在信息化加速發展的今天，人臉識別、指紋驗證等技術正逐步普及。享受科技進步給生活帶來便利的同時，也不能忽視個人生物資訊被泄露、濫用等風險——

　　“刷臉”的風險，你知道多少？

　　伴隨著生物醫學研究的進步，人體的指紋、虹膜、面容、DNA等個人生物資訊的獲取、採集、存儲和應用越發便利和普及。不少平臺通過收集個人生物資訊作為用戶登錄密鑰，如人臉識別、指紋識別等，甚至連支付也進入了“刷臉”時代。

　　據悉，“刷臉支付”的模式採用了人工智慧、生物識別、大數據風控技術，使用戶憑借“一張臉”就能輕松、高效、便利地完成支付。從2018年以來，“刷臉”支付在全國多地落地應用，有“刷臉”功能的自助收銀機已在零售、餐飲、醫療等大型商業中得到廣泛運用。

　　近日，記者在購物時看到，不少商店超市都開始試行“刷臉識別支付”的付款方式，于是現場體驗了一把。按照流程，將購買的物品放在自助付款設備上，待螢幕顯示已購買的商品資訊，即可點擊“刷臉支付”，記者將臉對準攝像頭進行“人臉識別”後，再輸入手機號碼，幾秒鐘後即成功支付。記者經觀察發現，雖然選擇“刷臉支付”不用排隊等候，但選擇該付款方式的顧客並不多。

　　隨著人工智慧應用的成熟，越來越多的生物識別技術被廣泛應用到生活和工作中，人們也越來越關注自己的生物信息安全問題。不久前，一種“人工智慧測面相”的小程式走紅于朋友圈，用戶掃碼進入應用界面後，上傳個人照片或是實時拍照來進行下一步的面相測試，最後轉發至朋友圈即可得出測試結果。但同時，也有不少用戶體驗完後轉發稱，“不要進行掃碼面相測試，小心你的用戶面部資訊被盜用”。

　　除了這些使用場景，人臉識別技術還在“互聯網＋政務”領域被廣泛應用。有媒體報道，在湖北武漢，一臺“刷臉”繳費機在武漢市公安局出入境窗口上線，辦事群眾只需掃描出入境回執單，完成“刷臉”，輸入手機號確認，就能完成辦證繳費；在寧夏回族自治區，退休老年人通過手機客戶端輸入身份證號等資訊，進行“刷臉”認證，即可完成社保待遇資格認證；在浙江，省直住房公積金中心與合作銀行進行數據聯網，繳存客戶無需再到銀行開具流水證明或現場排隊辦理，只需輕點滑鼠、刷臉認證便可完成還貸提取網上申請……

　　“人臉和指紋都在裸奔”

　　對于此類“刷臉”操作模式帶來的便利，不少用戶給出“好評”稱：“太厲害了，以後出門帶張臉就行，門鎖都靠臉部識別，吃飯都不用再帶手機了”“刷臉比掃二維碼方便多了，未來是人臉識別的時代，一臉走遍天下！”

　　但也不少用戶表示擔憂。一位網友稱：“人臉和指紋都在裸奔，只有密碼在你的腦裏。”另一位網友評論道：“當我們走到大街上，我的臉就已經被記錄到數據庫中了。”也有網友表示：“祈禱我的臉不要被壞人們利用。”

　　那麼，“刷臉”技術是否成熟、安全是否有保障呢、隱私是否會被泄露呢？

　　“人臉識別的便捷性與安全性不可兼得。”在電子科技大學資訊與通信工程學院副教授曾遼原看來，不管什麼技術總有其特有的使用場景，人臉識別技術應該作為核實身份的輔助手段，而不是唯一的、關鍵的手段，特別是在安全性要求高的領域，更不能作為單一的識別手段。

　　“個人生物資訊直接採集于人體、且是個人生理特性的直接體現並唯一對應……”今年兩會期間，全國人大代表、北京科學學研究中心副主任伊彤提交了一份《關于開展公民個人生物資訊保護立法的建議》，伊彤認為，個人生物資訊與我們平時設定的密碼不同，如果密碼泄露，我們可以隨即換一個密碼；而個人生物資訊一旦泄露，就是終身泄露，會將用戶個人信息安全置于更大的不確定性中，進而引發一係列風險。

　　曾遼原同時指出，“一旦帶有唯一性的生物特徵數據被他人盜取利用，會造成個人信息安全、生命財産安全等相關問題，而且會導致大量深層資訊被挖掘、曝光，給公民造成物質和精神上的極大損害。”

