44-45，其靈活性與生物識別信息的穩(wěn)定性與不可變更性并不相符。

(3)生物識別信息的外延將會隨著生物識別技術的發(fā)展不斷擴展，因此生物識別信息不能局限于上述種類，應留有一定的靈活空間。

3.4 我國生物識別信息宜排除的范圍

我國 “生物識別信息” 或其類似概念的界定未涉及排除范圍，美國伊利諾伊州BIPA、華盛頓州WBPA、弗吉尼亞州CDPA以及參議院法案COPRA、NBIPA所確認的排除范圍主要包含29種類型(見表2)。細究29種類型，除第21、22項外，其余27種類型實則均為未經(jīng)技術處理的生物識別信息來源。生物識別信息來源雖可用于提取生物識別信息，但不能將其視為生物識別信息本身[26]，理由見后。

表2 生物識別信息的排除范圍統(tǒng)計

(1)生物識別信息來源不符合生物識別信息的唯一性和不可變更性。生物識別信息來源與自然人并不唯一對應且易變更，如手機里存儲的同一自然人不同姿勢的照片、不同內(nèi)容的視頻等，同一自然人不同時期的發(fā)色、體重等。

(2)生物識別信息的來源，除用于識別特定自然人外，還具有其他特殊價值。比如，血液等生物樣本除用于提取生物識別信息外，其價值更多體現(xiàn)為治療和救助患者。

(3)生物識別信息來源未經(jīng) “特定技術處理” ，不能成為 “生物識別信息” 。這也在多部文件中得到印證，歐盟數(shù)據(jù)保護委員會(EDPB)發(fā)布的《關于通過視頻設備處理個人數(shù)據(jù)的指南》稱沒有經(jīng)過專門技術處理的個人視頻片段不能被視為生物識別數(shù)據(jù)[27]。英國信息專員辦公室發(fā)布的《特殊數(shù)據(jù)的處理指南》中也有 “數(shù)字照片只有經(jīng)過特定技術處理才是生物識別數(shù)據(jù)” 的類似說辭[28]。當然，根據(jù)美國的司法審判經(jīng)驗，樣本、圖像等生物識別信息來源若經(jīng)過特定技術處理用于身份識別，則應當認可其為生物識別信息。目前我國司法實踐中有混淆生物識別信息本身與生物識別信息來源的現(xiàn)象，如杭州市中級人民法院(浙01行初121號)行政判決書將 “人臉頭像三面照” “口腔唾液” 與 “十指指紋” “雙手掌紋” 一同認定為生物識別信息。這種認定擴大了生物識別信息的外延，若該案中的被申請人僅是單純對 “人臉頭像三面照” 和 “口腔唾液” 進行了收集、存儲，并未通過特定技術從 “人臉頭像三面照” 和 “口腔唾液” 中提取生物特征模板以識別原告身份，那么顯然不能將其認定為生物識別信息。

第21、22項將 “醫(yī)療保健環(huán)境中從患者處獲取的信息” 和 “為醫(yī)療保健治療、支付或運營而收集、使用或存儲的信息” 排除在外。然而《個人信息保護法》第38條已對 “生物識別信息” 與 “醫(yī)療健康信息” 進行了區(qū)分，故而應通過界定 “生物識別信息” 和 “醫(yī)療健康信息” 來明確彼此之間的界限，而不是將列入 “生物識別信息” 的排除范圍。若要對醫(yī)療保健場景中生物識別信息的利用進行豁免，建議列入生物識別信息保護條文中的例外條款。

綜上所述，借鑒美國參議院法案COPRA對排除范圍的表述 “不用于識別個人唯一的生物、身體、生理特征” ，使排除目的更為明確。 “生物識別信息” 的排除范圍宜規(guī)定為：未經(jīng)特定技術處理用以確認自然人身份的生物識別信息來源。

4 結語

《個人信息保護法》已然實施， “生物識別信息” 界定的缺失將使司法實踐面臨法律適用的難題?？紤]到當前生物識別技術的迅速發(fā)展以及生物識別信息泄露、濫用事件的頻發(fā)，我國應盡快出臺《個人信息保護法》的相關配套制度，明確界定 “生物識別信息” ，廓清其內(nèi)涵和外延，為司法機關提供統(tǒng)一的認定標準。此外， “生物識別信息” 的界定還可為監(jiān)管機關的執(zhí)法、權利主體知情-同意權的行使以及圖書館等義務主體的個人信息處理合規(guī)提供明確指引。建議出臺有關 “敏感個人信息” 的行政法規(guī)或司法解釋，將 “生物識別信息” 界定為：

通過特定技術對自然人不可變的身體、生理或行為等獨特生物特征進行處理所得到的，單獨、相互結合或與其他可識別信息結合以確認自然人身份的信息。包括但不限于：(1)身體、生理特征：人臉、手部(指紋、指靜脈、掌靜脈、手型、掌紋)、虹膜、聲紋、視網(wǎng)膜、耳廓、基因(DNA)；(2)行為特征：步態(tài)、擊鍵習慣、心律、手寫簽名。不包括：未經(jīng)特定技術處理以確認自然人身份的生物識別信息來源。

注釋

①Washington Final Bill Report，2017 Reg.Sess.H.B.1717.