关键词：生物识别信息；多重应用场景；评估认证机制；动态同意模式；三阶多元保护机制

一、问题的提出

2025年3月13日，国家互联网信息办公室与公安部联合发布了《人脸识别技术应用安全管理办法》（以下简称《办法》），并于2025年6月1日起施行。人脸识别技术作为生物识别技术应用最为广泛的形式之一，《办法》的出台既明确了应用人脸识别技术处理人脸信息的规则，对人脸识别技术应用的安全规范提出了新要求，也意味着对生物识别信息保护的逐步完善。在数字经济和实体经济深度融合的背景下，人脸面部识别特征、个人基因、指纹、掌纹、虹膜等个人生物识别信息（以下简称“生物识别信息”）常作为实体与虚拟之间的媒介，应用在网络交易、治安防控、医疗卫生、公共治理等领域，个人信息处理需求在数字时代背景下不断增强。在生物识别信息收集、储存、传输、应用越发便利的情况下，信息收集未授权、储存高风险、传输不透明、处理不合规等问题也日渐凸显，对现有的个人信息保护规则带来了新的挑战。生物识别信息是融合生物技术、计算机技术、信息技术等发展而成的科学集成信息，是一项兼具财产性和人格性的综合性权益，其应作为一项受法律保护的权益已成共识，且学界在生物识别信息保护方面也作了较多探讨，但是相关研究成果并未在生物识别信息保护模式及方案上达成共识，更未能构建出完善的保护机制。有观点认为，生物识别信息用于商业活动时，消费者作为信息的被动采集者处于弱势地位，对生物识别信息应予以特别倾斜保护，对经营者应适用过错推定原则，不要求发生实质性损害或者严重精神损害后果。有观点主张，应厘清生物识别信息公共管理与商业应用场景下各自的法律界限，进而为生物识别信息构建差序保护规则。以上观点或未注意到生物识别信息之多重应用场景，对生物识别信息的保护局限于私法法域，而对行政机关收集、处理信息的行为未有规制；或仅止步于厘清生物识别信息公共管理与商业应用的法律边界，未能将生物识别信息保护机制扩展至其他应用场景。不过，有学者已经关注到生物识别信息的多重应用场景，主张对生物识别信息商业化应用应采取个人信息保护的规制路径，为实现个体控制价值与商业流动价值间的平衡，采用类似国家技术标准来划分“场景”进而嵌入场景理论以细化规则，并要求信息处理者对个人生物识别信息的应用不得超过“合理预期”。其虽考虑不同场景，但是将生物识别信息保护框定于商业应用中，实质未对生物识别信息保护进行其他应用场景的类型化区分，遑论对公法规制问题的讨论。另有观点主张，在不同应用场景下可将个人对生物识别信息的保护诉求区分等级；将人脸识别技术的风险以及信息主体的合理预期作为场景划分的根据，以此构建人脸识别技术场景化法律规制的体系。但也存在一定的弊端：权益保护诉求的等级划分标准相对单一且缺乏弹性，保护机制无法涵摄不可控技术造成的生物识别信息的无序情景，同时忽略了用户在预设获取利益下的风险自负，由此造成了风险分配的不合理。

综上，生物识别信息多重应用场景的厘定及其保护机制的完善仍有进一步探讨的必要。本文将首先梳理现行规范对我国生物识别信息保护的现状，发掘现行规则存在的主要问题；接着提炼生物识别信息的核心要素，采用动态体系论厘定生物识别信息的范围；然后以“受益主体”为标准划分生物识别信息的应用场景，探明不同应用场景下权益主体的损害状态；最后建立适应不同应用场景下生物识别信息的多维保护机制和方案。

二、生物识别信息保护的法律困境

（一）规范现状：间接性、分散性规范导致制度供给不足

虽然我国对个人信息保护进行了较为系统的立法，将数字化时代各项被电子化、数据化处理的生物识别信息纳入了保护范畴，但就宏观体系而言，并没有对生物识别信息保护进行专门立法。目前，生物识别信息保护规范的法律位阶较低，且多为间接性保护规定，其针对个人信息收集、处理的行为规制也仅为原则性要求，面对生物识别信息不同应用场景缺乏针对性的规制措施。

其一，《个人信息保护法》作为个人信息保护领域的基础性、专门性法律，其对生物识别信息保护缺乏明确的和有针对性的保护性规定。不同应用场景下生物识别信息所隐含的风险、所需保护的法益并不一致，其规则体系需要进一步分层化、具体化。《个人信息保护法》虽然在敏感个人信息处理规则中以5个条文规范了信息处理方式，其中第28条、第29条尤为关键，但也有不足。《个人信息保护法》第28条第2款对敏感个人信息的处理作了较严格的限制，其要求信息处理目的特定，具体而言，处理信息所欲实现的目的必须是适当的、相关的和必要的，并且处理行为不得超出信息主体初始授权范围。再者，对信息处理具有充分的必要性，即具有正当事由，并且信息处理者采取了必要的安全措施。“充分的必要性”实际上暗含在“特定的目的”之中，而“特定的目的”作为不确定法律概念，并无统一的判定标准，存在较大程度的模糊性和不确定性。在实践中，信息的收集、处理往往会被冠以安全便捷的缘由，在无必要收集的场景下被直接收集，在选择性收集或使用的场景下被作为唯一的验证信息予以收集、应用，造成生物识别信息的现实处理与“特定的目的”条件相违背。《个人信息保护法》第29条要求在处理敏感个人信息时应取得个人的“单独同意”，但是其并未阐释“单独同意”的含义及具体方式。并且，单独同意必然意味着信息处理者需承担较高的注意义务，这无疑与生物识别信息收集、处理技术便捷高效的需求相扞格，严格的单独同意原则并不适用所有生物识别信息应用场景。在司法裁判中，开放的原则性规定与配套标准的缺失必然不利于司法裁判标准的统一化。为了限制自由裁量权的范围，提高裁判的可预期性，需要根据不同的应用场景确立具体而明确的判断标准，实现特殊保护制度的构建与完善。

