我国生物识别信息界定的司法适用困境与出路

摘 要 生物识别信息是一类重要的敏感个人信息，科学界定其内涵和外延能为司法适用提供切实可行的依据。考察我国立法例，《个人信息保护法》未界定“生物识别信息”，“生物识别信息”或类似概念的界定存在适用范围有限、边界模糊和滞后于技术发展的不足。考察欧盟、美国立法例，“定义+列举+排除”的界定方式，以及“特定技术处理”“互相结合识别”“不可变更”的表述具有可鉴性。建议出台有关“敏感个人信息”的立法解释，以“技术原理”“生物特征”“识别方式”“识别目的”四要素为核心对“生物识别信息”进行概念界定，从身体或生理特征、行为特征两个层面进行种类列举，排除未经特定技术处理以确认自然人身份的生物识别信息来源。

关键词 个人信息保护法 敏感个人信息 生物识别信息

引用本文格式 张琪,肖冬梅. 我国生物识别信息界定的司法适用困境与出路[J].图书馆论坛,2022. 

The Dilemma and Strategy of Judicial Application of Biometric Information Definition in China

Zhang Qi,Xiao Dongmei

Abstract Biometric information is an important type of sensitive personal information, and a scientific and reasonable definition of its connotation and extension can provide a practical basis for its judicial application. Review the legislation of the national legislation, it is found that the Personal Information Protection Law does not define “biometric information”, and the existing definition of “biometric information” or similar concepts has the shortcomings of limited scope of application, fuzzy boundary and fell behind the development of technology. Review the legislation of the European Union and the United States, it is found that the definition of “definition + enumeration + exclusion” and the expressions of “specific technology treatment” , “mutual identification” and “immutable”are verifiable. It is suggested to issue a legislative interpretation on “sensitive personal information” to define the concept of “biometric information” with the four core elements of “technical principle”, “biometric”, “identification method” and “identification purpose”, listing the types from the two levels of physical or physiological and behavioral characteristics, excluding biometric information sources that are not processed by specific technologies to confirm personal identity.

Keywords the Personal Information Protection Law; sensitive personal information; biometric information 

0   引言

生物识别技术的快速发展和广泛应用，在促进经济发展、推动社会进步的同时，也引发社会公众对于生物识别信息的安全隐忧。生物识别信息因其主体唯一性和不可变更性而有别于其他个人信息，一经泄露或滥用，将会对信息主体造成不可逆的危害。2021 年 11月 1 日实施的《个人信息保护法》第 28 条第 1 款将“生物识别信息”纳入“敏感个人信息”范围进行特殊保护，遗憾的是未对“生物识别信息”作出界定。《人民检察院办理网络犯罪案件的规定》和地方性法规、国家标准虽然对“生物识别信息”或“生物识别数据”“生物特征识别信息”“生物特征识别数据”等类似概念进行界定，但适用范围有限。这意味着司法机关在对“生物识别信息”进行认定时缺乏明确的法律依据。与此同时，现有“生物识别信息”或类似概念的界定边界模糊且滞后于技术发展，无法为《个人信息保护法》中“生物识别信息” 概念的明确提供参照。另外，现有研究聚焦于生物识别信息的法律属性、特点、保护和风险监管等，而生物识别信息界定的研究还处于起步阶段。崔丽[1]、杨铜铜[2]、胡鹏鹏[3]等强调生物识别信息界定的重要性和意义；魏广萍[4]认为应对生物特征信息采取广泛定义来扩大保护范围；曾昌[5]、商希雪[6]、焦艳玲[7]等虽对生物识别信息作出初步界定，但对生物识别信息的内涵和外延分歧较大，不足以为司法实践提供理论支撑。本文旨在通过梳理我国现有“生物识别信息”和类似概念的界定，考察欧盟、美国相关立法例，为我国科学界定“生物识别信息”提供参考。

1   我国生物识别信息的界定现状与司法适用困境

1.1   我国生物识别信息的界定现状

我国对“生物识别信息”和类似概念的界定散见于司法解释、地方性法规和国家标准。在司法解释层面，2021 年 1 月 22 日发布的《人民检察院办理网络犯罪案件规定》第27 条将“生物识别信息”等“用户身份信息”作为电子数据中的一类。第 62 条通过“定义+列举”的方式专门针对“生物识别信息”这一称谓作出界定。定义部分从技术原理“计算机利用”、人体特征“人体所固有的生理特征或行为特征”和识别目的“个人身份识别”三方面明晰内涵；列举部分从生理特征和行为特征两方面展开，其中生理特征包括“人脸”“指纹”“声纹”“虹膜”“DNA”等，行为特征包括“步态”“击键习惯”等。

在地方性法规层面，2021 年 7 月 6 日发布的《深圳经济特区数据条例》第 2 条第 4 项同样采取“定义+列举”的方式界定“生物识别数据”。定义部分从人体特征“自然人的身体、生理、行为等生物特征”、技术原理“进行处理”、识别目的“能够识别自然人独特标识”三方面进行明确；列举部分包括“基因”“指纹”“声纹”“掌纹”“耳廓”“虹膜”“面部识别特征”等。

在国家标准层面，2019 年 6 月 18 日发布的《生物特征识别信息的保护要求（征求意见稿）》第 3.1.4 条则采用“定义式”的方式，将“生物特征识别数据”定义为基于“生物特征样本”“生物特性”“生物特征模型”“生物性质”“原始描述数据”的生物特征识别特征，或上述数据的聚合。2021 年 10 月 11 日发布的《生物特征识别信息保护基本要求》第 3.3 条仅给出“生物特征识别信息”定义，从人体特征“自然人的物理、生物或行为特征”、技术原理“技术处理”、识别方式“单独或者与其他信息结合”以及识别目的“识别该自然人身份”四方面进行明确。此外，该标准以“注”的方式列举“面部识别特征”“虹膜”“指纹”“基因”“声纹”“步态”“掌纹”“耳廓”“眼纹”等种类。

