個人生物識別信息的界定

焦艷玲

摘要：

生物識別信息是對自然人的生物特征進行特定技術處理所形成的信息。個人生物特征具有不變性和唯一性的特點，這使生物識別能夠一勞永逸地實現對個人身份的鑒別。經過特定技術處理所形成的生物識別信息也具有這些特點，因此任何對于生物識別信息的攻擊都可能對個人產生不可逆轉的影響?，F實生活中，商業化收集的泛濫、限制行動自由、售賣和竊取、深度偽造以及詐騙已經成為侵害生物識別信息的重要表現。保護個人生物識別信息安全迫在眉睫，而準確界定生物識別信息是首要前提。綜觀國外立法經驗，生物識別信息的構成應當聚焦三個要素：個人生物特征之反映、特定技術處理之環節、唯一性識別之功能。此三項要素也是認定生物識別信息的關鍵。生物識別信息可以通過含有個人生物特征的圖像來采集，但是該圖像僅僅是個人生物特征的反映。在沒有進行特定技術處理之前，圖像本身并不構成生物識別信息，無論該圖像是電子圖像抑或紙質照片。生物識別信息的本質是對個人生物特征進行的測量，即所謂的“特定技術處理”，至于測量的方式則在所不問。無論進行面對面的真人測量抑或從含有個人生物特征的圖像中測量，所得的信息都是生物識別信息。單純對于個人生物特征的描述不構成生物識別信息，個人生物特征的樣本也須與生物識別信息區分開來。目前我國法律文件對于生物識別信息定義的認識還存在許多偏差，概念混淆、內涵不明、外延短缺是主要問題。未來我國的生物識別信息定義應當遵循三個原則：揭示生物識別信息的本質、反映生物識別信息的要素、兼顧技術更新的速度。為此有必要從內涵和外延兩方面著手：內涵規定本質與構成，從而為技術更迭可能出現的新情況提供解釋的空間；外延進行開放式列舉，以引導當下的理論與實踐。就內涵而言，可概括為“對自然人的生物特征進行特定技術處理（測量）所形成的能夠唯一性識別自然人身份的信息”。就外延而言，可以進行常態化列舉，同時使用“包括但不限于”的表述使生物識別信息的范圍不受列舉的限制。

關鍵詞：生物識別信息；個人生物特征；生物特征樣本；生物特征測量；個人信息保護

中圖分類號：TP391.41；D923? 文獻標志碼：A? 文章編號：1008-5831（2023）03-0200-12

一、緣起：數字時代的生物識別信息危機

生物識別普及化應用的速度令人驚嘆。聲紋控制、指紋解鎖、人臉支付，一系列生物識別的應用以鋪天蓋地之勢襲來，住宅小區、職場、圖書館、公園、機場、車站，一時間生物識別無處不在［1］。生物識別就像一個巨大的寶藏，其價值令人垂涎，其風險令人生畏。

生物識別是利用人體固有的生物特征對個人身份進行鑒別的技術。在以數字技術作為運算規則的當代，個人的生物特征經過計算機程序的處理變身為一串代碼，這些代碼成為生物識別信息最常見的形態。代碼化的生物識別信息可以用來對個人的行為進行實時查詢和驗證，因此常被冠以“個人數字身份”的稱謂［2］。個人的生物特征轉變為有價值的社會資源正是通過這種數字化的進程實現的，而無論個人是否接受，這種趨勢都不會改變［3］。有觀點認為，生物識別將推動身份認證領域的一場革命［4］。因為生物識別信息安全、可靠又便捷，任何傳統的身份認證方式都無法比擬［5］。但不容忽視的是，代碼化了的生物識別信息極易遭受侵害，損害后果比其他個人信息嚴重得多?，F實中生物識別的應用場景多種多樣，誘發的個人信息保護風險形態各異。

第一，生物識別信息商業化收集的泛濫。目前我國尚無對生物識別信息收集和使用的禁止性規定，商業公司為了分得市場的一杯羹，對生物識別信息的收集和利用充滿了熱情。2019年換臉軟件“ZAO”受到手機用戶的瘋狂追捧，當用戶享受與影視劇偶像同臺飆戲的快樂時，其人臉信息已被軟件公司永久性占有。軟件公司在用戶協議中載明“同意ZAO及其關聯公司和用戶對用戶內容進行永久免費、不可撤銷地修改與編輯”，這樣的協議充斥著霸王條款的味道，即使形式上取得了用戶的同意，又能在多大程度上反映用戶的真意［6］？

第二，對抗生物識別的人格自由困境。生物識別已然成為信息社會下難以抗拒的洪流，以個人之力對抗這股洪流常常會遭遇人格自由的困境，乃至于在現實世界中寸步難行。一個典型的場景是將生物識別應用于門禁，當住宅小區、職場、公園等場所安裝了生物識別系統，其結果是個人若不同意交出生物識別信息就無法正常生活。2019年郭冰因杭州野生動物世界強制用戶使用人臉識別入園訴至杭州富陽區法院，這個被稱為“人臉識別第一案”的事件才第一次引起了國人對于生物識別應用邊界的思考［7］。

第三，深度偽造。深度偽造（deepfake）俗稱“換臉”，實質上是通過生物識別技術實現移花接木。在國外，利用人臉信息進行深度偽造進而嫁接于不雅視頻以羞辱他人的行為已經擁有了專門的稱謂“色情報復”［8］。由于受害人沒有真實地出現在視頻里，并且人臉信息多從受害人自愿上傳到網絡的照片中提取，深度偽造很難成立隱私侵權和肖像侵權，但是它對于受害人名譽的破壞卻現實存在。