其二，其他部分法律在个别条文中涉及生物识别信息保护的内容，但多为间接保护的规定；个别地方性法规、行业标准等规范性文件虽有触及，但较为分散，缺乏强有力的支撑。第一，部门法层面分别对生物识别信息保护作出积极应对和调整。2014年的《消费者权益保护法》第14条规定了经营者在经营过程中收集、使用消费者个人信息时应履行的义务；2017年的《网络安全法》第22条、第40条至第47条明确了收集、使用个人信息应遵循的原则，并原则性地规定了个人信息收集、保管、使用的方式；2020年的《民法典》第四编第六章规定了“个人信息保护”和“隐私保护”，主要明确了个人信息定义、保护原则及相关主体的权利。此外，《刑法修正案（九）》为更好地应对不断攀升的窃取、出售个人信息行为，放宽了对犯罪主体的限制并加重了处罚；2017年最高人民法院和最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）对侵犯公民个人信息罪进行了系统梳理。第二，规范性文件、特定行业规范中不乏对生物识别信息保护的规定。例如，2019年国家网信办颁布的《儿童个人信息网络保护规定》。目前对生物识别信息规定较全面的是2019年修改后的《信息安全技术个人信息安全规范》，受制定主体和位阶限制，该规范多从技术层面规制信息采集使用的规范做法，而对个人生物识别信息涉及隐私权、知情权等内容的保护缺乏制度上的规制。此外，我国2018年发布了涉及公共安全领域生物特征识别标准，此后陆续发布了数个涉及生物识别信息保护的国家标准，尤其是2023年发布的《信息技术生物特征识别指纹识别模块通用规范》，系统规定了指纹识别模块的技术要求及质量评定程序等。第三，以专门法律文件系统规定了人脸识别技术应用安全管理的制度框架。2025年2月，国家网络信息办公室出台了《个人信息保护合规审计管理办法》，以规范个人信息保护合规审计活动。同年3月出台的《办法》细化了《个人信息保护法》《数据安全法》等上位法的要求，将各类标准性文件提出的人脸信息处理规则和人脸识别技术应用安全规范上升为具有约束力的规定。虽然《办法》对人脸识别技术应用作出了全面的规定，但是该办法作为部门规章位阶仍较低，并且其对其他生物识别信息保护的适用空间及借鉴意义仍存在不确定性。总体而言，既有的涉及生物识别信息的法律法规涵盖范围比较有限，内容上呈现分散式规定，规制体系尚未形成。

（二）主要问题：既有规范对生物识别信息保护力度较弱

1.信息处理者的义务缺乏具体化的指引和约束

生物识别技术应用中的信息采集往往以设备自动收集、识别为手段，不需要信息主体主动接触采集设备，故在整个信息采集过程中，被采集对象往往毫无察觉，从而错失判断风险并明确表达同意或拒绝的机会。相较于其他的敏感个人信息，生物识别信息的特殊性在于生物体形成数字化模板具有随机性；计算机对数字化模板进行匹配比对，本质上是比较不同的数字矩阵，而非人类利用知觉系统对两枚指纹、两张人脸相似度比较。信息处理者只有在采用相同算法处理生物识别信息所得到的数字化模板，才能够确认生物识别信息出自同一生物体。相反，若分别采用不同算法处理，则无法确认其源自同一生物体。因此，对生物识别信息的保护，归根到底在于对信息处理者收集、处理行为的合理约束。在实践中，生物识别技术以其独特优势被无限制地应用在诸多场景中，不同场景应用下需考虑当时的背景和预期来判断信息使用的合理性。在信息收集、处理过程中，由于目的的动态漂移与黑箱模型目的的不可控性致使目的限定原则难以适用；而多场景的嵌套以及场景边界的模糊性则阻碍场景理论的具体应用，这就导致应用过程中可能会始终存在超越“合理范围”处理个人生物识别信息的侵权风险。《个人信息保护法》第五章虽然对个人信息处理者的义务作出了全面规定，但个人信息处理者的义务性规定在场景化过程中有待根据生物识别技术应用进行细化及具体化设置。

2.知情同意原则适用失灵削弱个人信息自决权

在生物识别信息应用场景中，知情同意原则会被弱化、虚化，进而难以有效保障信息主体的信息自决权。第一，知情原则的异化。一是信息处理者不告知。实践中普遍存在信息处理者未履行告知义务而对用户的生物识别信息进行收集、处理，或未告知用户收集使用的目的、用途以及未经同意就将生物识别信息转让给第三方机构的情况。二是不如实、不全面告知。常见的情形是，信息处理者虽然告知了用户欲收集生物识别信息，但将信息的使用目的和范围等核心内容隐藏在其提供的服务协议的格式条款中；或者采用概括性、模糊性描述的文字表达形式，将生物识别信息收集及其使用隐含在告知条款中，试图混淆用户的知情内容。三是不积极履行披露义务而降低信息处理透明度。现实中，披露的信息收集使用规则往往因为繁冗的表述和专业的内容而几乎无人有时间、能力及决心浏览复杂的条款与同意的条件。第二，同意原则并未得到保障。一方面，信息主体的同意缺乏真实性。囿于冗长繁复、难以理解等原因，告知的阅读率向来极低。即使用户耐心阅读完隐私政策，也会由于“有限理性”和“认知局限”，难以完全理解。信息主体很难评估同意的成本和收益，其同意也并非全然对应服务内容。对于敏感个人信息，《个人信息保护法》要求取得信息主体“单独同意”，然而数据的海量与混杂使得逐一识别敏感个人信息并获取单独同意远超出成本，故信息处理者采用的格式化告知同意机制导致同意非真实但有效的情形频发。另一方面，强制信息主体同意的现象泛滥。诸如，用户协议、隐私声明、单方声明等通常将“知情同意”转化为“同意授权”，消费者的弱势地位决定了其为获得商家的商品或服务，除了同意并无太多其他选择，“同意或离开”设置和“点击即同意”方式极大地降低了用户对信息处理内容的自决性。

3.信息主体遭受侵权后权利救济机制不甚完善

现行法律对生物识别信息遭侵害后的救济手段多是一般性的规定，并且是多种责任承担方式单一或组合式的调整，并无系统性的救济方案。首先，现有的侵权赔偿救济模式的实际效果并不理想，《个人信息保护法》第69条虽规定了侵害个人信息的赔偿责任，但此类案件的侵权后果往往会造成受害人人格利益损害，损害及其赔偿金额均存在认定困难。一方面，由于信息处理者相较于信息主体的地位更为优越，二者地位不平等，信息主体通常会受心理偏好、社会规范、利益偏差等影响，进而作出放弃维权的决策；另一方面，生物识别信息遭受侵害时有明显的侵害过程和结果的不确定性，致使实质性损害难以认定。而且一旦发生生物识别信息权益损害，信息主体很可能就会遭受较为严重的侵害后果。其次，刑事制裁的方式虽强有力，但在实践中的规制效果并不突出。对于侵犯公民个人信息犯罪，《刑法》第253条之一分四款针对不同情形分别予以规制，由于生物识别信息在《刑法》中定位不清，能否当然适用该条仍存疑问。最高人民法院和最高人民检察院联合出台的相关司法解释虽然对此问题作出了进一步明确，但仍显得较为粗疏，相关法律适用问题有待进一步厘清。最后，目前我国对公共领域中生物识别信息收集、使用的规范除适用《个人信息保护法》《行政法》中的一般性规则之外，尚有《治安管理处罚法》等法律法规予以适用，但相较于其他信息收集、使用主体，政府部门作为公权力部门的主体性显得尤为特殊，其在生物识别信息采集、应用方面具有天然的优势。并且政府管理部门常采用生物识别技术较为便捷地达到特定管理目的和效果，以至于信息的采集场景趋于开放、采集主体更为多元、采集方式更为隐蔽，甚至可能爆发生物识别信息采集的无序情景。目前来看，在政府部门收集个人生物识别信息中，仍面临信息收集的依据不足、知情同意原则并未充分适用、政府和相关机构权责界分不清、行政责任与民事及刑事责任衔接不畅等问题。

