王丽

拍照时比个“剪刀手”，是卖萌耍酷的“万能pose”。近日却有专业人士提醒，在某些条件下，被拍照人的指纹等生物识别信息却可能因此被泄露。

在9月15日举行的国家网络安全宣传周上海地区活动上，上海信息安全行业协会專委会副主任张威说，照片的拍摄者和被拍摄者距离在1.5米内，被拍摄者比出“剪刀手”时，其指纹信息可通过照片100%被提取还原。

张威说，“不需要专业照相机，只要用当前流行的智能手机拍摄的照片质量，就能用以提取和还原指纹信息。当下一些智能手机不仅具备更高级的光学变焦能力，还兼具AI画质增强技术，如果将拍摄焦点对准‘剪刀手，还能刻画出指纹细节”。这段来自专业人士的看法，一度成为舆论热题。

关于生物识别信息，大众最熟悉的莫过于指纹和人脸识别，巧合的是，“剪刀手泄密之忧”仅隔数月，我国的“人脸识别第一案”在杭州立案，生物识别信息安全讨论的热度再度攀升。

杭州市民郭兵办理了一张凭借身份证或者指纹，就可以入园的杭州野生动物世界年卡，在有效期内，他却接到动物园通知，持卡人必须上传人脸信息，“刷脸”入园，否则就不能继续使用年卡。郭兵遂将杭州野生动物世界诉至法院，11 月 1 日，本案在杭州市富阳区法院立案。表面看，这是一起标的只有1360元、情节简单的违约之诉，却被贴上“人脸识别第一案”的标签，其诉讼意义远远超越一般的纠纷，其折射出的是公众对生物识别信息安全的担忧。

生物识别信息包括哪些

生物识别信息，常被简称为生物信息，伴随着生命信息学的发展应用，大约从20世纪90年代开始，逐渐成为公众熟知词汇。欧盟的《通用数据保护法规 EU 2016/679》（GDPR）将其称为“生物特征信息”，并给出定义，“通过对自然人的身体、生理或行为特征有关的特定技术处理产生的能够识别该自然人的唯一特征的个人数据，例如面部图像或指纹（指纹）数据”。

在我国的全国信息安全标准化技术委员会于2017年12月29日发布的《信息安全技术个人信息安全规范》（以下简称《规范》）中，生物信息被称为“生物识别信息”，是个人信息的一个分支。

根据《规范》，个人信息，是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。个人生物识别信息，则包括个人基因、指纹、声纹、掌纹、耳郭、虹膜、面部特征等。

生物识别信息，具有唯一性、不可更改性和隐私性的特点。每个人的脸部特征、指纹、虹膜等都是独一无二、无法更改的，也正是其唯一性和不可能更改性，确保了生物识别信息认证的安全可靠，因此生物识别信息常与个人财产、人格权益紧密联系，具有极大的隐私性，其一旦泄露、丢失或者失控，将会造成难以逆转的损失。

（ 图片来源：图虫创意）

因此，《规范》将“生物识别信息”明确归为“个人敏感信息”，即“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等”。

当网络账户密码遭到泄露，马上更换密码就是有效操作。然而，如果指纹、面部特征、基因信息遭到泄露，我们如何更换？就目前的科技发展来讲，人几乎不可能修改自己的指纹、样貌、声纹乃至DNA，个人就是密码本身。生物特征信息一旦泄露就是永久性、不可逆的，对信息滥用者来说，非法获取别人的生物信息，就具有“一次窃取，永久有效”的“超高性价比”。生物信息被视为个人信息安全的最后一道防线，不无道理。

而目前，很多公民生物识别信息的采集，并不需要多高深的高科技，很多普通机构诸如医疗机构、生物公司、人工智能企业等都能掌握这种技术。技术开发者和应用者的安全防护水平以及数据保护水准，又普遍比较低，存在较大的信息泄露风险。据专业人士分析，我们的很多个人生物信息已经存在于无数个节点上，很多个环节都会存在安全风险，泄露往往是在某个特定的滥用环节上。有些程序公司所在服务器的安全性如果不高，也容易被黑客攻击。

生物识别信息采集随意

目前，我国的生物识别技术已经处于全球先进水平，人脸信息、指纹、虹膜等生物识别信息被普遍应用于金融支付、安防准入、身份验证等多种场景，在很多商业消费场所，顾客存个包、办张会员卡、进入门厅都会使用刷脸方式，应用十分普遍。国内从事该行业的企业有千余家，市场约达千亿规模。据悉，近几年来，我国生物识别市场规模复合年均增速可以达到50%左右，发展态势迅猛，商业化步伐还在加速中。

