個人生物識別信息的法律屬性與保護路徑

目錄26186題目 III個人生物識別信息的法律屬性和保護路徑摘要個人生物識別信息與自然人的身體特征、生理部位、行為方式等方面直接關(guān)聯(lián)，利用以上方面進行技術(shù)識別，進而直接精準識別出自然人身份，使得人身屬性與財產(chǎn)屬性、社會公共利益屬性相互交融，基于此種情形，國家應(yīng)當給予重點保護。盡管《個人信息保護法》和《民法典》第1034條對生物識別信息的內(nèi)容進行了規(guī)定，但生物識別技術(shù)仍然面臨著理論和實踐問題。理論上的困境主要在于個人生物識別信息的法律概念的模糊性，其法律性質(zhì)的不一致性，其延伸的模糊性和知情權(quán)的障礙；實踐上的困境在于沒有系統(tǒng)的保護制度。個人生物特征通過特定技術(shù)處理形成數(shù)據(jù)化信息，承載著人格尊嚴和隱私利益等重要價值，應(yīng)當明確其新興權(quán)利的屬性。同時協(xié)調(diào)信息主體、信息收集者、信息控制者以及監(jiān)督者的關(guān)系，建立生物識別信息事前預防、事中監(jiān)督、事后救濟的協(xié)調(diào)保護體系。關(guān)鍵詞：個人生物識別；法律屬性；新興權(quán)利；財產(chǎn)利益；

因互聯(lián)網(wǎng)的普及、發(fā)展與大數(shù)據(jù)的廣泛應(yīng)用，社交、商業(yè)、娛樂等逐漸向數(shù)據(jù)化模式發(fā)展，聲紋控制、指紋解鎖、人臉識別等一系列的生物識別應(yīng)用接踵而來。根據(jù)學者的相關(guān)預測2021年我國生物識別市的應(yīng)用和市場規(guī)模將會達到新的高度，其商業(yè)價值有可能突破340億人民幣[[]王丹娜.生物識別:傳統(tǒng)信息安全在新技術(shù)環(huán)境的創(chuàng)新應(yīng)用[J].中國信息安全，2019:60-64.]，生物識別的發(fā)展速度令人贊嘆，但其風險也令人心悸。黑客協(xié)會"混沌計算機俱樂部"聲稱，有可能從相機拍攝的照片中提取指紋；日本也有相關(guān)機構(gòu)表示，照片在明亮的光線下，可以清晰地提取指紋數(shù)據(jù)。個人生物識別信息因其特殊技術(shù)和處理方式，故具有精準識別性和特殊性，與普通個人信息不同，其具有強烈的人身屬性與商業(yè)價值，一旦遭受泄露或侵犯，會使信息主體的人格尊嚴與自由，甚至是財產(chǎn)安全經(jīng)受非同一般的破壞，并會給信息主體帶來永久性的損害，如2019年8月，橫空出世的AI換臉軟件“ZAO”疑似私自使用并存儲用戶臉部識別信息，在其用戶協(xié)議中規(guī)定，公司及其關(guān)聯(lián)公司有權(quán)進行用戶前后上傳的信息內(nèi)容進行傳播，并且享有有關(guān)的著作財產(chǎn)權(quán)權(quán)及領(lǐng)接權(quán)，嚴重侵害了信息用戶的臉部信息安全問題，并且規(guī)定用戶不能自行刪除已上傳的照片，只能使用新的臉部照片進行取代，違反了信息主體享有的同意撤回權(quán)；北京青年報曾發(fā)表報道稱“商場”有人售賣17萬條人臉信息，大多涉及具體人臉特征，甚至包括人臉的106處關(guān)鍵點。當手機應(yīng)用、智能家居、互聯(lián)網(wǎng)大力推廣生物識別時，小區(qū)人臉門禁、人臉支付、聲控門等無處不在時，人們只能不斷提交自己的生物信息，以便融入數(shù)據(jù)時代，謀求生活的便利，從現(xiàn)實生活來看，生物識別信息在保護規(guī)制不完善的情況下，其被泄露和被濫用的風險大幅度增加。生物識別信息在傳統(tǒng)背景下，需要與自然人主體結(jié)合才能進行識別認證，但隨著人類社會科技的進步和對數(shù)據(jù)的應(yīng)用，數(shù)據(jù)技術(shù)成功將生物識別信息獨立于人體成為一種新型的數(shù)據(jù)化信息，這種能夠不依賴信息主體就能進行識別認證的技術(shù)對傳統(tǒng)的法律制建構(gòu)提出了巨大的挑戰(zhàn)，帶來了法律適用問題和現(xiàn)實社會問題。