第四，生物識別信息的售賣和竊取。生物識別信息由于強大的身份識別功能而具有巨大的商業利用價值，對于饑渴尋找潛在客戶的商家而言無疑是一筆巨大的財富，在此背景下買賣生物識別信息成為一樁生意就不難理解了。北京青年報曾曝出網絡商城中有人售賣人臉信息，2 000多人的17萬條信息被公開叫賣，每個人都有50張以上的照片，每張照片配套一份數據文件，內容涵蓋人臉的106處關鍵點［9］。除故意售賣以外，個人生物識別信息遭黑客竊取在國內外亦不罕見。

第五，生物識別信息泄露誘發財產詐騙。生物識別具有便攜、保密、安全和不被遺忘的多重優勢，隨著技術成本的下降，生物識別的應用場景越來越多元化。目前手機應用、智能家居、智能安防和互聯網金融已成為生物識別技術應用的核心領域［10］。然而當人們不斷讓渡個人信息以換取生活的便利時，信息泄露和被濫用的風險亦成倍增加。2020年張富等人利用軟件將他人照片制作成3D頭像，進而通過人臉識別認證騙取他人支付寶錢財，被衢州市中級人民法院判決成立侵犯公民個人信息罪和詐騙罪

參見：衢州市中級人民法院（2019）浙08刑終333號刑事裁定書。。在商業應用比較成熟的人臉識別領域，近年來發生的刑事案件逐年增多，就2017至2019年法院審結的案件有16件，其中僅2019年就有11件［11］。

不少學者認識到，生物識別信息的安全風險以自然人為對象，但涉及的利益關系涵蓋了生物識別活動的服務者、經營者、管理者、使用者甚至國家［12］。黨的二十大報告提出，加強個人信息保護是推進國家安全體系和能力現代化、維護國家安全和社會穩定的重要方面。而加強對生物識別信息的保護則是當前最突出的任務。隨著《民法典》和《個人信息保護法》對個人生物識別信息的確認，主張建立民事、行政、刑事多元協調保護機制的建議獲得廣泛支持［13］，而以專門法律或者在《個人信息保護法》中增設專章進行保護的建議也不在少數［14］。然而目前法律僅僅提到一個抽象的概念，什么是生物識別信息，其包括哪些類型，具體又該如何認定，這些問題尚不清晰。對于“生物識別信息”這個富含科技色彩的詞匯，大眾的理解仍然停留在感性層面。為避免認識偏差和法律適用的混亂，有必要對生物識別信息進行清晰界定，這是加強生物識別信息保護的首要前提。

二、生物識別信息的構成：域外立法的啟示

（一）生物識別的基本原理

肖像權于照相機發明后始受重視，聲音權因竊聽器和錄像機的使用而被認可［15］。個人生物信息作為人格標識受到關注，是基于生物識別技術的迅猛發展。生物識別又稱生物特征識別，是利用人體固有的生物特征對個人身份進行鑒別，它有兩種工作模式：其一為認證，即在有懷疑對象的前提下將某人與懷疑對象直接比對，從而回答“是他么”的疑問；其二為識別，即從龐大的數據庫中找到與某人最為匹配的身份，以此解決“他是誰”的困惑［16］。從生物識別技術的發展歷程看，早期生物識別的工作模式主要是認證，例如將指紋、簽名的檢材和樣本進行比對和分析，以此來驗證某人是否具有特定的身份。由于是一對一的比較，工作量小，針對性強，所以采用人工方式即可進行?？墒请S著計算機技術的發展，海量生物信息的收集和存儲已成為可能，生物識別的工作模式漸漸轉向了識別。特別是計算機技術與光學、聲學、醫學、生物傳感器技術、生物統計學原理相結合之后，一系列新型的生物識別如人臉識別、視網膜識別、基因識別不斷涌現，以往的人工識別也被計算機自動識別所取代。

生物識別之所以能夠鑒別身份，與個人的生物特征密不可分。個人生物特征是個人所固有的生理特征和行為特征，其最顯著的特點是具有不變性：要么難以改變，要么不能改變。恒久不變的特點實現了人工智能對生命體識別的一勞永逸，這正是生物識別能夠鑒別個人身份的根源［17］。當然，并非所有的生物特征都能鑒別身份，可以在技術上推廣使用的生物識別方法要求某項生物特征必須滿足：（1）普遍性（每個人都有）；（2）唯一性（至少在某一方面任何人都不同）；（3）可測量性；（4）可收集性；（5）可重復性。目前可以用來鑒別身份的生物特征包括生理特征和行為特征，前者主要是指紋特征、人臉特征、虹膜特征、聲紋特征、手型特征、指靜脈和掌靜脈特征、視網膜特征、DNA特征、掌紋特征等，后者則涉及簽名特征、步態特征、語音特征和擊鍵方式等。生物特征是生物識別的基石，它的不變性和唯一性為生物識別應用提供了堅實的保障，而在此基礎上形成的生物識別信息也具有上述特性，故任何對于生物識別信息的攻擊都可能對個人產生不可逆轉的影響。

（二）生物識別信息的核心要素

在世界范圍內，生物識別信息并沒有統一的定義，各國采用的稱謂也不盡相同，不過定義之間存在一些共性，從中或可嘗試提取生物識別信息的核心要素。

歐盟的《通用數據保護條例》（簡稱GDPR）將能夠唯一識別自然人身份的生物特征數據列入“特殊類別的個人數據”，原則上禁止對該信息進行任何形式的處理。根據GDPR的規定，“生物特征數據”是指自然人的身體、生理或者行為特征在經過特定技術處理后所產生的個人數據，該數據能夠確認自然人的獨特身份，例如面部圖像的數據或者指紋數據。歐盟立法對許多國家產生了影響，英國的《數據保護法》采用了與GDPR相似的規定，該法第205條對“生物特征數據”的定義是：對個體的身體、生理或者行為特性進行特定技術處理所產生的個人數據，這些數據可以唯一地識別個人的身份，例如面部圖像或者指紋數據。印度的《個人數據保護法》第3條也采用了“生物特征數據”的稱謂，其定義是：對數據主體的身體、生理、行為特征進行測量或者技術處理所產生的面部圖像、指紋、虹膜掃描或者任何其他類似的個人數據，這些數據能夠唯一地確認自然人身份。

