新華社杭州11月6日電 題：收集主體多、安全保障弱、亟需強立法——誰來保護我們的生物特征信息？

　　新華社記者吳帥帥、張璇

　　近日，杭州野生動物園規定，不錄入人臉信息將影響該公園年卡的正常使用，引起社會關注。

　　當前，公民的指紋、面部特征等生物特征信息是否面臨被過度采集的風險？哪些主體正在獲取我們的生物特征信息？相關信息保護在哪些方面亟需補強？新華社記者就此展開調查。

　　公眾生物特征信息屢遭過度收集

　　記者從北京大學法學院副院長薛軍教授處了解到，當前，人臉、指紋等個人生物特征信息已經成為身份證號碼、手機號碼等信息之外，過度搜集公民信息案件中新的『重災區』。

　　同時，由於生物特征信息與個人財產、人格權益之間的聯系日趨緊密，信息一旦丟失或失控，將給信息所有者造成巨大且難以挽回的損失。

　　這並非杞人懮天。2019年2月深圳某人臉識別企業被證實發生數據泄露事件，超過250萬人的核心數據可被獲取，680萬條記錄泄露，其中包括身份證信息、人臉識別圖像及GPS位置記錄等。

　　一些軟件也涉嫌過度采集用戶的生物特征信息。此前，中國消費者協會曾發布《100款App個人信息收集與隱私政策測評報告》。報告顯示測評的100款App中，10款App涉嫌過度收集個人生物特征信息。一度成為互聯網熱門應用的某換臉軟件開發企業，也在今年9月因涉嫌未依法依規收集使用用戶個人信息被工信部約談。

　　有國內知名互聯網企業視頻識別安全專家向記者透露，當前存在為數不少的不法分子、數據黑灰產從業者為通過實人認證，達到注冊虛假賬號或者直接侵犯他人賬號的目的，需要相應的人臉信息，甚至在國內已催生出一定規模的『過臉產業』。

　　記者搜索互聯網，發現網絡論壇中存在大量針對電商平臺、特定設備的『過臉』技術解答，甚至有完整『過臉』技術教程，包括軟件選擇、腳本設置等。一些網站上還有『過臉軟件』代碼鏈接，隨意供人下載。

　　我們的生物特征信息流入何處？是否安全？

　　那麼在日常生活中，究竟是誰熱衷於記錄和儲存我們的生物特征信息呢？奇安信網絡安全研究中心主任裴智勇告訴記者，當前大致有三類主體。

　　首先是部分視頻監控的運營主體。比如通過商場酒店、會議場館等公共場所視頻設備采集信息。

　　其次是一些公共職能部門、大型互聯網企業、商業機構等，經過用戶授權，采集包含用戶個人生物特征的數據信息。

　　第三是科研機構因為科研需要收集使用，如存儲一定規模的樣本供人工智能進行學習、訓練。

　　浙江大學計算機學院人工智能研究所教授李璽表示，目前公民生物特征信息的主要采集儲存主體提供信息安全保護的能力水平參差不齊，信息公開透明度也不夠，容易導致海量信息面臨安全風險。

　　與此同時，業內人士透露，目前在授權采集過程中，大量商業主體為降低自身成本，通過格式條款或單方告知的形式『逼』處於弱勢地位的公眾出讓生物特征信息，甚至在合同約定中暗含自我免責條款。這些都不利於相關信息保護。

　　『未來也不排除根據收集來的數據重建個人生物識別特征的可能，比如3D打印技術「復刻」人臉。到那時我們所面臨的風險就不僅僅是虛擬世界被入侵，而是現實生活中被冒充。』奇安信集團副總裁左英男說。

　　正、邪技術力量仍將纏斗法律空白亟需填補

　　受訪網絡安全專家認為，人臉、指紋、虹膜甚至基因，生物特征信息因其隨身性、唯一性，將被愈加廣泛地應用於金融、購物、安全等生活場景的趨勢不可逆轉。但其可復制性則同樣決定了圍繞信息安全技術所展開的『道魔之爭』將長期持續。

　　記者了解到，目前針對『換臉』潛在的風險，技術層面主要可以通過『活體檢測+人臉比對識別』應對，同時通過翻拍、3D結構光、多維度生物特征信息等輔助技術，也能夠在一定程度上增加相關技術的安全性。

　　有專家認為，當前相關法律規范層面的缺位同樣亟需填補。

　　據浙江浙杭律師事務所高級合伙人姜海斌律師介紹，我國網絡安全法規定了『誰收集、誰負責』的原則，並規定收集個人信息須經被收集者同意，其中包括個人生物特征信息。但對於收集相關信息主體需要提供何種程度的保護力量、如何評估與公開、公民個人敏感信息的保護層級、具體保護措施等關鍵問題，目前均尚未制定具強制力的法律規范。

　　2018年5月，全國信息安全標准化技術委員會頒布實施《信息安全技術個人信息安全規范》，作為推薦性國家標准，其中將生物識別信息等明確歸為『一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等』的個人敏感信息。

　　北京航空航天大學法學院院長龍衛球認為，該標准針對個人信息收集、保存、使用、委托處理等環節提出要求，落地網絡安全法的原則性規定，填補國內個人信息保護在實踐標准上的空白，為企業進行個人信息保護合規提供具體指引。

　　目前，我國正加快推進個人信息保護法立法進程。對此，薛軍也建議，應在立法層面需區分普通個人信息和敏感個人信息。『針對個人敏感信息，或可建立特許制度，就是說，如無法律法規授權，即使在公民個人同意的情況下，一般商家、私人機構等也不得收集包含個人生物特征的敏感信息。』