同時，3D技術(shù)的發(fā)展以及系統(tǒng)合成的進步，導致人臉模仿、聲音模仿、生物技術(shù)等偽造技術(shù)快速發(fā)展，對個人生物識別信息主體的身份認證問題產(chǎn)生巨大破壞，也影響了商業(yè)和國家信息安全。如2021年3·15消費者權(quán)益保護晚會爆出知名品牌科勒衛(wèi)浴、汽車4S店等通過攝像監(jiān)控錄取消費者人臉信息，并且沒有一家店取得信息主體的明確授權(quán)同意，未經(jīng)當事人同意，盜取其人臉信息并通過后臺進行精準分析與信息處理，并且記者通過詢問調(diào)查上述店鋪所采用的的攝像商家，蘇州萬店掌網(wǎng)絡(luò)科技有限公司工作人員透露其公司數(shù)據(jù)庫存儲的人臉識別信息已達上億，悠絡(luò)客電子科技股份有限公司工作人員表示上述的攝像頭已經(jīng)安裝了幾百萬個，以上可知，僅僅只是一家公司的數(shù)據(jù)庫就存儲了上億的人臉識別信息，安裝的隱形攝像頭高達上百萬個，信息主體的信息安全在這樣的環(huán)境下如何得到有效保障？在信息處理技術(shù)和分析技術(shù)的發(fā)展下，生物識別信息可能在信息主體并未知情同意的情況下被竊取，導致信息主體無法主張和保護自己的合法權(quán)益，陷入了“分離性侵權(quán)”的困境。但是我國尚未構(gòu)建較為完整的個人生物識別信息采集、利用、保護的規(guī)范化、系統(tǒng)化體系，沒有形成多方聯(lián)合保護的格局，以至于個人生物識別信息的條文分布在不同的法律規(guī)范之中，內(nèi)容沒有雜亂分散且沒有直接聯(lián)系[]王丹娜.生物識別:傳統(tǒng)信息安全在新技術(shù)環(huán)境的創(chuàng)新應(yīng)用[J].中國信息安全，2019:60-64.一、個人生物識別信息的界定個人生物識別信息在不同的法律規(guī)范中的定位也大不相同，例如個人生物識別信息在《民法典》和《個人信息保護法》中的定位大不相同，其在前者被認定為個人信息，在后者被認定為敏感信息，但敏感信息和個人信息在法律保護規(guī)則上也大不相同，且在以上的法律規(guī)范中只提到了“個人生物識別信息”這一法律名詞，并未對其作出法律概念的定義，以及尚未規(guī)定生物識別信息包括哪些類型，其認定標準是什么，如何與一般信息區(qū)分等問題。大眾對于“生物識別信息”這個充滿數(shù)據(jù)時代色彩的概念還只停留在個人認知的層面，為了加強人們對于個人生物識別信息的主觀認識以及明確法律適用問題，避免定位不清帶來的司法適用混亂，本人認為有必要通過法律層面來明確個人生物識別信息的權(quán)屬，并且做出易懂、清晰又明確的法律定義，能夠?qū)€人生物信息與一般個人信息進行定義和范圍的區(qū)分，明確法律適用選擇問題。建立對于個人生物識別信息的保護體系就要挖掘、剖析個人生物識別信息的本質(zhì)特征，厘清、分析個人生物識別信息的范疇。在我國的法律條文中僅出現(xiàn)了“個人生物識別信息”這一新鮮詞匯，但是并沒有一個統(tǒng)一明確的法律概念及定位，同時，法律對于其外延、保護對象、內(nèi)容等也存在規(guī)定不一等各種問題[[][]曾昌.分離困境與整合路徑：大數(shù)據(jù)時代下個人生物識別信息保護制度之完善[J].云南社會科學,2021:114-122+187.在理論界，有觀點認為人臉就是生物識別信息[[]郭春鎮(zhèn).數(shù)字人權(quán)時代人臉識別技術(shù)應(yīng)用的治理[J].現(xiàn)代法學,202042:19-36.][]郭春鎮(zhèn).數(shù)字人權(quán)時代人臉識別技術(shù)應(yīng)用的治理[J].現(xiàn)代法學,202042:19-36.以上，個人生物識別信息的本質(zhì)應(yīng)當把握以下三個方面：（1）個人生物特征的產(chǎn)物。生物識別信息與個人生物特征同根同源，是生物特征結(jié)合數(shù)據(jù)應(yīng)用的發(fā)展產(chǎn)物，是通過技術(shù)手段分析、反映、識別的自然人身份的信息。（2）信息技術(shù)分析處理的環(huán)節(jié)。