在美國，越來越多的民眾意識到自己的生物識別信息正在遭受政府過度監控、黑客攻擊和商業公司行為異化帶來的風險［18］。盡管聯邦政府尚未出臺生物識別信息的專門立法，但是許多州加緊了對生物識別信息的保護?？的腋?、愛荷華、內布拉斯加、北卡羅來納等州已在數據安全通知的法律中通過擴大個人信息的范圍實現了對生物特征數據收集行為的規范［19］。伊利諾伊、德克薩斯、華盛頓各州則制定了生物識別信息的專門立法來限制和規范私人實體收集、使用生物識別信息的行為。伊利諾伊州的《生物信息隱私法》（簡稱BIPA）于2008年生效，該法對于“生物識別信息”的定義是：能夠識別個人身份的生物特征標識的任何信息，無論它如何被取得、轉換、存儲或者共享。至于定義中的“生物特征標識”，BIPA的解釋包括視網膜或虹膜掃描，指紋、聲紋、手部或面部幾何結構的掃描，但是書寫樣本、書面簽名、照片、用于有效科學檢測或篩選的人類生物樣本、人口數據、紋身描述或諸如身高、體重、頭發顏色或眼睛顏色等物理描述不在此列。根據BIPA的規定，生物特征標識與生物識別信息是兩個高度關聯的概念，被生物特征標識的定義所排除的項目將不構成生物識別信息。兩個概念的外延高度一致，為什么還要區分它們呢？一個非常重要的理由是“防止規避法律”。生物特征標識與生物識別信息的根本區別在于，前者是對生物特征的測量，后者是將這些測量結果轉換為可以使用的形式。如果單一使用生物特征標識的概念，難免私人實體會將生物特征標識轉換為其他形式（例如數學表達式），從而規避BIPA法案的適用。有了生物識別信息的概念后，無論私人實體將生物特征標識轉換為何種形式的信息，只要這些信息可用來識別個人身份，那么，它均可以受BIPA的保護

LINDABEHT RIVERA and JOSEPH WEISS， on behalf of themselves and all others similarly situated， Plaintiffs， v. Google Inc.，Defendant.United States District Court， N.D. Illinois， Eastern Division. 238 F.Supp.3d 1088. 。此外，加利福尼亞州也從消費者保護法的角度對生物識別信息給予了關注。該州的《消費者隱私法》第1798.140（b）條對“生物識別信息”的界定是：個人的生理、生物和行為特征包括個人脫氧核糖核酸（DNA）的數據，這些數據可以單獨、合并或者與其他身份識別數據一起使用以建立個人身份。生物識別信息包括但不限于從虹膜、視網膜、指紋、臉部、手掌、靜脈的圖像和語音記錄中所提取的識別模板（例如面部印記、細節模板或者聲紋），以及包含可以識別身份的點擊模式或節奏、步態模式或節奏，以及睡眠、健康或運動數據。

綜觀各國立法上的定義，無論從個人信息的角度進行闡釋（如歐盟、英國、印度），抑或從隱私的角度進行界定（如美國），各國對于生物識別信息本質的認識基本一致：（1）個人生物特征的反映。生物識別信息是個人生物特征的抽象表現形式，能夠表征和反映個人生物特征的獨有特點。（2）特定技術處理的環節。生物識別信息是對個人生物特征進行特定技術處理所獲得的信息。常見的技術處理是借助計算機程序對個人生物特征進行幾何掃描、計算和模板建構，即所謂的個人生物特征的測量。只有經過特定技術處理，才能形成反映個人生物特征的虛擬數據。因此，“特定技術處理”是連接個人生物特征與生物識別信息的紐帶，其承擔著轉換器的功能，若沒有經過這一環節則不會產生生物識別信息［20］。（3）唯一識別的功能。生物識別信息是可以唯一性識別個人身份的信息。表征個人生物特征的信息通常儲存于數據庫或者特定介質中，其中能夠唯一性識別個人身份的信息才是生物識別信息。若不能做到唯一性識別，則此類信息便沒有太多法律保護的必要?！拔ㄒ恍宰R別”最能反映生物識別信息與其他個人信息的差別，也最能說明生物識別信息應受法律保護的根源——當該信息遭到泄露、盜用或者違反預期目的而使用時，不可能通過重新設置來更改，個人將永久性喪失自我身份，并間接引起人格和財產利益的重大損失。