三、动态体系论下生物识别信息的厘定

我国现行法律对生物识别信息的判定标准付之阙如，但从司法解释、行业准则及域外立法可以窥见生物识别信息内涵、特征之共性，为明确生物识别信息的范围提供有力支撑。

（一）生物识别信息判定之域内外立法窥探

我国《民法典》第1034条、《个人信息保护法》第28条、《网络安全法》第76条均涉及生物识别信息保护，但未明确生物识别信息的含义，仅将其作为“个人信息”的一种类型进行规范，这并不能在实践层面为个人、义务主体、监管部门、司法部门提供有效指引。《信息安全技术个人信息安全规范》将生物识别信息归属敏感个人信息，其在第3.1条中将“可以识别特定自然人身份”与“反映特定自然人活动情况”作为个人信息（包括生物识别信息）的核心要素，并对“生物识别信息”作了具体列举。《生物特征识别信息的保护要求（征求意见稿）》认为生物特征识别数据包括生物特征样本、生物特性、生物特征模型、生物性质、原始描述数据的生物特征识别数据，或上述数据的聚合，个人生物特征包括生理特征和行为特征，是可提取、可识别、可重复的生物特征，能自动识别个体。《信息安全技术生物特征识别信息保护基本要求》第3.3条给出了“生物特征识别信息”的定义，并规定从人体特征、技术原理、识别方式以及识别目的四个方面进行明确。

在域外立法方面，美国及欧盟走在前沿，美国《生物识别信息隐私法案》（BIPA）将生物识别信息定义为“用于识别个人的生物特征标识符的任何信息，无论其如何被捕获、转换、存储或共享”。根据BIPA,“视网膜或虹膜扫描、指纹、声纹或手脸的几何形状扫描”都归属生物特征识别。2009年，美国得克萨斯州颁布了《生物特征信息隐私法》，将“生物识别”定义为包括“视网膜或虹膜扫描、指纹、声纹或手或脸的几何形状记录”，但该法案禁止为商业目的获取生物特征标识符，除非满足已告知个人及获得同意。2017年，华盛顿州成为美国第三个通过生物识别信息隐私保护立法的州，其法规对生物识别信息定义的核心在于个人生物特征所产生的数据，常见的表现形式包括指纹、虹膜等生物模式或特征，同时明确将照片、录像和录音排除在外。2018年出台的《加州消费者隐私法案》（CCPA）侧重于为商业目的而收集的生物特征信息，非正常商业业务过程中收集的生物特征信息不受CCPA的保护，其对生物识别信息的定义从人体特征、识别方式和识别目的展开，并具体罗列了除常见的生物识别特征外的诸如静脉模式、步态以及包含识别信息的睡眠、健康、锻炼等数据。2020年，美国加利福尼亚州又通过了《加州隐私权法案》（CPRA），其创设了“敏感个人信息”，但并未对“生物识别信息”的内涵与外延进行修改。其他针对特定类型数据的法律规范还有《健康保险可携带性和责任法案》（HIPAA），其保护医疗机构在医疗过程中收集、处理的生物识别信息。欧盟于2018年颁布的《通用数据保护条例》（GDPR）第4条将生物识别信息定义为“对自然人的身体、生理或行为特征进行特定技术处理而得出的对自然人具有唯一识别性的信息”。其第9条规定了虹膜、脸相、静脉等信息均为生物信息，且属于敏感信息。整体来看，生物识别信息具有唯一性、程序识别性、可复制性及信息的关联性等特征。

（二）生物识别信息判定之核心要素提炼

以上涉及生物识别信息的规范性文件、行业准则及域外立法的共性在于均认为生物识别信息是人体特征的反映，其具有“唯一/单独识别”的识别性，且都涉及技术处理，范围均涵盖指纹、虹膜、声音、面部信息等私密性信息。故生物识别信息所具备的核心要素有：第一，唯一标识性。生物识别信息承载着人格尊严和隐私等人格利益，是自然人主体性特征的反映，其作为自然人身上固有属性，不易被简单地复制和模拟，可作为唯一标识自然人身份的信息。任何人的生物识别信息与其他同种类的生物识别信息均不相同，这是由每个人的遗传物质、身体器官以及行为特征的独特性决定的。鉴于生物识别信息最本质的特征为识别特定主体，所以由“唯一标识性”要素还可引申出生物识别信息的另外两个核心要素，一是“稳定性兼具实时性”。一方面，在任何给定的自然人主体中，生物识别信息所体现的生物特征并不随时间而显著变化，它可被反复检测、收集加以应用。另一方面，当采用元宇宙沉浸式四大技术收集眼球位置信息、手势信息、脑电图等信息时，相关技术是针对用户个性化设计的，收集的必然是某个特定时间点上用户的个人信息，信息会随着用户身体状态的变化而变化，但仍可间接识别到用户本人。二是“可获得性”。在生物识别信息利用场合，生物识别信息是可被检测、收集的。第二，生物特征识别。生物识别系统通常由硬件及软件两部分构成，其中硬件负责对目标对象的信息进行收集，软件系统将收集的生物识别特征转化为数据并确定其可接收性，实现自动身份鉴别、状态估计和属性分析，其包括生理特征和行为特征识别，前者包括指纹、虹膜和视网膜、手指和手的形状、脸型及血液静脉模式；后者包括语音识别、签名动态、击键动态、使用物体的方式、步态、脚步声、手势等。但是生物特征的表现形式并非一成不变，依托人工智能技术的生物识别系统也会不断地迭代更新。例如，域外立法尽管未将照片纳入生物识别信息的范畴，但不乏承认其为生物识别信息的司法判例，根据法院的解释，即使生物识别标识或信息被转换为另一种形式，如面部信息转化为照片，但当技术进步到足以通过照片提取出生物特征数据识别该主体时，照片数据也符合生物特征数据的定义。第三，特定技术处理。目前学界及立法对“特定技术处理”尚未明确，但在实际应用中，生物识别信息使用者会根据采集的信息类型、应用场景等因素进行综合考虑，选用合适的技术手段进行生物识别数据处理和比对。据此，笔者认为应采宽松的认定标准，只要相关技术能完成对自然人生物特征的信息化记录即可满足特定技术要求。换言之，满足“经由识别或验证的技术处理对生物特征样本以信息化呈现”即可。

（三）生物识别信息判定的动态体系方案

生物识别信息等敏感个人信息应是“非穷尽的清单”，以便添加随着技术发展而符合生物识别信息特征的新信息种类。区别于个人一般信息，高度敏感的生物识别信息的处理自然涉及高度安全性和可靠性要求。因此，面对高度复杂且灵活的生物识别信息判定需求，动态体系论以其“弹性规范+动态构造”的独特优势与生物识别信息的判定模式天然相符。按照动态体系论的要求，要想在一定法律范围内构建动态体系，有必要抽取该领域成立的原理，以原理的内在体系为基础，再选取用来衡量各项原理满足的观点或因子。根据生物识别信息的原理提炼的“唯一标识性”“生物特征识别”“特定技术处理”三项核心要素，其应当是互相作用、互相补充的识别要素，而非固定不变的要件。在生物识别信息判定之要素体系中“生物特征识别”是核心概念，“唯一标识性”是生物识别信息判定的基础要求，“特定技术处理”是实现生物识别信息判定的手段。在实践中，这三项要素的满足度共同决定了生物识别信息的判定程度。