　　2018年11月28日，中國消費者協會曾發布《100款App個人資訊收集與隱私政策測評報告》。報告顯示10類（通訊社交、影音播放、網上購物、交易支付、出行導航、金融理財、旅遊住宿、新聞閱讀、郵箱雲盤和拍攝美化）100款App中，多達91款App列出的許可權涉嫌“越界”，即存在過度收集用戶個人資訊的問題。其中，10款App對可識別生物資訊的收集未能向用戶明確重點告知，涉嫌過度收集個人生物識別資訊。比如美圖秀秀就遭到“點名”。作為一款以修圖為主的App，美圖秀秀不聚焦主業，卻涉嫌過度收集可識別生物資訊等。不少用戶表示：我只想安安靜靜地美個顏，你卻偷偷惦記我的生物資訊，還能不能愉快地玩了？對此，中消協表示，個人財産資訊、個人生物識別資訊屬于個人敏感資訊。個人敏感資訊一旦泄露，將導致個人資訊主體及收集、使用個人資訊的組織和機構喪失對個人資訊的控制能力，造成個人資訊擴散范圍和用途的不可控，可能對個人資訊主體人身和財産帶來重大風險。因此，中消協建議，有關部門綜合考慮當前App隱私保護方面的嚴峻形勢，加強隱私保護立法，落實具體措施，提高立法立規水準，為消費者個人信息安全提供更好的法律和制度保護。

　　而在今年2月份，中國就發生了一起廣受爭議的隱私安全事件——一家專注安防領域的人工智慧企業被曝發生大規模數據泄露事件，超過250萬人的數據可被獲取，有680萬條數據疑似泄露，包括身份證資訊、人臉識別圖像及圖像拍攝地點等。據悉，該企業主要研發“人臉識別技術”，與不少部門機構都有人工智慧的安防合作。

　　“目前，個人生物資訊的安全問題是不可控的。”曾遼原表示，人臉和其他生物特徵數據間的一個巨大區別是，它們可以遠距離起作用，這意味著我們在網上自拍或在街上走路時，都有可能不自覺交出了自己的個人生物資訊。可以説，隨著攝像頭越來越普及，我們將真正進入“弱隱私”時代。如今，人臉、聲紋、虹膜、指紋，甚至是步態都已經成為重要的個人身份資訊，隨著生物特徵識別技術在生活中的廣泛使用，極有可能成為個人隱私的泄露方式。

　　中國法學會網絡與資訊法學研究會副秘書長周輝此前在接受媒體採訪時建議，人們應提高風險防范認知水準，了解“人臉識別”類應用可能存在的風險。對于應用方，應當增加風險提示説明。另外，監管部門也應加強消費者教育，對應用方依法加強管理。如果應用方存在非法利用採集到的相關資訊，可依據網絡安全法第64條等有關規定進行處罰。

　　個人生物資訊被濫用

　　據了解，當前個人生物資訊保護的相關法律法規，散見于民法總則、網絡安全法、消費者權益保護法以及最高法、最高檢和國務院頒布的相關司法解釋和規定中，遠未形成完整體係。伊彤代表稱，我國行政機關和特定行業針對個人生物資訊也有一些規定，如公安機關對犯罪分子、刑事被告人的相關生物資訊有保密義務，安保服務、徵信行業對個人生物資訊收集也有所規定，但這類規定的涵蓋范圍比較有限。

　　“我國目前的刑事法律主要以‘侵犯公民個人資訊罪’為切入點，對向他人提供、出售以及非法獲取個人資訊的行為予以處罰。”北京師范大學刑事法律科學研究院副教授、中國互聯網協會研究中心副秘書長吳沈括介紹説，一些民事類以及行政類規定，則對一般事業性單位以及網絡服務提供者作出了義務性規定，要求其對公民個人資訊收集、使用等活動遵循合法、正當等一般原則。

　　在伊彤代表看來，目前我國個人生物資訊的法律保護面臨著以下三個問題，一是個人生物資訊權作為具有人格權屬性的私權，尚未明確納入私法保護范圍；二是針對個人生物資訊在刑事偵查、治安管理、人口治理、醫療衛生等領域的非商業應用，以及政府和相關機構的責權利，特別是個人生物資訊權保護邊界等急需明確；三是針對個人生物資訊商業應用和相關産業侵權風險及不正當競爭，目前缺乏相應的特殊規制，法律救濟、行政處罰也無法律依據。

