2020年3月1日实施的《网络信息内容生态治理规定》明确规定了不得利用深度合成技术从事法律禁止的活动；2019年11月18日发布的《网络音视频信息服务管理规定》要求对非真实的音视频信息进行标识。由此看到，制度层面在禁止不法利用生物识别信息的同时，也在允许并鼓励深度合成等新型技术的创新发展与合法应用。信息主体的保护规范与信息使用者的使用规范之间互相依存、紧密相关。鉴于人格权保护制度（侵权责任模式）的消极防御性，重点在于对抗不法侵害行为，而非规范人格权客体（如肖像、人脸、声音等）的合法使用行为。并且，人格权制度指向保护个人的私生活领域，而个人信息制度指向规管社会经济领域，两类制度的自身定位与规制领域存在本质差异。
（一）生物识别信息的内涵解析
生物特征信息是一类特殊的个人敏感信息，根据国家标准《个人信息安全规范》对个人信息的定义，“可以识别特定自然人身份”与“反映特定自然人活动情况”是个人信息最核心的内容与特征，生物特征信息同样符合上述特性。界定生物识别信息必须首先符合个人信息的一般特性及核心特征，2019年6月25日，信标委发布了推荐性国家标准《生物特征识别信息的保护要求》（征求意见稿），规定生物特征（biometric characteristic）是指可检测到的个体生理或行为特征，可以从其中提取可识别的、可重复的生物特征，以便自动识别个体。在“生物特征信息”（biometric information）与生物特征标识符（biometric identifier）的关系上，参照佛罗里达州最近在酝酿出台的《佛罗里达州生物特征信息隐私法》（Florida Biometric information Privacy Act）中的规定，“生物识别标识符”是指视网膜或虹膜扫描、指纹、声纹（voice print）、手部或面部几何形状的扫描图。“生物特征信息”被定义为：基于用于识别个体的生物特征标识符，无论以何种方式收集、转换、存储或共享的任何信息。对上述定义比较分析，两者的关系在于生物识别信息有赖于生物识别技术对生物特征的技术认定与数据记载。因此与一般个人信息的直接表达形式不同，对于某人体生物识别特征，若可被认定为生物识别信息，需要取决于生物识别技术的识别能力、以及将该生物特征转换为数据形式描述的可行性。因此综合上述规定与界定方法，本文认为生物特征识别信息，是指人体固有的生理特性（如指纹、脸象、虹膜等）和行为特征（如笔迹、声音、步态等），并可用于识别特定个人身份的生物信息。2020年1月生效的《加利福尼亚州消费者隐私法》（The California Consumer Privacy Act，简称CCPA）反映出了生物识别技术与生物特征信息在技术与理念上的时代更新，CCPA规定生物识别信息属于个人信息范畴。
生物识别信息与一般个人信息的本质区别是什么？本文认为在于生物特征信息的唯一识别性，即直接识别作用。CCPA规定“生物特征信息”是指个体的生理、生物学或行为特征（包括个体的DNA），可以单独使用、也可以联合使用、或者与其他识别性数据联合使用，以确定个体身份的信息。本文并不认同该定义，唯一识别性是判定生物识别信息的前提条件。根据GDPR与Regulation (EU) 2018/1725中的规定，生物特征数据（biometric data）是指经过特定技术处理的自然人身体、生理或行为特征，以此允许或确认该自然人的唯一标识的个人数据，包括面部图像与指纹扫描数据（dactyloscopic data）。由上述规定推知，有关个人的生理或行为特征的数据，只有经允许对自然人身份进行独特识别或特定技术手段处理后，才符合GDPR规定的生物特征数据的定义，由此意味着个人的面部照片只有被用于直接识别或验证身份时，才符合个人信息保护规定中的“生物特征”。生物识别技术通常也会评估其他生物因素如眼睛和鼻子、鼻子和嘴巴之间的距离等，以便唯一地识别某个人。因此如果不能唯一地识别特定个体，个人的普通照片可能不具备生物特征数据的资格。但是，当技术进步到足以通过照片提取出生物特征数据时，照片数据也符合生物特征数据的定义。所以，随着生物识别技术的发展，原来不属于生物识别信息的生物特征也可能唯一地识别或验证特定个人，从而满足生物特征数据的定义。因此，生物特征的数据保护范围随着技术发展处于动态变化中。在宽泛术语下定义生物特征数据的表现，也意味着GDPR认识到生物识别技术将继续发展，而开放式定义涵盖了未来技术发展中可能符合生物识别信息定义的各种生物识别特征。
生物识别特征与生物识别信息、生物识别信息与个人信息的关系是什么？在此基础上，如何具体界定生物识别信息的内涵与外延？在识别性上，生物识别特征与其他身体特征如基因与血型的本质区别是什么？基于个人信息的核心特性，结合我国法律规制现状，基因与血型信息在什么情况下可被作为生物识别信息予以保护？以下具体阐释。
1. 生物识别信息与基因信息的区别与联系
关于个人生物识别信息的范围，《个人信息安全规范》附录A（个人信息示例）与附录B（个人敏感信息判定）均列举了个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等七项内容。《生物特征识别信息的保护要求（征求意见稿）》也明确表示生理特征包括DNA在内。GDPR中，生物特征信息是与基因信息或健康数据是独立并列的个人信息类别。定义了 “生物特征数据”、“基因信息”与“健康有关的数据”。由此GDPR的生物特征数据的范围不包含基因信息在内。世界首部生物信息立法《伊利诺伊州生物特征信息隐私法》(Illinois Biometric Information Privacy Act，简称BIPA) 规定了生物特征数据包括视网膜扫描（Retina scan）、虹膜扫描（Iris scan）、指纹（Fingerprint）、声纹（Voiceprint）、手部扫描（Hand scan）、面部几何形状（Face geometry），不包括人口统计数据、身体描述、书写样本、签名、照片或者其他用于医学或科研目的的生物材料，所以BIPA的适用对象也不包含基因信息在内。美国2008年颁布的《基因信息反歧视法》专门规范雇佣与保险领域中使用基因信息的行为。对比来看，目前我国规制体系中生物识别信息涵盖个人基因信息。《生物特征识别信息的保护要求（征求意见稿）》规定生物特征识别数据包括生物特征样本、生物特性、生物特征模型、生物性质、原始描述数据的生物特征识别特征，或上述数据的聚合。由该规定看出，生物样本数据库亦属于生物特征识别数据。生物样本库也被称为生物银行( Biobank) ，是指集中保存人类生物材料、微生物以及动植物标本，用于疾病临床治疗、生命科学研究和生物产业开发的生物应用系统。一般包括组织、全血、血浆、血清、DNA、RNA、生物体液或经初步处理过的生物样本，以及与这些生物样本相关的各种临床资料、病理、治疗与随访等信息数据。生物样本中包含大量基因信息，因此引发了个人信息保护方面的关注。综合上述规定，个人基因信息与集合性的个人基因信息亦属于个人生物识别信息范畴，适用2019年7月1日起生效的《人类遗传资源管理条例》。