《民法典》视野下人脸识别信息的法律属性与权益归属和保护路径.docx

个人生物识别信息具有唯一性与易识别性，属于个人敏感信息，有特别保护的必要。虽然民法典第1034条规定了“生物识别信息”的内容，是我国民法典与时俱进的重要表征之一，但个人生物识别信息保护依然面临着理论与现实的双重困境。理论困境主要源于概念界定模糊、术语使用混乱，以及对生物识别技术的误解与信息权利化障碍;现实困境主要源于缺乏相应的特殊保护规制。个人生物识别信息承载着人格尊严和隐私利益等重要价值，与个人的生理特征直接相关，应当明确其新兴权利的属性。在借鉴域外保护经验的基础上，应对个人生物识别信息的收集和处理采取比一般个人信息更强的规制力度，明确私法保护的信息主体的权利空间，提升知情同意原则的有效性，实现生物识别信息的类型化、全周期性和体系性保护。随着现代生物识别技术的快速发展与广泛运用，由其引发的权益侵害争议不断凸显。“人脸识别第一案”的发生和判决，引起了社会各界对个人生物识别信息保护的广泛关注。面对现代信息技术快速更迭给个人生物识别信息保护带来的风险，法律规范理应作出更为积极的回应。个人生物识别信息具有高度的专属性与私密性，与个人隐秘的生理特征直接相关，彰显个人身份特质，应该受到特别保护。对于自然人权利主体而言，主要是要防止因个人信息被非法处理而致人身财产权益遭受侵害，甚至人格尊严与人格自由受到损害。基于此，民法典第1034条明确将“生物识别信息”列举为个人信息予以保护。个人信息保护法第28条也规定，“生物识别信息”属于个人敏感信息范围，并在第二章第二节中对“敏感个人信息”的处理作出了特别规定。虽然“生物识别信息”已经在我国法律上被作为一项独立权益予以列举，但其法律属性、具体权能和保护方式等问题还有待于进一步厘清和深度研究。即个人生物识别信息的特殊性何在?其法律属性应如何界定？民法典框架下个人信息与隐私权的二元模式能否满足生物识别信息保护的需求?应当如何实现对其特别保护？由此，本文结合民法典中“生物识别信息''的相关规定展开阐释，引入新兴权利理论，明确其法律属性与保护路径，以期推进对个人生物识别信息的特别保护。一、个人生物识别信息的界定与法律属性当前，作为保护个人生物识别信息的途径，有关自然人个人信息的一般规定己不能满足大数据时代的基本需求。为了有效应对侵犯生物识别信息行为呈现出的新特点，需要重新厘定个人生物识别信息的实质内涵和法律属性，明确其法益保护的重点。可以借鉴的是，人格权保护的现实转向已逐步由“个人信息管理权”转变为“自我决定的自主权”，这一转变说明人格权保护已经开始注重保护人的主体性。也正是基于此，个人生物识别信息被纳入民法典人格权编的保护范畴。（一）个人生物识别信息的界定随着新兴科技的不断发展，个人生物识别信息所包含的范畴也在逐步拓展，现代生物识别技术已逐步侵蚀到自然人生物特征的内在范畴。我国信息安全技术个人信息安全规范第5.4条规定对个人生物识别信息的界定包括基因、指纹、掌纹、虹膜、声纹以及面部识别特征等。而生物特征识别信息的保护要求（征求意见稿）将个人生物特征认定为生理特征和行为特征，拓展了个人生物识别信息所包含的范畴。相较于一般个人信息，生物识别信息具有独特的人格属性，与自然人主体具有排他的绑定关系。1 .个人生物识别信息具有唯一性。生物识别信息往往与自然人的个人生物特征紧密相连，具有不可更改性和独特性。生理特征通常是指那些与人体的构成和测量有关的特点，诸如基因、指纹、虹膜、面部识别特征等;行为特征是指通过测量可以连续识别一个人的有关行为特点，例如步态、声音等，具有高度的专属性。与一般个人信息相比，自然人的个人生物识别信息通常具有不可更改性。除此之外，个人生物识别信息还具有人身依附性，例如基因信息是由DNA分子片段组成的生物遗传信息，与自然人的健康生理信息等密切相关。2 .个人生物识别信息属于“个人敏感信息:个人信息生物识别信息呈现出更高的敏感性，不当使用将给自然人的人格利益带来不可预测的风险。民法典没有提到个人敏感信息的概念，是因为其主要规定一般信息的保护规则，更为具体详尽的规则应在个人信息保护法中进行规定。与一般个人信息相比，个人生物识别信息属于个人敏感私密信息，应当创设特别的保护规则。3 .