三、生物識別信息的認定：美國司法審判的經驗

生物識別信息的商業使用已成為當前各國重要的經濟增長點，然而為了保護信息主體的自由與安全，法律為信息控制者設定了一系列禁止性義務

美國伊利諾伊州規定私人實體處理生物識別信息必須負擔書面告知的義務、取得書面同意的義務、禁止出售和出租以獲取利益的義務、禁止披露和傳播的義務，以及妥善儲存和傳輸的義務（參見BIPA第15條）。。為避免被劃入信息控制者的范疇從而承擔強制性義務，許多企業對生物識別信息作出新穎之解讀。以常見的人臉識別案件為例，被訴侵權者最常提出的反駁是——被告僅僅收集了原告的面部圖像，并未處理原告的生物識別信息，且圖像為原告自愿公開披露。涵蓋了生物特征的圖像是否是生物識別信息？自愿公開披露該圖像是否意味著同意他人收集和使用自己的生物識別信息？這些問題成為困擾法官的難題。美國伊利諾伊州作為世界上最早制定生物識別信息專門立法的地區，自BIPA頒布以來至少已有110起針對私人實體提出的違法訴訟［21］。這些私人實體大多是擁有尖端生物識別技術的科技公司或者是通過指紋識別等生物識別方式進行員工管理的雇主［22］。在這些訴訟中，私人實體是否涉及對個人生物識別信息的處理，更確切地說，生物識別信息應當如何認定，成為案件審理不得不跨越的障礙。

（一）圖像是否構成生物識別信息的爭論

生物識別信息可以通過含有生物特征的圖像來采集，例如人臉、指紋、掌紋和虹膜的影像。不過獲取圖像只是信息采集的第一步，接下來還要進行許多維度的測量。以人臉識別為例，采集者在獲取人臉的圖像后需要測量面孔各個節點的特征，例如兩眼之間的距離、鼻子的寬度、眼窩的深度、顴骨、下頜輪廓和下顎等，最后獲得一串可以代表這些特征的數字代碼，這串數字代碼即為生物識別信息。由于識別系統的不同和測量節點的差異，人臉特征在不同數據庫中呈現出的數字表達也不相同，但是這些數字表達的源頭——人臉圖像可能是相同的。那么，收集、儲存、使用人臉圖像是否就是在處理生物識別信息？

2016年，全球最大的社交網絡公司臉書公司因使用面部識別軟件在用戶上傳的照片中顯示頭像的人名引發用戶集體訴訟。這項所謂“標簽建議”服務的基本步驟是：首先掃描用戶上傳的照片，然后識別照片中出現的面孔，如果程序識別出面孔的主人，就會提示該人的名字或者自動為面孔添加姓名標簽。三名用戶對臉書公司提起了訴訟。他們主張，臉書公司利用先進的面部識別技術，在未經用戶同意的情況下從用戶上傳的照片中秘密收集了用戶的生物識別信息，其行為構成了對權利的侵犯。三用戶認為，臉書公司至少在四個方面違反了BIPA的規定：（1）沒有書面告知用戶他們的生物識別信息正在被生成、收集和儲存；（2）沒有書面告知用戶生物識別信息被收集、儲存、使用的目的和時間；（3）沒有公開提供保留生物識別信息的期限和銷毀的期限；（4）沒有獲得用戶的書面同意。面對以上指控，臉書公司從生物識別信息的定義入手提出了反駁。其援引了BIPA對“生物識別信息”的除外規定——“被生物特征標識的定義所排除的項目的信息不是生物識別信息”，然后又援引了BIPA對“生物特征標識”的除外規定——“書寫樣本、書面簽名、照片、用于有效的科學檢測或篩選的人類生物樣本、人口數據、紋身描述或者諸如身高、體重、頭發顏色或眼睛顏色等物理描述不在此列”，最后得出結論：照片和從照片中衍生的信息被明確排除在生物特征標識和生物識別信息之外，因此不受BIPA的保護

185 F.Supp.3d 1155，United States District Court，N.D.California.In Re Facebook Biometric Information Privacy Litigation.Case No.15-cv-03747-JD，Signed May 5，2016.。

對照片性質的認定直接影響到案件的判決，但是解決這一問題著實棘手：照片的確不在BIPA的保護范圍；但是，臉書公司取得的面部特征數據確實從照片中來。若對BIPA的規定進行純粹字面上的解釋，原告極有可能敗訴，而這樣的結果與BIPA的立法意圖明顯背離，因為伊利諾伊州制定BIPA的初衷就是為了解決新興的生物識別技術對民眾隱私的侵犯。審理該案的法院非常清醒地認識到這一點，于是放棄了單純的文本解釋，改采目的解釋、體系解釋、歷史解釋的多元方法以求對BIPA規定的深入理解。法院認為，法律條文必須置于整體背景下審讀，對其含義的理解應當考察其他相關規定，并考慮條文在整個法律中的地位。就如BIPA將照片排除在外一樣，這里的“照片”更應當被理解為紙質印刷品，而非儲存于電腦文件或者上傳到互聯網的數字化圖像。因為從體系上看，與照片一同被排除的還有“書寫樣本、書面簽名、人類生物樣本、人口統計數據、紋身描述和身體描述”，它們與照片一樣都是非數字化的物理標識。因此，將照片絕對排除在BIPA的保護范圍之外是不恰當的，這樣做只會削弱BIPA的效力④。

本案法院盡管駁回了被告提出的“照片不受保護”的主張，卻沒有承認從照片中衍生的信息就是生物識別信息。按照法院的邏輯，紙質印刷品的照片確實不涉及生物特征標識和生物識別信息，但是以數字化形式呈現的圖像則可能是生物特征標識和生物識別信息的重要來源，所以一概將照片排除在BIPA的保護范圍是不恰當的。美國法院超出法律文本之字面對“照片”一詞重新解釋的做法，深刻反映了生物識別技術快速發展給社會認識帶來的變化。BIPA頒布于2008年，當時的照片以紙質印刷品為主，即便儲存了數字化圖像，憑借當時剛剛起步的生物識別技術，也不足以從數字圖像中提取生物特征標識。在伊利諾伊州，生物識別信息糾紛大多發生于2015年之后，被告則大多是尖端的生物識別技術公司，這些事實表明生物識別信息糾紛是隨著生物識別技術的發展產生的，而BIPA的規定一定會落后于快速變化的社會生活，因此對于BIPA條文的解釋必須跟上現實需要。臉書案判決的意義在于澄清了“單純的圖像不能作為生物識別信息而受保護”，但是法院的說理仍然不能從根本上回答原告怎樣的利益受到了侵害，尤其在當下紙質印刷品的照片與數字化的圖像早已實現了相互的自由轉換，以照片形式（無論是紙質化還是電子化）劃分保護對象的方法終將沒有說服力。因此，法院仍有必要在“照片”解釋的基礎上更近一步，才能使被告信服其行為確實與BIPA的規定相違背。