技術(shù)處理大多是對個人生物特征進行3D掃描、匯測和模型建構(gòu)，再利用計算機編程進行整理，即個人生物特征的計算。信息技術(shù)處理是形成個人生物識別信息的必經(jīng)程序和必要手段，因此信息分析技術(shù)是個人生物識別信息和個人生物特征的橋梁，將不同端的兩者進行連接，從而能夠做到相互轉(zhuǎn)化，其承擔著生物特征向生物識別信息轉(zhuǎn)換的功能和責任。[[]付微明.個人生物識別信息民事權(quán)利訴訟救濟問題研志[J].法學雜志,[]付微明.個人生物識別信息民事權(quán)利訴訟救濟問題研志[J].法學雜志,2020:78-88.[]焦艷玲.個人生物識別信息的界定[J/OL].重慶大學學報(社會科學版),1-13.伴隨著技術(shù)的發(fā)展，個人生物識別信息應(yīng)當兼顧其開放性和涵攝性，因此對于其信息范疇列舉也要保持開放的列舉方式。我國對于個人生物識別信息仍采用列舉法，通過列出多種信息來反映個人生物識別信息的范圍和內(nèi)容，例如個人生物識別別信息在《網(wǎng)絡(luò)安全法》中規(guī)定為肖像、指紋等，在《個人信息安全規(guī)范》規(guī)定為面部特征、指紋、聲紋等，采用列舉法只能具有列舉作用，隨著生物識別技術(shù)的進一步深入，生物識別信息的范圍和種類也會越來越多，僅僅只是以列舉法進行羅列，將會對生物識別信息的種類加以限制。針對個人生物識別信息的范圍，本人認為應(yīng)當考慮時代的變遷和技術(shù)的進步發(fā)展，選擇采取更為寬松的形式，可以使用“列舉+概括”的立法模式，給予個人生物識別信息更多彈性空間，可以通過法律規(guī)定生物識別信息包括人臉、視網(wǎng)膜、指紋、手紋、聲紋等數(shù)據(jù)化信息，同時，在法律中給予生物識別信息范圍更多自由，在條文規(guī)定中使用“不限于”的詞匯表述能夠賦予生物識別信息發(fā)展和應(yīng)用的自由空間，其能夠擺脫列舉范圍的限制，可以伴隨著技術(shù)的發(fā)展而不斷延伸，不斷演變。選擇“列舉+概括”的立法模式，可以結(jié)合不同的立法模式保持生物識別信息在外延范圍上的自由度以及涵攝性。二、個人生物識別信息的法律屬性從我國目前的法律體系可知，我國對于個人生物識別信息的法律屬性并未有明確的規(guī)定，即使在《民法典》中，也只是將個人生物識別信息納入人格權(quán)編中，但是沒有對其權(quán)屬作出法律上的定義，簡單列為個人信息的范圍，并未單獨給予個人生物識別相關(guān)的概念、內(nèi)容及規(guī)定，第1034條第二款規(guī)定，個人信息中的私密信息規(guī)定適用隱私權(quán)規(guī)定，如果沒有規(guī)定，則適用于個人信息的保護，即隱私權(quán)規(guī)定也適用于符合私密要求的個人生物識別信息，以上證明了我國《民法典》選擇將個人生物信息定義為“法益”而非具體權(quán)利，同時選擇采用“法益”保護模式，有學者認為“法益”保護模式弱于具體的權(quán)利類型保護模式。[[]崔麗.個人生物識別信息的法律屬性與保護路徑——以《民法典》第1034條的解釋為出發(fā)點[J].學習與探索,2021:73-81[]崔麗.個人生物識別信息的法律屬性與保護路徑——以《民法典》第1034條的解釋為出發(fā)點[J].學習與探索,2021:73-81.[]王麗莎.信息權(quán)的獨立人格權(quán)地位及內(nèi)容[J].國家檢察官學院學報,2016,2416-27+172.（一）個人生物識別信息作為新型權(quán)利的理論證成社會物質(zhì)的變遷，會使人們對于物質(zhì)的渴望程度和權(quán)利的觀念產(chǎn)生變化，鑒于法律的滯后性，成文法在時代的變化發(fā)展下，會出現(xiàn)一定的缺漏和滯后，個人生物識別信息是信息時代的產(chǎn)物，其要作為一種新時代的權(quán)利類型，要從理論上的原則性規(guī)定以及是否符合正當性上出發(fā)。有學者指出新興權(quán)利并不都指向單獨的權(quán)利類型，也可能指向某一具體的法益內(nèi)容。[[8]孫山[8]孫山.