生物信息保护规则：生物特征信息采集愈发普遍

生物信息保护规则：生物特征信息采集愈发普遍生物特征信息的识别体系还不完善，被冒用的风险依然存在。以人脸识别为例，当前人脸识别技术已经达到商用级别，但是面临的挑战依然很多，如对双胞胎的识别还是一个难点；对于假体识别的疏漏依然存在；线上远程人脸识别还没有建立一个可信的环境来支持，如网上曾流传一则视频，显示当事人用一个3D打印的人脸远程破解刷脸支付，用别人的脸为自己在线购买了一张高铁票。生物特征信息关乎身体、生理和行为特征，隐私性更强。生物特征信息与个人行为强相关，容易泄露个人行为、位置行踪等信息。如人脸信息被采集后，一旦被不当使用，行走在有摄像头的区域，摄像头可以随时捕捉和识别到你，你根本就无所遁形，个人隐私无法得到有效保障。一般来说，生物特征信息包括指纹、声纹、人脸、虹膜、掌纹等生理和行为特征信息。生物特征信息多用于身份识别，当前较为常见的使用场景有机场、门禁以及支付等。在进行身份识别前，需要先采集个人生物特征信息，便于在后续身份认

2019-10-21来源：学习时报作者：陆强华

图片来源：视觉中国

网络平台和各类移动APP日益成为采集个人信息的主渠道。随着人工智能等产业发展，刷脸支付普及以及短视频产业的繁荣，采集的个人信息种类逐步转向指纹、人脸等生物特征信息，消费者信息保护再一次成为了大众的焦点。

生物特征信息与一般的个人信息的不同

一般来说，生物特征信息包括指纹、声纹、人脸、虹膜、掌纹等生理和行为特征信息。生物特征信息多用于身份识别，当前较为常见的使用场景有机场、门禁以及支付等。在进行身份识别前，需要先采集个人生物特征信息，便于在后续身份认证时进行比对和验证。那么，与身份证号、账号以及手机号等个人身份信息相比，生物特征信息有哪些不同呢？

生物特征信息具有唯一性和不变性。银行账号、移动手机号等个人身份信息有一定的生命周期。对个人来说，换个银行卡或者密码、换个手机号等比较容易。但是指纹、人脸等生物特征信息是和人的生理或者行为特征一一对应的。因此，生物特征信息最大的问题是一旦信息被泄露后，无法像密码、银行卡一样进行快速修改或者更换。个人生物特征信息在互联网上可无限复制、难以消灭，危害性难以预测和估量。

部分生物特征信息被非法采集的风险比较高。最为典型的就是人脸信息，人脸普遍暴露在商场、旅馆、饭店、街道等各种公共场所，不法分子通过远程、非接触方式，在用户本人毫无察觉的情况下“无声无息”地非法批量采集生物特征信息。

生物特征信息关乎身体、生理和行为特征，隐私性更强。生物特征信息与个人行为强相关，容易泄露个人行为、位置行踪等信息。如人脸信息被采集后，一旦被不当使用，行走在有摄像头的区域，摄像头可以随时捕捉和识别到你，你根本就无所遁形，个人隐私无法得到有效保障。

生物特征信息的识别体系还不完善，被冒用的风险依然存在。以人脸识别为例，当前人脸识别技术已经达到商用级别，但是面临的挑战依然很多，如对双胞胎的识别还是一个难点；对于假体识别的疏漏依然存在；线上远程人脸识别还没有建立一个可信的环境来支持，如网上曾流传一则视频，显示当事人用一个3D打印的人脸远程破解刷脸支付，用别人的脸为自己在线购买了一张高铁票。

生物特征信息采集在数字经济时代会越来越普遍

生物特征信息日益成为个人信息中的“金矿”。随着人工智能和大数据的发展，数据已经成为互联网产业发展的重要原料。由于生物特征信息识别更加便捷，不再需要携带手机、银行卡、钥匙或者身份证等介质，未来将成为网络经济中个人身份验证的新兴入口，成为大部分互联网商业模式成立和发展的重要基础设施。另一方面，各类机构通过多维度收集用户数据，能够更精准地为用户“画像”，从而实现精准营销和风险管理，生物特征信息可以直接“锁定”个人身份和行为，因此，从大数据分析的信息序列中，生物特征信息排位靠前，具有重要的商业价值，日益成为数据领域的必争之地。