“生物特征识别”要素是判定框架的核心，其是生物识别信息的最低标准，更是生物识别信息判定的最终目标。然而，在时间的推移下，“生物特征识别”要素可能会随之变动，尤其是步态、脚步声等生物识别信息会随着人体的衰老而发生阶段性变化。这就要求生物识别系统具备动态更新生物特征素材库的能力，定期或根据特定事件触发对已存储的生物识别信息进行重新采集和更新，确保其生物信息被有效识别。生物信息的“唯一标识性”是对生物特征识别有效进行的前提，为准确分辨不同个体的生物信息，识别的准确性和有效性至关重要，因此“唯一标识性”要素在生物识别信息的判定中绝非静态，而是以动态的视角去衡量。例如，指纹虽具有高度“唯一标识性”，但从事某些特殊职业可能导致指纹磨损，其“唯一标识性”很可能发生较大变化；虹膜识别的唯一性也很强，但很可能因为眼疾或者佩戴美瞳等医疗器械影响其“唯一标识性”的准确判断。据此，在评估“唯一标识性”时应当考虑个体的生理变化、特殊情况以及生物特征的稳定性等因素。为运用生物识别信息的“唯一标识性”有效识别生物特征，需采取特定的处理方法。“特定技术处理”包括对生物特征的采集、特征提取、匹配等多个环节。在采集阶段，采集环境的光线、湿度、温度、背景噪声等因素会影响生物识别信息的准确性。在特征提取和匹配阶段，算法与模型的选择会影响其信息的识别度等。据此，在实际应用中要根据具体情况动态选择最适合的处理方法，以提高生物识别信息的效率与准确性。同时，应当及时对生物信息识别技术进行迭代升级，从技术供给端满足生物信息识别的复杂化。

四、生物识别信息的场景重塑及其权益损害分析

有关数字时代的人权保护，国内外学者均尝试走出传统的物理空间思维，转向场景化规制，但应用场景的不合理划分会为场景化法律规制理论的适用带来困境。目前，生物识别信息应用场景化的讨论尚未形成统一完善的标准，本文以“受益主体”为标准尝试对生物识别信息的应用场景进行划分，并明确其中的权益损害。

（一）生物识别信息多重应用的场景重塑

在生物识别信息保护领域，国内学者已关注到个人信息在不同场景下的不同规制机理，提出应根据信息主体在不同场景中的合理预期对相关技术和不同受益群体施以不同的规制手段。并且在域外研究中，不乏学者主张个人信息是高度场景化的，不同场景下的个人信息需要不同程度的规制。美国《消费者隐私权利法案》提出了“尊重场景原则”，要求商业公司要在与信息主体最初提供个人信息相同的场景下使用和披露个人信息。

目前，对生物识别信息应用场景的划分或以“验证”（verification）和“辨识”（identification）为标准（“1对1”的验证场景和“1对N”的辨识场景），或笼统分为公共使用与商业应用。生物识别技术依托人工智能系统、物联网系统等新技术，系统的开放性使生物识别信息的应用不再局限于单一场景。这也暴露出以上分类标准的僵化，无法为生物识别信息应用场景预留解释空间，致使场景分类未尽周延。场景理论倡导以“场景完整性”（contextual integrity）来对信息内涵与边界进行动态控制，以“场景完整性”作为隐私保护的一个选择基准，可有效应对信息技术对隐私保护带来的挑战，场景完整性对隐私的保护与特定情境相联系，要求信息的收集和传播与特定应用情境相匹配，信息保护与信息流动在特定情景下应符合各方的预期。场景化理论创始人尼森鲍姆提出了“场景四分法”——将技术系统、商业模式、行业领域、社会视为场景，尝试为隐私信息的场景化规制提供指引。但在生物识别信息保护方面，法律规制态度取决于其应用中收益与风险的关系，如果收益大于风险，法律就应向利用一侧倾斜；如果风险大于收益，法律就应向保护一侧倾斜；如果收益与风险的关系不确定，则法律应该谨慎，不能盲目放开其利用。并且生物识别信息保护背后附着的多元利益日渐凸显，其针对不同受益主体和受益场景也会存在不同的价值维度，不同场景下生物识别信息的合理适用边界、相关权益冲突与平衡殊值关注。据此，以受益论为划分标准，结合场景融合的发展趋势可明确生物识别信息的多个应用场景。

其一，商业利益。现代生物技术的发展使生物识别信息及其相关技术能够产生巨大的经济价值，如某些B站、抖音、微信平台用户通过AI换脸合成音视频，以博得聚光灯式的关注和巨额的流量变现。在实践中，比较常见的是经营者获取消费者人脸信息并投入商业经营中。例如，商家会安装具有情感识别功能的监控探测器，辅助判断顾客的整体满意度；或者将情感探测装置置于商品标签里，记录顾客对商品摆放顺序、包装等的情绪反馈，相关数据作为优化商店经营的有力参照。儿童智能手表厂商通过添加丰富多样的功能提高产品力，可以为企业创造更多的利益，儿童智能手表上的各种App设置了会员奖励机制、游戏金币礼包等项目，诱导儿童充值消费，这个过程会收集儿童的指纹、面部、瞳膜等生物识别信息。再如，视频制作者应死者近亲属要求，以死者生前照片为素材，利用AI技术使死者“动画复生”或实现死者与近亲属的“虚拟互动”，以满足死者近亲属精神利益需求，同时视频制作者获取一定的对价报酬。此外，通过基因检测还可以发现致病基因、研发基因药品以及申请基因成果专利等。

其二，社会公共利益。现代社会治理需要实时抓取各类信息以保障国家安全、公共秩序，而生物识别信息在识别公民身份上具备极强的辨识效果，在公共安全和社会管理等领域得到了广泛应用，也大幅增加了人脸信息、指纹信息等在公众场所被收集的几率。例如，车站、十字路口等公共场所利用生物识别技术收集、分析生物识别信息，以维护社会公共秩序、打击犯罪行为；基于AI人脸识别技术，将动态人脸识别技术应用到视频监控中，在不易被监控目标检测到的情况下，可实现中、远距离识别的后台报警提示效果；将动态人脸识别技术与视频监控相结合，在重点监控区域进行人脸识别控制，在很大程度上可协助警方快速侦破案件。

其三，聚合利益。用户佩戴的智能手表、运动手环通过自带App收集用户运动量、运动时心脏和呼吸系统（如心率、呼吸频率、血压）等生物识别信息，在经过算法加工处理后可形成专门的健康数据包。其成为用户个人身体健康状况、患病风险研判的重要参考，进而形成商家个性化推销产品、医药产品器械研发、个人健康自查“三位一体”的受益格局。

其四，非法利益。生物识别信息由于具有“唯一标识性”的特征，其防伪性较强，但这并不意味着其不可以被伪造或复制。随着人工智能的发展，利用深度伪造技术模拟真人声音或面部画像，替代他人生物识别信息，进而被不法分子利用实施犯罪行为的案件日渐频发。例如，通过深度人脸技术伪造人脸信息而入侵个人账户，通过原照片或者3D扫描技术获取人脸图像和360度人脸照片制作“硅胶人脸面具”用以伪装实施盗窃行为等。

