个人生物识别信息民事权利诉讼救济问题研究
点击蓝字关注我们
作者及文章来源
付微明,中国政法大学网络法学2017级博士研究生,本文原载于《法学杂志》2020年第3期。
因篇幅较长,已删去脚注,可点击阅读原文查看全文。内容提要
我国《民法典(草案)》将“生物识别信息”列入“隐私权和个人信息保护”的范围。目前,在外国以保护隐私权思路保护个人生物识别信息的民事诉讼实践中所遇到的困难主要包括: “类主体”与“类事由”化问题;侵权行为的“程序性违法”问题; 传统“案件—诉讼—损害”的民事法理逻辑对损害赔偿的限定等问题。充分完善“类诉讼”制度; 解决新兴权利的法律赋权问题; 确定“程序性违法”的“损害”认定标准以及完善举证责任制度,是保证个人生物识别信息民事权利诉讼救济充分实现的制度优化措施。
关键词
生物识别信息 类诉讼 程序性违法 损害 诉讼救济
对“生物识别信息”的法律保护是目前世 界范围内个人信息保护立法的新动态、新趋势。我国《民法典(草案)》于“人格权编”的“隐私权和个人信息保护”章中,将生物识别信息列入个人信息范围; 规定任何组织或个人不得实施“收集、处理他人的私密信息”的行为; 对个人“私密信息”适用隐私权保护的有关规定。
虽然《民法典(草案)》未对“私密信息”作出定 义,但在外国法制中“生物识别信息”通常属于个人“敏感种类” 或“机密与敏感” 信息。一些国家,如美国,通常适用“隐私权”保护规则 对个人生物识别信息权益进行保护,并由此产生许多判例,这些判例反映出隐私权保护思路下的个人生物识别信息民法保护在诉讼实践中存在诸多困难。我国《民法典》颁行在即,深入研究个人生物识别信息民事权利诉讼救济中存在的现实问题,对于优化和完善相关民事法律 制度具有重要的理论意义和实践价值。一
个人生物识别信息民事权利立法救济 的历史发展
Law
20世纪70年代发端于欧洲国家的个人信息保护立法中尚无“生物识别信息”这一概念。美国在1974年通过《隐私法案》,将“能辨识个人之身份的任何信息,如指纹、声纹”列入“个人信息”,明确指纹、声纹属于隐私权法保护的个人信息范围。2002年美国通过《加强边境安全和签证入境改革安全法》,要求办理通关手续必须进行生物识别,并在海关设置生物识别信息读取装置。自2001年至2019年,美国德克萨斯、新泽西、伊利诺伊及佛罗里达等州议会先后通过并颁行生物识别信息隐私法案(BIPA)。美国之所以不断加强对个人生物识别信息的立法保护,原因在于“生物特征在生物学上是个人独一无二的,一旦受到损害,个人没有追索权,身份盗窃的风险更高,并且可能不得不退出基于生物识别而进行的业务” 以及“对生物识别技术的全部后果不是完全了解”。
生物识别技术于20世纪初在反恐、军事及一些特殊领域率先使用,迄今已广泛应用于行政管理、社会治理以及社会生活的多个领域,作为个人身份识别的新方法、新形式。生物识别通过对自然人的“生物特征”进行“特定技术处理”而生成“生物识别标识”。“生物识别标识” 即“视网膜或虹膜扫描、指纹、声纹或手部或面部几何结构扫描,包括一整套特定的合格生物识别标识符。” “生物识别信息”是“基于个人, 用于识别个人的生物识别标识的任何信息,无 论其如何被取得、转换、存储或共享。” 与传统 的姓名、身份证号码、出生日期,住址、电话号码等个人信息不同,生物识别信息对个人身份识 别具有“唯一性”。在美国伊利诺伊州BIPA中,“生物识别信息”主体与“私人实体”是权利义务相对方。