生物特征信息采集呈现规模化和产业化态势。从2013年指纹识别技术应用在手机上开始，生物特征识别技术大规模进入我们的日常生活。除了指纹识别外，近几年，人脸识别技术发展迅速，刷脸支付已经逐渐普及。消费者通过“刷脸”进行支付，更加便捷高效，而且体验上更快捷，尤其受到年轻人的喜爱。另一方面，人脸识别可用在追捕逃犯、重要场合快速安检等方面，有利于社会安全管理。目前我国法律对哪些机构或个人可进行人面部等信息采集以及如何采集使用等还没有全面、明确的规定。部分商业机构利用这个“时间差”，不断加快生物特征信息的采集工作，支持后端的身份识别和数据分析，拓宽数据竞争的“护城河”。特别是随着刷脸支付、刷脸辅助开户等服务的进一步推广，对于生物特征信息的采集将越来越普遍。

生物特征信息采集管理亟待加快推进

政府部门加快推进个人信息保护的立法立规。今年以来，网信办、工信部、信息安全标准化技术委员会等部门接连发布文件。正在公开征求意见的《数据安全保护法》要求收集个人信息使用规则应当明确具体、简单通俗、易于访问，并重点明确：一是收集使用个人信息的目的、种类、数量、频度、方式、范围等；二是向他人提供个人信息的规则；三是个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法；四是仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。针对当前移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息收集安全问题，《信息安全技术移动互联网应用（APP）收集个人信息基本规范（草案）》明确了个人信息收集必须要用户同意和最小化原则。可见，政府部门对个人信息保护的原则和底线都是明确和一致的。

与其他个人信息相比，生物特征信息收集更加敏感。生物特征信息无疑属于个人信息当中最具争议、最受关注的部分。如前面提到的ZAO的人脸信息收集。另外一个事件也比较典型，据报道，某大学“试水”教室安装人脸识别系统，“上课发呆、玩手机都能被感知”，引发了社会公众对于隐私保护的担忧。教育部对此做出回应，“希望学校慎重使用生物特征识别等技术，对于学生的个人信息，能不采集就不采，能少采集就少采集，尤其涉及到个人生物信息的”。在国外，对于生物特征信息的保护更加严格。由于担心侵犯公众隐私权，从而产生法律风险，微软删除了其最大的公开人脸识别数据库——MS Celeb。MS Celeb数据库拥有超过1000万张图像，将近10万人的面部信息。

我国还没有专门针对收集和使用生物特征信息做出规定。不同于一般的个人信息，对于生物特征信息应实行更加严格的管理，对实行人脸识别、录入的单位及相关人员应严格限制。对于新出现的一些生物特征识别技术，类似虹膜、指纹、刷脸、声音等辨别认证技术必须“特许经营”，凡此类技术公司设立必须“先证后照”，必须有较高的进入门槛。

增强消费者对生物特征信息采集的辨别力

对于个人信息的保护，需要政府加快立法，加强管理，设定底线，严厉打击侵害个人隐私的违法行为。作为消费者，尽管出于便捷性和政策性的要求，我们不可能完全不使用自己的生物特征信息，但是要具备一定的辨识力和自我保护的意识，不能仅图一时便捷。

消费者要进一步提升个人信息保护的意识。在互联网和信息大爆炸的时代，各类机构过度收集、非法使用甚至泄露个人信息的行为屡见不鲜。这些泄露的信息，很可能会成为侵害个人权益的突破口。个人信息泄露导致的网络暴力、网络欺诈、恶意骚扰、传播个人隐私信息等违法行为时有发生。个人生物特征信息泄露的危害性更大。因此，消费者要有个人信息权的概念，培养个人信息保护的意识和能力，强化自身权益的保护。

消费者对生物特征信息采集要保持谨慎态度。消费者在网上办理相关事项时，遇到收集个人信息的情况，要提高警惕，要坚持“最小必要原则”，谨慎提供生物特征信息，特别是在移动APP中弹出的涉及生物特征信息采集的用户协议和隐私政策不要为了使用软件的功能直接点“同意”按钮，最好先浏览一下协议的隐私政策，对那些明显对消费者不利或者涉嫌过度采集的条款可以进行投诉。对于陌生或不常用的APP，不要轻易开启其自带的生物特征识别功能，从而避免提供生物特征信息。

（文章原标题《生物特征信息采集必须取之有道》，刊载于《学习时报》2019年10月18日第2版）