个人生物识别信息的法律属性与保护路径

目录26186题目 III个人生物识别信息的法律属性和保护路径摘要个人生物识别信息与自然人的身体特征、生理部位、行为方式等方面直接关联，利用以上方面进行技术识别，进而直接精准识别出自然人身份，使得人身属性与财产属性、社会公共利益属性相互交融，基于此种情形，国家应当给予重点保护。尽管《个人信息保护法》和《民法典》第1034条对生物识别信息的内容进行了规定，但生物识别技术仍然面临着理论和实践问题。理论上的困境主要在于个人生物识别信息的法律概念的模糊性，其法律性质的不一致性，其延伸的模糊性和知情权的障碍；实践上的困境在于没有系统的保护制度。个人生物特征通过特定技术处理形成数据化信息，承载着人格尊严和隐私利益等重要价值，应当明确其新兴权利的属性。同时协调信息主体、信息收集者、信息控制者以及监督者的关系，建立生物识别信息事前预防、事中监督、事后救济的协调保护体系。关键词：个人生物识别；法律属性；新兴权利；财产利益；

因互联网的普及、发展与大数据的广泛应用，社交、商业、娱乐等逐渐向数据化模式发展，声纹控制、指纹解锁、人脸识别等一系列的生物识别应用接踵而来。根据学者的相关预测2021年我国生物识别市的应用和市场规模将会达到新的高度，其商业价值有可能突破340亿人民币[[]王丹娜.生物识别:传统信息安全在新技术环境的创新应用[J].中国信息安全，2019:60-64.]，生物识别的发展速度令人赞叹，但其风险也令人心悸。黑客协会"混沌计算机俱乐部"声称，有可能从相机拍摄的照片中提取指纹；日本也有相关机构表示，照片在明亮的光线下，可以清晰地提取指纹数据。个人生物识别信息因其特殊技术和处理方式，故具有精准识别性和特殊性，与普通个人信息不同，其具有强烈的人身属性与商业价值，一旦遭受泄露或侵犯，会使信息主体的人格尊严与自由，甚至是财产安全经受非同一般的破坏，并会给信息主体带来永久性的损害，如2019年8月，横空出世的AI换脸软件“ZAO”疑似私自使用并存储用户脸部识别信息，在其用户协议中规定，公司及其关联公司有权进行用户前后上传的信息内容进行传播，并且享有有关的著作财产权权及领接权，严重侵害了信息用户的脸部信息安全问题，并且规定用户不能自行删除已上传的照片，只能使用新的脸部照片进行取代，违反了信息主体享有的同意撤回权；北京青年报曾发表报道称“商场”有人售卖17万条人脸信息，大多涉及具体人脸特征，甚至包括人脸的106处关键点。当手机应用、智能家居、互联网大力推广生物识别时，小区人脸门禁、人脸支付、声控门等无处不在时，人们只能不断提交自己的生物信息，以便融入数据时代，谋求生活的便利，从现实生活来看，生物识别信息在保护规制不完善的情况下，其被泄露和被滥用的风险大幅度增加。生物识别信息在传统背景下，需要与自然人主体结合才能进行识别认证，但随着人类社会科技的进步和对数据的应用，数据技术成功将生物识别信息独立于人体成为一种新型的数据化信息，这种能够不依赖信息主体就能进行识别认证的技术对传统的法律制建构提出了巨大的挑战，带来了法律适用问题和现实社会问题。同时，3D技术的发展以及系统合成的进步，导致人脸模仿、声音模仿、生物技术等伪造技术快速发展，对个人生物识别信息主体的身份认证问题产生巨大破坏，也影响了商业和国家信息安全。如2021年3·15消费者权益保护晚会爆出知名品牌科勒卫浴、汽车4S店等通过摄像监控录取消费者人脸信息，并且没有一家店取得信息主体的明确授权同意，未经当事人同意，盗取其人脸信息并通过后台进行精准分析与信息处理，并且记者通过询问调查上述店铺所采用的的摄像商家，苏州万店掌网络科技有限公司工作人员透露其公司数据库存储的人脸识别信息已达上亿，悠络客电子科技股份有限公司工作人员表示上述的摄像头已经安装了几百万个，以上可知，仅仅只是一家公司的数据库就存储了上亿的人脸识别信息，安装的隐形摄像头高达上百万个，信息主体的信息安全在这样的环境下如何得到有效保障？