但目前，相关法律对生物识别信息的保护，显然还没跟得上这种新技术的应用速度。调查发现，人脸信息在网上甚至被公开兜售，价格便宜，5000多张人脸照片，打包价只要10元，卖家甚至还能提供同一人脸部各角度的多张照片。生物识别信息泄露，已成为个人信息泄露的“最新的重灾区”。

比如，不少信用软件（App）存在随意收集人脸数据信息的情况。今年，一款叫ZAO的“换脸App”十分火爆，ZAO使用人工智能技术，用户仅需要上传一张正脸照，就可以用自己的脸制作网络热门表情包，出演各种影视片段、知名场景，甚至可以在视频中跟明星偶像、朋友飙戏。ZAO的用户协议中写道：“在您上传及/或发布用户内容以前，您同意或者确保实际权利人同意授予ZAO及其关联公司以及ZAO用户全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利。”被媒体批评后，ZAO修改了用户协议，删除了“被ZAO完全免费、不可撤销、永久、可转授权和可再许可的权利”等描述，但依然保留“您同意对用户内容进行网络信息传播的权利”。9月，ZAO因上述等问题被工信部约谈。

ZAO的问题并非偶发个案。2018年11月28日，中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》显示，通信社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化10類100款App中，多达91款App列出的权限涉嫌“越界”，存在过度收集用户个人信息的问题。其中，10款App对可识别生物信息的收集未能向用户明确重点告知，涉嫌过度收集个人生物识别信息。在这些软件中，“用户在任何时间段在App发表的任何内容（包括自拍）的著作财产权，用户许可APP开发者在全世界范围内免费地、长期性地、不可撤销地等使用权利”这样的霸王条款，并不少见。甚至还有的App，在没有任何使用协议的情况下，就随意采集用户人脸数据。

但是这些App使用者人数众多，很多用户对于生物识别这种新的信息泄露还缺乏警觉性和自我保护意识。比如，近日一款“面相测试”小程序在朋友圈和微博火热，该测试通过上传个人照片进行面相测试，测试会给出性格、运气的分析，不少人还在微博和朋友圈等晒出了自己的测试结果，进行传播，玩得不亦乐乎，却没有意识到把自己的面部特征随意上传会隐藏风险。

比人脸识别信息泄露，更令人担忧的是基因信息泄露。2018年，基因检测是个网红词汇。网上下单、支付几百块钱，两三天内收到采样盒，采集2～4毫升唾液，邮寄到基因检测公司。一个月内，你就将得到一份独属的基因检测报告：祖先来自哪里，遗传性疾病概率有多大……这个基因检测，听起来似乎很炫酷、很高科技，不少人对于其趋之若鹜。专家却提出严重警告：基因检测带来的风险超出想象，它有可能泄露我们的遗传密码，如此轻率地把决定生命轨迹的基因密码交出去，是不是就意味着我们把下半生乃至后代人的命运也交到他人手中呢？

信息滥用催生非法产业

“人脸识别第一案”原告郭兵也是一位法学副教授，他谈及本案时说，面部特征等个人生物识别信息属于个人敏感信息，一旦泄露、非法提供或者滥用将极易危害包括原告在内的消费者人身和财产安全。不少法学专家和公众对郭兵的起诉表示支持，认为郭兵的担忧绝非多虑。

“过脸产业”的出现其实已经给社会敲响了沉重的警钟。何谓过脸产业？一些不法分子、数据黑灰产从业者，帮那些无法完成账号实名认证的人群完成实名认证，以获取利益，就是过脸产业。过脸产业需要大量的“人脸信息”，于是催生出更多的脸部信息获取生意。记者搜索发现，网络论坛、微信平台中存在大量针对电商平台、特定设备的“过脸”技术解答，甚至有完整“过脸”技术教程，包括软件选择、脚本设置等。一些网站上还有“过脸软件”代码链接，随意供人下载，从事过脸生意的网店也经常通过QQ、微信群、论坛发布各种小广告招揽生意。

除了人脸识别，指纹信息的滥用也爆发了不少负面事件。在一次展览会上，为了宣传电脑信息安全的公益主题，工作人员演示用现场提取的指纹信息，用了不到10分钟的时间就解锁一款手机。