个人生物识别信息具有易识别性。个人生物识别信息的收集与处理往往呈现出非接触性特征，在未经信息权利主体授权的情况下，个人或者组织就可以收集、存储、处理个人的生物识别信息。例如，侵入式监视技术可以突破公共场所的匿名性，在非接触个人的情况下对其进行身份识别，而个人很难对这种非接触收集行为进行控制。个人生物识别信息的这种易识别性导致个人的隐私权、知情同意权和信息控制权很容易受到侵犯。（二）个人生物识别信息的法律属性:基于新兴权利理论的分析明确权益的法律属性是法律保护的前提。民法典人格权编第六章为“隐私权和个人信息保护”，个人信息采取倾向于“权益”的保护方式，而这种方式弱于权利保护模式。笔者认为，个人生物识别信息虽被放入这一章节中，但基于其唯一性、敏感性等属性，应被界定为新兴权利加以保护。从新兴权利生成的判断标准看，个人生物识别信息是“我国既存的法律权利类别都无法加以涵盖和纳入其中的内容”，其权益保护是完全崭新的，它是基于信息技术发展而产生的适用范围或者适用条件发生变化的新兴权利。1 .作为新兴权利的理论证成。私法领域新兴权利出现的根源在于，社会经济生活的变迁使得人们的利益需求与权利观念发生了改变。由于成文法的滞后性，既有法律规定有时会存在缺漏，民法中的原则性规定就会成为私法中证成新兴权利的实质论据。基于权益“合法”的延伸要求，民事领域的新兴权利要获得认可必须具有正当性。新兴权利中的权利，并非通常意义上的权利，有可能指向法益。由此，确认个人生物识别信息为新兴权利，需要从规范意义上对其进行权利属性确认和权利类型化、要件化阐释。与传统的其他权利相比，个人生物识别信息是一种内涵丰富、外延广泛的综合性权利，具有作为新兴权利的如下四个方面属性。第一，基本人权属性。随着现代信息技术的发展，当今社会每个个体的生活方式都发生了巨大变革，逐步实现了由自然人向“信息人”的转变，自然人也随之具有了“生物一信息”的双重面向。个人生物识别信息和自然人的生物属性、信息属性紧密相连，是每个人之所以为人应当享有的基本人权。第二，一般人格权属性。个人生物识别信息涉及人的安全感、自主决定权和人格尊严，具有确定的人格权属性。如果被他人了解、掌握，信息主体就无法控制，也将导致不可逆的后果。第三，隐私权属性。个人生物识别信息通常表现为自然人唯一具有的私密信息，除人脸信息外，其他个人生物识别信息都不同程度地存在隐私性。第四，个人信息属性。个人生物识别信息是个人信息的重要组成部分，其作为自然人的身份标识，具有一定的商业利用价值，一旦泄露，身份被盗窃的风险较高，绝非单一具体人格权制度所能保护的利益。近年来，随着现代信息技术的发展与应用，个人生物识别信息的适用范围和适用条件发生“新”的变化，其具体内涵也发生了扩展。首先，从判断标准看，个人生物识别信息已经具备新兴权利的实质内容，我国既存的个人信息内容已无法涵盖新的法益。较之其他个人信息，个人生物识别信息承载着人格尊严和隐私等人格利益，与自然人的主体性关联更为紧密，属于“个人敏感信息”，被滥用所造成的后果更为严重，因此，对个人生物识别信息的保护具有特殊需求其次，从权益保护看，判断某种权益只是单纯的利益还是已上升为独立的权利，需要考虑以下两个因素:一是该权益所保护的利益是否具有独立性，二是该权益保护的利益与其他权利所保护的利益界分是否明确。不可否认，个人生物识别信息与隐私权关系密切，但随着现代生物科技的发展，个人生物识别信息已经逐渐超越隐私权的范围而成为一项独立的权利。个人生物识别信息与隐私权所保护的利益有交叉也有不同，已具有独立的人格利益和单独保护的必要，可以判定为一项独立的新兴权利，需要构建区别于隐私权与i般个人信息的综合法律保护体系。（详见表）、二、保护模式法律IK性（实体要件）个人俱息桢式（实体要件.程序要件）个人生物识别信息（法律定位一新兴权种第1032条第2款就定一Ia私及Fl州人的私人生活安宁和不廛为他人知晓的私密空间.私密活动.私译俏恩.第1034条第2»明确列举“生物识别俱XrM于个人侪息保妒位用融规定笔1034条第3»-私密LIlr的保妒般埋定第IOM条第3»一个人伤口”的保护第1033条一IB私权保妒的般规则51035条一个人信总处理”合同.