（二）多重应用场景下生物识别信息权益主体的损害状态

生物识别信息经收集、加工、分享后形成数据资源，成为重要的生产要素。这使隐私信息的收集、传输、利用过程像“数据食物链”（data food chain），数据链下的隐私信息可能会流向各方，数据链顶端甚至存在“信息富集”，产生无法预测的合成数据。而信息主体在主张隐私信息保护时，可能会被告知原始信息或是公开收集的，或是在公共数据库中获得，或未被标记为受保护（敏感）信息，或被合法地掌握在相关数据处理者手中。此种商业化应用与生物识别信息保护需求相冲突，甚至会侵犯信息主体的知情权。

第一，在商业利益场景下，生物识别信息的不当应用会引发人格权益侵害风险、隐私侵犯风险及财产侵害风险。首先，人格权的本质属性在于个体的自我选择权，然而现阶段大量生物特征数据的采集往往未经用户知情同意，实质上剥夺了数据主体的自主选择空间，这种隐性收集行为不仅违背了信息自决原则，更对其人格尊严造成了根本性侵害。其次，生物识别特征因其独特的身份标识属性，通常被归类为高敏感度个人信息范畴。这类信息与个体隐私权益密切相关，未经授权的采集或不当应用极易对信息主体的私密领域造成安全威胁，甚至引发法律层面的隐私权争议。同时，信息主体还需承担一定的技术不可控风险，当数据企业需要建立更精细的数字化模板时，必须通过特殊算法放大局部生物体特征，在这一过程中人工无法参与和干扰。因此，计算机挖掘了哪些隐私信息，数据企业和个人都不知情。最后，信息主体在与信息处理者进行信息交易时处于劣势地位，生物识别信息控制权大多掌握在信息处理者手中，使得信息权人无法实现有效的信息自决。信息处理者为了实现信息生产资源的最大化，有时还会与第三方机构共享信息资源，造成信息主体的生物识别信息严重泄露，构成财产侵害风险。例如，2021年央视3·15晚会揭露部分商家在消费者无感知的情况下，通过人脸识别技术擅自采集顾客生物特征数据。此类行为不仅侵害了个人信息权益，还可能因信息泄露引发人身安全与财产损害的双重风险。由于技术隐蔽性特征，消费者既难以察觉监控行为的发生，也无法追溯信息流向，更因证据保留机制缺失导致维权时面临较多困境。信息处理者与消费者之间明显的技术及信息掌控落差，使得侵权纠纷中消费者常因举证能力不足而难以获得有效救济。

第二，在公共利益场景下，相关部门会以大量的生物识别信息库为基础，如果数据在收集、处理过程中因处置不善遭泄露、盗窃等，则会对数据提供者造成永久、不可逆的严重损害，甚至会引发严重的群体性损害，进而演变为社会问题。此时，不特定范围内的多数人利益遭受侵害而聚合为公共安全利益损害。首先，当某种生物识别信息和疾病监测相关联时，会存在对易患病人群产生歧视的风险，如镰状细胞特征的检测结果可能会导致对非洲裔美国人的歧视，因为该群体患此疾病的风险最高。其次，相关部门与需要获得生物识别信息主体的合作是一种“不便”，于是一些远程识别、收集信息的系统被创立，以“即时”“隐秘”地获取生物特征数据。例如，新冠疫情有机构开发了眼球运动图像识别技术、远程肢体活动分析系统、性别识别系统，其不需要信息主体的合作就能完成生物识别信息收集。并且可以预见，这些技术不仅会应用于行政部门，还会应用于公共场所和私人商业目的。但是一旦这些生物识别信息被窃取或伪造，致使黑客入侵，将会造成公共服务系统受侵而陷入瘫痪，导致社会管理失序。并且国际社会的高度互联使生物识别技术的跨境滥用风险倍增，此类信息若遭非法窃取并流向境外，可能会被用以威胁国家数据主权与信息安全体系。

第三，在非法利益场景下，随着新型技术的发展，生物识别信息权利不再单纯是民事上的个人隐私权利保护问题，而日益泛滥的严重侵害生物识别信息安全的行为还需要从刑法层面进行法律预防与惩罚制裁。

五、多重应用场景下生物识别信息保护的体系化方案

在多重应用场景下，个人对自己的生物识别信息缺少足够控制，传统隐私权保护模式面临多重张力，现有规则尚未起到应有的保护效果，亟须建立生物识别信息全生命周期的多元治理机制。

（一）事前保护：评估认证机制的建立

生物识别信息保护评估认证机制是信息处理者合规经营、持续运转并满足自身要求的重要途径之一。根据《个人信息保护法》第55条、第56条的相关要求，涉及生物识别信息的操作因其属于高度敏感个人信息范畴，处理者在事前须对处理行为的目的正当性、合法性及必要性开展合规性审查，同时系统分析其处理行为可能产生的安全风险等级及社会影响程度。

首先，从评估主体上看，应当由国家网信部门作为生物识别信息评估认证机制的承担主体。《个人信息保护法》第七章明确了国家网信办在个人信息保护监管体系构建中的主导地位，故应当由其牵头，根据我国信息技术发展、行业惯例等合理因素灵活设计生物识别技术准入的条件，开展个人信息的评估及认证服务，审慎保持个人信息保护和利用间的平衡，即平衡技术创新与个人信息保护间的矛盾。无论生物识别技术是一般公共应用还是商业应用，均需由监管部门或者委托的第三方机构进行评估认证，其评估结果应当由监管部门统一备案。

其次，就评估内容而言，由于生物识别信息承载着人格尊严，故应当将维护人的尊严和自主性作为评估认证机制的价值主线，同时分析生物识别信息处理的规范性、安全性，识别风险源，多层次、多维度衡量处理活动对个人权益的影响，形成内容包括但不限于处理技术监管措施的详细评估报告。遵循风险预防原则，针对具有引发严重危害或不可恢复的负面影响可能性的技术性操作方案，若实施主体未能提供充分证据证明其具备必要性及其潜在的风险处于可管控范围内时，应当采取限制性措施禁止该技术的应用。参照《个人信息保护法》第56条中的方案，其评估影响报告和处理结果应保存至少三年。另外，生物识别技术正处于快速迭代升级阶段，准入审核制度仅能反映特定阶段的技术水平，因此构建动态监管机制对保障技术应用质量、明确信息处理主体责任具有双重意义。立法层面需确立两项核心要求：一是在数据处理全流程建立透明机制并保留溯源路径；二是强制要求处理者建立可核验的记录档案体系，从而有效落实全周期监管与合规性审查义务。