從新興權(quán)利到新興法益——新興權(quán)利研究的理論原點變換[J].學習與探索,2019:80-88.個人生物識別信息是信息時代的產(chǎn)物，其與傳統(tǒng)模式下衍生的權(quán)利大不相同，個人生物識別信息較傳統(tǒng)權(quán)利，其是同時兼具人身屬性、財產(chǎn)屬性、商業(yè)價值和社會公共利益的綜合性權(quán)利，具備以下三個方面的屬性。基本人權(quán)屬性。個人生物識別信息與個人生物特征同根同源，同時，隨著現(xiàn)代信息技術(shù)的發(fā)展，人的生活已經(jīng)由傳統(tǒng)的物質(zhì)社會轉(zhuǎn)變成了信息社會，人們對于信息的應(yīng)用范圍之廣，程度之深，使人們逐漸向互聯(lián)網(wǎng)模式下的“信息人”轉(zhuǎn)變，并且脫離傳統(tǒng)模式下的純粹自然人，因此自然人便同時具有了“生物-信息”的雙重面向。[[9][9]馬長山.智慧社會背景下的“第四代人權(quán)”及其保障[J].中國法學2019:5-24.一般人格權(quán)屬性。個人生物識別信息被納入人權(quán)權(quán)編中，又與個人生物特征掛鉤，其與自然人的人格安全息息相關(guān)。而且《民法典》人格權(quán)編第六章中規(guī)定，信息主體享有信息自主決定權(quán)，自主決定權(quán)決定了然人能夠自主決定信息的各項情形，意味著信息自主權(quán)代表了信息主體的人格尊嚴與自由。財產(chǎn)權(quán)權(quán)屬性。隨著個人生物識別信息在商業(yè)領(lǐng)域不同程度范圍的應(yīng)用，其與財產(chǎn)利益息息相關(guān)，同時，雖然目前《民法典》中未對個人信息的財產(chǎn)屬性進行明確說明，但是根據(jù)《個人信息保護法》中關(guān)于信息處理和損害賠償規(guī)定來看，立法者已經(jīng)考慮了交易個人信息并且換取經(jīng)濟利益的行為，致使個人生物識別信息不僅具有人格屬性，而且同時具備了財產(chǎn)的法律屬性。個人生物識別信息隨著時代和技術(shù)的的進步發(fā)展，其在社會生活中的應(yīng)用會越來越廣，其適用條件也會隨著應(yīng)用程度而改變，那么個人生物識別信息的內(nèi)容也會隨著技術(shù)的進步和應(yīng)用范圍的擴大而增加，從權(quán)利的綜合屬性上來看，個人生物識別信息其承載的人格利益遠遠大于一般的個人信息，個人生物識別信息與生物特征的同步性和一致性，決定了其與信息主體的聯(lián)系更為密切，同時，不同的法律規(guī)范將其認定為敏感信息，也就證明了個人生物識別信息泄露的風險和帶來的后果更為嚴重，其應(yīng)當受到特別保護。某種權(quán)益能否上升為具體的權(quán)利類型，需要從以下兩個因素出發(fā):一是其該項權(quán)益所保護的利益對象是否獨立；二是其所保護的利益對象與其他權(quán)利所保護的利益對象是否有明確的區(qū)分和界限[[]曹博.論個人信息保護中責任規(guī)則與財產(chǎn)規(guī)則的競爭及協(xié)調(diào)[J].環(huán)球法律評論,2018,40:86-102.]。根據(jù)法律規(guī)定，個人信息包括個人生物識別信息在內(nèi)，其中的私密信息適用隱私權(quán)規(guī)定。個人生物識別信息與隱私權(quán)所保護的利益對象在范圍上雖有重合，但也有差別。第一、隱私權(quán)的保護利對象是權(quán)利人的隱私不受侵犯，權(quán)利目的是為了保障個人私密信息不受侵犯和生活的安寧，使自然人的隱私不會受到任何人的刺探、騷擾、泄露、公開等，而生物識別信息不僅要保護個人生物識別信息不被盜用、泄露，還要保護信息收集的合法性、正當性等，目的是保障個人對于生物識別信息的支配與自決，使個人[]曹博.論個人信息保護中責任規(guī)則與財產(chǎn)規(guī)則的競爭及協(xié)調(diào)[J].環(huán)球法律評論,2018,40:86-102.（二）個人生物識別信息作為新興權(quán)利的實踐論成。