1.2   我国生物识别信息界定的司法适用困境

（1）      既有规定适用范围有限，无法在全国统一适用。《人民检察院办理网络犯罪案 件的规定》虽已对“生物识别信息”这一称谓作出界定，但仅用于规范人民检察院办理网络犯罪案件。《深圳经济特区数据条例》对“生物识别数据”这一类似概念所做的界定只能在该市行政区域范围内适用。《生物特征识别信息保护基本要求》《生物特征识别信息的保护要求（征求意见稿）》均为国家推荐性标准，对“生物特征识别信息”和“生物特征识别数据”的界定于司法上不具有强制力。鉴于《个人信息保护法》为侵害生物识别信息权益的行为设置民事、行政、刑事法律责任，为保障上述法律责任的落实，“生物识别信息”这一概念应统一适用于各司法领域。上述既有规定的适用范围有限，意味着各司法主体在对“生物识别信息”进行认定时缺乏明确的法律依据，面临法律适用的困境。

（2）      既有“生物识别信息”或类似概念的界定边界模糊且滞后于技术发展，无法为我 国科学界定“生物识别信息”提供现成参照。

一方面，《人民检察院办理网络犯罪案件的规定》未清晰表达“生物识别信息”的内涵， 且落后于生物识别技术的高速发展和应用。一是该界定中“计算机”这一表述无法确切概括生物识别的技术原理。生物识别信息的产生依赖于生物识别技术，其范围会随着生物识别技术的发展而处于动态变化中，因而准确表达生物识别技术的原理有助于把握生物识别信息的内涵。生物识别进行身份鉴定，不仅依赖计算机技术，还需结合光学、声学、生物传感器和生物统计学原理等高科技手段[8]123。二是该界定仅列举几种常见的生物识别信息， 无法满足社会公众对技术高速发展所带来的新型生物识别信息保护需求。

另一方面，“生物识别信息”类似概念的界定也具有局限性。《深圳经济特区数据条例》在定义中描述“身体”“生理”和“行为”三种生物特征，但列举的种类仅和“身体”“生理”特征相关；《生物特征识别信息的保护要求（征求意见稿）》的界定过于抽象，需要另行结合该标准的其他条款理解“生物特征样本”“生物特性”“生物特征模型”“生物性质”以及“原始描述数据”的含义；《生物特征识别信息保护基本要求》的界定认为“生物特征识别数据”可“与其他信息结合”识别到自然人身份，相比于其他界定扩大了“生物特征识别数据”的范围，这模糊了“生物特征识别数据”和“其他信息”的边界。

2   域外生物识别信息界定的立法例考察

2.1   欧盟生物识别信息界定的立法例考察

欧盟立法例中主要采用“biometric data”这一称谓。根据柯林斯词典解释，“biometric”为形容词，既可以翻译成“生物识别的”“生物特征的”，又可翻译为“生物的”。因此，“biometricdata”就可被翻译成“生物识别数据”“生物特征数据”“生物数据”“生物特征识别数据”等多种称谓，这与我国部分称谓相一致。本文将其翻译为“生物识别数据”。

欧盟 2018 年 5 月 25 日颁布的《通用数据保护条例》（GDPR）设置专门条款（第 4 条），采用“定义+列举”方式界定“生物识别数据”。定义部分从技术原理“特定技术处理”、人体特征“身体、生理或行为特征”和识别目的“确认自然人独特身份”展开；列举部分包括“面部图像”和“指纹数据”两种类型。另外，GDPR 第 9 条将“唯一识别自然人的生物识别数据“列入“特殊类型个人数据”，在一般情况下禁止使用生物识别数据进行“唯一识别”，体现出欧盟谨慎的立法态度。值得注意的是，与我国大多数规范性文件将“DNA”“基因”列入“生物识别信息”的做法不同，GDPR 第 9 条中的“遗传数据”独立于“生物识别数据”而存在。

2.2   美国生物识别信息界定的立法例考察

美国立法例中主要有“biometric data”“biometric information”“biometric identifier”三种称谓，以不同方式指向个体特有的可测量的生物学或行为特征①。本文将后两者分别翻译为“生物识别信息”和“生物识别标识符”。