该法明确禁止任何“私人实体”以任何形式买卖、交易个人生物识别标识或生物识别信息;禁止未经信息主体同意而采集、储存、使用个人生物识别标识或生物识别信息;规定“私人实体” 必须合规合法处理并以保管机密或敏感信息的方式保管个人生物识别标识或生物识别信息; 私人实体必须公开其数据政策及指南。该法赋 予公众对“私人实体”采集、储存、使用、披露其 生物识别标识或生物识别信息的知情权、同意 权以及对“私人实体”违法行为的民事诉讼权; 规定了相应的民事权利诉讼救济方式以及信息处理者的民事责任承担形式——一个由州或联邦法院发出的连续的禁制令或1000至5000美元的赔偿金。欧盟及其成员国通常指定“个人数据保护法”以对个人信息进行立法保护,其中对个人“生物识别数据”的定义与美国BIPA对个人“生物识别信息”的定义相类似。欧盟及其成员国通常注重以行政法律保护方式保护个人信息。近年来,欧盟对个人信息保护立法进行改革,在2018年生效的GDPR中明确“‘生物识别数据’为通过对自然人的物理、生物或行为特征进行特定技术处理而得到的个人数据。这类数据生成该自然人的唯一标识,比如人脸图像或指纹数据。” 明确生物识别数据是个人特殊类别数据的组成部分,生物识别数据用于个人身份识别 (“biometrics where used for ID purposes) ”。GDPR指南指出 : “特别是,这类数据可能对一个人的基本权利和自由造成更大的风险。” GDPR规定在不损害任何现有的行政或非司法救济的情况下,任何数据主体都有权在由于他人的侵权行为而使自身权利受到了侵犯的情况下获得有效的司法救济: 还规定“因违反本法规而遭受实质性或非实质性损害的任何人,有因所受损害而获得控制者或处理者赔偿的权利” 以及向各成员国立法所规定的法院提起诉讼的权利。继GDPR之后修订的英国2018年《个人数据保护法案》以及亚洲一些国家新制定或修订的个人信息保护法中也出现了 “生物识别数据”定义,明确适用保护“敏感数据”的特别条款对其进行保护,规定了损害赔偿的侵权责任及诉讼救济形式。 我国近年来出台了一些涉及个人信息处理及保护的行政法律法规。《中华人民共和国网络安全法》规定了“网络运营者”违法处理个人信息的法律责任,并将个人生物识别信息列入个人信息。一些行政规章将“生物识别信息” 列入敏感信息目录。个人生物识别信息民事保护的最新成果是《民法典(草案)》的“人格权编隐私权和个人信息保护章”,其中以“识别特定自然人”定义个人信息的民法属性,将“生物识别信息”列入个人信息范围,规定“个人隐私”包括个人“私密信息”,禁止“收集、处理他人私密信息”,“个人信息中的私密信息,同时适用隐私权保护的有关规定”。《民法典(草案)》虽未定义“生物识别信息”并明确其属于 “私密信息”,但将其列为“私密信息”并适用隐私权保护规定,应该是个人生物识别信息民法保护的一个基本趋势。外国个人信息保护立法以及我国对个人信息的民法保护都趋向于对个人“程序性权利” 的保护,诸如个人对其信息处理的同意权、知情权、询问权、获取权、错误数据更正权、删除权的保护。违法一方的违法行为突出表现为“程序性违法”。我国《民法典(草案)》规定的信息处理违法行为包括任何组织或个人未征得信息主体同意收集、处理个人信息; 未公开列明收集、处理信息的规则; 未明示收集、处理的目的、方式和范围;违反法律、行政法规;违反双方约定; 对于信息主体要求更正错误信息、或违法收集的信息进行删除的要求不予回应;泄露、篡改收集、储存的个人信息;未能采取技术措施或其他必要措施保护个人信息安全; 未向相关主管部门即时报告个人信息安全事件并即时采取补救措施以及国家机关及其工作人员未尽到对履职过程中知悉的个人信息的保密责任等。