【新闻随笔】
自20世纪90年代启动人类基因组计划起,生物科技就与信息技术革命深度融合。特别是进入移动互联时代后,人体的面部特征、指纹、虹膜、声音、步态等“个人生物识别信息”得以广泛运用,生物识别技术获得迅速发展,广泛应用于各行各业安全认证领域。
个人生物信息主要包含指纹、虹膜、掌纹等生理特征,以及步态、声音等行为特征,具有“人人不同,终身不变,随身携带”的特点。伴随着生物医学和人工智能的发展,以基因为核心的个人生物信息由于具有个体唯一可测量或可自动识别验证的价值,生物识别应用正在迅速推进普及。而且相较于身份证号码、手机号等经过二次编码的信息,个人生物识别信息更具被快速采集、分析、存储与识别的优势,越来越多的系统平台开始通过收集个人生物信息作为用户登录密钥,“刷脸”支付、“刷脸”乘车、“刷脸”签到……人脸识别、指纹识别等生物特征识别验证已成为公众日常生活的一部分。
然而,在新的技术给经济社会发展提供巨大助力、为公众日常生活带来更多便利的同时,其安全性同样不可忽视。鉴于目前个人生物信息在网上收集、应用过程严重缺乏保护,存在着泄露个人信息、侵害个人隐私安全的隐患,需引起高度警惕。近日就有媒体报道称,一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程,“人脸数据0.5元一份、修改软件35元一套”。
我们在“刷脸”购物乃至在街上走路时,都有可能不自觉被采集交出自己的个人生物信息,存在生物信息技术与个人生物信息结合带来一定社会危害性的可能,这也是其安全风险引发更多关注的原因。近年来,不断发生的个人信息泄露乃至贩卖案件,提醒我们不能陷入技术进步的盲目快感之中,“刷脸”固然方便,但也要考虑“被刷脸”的风险。毕竟个人生物信息与惯常使用的密码不可同日而语。密码一旦泄露可以随时更换,将风险降至最低程度,而个人生物信息一旦泄露,会将用户个人信息安全置于更大的不确定性中,进而带来一系列风险。
技术变革跑在了立法规范前面,从短期看很正常。但是,当技术普及到一定规模,立法规范必须适时跟进。当前个人生物信息保护的相关法律法规,散见于民法典、刑法、网络安全法、消费者权益保护法以及两高相关司法解释,远未形成完整体系。对于新技术形态下的个人信息保护,全国人大常委会已将个人信息保护法列入立法规划,值得期待。借助本次个人信息保护立法的契机,及时回应个人生物信息普及中暴露出来的问题,为新技术应用建章立制,宜早不宜迟,这也考验着立法者的智慧。
应当坚持优先保护公民权益、确保个人信息安全、支持技术便捷应用的原则,发挥政府在市场准入、运营规制等方面的主导职责,把生物特征信息保护纳入监管部门的监管框架,统一推广个人生物信息采集规范、后台数据保存方式及保护技术标准,推动生物识别技术规范性地进入各行各业。要压实相关企业在商业应用领域的社会责任,进一步规范行业标准,倡导对新技术、新应用建立安全规范乃至伦理评价自律标准,自觉维护所采集、储存的公民隐私数据安全。此外,还应明确公权力与个人生物信息权的边界,规范技术应用与个人隐私保护的区别与衔接,将个人生物信息保护纳入司法保护范围,明确个人生物信息的应用和保护边界,致力于在信息保护和合理利用之间寻求最优的解决方式,依法构建具有中国特色的个人生物信息保护制度。
(作者:虞浔,系华东政法大学刑事司法学院副院长)