2.2.1   美国各州生物识别信息的立法界定

美国在州层面对于“生物识别信息”或类似概念的界定散见于各州专门的生物识别信息保护法案或相关的隐私、数据保护法案。

专门的生物识别信息保护法案分别为伊利诺伊州《生物识别信息隐私法案》（BIPA）、德克萨斯州《生物特征符获取或使用法》（CUBI）和华盛顿州《生物识别隐私法》（WBPA）。美国伊利诺伊州 2008 年颁布的BIPA 最早对“生物识别信息”作出界定。该法第 10 条将“生物识别信息”定义为基于识别个人“生物识别标识符”的任何信息，无论该生物识别信息是如何被获得、转换、存储或共享，不包括“生物识别标识符”排除的项目或程序中获取的信息。该法案对“生物识别标识符”进行了“列举+排除”式的界定。列举部分为穷尽式列举，包括“视网膜或虹膜扫描”“指纹”“声纹”“手部几何扫描”和“面部几何扫描”。排除部分则包括原始样本或外貌描述、器官捐赠移植、生物样本、医疗保健以及医学影像类五类。关于“生物识别信息”和“生物识别标识符”的关系，美国法院在里维拉诉谷歌案（Rivera v. Google Inc.）案中进行了阐述。该案双方当事人就里维拉上传到谷歌云服务上的照片进行的人脸扫描后创建人脸模板，是否属于BIPA 中的“生物识别信息”产生争议，法院指出“生物识别标识符” 是一组用于识别个人、基于生物学的测量，而“生物识别信息”则是将这些测量转换成其他可用的形式。换言之，虽然原始的照片本身不属于“生物识别标识符”，但若对其进行技术处理后可识别特定个人，则该行为就落入了BIPA 的规制范围。随后，德克萨斯州于 2009 年通过CUBI，该法对“生物识别标识符”采取“列举式”的界定，该界定与 BIPA 列举范围相同，未含有排除范围。华盛顿州于 2017 年 6 月 16 日通过的WBPA 则是美国第三个专门保护生物识别信息的立法。该法采取“定义+列举+排除”的方式界定“生物识别信息”。定义部分包括技术原理“自动测量”、人体特征“生物特征或其他独特的生物模式或特征”和识别目的“识别特定个人”。列举部分为不完全列举模式，包括“指纹”“声纹”“眼睛视网膜”“虹膜” 等。排除部分包括两类情形：物理形式或数字形式的“照片”“视频”“音频”；“医疗保健治疗、支付或运营而收集、使用或存储的信息”。

相关的隐私、数据保护法案分别为加利福尼亚州《消费者隐私法案》（CCPA）、《隐私权法》（CPRA）和弗吉尼亚州《消费者数据保护法》（CDPA）。加利福尼亚州CCPA 于 2018 年 6 月通过,目的是加强消费者个人信息保护,采取“定义+列举”的方式对“生物识别信息”进行界定。定义部分从人体特征“生理、生物或行为特征（包括个人DNA）”、识别方式“单独、相互结合或与其他可识别数据结合”和识别目的“识别个人身份”三方面展开。列举部分为不完全列举模式，包括“虹膜”“视网膜”“指纹”“人脸”“手部”“掌纹”“静脉模式”“声纹”“击键习惯”“步态”以及“包含识别信息的睡眠、健康、锻炼数据”。2020 年 11 月 3 日通过CPRA，意图对 CCPA 进行修正，但并未对“生物识别信息”的内涵与外延进行修改。弗吉尼亚州 2021 年 1 月 29 日通过的CDPA 对“生物识别数据”的界定与WBPA 中“生物识别标识符”的界定相一致。

2.2.2   美国联邦生物识别信息的立法界定

美国联邦层面没有专门的生物识别信息立法，“生物识别信息”或类似概念的界定出现在相关草案中。

2019 年 12 月 3 日，为保护公民个人数据权利，Maria Cantwell 提出《S.2968-消费者在线隐私权法案（草案）》，建议采用“定义+列举+排除”的方式对“生物识别信息”进行界定。定义部分包括技术原理“测量或特定技术处理”和人体特征“生物、身体或生理特征”两方面。可见，该界定并不要求识别到特定个人，只要和人体特征相关即为“生物识别信息”。列举部分为不完全列举形式，包括“指纹”“声纹”“虹膜或视网膜扫描”“面部扫描或面部模板”“DNA”和“步态”。排除部分，则仅列举了伊利诺伊州BIPA 中排除的第一类情形，但附加“该等数据不用于识别个人独特的生物、身体或生理特征”的限定语。同月，为建立统一的隐私法，Michael Kans 提出《2019 年美国消费者数据隐私法案（草案）》，对“生物识别信息”的界定与CCPA、CPRA 一致。2020 年 3 月 12 日，Mr.Moran 提出《S.3456－2020 年消费者数据隐私和安全法（草案）》，建议对“生物识别信息”采取“定义式”界定，包括技术原理“特定技术处理”、人体特征“身体、生物、生理、基因、行为方面的特征”与识别目的“能够识别个人”。该法将“基因”也视为人体特征的一类。

Sens. JeffMerkley 和Bernie Sanders2020 年 8 月 10 日提出的《S.4400-国家生物识别信息隐私法（草案）》对“生物识别信息”的界定也值得注意。该草案以BIPA 为蓝本，有待成为联邦层面专门的生物识别信息保护法案，采用“定义+列举+排除方式界定“生物识别信息”。定义部分包括人体特征“个人步态特征或其他不可变特征”和识别目的“具有识别性”。列举部分为不完全列举模式，相较于BIPA 列举的种类更广泛，“视网膜或虹膜扫描”“声纹”“指纹”与BIPA 保持一致，但以“面纹”“掌纹”的表述区别于BIPA 的“手部几何扫描”“面部几何扫描”。排除范围除未保留“生物材料”这类情形外，其余部分则与BIPA 保持一致。

2.3   可鉴之处

欧盟、美国相关立法例均认为生物识别信息是人体特征的反映，均认可“唯一/单独识别”的识别方式，并对识别到特定个人的识别目的达成一致。欧盟、美国对“生物识别信息” 或其类似概念界定的差异主要体现在 3 个方面。

（1）  界定方式的差异。欧盟GDPR 采取“定义+列举”的界定方式阐述“生物识别数据” 的内涵和外延。概因美国尚无统一的生物识别信息保护法案，美国州层面、联邦层面对于“生物识别信息”或其类似概念的界定方式出多元化格局，除“定义+列举”外，还存在“定义式”“列举式”“列举+排除”和“定义+列举+排除”四种界定方式。较为明显的是，美国立法趋势更倾向于“定义+列举+排除”这一界定方式。