必要、正当一晚则解1036条一个人自总处原鼐免规则（第5Sk维护公共利核）第1037条一个人信慰的更iE除权（笫2款刷除权）年1058条处理者的安全保障义务弟1039条相美主体的保密义务人格权法结构梗野下个人生物炽别侑息的保护体系总目标:除私权+个人信息"I他保护（做人格权第30条笫2款）一端介忸K通过以上分析可知，个人生物识别信息可以作为隐私权加以保护，但司法实践中的最大问题是侵害构成要件存在差异，两者具有不同的适用条件。一般而言,侵害隐私权主要表现在未经授权入侵或窥探原告的隐私、发生入侵的事件或行为是私人性质的、入侵会造成被侵权人痛苦和极度的苦恼等，注重侵害隐私的实体性损害要件。与隐私权保护模式有所不同的是，个人生物识别信息具有易识别性和易采集性特征，侵害个人生物识别信息很可能是“程序性违法”所造成的，例如未尽到“明确告知”“书面通知”义务，未及时公开数据处理的相关政策等。而这些义务要求与侵害隐私权的构成要件及实质损害并非完全契合。个人生物识别信息所涵盖的人格利益具有综合性和复杂性，其权利客体有些内容是崭新的或者说法律应当给予特别地确认。也正是基于此，个人生物识别信息被单独列举纳入民法典人格权编“隐私权和个人信息保护”的范围，为未来加强对其特别保护预留了空间。个人生物识别信息具有较强人格属性也是确证其为新兴权利的主要理由。比如，以个人生物识别信息所包含的生理特征基因信息为例，其所承载的各种人格利益不能采取单一的权利类型予以保护。基因作为人类遗传资源的重要组成部分，可以区分为物质性基因材料和遗传性基因信息。从基因作为人体构成的物质性要素看，它关涉个体基因利益的人格权;从基因作为人类遗传资源信息看，它的遗传性特征决定了其与生命权及人类尊严保护客体的共通性，关涉人类基因组共同利益。因此，个人生物识别信息保护的权益具有综合属性，应当采取不同于其他个人信息的保护模式。2 .作为新兴权利的实践例证。伴随现代生物信息技术的广泛应用，因生物识别技术引发的权利诉求不断发生并呈现出新样态。以个人生物识别信息中的基因信息为例，典型的实践案例就是“华大基因检测案二虽然“华大基因检测案”的案由为名誉侵权，但其实质关乎的是个人生物识别信息的保护，即个人生物识别信息基因信息的安全问题，折射出个人生物识别信息保护的特殊性。正是基于“基因信息”作为个人生物识别信息保护的特殊性，该案二审判决确认社会公众揭示基因信息可能外泄的风险并无不当，具有合理性。这一案例的判决结果从实践维度说明了个人生物识别信息保护的复杂性和综合性，也佐证了其作为新兴权利保护的必要性。综上所述，民法典人格权编第六章“隐私权和个人信息保护”的规定为判断是否侵害“生物识别信息”提供了依据。基于个人生物识别信息保护的复杂性和综合性，应当扩大权利主体对个人生物识别信息行使控制权和自主决定权的范围，采取区别于传统隐私权和一般个人信息的保护模式。随着现代生物识别技术的快速应用，法律保护的侧重点应从单纯的身份信息保护转变为与个人权益密切相关的信息的保护，也就是要将保护的对象从作为客体的信息转变为作为信息主体的人，采取权利化的模式予以保护。二、个人生物识别信息保护的路径选择现阶段，除民法典人格权编的原则性规定外，我国也制定了与个人生物识别信息相关的法律法规，但综合来看，对个人生物识别信息保护的路径选择并不十分明确。在个人生物识别信息保护方面，美国和欧盟等发达国家的立法相对完善，可为我国的保护提供有益借鉴。(一)美国的隐私权保护模式全世界最早对生物特征信息进行保护的法律是美国伊利诺伊州2008年通过的伊利诺伊州生物特征隐私法，此后，美国的得克萨斯州、华盛顿州也通过T自己的生物特征数据保护法。2020年11月3日，美国加利福尼亚州通过了加州隐私权法案(CalifomiaPrivacyRightsAct,以下简称"CPRA"),与2018年通过的加州消费者隐私法案(CaliforniaconsumerPrivacyAct,以下简称“CCPA”)相比，拓展了加州居民的隐私权范围，赋予居民更正权，使得其可以要求存有不准确个人信息的商业机构修正这些信息。同时，CPRA亦创设了“敏感个人信息”(SenSitiVePerSonaIin-formation)这一概念，其中包括政府颁发的个人身份信息(如驾照号码、护照号码)、金融信息、精确的地理位置、种族、信仰、工会成员身份、消费者信件或电子信息内容等。