自20世紀90年代啓動人類基因組計劃起,生物科技就與信息技術革命深度融合。特別是進入移動互聯時代後,人體的面部特徵、指紋、虹膜、聲音、步態等“個人生物識別信息”得以廣泛運用,生物識別技術獲得迅速發展,廣泛應用於各行各業安全認證領域。
個人生物信息主要包含指紋、虹膜、掌紋等生理特徵,以及步態、聲音等行為特徵,具有“人人不同,終身不變,隨身攜帶”的特點。伴隨着生物醫學和人工智能的發展,以基因為核心的個人生物信息由於具有個體唯一可測量或可自動識別驗證的價值,生物識別應用正在迅速推進普及。而且相較於身份證號碼、手機號等經過二次編碼的信息,個人生物識別信息更具被快速採集、分析、存儲與識別的優勢,越來越多的系統平台開始通過收集個人生物信息作為用户登錄密鑰,“刷臉”支付、“刷臉”乘車、“刷臉”簽到……人臉識別、指紋識別等生物特徵識別驗證已成為公眾日常生活的一部分。
然而,在新的技術給經濟社會發展提供巨大助力、為公眾日常生活帶來更多便利的同時,其安全性同樣不可忽視。鑑於目前個人生物信息在網上收集、應用過程嚴重缺乏保護,存在着泄露個人信息、侵害個人隱私安全的隱患,需引起高度警惕。近日就有媒體報道稱,一些網絡黑產從業者利用電商平台,批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程,“人臉數據0.5元一份、修改軟件35元一套”。
我們在“刷臉”購物乃至在街上走路時,都有可能不自覺被採集交出自己的個人生物信息,存在生物信息技術與個人生物信息結合帶來一定社會危害性的可能,這也是其安全風險引發更多關注的原因。近年來,不斷髮生的個人信息泄露乃至販賣案件,提醒我們不能陷入技術進步的盲目快感之中,“刷臉”固然方便,但也要考慮“被刷臉”的風險。畢竟個人生物信息與慣常使用的密碼不可同日而語。密碼一旦泄露可以隨時更換,將風險降至最低程度,而個人生物信息一旦泄露,會將用户個人信息安全置於更大的不確定性中,進而帶來一系列風險。
技術變革跑在了立法規範前面,從短期看很正常。但是,當技術普及到一定規模,立法規範必須適時跟進。當前個人生物信息保護的相關法律法規,散見於民法典、刑法、網絡安全法、消費者權益保護法以及兩高相關司法解釋,遠未形成完整體系。對於新技術形態下的個人信息保護,全國人大常委會已將個人信息保護法列入立法規劃,值得期待。藉助本次個人信息保護立法的契機,及時回應個人生物信息普及中暴露出來的問題,為新技術應用建章立制,宜早不宜遲,這也考驗着立法者的智慧。
應當堅持優先保護公民權益、確保個人信息安全、支持技術便捷應用的原則,發揮政府在市場準入、運營規制等方面的主導職責,把生物特徵信息保護納入監管部門的監管框架,統一推廣個人生物信息採集規範、後台數據保存方式及保護技術標準,推動生物識別技術規範性地進入各行各業。要壓實相關企業在商業應用領域的社會責任,進一步規範行業標準,倡導對新技術、新應用建立安全規範乃至倫理評價自律標準,自覺維護所採集、儲存的公民隱私數據安全。此外,還應明確公權力與個人生物信息權的邊界,規範技術應用與個人隱私保護的區別與銜接,將個人生物信息保護納入司法保護範圍,明確個人生物信息的應用和保護邊界,致力於在信息保護和合理利用之間尋求最優的解決方式,依法構建具有中國特色的個人生物信息保護制度。
(作者:虞潯,系華東政法大學刑事司法學院副院長)