判斷某種權(quán)益作為利益保護還是單獨列為獨立的權(quán)利進行保護，需要結(jié)合具體的實踐來討論，結(jié)合其在實踐中的保護程度、范圍以及損害后果，來論證其是否有必要列為一種獨立的新興權(quán)利。以個人生物識別信息取代常用的密碼、驗證碼，提高了識別的效率和工作效率，但是當個人生物識別信息大量存儲，與云端數(shù)據(jù)進行對比時，將面臨著比普通數(shù)據(jù)更危險的泄露風險，因個人生物識別信息與個人的生物特征、行為方式等一致，具有同步性、不可逆轉(zhuǎn)性及長久性，一旦泄露，對于個人的人身、財產(chǎn)損害是終身的風險與挑戰(zhàn)，例如2018年的印度Aadlhaar數(shù)據(jù)泄露，相關(guān)人員表示十多億的人所遭受的損失是至少二十年內(nèi)無法妥善修復的，該損失不單單只是經(jīng)濟上的損失，更多的是數(shù)據(jù)被非法流通后帶來的風險與挑戰(zhàn)；攝影師史蒂夫·麥凱瑞設(shè)法從1985年拍攝的一張照片中提取虹膜信息以便找到當年幫助他登上《國家地理》雜志封面的年輕阿富汗女孩，最終成功提取并找到了這個女孩。個人生物識別信息對于信息主體來說，是一種終身的、可追蹤的個人信息。因此，對個人生物識別數(shù)據(jù)的應(yīng)用和使用的保護應(yīng)該采取比法益更嚴格的法律保護模式。同時，近年來，人們對于個人生物識別信息中的基因信息的關(guān)注度逐漸上升，基因信息所承載的人格利益無法用單純的信息利益來進行保護，基因信息是人類延續(xù)和發(fā)展傳承重要基礎(chǔ)，在研究學上可以將基因信息分為兩類，即遺傳性基因信息和物質(zhì)性基因信息，遺傳信息的遺傳和物質(zhì)方面是有聯(lián)系的，與個體基因的人格權(quán)息息相關(guān)；遺傳信息是人類文明延續(xù)的重要因素，其遺傳特性決定了人類的未來和進化，對人類的生命權(quán)和個人利益有著根本性的影響，代表了人類基因組的共同利益。[[]石佳友，思齊.[]石佳友，思齊.人臉識別技術(shù)中的個人信息保護——兼論動態(tài)同意模式的建構(gòu)[J].財經(jīng)法學,2021(02):60-78.廣東省深圳市中級人民法院民事判決書（2019）粵03民終22765號。該案基本案情是：2018年10月26日，記者金微撰寫《華大基因被罰！14萬孕婦基因已流到國外，細思極恐》，該文對華大基因聯(lián)合國外機構(gòu)研究中國人基因提出質(zhì)疑，華大基因于當日發(fā)表聲明稱，金微張冠李戴，刻意關(guān)聯(lián)，制造恐慌，并在深圳鹽田法院起訴金微。如前文所述，個人生物識別信息被《民法典》規(guī)定為個人信息，同時生物識別信息中的私密信息可以適用隱私權(quán)的規(guī)定，但是在法律規(guī)定中卻遺漏來一個主觀認知問題，也就是什么信息可以認定為私密信息，或者說判斷私密信息的標準是什么，哪些屬于私信信息？這對于保護個人生物信息而言至關(guān)重要，如果按照隱私權(quán)的規(guī)定來進行，個人生物識別信息代表了信息主體在數(shù)據(jù)化上的人格利益，應(yīng)當從當事人主體的角度出發(fā)，保護當事人的人格尊嚴和人格利益，如果按照個人一般信息的保護力度更多的保護商業(yè)秩序和公共管理價值。在沒有明確標準的情況下，判斷隱私大多是從“隱私生活的安寧”和“不為人知的私密空間、活動、信息”出發(fā)，即需要判斷個人生物識別信息是否屬于以上兩種，而對于以上兩種標準，會存在主觀性，導致個體差異，實務(wù)中可能產(chǎn)生糾紛，例如對于人臉、聲音等這些容易采集處理形成的個人生物識別信息，是否屬于私密信息？如果沒有一個客觀且直接的方法進行判斷，會導致在實務(wù)中產(chǎn)生新的糾紛。因此個人生物識別信息可能屬于私密信息，也可能屬于一般信息，則需要進行單獨的明文規(guī)定，需要結(jié)合其特性，將個人生物識別信息作為一種新興權(quán)利來對待，結(jié)合隱私權(quán)和一般信息保護，完善其法律屬性定位。三、個人生物識別信息保護路徑個人生物識別信息究竟是不是一種權(quán)利，其屬性、利益性質(zhì)，理論界一直存在著爭議，但是對于個人生物識別信息可以比較明確的認定為一種新興權(quán)利。