在信息处理技术和分析技术的发展下，生物识别信息可能在信息主体并未知情同意的情况下被窃取，导致信息主体无法主张和保护自己的合法权益，陷入了“分离性侵权”的困境。但是我国尚未构建较为完整的个人生物识别信息采集、利用、保护的规范化、系统化体系，没有形成多方联合保护的格局，以至于个人生物识别信息的条文分布在不同的法律规范之中，内容没有杂乱分散且没有直接联系[]王丹娜.生物识别:传统信息安全在新技术环境的创新应用[J].中国信息安全，2019:60-64.一、个人生物识别信息的界定个人生物识别信息在不同的法律规范中的定位也大不相同，例如个人生物识别信息在《民法典》和《个人信息保护法》中的定位大不相同，其在前者被认定为个人信息，在后者被认定为敏感信息，但敏感信息和个人信息在法律保护规则上也大不相同，且在以上的法律规范中只提到了“个人生物识别信息”这一法律名词，并未对其作出法律概念的定义，以及尚未规定生物识别信息包括哪些类型，其认定标准是什么，如何与一般信息区分等问题。大众对于“生物识别信息”这个充满数据时代色彩的概念还只停留在个人认知的层面，为了加强人们对于个人生物识别信息的主观认识以及明确法律适用问题，避免定位不清带来的司法适用混乱，本人认为有必要通过法律层面来明确个人生物识别信息的权属，并且做出易懂、清晰又明确的法律定义，能够将个人生物信息与一般个人信息进行定义和范围的区分，明确法律适用选择问题。建立对于个人生物识别信息的保护体系就要挖掘、剖析个人生物识别信息的本质特征，厘清、分析个人生物识别信息的范畴。在我国的法律条文中仅出现了“个人生物识别信息”这一新鲜词汇，但是并没有一个统一明确的法律概念及定位，同时，法律对于其外延、保护对象、内容等也存在规定不一等各种问题[[][]曾昌.分离困境与整合路径：大数据时代下个人生物识别信息保护制度之完善[J].云南社会科学,2021:114-122+187.在理论界，有观点认为人脸就是生物识别信息[[]郭春镇.数字人权时代人脸识别技术应用的治理[J].现代法学,202042:19-36.][]郭春镇.数字人权时代人脸识别技术应用的治理[J].现代法学,202042:19-36.以上，个人生物识别信息的本质应当把握以下三个方面：（1）个人生物特征的产物。生物识别信息与个人生物特征同根同源，是生物特征结合数据应用的发展产物，是通过技术手段分析、反映、识别的自然人身份的信息。（2）信息技术分析处理的环节。技术处理大多是对个人生物特征进行3D扫描、汇测和模型建构，再利用计算机编程进行整理，即个人生物特征的计算。信息技术处理是形成个人生物识别信息的必经程序和必要手段，因此信息分析技术是个人生物识别信息和个人生物特征的桥梁，将不同端的两者进行连接，从而能够做到相互转化，其承担着生物特征向生物识别信息转换的功能和责任。[[]付微明.个人生物识别信息民事权利诉讼救济问题研志[J].法学杂志,[]付微明.个人生物识别信息民事权利诉讼救济问题研志[J].法学杂志,2020:78-88.[]焦艳玲.个人生物识别信息的界定[J/OL].重庆大学学报(社会科学版),1-13.伴随着技术的发展，个人生物识别信息应当兼顾其开放性和涵摄性，因此对于其信息范畴列举也要保持开放的列举方式。我国对于个人生物识别信息仍采用列举法，通过列出多种信息来反映个人生物识别信息的范围和内容，例如个人生物识别别信息在《网络安全法》中规定为肖像、指纹等，在《个人信息安全规范》规定为面部特征、指纹、声纹等，采用列举法只能具有列举作用，随着生物识别技术的进一步深入，生物识别信息的范围和种类也会越来越多，仅仅只是以列举法进行罗列，将会对生物识别信息的种类加以限制。