本刊记者 焦艳 整理

　　随着大数据时代到来，当人们享受技术带来便捷的同时，以“人脸识别”“指纹验证”“声音解锁”“虹膜识别”等为代表的生物识别技术，对公民个人信息安全带来挑战。我国民法典第一千零三十四条规定,将个人生物识别信息包含在个人信息中，受到民法保护。我国学者也从不同角度对个人生物识别信息法律保护进行了有益的探索。

　　大数据背景下个人生物识别信息面临的风险与挑战

　　清华大学法学院教授程啸在《人民论坛》2020年第24期《为个人生物识别信息打造法律保护盾》一文中认为，虽然个人生物识别信息属于个人信息，但其又具有不同于其他个人信息的特殊之处，这就决定了法律应当更加严格地保护个人生物识别信息。学者认为，个人生物识别信息一旦被非法收集、泄露或者被非法买卖之后，不仅对于自然人的人身、财产安全会产生很大的威胁或不可预测的损害，而且自然人也无法像修改手机号码、邮箱或银行账号等那样来预防后续损害的发生。因此，个人生物识别信息的泄露和非法买卖所产生的危险是持续、长久、难以消除的。不仅如此，个人的生物识别信息还涉及国家安全。故此，个人生物识别信息即便是被合法收集的，有关组织或个人也要提高警惕，以防止被泄露或被非法处理。

　　胡鹏鹏在《信息安全研究》2020年第6期《大数据背景下个人生物识别信息的立法保护》一文中认为，大数据在提高经济效益与社会效益的同时，对于个人生物识别信息的保护带来了新的挑战与要求。主要体现在：生物信息存储中的安全问题、生物信息识别技术自身的缺陷问题以及网络服务提供者不正当收集和使用生物信息。

　　对个人生物识别信息采集的主体建立准入机制

　　汤鹏飞在《中国律师》2021年第2期《个人生物识别信息法律保护问题探究》一文中认为，由于生物识别信息的特殊属性，其对采集主体的安全管理和技术能力均有非常高的要求。因此立法机关可以仿照第三方电子支付牌照的发放模式，针对生物识别信息在某些领域的应用主体，建立恰当的生物识别信息采集权准入机制。由专业权威部门进行评价，对于符合国家生物识别信息采集安全管理规范和具备相关技术能力的主体，授予其合法采集资格，未获得采集资格的主体不得私自采集。

　　个人生物识别信息商业利用的保护路径

　　当前，个人数据是大数据时代条件下数据的主要来源之一，如何在数据充分赋能和个人信息保护间实现平衡?我国民法典第一千零三十五条规定了个人信息处理的原则和条件：“处理个人信息的,应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开处理信息的规则;(三)明示处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。”

　　武汉大学法学院教授冉克平在《社会科学辑刊》2020年第6期《论个人生物识别信息及其法律保护》一文中认为，个人生物识别信息的采集人与使用人应当遵循法律对信息控制者施加的法律义务，在技术标准、制度规范、法律约束等各个方面适用更加严格的条件和程序。学者建议，从个人生物识别信息原则上不应与第三人共享或者转让给第三人;其传输存储更为严格;生物识别信息与基因信息属于绝对不公开范畴;在生物识别信息的隐私政策制定、访问控制措施、应急处置和报告等事项的安排与设置上，均需适用个人敏感信息的特殊保护要求。同时为了保护消费者的生物识别信息，应当赋予可以随时行使更正、删除和注销的权利，并且无需任何前置条件即可当场实现并即时生效，以保障个人生物识别信息安全。

　　完善刑法中侵犯个人生物识别信息犯罪的入罪条件

　　山东建筑大学法学院副教授吴小帅在《法学论坛》2021年第2期《大数据背景下个人生物识别信息安全的法律规制》一文中认为，刑事法律保护机制是个人生物识别信息权利保护的最后防线，刑法保护也应当坚持自由与安全的价值衡平。学者认为，行政法与刑法内容的衔接和协调是确定罪名的关键。个人生物识别信息安全相关罪名分散规定在刑法分则各个章节中，刑法中非法侵入和破坏计算机系统罪、拒不履行信息安全管理义务罪、侵犯公民个人信息罪是最主要罪名。虽然没有明示个人生物识别信息的内容，但作为个人信息的组成部分，仍可以直接使用。学者认为，这些罪名大部分都以空白罪状的方式表示，各种行政法规和行业性规范等作为前置性规范成为了入罪的前提判断，即行政违法性是刑事违法性的前提。因此，个人生物识别信息的罪名入罪的关键不在于法益类型的判断而是行政犯罪性质的确认。如刑法修正案(九)将侵犯公民个人信息罪的前置条件“违反国家规定”修改为“违反国家有关规定”,扩大了该罪的入罪边界，在社会风险增加的当下，不宜过分强调入罪功能，而应当在个人信息的共享和保护之间寻求平衡。由于“国家有关规定”这一前置性规定中的行政法规范各有立法保护侧重，因此刑法中应当考虑立法保护目的，进行罪责刑相适应的判断。

　　个人生物识别信息保护立法的核心内容

　　随着个人生物识别信息法律属性的逐渐明确和各国相关立法与司法实践的不断深化，对个人生物识别信息的法律保护既需公法保护，也需私法保护的立法意识会逐渐增强。构建行政、民事、刑事相结合的法律保护机制，将成为个人生物识别信息法律保护的基本路径和发展方向。

　　华东政法大学政治学与公共管理学院特聘副研究员杨铜铜在《北京理工大学学报》2012年第2期《论个人生物识别信息保护的立法途径》一文中认为，在生物识别技术的安全性尚未得到有效证实，生物识别技术使用标准尚未形成共识的情况下，对个人生物信息予以充分保护是立法应当明确的核心法益。学者从界定个人生物识别信息的法律概念、类别、属性条款;确立个人生物识别信息保护的特殊法律原则;明确个人生物识别信息主体的权利条款;细化个人生物识别信息处理者的行为规范;设置个人生物识别信息的多元化保护机制等五方面提出立法内容。在多元化保护机制层面，为实现保护的充分性，作者认为应当从行政、民事和刑事三个方面共同构建个人生物识别信息保护机制。作者认为行政保护机制具有事前预防、高效便捷优势，应当设置独立的监管机构。在民事保护机制方面，核心在于建立个人生物识别信息的损害赔偿救济机制。刑事保护机制是个人生物识别信息保护的最后防线，作者认为基于罪刑法定与法律保留原则，刑事处罚只能由刑法进行规定，因而在严重侵害公民个人生物识别信息的问题上，可以采用“指引条款”的立法技术，规定“侵犯公民个人生物识别信息情节严重，构成犯罪的，依据刑法第二百五十三条之一侵犯公民个人信息罪追究刑事责任”。