根據(jù)個人生識別信息的共性、復雜性、綜合屬性，結(jié)合個人生物識別信息在商業(yè)領(lǐng)域和社會公共領(lǐng)域的應(yīng)用、發(fā)展，我認為，應(yīng)該制定標準，根據(jù)個人生物識別信息的具體特點，將生物識別信息與一般個人數(shù)據(jù)區(qū)分開，同時針對個人生物識別信息的泄露風險和危害程度，要建立起特殊保護機制，構(gòu)建生物識別信息事前預防、事中監(jiān)督、事后救濟的全方位、多格局的協(xié)調(diào)保護體系，實現(xiàn)公法和私法共同保護的法制體系。（一）建立事前預防機制，加強事前保護在《個人信息保護法》中有關(guān)于個人信息處理者的義務(wù)問題的相關(guān)規(guī)定，例如第五十五《個人信息保護法》第五十五條有下列情形之一的，個人信息處理者應(yīng)當事前進行個人信息保護影響評估，并對處理情況進行記錄：（一）處理敏感個人信息；（二）利用個人信息進行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權(quán)益有重大影響的個人信息處理活動。、五十六條《個人信息保護法》第五十六條個人信息保護影響評估應(yīng)當包括下列內(nèi)容：（一）個人信息的處理目的、處理方式等是否合法、正當、必要；（二）對個人權(quán)益的影響及安全風險；（三）所采取的保護措施是否合法、有效并與風險程度相適應(yīng)。（四）個人信息保護影響評估報告和處理情況記錄應(yīng)當至少保存三年。規(guī)定了個人信息影響保護評估的內(nèi)容、主體等，但是并沒有明確表明需要遵守的標準、參考值以及具體的考核方式，缺少更為精細、更具有可行性的規(guī)定。因此目前《個人信息保護法》中所規(guī)定的個人信息影響保護評估缺乏具體的內(nèi)容以及標準，仍需要針對這一方面作出補充和調(diào)整?！秱€人信息保護法》第五十五條有下列情形之一的，個人信息處理者應(yīng)當事前進行個人信息保護影響評估，并對處理情況進行記錄：（一）處理敏感個人信息；（二）利用個人信息進行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權(quán)益有重大影響的個人信息處理活動?！秱€人信息保護法》第五十六條個人信息保護影響評估應(yīng)當包括下列內(nèi)容：（一）個人信息的處理目的、處理方式等是否合法、正當、必要；（二）對個人權(quán)益的影響及安全風險；（三）所采取的保護措施是否合法、有效并與風險程度相適應(yīng)。（四）個人信息保護影響評估報告和處理情況記錄應(yīng)當至少保存三年。1.設(shè)置事前信息影響保護評估，保障信息存儲安全由于個人生物識別信息的收集和識別對比，必然要使用大量的用戶信息，那么信息的存儲安全技術(shù)將會是個人信息影響保護評估的核心評估內(nèi)容，必須要納入事前個信息影響保護評估的重點，應(yīng)從以下三個方面來進行考核：首先，信息存儲的時效和區(qū)分。個人生物識別信息與信息主體準確綁定，能夠在技術(shù)對比與分析下快速從數(shù)據(jù)庫中識別出信息主體的身份，因此針對個人生物識別信息的存儲時限問題應(yīng)當參考其收集信息的目的，以信息收集目的來決定信息存儲的時限。在《個人信息保護法》第十九條中規(guī)定了關(guān)于個人信息的存儲時限問題，但是也給予了信息處理者在信息存儲時限上的自由，十九條中所規(guī)定的“實現(xiàn)處理目的”和“最短時間”兩個用語需要通過主觀認定來做出結(jié)論，導致其概念和標準不一，致使信息處理者可以自主決定信息目的、程序進展快慢等方面，從而推遲了信息處理目的實現(xiàn)的最短時間，尤其是在長期的信息反復使用中，例如人們在小區(qū)中所錄入的人臉識別信息，人們在進出小區(qū)時需要長期并且反復的使用該人臉識別信息，則小區(qū)人臉識別識別系統(tǒng)需要長期甚至永久持有小區(qū)業(yè)主的人臉識別信息，那么“實現(xiàn)處理目的”和“最短時間”無法進行界定，因此在對于個人生物識別信息的存儲期限上，應(yīng)當統(tǒng)一規(guī)定一個最長時限，通過最長時限來限制信息處理者長期保存信息主體的生物識別信息，降低信息泄露的風險。