“刷脸”时代 你的个人生物信息还好吗？

近日，一种“面相测试”在网上引发了不少的关注，网友称在扫码进入应用界面后，可以上传个人照片并进行面相测试，有不少人还在微博和朋友圈等晒出了自己的测试结果。但同时，也有不少网友转发称，“不要进行扫码面相测试，用户面部识别信息可能会被盗用”。

伴随着生物医学研究的进步，人体的指纹、虹膜、面容、DNA等个人生物信息的获取、采集、存储和应用越发便利和普及。不少平台通过收集个人生物信息作为用户登录密钥，如人脸识别、指纹识别等，甚至连支付也进入了“刷脸”时代。

然而，这些先进科技在给人们带来便利的同时，也带来了新的烦恼。如果生物信息在收集、使用和保护中不当或存在漏洞，将会给个人信息安全、生命财产安全、社会治理甚至国家安全问题带来巨大的挑战。

两会期间，全国人大代表、北京科学学研究中心副主任伊彤提交《关于开展公民个人生物信息保护立法的建议》。建议提出，“公民个人生物信息具有唯一性和不可变更的特质，一旦泄露就是终身泄露，其敏感程度和利用价值远高于一般信息，存在特殊风险。”

对此，有学者认为，个人生物信息安全上升到法律层面的认知应体现为，对于个人的生物信息，法律应该确认，并且给予保障；对于侵犯公民生物信息的行为，法律应该界定，并且给予惩戒；对于因生物信息泄露而造成的歧视和健康受损后果，法律要予以禁止并进行严惩，而且要给予赔偿。

●事件

“面相测试”需获得用户信息?

有媒体调查后发现，“面相测试”提示要获得用户的公开信息，包括昵称、头像、地区及性别，在选择“允许”后才可进行下一步。

在上传一张照片后，系统再次提示要确认照片是本人，并称“每人仅有一份免费报告，首次检测到的面部数据会与您的账号绑定”。点击“是本人照片”后，系统有几十秒的分析时间，随后生成面相概述、五官评分和五官的介绍等。但除了眼睛和嘴巴等五官介绍外，应用提示要付2元才可以解锁鼻相解读。此外，应用中还提供所谓的“面相事业运程报告”和“面相情感运程报告”，但都需要付费19.8元。

据应用中介绍，除了面相测试以外，系统中还提供299元一次的“资深大师在线私人看相”服务，并在招募推广渠道。

不同链接指向同一个平台

据调查，有不少公众号内都提供这种“面相测试”的链接，但很多链接点开后都导向同一个测试平台。根据介绍，这款“面相测试”是由杭州算术科技有限公司开发。

该公司推广经理薛先生称，用户如果不放心数据安全，在进行测试后可以自行删除报告，并称公司在隐私保护方面做到的是欧盟通用数据保护条例标准，且有专业的运维工程师维护。对于近日不少网友建议不要进行面相测试，会有泄露信息的风险的提示，薛先生回应称“是有人在黑我们”。

除了测试本身以外，薛先生称公司确实在针对“面相测试”寻找渠道推广代理。根据推广工作人员介绍，招募代理的推广渠道主要包括朋友圈、微信私聊、微博和贴吧等网络平台。

推广人员分享的代理收益似乎也很诱人，有代理依靠这些“高成交”的文案获得了2.8万余元的收益。薛先生称，目前公司已招募到很多代理推广，因为这个测试“变现能力好”，代理会有属于自己的后台小程序，小程序里可以看到付费用户。对于代理而言，薛先生称“用户测试付费就可以变现”。那么公司如何盈利？薛先生只称是“互助互利”。

●声音

娱乐APP安全性无保障

“我们的面部信息，或者说表情相关的一些信息，可以跟密码是一样的。如果你认为你的面部信息跟密码一样重要的话，那么你肯定不会轻易地把你的密码上传给任何一个你不信任的对象。”电子科技大学视频加联创中心副教授曾辽原在接受媒体采访时说道，“具体到测面相这个事上，面相的测试本身并不是一个刚需中的刚需，换句话说它不是像银行这样我们必须要做的转账的一些业务。它的安全性，在背后的这些运营的团队或者组织，明显没有其他一些严密的正常的或者说公开的、有国家背书的这些组织做的那么好。所以在上传这些信息去做一些面相测试，它其实是更偏向娱乐的一种APP的话，大家要极其谨慎。”