针对个人生物识别信息的范围，本人认为应当考虑时代的变迁和技术的进步发展，选择采取更为宽松的形式，可以使用“列举+概括”的立法模式，给予个人生物识别信息更多弹性空间，可以通过法律规定生物识别信息包括人脸、视网膜、指纹、手纹、声纹等数据化信息，同时，在法律中给予生物识别信息范围更多自由，在条文规定中使用“不限于”的词汇表述能够赋予生物识别信息发展和应用的自由空间，其能够摆脱列举范围的限制，可以伴随着技术的发展而不断延伸，不断演变。选择“列举+概括”的立法模式，可以结合不同的立法模式保持生物识别信息在外延范围上的自由度以及涵摄性。二、个人生物识别信息的法律属性从我国目前的法律体系可知，我国对于个人生物识别信息的法律属性并未有明确的规定，即使在《民法典》中，也只是将个人生物识别信息纳入人格权编中，但是没有对其权属作出法律上的定义，简单列为个人信息的范围，并未单独给予个人生物识别相关的概念、内容及规定，第1034条第二款规定，个人信息中的私密信息规定适用隐私权规定，如果没有规定，则适用于个人信息的保护，即隐私权规定也适用于符合私密要求的个人生物识别信息，以上证明了我国《民法典》选择将个人生物信息定义为“法益”而非具体权利，同时选择采用“法益”保护模式，有学者认为“法益”保护模式弱于具体的权利类型保护模式。[[]崔丽.个人生物识别信息的法律属性与保护路径——以《民法典》第1034条的解释为出发点[J].学习与探索,2021:73-81[]崔丽.个人生物识别信息的法律属性与保护路径——以《民法典》第1034条的解释为出发点[J].学习与探索,2021:73-81.[]王丽莎.信息权的独立人格权地位及内容[J].国家检察官学院学报,2016,2416-27+172.（一）个人生物识别信息作为新型权利的理论证成社会物质的变迁，会使人们对于物质的渴望程度和权利的观念产生变化，鉴于法律的滞后性，成文法在时代的变化发展下，会出现一定的缺漏和滞后，个人生物识别信息是信息时代的产物，其要作为一种新时代的权利类型，要从理论上的原则性规定以及是否符合正当性上出发。有学者指出新兴权利并不都指向单独的权利类型，也可能指向某一具体的法益内容。[[8]孙山[8]孙山.从新兴权利到新兴法益——新兴权利研究的理论原点变换[J].学习与探索,2019:80-88.个人生物识别信息是信息时代的产物，其与传统模式下衍生的权利大不相同，个人生物识别信息较传统权利，其是同时兼具人身属性、财产属性、商业价值和社会公共利益的综合性权利，具备以下三个方面的属性。基本人权属性。个人生物识别信息与个人生物特征同根同源，同时，随着现代信息技术的发展，人的生活已经由传统的物质社会转变成了信息社会，人们对于信息的应用范围之广，程度之深，使人们逐渐向互联网模式下的“信息人”转变，并且脱离传统模式下的纯粹自然人，因此自然人便同时具有了“生物-信息”的双重面向。[[9][9]马长山.智慧社会背景下的“第四代人权”及其保障[J].中国法学2019:5-24.一般人格权属性。个人生物识别信息被纳入人权权编中，又与个人生物特征挂钩，其与自然人的人格安全息息相关。而且《民法典》人格权编第六章中规定，信息主体享有信息自主决定权，自主决定权决定了然人能够自主决定信息的各项情形，意味着信息自主权代表了信息主体的人格尊严与自由。财产权权属性。随着个人生物识别信息在商业领域不同程度范围的应用，其与财产利益息息相关，同时，虽然目前《民法典》中未对个人信息的财产属性进行明确说明，但是根据《个人信息保护法》中关于信息处理和损害赔偿规定来看，立法者已经考虑了交易个人信息并且换取经济利益的行为，致使个人生物识别信息不仅具有人格属性，而且同时具备了财产的法律属性。