同時在人臉識別技術(shù)領(lǐng)域，有學者認為人臉識別技術(shù)實踐中應(yīng)始終踐行去標簽化原則，應(yīng)當禁止信息采集者保存信息主體的原始人臉信息，或者將人臉信息與其他信息分開存儲，以便特殊保護。[[]陳道英.《<個人信息保護法（草案）之“得”與“失”》.微信公眾號“大數(shù)據(jù)和人工智能法律研究院”，2020年11月5日.]其次，個生物識別信息在事前采集時應(yīng)當采取去標簽化，使信息與信息主體分離，再使用脫敏化處理，通過信息程序?qū)ι镒R別信息進行隨機屏蔽、更替[]陳道英.《<個人信息保護法（草案）之“得”與“失”》.微信公眾號“大數(shù)據(jù)和人工智能法律研究院”，2020年11月5日.2.設(shè)定動態(tài)同意模式，保障信息主體的知情權(quán)隨著時代技術(shù)的發(fā)展，普通大眾無法認識和理解技術(shù)的進步，導致其對技術(shù)發(fā)展和風險的認識存在一定的誤區(qū)，從而可能做出違背自己真實意愿的的意思表示，例如該機構(gòu)是否得到法律授權(quán)，授權(quán)期限多長，收集的目的是什么，信息主體都無法給出正確的判斷，導致知情同意原則遭受來巨大的挑戰(zhàn)，面對這一挑戰(zhàn)，學者們進行來溝通、反思，以傳統(tǒng)的概括同意為模板，結(jié)合特定例外的知情同意模式，總結(jié)出了新的動態(tài)同意模式，信息主體允許采用其易懂、偏好的采集方式以及告知內(nèi)容的形式和方法，并通過自己自由選擇的方式來告知自己的真實意思表示，做出是否同意授權(quán)的行為，以及通過及時、迅速的知情告知的方式，提高信息主體在信息處理程序中的參與感，使其由傳統(tǒng)模式下的被動地位轉(zhuǎn)化主動地位，由此可以得出：動態(tài)同意模式既可以保障信息主體的知情權(quán)，又能滿足信息主體在信息處理程序中的參與感，該同意模式對于構(gòu)建我國知情同意模式有很重要的參考價值。動態(tài)同意模式需要保障信息主體與信息收集者、控制者之間能夠及時協(xié)調(diào)溝通，搭建一個友好溝通的橋梁，能夠讓信息主體自由選擇何時告知、采用什么方式告知、告知的形式、內(nèi)容。當前采集個人生物識別信息的知情告知協(xié)議書一般是采取格式條款，雖然會采用一些標黑、加粗、或者使用特定符號提醒用戶注意相關(guān)閱讀信息，但是由于格式合同的條款冗長且有較多專業(yè)術(shù)語，大眾無法對這些條款形成正確的認識，并且還伴隨著“不同意隱私條款將無法使用”的二選一模式，因此信息主體在這樣的環(huán)境下無法充分知情。采用動態(tài)同意模式，可以將傳統(tǒng)的個人信息的權(quán)利保護的客體轉(zhuǎn)移到信息主體保護上，能夠充分尊重和保障信息主體的參與感。動態(tài)同意模式之下，能夠最大化滿足信息主體對于生物識別信息的知情權(quán)。根據(jù)動態(tài)同意模式構(gòu)架，其對信息披露程度和透明程度較傳統(tǒng)的知情同意模式要求更高，需要信息主體在不同的情景下做出真實同意的意思表示，那么在技術(shù)快速更迭的發(fā)展中，需要及時向個人傳達其信息的處理模式、處理的方法、如何進行安全保障等，從而能夠更好的幫助信息主體理解生物識別信息的操作過程，保障信息主體的知情權(quán)，進而做出個人判斷。動態(tài)同意模式下，能夠最大化滿足信息主體對于生物識別信息的同意撤回權(quán)。《個人信息保護法》第十五條《個人信息保護法》第十五條：基于個人同意處理個人信息的，個人有權(quán)撤回其同意。規(guī)定了基于信息主體同意所處理的信息，信息主體針對這部分信息享有同意撤回權(quán)，但是在當下的概括同意模式下，信息處理者在信息的采集、使用、傳播等方面享有一定自由，能夠在合理的范圍內(nèi)處理信息，大眾無法了解到自己信息的處理模式，但是在動態(tài)同意模式下，信息主體的知情權(quán)得到有效保障，信息主體能夠及時地、動態(tài)地從技術(shù)平臺的披露信息中了解到信息的處理細節(jié)，則信息主體就有機會選擇讓自己的信息何時消除，讓自己能夠短暫的脫離信息數(shù)據(jù)時代。