（2）  概念定义的差异。欧盟GDPR 用“特定技术处理”这一表述来阐述生物识别的技术原理，美国相关立法例则还存在“通过测量/自动测量”的表述；欧盟GDPR 仅罗列了“身体”“生理”“行为”三类人体特征，而美国相关立法例则还罗列了“生物”“基因”“DNA”等人体特征；欧盟GDPR 将“生物识别数据”限定于“唯一识别”，而美国立法例还存在“相互结合” 和“与其他可识别数据结合”的识别方式。

（3）  种类列举的差异。欧盟 GDPR 仅列举出“面部图像”和“指纹数据”两类，而美国相关立法例更倾向于列举多种类型。可见，无论是从界定方式看，还是从概念定义和种类列举看，相较于欧盟谨慎的立法态度，“美国趋于囊括尽可能多的生物特征及相关数据”[9] 。

欧盟与美国对“生物识别信息”或类似概念的界定对我国立法存在可鉴之处。

（1）  美国华盛顿州WBPA、弗吉尼亚州CDPA 以及参议院法案《S.2968-消费者在线隐私权法案（草案）》《S.4400-国家生物识别信息隐私法（草案）》所采取的“定义+列举+排除”的界定方式，在尽可能明确多种类型的同时，又考虑了一定的排除范围，能够指导司法适用，降低司法成本。本文赞同这种界定方式，但认为“生物识别信息”的范围不宜过度扩张，应考虑其与被结合信息的界限。

（2）  欧盟 GDPR 和美国参议院法案《S.2968-消费者在线隐私权法案（草案）》《S.3456－2020 年消费者数据隐私和安全法（草案）》中所采用的“特定技术处理”，相较于“计算机利用”“通过测量/自动测量”等，更能准确概括生物识别技术的原理。

（3）  加利福尼亚州 CCPA、CPRA 和参议院法案《2019 年美国消费者数据隐私法案（ 草案）》中“相互结合”的表述，明确表达了两种确认自然人身份的方式，分别是“A 生物识别信息+B 生物识别信息”与“生物识别信息+其他可识别信息（如行踪轨迹信息）”。这种表述科学地认识了生物识别技术的多种功能且应合了多生物识别技术融合的发展趋势。

（4）  不可变更性是生物识别信息的重要特征之一，美国参议院法案《S.4400-国家生物识别信息隐私法（草案）》在“生物识别信息”的定义中表明其“不可变”的特征，能够进一步降低司法成本、节约司法资源。

3   我国生物识别信息的界定构想

3.1   我国生物识别信息界定可采取的方式

对现有生物识别信息的界定方式进行统计，主要存在“定义式”“列举式”“定义+列举”“列举+排除”“定义+列举+排除”5 种方式。

“定义式”，即仅给出生物识别信息的抽象概念，并不对其种类进行明确。本文认为对“生物识别信息”进行界定时不宜采取此种界定方式。单纯地给出生物识别信息的概念无法直接对某种信息是否属于生物识别信息作出判断，会造成司法适用的模糊。《生物特征识别信息保护基本要求》虽对“生物特征识别信息”采取定义式的界定方式，但以“注”的方式列举类型，因此该国家标准实际上是通过定义式的界定和“注”的种类列举展现“生物特征识别信息”的内涵与外延。而《生物特征识别信息的保护要求（征求意见稿）》系采取“定义式”的界定，从而需要结合该标准的其他条款才能理解“生物特征识别数据”。因此，纯粹“定义式”的界定无法有效指导司法适用。

“列举式”即直接逐项列举生物识别信息的种类，包括穷尽式列举和非穷尽式列举。此两种列举式界定均不适用于生物识别信息。

首先，穷尽式列举无法涵盖生物识别信息的所有种类。生物识别信息的种类会随着生物识别技术的发展和提高而不断增加，类型尚无法穷尽。德克萨斯州CUBI 列举的 5 种类型，已经无法涵盖现有生物识别技术能够识别出的生物特征信息种类。穷尽式列举的滞后性和局限性使生物识别信息无法在实践中被灵活适用，无法为生物识别信息留有解释空间。

其次，非穷尽列举式虽能克服穷尽式列举的滞后性，以应对生物识别技术快速发展， 但是缺乏统一的判断标准，存在较高的滥用风险。

“定义+列举”即在说明生物识别信息抽象概念的同时列举生物识别信息的种类。此种界定方式能够在一定程度上弥补单纯“定义式”的不确定性、穷尽式列举的滞后性和非穷尽式列举标准缺失的缺陷，也是我国立法和学者比较青睐的界定方式。欧盟GDPR、加利福尼亚州CCPA、CPRA 和美国参议院法案《2019 年美国消费者数据隐私法案（草案）》也采用这种界定方式。

“列举+排除”即对生物识别信息进行穷尽式列举后，又列出生物识别信息的排除范围， 但该种界定方式未解决穷尽式列举的滞后性。德克萨斯州 CUBI、伊利诺伊州 BIPA 所列举的类型已经落后于技术发展。但BIPA 所列举的排除范围，有效区分了生物识别信息本身和生物识别信息来源，并将“医疗保健”场景对生物识别信息的利用，规定为豁免事由，进一步明确了“生物识别信息”的边界。

“定义+列举+排除”即说明生物识别信息的抽象概念、列举生物识别信息种类的同时， 又给出生物识别信息的排除范围。这一界定方式集合了“定义+列举”和“列举+排除”的优点。相对于“定义+列举”，该种界定方式进一步降低了司法成本，使生物识别信息的内涵和外延更加清晰，能够有效指导司法适用；相对于“列举+排除”，该种界定方式能够迎合生物识别技术的发展，为新型生物识别信息留有解释空间。本文认为此种界定方式为界定生物识别信息的最优方式。