（二）對“幾何結構掃描”真實含義的理解

在臉書案中，三原告圍繞“照片是否受保護”的問題提出了許多有價值的主張，由此推動了案件真相的發現。原告提出，臉書公司的違法行為不在于收集、儲存和使用了原告的照片，而在于收集、儲存和使用了從原告的數字化圖像中衍生的信息——根據原告獨特的面部特征而創建的原告面部特征的數字表示，即所謂的“人臉模板”。這些面部特征的數字表示來源于對面部幾何結構的測量，又稱為“面部幾何結構掃描”，例如一個人的眼睛、鼻子和耳朵之間的距離。臉書公司的“標簽建議”服務必須依賴于面部幾何結構掃描，而后者是BIPA明確保護的“生物特征標識”，所以臉書公司未經原告同意收集、儲存和使用原告照片的行為就是對生物識別信息的侵犯。

原告的這一主張使案件變得更加復雜，而要解除困惑就必須從技術層面回答什么是“面部幾何結構掃描”。臉書公司首先通過詞語解釋的方法對原告的主張進行了反駁，它認為BIPA雖然明確將“面部幾何結構掃描”規定為生物特征標識，但是這一術語中的“掃描”一詞應當作限制性解釋，即應理解為“精確測量”，例如眼睛、鼻子和耳朵等在距離、深度和角度上的專門測量，而自己的行為僅僅是對照片進行了映射，所以不符合“掃描”的應有含義，不能被認為收集了原告的生物識別信息。

原被告就“面部幾何結構掃描”形成的爭論真正觸及人臉識別糾紛的根本，對于“掃描”一詞的理解甚至可以決定案件裁判的走向。對于法院而言，探究這一詞匯的真意至關重要，而一個前提是必須結合立法的目的進行考察?；谶@樣的考慮，法院認為，BIPA作為專門應對生物識別技術的隱私保護法律，理應不對“掃描”一詞作過多的限制；“掃描”一般是指通過觀察來檢測或者通過系統性數據尤其是儲存的數據來檢測，“幾何”于日常生活中被理解為“結構”，“結構”則指各部分或各元素的相對排列，所有這些詞匯都不要求實際和精確的測量；BIPA沒有對“掃描”一詞作出解釋，也從未暗示專門的測量是必需的。

法院對于“掃描”一詞的分析看似在解決一個事實問題，實際上卻揭示了生物識別信息糾紛的實質——生物特征測量或言生物特征標識，才是生物識別信息糾紛訴爭的關鍵。臉書案之后，美國法院已經可以非常熟練地把握該類訴訟的核心問題了。例如在2017年，因谷歌“云服務”而引發的針對谷歌公司的集體訴訟中，法院很快就鎖定了爭議的核心，并確認通過掃描照片中人物的面部特征而創建的“人臉模板”屬于生物特征標識，而谷歌公司未經原告同意創建和使用“人臉模板”的行為違反了BIPA的規定。谷歌案判決再一次證明，在因生物識別技術而引發的糾紛中，生物特征測量以及生物特征測量數據才是法律需要保護的核心利益。

（三）測量方式是否影響生物識別信息認定之辨析

臉書案和谷歌案讓法院明白，生物識別所涉及的核心利益是生物特征測量及其數據，然而面對快速發展的生物識別技術，法院在認定一項行為是否涉及對生物識別信息的處理時仍會出現許多障礙。在谷歌案中，就生物特征測量的來源問題再一次引發了爭論。這次爭論的焦點是：生物識別信息的獲得是否受到測量方式的影響？

谷歌公司認為，BIPA規定了兩個非常重要的定義：“生物特征標識”和“生物識別信息”。這兩個定義是從來源上進行區分——由人派生的是生物特征標識，隨后由生物特征標識派生的才是生物識別信息?！懊娌繋缀谓Y構掃描”之所以是生物特征標識，是因為它只能從人而來。因此，對人面部的直接掃描才能形成生物特征標識，而掃描照片獲得的生物特征測量不符合生物特征標識的定義。谷歌公司意圖從生物特征標識的來源（即生物特征的測量方式）入手找尋勝訴的機會，但它的這一努力無法從法律文本中找到依據，也明顯不符合BIPA的立法目的?！癇IPA關于生物特征標識的定義只是簡單列舉了生物特征標識的類型，卻沒有規定獲取和存儲它們的方法，事實上生物特征標識可以通過各種方式獲得，只要生物特征的測量值不發生改變，它們就依然是生物特征標識?！?/p>

Lindabeth Rivera and Joseph Weiss， on behalf of themselves and all others similarly situated， Plaintiffs，v. Google Inc.，Defendant.United States District Court，N.D.Illinois，Eastern Division. 238 F.Supp.3d 1088.法院通過判決表明一種立場：生物特征標識就是對一個人的生物特征測量，與測量的方式無關。