CPRA还创建新的隐私保护主管机关加州隐私保护局(CalifomiaPri-vacyProtectionAgency)展开调查并举行听证会，以确定受监管主体是否符合CPRA的要求，对违规行为处以罚款。值得一提的是，2019年伊利诺伊州最高法院一项关于非法搜集未成年人指纹信息案的判决确认了生物特征隐私是一项基本的民事权利，这一判决体现了对生物识别信息个体控制权的尊重。2021年3月2口，美国弗吉尼亚州州长签署批准了弗吉尼亚州消费者数据保护法(VirginiaconsumerDataProtectionAct,以下简称"VCD-PA”),继加州之后，该州成为美国第二个颁布消费者数据保护法的州。VCDPA借鉴了CCPA以及欧盟数据保护的成熟经验，赋予了该州居民访问权、更正权、删除权及可携权等权利，并对用户画像、定向广告、敏感信息等作出相关规定。此外，在美国个人生物识别信息保护体系中，行业联盟以及其制定的行业网络隐私保护政策也扮演了重要角色。通过以上介绍分析可以看出，美国主要采取隐私权模式来保护个人生物识别信息，并综合运用多种法律手段应对现代信息技术发展带来的风险。（二）欧盟的个人数据保护模式欧盟于2018年5月正式实施的通用数据保护条例（GeneralDataProtectiRegulation,以下简称GDPR）对“生物识别数据”作出了界定，并将生物特征数据定为敏感类信息。与美国的规定不同，GDPR是对公私部门-体适用的,对个人生物识别信息的收集和处理规定了更高的要求，也就是“应当获得用户明确同意或者有其他正当理由:“明确同意”是指数据主体自由地、具体地、知情地和毫不含糊地表明其意愿，并且适用于电子隐私指令。为避免对个人生物识别信息的深度侵害，对于数据主体最初给予同意、但超出数据主体最初同意目的的进一步处理个人数据的情况，不被视作“明确同意:因为同意必须是知情和具体的，才是有效的。由此可见，与美国相比，欧盟的个人数据保护模式更为关注技术对个人权益的侵害。欧盟以目的限制原则平衡个人生物识别信息的保护和利用。这一原则是在欧盟理事会29号决议中首次提出的，该决议规定公共部门的电子数据库处理信息应当与信息存储之目的相关，只有经法律允许或政府批准，信息才可以被用于目的之外。为了应对现代信息技术发展带来的新挑战，欧盟理事会2021年2月10日又通过了电子隐私条例（草案）（e-PrivacyRegulation）,旨在代替2002年的电子隐私指令以配合GD-PR的适用。电子隐私条例（草案）将电子通信网络的定义扩展至包括WhatsApp>FacebookMes-senger等即时通讯服务，以确保它们在保密性方面与传统的电信服务处在同一水平。值得注意的是，原电子隐私指令中的“cookie条款”被电子隐私条例（草案）所修改，其将覆盖终端设备上的类似cookie的程序，例如数字指纹。按照新的规定，用户同意或拒绝使用cookie的流程将被简化。除此之外，新的规定还禁止未经接收者同意的电子通信，包括垃圾邮件、垃圾短信以及电话营销。虽然电子隐私条例（草案）还要通过欧洲议会的谈判程序才能最终生效，但是欧盟的GDPR和电子隐私条例（草案）立法进程已经清晰地揭示了域外个人生物识别信息保护模式的逐步融合发展趋势。（三）我国个人生物识别信息保护的模式选择以美国为代表的隐私权保护模式和以欧盟为代表的个人数据保护模式，为我国的生物识别信息保护提供了完善思路。从隐私权保护模式看，我国民法典隐私权中关于“私密信息”的规定与个人生物识别信息具有较高的重合性，但生物识别信息中的有些权利内容却无法被“私密信息”采取的隐私权模式所涵盖，因其涉及程序性要件等内容。从数据保护模式来看，我国民法典对包括生物识别信息在内的个人信息采取的是弱于具体人格权的“法益”保护模式，生物识别信息未被明确表示为“个人信息权”。因此，相对于美国与欧盟的保护模式来说，我国目前尚未形成具体明确的个人生物识别信息保护模式。民法典人格权编第六章“隐私权和个人信息保护”中有关“生物识别信息”的规定，表现为粗线条的原则性规定，无法为特定场景下个人生物识别信息的保护提供具体规则。