按照《民法典(草案)》的规定,上述“程序性违法”需要承担停止侵害、排除妨碍、消除危险及损害赔偿等民事责任。由于生物识别信息属于个人信息,因此,任何组织或个人对个人生物识别信息处理的“程序性违法”都需要承担民事责任。同时,若生物识别信息被列入隐私权保护的“私密信息” 范围,于具体诉讼实践的每一个案中,则需要按照侵犯隐私权的实质要件以衡量处理者的违法行为是否实际上符合侵犯隐私权的构成要件。其中信息主体是否实质上遭受隐私侵权并受到损害,就成为个人生物识别信息权利民事损害赔偿的基本诉因,其决定生物识别信息主体的侵权损害赔偿诉讼是否成立,是否能得到诉讼上的实质保护。目前外国司法实践中对个人生物识别信息 “程序性权利”及其隐私权的诉讼救济存在一定的现实困难。在我国《民法典》即将颁行之际以及我国各类主体侵犯个人生物识别信息权益的事件频繁发生的背景下,适用《民法典》以保护个人生物识别信息的民事诉讼今后可能会不断增多。研究外国司法实践中个人生物识别信息民事权利诉讼救济存在的困难及其解决方式,将对优化我国相关法律制度起到借鉴作用。二
个人生物识别信息民事权利诉讼救济 实现之困境
Law
(一) 诉讼“类主体”与“类事由”化问题
生物识别信息处理是个人信息处理的一个新领域。个人信息处理即信息收集者、控制 对个人信息的收集、保存、加工、传输、披露、提供、销毁及使用等一系列行为,普通个人信息处理不需要进行特定技术处理。“生物识别信息”需要进行特定技术处理,即计算机自动化程序对个人生物特征,如个人的面部、指纹、虹膜、视网膜等进行几何扫描、计算、建构模板,形成虚拟数据或数字数据,保存于计算机数据库或特定介质中,用于“识别”特定自然人。计算机自动化程序或半自动化程序对多个人的生物识别信息进行批量处理是个人生物识别信息处理的基本特点,未经“特定技术处理”的生物特征不属于个人生物识别信息。实践中,一些实体的违法处理行为,通常侵害的是一批自然人的生物识别信息权利,侵权事由基本相同,由此引发的民事诉讼通常表现 为诉讼“类主体”与“类事由”化。“Lndabeth Rivera和Joseph Weiss及其同类型者诉谷歌”案即具有此类特质。而在Nimesh Pate等诉 Facebook公司案中,FaceBook违反程序收集、存储用户人脸标识的行为,涉及的是该 APP的所有用户的生物识别数据,侵权行为表现为同类型化。由于网络空间的虚拟性、跨地域性,生物识别信息处理方的住址常常并非受损害者所居住的国家或者地区,从而使得生物信息主体的跨国、跨地区性诉讼存在相当困难。通常情况下,即使明知权利受到损害,个人却因为诉讼成本高昂、诉讼程序复杂、诉讼收益在支付诉讼成本之后获利微薄等种种原因而放弃诉讼。针对此类民事权利诉讼救济的现实困难,美国的做法是积极推动“Class Actions(类诉讼) ”,其优点在于可以整合司法资源,提高司法效益,降低诉讼费用,充分保护“类主体”的民事权益,增加原告谈判筹码,阻遏被告重犯。起诉方为“类原告”是美国个人生物识别信息处理侵权民事诉讼的一个显著特点。司法实践中涉及的重要问题是法院对此类案件“类诉讼”的认证。美国联邦民事诉讼规则规定了 “类诉讼”的数量、共同性、典型性、充分性四个先决条件。