生物信息是最后一道防线

“用户对这一类需要上传照片的应用要高度警惕，原则上能不参加就不参加。”DCCI互联网数据中心创始人胡延平介绍，涉及到用户上传照片的行为已经不只是隐私问题，而是用户的网络安全问题。”“生物信息是个人信息安全的最后一道防线，最后一道防线不能轻易泄露，不能轻易放弃。”胡延平进一步解释了用户要注意个人信息的原因：

其一，对于目前很多互联网公司和开发者来说，他们的安全防护水平以及数据保护水准都还比较低，存在着信息泄露的风险。

其二，人的生物信息，比如指纹、视网虹膜和人脸识别，这三个方面的关键信息一定不能轻易提交。如果仅仅是用户名和密码，可以随时更改，但是指纹信息和面部特征等只有一次，不能随意更改。

360信息安全部移动安全团队负责人周烨也表示，在整个测试过程中，多个环节会存在信息泄露风险；相关程序开发公司所在服务器的安全性如果不高，也容易被黑客攻击。

另外，相关公司或者团伙如果是灰黑色产业，本身就是为收集数据所开发的相关程序。

●观点

制定个人生物信息安全规范

“生物信息安全是一个庞大的领域，个人生物信息保护是这个领域亟待解决的问题。”学者张田勘提出，目前，个人生物信息的法律保护面临着三个问题：一是个人生物信息权作为具有人格权属性的私权，尚未明确纳入私法保护范围；二是针对个人生物信息在刑事侦查、治安管理、人口治理、医疗卫生等领域的非商业应用，以及政府和相关机构的责权利，特别是个人生物信息权保护边界等急需明确；三是针对个人生物信息商业应用和相关产业侵权风险及不正当竞争，目前缺乏相应的特殊规制，法律救济、行政处罚也无法律依据。

对此，可以立法进一步规范相关内容，诸如虹膜和面部识别的技术可以在什么范围内使用，以及如何使用，包括授权和使用者的等级，都需要在立法中详细规定。这些方面已经零散地体现《民法总则》《网络安全法》等司法解释和规定中，但是并未形成完整体系。2018年5月1日《信息安全技术个人信息安全规范》（GB/T 35273-2017）实施，可以比照这个规范来制定个人生物信息安全规范，或者补充和修改这一法律，把个人生物信息安全作为一个独立的章节加入到《信息安全技术个人信息安全规范》中。

升级技术完善相关法律

“立法只是一个大的保障，立法后如何执法，可能存在哪些法规漏洞，都关系到个人生物信息安全的保障”。张田勘认为，现在的技术和法律还很难完全保护个人的生物信息泄露，因此，需要在个人生物信息的保护上不断进行技术的升级改造、法律的补充完善。

技术层面而言，在进行个体识别和其他个人信息时，不只是使用个人生物信息，也要结合使用其他方式。由于人脸识别为代表的生物个体识别技术现阶段还不太成熟，极易被盗用，现在还不宜上网和在网上广泛使用，可以在不联网的区域进行局域或区域使用，如门禁、保险箱和银行保险库等，并且应当配以身份证等的识别，这样既可以防止因错误识别造成的安全隐患，也可以防止人脸识别等生物信息在使用和保管的过程中被盗和泄露。

法律层面而言，刑事鉴识中对个人生物信息的采集和使用等问题不仅存在于中国，在国际上也是两难境地。一是警方有多大权限采集人的DNA生物信息，二是DNA信息被采集后如何保存和避免泄露，这些都是各国立法时所应考虑的内容。

伊彤的提案就表达了担心，把每个人的基因隐私交出去，未必安全，因为这些信息随时可以泄露。因此，对于生物信息安全，当然要立法，基本原则应参照1990年人类基因组计划启动之时提出的基因隐私保护原则，核心是，对人类基因的隐私要采取保护，基因研究的结果要遵循不伤害、知情同意、利益共享和基因平等等多项原则。 本报综合

新闻推荐

康得新拟担保逾百亿，涉及5家子公司 新增126.7亿元担保额度；一董事投出反对票，担心“借款有再被控股股东侵占风险”

3月17日，上市公司ST康得新（002450）披露公告称，公司于3月15日召开董事会，以“赞成5票，反对1票，弃权1票”审议通过关于为控股...