例如，对于相关企业机构取得收集或使用个人生物识别信息授权时，取得授权的行为方式是否妥当、能否产生取得授权效力等，民法典及相关立法没有具体的判断标准。除民法典，刚刚获得审议通过的个人信息保护法也明确了个人信息保护工作的多项原则，包括方式合法正当、目的合理明确、最小必要、公开透明、准确完整、安全可靠等，这些规定可以应对涉及一般个人信息的侵权问题，但对于正在成为信息时代最为核心的自然人主体性信息，即个人生物识别信息的保护，还有待进一步加强。在这样的大背景下，从我国现有规范设计来看，私法保护存在缺失，应加强个人生物识别信息的私法保护，尤其是从人格权法角度的保护，即结合我国民法典人格权编、总则编和侵权责任编等规定，从私法层面进行具体规范的解释、适用和续造，从而明确个人生物识别信息私法保护的特殊路径选择。三、个人生物识别信息的私法保护路径虽然对于个人生物识别信息究竟是不是一种权利，以及权利性质究竟是人格权、财产权还是兼而有之，学界一直存在争议，但在私法保护层面，可以比较明确地将其认定为一种具有新型人格权属性的新兴权利，谨慎地对其加强保护。基于个人生物识别信息的特殊属性，应根据现代生物识别技术发展的具体场域，构建起区别于一般个人信息的事前预防和加重保护机制，即类型化、全周期性和体系性的新兴权利保护模式。（一）个人生物识别信息的类型化保护生物识别技术应用必须以充分保障信息主体的权利即“自然人的合法权益”为前提。从私权角度进行规则设定，应当注重个人生物识别信息场景化保护目标的实现。对于个人生物识别信息中蕴含的社会共同利益，应当从公共利益视域进行规制，达成社会基本共识，从而实现大数据时代对生物信息保护与利用相协调的目的。我国个人信息保护法中“敏感个人信息的处理规则”，体现了个人生物识别信息的类型化保护。个人生物识别信息的类型化保护表现在:首先，根据信息收集的目的差异，可将个人生物识别信息区分为“基于公共利益的需要”和“非基于公共利益的需要”两种类型。除此之外，还应当根据信息处理类型和风险程度不同，做好去标识化、加密等措施，事先评估信息泄露的可能风险并作出预案，尽可能地减少泄露风险。其次，应当根据不同领域和应用场景实现类型化保护。除民法典规定外，居民身份证法反恐怖主义法以及征信业管理条例等也都有关于个人生物识别信息的相关规定。随着人脸识别、基因编辑等技术的发展运用，自然人生物识别信息保护的客体处于不断扩展的状态。应结合上述公法性规范内容，加大相关领域的类型化规制以及私法领域知情同意等原则的行使范围。具体而言，就是要根据不同阶段寻求权利保护的救济途径，明确生物识别信息侵害私法救济的请求权基础。最后，在权利救济上，明确个人生物识别信息处理遵循的“程序性要件”和“实体性要件二根据不同处理阶段确定信息处理主体的法律义务，结合“隐私风险”确定类型化的法律责任体系。由于个人生物识别信息的侵权行为大多属于“程序性要件”违法行为，比如在收集、使用个人生物识别信息之前没有履行告知义务、获得明确同意等，所以导致的最大问题是如何确认侵害知情权、自主决定权等程序性权利的损害事实和结果。（二）个人生物识别信息的全周期性保护在个人生物识别信息处理规则设定上，应根据收集、处理等不同阶段所可能产生的风险程度，确立个人生物识别信息不同阶段的保护规则，进行全周期性保护。首先，在信息收集阶段，应当遵循最小化收集原则。在此基础上，实行权利主体“动态同意”等特殊规则。除此之外，根据生物识别信息的不同性质和阶段,逐步加大权利人控制权、知情同意权和自我决定权行使的空间，对生物识别信息的“知情权”和“同意权”等予以特别规定和保护。其次，在信息处理上，应当明确存储、使用和删除等规则。我国信息安全技术个人信息安全规范确立的传输和存储规则，为个人生物识别信息的保护指明了具体方向。在使用和删除权行使上，具体规则设定应当与民法典第1037条规定相衔接，赋予自然人主体对生物识别信息的相关合法权益。具体可以根据个人生物识别信息的性质，设定义务主体一定期限过后的及时删除义务，并可以通过赋予权利主体出现侵权行为时或者侵权行为之虞时有权主动选择删除生物识别信息的权利。质言之，个人尊严和自由是最高价值，个人生物识别信息的保护必须建立在尊重个人人格尊严和人格自由的基础上。