数量指同类型的成员太多,所有成员都加入诉讼是不可能的; 共同性指有一些法律和事实问题是全体共同的; 典型性即作为代表的当事人的索赔或辩护是典型的索赔或辩护;充分性即作为代表的当事人将公平、充分地支持和维护同类型者的利益。符合四项先决条件的情况下,“Class”中的一个或数个成员可以“代表全体成员(on behalf of all members) ”起诉和应诉。由美国关于“类诉讼”的立法和个人生物识别信息处理侵权民事诉讼可见,“类原 告”或者“类诉讼代表人”的确定,对于“类诉讼”的成立具有关键作用,对于相关民事权益诉讼救济的实现具有启动功能。“类诉讼”既可以免去个人诉讼的诸多困难,又可使“类主体”的权益得到普遍保护,同时可以很好地阻遏同类型“实体”在控制、处理、使用个人生物识别数据中的违法行为。“类诉讼”模式,是生物识别信息民事权利诉讼救济实现的有效路径。 (二) 侵权行为的“程序性违法”问题 个人生物识别信息保护立法的背景是生物识别技术被各种实体广泛应用于各领域中以对自然人进行身份识别。个人生物识别信息民法保护的落脚点在于明确处理者违法处理应当承担的民事责任,从而阻遏侵权行为发生,弥补信息主体所受损失。以美国伊利诺伊州BIPA为代表的立法规定的侵权行为表现为:私人实体购买、通过贸易接收或以其他方式获取个人或客户的生物识别标识或生物识别信息; 未经信息主体的明示书面同意收集、存储、使用并披露个人生物识别标识或信息;未制定公开的并向公众提供的关于生物识别信息处理目的、处理范围及其最初目的满足以后的保存期限以及销毁的政策; 未经数据主体或其法定代表人的合法授权而披露或再披露个人生物识别标识或识别信息,但法定的必需除外。GDPR设定的控制者、处理者的法律义务包括告知、通知义务;公开数据政策和相关信息义务; 安全保障及提供安全保障措施及补救措施义务;以及对信息主体依法查询、获取、更正、删除其个人数据的回应义务等。相对应的是信息主体的知情权、同意权、访问权、获取权、更正权、删除权等信息保护权。BIPA与GDPR对信息处理方的违法行为的规定均具有典型的“程序性违法”特点,也即信息处理方所违反的是关于控制、处理、使用个人数据的禁止性、限定性等程序性法律条款。我国《民法典 (草案)》中规定的信息主体的同意权、更正权、删除权以及通知、告知,安全保护、保密等处理方的相对义务,同样具有突出的“程序性权利” 与“程序性义务”的性质。生物识别信息处理的“程序性违法”行为有别于如人身伤害、财产损失等对于实体权利的侵害,或者由于肖像权、隐私权受损而导致的痛苦和极度的苦恼的精神损害,由此带来的问题是如何于立法上确定生物识别信息主体的 “程序性权利”,并于司法上使此类权利得到诉讼救济。美国伊州BIPA的做法是专门就“程序性违法”规定了民事权利诉讼救济措施。明确私人实体的疏忽违法,违约赔偿金为1000美元或实际损失,以较大者为准;私人实体故意或不计后果的违法,无论哪一种情况均清算5000美元的损害赔偿金或实际损害赔偿金,以较大者为准;此外,还包括州或一个联邦法院可以认定的或适当的连续的禁制令。其意味着,只要处理方有违反法定程序的行为发生,一旦诉讼成立就必须向信息主体负担最低限额为1000美元的损害赔偿金,还可能受到“禁制令”的连续约束。从迄今可见的美国联邦法院的判例来看,绝大多数关于个人生物识别信息处理侵权的民事诉讼,均是以BIPA为据而提起的损害赔偿 “推定类”诉讼。