个人生物识别信息随着时代和技术的的进步发展，其在社会生活中的应用会越来越广，其适用条件也会随着应用程度而改变，那么个人生物识别信息的内容也会随着技术的进步和应用范围的扩大而增加，从权利的综合属性上来看，个人生物识别信息其承载的人格利益远远大于一般的个人信息，个人生物识别信息与生物特征的同步性和一致性，决定了其与信息主体的联系更为密切，同时，不同的法律规范将其认定为敏感信息，也就证明了个人生物识别信息泄露的风险和带来的后果更为严重，其应当受到特别保护。某种权益能否上升为具体的权利类型，需要从以下两个因素出发:一是其该项权益所保护的利益对象是否独立；二是其所保护的利益对象与其他权利所保护的利益对象是否有明确的区分和界限[[]曹博.论个人信息保护中责任规则与财产规则的竞争及协调[J].环球法律评论,2018,40:86-102.]。根据法律规定，个人信息包括个人生物识别信息在内，其中的私密信息适用隐私权规定。个人生物识别信息与隐私权所保护的利益对象在范围上虽有重合，但也有差别。第一、隐私权的保护利对象是权利人的隐私不受侵犯，权利目的是为了保障个人私密信息不受侵犯和生活的安宁，使自然人的隐私不会受到任何人的刺探、骚扰、泄露、公开等，而生物识别信息不仅要保护个人生物识别信息不被盗用、泄露，还要保护信息收集的合法性、正当性等，目的是保障个人对于生物识别信息的支配与自决，使个人[]曹博.论个人信息保护中责任规则与财产规则的竞争及协调[J].环球法律评论,2018,40:86-102.（二）个人生物识别信息作为新兴权利的实践论成。判断某种权益作为利益保护还是单独列为独立的权利进行保护，需要结合具体的实践来讨论，结合其在实践中的保护程度、范围以及损害后果，来论证其是否有必要列为一种独立的新兴权利。以个人生物识别信息取代常用的密码、验证码，提高了识别的效率和工作效率，但是当个人生物识别信息大量存储，与云端数据进行对比时，将面临着比普通数据更危险的泄露风险，因个人生物识别信息与个人的生物特征、行为方式等一致，具有同步性、不可逆转性及长久性，一旦泄露，对于个人的人身、财产损害是终身的风险与挑战，例如2018年的印度Aadlhaar数据泄露，相关人员表示十多亿的人所遭受的损失是至少二十年内无法妥善修复的，该损失不单单只是经济上的损失，更多的是数据被非法流通后带来的风险与挑战；摄影师史蒂夫·麦凯瑞设法从1985年拍摄的一张照片中提取虹膜信息以便找到当年帮助他登上《国家地理》杂志封面的年轻阿富汗女孩，最终成功提取并找到了这个女孩。个人生物识别信息对于信息主体来说，是一种终身的、可追踪的个人信息。因此，对个人生物识别数据的应用和使用的保护应该采取比法益更严格的法律保护模式。同时，近年来，人们对于个人生物识别信息中的基因信息的关注度逐渐上升，基因信息所承载的人格利益无法用单纯的信息利益来进行保护，基因信息是人类延续和发展传承重要基础，在研究学上可以将基因信息分为两类，即遗传性基因信息和物质性基因信息，遗传信息的遗传和物质方面是有联系的，与个体基因的人格权息息相关；遗传信息是人类文明延续的重要因素，其遗传特性决定了人类的未来和进化，对人类的生命权和个人利益有着根本性的影响，代表了人类基因组的共同利益。[[]石佳友，思齐.[]石佳友，思齐.人脸识别技术中的个人信息保护——兼论动态同意模式的建构[J].财经法学,2021(02):60-78.广东省深圳市中级人民法院民事判决书（2019）粤03民终22765号。该案基本案情是：2018年10月26日，记者金微撰写《华大基因被罚！