以手機銀行APP登錄為例，手機銀行APP享有指紋登錄的快捷登錄方式，用戶在使用時可以選擇通過錄入指紋信息來進行登錄，那么當信息主體使用完APP后，人們的合理期待發(fā)生來轉(zhuǎn)化，此時作為信息主體可以了解指紋信息處理的過程，可以自由選擇是否需要撤回信息同意?！秱€人信息保護法》第十五條：基于個人同意處理個人信息的，個人有權(quán)撤回其同意。動態(tài)同意模式雖也有其相應(yīng)的局限性，例如人們反復的撤回或者同意，會造成信息處理的不便，但是動態(tài)同意模式相較于傳統(tǒng)的知情同意模式而言，更能夠保障信息主體的信息安全，同時我們也需要結(jié)合實踐，學習其他的同意模式，通過模式結(jié)合，構(gòu)建信息時代下的知情同意模式。（二）建立事中監(jiān)督機制，確保信息處理合法合規(guī)在信息共享傳輸?shù)倪^程中，會有多方主體的參與，就很可能導致信息的泄露和倒賣，例如某網(wǎng)絡(luò)商城就有人倒賣數(shù)千張戴口罩和不戴口罩的人臉照片，但是卻始終無法找到源頭，《2019全國網(wǎng)民網(wǎng)絡(luò)安全感滿意度調(diào)查統(tǒng)計報告》顯示，百分之三十以上的民眾在使用互聯(lián)網(wǎng)時，有遇到過大量個人信息在網(wǎng)絡(luò)上流傳；超過半數(shù)的民眾表示曾遇到個人信息被侵犯。因此需要借助國家的強制力，通過設(shè)立評估機構(gòu)，采取對應(yīng)的評估技術(shù)對程序、技術(shù)進行專門的定期回訪、實時追蹤與三方監(jiān)督[[]邢會強.《人臉識別的法律規(guī)制》.《比較法研究》,2020年第五期.]，實現(xiàn)動態(tài)監(jiān)督。同時，不僅需要國家監(jiān)督，也需要建立行業(yè)自律機制，行業(yè)自治組織需要結(jié)合法律規(guī)范構(gòu)建行業(yè)自治條例，利用其專業(yè)知識，綜合自身情況，以行業(yè)自治條例規(guī)范程序設(shè)計、應(yīng)用開發(fā)、信息傳播，爭取實現(xiàn)法律規(guī)范和技術(shù)專業(yè)性的良性互動。[[]石佳友.劉思齊：人臉識別技術(shù)中的個人信息保護——兼論動態(tài)同意模式的建構(gòu)[J][]邢會強.《人臉識別的法律規(guī)制》.《比較法研究》,2020年第五期.[]石佳友.劉思齊：人臉識別技術(shù)中的個人信息保護——兼論動態(tài)同意模式的建構(gòu)[J].財經(jīng)法學,2021:60-78.（三）完善事后救濟機制，保障信息利益安全大數(shù)據(jù)時代，個人信息的應(yīng)用和傳播速度、深度遠超以往，個人信息的泄露和被盜用的風險的可能性、危險性和損害性大幅度加重。在個人生物識別信息和發(fā)展中，針對個人生物識別信息風險泄露問題，法律也應(yīng)當建立事后救濟機制，將個人生物識別信息的泄露風險降到最低，同時秉持發(fā)展和安全，自由和保護的利益平衡原則，協(xié)調(diào)各方主體關(guān)系，保障信息主體的利益安全。根據(jù)我國目前的法律體系，個人生物識別信息主要是受到《民法典》以及《個人信息保護法》的保護。個人生物識別信息被應(yīng)用正在社會生活各方面，其財產(chǎn)價值也在逐漸被挖掘，一旦被非法侵害，將會造成難以估計的財產(chǎn)損害。因此，在發(fā)生個人生物識別信息的侵害行為時，大多是違反知情同意程序、非法泄露、非法傳播等侵害形式，其對信息主體所帶來的財產(chǎn)損害難以估計和預測，僅能通過行為人的非法收益來進行認定，并且傳統(tǒng)的人格權(quán)中財產(chǎn)利益難以得到保護，因此使得信息主體很難主張其所遭受的侵害。[[]吳小帥.大數(shù)據(jù)背景下個人生物識別信息安全的法律規(guī)制[J],法學論壇.2021,36:152-160.