3.2   我国生物识别信息的明确定义

采取“定义+列举+排除”的方式界定“生物识别信息”，首先要明确定义。“生物识别信息” 的定义是鉴定生物识别信息种类的判断标准，其应能清晰、明确地阐述“生物识别信息”的内涵，灵活应对生物识别技术的发展趋势，为司法机关提供认定依据。现有定义聚焦于“技术原理”“人体特征”“识别方式”“识别目的”四要素，以此明确“生物识别信息”或其类似概念的内涵。前三种要素存在些许争议，但对“识别目的”要素达成共识，均定位于识别到个人。

“技术原理”要素虽被部分界定所忽略，但实际上明确“技术原理”有助于正确把握“生物识别信息”的内涵，“技术原理”这一要素应是“生物识别信息”定义中不可或缺的要素之一。生物识别系统提取人的手背静脉图像、指纹、面部等原始生物识别信息，从而利用该原始生物识别信息进行特征提取和特征匹配[10]4-5。由此，生物识别实际上是一个从人体生物识别信息来源（照片、身体部位）中提取生物识别原始信息（自然人生物特征的样本、图像），再从生物识别原始信息中提取生物识别比对信息的过程。相对于“计算机利用”“通过测量”“自动测量”“技术处理”等表述，欧盟 GDPR 和美国参议院法案《S.2968-消费者在线隐私权法案（草案）》《S.3456－2020 年消费者数据隐私和安全法（草案）》所采用的“特定技术处理”这一表述显然对于生物识别技术原理的概括更为精确。根据GDPR 导言第 51 条， 照片的处理不应被系统地视为对特殊类别的个人数据的处理，只有通过允许对自然人进行唯一识别或认证的特定技术手段进行处理时，才被生物识别数据的定义所涵盖。因此，GDPR 第 4 条的“特定技术”是指对自然人进行唯一识别或身份认证的技术，而不仅仅是单纯的测量、扫描或计算机技术。在此需要说明的是，“特定技术处理”仅限于提取、识别和匹配，而非技术挖掘，不能将生物识别信息（原始信息和比对信息）视为对信息处理所形成的成果。

“人体特征”这一要素解决生物识别信息究竟与人体哪些特征相关的问题。要解决该问题，需对现有身体、生物、生理、行为、基因、DNA 等相关概念进行辨析，明确其区别与联系。

第一步，厘清“身体特征”和“生理特征”的关系。“身体”系“人或动物各生理组织构成的整体”；“生理”系“生物机体的生命活动和各个器官的机能”。由此可见身体侧重于结构性， 而生理侧重于功能性。但是人体的结构和功能往往密切相关，器官的结构总是同其功能相适应[11]2。现有研究生物识别技术原理的学者实际上混同了“身体特征”与“生理特征”的内涵。董凤服称生物特征分为“生理特征”和“行为特征” [12]71；邱建华等认为生物特征识别技术主要通过可测量的“身体”或“行为”等生物特征进行身份认证[13]13。因此，“身体特征”与“生理特征”不能完全等同，应被同时列入抽象概念中。

第二步，厘清“生物”特征与其他特征的关系。生物识别技术利用“生物特征”进行个人身份识别[12]71，一般认为“生物特征”是其他特征的上位概念。另外，相对于仅列举上位概念，一定程度上的分类可使生物识别信息的判断标准更为清晰。因此，不应将“生物”特征列入抽象概念中。

第三步，厘清“基因”“DNA”之间的关系。学界通常将“基因识别”等同于“DNA 识别”， 其识别对象主要为蛋白质编码基因，还包括RNA 基因等具有一定生物学功能的因子[14]47。由于基因与自然人的生理特征息息相关，因此可将“基因”或“DNA”列为生理特征。虽然欧盟GDPR 将“基因数据”独立于“生物识别数据”，但该种分类不适用于我国立法。首先，欧盟GDPR 虽意识到“基因数据”的特殊性，但该种界定方式会产生“基因数据”是否属于“生物识别数据”的争议。实质上，基因信息完全符合生物识别信息的唯一性和不可变更性。我国《基因识别数据安全要求（征求意见稿）》虽是专门规定“基因识别数据”安全要求的国家标准，但根据其编制说明，该标准以期在一定程度上弥补我国在生物特征识别数据的安全规范上的劣势。可见，该标准认为基因信息属于生物特征识别数据。其次，我国《个人信息保护法》并未将“基因识别信息”单独作为一类敏感个人信息，为使其得到有效保护，应在司法解释中将其列为生物识别信息种类之一。