14万孕妇基因已流到国外，细思极恐》，该文对华大基因联合国外机构研究中国人基因提出质疑，华大基因于当日发表声明称，金微张冠李戴，刻意关联，制造恐慌，并在深圳盐田法院起诉金微。如前文所述，个人生物识别信息被《民法典》规定为个人信息，同时生物识别信息中的私密信息可以适用隐私权的规定，但是在法律规定中却遗漏来一个主观认知问题，也就是什么信息可以认定为私密信息，或者说判断私密信息的标准是什么，哪些属于私信信息？这对于保护个人生物信息而言至关重要，如果按照隐私权的规定来进行，个人生物识别信息代表了信息主体在数据化上的人格利益，应当从当事人主体的角度出发，保护当事人的人格尊严和人格利益，如果按照个人一般信息的保护力度更多的保护商业秩序和公共管理价值。在没有明确标准的情况下，判断隐私大多是从“隐私生活的安宁”和“不为人知的私密空间、活动、信息”出发，即需要判断个人生物识别信息是否属于以上两种，而对于以上两种标准，会存在主观性，导致个体差异，实务中可能产生纠纷，例如对于人脸、声音等这些容易采集处理形成的个人生物识别信息，是否属于私密信息？如果没有一个客观且直接的方法进行判断，会导致在实务中产生新的纠纷。因此个人生物识别信息可能属于私密信息，也可能属于一般信息，则需要进行单独的明文规定，需要结合其特性，将个人生物识别信息作为一种新兴权利来对待，结合隐私权和一般信息保护，完善其法律属性定位。三、个人生物识别信息保护路径个人生物识别信息究竟是不是一种权利，其属性、利益性质，理论界一直存在着争议，但是对于个人生物识别信息可以比较明确的认定为一种新兴权利。根据个人生识别信息的共性、复杂性、综合属性，结合个人生物识别信息在商业领域和社会公共领域的应用、发展，我认为，应该制定标准，根据个人生物识别信息的具体特点，将生物识别信息与一般个人数据区分开，同时针对个人生物识别信息的泄露风险和危害程度，要建立起特殊保护机制，构建生物识别信息事前预防、事中监督、事后救济的全方位、多格局的协调保护体系，实现公法和私法共同保护的法制体系。（一）建立事前预防机制，加强事前保护在《个人信息保护法》中有关于个人信息处理者的义务问题的相关规定，例如第五十五《个人信息保护法》第五十五条有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。、五十六条《个人信息保护法》第五十六条个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。（四）个人信息保护影响评估报告和处理情况记录应当至少保存三年。规定了个人信息影响保护评估的内容、主体等，但是并没有明确表明需要遵守的标准、参考值以及具体的考核方式，缺少更为精细、更具有可行性的规定。因此目前《个人信息保护法》中所规定的个人信息影响保护评估缺乏具体的内容以及标准，仍需要针对这一方面作出补充和调整。《个人信息保护法》第五十五条有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。《个人信息保护法》第五十六条个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。（四）个人信息保护影响评估报告和处理情况记录应当至少保存三年。1.设置事前信息影响保护评估，保障信息存储安全由于个人生物识别信息的收集和识别对比，必然要使用大量的用户信息，那么信息的存储安全技术将会是个人信息影响保护评估的核心评估内容，必须要纳入事前个信息影响保护评估的重点，应从以下三个方面来进行考核：首先，信息存储的时效和区分。个人生物识别信息与信息主体准确绑定，能够在技术对比与分析下快速从数据库中识别出信息主体的身份，因此针对个人生物识别信息的存储时限问题应当参考其收集信息的目的，以信息收集目的来决定信息存储的时限。