门禁、购物、打卡等,人脸识别技术正越来越多地被用于日常生活。全国两会期间,关于人脸识别等个人隐私保护的相关话题再次成为热点,引发众多人大代表、政协委员乃至法学专家的关注。
全国人大代表、浙江省工商联副主席胡成中带去的《关于加强生物识别信息管理筑牢公民隐私边界的建议》备受媒体关注。他表示,虽然《民法典》首次将个人生物识别信息纳入个人信息的保护范畴,但“制度的笼子”还没有织就,高度重视和严格保护公民生物识别信息的社会氛围还没有形成。基于此,他建议进一步细化、严化相关法律法规。
胡成中说,随着人脸识别、大数据、人工智能等技术的飞速发展和商业化应用,广大人民群众在技术无孔不入的窥视下有渐成“透明人”之忧,有的既得利益方甚至鼓吹“中国人愿意用隐私换便利”。与密码、住址、手机号等可以更改的个人信息不同,人脸、指纹、声纹、虹膜等生物识别信息具有唯一性、不可变更性。随着社会整体信息化程度越来越高,公民生物识别信息一旦泄露,则意味着自家大门永远向陌生人敞开,后果不堪设想。
鉴于生物识别信息保护是关系到每一个人切身利益和安全的要紧大事。胡成中建议:首先要进一步细化、严化相关法律法规。在《民法典》的主旨性规定之外,对《个人信息保护法》《刑法》等相关法律法规中涉及生物识别信息的部分应予以突出强调和专门规定,采取比一般个人信息更大的保护力度、更有力的处罚措施,最大程度限制采集公民生物识别信息的应用场景,明确在可以通过其他方式(如刷卡、密码等)替代的情况下不得采集生物识别信息的基本原则。其次归口管理,常态执法。可以考虑在公安或者网信系统增设专门的数据保护部门,类似瑞典的数据保护局(DPA)。
胡成中还建议,要设置必要门槛,特别保护原始数据。目前,社会上存在着似乎谁都可以染指公民个人生物识别信息的不合理现象,企业甚至个人只要开发一款APP,就可以索取或骗取用户的人脸识别等数据,导致信息泄露和相关黑市交易屡打不绝。国家应考虑对企业涉足个人生物识别信息业务采取准入制度,设置若干硬性条件,对企业的数据保护能力、内部管理严密性等方面提出硬性要求,并开展常态化监督检查。同时,为最大限度降低个人生物识别信息原始数据的泄露风险,建议参考身份证的管理模式,技术和设备的研发企业只能提供软硬件服务,设备的使用方只能获得比对相符/不符的最终结果,均不得存储数据;与公民身份相对应的生物识别信息原始数据,应由国家机关统一存储、严格保护,向合格企业开放端口但不提供详细数据,仅提供比对结果。