“识别方式”这一要素解决生物识别信息是否必须单独识别特定自然人身份的问题。商希雪提出唯一识别性是判定生物识别信息的前提条件，认为生物特征信息必须可以单独识别个人身份[6]。曾昌认为只有不需关联其他信息就可直接识别个人才能被称为生物识别信息[15]。本文不赞成上述学者观点，认为唯一识别性不应成为对生物识别信息的限制。首先， 根据《生物特征识别信息的保护要求（征求意见稿）》，生物特征识别系统并非只有利用单独的生物识别信息直接识别到个人这一种形式，还存在间接识别到个人（如结合指纹的细节点和面部的特征系数）的可能。虽不可否认生物识别信息对于单个自然人的唯一性， 但不能忽视两种或以上生物识别技术的中大型应用系统具有更大的市场价值[16]45。在疫情防控中，单一生物识别技术无法同时满足社会公众对于“戴口罩”“非接触”“筛高温”的防疫需求，而多模态生物识别可应用在多场景，能够充分发挥不同生物识别技术的优势，或将成为后疫情时代的常态化标配[17]。其次，生物识别技术除具有验证“1:1 比对”和识别“1：N 比对”两种功能外，还具有“特征分析”功能。以人脸识别为例，这种“特征分析”功能体现为从面部图像中推断出个人的性取向、情绪等，但这些从面部图像中推断的特征也有可能与其他数据（如位置数据）结合以识别到特定个人[18]。间接识别到人的生物识别信息一旦被泄露，其危害也不容小觑，因此，不应局限于“单个”生物识别信息“唯一”识别自然人身份， 生物识别信息应可以“A 生物识别信息+B 生物识别信息”和“生物识别信息+其他可识别信息”两种识别方式进行身份识别。此外，在承认上述两种间接识别方式的同时，也模糊了生物识别信息与其他可识别信息的界限，应在“生物识别信息”的定义中明确其“唯一性”和“不可变更性”，防止将被结合的其他可识别信息认定为生物识别信息。《深圳经济特区数据条例》定义中“独特”一词就是对“唯一性”的表达，而“不可变更性”则可借鉴美国参议院法案《S.4400-国家生物识别信息隐私法（草案）》中“不可变”的表述。

综上所述，经语序调整，应将“生物识别信息”定义为：通过特定技术对自然人不可变的身体、生理或行为等独特生物特征进行处理所得到的，单独、相互结合或与其他可识别信息结合以确认自然人身份的信息。

3.3   我国生物识别信息应纳入的种类

除前述文件外，《出境入境管理法》等虽未对“生物识别信息”或其类似概念进行界定， 但也列举了些许类型。此外，2018 年 5 月 25 日英国信息专员办公室发布的《特殊数据的处理指南》也对身体、生理以及行为类生物识别技术进行了较为详细的列举。这些明示或暗含的类型应在“生物识别信息”的界定中予以考虑。统计上述种类，共计 23 种（见表 1）。 

表 1 生物识别信息的种类统计

特 征 序号                              种类                               次数               国内                                        国外

注：标号代表：○1 为《出境入境管理法》，○2 为《反恐怖主义法》，○3 为《外国人入境出境管理条例》，○4 为《公安机关办理刑事案件程序规定》，○5 为《汽车数据安全 管理若干规定（试行）》，○6 为《人民检察院办理网络犯罪案件规定》，○7 为《贵州省大数据安全保障条例》，○8 为《深圳经济特区数据条例》，○9 为《海南自由贸易港 社会信用条例》，○10 为《四川省物业管理条例》，○11 为《个人信息安全规范（GB/T35273-2020）》，○12 为《健康医疗数据安全指南（GB/T39725—2020）》，○13 为《移动 智能终端与应用软件用户个人信息保护实施指南 第2 部分：个人信息分类分级（TAF-WG4-AS0050-V1.0.0:2019）》，○14 为《最高人民法院关于审理使用人脸识别技术处 理个人信息相关民事案件适用法律若干问题的规定》，○15 为《生物特征识别信息保护基本要求》，○16 为《生物特征识别信息的保护要求（征求意见稿）》，○17 为欧盟《GDPR》，○ 18 为伊利诺伊州BIPA，○19 为德克萨斯州CUBI，○20 为华盛顿州WBPA，○21 为加州CCPA，○22 为加州CPRA，○23 为弗吉尼亚州CDPA，○24 为美国《S.2968-消费者在线隐私权法案》，○ 25 为美国《2019 年美国消费者数据隐私法案（草案）》，○26 为《S.4400-国家生物识别信息隐私法》，○27 为英国信息专员办公室《特殊数据的处理指南》。

“生物识别信息”的种类应尽可能明确，以有效指导司法适用。对于各国规定频次较高的种类，已成为社会共识，理应予以认可；对于规定频次较低的种类，需结合“生物识别信息”的定义和生物识别技术的各类应用场景做进一步判断。本文建议将手部（指纹、指静脉、掌静脉、手型、掌纹）、人脸、虹膜、声纹、视网膜、眼纹、耳廓、基因（DNA）列为身体、生理特征类生物识别信息；将步态、击键习惯、心律、手写签名列为行为特征类生物识别信息。主要理由如下：

（1）  身体、生理特征类生物识别信息中，指纹、人脸、虹膜、声纹、视网膜、掌纹、基因（DNA）、手型是规定频次较高的生物识别信息。被列入生物识别信息频率较高的种类一般较为契合公众认可度，且上述生物识别技术也在社会中运用广泛。指静脉、掌静脉、耳廓、眼纹等虽出现频率较低，但此四种类型符合生物识别信息的唯一性和不可变更性， 并且已经随着技术的发展在社会生活中得以应用，一旦泄漏或被滥用，都会产生重大风险。此四种类型也应在“生物识别信息”的界定中进行列明。其一，指静脉、掌静脉等利用体内信息进行识别的第二代生物识别技术已经被广泛运用在门禁考勤中[19]119-120，生物识别信息的种类范围应结合生物识别技术的发展而适时调整。其二，耳廓生物识别技术基于外耳轮廓和特征点信息提取来识别个人，其稳定性甚至要大于人脸[20]8。虽耳廓识别可能会受到头发遮盖的影响，便捷性不高，但不能否认其为生物识别信息本身。其三，眼纹识别技术利用眼白的可见静脉图案进行身份识别，即使容貌变化较大，眼纹识别技术也能够基于独一无二的眼纹进行精准识别。蚂蚁金服旗下ZOLOZ（蚂蚁佐罗）研发的眼纹识别技术，可对同卵四胞胎进行精准识别，目前这一技术已在普通手机上进行了应用[21]。具有潜在应用价值的眼纹识别技术，也将眼纹这一新型生物识别信息置于被泄露和滥用的风险之中，应将其确定为“生物识别信息”的一种。

