个人生物信息期待立法保护

张凯伦王倩

在信息化加速发展的今天，人脸识别、指纹验证等技术正逐步普及。人们在享受科技进步给生活带来便利的同时，也不能忽视个人生物信息被泄露、滥用等风险——

“刷脸”的风险，你知道多少？

伴随着生物医学研究的进步，人体的指纹、虹膜、面容、DNA等个人生物信息的获取、采集、存储和应用越发便利和普及。不少平台通过收集个人生物信息作为用户登录密钥，如人脸识别、指纹识别等，甚至连支付也进入了“刷脸”时代。

从2018年以来，“刷脸”支付在全国多地落地应用，有“刷脸”功能的自助收银机已在零售、餐饮、医疗等大型商业中得到广泛应用。对于“刷脸”操作模式带来的便利，不少用户给出好评：“太厉害了，以后出门带张脸就行了。”但也有不少用户表示担忧。一位网友称：“人脸和指纹都在‘裸奔’，只有密码在你的脑里。”另一位网友评论道：“当我们走到大街上，我的脸就已经被记录到数据库中了。”也有网友表示：“祈祷我的脸不要被坏人利用。”

那么，“刷脸”技术是否成熟、安全是否有保障、隐私是否会被泄露呢？

“人脸识别的便捷性与安全性不可兼得。”在电子科技大学信息与通信工程学院副教授曾辽原看来，不管什么技术，总有其特有的使用场景，人脸识别技术应该作为核实身份的辅助手段，而不是唯一的、关键的手段，特别是在安全性要求高的领域，更不能作为单一的识别手段。

“个人生物信息直接采集于人体，且是个人生理特性的直接体现并唯一对应……”今年两会期间，全国人大代表、北京科学学研究中心副主任伊彤提交了一份《关于开展公民个人生物信息保护立法的建议》。伊彤认为，个人生物信息与我们平时设定的密码不同，如果密码泄露，我们可以随即换一个密码；而个人生物信息一旦泄露，就是终身泄露，会将用户个人信息安全置于更大的不确定性中，进而引发一系列风险。

曾辽原同时指出，“一旦带有唯一性的生物特征数据被他人盗取利用，会造成个人信息安全、生命财产安全等相关问题，而且会导致大量深层信息被挖掘、曝光，给公民造成物质和精神上的极大损害。”

2018年11月28日，中国消费者协会曾发布《100款App个人信息收集与隐私政策测评报告》。报告显示10类（通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化）100款App中，多达91款App列出的权限涉嫌“越界”，即存在过度收集用户个人信息的问题。其中，10款App对可识别生物信息的收集未能向用户明确重点告知，涉嫌过度收集个人生物识别信息。

中消协表示，个人财产信息、个人生物识别信息属于个人敏感信息。个人敏感信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控，可能对个人信息主体人身和财产带来重大风险。因此，中消协建议，有关部门综合考虑当前App隐私保护方面的严峻形势，加强隐私保护立法，落实具体措施，提高立法立规水平，为消费者个人信息安全提供更好的法律和制度保护。

个人生物信息被滥用

据了解，当前个人生物信息保护的相关法律法规，散见于民法总则、网络安全法、消费者权益保护法以及最高法、最高检和国务院颁布的相关司法解释和规定中，远未形成完整体系。

“我国目前的刑事法律主要以‘侵犯公民个人信息罪’为切入点，对向他人提供、出售以及非法获取个人信息的行为予以处罚。”北京师范大学刑事法律科学研究院副教授、中国互联网协会研究中心副秘书长吴沈括介绍说，一些民事类以及行政类规定，则对一般事业性单位以及网络服务提供者作出了义务性规定，要求其对公民个人信息收集、使用等活动遵循合法、正当等一般原则。

在伊彤代表看来，目前我国个人生物信息的法律保护面临着以下三个问题：一是个人生物信息权作为具有人格权属性的私权，尚未明确纳入私法保护范围；二是针对个人生物信息在刑事侦查、治安管理、人口治理、医疗卫生等领域的非商业应用，以及政府和相关机构的责、权、利，特别是个人生物信息权保护边界等急需明确；三是针对个人生物信息商业应用和相关产业侵权风险及不正当竞争，目前缺乏相应的特殊规制，法律救济、行政处罚也无法律依据。

“大数据相关技术的发展以及云计算和人工智能技术的广泛应用，使得生物信息泄露方式多样化，监管技术难度会更高。”吴沈括指出，立法如何规定生物信息的使用范围或标准，既能使技术得以发展，又能使信息得到保护，这个重要问题亟待解决。

期待立法发力

在个人生物信息保护方面，立法该如何发力呢？“首先，应要求相关企业必须担负起社会责任，进一步规范行业标准，自觉维护所采集、储存的公民隐私数据安全。”曾辽原表示。同时他进一步指出，政府也应该有所作为，建立准入制度、评估制度等。“以人脸识别为例，政府相关部门应尽快设定人脸识别技术的各类标准和公民隐私的保护标准，并加强商业应用领域的市场管理、规制及法律救济，从而推动人脸识别技术规范性地进入各行各业。”

吴沈括建议，对于商业领域应用而言，应当对有关个人生物信息的技术研发问题予以规制，更为重要的是，应当对个人生物信息应用的具体场景作出明确性限制，防止生物信息技术与个人生物信息结合产生具有一定社会危害性的行为。对于非商业领域应用而言，最主要是加强对个人生物信息的安全保护问题，“加强个人生物信息的保护措施与技术手段，强化信息收集主体的义务更为重要。”吴沈括说。

新闻推荐

中信银行召开2019年跨境投资论坛暨信银全球多资产动量指数发布会

5月15日，中信银行在上海召开“全球机会、中国机遇——中信银行资管2019跨境投资论坛暨信银全球多资产动量指数发布会...