而这种技术也早就被一些不法之徒盯上了。2017年7月5日，安徽省宿迁市宿城区法院审理了一起涉及21名被告人的诈骗案，某公司员工从2013年起，就利用网点定制的指纹膜打卡该公司上下班，制造虚假出勤，骗取公司支付的工资及缴纳社保费用达37万余元。网络上，制作指纹膜的小广告、教授指纹膜技术的教程和“过脸技术”一样，随处可见。

业内人士认为，这些灰色产业的形成，说明生物识别信息安全已经是个比较严重的问题。与电话号码、身份证号等个人信息泄露相比，生物识别信息泄露造成的影响要严重得多。目前虽然尚未爆出令人极为震惊的个案，但这并不意味着风险还很遥远。

不久前，一则9岁孩子用妈妈照片成功“刷脸”解锁智能音箱的事件，引发网友的讨论，有人半开玩笑地说，被劫匪劫持后直接被刷脸、强按指纹解密或者转账，将不再只是段子了。其实早在几年前，已有国外网络安全公司声称，他们靠制作的假面具成功破解了手机的人脸识别系统。据国外报道，一家英国能源公司，被不法分子利用AI合成技术，模仿公司CEO的声音，骗走了24.3万美元。

试想，如果你的老板用着你熟悉的声音打电话给你，甚至连线直接视频（深伪技术），让你打些钱过去，你能不给吗？

基因泄露的后果甚至更为严重，随着基因信息一起泄露的是我们的人类遗传资源。2018年10月24日，科学技术部网站挂出一批行政处罚决定书，包括知名基因测序公司华大基因、跨国药企阿斯利康、复旦大学附属华山医院在内共六家机构上榜，这些公司的问题涉及违规采集、收集、买卖、出口、出境人类遗传资源。2018年11月1日，海关总署和科技部联动，启动人类遗传资源材料出口、出境证明联网核查。目前，国内的基因检测公司数量很多，但我国却没有明确的政策、法律对基因检测的隐私进行保护的规定，更缺少相关法律对泄露基因信息的行为进行惩处。

行业规范与立法保护

法律空缺，不仅是基因规范存在的问题，我国对于包含生物识别信息在内的个人信息保护，尚无专门法律，对其进行规范的条文，散见于民法总则、网络安全法、消费者权益保护法以及最高人民法院、最高人民检察院、国务院部门颁布的解释和规定中，多是针对个人信息收集、使用、加工、传输等的原则性规定。

一些行政机关和特定行业针对个人生物信息也出台了相关规定，比如，《公安机关指纹信息工作规定》规定公安机关对于犯罪分子、刑事被告人相关生物信息具有保密义务。《征信业管理条例》《保安服务管理条例》等针对有个人生物信息收集需求的特定行业，如安保服务行业、征信行业作出规定。上海大邦律师事务所律师游云庭认为，现有法律对生物识别信息已经作出了一些原则性规定款，现在最重要的是通过办理具体的案件，去落实好这些规定。

也有不少学者主张，对包含生物识别信息在内的个人信息安全要加强立法工作，今年“两会”期间，全国人大代表、北京科学学研究中心副主任伊彤向全国人大提交了一份《关于开展公民个人生物信息保护立法的建议》。

“为避免法律滞后对科技发展的不利影响，建议对个人生物信息权进行相关立法规划和研究，并注意与隐私权保护的区别与衔接，构建和完善符合中国实际的个人生物信息保护制度。”伊彤建议，政府应在法律、法规中明确公权力与个人生物信息权的边界，并加强对商业应用领域的市场管理、规制及法律救济。“希望相关部门能重视，提前作出部署，以免产生问题后陷入被动。”

那么，公民生物信息保护立法应从哪些方面入手？“首先，应要求相关企业必须担负起社会责任，进一步规范行业标准，自觉维护所采集、储存的公民隐私数据安全。”电子科技大学信息与通信工程学院副教授曾辽原认为，对于这样涉及高科技的问题，行业的自律规范非常重要。

同时，曾辽原说，政府也应该有所作为，建立准入制度、评估制度等。“以人脸识别为例，政府相关部门应尽快设定人脸识别技术的各类标准和公民隐私的保护标准，并加强对商业应用领域的市场管理、规制及法律救济，从而推动人脸识别技术规范性地进入各行各业。”

