2019-04-17

还能放心地“刷脸”吗? 公民个人生物信息亟待立法保护

编辑:王艺
导 语

享受科技进步给生活带来便利的同时,也不能忽视个人生物信息被泄露、滥用等风险。“刷脸”的风险,你知道多少?

W020180911716125699593.jpg

杭州某大学学生“刷脸”进寝室 浙江在线记者 于诗奇 杨朝波 张孙超 摄

  浙江在线杭州4月17日讯(浙江在线编辑 王艺)在信息化加速发展的今天,人脸识别、指纹验证等技术正逐步普及。享受科技进步给生活带来便利的同时,也不能忽视个人生物信息被泄露、滥用等风险。

  不久前,一位妈妈爆料9岁的儿子使用自己的1寸照片,成功解锁了智能音箱的“儿童时间控制功能”。这起事件更加深了人们对生物信息识别被广泛运用的担忧。很多网友甚至半开玩笑半认真地说,被劫匪劫持后直接刷脸转账不再是段子了。对于日常“刷脸”的风险,你知道多少?

  刷脸or刷卡?生物信息被广泛运用 

  连日来,一种“人工智能测面相”的小程序走红于朋友圈,用户扫码进入应用界面后,上传个人照片或是实时拍照来进行下一步的面相测试,最后转发至朋友圈即可得出测试结果。

  另外,不少商店超市也都开始试行“刷脸识别支付”的付款方式。按照流程,将购买的物品放在自助付款设备上,待屏幕显示已购买的商品信息,即可点击“刷脸支付”,记者将脸对准摄像头进行“人脸识别”后,再输入手机号码,几秒钟后即成功支付。记者经观察发现,虽然选择“刷脸支付”不用排队等候,但选择该付款方式的顾客并不多。

  对于此类“刷脸”操作模式带来的便利,不少用户给出“好评”称:“太厉害了,以后出门带张脸就行,门锁都靠脸部识别,吃饭都不用再带手机了”“刷脸比扫二维码方便多了,未来是人脸识别的时代,一脸走遍天下!”

  但也不少用户表示担忧。一位网友称:“人脸和指纹都在裸奔,只有密码在你的脑里。”另一位网友评论道:“当我们走到大街上,我的脸就已经被记录到数据库中了。”也有网友表示:“祈祷我的脸不要被坏人们利用。”

  便利or安全?一旦泄露后危害极大 

  个人生物信息,一般包括自然人的指纹、面容、基因等信息,属于个人信息的一种类型。以基因为核心的个人生物信息因为具有涉及自然人的唯一识别性,被准确识别的可能性高达100%,因此具有的利用价值也非常重大。与此同时,让人不免担心的是,在现实生活中采集公民生物基因信息并不需要高科技,很多机构,诸如医疗机构、生物公司等都能掌握此种技术。

  “人脸识别的便捷性与安全性不可兼得。”在电子科技大学信息与通信工程学院副教授曾辽原看来,不管什么技术总有其特有的使用场景,人脸识别技术应该作为核实身份的辅助手段,而不是唯一的、关键的手段,特別是在安全性要求高的领域,更不能作为单一的识别手段。

  曾辽原同时指出:“一旦带有唯一性的生物特征数据被他人盗取利用,会造成个人信息安全、生命财产安全等相关问题,而且会导致大量深层信息被挖掘、曝光,给公民造成物质和精神上的极大损害。”

  而在今年2月份,中国就发生了一起广受争议的隐私安全事件:一家专注安防领域的人工智能企业被曝发生大规模数据泄露事件,超过250万人的数据可被获取,有680万条数据疑似泄露,包括身份证信息、人脸识别图像及图像拍摄地点等。据悉,该企业主要研发“人脸识别技术”,与不少部门机构都有人工智能的安防合作。

  分散or集中?生物信息应特殊保护

  目前已有60多个国家和地区制定了保护个人隐私的相关法律。比如,欧洲理事会早在1981年1月就通过了《个人数据自动处理中的个人保护公约》,规定对数据自动处理过程中个人数据的保护。在此基础上,1995年发展出了《个人数据处理和自由流动中的个人保护指令》,规定了一系列保护基因信息的措施,强调收集和处理的过程必须合法、准确、保密,必须获得信息主体的同意,同时规定了基因收集的禁止和例外情况以及信息主体享有的各种权利和救济。2012年1月25日,欧盟出台了《欧洲数据保护法案》,对个人数据的处理及自由流动的个人数据进行保护立法。

  与国际社会相比,目前我国对于公民生物信息等个人信息保护的相关法律法规散见于民法总则、网络安全法、消费者权益保护法以及最高法、最高检、国务院颁布的相关司法解释和规定中,内容上也都只是对个人信息收集、使用、加工、传输等进行了一些原则性规定。

  民法总则第一百一十一条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

  值得一提的是,2018年8月首次公开亮相的民法典人格权编草案将公民个人信息定义为以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括自然人姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

  但对于这种将个人生物识别信息以列举的方式与自然人姓名、出生日期、身份证件号码、电话号码等进行并列的方式,业界普遍认为并不足以突出个人生物识别信息的特殊性。

  中国社会科学院法学研究所副研究员姚佳认为,生物识别信息具有100%对个体的可识别性,一旦被泄露或者被不当利用,其对个人、社会、国家的损害可能无法估量。并且随着科技的发展,对个人生物信息的利用方式也会不断发展演进。鉴于此,为突出个人生物信息的重要地位,不宜将个人生物信息与其他信息类型不作区分,而作一种较为笼统的规定。在民法典人格权编中,应单列相关条文对个人生物信息的人格权属性加以强调。

  终生伴随、唯一无二、不可更改,这些特征都决定了公民生物信息的敏感程度和利用价值远高于一般个人信息,也因此存在特殊风险。如何在法律层面给予个人生物信息必要的保护,则考验着立法的智慧。

  (综合检察日报、法制日报、北京日报、中国日报报道)