对于公民特殊的生物识别信息（人脸、声音），《民法典（人格权编）》为深度合成技术的创新应用提供了人格权益保护的依据，然而并未涉及信息处理者的使用规范。信息使用是信息保护的发生前提，个人信息在公共管理或商业运营中使用的合法性机制是保障信息安全或信息权利的制度前提，制度设置主要呈现为要求相对方（信息使用者）作为或不作为的安保责任或协助义务。对比来看，人格权保护制度不以合理使用为保护前提，许可使用人格权客体极易引起侵权纠纷，在法律实践中实则以人格权被侵害作为现实保护的发生前提，制度层面呈现消极防御的保护态度。由此，两类制度的建设定位与适用领域存在本质的差异。
（一）生物识别特征、生物识别信息与人格权客体的本质界分
生物识别特征、生物识别信息与公民隐私、肖像等人格权客体的关系是什么？该问题决定了生物识别信息保护与隐私权、肖像权保护制度的契合度，进而在厘清制度结构的基础上，支撑判断生物识别信息保护的立法定位以及合适的规制模式。
1. 生物识别特征、生物识别信息与隐私权客体的界分
鉴于生物特征数据的高度敏感性，各国政府将注意力主要放在生物识别技术对于个人隐私的威胁方面，因此生物识别信息的保护制度主要采取隐私权保护模式。隐私权制度旨在实现个人隐私不被公开或被他人知悉，适用侵权救济路径。侵犯隐私权的发生场景主要包括私人利益或私人生活受到侵害的情况，“私人生活”的概念在判例法中得到广泛的解释，包括亲密情况、敏感或机密信息、可能影响公众对个人看法的信息，甚至包括个人职业生活和公共行为的各个方面。然而，是否存在或曾经存在对“私人生活”的干扰则取决于每个具体案件的背景和事实。基于该共识，若生物识别信息纳入隐私权保护范围：一方面，生物识别信息应符合法律定义与司法认定的个人隐私；另一方面，侵犯生物识别信息的法律救济需符合侵权责任的构成要件。关于生物信息作为隐私权客体的定性思路，本文认为，人体的生物识别特征如人脸、指纹、虹膜、步态等，由于平时暴露在外则并不具备私密性，因此理论上来说不符合个人隐私标准，故难以认定适用隐私权保护模式。那么，对于被数据化记录与描述的生物识别特征，即生物特征识别信息，是否属于个人隐私？本文仍然认为答案是否定的。生物识别信息本质上是一类特殊的个人敏感信息，界定个人信息要遵循客观标准，这是一种事实判断。而对个人隐私的认定则是一种主观判断，需要法官在真实案例中结合具体情况做出自由裁量范围的判断。由此看出，侵犯隐私权的审判标准非常严格，而侵犯个人信息的判断则相对容易。基于此，将生物识别信息统一作为人格权归类以及侵权保护模式有待商榷。本文认为，关于生物识别信息的立法保护定位，首先应明确的是：生物识别信息在定性上仍属于个人信息，而非法律意义上的隐私权客体，主要适用个人信息保护制度。但是基于生物识别信息的高敏感性，立法需设置高级别的保护标准。
2.人脸、声音信息与肖像权客体的界分
作为民法典各分编中最与时俱进契合时代发展的《民法典》，对于AI换脸换声等技术新象，《民法典》第1019条规定：任何组织或者个人不得以丑化、污损或者利用信息技术手段伪造等方式侵害他人的肖像权。第1023条第2款则规定，对自然人声音的保护，参照适用肖像权保护的有关规定。可以看到，在立法定位上，《民法典》将人脸和声音等生物特征纳入传统的肖像权保护制度。作为人格权的重要组成，肖像权所维护的利益包括精神利益和财产利益，由精神利益衍生的财产利益是商业使用个人肖像带来的应然结果，未经许可以营利为目的使用他人肖像侵害了他人的肖像财产利益。[ 张红《以营利为目的”与肖像权侵权责任认定——以案例为基础的实证研究》，《比较法研究》2012年第3期，第63-76页。]然而，在法律意义上用于身份识别作用的人脸或声音信息是否等同于有形的肖像？本文认为两者概念显然不在同一法律语境。由人脸提取出的唯一识别性数据，其根本功能在于识别特定主体，信息主体被识别后则有权进行下一步的数字化操作，其功能目的是数字化便利。而保护肖像权本质在于维护个人的精神利益，即自然人对自己的外貌享有控制权与支配权，进而也能够以此获益。两类使用在功能与目的上存在本质区别，因此本文认为个人肖像与人脸信息、声音信息是性质不同的法律客体。值得注意，对于某一生物识别特征，两种法律保护制度并非互斥关系而是在规范目的上各有侧重，应结合具体发生场景与使用目的判断应适用的制度规则。例如，首先判断在某一使用情景下人脸是作为肖像（外貌展示）还是作为识别特定主体的信息。针对具体的信息纠纷情形，如果个人信息保护规定与姓名权、肖像权、名誉权等人格权保护规定发生竞合时，应从目的场景、行为性质、损害后果等因素综合考量应适用的制度模式。
（二）生物识别信息公共使用与隐私权保护的法益衡量
关于欧美社会对于国家机关在社会管理中使用生物识别技术的“被监控”忧虑，其实，任何国家有针对性地进行社会监控是事实存在的（例如欧美的反恐机制），主要是出于国家或社会安全目的，国家利益和社会利益处于法律保护位阶的首位，超越公民的个体权益。例如，《欧洲人权宪章》第8条第2款的规定显示出的法益保护顺序为：个人权益（包括隐私权、隐私生活等）在必要时应让位于公共利益，这是一种基本的法律精神。公共场所（如车站、机场、边境等）普遍使用生物识别技术与收集个人生物识别信息旨在维护社会公共秩序、提高社会管理效率以及防范可能的社会风险。比如，AI人脸识别技术可以帮助寻找被拐儿童、查找通缉犯人等。[ 人脸识别技术能够让人工智能深度学习五官的成长规律，凭借一张孩子儿时的照片，实现跨年龄识别人脸。这项技术的应用，已协助警方成功找回了十几年前被拐卖的孩子。详见《AI人脸识别技术|跨年龄人脸识别算法协助警方找回十几年被拐卖孩子》，https://www.sohu.com/a/340046580_100102241，最后访问时间：2020年5月1日。]由此看到，针对生物识别技术的应用与生物识别信息的公共收集与处理服务于国家安全、公共秩序、社会管理等，显然上述法益的保护位阶超越公民的个体权益。因此，在具体法律制度的适用分析上：一方面，当个人信息被应用于社会管理领域，不适用隐私权救济路径；另一方面，对于侵犯个人隐私的情形，其行为本质在于公开、结果重点在于损害，对应的是隐私信息的披露或泄露行为。但是公民生物信息被公共设备收集后，在政府数据库安保措施到位的情况下并不存在披露或泄露的现实风险。此时个人生物信息仍处于封闭且未被公开状态，并不事实上构成对个人隐私权的威胁。此外，线上与线下对于隐私理念来说是不同的适用语境，概念名称可能相同，但所评价的对象可能属于完全不同的领域，并且不同的主体对信息披露程度的接受度也不尽相同。本文认为，在数字化服务普及的信息时代，法律意义上的"数据隐私"理念正在逐渐限缩，但社会公众的隐私认知仍遵循传统隐私理念，在无现实侵害发生的前提下，应意识到隐私理念的时代更新性。