生物特征測量及其數據的獲得不受測量方式的影響，這一觀點對后續案件的審判起到了相當重要的影響。在Monroy v. Shutterfly， Inc.案中，被告再一次提出“面部幾何結構掃描”應被理解為只能從真人處獲得，理由是：其一，生物特征標識既然不包括從圖像或照片中獲得的信息，那么生物特征標識定義中的“面部幾何結構掃描”就只能是對人臉進行的面對面掃描；其二，在生物特征標識的定義中，與“面部幾何結構掃描”一同列舉的項目例如視網膜或虹膜的掃描，指紋、聲紋、手部掃描等都暗示了面對面的過程。審理該案的法院從多個角度反駁了被告的觀點：

其一，認為“生物特征標識”定義所列出的生物特征標識只能通過面對面方式獲得的觀點是不正確的，例如指紋、視網膜掃描從技術的角度看完全可以從電子圖像和照片中獲得，即便某些生物特征測量無法通過影像獲得，考慮到技術發展的速度，未來也有充分的可能性。其二，如果將“面部幾何結構掃描”理解為面對面掃描，那么法律將在應對技術發展帶來的新問題時捉襟見肘。正如谷歌案判決陳述的那樣，“技術的進步是促使伊利諾伊州頒布BIPA的原因，因此該法不可能通過限定測量的方式來限制生物特征標識的定義。有誰知道將來還可能通過何種方式進行虹膜掃描、視網膜掃描、指紋、聲紋以及面部和手部掃描”，最為重要的是，沒有法律條文要求生物特征標識必須直接來源于人。如果立法者有意使“面部幾何結構掃描”指代對人臉進行的實際掃描，那么它就應當作出更明確的表示，例如在定義中明確使用“來自人”或者“基于人”等詞匯

Alejandro Monroy，on behalf of himself and all others similarly situated， Plaintiffs，v. Shutterfly，Inc.，Defendant.United States District Court， N.D.Illinois， Eastern Division.2017 WL 4099846.。

（四）美國經驗的總結與反思

美國生物識別信息的認定經歷了一個由技術進步助推認知成長的過程。技術更迭所帶來的認知困惑深刻地反映在法庭雙方所進行的各種爭辯中。這些爭辯為深入理解生物識別信息的內涵提供了鮮活的素材，也為檢驗法律定義的適恰性提供了現實依據。

美國法院的審判經驗可以概括為以下方面：（1）單純對于個人生物特征的描述不構成生物識別信息。生物識別信息要從個人生物特征中提煉，但是個人生物特征不是生物識別信息。個人生物特征的描述即便以有形的方式呈現亦不構成生物識別信息，例如能夠展現眼睛顏色的照片不是生物識別信息。（2）生物特征樣本須與生物識別信息區分開來。生物特征樣本是記錄個人生物特征的載體，該載體若單純以物理形式呈現（如紙質印刷品的照片）則不會產生與生物識別信息的交集。但是當生物特征樣本經過特定技術處理后（如數字化的圖像），它與生物識別信息的界限就可能變得模糊。美國法院的貢獻就在于澄清了一個事實——無論生物特征樣本的載體形式如何，都不能將它與生物識別信息相等同，因為生物識別信息的本質不在于形式，而在于是否對個人生物特征進行了測量。（3）生物識別信息的實質是對生物特征的測量（即對生物特征的特定技術處理）。由于BIPA對生物識別標識采用了表象性的描述——“視網膜或虹膜掃描，指紋、聲紋、手部或面部幾何結構的掃描”，由此引發了爭議雙方的各類解讀。法院審判的意義在于還原了法律文本中“掃描”一詞的真實含義，揭示了生物識別標識的內核是生物特征測量。建立在這一認知的基礎之上，生物識別信息的認定變得精準而簡單——所有因生物特征測量所形成的數據就是生物識別信息，至于這些數據的取得方式則沒有必要過多考慮。

從美國的審判經驗得到啟示：一個良好的定義可以避免許多不必要的紛爭，而要塑造這樣一個定義，就必須從問題的本質入手。以BIPA的定義來看，其最大的缺陷在于采用表象性的描述來界定生物特征標識，沒有對生物特征標識的內核進行挖掘。這種表象性的描述極易引起認識上的偏差，同時表象性的列舉也不可能做到周延。例如，當作為行為特征的步態經過特定程序的測量從而具備識別個人身份的功能時也會上升為生物識別信息，但是在BIPA的列舉中卻缺乏這種描述。由是觀之，生物識別信息的定義更應當從“生物特征測量”的本質著手，才能避免技術更迭所帶來的不斷解釋的問題。對比來看，較BIPA晚了近10年的歐盟定義尤其是印度的定義更具有合理性。

四、生物識別信息的中國語義：以生物特征測量為核心的開放型定義

生物識別的應用帶來了權利侵害的新特點：從顯性到隱性的安全風險［23］。然而，個人生物識別信息的法律保護現實地擺在面前。隨著《個人信息保護法》立法的塵埃落定，生物識別信息的安全防護將獲得極大提升。但不可否認的是，我國尚缺乏對生物識別信息的準確定義，而現有法律文件所使用的定義存在保護對象不統一、內涵和外延不明確等各種問題［24］。這實際上反映了對生物識別信息本質認識的欠缺。