最后，自评估方法观察，从行踪轨迹到金融征信，风险随着生物识别信息应用场景的变化而攀升，故生物识别信息的评估认证应当将场景化理论贯穿始终，规范化治理不同的应用场景。以识别场景风险程度和识别应用技术控制度为两个维度，搭建生物识别信息分级分类治理体系、精细化生物识别信息评估认定、控制风险的同时促进个人信息的合理利用。需要强调的是，由于技术更迭和生物识别信息的复杂性，生物识别信息处理应当坚持周期性评估认证，同时针对生物识别信息分级分类治理体系，提高对高风险应用场景（如教育、就业、公共服务、执法等领域）的评估频次和评估报告保存期限。为保证评估时效性，场景处理目的发生变化的应当重新评估并认证。此外，还应当发挥消费者协会在认证评估中的积极作用。一方面，消费者协会应当协同第三方评估机构及政府主管部门，针对大型网络平台及应用程序的信息安全保护状况定期开展核查评估并公开结果，同时对存在安全隐患的平台运营方要求限期整改，形成长效监督机制。另一方面，针对用户诉求建立多维度响应机制，通过政企联动方式开展运营合规性审查。重点针对行业共性风险点实施穿透式监管，运用公示通报、行政约谈、专项监督等综合手段规范市场主体的信息使用边界与业务关联行为。

（二）过程控制：知情同意机制的优化

1.信息处理者告知义务的体系化、具体化

信息处理者应当全面、有效地履行告知义务，保障信息主体充分知情，实现信息自决。具体包括如下四点：

其一，信息处理者告知的内容、方式应当准确、得当。在告知内容上，信息处理者须向个人明确披露以下事项：处理者的名称及有效联络方式；信息处理活动的具体目的、方式、涉及信息的类型范围及存储周期；信息主体行使法定权利的具体途径及流程；现行法律法规要求披露的其他相关事项。同时，应确保所提供的信息具备真实性、准确性和完整性，严禁包含具有误导性陈述、变相诱导或强制性要求等不当成分。在告知方式上，应使用简练平实的表述方式确保内容可理解性，对于专业性较强或需要重点关注的内容，应当采用附件说明、重点符号标识等强化手段实现针对性提示。在涉及个人信息传输、向第三方共享数据、运用自动化决策机制、处理敏感信息或进行跨境数据流转等场景时，处理者需依照《个人信息保护法》的具体条款履行告知义务，并确保其内容与该法中相关条款保持严格一致。

其二，信息处理者应采取分层级告知模式，全面履行告知义务。信息处理者不能笼统地、无差别地将收集的生物识别信息不加处理、区分地进行告知，而应分而治之地告知不同层级的信息收集与使用情况。依据生物识别信息的敏感等级差异，将其划分为三个层级：基础级个人信息、需用户主动确认的高敏感信息以及严格禁止采集的受限信息，逐级提升信息披露强度与合规义务标准。生物识别信息分级分类管理的核心价值在于明确区分敏感信息中的高隐私层级，建立多层次的知情权告知体系。这种分层机制设计能够从信息采集源头形成规范框架，为后续处理环节提供风险预判依据与合规操作指引。在特定应用场景下，信息处理者在履行告知义务时，须同时遵循《电子商务法》第17条关于信息公示的要求，并满足《消费者权益保护法》第20条经营者信息告知规范及第26条格式条款和公平性条款的相关规定。此外，针对面部识别等生物识别信息处理，当面临海量数据处理需求或涉及非接触式信息采集时，可借助移动终端消息推送、服务界面弹窗提醒等方式履行单独告知义务。

其三，信息处理者有义务确保算法具备透明性与可理解性，并向涉及主体就其运行逻辑及决策依据作出清晰阐释。为维护信息主体的合法权益，信息处理者应在公开披露生物识别信息处理流程与存储规范的基础上，通过加密传输、分域存储等措施强化信息安全防护。同时需提升算法透明度并简化其运行逻辑，建立算法应用负面清单机制，并对参与算法处理的第三方机构信息进行完整的公示。有学者提出“算法查验”的概念，要求相关系统向外界开放验证途径，允许利益相关方及独立机构对算法功能实现效果进行技术验证。通过这种透明化审查流程，社会公众不仅能追溯算法运作的核心逻辑，还能对其技术可靠性建立合理预期。该机制在生物特征识别领域具有特殊的应用价值，以便对信息处理者的算法加强监督，提升算法透明度。

其四，信息处理者应当促使告知方式多元化，并利用技术发展和程序开发创新告知形式。这是因为新兴的告知策略不一定要依靠文字或符号来向用户传达突出的信息，发掘枯燥文本背后的阐释力才会使告知更有效力。较为可行的方式，如在隐私政策中增设精简版“告知摘要”，其需要在完整告知的基础上提炼核心内容，参考《信息安全技术个人信息安全规范》附录C中的功能界面，采用百字以内的结构化摘要概述关键信息处理规则，重点标注信息流转路径及控制权说明，并配置勾选式权限选择组件，便于用户快速勾选确认。对“告知摘要”的形式可以做突出显示处理，如关键信息可以加粗标红。此外，信息处理者还可运用动画、视频等可视化形式向用户传达告知内容，或运用类似安全警示标志方式提高用户的“本能注意”，甚至可以开发专门的软件用以处理辅助生物识别信息内容的审读、筛查、判断。

2.利益平衡下信息主体动态同意模式的构建

动态同意模式意在建立互动关系的同意模式，其是一个动态的过程，它强调与生物识别信息的主体进行持续的重新接触，给他们提供关于信息处理的实时信息，并使信息主体能够很容易地提供或撤销他们的同意。对信息主体实行动态同意模式，既能有效克服传统知情同意模式的僵化，又能在平衡信息主体与信息处理者的利益下便利信息的处理和利用。

首先，提高动态同意模式下信息披露程度和透明度。动态同意机制赋予信息主体自主管理权限，允许其依据个性化需求对生物特征数据库实施差异化管控，包括自主设定告知的时间节点、频次、方式及具体内容等，从而优化个人信息接收效能，提高知情效率。正因如此，信息处理者应当对涉及个人的生物识别信息的处理及利用事项进行及时、全面地披露和公开，即实时、有效地向信息主体公开采用的技术采集手段、处理方式、安全保障措施、处理目的等事项，提高信息的透明度。

其次，生物识别信息的敏感性因应用场景差异而动态变化，其授权机制需结合场景特性进行分层设计。具体而言，应根据生物特征数据承载的人格利益及其关联的社会交互特征，建构强保护、一般保护和弱保护三级体系。第一，在涉及金融认证、支付及医疗健康等高敏感领域，相关机构应履行严格的保护责任，此类技术的应用需经信息主体明示单独授权，严格遵循告知同意规则，不将该生物识别信息用于其他用途。第二，针对涉及应用程序及社区服务场景的生物识别信息，运营主体需保障基本数据安全。在确保隐私安全的前提下，相关平台可将匿名化处理后的特征数据应用于优化系统数据库、开发增值业务模块等数字化运营场景。在此种应用场景下，可依照“应用技术的安全性”“信息主体的预期获利性”“应用场景的受益群体”以及“风险评估等级”四个方面来判断信息主体的合理预期，并根据其合理预期对信息收集方式和同意方式灵活配置。第三，在公共管理及应对公共决策需求的场景中，生物识别技术的运用需通过合规性审核与技术验证，并基于政府主导的合法授权，仅需履行告知义务便可部署应用，从而提升技术应用的合规性和效率。