（三）个人生物识别信息的体系性保护鉴于个人生物识别信息具有综合性和复杂性，现有法律规范并不能穷尽其保护的人格利益。因此，应从整体性和逻辑性出发，实现个人生物识别信息在民法典体系内的保护和救济。其一，从人格权编来看，第1034条专门规定“生物识别信息”是强调预防优先原则，充分体现了人格权制度确权和积极预防的功能。这一条可以与事后救济的相关法律规定形成协调保护体系。此外，人格权编第990条的一般条款、第995条的人格权请求权和第997条的行为禁令制这些规定，既为从事个人生物识别信息收集和处理等活动引发的侵害“知情同意”等个人信息自决权侵权的私法救济提供了依据，也对关涉个人生物识别信息正在实施或者有侵害之虞时，提供了对个人生物识别信息采取人格权请求权基础救济和行为保全制度，能够有效化解程序性违法行为的认定和损害问题，实现个人生物识别信息的体系性保护。其二，民法典总则编对整个民法体系发挥统辖作用，总则编第109条对一般人格权保护的规定、第111条关于个人信息保护的一般规则，也为个人生物识别信息的体系性保护提供了依据;第127条对“数据权利”的保护、第132条对“禁止权利滥用原则”的规定，为个人生物识别信息保护提供了合理的义务边界。其三，从侵权责任编看，第1165条、第1166条为收集和处理个人生物识别信息等所引发的损害救济，从一般原则、特殊情形作出了相应的规定，为处理个人生物识别信息等引发的人格权保护等提供了救济可能性。当下，从私法层面预防和规制生物识别技术发展带来的挑战，已是立法无法回避的议题。虽然私法不是预防和规制生物识别技术风险的唯一路径，但其可以实现法律的转接和协同功能。作为一部权利法，民法典人格权编规范设计体现了权利法定主义与开放的权利体系的有机统一。笔者认为，在无法明确纳入隐私权模式或者个人信息保护模式的情况下，除依据民法典总则编和人格权编一般规定外，还应结合其他法律规范确立的规则，对作为新兴权利的个人生物识别信息予以开放性保护。四、结论个人生物识别信息具有独特的法律属性，它直接采集于人体，体现人的生理体征，且具有唯一标识性、不可更改性、易识别性等特点，是一种具有较强人格属性的新兴权利。个人生物识别信息保护是一项复杂的系统工程，既涉及信息权利个人、企业、国家等多方主体，又涉及自然人个人生物特征保护、数据集中、信息处理者义务等多重法律关系，应坚持场景化、类型化保护以及保护和利用并重等基本原则，严守个人生物识别信息保护底线，发挥法律和技术双重保护优势,从而破解个人生物识别信息保护面临的困境。从私法规制层面看，我国民法典人格权编已对个人生物识别信息进行了列举规定，其敏感性和重要性已经得到肯认，但第1034条仅是宣示性规定，并未对如何保护以及权利救济等给出具体的规范阐释。基于此，应以第1034条为个人生物识别信息保护的基础框架，从解释论视角出发对个人生物识别信息保护作出合理解释，为该条款适用提供具有可操作性的保护边界。不可否认的是，面对个人生物识别信息保护的特性及数据隐私安全立法行动的扩张，任何单一的规制方式和路径都无法为个人生物识别信息提供系统性保护。所以，应当区分公私法的不同功能并配置相应的规制重心，私法保护的重点在于加大明确信息主体的权利空间和提升知情同意原则的有效性，通过细化相关规范和特别法规定，为个人生物识别信息权利化保护奠定充分的请求权基础，以此来更好地协调个体权利保护和现代信息技术发展之间的关系。刷脸支付等人脸识别技术在推进数字化社会进程的同时:也增加了数据泄露、隐私侵犯等诸多风险。人脸识别信息作为该技术的直接产物，其内在的人格权益属性显而易见，但民法典“民事权利”一节与“人格权编”中的相应规定在适用过程中仍存诸多疑问：自然人对人脸识别信息相关事项的“知情”范围如何认定？信息控制者如何在公共场所获得自然人对面部数据采集和处理的“同意”？“优化用户产品体验”“保障其他用户安全”等理由能否构成信息处理者处理人脸识别信息的免责事由？对此，在民法典视野下人脸识别信息的权益归属与保护路径一文中，作出了解答和回应。一、人脸识别技术的应用场景与风险定位（一）人脸识别技术的应用场景学界普遍认同“人脸识别技术”属身份核验的生物识别技术。