例如,在“Rivera与Weiss代表 同类型者诉谷歌案”中,二人代表自己和同类型者指控谷歌在没有告知他们,他们不知情、未授权的情况下,“扫描面部几何特征以创建面部模板” 的行为违反了BIPA禁止未经授权收集和存储生物识别信息的规定。目前,美国司法判例对此类诉讼呈现的基本态度是 : “立法机关在识别和提升无形损害方面的作用,并不意味着,只要一项法令授予一个人法定权利,并声称授权该人提起诉讼以证明该权利,原告就自动满足事实上的损害要求。” 可见,立法机关赋予公众某项权利,并不等于诉讼中声称这项权利受到侵害,并且有侵权的证明,其立法上规定的权利救济就可以通过诉讼而实现。就我国《民法典(草案)》所设定的对个人 “私密信息”的侵权行为的表现来看,同样是以 “程序性违法”为特征的侵权行为。诸如“未征得同意”,未“公开”处理规则,未征得“明确同意”“未及时更正”“未及时删除”等。目前我国民法中并未规定对“违反程序”的个人信息处理行为的民事责任应当如何认定、如何承担,这就引发了可能与美国司法实践中通常遇到的“案件—诉讼—损害”的法理逻辑以及“程序性违法”的损害赔偿类似的问题: 对于仅仅只是违反程序而处理个人生物识别信息的行为,其民事责任,特别是民事损害赔偿责任如何认定的问题。(三) 生物识别信息处理侵权的损害赔偿问题由美国BIPA,欧盟GDPR及我国《民法典 (草案)》均可见,对个人信息、或生物识别信息,或“私密信息”的处理侵权,其突出特征是“程序性违法”。从民法的角度而言,有侵权就需要承担责任。我国《民法典(草案)》规定了侵权责任的停止侵害、排除妨碍、消除危险及损害赔偿方式,其中“损害赔偿”以实质性的人身、财产、严重精神损害为基础。从美国BIPA在施行过程中所遇到的损害赔偿的困境来看,虽然其试图通过立法赋予生物识别信息主体对其所受到的“程序性违法”的侵权以损害赔偿的权利救济,但是在美国联邦司法实践中,以 BIPA 为据而提起的民事损害赔偿诉讼通常均因为缺乏损害这一诉因而被联邦法院驳回。原因在于从欧美传统民事诉讼法理而言,民事诉讼由“案件—诉讼—损害”三角构成。虽然从美国联邦民事诉讼规则第8条(a)(2)的规定来看,一件民事诉讼案件的成立,并不需要事先证明提起诉讼的事实和理由,只需符合属于受理诉讼的法院的管辖范围; 有事实基础;有明确的被告以及向被告索赔的法律依据即可。具体到生物识别信息侵权民事诉讼,符合以上三个条件并不困难,大多数此类民事诉讼均可依据BIPA和联邦民事诉讼规则获得立案。但这并不意味着BIPA所设定的对公众个人生物识别信息的保护权利,即知情权、同意权等等的法律救济,以及最低1000美元的损害赔偿金能通过诉讼顺利实现。出现这一问题的根本原因是美国联邦宪法“Article III standing”的存在。《美国法典诠注》对“第3条”的法律释义指出:损害赔偿的成立,一是要求原告有实质上的损害;二是可以很好地追溯到与被告的行为有因果关系; 三是有可能通过有利的司法裁决予以纠正。诉讼中原告一方最终要实现诉 讼请求,获得法律规定的损害赔偿,取决于是否 具有“第3条”的“诉因( standing) ”。核心在于 “诉讼”以“争议”为基础,“争议”是对“侵害” “损害”的认定; “争议”的“伤害”与“损害”,无论是有形的、无形的或者是“违反程序性”的,均需要“具体的”“实质性的”与违法行为具有因果关系的,能以详细的证据证明的“伤害” “损害”为“诉因(standing) ”才能实现诉讼上的权利救济。