实践中，有些企业和组织在采集和保护个人生物识别信息的自我规范方面做出一些尝试。支付宝是最早研发人脸识别技术的公司之一，也是首个把刷脸支付进行商业化的公司。近日，支付宝发布了国内首个“生物识别用户隐私与安全保护倡议”，倡议提出：企业在采集用户生物信息时应遵循“最小、够用”原则，防止被滥用。这份倡议主要从隐私、安全、防止信息滥用、责任与监督、公平等角度，呼吁对生物识别的发展进行规范化管理，来确保行业可控、健康的发展。支付宝表示，自己已经积累了一套成熟的技术和制度，现在希望把这些经验推广出去，以便从事生物识别的企业可以规范、正确地运用技术。

中国人工智能学会伦理道德专业委员会近日也计划针对不同行业，首先设置一系列伦理规范，如智能驾驶规范、数据伦理规范、智慧医疗伦理规范、智能制造规范、助老机器人规范等，之后再逐步扩展到其他行业部门。

中国政法大学传播法研究中心副主任朱巍认为，目前没有法律具体规定谁有权采集我们的人脸信息。希望这个问题能在法律层面尽早明确，避免出现商家随意收集用户人脸信息的情况，或“不刷脸就不提供服务”的霸王条款。

目前，呼吁规范人脸识别技术，多是强调个人生物信息的保密、防止泄露等问题。而北京师范大学法学院教授、亚太网络法律研究中心主任研究员刘德良则认为，目前个人生物信息所面临的问题并不是保护，而是信息被滥用的问题。“我们的个人生物信息已经存在于社会中无数个节点，泄露也往往很难去确定是哪一个节点。很多情况下，我们又必须使用这些信息，因此强调保密不如去有效地防范个人生物信息的滥用，去打击滥用。未来立法重点应放在包括个人生物信息在内的各种身份信息被利用时，该如何严管相关机构。”刘德良道。

紧随科技的步伐是法律的使命

不管目前的应用实践遇到多少问题，近年来，生物识别技术在各公共安全和服务领域的确是大放异彩。这项新科技在大幅度提升公共安全应用的科技含量和工作效率的同时，也成为保护人民财产安全、强化社会治安、维护社会稳定的一大科技“利剑”。比如，涉嫌身负数条人命、流窜20多年的嫌疑人劳荣枝，为了逃避抓捕曾改名甚至整容，但最终也没能逃脱“大数据人脸识别技术”的“神眼”。“弑母案”嫌疑人吴谢宇，就是在重庆江北机场航站楼防爆安全检查区域等待安检时，被机场的监控设备4次抓拍到脸部，4次都關联出他被通缉的照片。另外，白银案罪犯高承勇的落网也是得益于DNA技术的应用。可以说，生物识别等新技术的应用在维护公共安全、提升公共服务质量方面，功不可没。只是这种新科技的发展和应用都是以加速度推进的，相应的立法工作难免滞后，尤其是被应用到商业领域、个人领域，产生了一定的失控现象，也是在所难免的。

另一方面，立法虽然是规范生物识别信息的最重要途径，但生物识别信息技术是以人工智能等新科技为基础的，应对其发展中出现的问题，只谈法律是远远不够的。因为生物识别信息的某些安全问题，已经超出现有法律所能解决的范围，触及了所有当代人更深刻的个人身份识别危机——如果某人拥有你的一切生物特征信息，那么他将有可能通过一些手段，窃取你的一切：身份、财产、地位，甚至可以从法律上取代你，你有可能要面临证明“只有你才是你”的问题。

现代新科技给人类社会带来的冲击，全方位发生在人与社会关系的各方面，不断改变着我们原有的生活、思维模式，挑战人类的认知、伦理界限，也会伴随一些负面问题出现。要解决这些问题，一是要“靠科技解决科技问题”，二是要“以法律规范科技发展”。帮助科技解决其发展中的问题、为其保驾护航，让科技的发展不偏离人类福祉的方向，正是新科技时代法律的使命之一。生物识别信息安全，是法律必须要面对的一个新课题、新挑战，也是法律自身发展的新动力。无论人脸识别技术现在遭遇多少困难，其广泛渗入人类生活各方面，甚至融入人类自身，都是科技发展无法逆转的趋势。法律要做的，就是紧跟科技前进的步伐。