有学者将该技术应用模式总结为“1对N”的人脸识别，即指通过对比被识别对象的脸部信息与集中数据库中存储的多个模板信息来辨识身份。此类技术具有无接触、交互性强、高效迅速、符合人类识别习惯等优势，且场景化应用特征明显。在金融领域，人脸识别技术应用主要包括安全防控和业务优化两类。而随着市场精细化程度的深入，该技术应用领域呈现纵深化趋势，如表1所示。表I国外人胺识别找术的应用场景PJ应用行业应用校式安保识别并禁止未经授权的人M访问、进入特定区域移民市春边境管理需分。国l刑*组织、国家安全部门数据库同步，自动化识别和胤止不法人M入境汽车公司部署面部识别解蚀功能改防4辆盗际风2:识别行驶人员面布特征存在黑劳驾驶、泅用等情况及时瞅制骂驶权限，确保行车安全拼车服务列驶员与乘客正碉接送：为乘客提供驾段员的身份信息与名驶安全凭证信息物联网演化杆能设备的非法入侵行为的识别和预防籍力执法精准识别犯罪嫌疑人，即使嫌疑人遮辿面解.现有技术也可以祖过露出的双眼算法富构全脸判昕邪8是否成在零售行业线卜商M购买if为Lj线上购买行为直接对接.更全面地分析顾客对商品的需求Sb便定向豺出（二）人脸识别技术的风险定位：隐私、主体平等与技术独裁人脸识别技术的法律风险主要集中于“1对N”模式。从国内外技术实践来看,人脸识别技术所存在的社会风险主要表现为三类：（1）隐私侵犯风险，即潜在的网络安全威胁直接影响到数据库中所存的用户个人私密信息。（2）主体平等风险,即因该技术常与各类社会公共服务系统链接，经由分析可能直接对特定人群标识“警惕”的标签。（3）技术滥用风险，主要是与“公权力滥用”挂钩。中国现行立法对该技术的行政监管与私法规范尚存空白。该技术的法律风险存在于从人脸数据采集到人脸数据关联比对的信息处理全生命周期。在数据收集阶段，主要表现为信息处理者以何种方式采集才能满足中国现有立法规范。现行法要求收集个人信息需经权利人同意并告知其处理个人信息的方式、范围和目的，而当下公共场所的数据采集以及网络平台公开照片的数据采集似难以在实践层面寻求每一个人的“同意且在力对N”的模式下，中国现行法亦未承认在网络公开照片等于默示同意商业化使用照片，信息处理者可能因此侵犯个人信息权益。在数据分析、存储、更新等阶段，信息处理者应当采取必要措施确保个人信息安全。一旦发生数据安全事件时，除非致损原因表现为现有技术水平无法应对、第三方网络攻击等形式、未履行数据安全法（征求意见稿）第27条规定的数据安全保护义务外，信息处理者极可能面临以人格权益受损为由的集体索赔。在人脸识别信息维护、更新阶段，信息处理者若未能及时更新存在内容偏差的人脸识别信息，且关联的信息服务对特定自然人产生重大影响时，构成对民法典第1037条规定的“更正权益”的损害。二、技术治理的法理基础：人脸识别信息的法律属性（一）人脸识别信息保护的必要性与特殊性：从“杭州人脸识别第一案”谈起一方面，人脸识别信息保护具有必要性。依据网络安全法第76条可推知，人脸信息的基本性质为“可识别的个人信息该技术之所以亟需立法回应，在于此类信息一旦与身份信息关联，特定自然人就难以采取有效措施彻底消除“识别可能性”。在“杭州人脸识别第一案”中，原告郭兵还认为，人脸识别所收集到的面部特征等个人生物识别信息属于个人敏感信息，一旦泄露、非法提供或滥用，将极易危害消费者人身和财产安全。人脸信息的不可更改性与无接触性使得其被滥用的安全隐患呈高危性，因而具有保护之必要。另一方面，人脸信息保护又具有特殊性。在前述案例中，若从侵权纠纷的角度来看，动物园”胁迫式叫攵集人脸识别信息显然构成对“不得非法使用、加工、传输个人信息”的违反。可问题在于动物园主张人脸识别之目的是为了提升消费者入园效率且确实有效，能否构成免责事由？此外，动物园的刷脸进入行为实难构成侵权法中的“过错行为”，因为在刷脸支付的同时，动物园还允许年卡持有人每次入园时进行身份核验。从合同纠纷的角度来看，郭兵与动物园之间构成年卡服务合同（无名合同），动物园讲“以个人身份证、指纹为入园条件”变更为“刷脸进入”，实属单方变更合同之行为，理应对购买年卡服务的郭兵不产生法律效力，其也有权要求动物园按照最初约定的方式入园。可见，不同视角下，人脸信息保护的策略和结果均不同。（二）人脸识别信息的法律属性民法典网络安全法数据安全法（征求意见稿）等法律对人脸识别信息的性质均有所涉猎。