再次，合理设定动态同意模式下信息主体的同意撤回权。根据《个人信息保护法》第15条、第16条的规定，个人用户享有撤回授权的权利。这一权利体现为既可以要求暂停信息处理机构的运营活动，也可对特定信息服务行使限制性拒绝。法律明确要求信息处理者在收到撤回请求后，应当立即履行清除已采集个人信息的义务。需特别指出的是，信息主体在数据采集、存储、使用等各环节均可随时行使该项权利，且该项权利的效力自提出时即刻生效。此项制度设计并不排除后续重新授权的可能性，当用户再次明确授权时，数据运营机构方可重新启动信息采集与处理程序。此外，撤回授权并不代表解除双方原有协议的法律效力，信息主体通常通过禁用功能或解除权限制设置等操作实现这一行为，此类行为仅代表用户单方面取消信息处理的授权，相关服务方不得以此为由终止服务或限制用户正常使用应用程序。

最后，针对未成年人这一特殊群体，要科以信息处理者更严格的义务，采用识别系统适龄设计保障和监护人同意授权模式。信息处理者欲收集未成年人生物识别信息时，应经过未成年人监护人同意，这可从技术角度优化动态同意模式来实现。而未成年人的法定监护人要履行监护人责任，加强对未成年人正确使用相关智能产品的教育引导，避免生物识别信息被滥用。此外，针对老年人使用生物识别技术，同样需要从技术层面优化告知模式和同意模式，如开发特殊的智能设备、引入关怀模式等方式。

（三）事后救济：多元保护机制的协同

单独的公法或私法理论均不能适宜地解决生物识别信息保护问题，在生物识别信息多重应用的背景下，需依托民事、行政、刑事等综合配套机制实现分层化、衔接式规制。

1.畅通生物识别信息侵权的民事救济渠道

首先，对生物识别信息侵权行为的认定，不应限定于实质性损害。主要理由在于：其一，由于信息处理者在采集和管理生物识别信息方面具有绝对优势，其与信息主体之间的信息不对称，导致双方的力量不平衡，信息主体被侵权的可能性较大，对损害的认定应从宽对待。其二，比较法上，BIPA为美国生物识别信息民事权利保护的重要法律依据，但其缺乏对侵害（aggrieved）的明确定义、解释，致使在个案中存在“损害认定”的困难，由此法院在多个判决中均明确“对信息主体的损害诉求采取广义的原则性概念审查，不要求其存在严格实质性损害”。在“美国罗森巴赫诉六旗主题公园案”中，法院裁定即使没有实际的损害，原告仍然可以以单纯的技术违法为由起诉私人主体。这是因为相较于防范不可逆损害后果的重要性，技术主体为履行合规义务所需承担的经济成本存在显著失衡。若放任这种成本倒置现象，将导致立法机关确立的威慑机制与权益保障目标落空。其三，我国《民法典》对隐私权侵权未要求证明实质损害的发生，只要行为人实施了法律禁止行为且法定免责事由，行为人就应当承担责任。有学者进一步主张，可以将风险作为直接损害，即便损害未真实发生，当证据链能够证明信息处理失当行为与未来可能发生的损害之间存在明确的确定性关联时，即可认定损害成立。

其次，综合信息处理者的过错程度、损害大小等因素判定赔偿范围，确立最低赔偿标准，并合理划定平台方的责任，实现对技术主体的威慑和惩治作用。例如，AI换脸技术更多的是一种娱乐、表达自我、休闲放松的方式，考虑此情形下制作合成音视频的行为动机恶意不大，应当结合过错程度、受侵害人的知名度等方面认定侵权责任及赔偿范围。而使用AI换脸技术合成他人视频甚至广泛传播，一般是行为人有意识的行为，通常不会因为不注意的心理状态而误用他人的人脸信息，过错形态为故意，客观上也造成了对他人精神利益的侵害，对此应加大赔偿范围。此外，还可以确立最低赔偿标准，调动信息主体的维权积极性。就平台而言，其在生物识别信息保护方面负有“守门人”义务。针对AI技术合成音视频的场景，平台用户（视频发布者）发布作品时通常会在界面显示“内容疑似AI合成，请谨慎甄别”字样，但亦不可免除平台的注意义务、催告义务和及时删除义务，平台需督促视频上传者履行告知义务，在上传视频时，上传主体应保证上传视频的真实性和对合成视频明确的说明义务。若视频上传者拒不履行说明义务的，平台应拒绝上传视频；若视频上传者未如实履行说明义务的，平台在获悉真实情况或接到相关投诉后应及时下架视频，有效阻断其传播，以避免损失的扩大。如果平台未履行催告义务，需同虚假发布视频者承担连带责任，如果平台在知悉情况后未能及时删除（下架）视频的，应同虚假发布视频者对因未及时删除（下架）视频产生的扩大损失承担连带责任。

最后，商业利用场景中经营者的义务配置应当围绕信息主体的“合理预期”展开，若消费者暂时将其生物识别信息的所有权委托给第三方，则第三方对消费者负有不得在委托目的之外使用的义务。此外，如果一家公司能够合法地收集数据，并在数据链上通过复杂的算法学习推导、产生出更高阶、更有价值、更有启发性的数据，这家公司就不能被认定为损害隐私。需注意的是，并不能因为信息主体同意信息共享或披露而认为其放弃隐私，信息主体同意信息的收集、披露和利用仍需建立在其合理的预期范围内，因此，保护场景完整性下信息主体的隐私意味着其将对信息流动的规范性、正当性有事前判断。例如，大多数消费者不会期望商户深入、毫无保留地收集其照片、血型、字迹等信息，这种极其详尽的个人资料更应该由政府管理部门收集和使用。一旦以上信息被收集，就会面临个人隐私被暴露的风险。因此，在生物识别信息侵权纠纷中，应规定不以损害结果的实际发生为构成要件，并采用举证责任倒置规则。

2.规范行政主体合理使用和保护生物识别信息

行政主体在生物识别信息问题治理中具有利用者和管理者的双重身份，其在行政管理与社会治理中会收集和处理大量生物识别信息，其行为应当合法合理；此外，政府还需对其他主体收集和使用生物识别信息进行监督管理，有效应对复杂场景下的生物识别信息保护问题。

首先，行政主体在收集和处理生物识别信息时应遵守合法性原则。《个人信息保护法》通过规范信息处理者的法定责任及监管部门权责，对行政主体从事前、事中监管予以约束和规范，强化了对生物识别信息的公法保护。行政主体虽然能够获取生物识别信息利用的法定权限，但其在做出具体行政行为时仍应满足：一是主体合法，即要求信息处理权归属依法获得授权的行政机关，若由非适格主体实施相关行为，则构成对合法性原则的违反；二是内容合法，根据《个人信息保护法》第13条的规定，相关主体需在法定权限范围内行使权力，确保内容的合法性；三是依法追责，对于泄露、侵害个人生物识别信息的，应当依法追究相应责任。在事后救济环节，行政机关依然承担着重要的监管职能。例如，《个人信息保护法》第61条明确规定了行政机关应当依法受理投诉举报信息，并对侵害个人信息的违法行为开展调查处置工作。即行政主体负有对生物识别信息收集和使用情况进行监督管理，对违法收集和使用行为进行处罚的职责。因此，行政主体需建立完善的组织、程序和实体性规则，如建立专门化生物识别信息处理行政监管机构、完善生物识别信息收集的许可制度、完善行政诉讼和行政复议制度等。

