2021年3·15晚會一開篇，就曝光了多家知名企業(yè)擅自使用人臉識別系統(tǒng)，對毫不知情的顧客進(jìn)行識別并添加標(biāo)簽。被暗訪的衛(wèi)浴店、汽車4S店、超市甚至劇院，都違反國家相關(guān)規(guī)定和標(biāo)準(zhǔn)，在技術(shù)服務(wù)提供商的幫助下，利用視頻監(jiān)控抓取顧客面部信息，分析其性別、年齡、消費意愿、心情等等個性化信息，亂象令人震驚。

全國人大代表、德力西集團董事局胡成中去年已關(guān)注到這一問題，并在今年全國兩會上正式提交了一份代表建議，呼吁國家高度重視公民生物識別信息的保護(hù)，以更大力度阻止公民漸成“透明人”的傾向。

近年來，隨著人臉識別、大數(shù)據(jù)、人工智能等技術(shù)的飛速發(fā)展和商業(yè)化應(yīng)用，廣大人民群眾在技術(shù)無孔不入的窺視下有漸成“透明人”之憂，有的既得利益方甚至鼓吹“中國人愿意用隱私換便利”。與密碼、住址、手機號等可以更改的個人信息不同，人臉、指紋、聲紋、虹膜等生物識別信息具有唯一性、不可變更性。隨著社會整體信息化程度越來越高，公民生物識別信息一旦泄露，則意味著自家大門永遠(yuǎn)向陌生人敞開，后果不堪設(shè)想。目前雖然《民法典》有了提綱挈領(lǐng)的規(guī)定，但“制度的籠子”還沒有織就，高度重視和嚴(yán)格保護(hù)公民生物識別信息的社會氛圍還沒有形成，主要表現(xiàn)在——

一是場景濫用。公民生物識別信息本是最敏感和重要的個人數(shù)據(jù)，非必要不應(yīng)輕易采集和使用。但由于缺乏全國性的明確約束，一些社區(qū)、企業(yè)、機構(gòu)毫無謙抑敬畏之心，動輒以“方便管理”為由強推“刷臉”系統(tǒng)等技術(shù)設(shè)備，有的學(xué)校甚至用人臉識別來監(jiān)控學(xué)生的上課狀態(tài)，剝奪人民群眾知情權(quán)、選擇權(quán)，絕大多數(shù)人只能在不知利害或者無力反對的狀態(tài)下被動接受。

二是權(quán)限不明。以施行“刷臉”出入的小區(qū)為例，居民的人臉識別數(shù)據(jù)是掌握在居委會手中、業(yè)委會手中、物業(yè)公司手中還是提供技術(shù)設(shè)備的企業(yè)手中，數(shù)據(jù)是否加密，誰有權(quán)讀取、改動、存儲，凡此種種，都缺乏明確、詳細(xì)的要求。

三是監(jiān)督乏力。新版的國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》明確要求，在收集個人生物識別信息前，需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規(guī)則，并征得用戶的明示同意；個人生物識別信息要與個人身份信息分開存儲，原則上不應(yīng)存儲原始個人生物識別信息。但這些要求相關(guān)單位是否執(zhí)行是一個問號，而面對不按要求辦事的單位，人民群眾向誰舉報、有何處罰措施也是一個問號。

鑒于生物識別信息保護(hù)是關(guān)系到每一個人切身利益和安全的要緊大事，而我國的相關(guān)制度和機制建設(shè)滯后于歐盟《通用數(shù)據(jù)保護(hù)條例》、美國《生物識別信息隱私法》等國外范例，與我國數(shù)字經(jīng)濟的發(fā)展水平不相匹配，特提出以下建議：

一、進(jìn)一步細(xì)化、嚴(yán)化相關(guān)法律法規(guī)。在《民法典》的主旨性規(guī)定之外，對《個人信息保護(hù)法》、《刑法》等相關(guān)法律法規(guī)中涉及生物識別信息的部分應(yīng)予以突出強調(diào)和專門規(guī)定，采取比一般個人信息更大的保護(hù)力度、更有力的處罰措施，最大程度限制采集公民生物識別信息的應(yīng)用場景，明確在可以通過其他方式（如刷卡、密碼等）替代的情況下不得采集生物識別信息的基本原則。

二、歸口管理，常態(tài)執(zhí)法。可以考慮在公安或者網(wǎng)信系統(tǒng)增設(shè)專門的數(shù)據(jù)保護(hù)部門，類似瑞典的數(shù)據(jù)保護(hù)局（DPA）。在相關(guān)法律的授權(quán)下，開展對全社會的數(shù)據(jù)安全，尤其是個人生物識別信息的日常管理和保護(hù)工作，既監(jiān)督技術(shù)研發(fā)和商業(yè)開發(fā)是否越界，也監(jiān)督應(yīng)用場景是否合理必要，同時受理人民群眾的舉報投訴、查辦相關(guān)案件。2019年，瑞典一所學(xué)校因未經(jīng)學(xué)生同意而采用人臉識別系統(tǒng)考勤，就被DPA認(rèn)定違反了《通用數(shù)據(jù)保護(hù)條例》，處以罰款約合15萬元人民幣。

三、設(shè)置必要門檻，特別保護(hù)原始數(shù)據(jù)。目前，社會上存在著似乎誰都可以染指公民個人生物識別信息的不合理現(xiàn)象，企業(yè)甚至個人只要開發(fā)一款A(yù)PP，就可以索取或騙取用戶的人臉識別等數(shù)據(jù)，導(dǎo)致信息泄露和相關(guān)黑市交易屢打不絕。國家應(yīng)考慮對企業(yè)涉足個人生物識別信息業(yè)務(wù)采取準(zhǔn)入制度，設(shè)置若干硬性條件，對企業(yè)的數(shù)據(jù)保護(hù)能力、內(nèi)部管理嚴(yán)密性等方面提出硬性要求，并開展常態(tài)化監(jiān)督檢查。同時，為最大限度降低個人生物識別信息原始數(shù)據(jù)的泄露風(fēng)險，建議參考身份證的管理模式，技術(shù)和設(shè)備的研發(fā)企業(yè)只能提供軟硬件服務(wù)，設(shè)備的使用方只能獲得比對相符/不符的最終結(jié)果，均不得存儲數(shù)據(jù)；與公民身份相對應(yīng)的生物識別信息原始數(shù)據(jù)，應(yīng)由國家機關(guān)統(tǒng)一存儲、嚴(yán)格保護(hù)，向合格企業(yè)開放端口但不提供詳細(xì)數(shù)據(jù)，僅提供比對結(jié)果。