本文不赞同将肖像、静脉模式、疾病三类列入生物识别信息当中。其一，肖像虽是用相片、录像、摄影等载体表现出来的某个人外部形象的客观反映，但是一般仅凭肉眼观察即可识别该自然人，无需通过“特定技术”来识别特定自然人，与生物识别信息的抽象概念不符；其二，静脉模式类生物识别技术目前主要体现为指静脉、掌静脉和眼纹识别技术， 因此没有必要单独将静脉模式列入生理特征类生物识别信息中；其三，疾病与病人之间是多对多的关系，并不符合生物识别信息的唯一性，将其视为医疗健康信息更为合理。

（2）  步态和击键习惯是较受各国认可的行为特征类生物识别信息。心律、签名两类 识别信息虽未得到较高认可度，但其对应的生物识别技术在各自应用的行业领域发挥着不可小觑的作用。心律识别即根据心脏的跳动频率来进行身份识别的技术，利用心律信息解锁和启动汽车的心脏钥匙技术被广泛用于汽车和智能交通场景[22]。《汽车数据安全管理若干规定（试行）》正是意识到了心律识别信息的利用价值，才将其列为生物识别特征信息。签名同步态、击键习惯具有一定程度的不可变更性。随着电子签章服务的普及，签名识别技术判断各种确认性文件的签署上得以广泛运用，签名识别信息一旦被泄露，该自然人极有可能面临法律风险，考虑到签名信息的敏感性，有必要将其列入生物识别信息。

本文不赞同将语音以及含有识别信息的睡眠、健康、训练信息列入行为特征类生物识别信息。其一，语音识别技术侧重于对语音内容的识别与理解，通常与声纹识别技术结合应用提高声纹身份认证系统的安全性能[23]33-34，用于身份认证的实际为声纹识别技术。其二，睡眠、健康、训练信息虽能体现一定程度的规律性，但相对于步态和击键习惯，这种规律性易被打破；且实践中，睡眠、健康、训练信息往往应用于可穿戴设备场景，用于评估穿戴者的整体状态，将其列为医疗健康信息更为适宜。其三，眼球追踪技术的原理是对视线进行追踪和检测或者实现对视线移动方向的预判，通常是与虹膜识别结合应用加强人体活体检测[24]44-45，其灵活性与生物识别信息的稳定性与不可变更性并不相符。

（3）  生物识别信息的外延将会随着生物识别技术的发展不断扩展，因此生物识别信息不能局限于上述种类，应留有一定的灵活空间。

3.4   我国生物识别信息宜排除的范围

我国“生物识别信息”或其类似概念的界定未涉及排除范围，美国伊利诺伊州 BIPA、华盛顿州WBPA、弗吉尼亚州 CDPA 以及参议院法案《S.2968-消费者在线隐私权法案》《S.4400-国家生物识别信息隐私法》所确认的排除范围主要包含 29 种类型（见表 2）。

 表 2 生物识别信息的排除范围统计

注：来源标号同表1。

细究 29 种类型，除第 21、22 项外，其余 27 种类型实则均为未经技术处理的生物识别信息来源。生物识别信息来源虽可用于提取生物识别信息，但不能将其视为生物识别信息本身[25]。理由如下：

（1）生物识别信息来源不符合生物识别信息的唯一性和不可变更性。生物识别信息来源与自然人并不唯一对应且易变更，如手机里存储的同一自然人不同姿势的照片、不同内容的视频等；同一自然人不同时期的发色、体重等。

（2）生物识别信息的来源，除用于识别特定自然人外，还具有其他特殊价值。如血 液等生物样本除用于提取生物识别信息外，其价值更多体现为治疗和救助患者。

（3）生物识别信息来源未经“特定技术处理”，不能成为“生物识别信息”。这也在多 部文件中得到印证，欧盟数据保护委员会（EDPB）发布的《关于通过视频设备处理个人数据的指南》称没有经过专门技术处理的个人视频片段不能被视为生物识别数据[26]。英国信息专员办公室发布的《特殊数据的处理指南》中也有“数字照片只有经过特定技术处理才是生物识别数据”的类似说辞[27]。当然，根据美国的司法审判经验，样本、图像等生物识别信息来源若经过特定技术处理用于身份识别，则应当认可其为生物识别信息。司法实践混淆生物识别信息本身与生物识别信息来源。如杭州市中级人民法院浙 01 行初 121 号行政判决书将“人脸头像三面照”“口腔唾液”与“十指指纹”“双手掌纹”一同认定为生物识别信息。这种认定扩大了生物识别信息的外延，若该案中的被申请人仅是单纯对“人脸头像三面照”和“ 口腔唾液”进行了收集、存储，并未通过特定技术从“人脸头像三面照”和“口腔唾液”中提取生物特征模板以识别原告身份，那么显然不能将其认定为生物识别信息。 

第 21、22 项将“医疗保健环境中从患者处获取的信息”“为医疗保健治疗、支付或运营而收集、使用或存储的信息”排除在外。然而《个人信息保护法》第 38 条已对“生物识别信息”与“医疗健康信息”进行了区分，故而应通过界定“生物识别信息”和“医疗健康信息”来明确彼此之间的界限，而不是将列入“生物识别信息”的排除范围。若要对医疗保健场景中生物识别信息的利用进行豁免，建议列入生物识别信息保护条文中的例外条款。