具体到BIPA下的民事诉讼,常常是原告虽因满足联邦民事诉讼规则第8条(a) (2)的三个要件而获准立案,但在接下来的诉讼中,被告则常常围绕原告是否符合“第3条诉 因”而进行抗辩,最终原告多因不具“第3条诉 因”而没有获得民事损害赔偿的支持。关于个人信息权益的宪法地位,民法所 定的“争议”的“伤害”“损害”的认定标准,民 事诉讼中对“程序性违法”的“损害”认定等问题,在我国法律界少有讨论。今后伴随《民法典》的正式颁行,因个人信息,特别是日益突出的个人生物识别信息收集、处理、使用,诸如未经信息主体同意而采集其人脸数据,未尽安全保护而导致个人生物数据泄露等违反民法所规定的信息处理“程序”而引发的民事诉讼将可能不断增多,以“实质损害”为损害赔偿依据的传统民法范式与目前民法所规定的对个人信息处理的“程序性违法”的损害赔偿认定之间的冲突,将有可能成为个人生物识别信息民事权益诉讼救济实现所面临的现实困境。三
个人生物识别信息民事权利诉讼救济 的制度优化
Law
(一) 完善“类诉讼”及其相关法律制度
我国《民事诉讼法》中并无“类诉讼”概念。2017年修订的《民事诉讼法》中的共同诉讼人、代表人诉讼一、代表人诉讼二、公益诉讼等规定一定程度与外国法律中的“类诉讼”相似,但相较于外国法律中的“类诉讼”制度,我国立法尚存差距。借鉴外国相关立法经验以优化我国相关诉讼制度具有一定的必要性。例如,美国不仅仅于联邦诉讼规则证据规则中规定了“类诉讼”的先决条件及法院认定标准,还在《集体诉讼公平法》中对“类诉讼”“类律师”“类成员” “类原告”等进行明确定义;对“类律师”的律师费用、报酬的计算方法,类诉讼基本标的额度确定,类诉讼的司法管辖等作出明确规定。这些规定能较好地解决跨国、跨州的“类诉讼”管辖问题以及“类诉讼”中诉讼利益的分配等问题,有利于通过“类诉讼”而实现对个人生物识别信息权益的保护。通过“类律师”组织“类诉讼”以解决生物识别信息侵权诉讼中由于个人跨地域诉讼,诉讼标的小、取证困难等而导致的诉讼困难,节约个人的诉讼成本,节约司法资源,同时实现对成员的权益救济,阻遏同类型违法行为是积极有效的诉讼方法。同时,法律对参加类诉讼各方的利益的公平分配,使得“类诉讼”的成立既有利于原告也利于组织“类诉讼”的律师,同时还彰显出司法上解决争议的优势。充分体现效益、平等、公平的“类诉讼”模式,对于解决个人生物信息侵权诉讼的“类主体”及“类事由”化问题具有突出的实践价值。因此,我国宜于民事诉讼法上完善“类诉讼”制度,充分发挥律师在组织“类诉讼”中的功能和作用,由此推动个人生物识别信息的民事司法保护。 (二) 解决新兴权利的法律赋权问题 在我国,个人信息权作为一项独立的权利的法律地位并未得到明确,目前只是将之列入《民法典》人格权篇作为保护对象,具体而言,个人生物识别信息权益可能被作为隐私权而保护。如上所述,以保护隐私权的思路对生物识别信息进行保护,在诉讼上面临诸多困境。例如美国伊利诺伊州的BIPA,将个人生物识别作为隐私权对待,但BIPA在司法实践中遇到的最大问题是个人生物识别信息处理侵权与侵害隐私权的差异性。普通法上侵犯隐私权行为的构成要件是:(1) 未经授权的入侵或窥探原告的隐私;(2) 对一个理智的人具有高度攻击性或反感性的入侵;(3) 发生入侵的事件是私人的;(4) 入侵造成痛苦和极度的苦恼。但未尽告知、通知义务; 未公开数据处理政策; 未履行安全保障职责以及泄露个人生物识别信息等“程序性违法”行为,并不能与侵害隐私权的构成要件及其要求的实质损害相契合。