在立法层面，意欲梳理人脸识别信息的法律属性与规制方式，仍应以人脸识别信息的独特性为规范起点，溯源该类信息的人格利益与财产利益在商业实践中的表现形式。从刷脸支付、刷脸进出等具体的商业实践来看，人脸识别信息并不能简单地等同于人脸生物特征的数据测量。二者最大的差别在于“识别”之表述。人脸识别信息更强调通过人脸生物识别特征的不可更改性与对应自然人身份信息的关联比对，通过设备端的图像采集与数字化处理，验证自然人的特定身份。这一技术则将传统个人信息保护理念中的“可识别''转换为精准识别和持续识别。精准识别，是指人脸识别信息能够精准地定位特定自然人；持续识别，则是指面部特征的不可更改性决定了人脸识别信息的识别能力不会因为行为人的日常行为模式剧变而失去。如图1所示。图1人脸识别系统结构这种精准且持续的识别能力在立法层面表现为人格利益在信息空间的异化与延伸。民法典人格权编具体条款中“等权利”“人格利益”之表述在实质上确定了中国民法体系中人格权利保护的开放性。在此背景下，人脸识别信息的可识别利益显而易见是民法典所确认的信息空间人格权益。因为该类信息能够直接影响到自然人对识别自身身份可能性的控制能力，无法实现信息空间中的“个人自由”。但自然人对人脸识别信息享有人格权益并不是承认存在所谓的“人脸识别信息权同时，也并不排除信息处理者对人脸识别信息享有财产权益。因为人脸识别信息的形成需信息处理者支付各种信息处理环节的成本，这种“劳动支出“决定了要在两个层面强化对人脸识别信息的事前保护，避免因信息复制成本低廉和指数式传播等基本特性导致的损害结果不可弥补：一是明确规范信息处理者在各个处理环节的具体义务，明确人脸数据与特定自然人身份信息比对的必要性与合比例性；二是要细化人脸识别技术应用的合法标准和例外情形，包括用户表示同意和撤回同意等实际方式。三、人脸识别技术应用的修缮式解释与填补式标准设计（一）民法典第1035条的修缮式解释人脸识别信息作为“个人信息''的子概念，也要遵循民法典第1035条确立的“知情同意''一般规则，但其在适用中仍需进一步完善。从个人信息保护实践来看，通过“同意”来实现充分的信息自决或意思自治仅是理想法益状态，该项制度在商业实践中已经演变为信赖的重新建构。一方面，自然人通过知情同意原则建构起对信息处理活动的初步信赖；另一方面，信息处理者在遵守前述“信赖”内容的基础上完成信息的自由流动。因此，以“知情同意''规制该技术应用是通过信息处理活动的规范化确保个人信息的合理使用。立法所需明确的是如何判断信息处理者是否采取必要措施规避个人信息处理活动的安全风险和法律风险。此外，法律法规所要规定的“同意”应当为一般理性人的概括式同意。（二）人脸识别技术安全标准的“填补式”风险治理对于人脸识别技术相关的破解技术与安全问题，立法者所要明确的是如何解释围绕人脸识别信息的权利义务关系，避免行政监管可能造成的技术创新枷锁。这意味着要以技术标准的方式规范人脸识别信息的处理活动，且该标准是否被遵守也将成为审判中判断责任归属之依据。技术标准与法律责任的关联意味着技术标准自身需以个人信息保护的“安全、合法、正当且必要”基本原则为核心理念。在人脸识别技术应用中，安全风险的产生根源还在于技术本身的不确定性。因此，在技术标准中，或可借鉴欧盟通用数据保护条例的“经由设计的数据保护”思路，强化人脸识别技术对个人信息安全的影响评估，包括人脸大数据建构的合规性评估、人脸识别技术更新的安全评估、人脸识别信息及其数据库的更新维护评估等。这种评估可嵌入至数据安全法（征求意见稿）第四章“数据安全保护义务''中。四、结论人脸识别技术作为诸多商业活动的主流技术架构，天然地具备民商法调整的必要性和优先性，如若将行政管制主义置于优先顺位，只会促成行政监管对技术应用的制度束缚。自然人对人脸识别信息所享有的民事权益可从民法典第126条“其他民事权利和利益”寻求正当性基础，这是对民法典第1034条的合理解读和延伸。在“后民法典”时代，对于特殊个人信息保护，还有赖于法院扩大解释相应的具体规则。同时，借助技术安全标准等可操作性规范性文件补足”是否履行个人信息保护义务”的判断标准，达成“经设计的信息保护”之法律效果。