全國人大代表、德力西集團董事局胡成中去年已關注到這一問題,并在今年全國兩會上正式提交了一份代表建議,呼吁國家高度重視公民生物識別信息的保護,以更大力度阻止公民漸成“透明人”的傾向。
近年來,隨著人臉識別、大數據、人工智能等技術的飛速發展和商業化應用,廣大人民群眾在技術無孔不入的窺視下有漸成“透明人”之憂,有的既得利益方甚至鼓吹“中國人愿意用隱私換便利”。與密碼、住址、手機號等可以更改的個人信息不同,人臉、指紋、聲紋、虹膜等生物識別信息具有唯一性、不可變更性。隨著社會整體信息化程度越來越高,公民生物識別信息一旦泄露,則意味著自家大門永遠向陌生人敞開,后果不堪設想。目前雖然《民法典》有了提綱挈領的規定,但“制度的籠子”還沒有織就,高度重視和嚴格保護公民生物識別信息的社會氛圍還沒有形成,主要表現在——
一是場景濫用。公民生物識別信息本是最敏感和重要的個人數據,非必要不應輕易采集和使用。但由于缺乏全國性的明確約束,一些社區、企業、機構毫無謙抑敬畏之心,動輒以“方便管理”為由強推“刷臉”系統等技術設備,有的學校甚至用人臉識別來監控學生的上課狀態,剝奪人民群眾知情權、選擇權,絕大多數人只能在不知利害或者無力反對的狀態下被動接受。
二是權限不明。以施行“刷臉”出入的小區為例,居民的人臉識別數據是掌握在居委會手中、業委會手中、物業公司手中還是提供技術設備的企業手中,數據是否加密,誰有權讀取、改動、存儲,凡此種種,都缺乏明確、詳細的要求。
三是監督乏力。新版的國家標準《信息安全技術個人信息安全規范》明確要求,在收集個人生物識別信息前,需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規則,并征得用戶的明示同意;個人生物識別信息要與個人身份信息分開存儲,原則上不應存儲原始個人生物識別信息。但這些要求相關單位是否執行是一個問號,而面對不按要求辦事的單位,人民群眾向誰舉報、有何處罰措施也是一個問號。
鑒于生物識別信息保護是關系到每一個人切身利益和安全的要緊大事,而我國的相關制度和機制建設滯后于歐盟《通用數據保護條例》、美國《生物識別信息隱私法》等國外范例,與我國數字經濟的發展水平不相匹配,特提出以下建議:
一、進一步細化、嚴化相關法律法規。在《民法典》的主旨性規定之外,對《個人信息保護法》、《刑法》等相關法律法規中涉及生物識別信息的部分應予以突出強調和專門規定,采取比一般個人信息更大的保護力度、更有力的處罰措施,最大程度限制采集公民生物識別信息的應用場景,明確在可以通過其他方式(如刷卡、密碼等)替代的情況下不得采集生物識別信息的基本原則。
二、歸口管理,常態執法。可以考慮在公安或者網信系統增設專門的數據保護部門,類似瑞典的數據保護局(DPA)。在相關法律的授權下,開展對全社會的數據安全,尤其是個人生物識別信息的日常管理和保護工作,既監督技術研發和商業開發是否越界,也監督應用場景是否合理必要,同時受理人民群眾的舉報投訴、查辦相關案件。2019年,瑞典一所學校因未經學生同意而采用人臉識別系統考勤,就被DPA認定違反了《通用數據保護條例》,處以罰款約合15萬元人民幣。
三、設置必要門檻,特別保護原始數據。目前,社會上存在著似乎誰都可以染指公民個人生物識別信息的不合理現象,企業甚至個人只要開發一款APP,就可以索取或騙取用戶的人臉識別等數據,導致信息泄露和相關黑市交易屢打不絕。國家應考慮對企業涉足個人生物識別信息業務采取準入制度,設置若干硬性條件,對企業的數據保護能力、內部管理嚴密性等方面提出硬性要求,并開展常態化監督檢查。同時,為最大限度降低個人生物識別信息原始數據的泄露風險,建議參考身份證的管理模式,技術和設備的研發企業只能提供軟硬件服務,設備的使用方只能獲得比對相符/不符的最終結果,均不得存儲數據;與公民身份相對應的生物識別信息原始數據,應由國家機關統一存儲、嚴格保護,向合格企業開放端口但不提供詳細數據,僅提供比對結果。
手機圖頁網