事实上,采用侵犯隐私权、名誉权、身份权等所造成的 “实质性损害”的认定标准以对侵害个人生物 识别信息权益的“程序性违法”所造成的“实质性损害”进行认定,较大程度存在契合上的困难。我国目前即将颁行的《民法典》,从立法旨趣上看,其一方面将个人信息权益作为人格权对待;另一方面又将可能包括“生物识别信息” 在内的个人私密信息纳入隐私权保护的范围,这将使得民事诉讼实践中对于生物识别信息处理侵权行为的认定可能适用侵犯隐私权的标准。为了解决司法中可能遇到的美国以IPBA为据而提起的民事诉讼所遇到的困境,即“案 件—诉讼—损害”的法理逻辑与“程序性违法”的损害赔偿之间的法理冲突,需要进一步厘清个人生物识别信息的权利属性,在民法中将个人信息权作为新兴权利对待,建构侵权损害的特定标准,而不是简单地适用侵犯隐私权的标准。我国学者认为,“要应对‘信息人’时代的挑战,防止个人信息权的波及效应,就必须通过宪法来保障这项权利。” 这将使相关民事权利 的诉讼救济成为可能。 (三) 确定“损害”认定标准完善举证责任 个人生物识别信息侵权发生在数据控制者对信息的处理活动中,通常情况下,侵权的表现形式是未明显履行“程序性”义务。由于“程序性违法”的后果及其“实质损害”通常并不是有形的或者十分显性的,而且存在信息主体取证困难等问题,从而导致民事权利诉讼救济实现的现实可能性并不充分。有鉴于此,外国个人信息保护法通常在规定“过错责任”原则的同时实行“举证责任倒置”,即信息处理方能证明自己无过错时才可以不承担民事责任。同时 一些国家如德国还专门规定了公共机关对个人信息处理的“无过错责任”原则,即公共机关在规模化处理个人信息的过程中,即使无过错,但实际上给信息主体造成物质损害或非物质损害时也需要承担损害赔偿责任。目前,我国个人生物识别信息处理中暴露出的问题是,各种法人、非法人组织以及自然人在并无法律授权或信息主体同意的情况下对个人生物识别信息的任意处理以及泄露、买卖、盗窃等。信息主体通常情况下对其所受到的“程序性违法”侵权并不知情,即使在知道被侵权的情况下,通常也并不能充分证明因处理方违法处理或“程序性违法”而导致的实质性损害结果。一旦信息主体认为其个人生物识别信息保护权利正在受到侵害,并因此而提起民事诉讼,则需要提出实质性损害的证据。因此,对信息主体的权益保护及相关违法行为的阻却均存在较大困难。借鉴国外立法中的“过错责任”原则并实行“举证责任倒置”证据规则以及公共机关处理个人信息的“无过错责任”原则,可以一定程度上使个人生物识别信息权利的民事诉讼救济突破“程序性违法”之“实质损害” 要求及其举证困难,以充分实现对信息主体的民事权利的诉讼救济,阻遏一系列侵权行为的发生。总之,对个人生物识别信息的民法保护,正成为新的立法动态及立法趋向。由于个人生物识别信息的“特定技术处理”及其批处理特征,使个人生物识别信息处理侵权损害的民事诉讼通常具有“类主体”与“类事由”化等特点;由于个人生物识别信息处理是一系列程序性行为,违法特征突出表现为“程序性违法” ; 由于民法保护的基本原理以“实质损害”为承担责任的前提,由此可能制约个人生物识别信息权利民事诉讼救济的实现。因此,在我国《民法典》即将颁行之际,我们需要从完善“类诉讼”制度,解决新兴权利的法律赋权,确定“程序性违法” 的“损害”认定标准以及完善举证责任等制度优化入手,完善个人生物识别信息民事权利及其诉讼救济制度,以充分保护个人的生物识别信息及其相关权益。