在《个人信息保护法》第十九条中规定了关于个人信息的存储时限问题，但是也给予了信息处理者在信息存储时限上的自由，十九条中所规定的“实现处理目的”和“最短时间”两个用语需要通过主观认定来做出结论，导致其概念和标准不一，致使信息处理者可以自主决定信息目的、程序进展快慢等方面，从而推迟了信息处理目的实现的最短时间，尤其是在长期的信息反复使用中，例如人们在小区中所录入的人脸识别信息，人们在进出小区时需要长期并且反复的使用该人脸识别信息，则小区人脸识别识别系统需要长期甚至永久持有小区业主的人脸识别信息，那么“实现处理目的”和“最短时间”无法进行界定，因此在对于个人生物识别信息的存储期限上，应当统一规定一个最长时限，通过最长时限来限制信息处理者长期保存信息主体的生物识别信息，降低信息泄露的风险。同时在人脸识别技术领域，有学者认为人脸识别技术实践中应始终践行去标签化原则，应当禁止信息采集者保存信息主体的原始人脸信息，或者将人脸信息与其他信息分开存储，以便特殊保护。[[]陈道英.《<个人信息保护法（草案）之“得”与“失”》.微信公众号“大数据和人工智能法律研究院”，2020年11月5日.]其次，个生物识别信息在事前采集时应当采取去标签化，使信息与信息主体分离，再使用脱敏化处理，通过信息程序对生物识别信息进行随机屏蔽、更替[]陈道英.《<个人信息保护法（草案）之“得”与“失”》.微信公众号“大数据和人工智能法律研究院”，2020年11月5日.2.设定动态同意模式，保障信息主体的知情权随着时代技术的发展，普通大众无法认识和理解技术的进步，导致其对技术发展和风险的认识存在一定的误区，从而可能做出违背自己真实意愿的的意思表示，例如该机构是否得到法律授权，授权期限多长，收集的目的是什么，信息主体都无法给出正确的判断，导致知情同意原则遭受来巨大的挑战，面对这一挑战，学者们进行来沟通、反思，以传统的概括同意为模板，结合特定例外的知情同意模式，总结出了新的动态同意模式，信息主体允许采用其易懂、偏好的采集方式以及告知内容的形式和方法，并通过自己自由选择的方式来告知自己的真实意思表示，做出是否同意授权的行为，以及通过及时、迅速的知情告知的方式，提高信息主体在信息处理程序中的参与感，使其由传统模式下的被动地位转化主动地位，由此可以得出：动态同意模式既可以保障信息主体的知情权，又能满足信息主体在信息处理程序中的参与感，该同意模式对于构建我国知情同意模式有很重要的参考价值。动态同意模式需要保障信息主体与信息收集者、控制者之间能够及时协调沟通，搭建一个友好沟通的桥梁，能够让信息主体自由选择何时告知、采用什么方式告知、告知的形式、内容。当前采集个人生物识别信息的知情告知协议书一般是采取格式条款，虽然会采用一些标黑、加粗、或者使用特定符号提醒用户注意相关阅读信息，但是由于格式合同的条款冗长且有较多专业术语，大众无法对这些条款形成正确的认识，并且还伴随着“不同意隐私条款将无法使用”的二选一模式，因此信息主体在这样的环境下无法充分知情。采用动态同意模式，可以将传统的个人信息的权利保护的客体转移到信息主体保护上，能够充分尊重和保障信息主体的参与感。动态同意模式之下，能够最大化满足信息主体对于生物识别信息的知情权。根据动态同意模式构架，其对信息披露程度和透明程度较传统的知情同意模式要求更高，需要信息主体在不同的情景下做出真实同意的意思表示，那么在技术快速更迭的发展中，需要及时向个人传达其信息的处理模式、处理的方法、如何进行安全保障等，从而能够更好的帮助信息主体理解生物识别信息的操作过程，保障信息主体的知情权，进而做出个人判断。