综上所述，借鉴美国参议院法案《S.2968-消费者在线隐私权法案（草案）》对排除范围的表述“不用于识别个人唯一的生物、身体、生理特征”，使排除目的更为明确。“生物识别信息”的排除范围宜规定为：未经特定技术处理用以确认自然人身份的生物识别信息来源。

4   结语

《个人信息保护法》已然实施，“生物识别信息”界定的缺失将使司法实践面临法律适用的难题。考虑到当前生物识别技术的迅速发展以及生物识别信息泄露、滥用事件的频发，“生物识别信息”应有统一周延的内涵和外延，为司法机关提供明确的认定标准。此外，“生物识别信息”的界定还可为《个人信息保护法》配套制度的制定、监管机关的执法、权利主体知情-同意权的行使以及图书馆等义务主体的个人信息合规义务提供明确指引。建议出台有关“敏感个人信息”的立法解释，将“生物识别信息”界定为：“通过特定技术对自然人不可变的身体、生理或行为等独特生物特征进行处理所得到的，单独、相互结合或与其他可识别信息结合以确认自然人身份的信息。

包括但不限于：（1）身体、生理特征：人脸、手部（指纹；指静脉；掌静脉；手型； 掌纹）、虹膜、声纹、视网膜、耳廓、基因（DNA）；（2）行为特征：步态、击键习惯、心律、手写签名。

不包括：未经特定技术处理以确认自然人身份的生物识别信息来源。” 

注释

①Washington Final Bill Report, 2017 Reg. Sess. H.B. 1717. 

参考文献

[1]  崔丽.个人生物识别信息的法律属性与保护路径——以《民法典》第 1034 条的解释为出发点[J].学习与探索,2021(8):73-81.

[2]  杨铜铜.论个人生物识别信息保护的立法路径[J].北京理工大学学报(社会科学版),2021,23(6):140-150.

[3]  胡鹏鹏.大数据背景下个人生物识别信息的立法保护研究[J].信息安全研究,2020,6(9):798-806.

[4]  魏广萍.雇员生物识别信息法律保护的主体性视角重构[J].科技与法律(中英文),2021(5):65-74.

[5]  曾昌.分离困境与整合路径:大数据时代下个人生物识别信息保护制度之完善[J].云南社会科学,2021(05):114-1 22,187.

[6]  商希雪.生物识别信息公共与商业使用的制度定位与规范构建——兼论对人格权保护模式的反思[J].青海社会科学,2021(02):141-152.DOI:10.14154/j.cnki.qss.2021.02.020.

[7]  焦艳玲.个人生物识别信息的界定[J/OL].重庆大学学报(社会科学版):1-13[2022-03-04]. http://kns.cnki.net/kcms/ detail/50.1023.C.20211210.2229.005.html.

[8]  印润远,王传东,李斌.移动互联网技术实用教程[M].北京:中国铁道出版社,2019.

[9]  石佳友,刘思齐.人脸识别技术中的个人信息保护——兼论动态同意模式的建构[J].财经法学,2021(2):60-78.

[10]  尹方平.新编生物特征识别与应用[M].成都:电子科技大学出版社,2016.

[11]  任树德,孙传贤.生理卫生[M].北京:人民教育出版社,1981.

[12]  董凤服.信息技术更新与中国经济发展[M].北京:航空工业出版社,2014.

[13]  邱建华,冯敬,郭伟,等.生物特征识别:身份认证的革命[M].北京:清华大学出版社,2016.

[14]  李梅,范东琦,任新成,等.物联网科技导论[M].北京:北京邮电大学出版社,2015.

[15]  曾昌.分离困境与整合路径:大数据时代下个人生物识别信息保护制度完善[J].云南社会科学,2021(5):114-122.

[16]  张永宏,刘篪,赵珩君.物流信息技术[M].天津:天津科学技术出版社,2018.

[17]   中国日报中文网.中国首款声纹人脸多模态认证系统,引领生物识别新趋势 [EB/OL].(2020-05-22)[2021-12-1].http://caijing.chinadaily.com.cn/a/202005/22/WS5ec74994a310eec9c72babe6.html.

[18]   Article 29 Data Protection  Working  Party.  Opinion  02/2012  on  facial  recognition  in  online  and  mobile services [EB/OL].(2012-03-22) [2021-11-16]. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp192_en.pdf.

[19]   丁轶峰,陈轶斌,顾宇峰,等.掌纹掌脉融合识别技术及其在泛地铁环境中的应用[M].上海:上海科学技术出版社, 2017.

[20]  田启川.虹膜识别原理及算法[M].北京:国防工业出版社,2010.

[21]   人民网.一眼认出你！蚂蚁金服研发出眼纹识别技术 [EB/OL].(2017-11-04)[2021-12-12]. http://it.people.com.cn/n1/2017/1104/c1009-29627149.html.

[22]  王丹娜.生物识别:传统信息安全在新技术环境的创新应用[J].中国信息安全,2019(02):60-64.

[23]  陈泽茂,朱婷婷,严博,等.信息系统安全[M].武汉:武汉大学出版社,2014..

[24]  魏保志.创新汇智:热点技术专利分析[M].北京:知识产权出版社,2019.

[25]   Article 29 Data Protection Working Party. Opinion 3/2012 on developments in biometric technologies [EB/O L].(2012-04-27)[2021-11-16]. https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp193_en.pdf.

[26]   European Data Protection Board. Guidelines 3/2019 on processing of personal data through video devices [EB/OL].(2020-01-30)[2021-11-16]. https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_en_0.pdf.

[27]   Information Commissioner’s Office. Guidance on special category data [EB/OL].[2021-11-16]. https://ico.org.u k/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/special-category-data/ what-is-special-category-data/#scd1.