　　“大數據相關技術的發展以及雲計算和人工智慧技術的廣泛應用，使得生物資訊泄露方式多樣化，監管技術難度會更高。”吳沈括指出，立法如何規定生物資訊的使用范圍或標準，既能使技術得以發展，又能使資訊得到保護，這個重要問題亟待解決。

　　目前，規范人臉識別技術都在強調個人生物資訊的保密、防止泄露等問題。而北京師范大學法學院教授、亞太網絡法律研究中心主任研究員劉德良則持不同觀點，他認為目前個人生物資訊所面臨的問題並不是需要保護，而是資訊被濫用的問題。“未來立法重點應放在包括個人生物資訊在內的各種身份資訊被利用時，該如何嚴管相關機構。”

　　“我們的個人生物資訊已經存在于社會中無數個節點，所謂的泄露往往是在某一個特定的濫用環節上，很難去確定是哪一個節點。我們總是一味地強調保密，防止泄露等安全問題，但在很多情況下我們必須使用這些資訊，因此強調保密不如去有效地防范個人生物資訊的濫用，去打擊濫用。”劉德良補充道，目前公眾的焦點應該集中在個人生物資訊被濫用或在使用過程中的規范問題。

　　吳沈括還表示，對于個人資訊的非商業應用行為，鑒于資訊適用主體為政府相關機構，相對一般的網絡服務提供者來説，公民提供給政府機構的個人生物資訊的真實性以及準確性更高，因此，建議對該類機構應當予以更為嚴格的規范，應當明確規范相關機構在個人資訊處理行為中的權利以及義務范圍，避免個人資訊的過度使用。同時，相關部門對于個人DNA生物資訊的使用應當進行嚴格的審核，考量使用目的是否具有必要性以及適當性。此外對于存儲的時長等問題應當向個人資訊主體作出必要的説明，以確保個人資訊主體對其資訊所享有的一般權利。

　　曾遼原同樣也認為規范人臉識別，重點在于“濫用資訊”的問題上。“獲得人們同意的簡單規則具有非常大的意義，而不應該濫用人臉識別技術。”曾遼原稱，目前在如何規范人臉識別方面，美國的伊利諾伊州和德克薩斯州是有先例的，相關法律法規要求私企使用人臉識別技術必須得到用戶同意，但中國還沒有制定相關法律。

　　期待立法發力

　　“為避免法律滯後對科技發展的不利影響，建議對個人生物資訊權進行相關立法規劃和研究，並注意與隱私權保護的區別與銜接，構建和完善符合中國實際的個人生物資訊保護制度。”伊彤代表建議，政府應在法律、法規中明確公權力與個人生物資訊權的邊界，並加強商業應用領域的市場管理、規制及法律救濟。“希望相關部門能重視，提前作出部署，以免産生問題後陷入被動。”

　　在個人生物資訊保護方面，立法該如何發力呢？“首先，應要求相關企業必須擔負起社會責任，進一步規范行業標準，自覺維護所採集、儲存的公民隱私數據安全。”曾遼原表示。同時他進一步指出，政府也應該有所作為，建立準入制度、評估制度等。“以人臉識別為例，政府相關部門應盡快設定人臉識別技術的各類標準和公民隱私的保護標準，並加強商業應用領域的市場管理、規制及法律救濟，從而推動人臉識別技術規范性地進入各行各業。”

　　吳沈括建議，立法要考慮商業領域應用與非商業領域應用兩方面。他表示，一方面對于商業領域應用而言，應當對有關個人生物資訊的技術研發問題予以規制，更為重要的是，應當對個人生物資訊應用的具體場景作出明確性限制，防止生物信息技術與個人生物資訊結合産生具有一定社會危害性的行為。另一方面對于非商業領域應用而言，最主要是加強對個人生物資訊的安全保護問題，“加強個人生物資訊的保護措施與技術手段，強化資訊收集主體的義務更為重要。”吳沈括説道。

　　“在個人生物資訊被濫用環節中，我國立法大部分都是空白的，或是缺乏一些可操作性的條款。”而劉德良告訴記者，他正在起草一個專家建議稿，重點關注個人生物資訊濫用的防治問題，即可以把個人資訊分為幾種類型，需要將那些濫用的個人資訊厘清，針對每一個濫用的種類，分別從民事立法如侵權責任法，以及行政、刑事立法對它進行規制。他指出，“我們未來的立法，如果不從這個方面去努力，仍然試圖按照傳統的思路去保密、防止泄露，那麼我們的問題永遠得不到真正的解決。”（張凱倫　王倩）

【糾錯】

責任編輯： 薛濤