其次，比例原则是行政主体应遵循的核心原则，以规制行政主体任意收集、利用生物识别信息的行为。比例原则又派生出合法原则、严格原则和必要原则等，其核心在于考量均衡性。合法原则要求对信息收集、利用进行若干评估，评估主要聚焦对生物识别信息保护的干预和信息使用合法目的的判定，并尽量减少所涉及的社会风险，即便基于重要的公共利益处理生物识别信息，也要尽可能最低限度地干涉个人的基本权利。应强调的是，比例原则是行政主体的自我规范，其无法被取代，包括信息主体的同意也不能代表对比例原则的豁免，此为严格原则之体现。而所谓必要原则是指对行政主体的信息处理行为采取限制性规定，且相关限制对实现公共服务的目的是适当的。为限制政府部门对生物识别信息的应用，可结合前述应用场景的细分，引入“数据保护风险评估”制度，按照风险等级、对信息主体的权益侵入程度等进行评估，将生物识别信息的应用场景区分为高、中、低风险，并对其采取不同级别的保护措施。因此，重要的是通过评估确定以对个人危害较小的方式实现所追求的目标，从而保证生物识别信息处理的合法性。再者，一旦决定了采取必要措施，就必须与拟达成的目标成比例，这需在行政主体所追求的目标与个人信息的限制保护之间达成可接受的妥协。

最后，应当从单一政府主导模式转向多方协同治理体系，即构建回应型治理框架。该体系强调通过动态调节机制协调政府监管、企业自律与社会参与的多维互动，形成弹性规范体系，确保法律规则具备动态适应性。就治理主体而言，行政主体兼具信息控制者和监管者的身份，其需要与生物识别信息的相关主体形成相互合作、配合的治理关系。首先，在政府监管中，要增进不同主管部门之间的协作，各级政府和行政机关应建构政府信息共享的技术平台、标准规范、工作程序和管理制度。例如，在制定生物识别信息保护规则时，需要在不同主管部门之间形成信息的充分沟通、共享；在针对生物识别信息违法行为的监管和执法行动中，也需要其他部门的协作，确保监管和执法更具效率和威慑力。尤其应注意的是，由于网信部门在个人信息合理利用监管中处于相对独立的地位，应加强其与法院在个人信息利用制度适用上的协调机制，可通过定期研讨、联合发布法律适用会议纪要和典型案例等路径消除行政监管与司法审判之间的法律适用差异。其次，构建公私协作治理机制，推进政府与企业、用户、社会组织等的协商和合作，充分发挥政府主导作用，明晰各方的权责，形成有序的合作治理秩序。从治理手段来看，信息控制者和监管机构对生物识别信息的治理手段是多元的，既包括法律和政策手段，也包括技术和经济手段。也就是说，综合利用法律、市场、社会规范和代码所组成的多元工具体系，根据生物识别信息不同的应用场景灵活运用治理工具。

3.完善侵犯生物识别信息行为的刑法规制

现行刑法规定了侵犯个人信息的犯罪类型，但并未体现对生物识别信息的特殊保护，故应当重新定位生物识别信息的刑法评价，并从“非法获取与提供行为”及“非法使用行为”两个方面惩治侵犯个人生物识别信息犯罪。

一方面，参照《个人信息保护法》对个人信息的二分法，明确生物识别信息在刑法评价中的定位，合理设定较低的入罪标准。《解释》第5条对不同类型的个人信息分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪数量标准，但无法将生物识别信息归入该条所列信息的调整范围，并且《解释》对个人信息的分类及对应的入罪量刑标准尚有斟酌的空间。对此，应当参照《个人信息保护法》确立的分类保护原则，个人信息可分为敏感个人信息与一般个人信息两个层级。其中该法第28条明确规定，生物识别信息须纳入敏感个人信息进行特别保护。在入罪标准方面，可以参照《解释》对“行踪轨迹信息、通信内容、征信信息、财产信息”所对应的“五十条以上”的数量标准，将非法获取与提供生物识别信息的起刑点设定在五十条以上。此外，结合《民法典》《个人信息保护法》及《行政法》等前置法对个人信息保护的规定，还可以将这些法律规范中对生物识别信息的适用条件、应用范围及侵权构成要件等规定纳入侵犯公民个人生物识别信息犯罪，作为犯罪构成要件。这将有利于进一步明晰违法与犯罪之间的界限和衔接，也能够实现私法公法阶梯式的保护。

另一方面，针对非法使用生物识别信息的行为，有必要衔接侵犯公民个人信息犯罪予以规制。主要方案包括：第一，可以采取实质解释或者扩大解释将生物识别信息纳入侵犯公民个人信息罪之中，以实现对生物识别信息的保护；第二，最高人民法院与最高人民检察院可以颁布专项司法解释，明确对非法利用公民个人生物识别信息的行为，应当以侵犯公民个人信息罪追究刑事责任（《刑法》第253条之一）；第三，对刑法进行一定程度的立法调整，即在《刑法》第253条之一侵犯公民个人信息罪的规定中增加非法使用公民个人信息的行为方式，以实现对非法使用包括生物识别信息在内的个人信息的刑法保护。相较而言，采用实质解释或扩大解释的方案将生物识别信息纳入侵犯公民个人信息罪的笼统保护之中，仍不足以实现对生物识别信息的特殊保护。因为按照《刑法》第253条之一的规定，只有当侵犯公民个人信息的行为达到情节严重的程度犯罪才成立，属于情节犯。因而最理想的方案是借助刑法修改，明确将生物识别信息列入公民个人信息的范畴，并对生物识别信息犯罪配置特有的构成要件。相较于已被刑法及其司法解释明确规定的非法获取、出售、提供三种行为方式，信息采集者在合法获取后滥用的行为并未被规制。对此情形，可以在《刑法》第253条之一第3款之后增设条文，即“违反国家有关规定，滥用公民生物识别信息的，依照第一款的规定处罚”。滥用生物识别信息行为中的“滥用”是指在信息处理过程中未经信息主体许可非法使用生物识别信息的行为，对“生物识别信息的处理”的界定，可以参考《民法典》第1035条之规定，包括收集、存储、使用、加工、传输、提供、公开等行为。由于滥用生物识别信息行为存在一定程度的人身犯罪属性，不能单独以信息数量作为情节严重的判断因素，可以结合行为手段、损害结果进行综合评判。

结语

生物识别信息的多重场景应用为社会创造了诸多价值，但同时加剧了多元权益冲突，为既有规范应对生物识别技术的发展带来了挑战。数字社会的新挑战，亟须基于数字社会的发展规律和治理诉求来重塑法治机制，建构适应型治理范式。生物识别信息保护涉及个人自由价值、数据流通利用与社会公共治理诸多利益之间的平衡，其关键在于如何成功地让利益相关者走上合作而不是对抗的道路。面对生物识别信息安全保护这一数字治理问题，完善场景化保护的理念和原则，构建和落实评估认证机制，优化知情同意原则及其操作模式，并落实生物识别信息应用过程中的多种责任机制，以应对信息革命和数字社会治理逻辑所驱动的法治范式转型，方能有效地为“数字人权”提供法治保障。

来源：《法学杂志》2025年第4期“青年法苑”