目前一個普遍性的錯誤是，將生物識別信息與個人生物特征相混淆。例如，有觀點認為人臉就是生物識別信息［25］。生物識別信息須由個人生物特征經過特定技術處理轉化而來，這是生物識別信息與個人生物特征的聯系，二者絕非同一內涵。個人生物特征與生俱來，具有天然的客觀性，生物識別信息則是經過了人工干預而在后天形成的數據。譬如一個人的兩眼距離過寬，此乃對個人生物特征的描述，而兩眼之間距離的測量數據才是生物識別信息。事實上，我國理論界對于個人生物特征、生物特征樣本、生物特征測量、生物識別信息等均未形成明確的認知，因此上述概念混用的現象時有發生。例如，《信息安全技術：個人信息安全規范》第6.3C條之3規定：“原則上不應存儲原始個人生物識別信息（如樣本、圖像等），可采取的措施包括但不限于在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像?！备鶕摋l語義，人臉圖像究竟是生物特征樣本抑或生物識別信息，概莫能辨。2022年實施的《信息安全技術 生物特征識別信息保護基本要求》對“生物特征識別信息”作出了最新定義：“對自然人的物理、生物或行為特征進行技術處理得到的、能夠單獨或者與其他信息結合識別該自然人身份的個人信息?！比欢谠摱x的注解中我們看到，“生物特征識別信息”不僅包括面部識別特征、虹膜、指紋等，還包括樣本和圖像。這表明概念之間交叉重疊、邊界不明的現象依然存在，個人生物特征、生物特征樣本與生物識別信息之間的混淆認識沒有消除。

筆者認為，個人生物識別信息的定義應當把握三個原則：第一，揭示生物識別信息的本質；第二，反映生物識別信息的構成；第三，兼顧技術更新的速度。在上述原則的指導下，生物識別信息的定義宜由內涵與外延兩部分組成，前者規定生物識別信息的本質與構成，為未來所有可能的情況提供解釋的基礎，后者進行開放式列舉，以引導當下的理論與實踐。生物識別信息的實質是對生物特征的測量，個人生物特征的反映、特定技術處理的環節、唯一性識別的功能是識別生物識別信息的核心要素，在此基礎可以勾勒出生物識別信息的內涵——對自然人的生物特征進行特定技術處理（測量）所形成的能夠唯一性識別自然人身份的信息（數據）。生物識別信息的三個要素也是區分它與個人生物特征、生物特征樣本、生物特征測量的依據。例如，人臉圖像在未經技術處理之前僅僅作為生物特征樣本而存在，所以單純對于照片的處理例如收集、掃描、傳輸、公開他人的照片不涉及生物識別信息的問題。倘若通過特定的程序從人臉圖像中將面部各代表性部位的相對位置和相對大小作為特征提取出來，所獲得的特征向量就是生物特征測量。如果這些特征向量被儲存于特定數據庫中以便日后用于識別和認證個人身份，那么便形成了生物特征參考模板俗稱“人臉模板”，與原始的人臉圖像不同，人臉模板則是生物識別信息。

至于生物識別信息的外延，則應當在兼顧特別列舉的同時保持開放。盡管出于產業保護的需要，一些地區出現了限縮生物識別信息種類的現象，例如美國華盛頓州的《生物信息隱私法》沒有在生物特征標識的定義中列舉“面部幾何結構掃描”［26］。評論者多認為這是一種商業友好利用的表現［27］。但是從國際總體情況看，保持外延的開放性已經成為主流。歐盟、英國和印度對生物識別信息的定義采取“概括”立法模式，其外延多不加以限制，只要對自然人的生物特征進行特定程序處理所形成的唯一識別自然人身份的數據均是生物識別信息。美國伊利諾伊州采用“概括+排除”的立法模式，例如將遺傳信息和健康信息排除在生物識別信息之外，但是作此排除的目的主要是為了避免與聯邦法律已有涉及的生物識別信息的規定發生沖突，至于生物識別信息的范圍依舊十分廣泛。加利福尼亞州的定義則采用“概括+列舉”的立法模式，一方面從正面列舉從虹膜、視網膜、指紋、臉部、手掌、靜脈、語音、步態、點擊模式、睡眠模式、運動模式，以及健康狀況中提取的數據是生物識別信息，另一方面又在定義中使用“包括但不限于”的表述使生物識別信息的范圍不受列舉的限制。我國《信息安全技術：個人信息安全規范》也曾羅列生物識別信息的種類——“個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等”，此種羅列明顯只具有提示意義。伴隨著生物識別技術的發展，生物識別信息的范圍會不斷擴大，故而，為實現保護和管理的目標，不宜對生物識別信息的種類加以限制。我國應當借鑒比較法上的經驗，在生物識別信息的外延界定上保持涵攝性。

五、結語

生物識別信息是隨著生物識別技術發展出現的個人信息的新類型。伴隨著生物識別技術應用的不斷深入，生物識別信息危機問題將愈發突出。然而生物識別信息除承載個體的人格價值外，還有重要的商業利用價值與公共管理價值，這就意味著生物識別信息的安全風險可能長期存在［28］。加強生物識別技術的合規化管理，建立企業、行業組織、監管機構在內的多方協同治理機制，對于預防生物識別信息的安全風險具有重要意義。而從技術或者法律的層面建立生物識別系統的安全性能標準，使個人在了解生物識別系統的風險后再進行授權同意，是實現個人對生物識別信息控制權的真正途徑［29］。不過上述所有措施都必須依賴一個共同的前提，即明確生物識別信息的范圍和類別，而這必須借助于對生物識別信息的準確定義。

參考文獻：

［1］王丹娜.生物識別：傳統信息安全在新技術環境的創新應用［J］.中國信息安全，2019（2）：60-64.

［2］付微明.大數據時代個人生物識別信息法律保護的重要意義［J］.研究生法學，2019（4）：134-140.

［3］JAIN A K.Technology：Biometric recognition［J］.Nature，2007（7158）：38-40.

［4］周正.生物識別技術助力信息惠民工程［J］.中國信息界，2015（2）：72.

［5］宋子晴.生物識別信息安全新主張［J］.中國公共安全（綜合版），2016（10）：84-87.

［6］李爾靜.軟件可以竊取“臉”，你將如何證明你是“你”［N］.長江日報，2019-09-05（05）.