动态同意模式下，能够最大化满足信息主体对于生物识别信息的同意撤回权。《个人信息保护法》第十五条《个人信息保护法》第十五条：基于个人同意处理个人信息的，个人有权撤回其同意。规定了基于信息主体同意所处理的信息，信息主体针对这部分信息享有同意撤回权，但是在当下的概括同意模式下，信息处理者在信息的采集、使用、传播等方面享有一定自由，能够在合理的范围内处理信息，大众无法了解到自己信息的处理模式，但是在动态同意模式下，信息主体的知情权得到有效保障，信息主体能够及时地、动态地从技术平台的披露信息中了解到信息的处理细节，则信息主体就有机会选择让自己的信息何时消除，让自己能够短暂的脱离信息数据时代。以手机银行APP登录为例，手机银行APP享有指纹登录的快捷登录方式，用户在使用时可以选择通过录入指纹信息来进行登录，那么当信息主体使用完APP后，人们的合理期待发生来转化，此时作为信息主体可以了解指纹信息处理的过程，可以自由选择是否需要撤回信息同意。《个人信息保护法》第十五条：基于个人同意处理个人信息的，个人有权撤回其同意。动态同意模式虽也有其相应的局限性，例如人们反复的撤回或者同意，会造成信息处理的不便，但是动态同意模式相较于传统的知情同意模式而言，更能够保障信息主体的信息安全，同时我们也需要结合实践，学习其他的同意模式，通过模式结合，构建信息时代下的知情同意模式。（二）建立事中监督机制，确保信息处理合法合规在信息共享传输的过程中，会有多方主体的参与，就很可能导致信息的泄露和倒卖，例如某网络商城就有人倒卖数千张戴口罩和不戴口罩的人脸照片，但是却始终无法找到源头，《2019全国网民网络安全感满意度调查统计报告》显示，百分之三十以上的民众在使用互联网时，有遇到过大量个人信息在网络上流传；超过半数的民众表示曾遇到个人信息被侵犯。因此需要借助国家的强制力，通过设立评估机构，采取对应的评估技术对程序、技术进行专门的定期回访、实时追踪与三方监督[[]邢会强.《人脸识别的法律规制》.《比较法研究》,2020年第五期.]，实现动态监督。同时，不仅需要国家监督，也需要建立行业自律机制，行业自治组织需要结合法律规范构建行业自治条例，利用其专业知识，综合自身情况，以行业自治条例规范程序设计、应用开发、信息传播，争取实现法律规范和技术专业性的良性互动。[[]石佳友.刘思齐：人脸识别技术中的个人信息保护——兼论动态同意模式的建构[J][]邢会强.《人脸识别的法律规制》.《比较法研究》,2020年第五期.[]石佳友.刘思齐：人脸识别技术中的个人信息保护——兼论动态同意模式的建构[J].财经法学,2021:60-78.（三）完善事后救济机制，保障信息利益安全大数据时代，个人信息的应用和传播速度、深度远超以往，个人信息的泄露和被盗用的风险的可能性、危险性和损害性大幅度加重。在个人生物识别信息和发展中，针对个人生物识别信息风险泄露问题，法律也应当建立事后救济机制，将个人生物识别信息的泄露风险降到最低，同时秉持发展和安全，自由和保护的利益平衡原则，协调各方主体关系，保障信息主体的利益安全。根据我国目前的法律体系，个人生物识别信息主要是受到《民法典》以及《个人信息保护法》的保护。个人生物识别信息被应用正在社会生活各方面，其财产价值也在逐渐被挖掘，一旦被非法侵害，将会造成难以估计的财产损害。因此，在发生个人生物识别信息的侵害行为时，大多是违反知情同意程序、非法泄露、非法传播等侵害形式，其对信息主体所带来的财产损害难以估计和预测，仅能通过行为人的非法收益来进行认定，并且传统的人格权中财产利益难以得到保护，因此使得信息主体很难主张其所遭受的侵害。[[]吴小帅.大数据背景下个人生物识别信息安全的法律规制[J],法学论坛.2021,36:152-160.