［7］毛亞楠.人臉識別第一案：告的是什么［J］.方圓，2019（24）：14-17.

［8］ELIZABETH C.Reject the evidence of your eyes and ears：Deepfakes and the law of virtual replicants［J］.Seton Hall Law Review，2020（1）：177-206.

［9］屈暢.17萬“人臉數據公開售賣被下架”［N］.北京青年報，2019-09-11（07）.

［10］海通證券.信息服務：生物識別產業爆發在即［J］.股市動態分析，2016（38）：48.

［11］王德政.針對生物識別信息的刑法保護：現實境遇與完善路徑：以四川“人臉識別案”為切入點［J］.重慶大學學報（社會科學版），2021（2）：133-143.

［12］張勇.個人生物信息安全的法律保護：以人臉識別為例［J］.江西社會科學，2021（5）：157-168，255-256.

［13］周行.人臉信息立法保護的規范體系建構［J］.中南民族大學學報（人文社會科學版），2021（8）：128-135.

［14］吳小帥.大數據背景下個人生物識別信息安全的法律規制［J］.法學論壇，2021（2）：152-160.

［15］王澤鑒.債法原理（三）侵權行為［M］.北京：中國政法大學出版社，2001：138.

［16］趙秀萍.生物特征識別技術發展綜述［J］.刑事技術，2011（6）：44-48.

［17］顧理平.身份識別與復制：智能生物識別技術應用中的隱私保護［J］.湖南師范大學社會科學學報，2021（4）：123-130.

［18］WILLOUGHBY A.Biometric surveillance and the right to privacy［J］.IEEE Technology and Society Magazine，2017（3）：41-45.

［19］BINIMOW B J.State statutes regulating collection or disclosure of consumer biometric or genetic information［J］.American Law Reports 7th，2019（41）：38.

［20］付微明.個人生物識別信息民事權利訴訟救濟問題研究［J］.法學雜志，2020（3）：78-88.

［21］SCHWAB K.A landmark ruling gives new power to sue tech giants for privacy harms［EB/OL］.（2019-01-26）［2021-12-05］.http：//www.fastcompany.com/90297382/illinois-supreme-court-decision-marks-a-landmark-win-for-biometric-privacy-harm？position=7&campaign_date=11082020.

［22］STEPNEY C. Actual harm means it is too late：How Rosenbach v.Six Flags demonstrates effective biometric information privacy law［J］.Loyola of Los Angeles Entertainment Law Review，2019（1）：51-87.

［23］顧理平.智能生物識別技術：從身份識別到身體操控：公民隱私保護的視角［J］.上海師范大學學報（哲學社會科學版），2021（5）：5-13.

［24］曾昌.分離困境與整合路徑：大數據時代下個人生物識別信息保護制度之完善［J］.云南社會科學，2021（5）：114-122，187.

［25］郭春鎮.數字人權時代人臉識別技術應用的治理［J］.現代法學，2020（4）：19-36.

［26］BENSON B.Fingerprint not recognized：Why The United States needs to protect biometric privacy［J］.North Carolina Journal of Law & Technology，2018（4）：161-192.

［27］陸海娜，趙賡.個人生物識別信息商業利用的法律規制：美國州立法經驗的比較與反思［J］.人權研究，2021（2）：86-105.

［28］冉克平.論個人生物識別信息及其法律保護［J］.社會科學輯刊，2020（6）：111-120.

［29］華國慶，陶園.論生物特征識別系統個人信息采集處理授權同意機制［J］.江西社會科學，2021（5）：169-178.

Abstract：

Biometric information is a kind of data that comes from technical processing of personal biological characteristics. Personal biometric characters have the characteristics of invariance and uniqueness， which makes biometric identification identify individuals once and for all. Biometric information processed by a specific technology also has these characteristics， so any attacks on biometric information may have an irreversible impact on individuals. In real life， the information subject suffer loss from illegal commercial collection， freedom limitation， information sale and theft， deep fake and fraud. Its urgent to protect biometric information security， while defining biometric information precisely is the primary prerequisite. Experiences from comparative law show that the biometric information has three essential elements： the reflection of biological characters， the processing by specific technology， and the function of unique recognition. They are the key to identify biometric information. Biometric information can be collected by an image containing personal biometric characteristics， but the image is only a reflection of personal biometric characteristics. The image is not biometric information unless it is processed by specific technology， whether the image is an electronic image or a paper photo. The essence of biometric information is the measurement of personal biometric， which is called “specific technology processing”， but the measuring method itself doesnt matter. Whether measurement from face to face on real-person or from image containing personal biometric characteristics， the information is both biometric information. The description of personal biometric characteristic does not constitute biometric information， and personal biometric samples should be distinguished from the personal biometric information. There are many deviations in understanding the definition of biometric information in the legal documents now， and concept confusion， unclear connotation and incomplete extension are the main problems. The definition of biometric information in China should follow three principles in future： revealing the nature of biometric information， reflecting the elements of biometric information， and taking into account the speed of technology progress. It is necessary to define the concept from two aspects： connotation and extension. The functions of connotation are defining essence and composition， so as to provide explanation rooms for possible technological revolution. The functions of extension are listing typical biometric information， so as to provide guide for the current theory and practice. As far as the connotation， “biometric information” can be described as a kind of information which can uniquely identify a natural person by the specific technical processing of his biological characteristics. In terms of extension， the ordinary kinds of biometric information can be listed， at the same time， using the expressing of “including but not limited” to keep the scope of biometric information open.

Key words：? biometric information; biological characters; samples of biological characteristic; biometric measurement; personal information protection

（責任編輯 袁 虹）