“被拍摄者比出‘剪刀手时，其指纹信息可通过照片100%被提取还原”“只需提供一点儿唾液，就知道遗传性疾病概率有多大”……听起来似乎很高科技，专家却提出严重警告：基因检测带来的风险超出你的想象。

拍照时比个“剪刀手”，是卖萌的“万能pose（姿势）”。近日，却有专业人士提醒，某些条件下，被拍照人的指纹等生物识别信息可能因此被泄露。

在2019年9月15日举行的一次活动上，上海信息安全行业协会专委会副主任张威说，照片的拍摄者和被拍摄者距离在1.5米内，被拍摄者比出“剪刀手”时，其指纹信息可通过照片100%被提取还原。“不需要专业照相机，只要用当前流行的智能手机拍摄的照片质量，就能用以提取和还原指纹信息。当下一些智能手机不仅具备更高级的光学变焦能力，还兼具AI画质增强技术，如果将拍摄焦点对准‘剪刀手，还能刻画出指纹细节”。这一度成为舆论热题，引发公众对生物识别信息安全的担忧。

生物识别信息包括哪些

生物识别信息，常被简称为生物信息，欧盟将其称为“生物特征信息”，并给出定义，“通过对自然人的身体、生理或行为特征有关的特定技术处理产生的能够识别该自然人的唯一特征的个人数据，例如面部图像或指纹（指纹）数据”。

全国信息安全标准化技术委员会于2017年12月29日发布的《信息安全技术个人信息安全规范》（以下简称《规范》）中，生物信息被称为“生物识别信息”，是个人信息的一个分支。

根据《规范》，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、行踪轨迹等。个人生物识别信息，则包括个人基因、指纹、声纹、掌纹、耳郭、虹膜、面部特征等。

因生物识别信息，具有唯一性、不可更改性和隐私性的特点。《规范》将“生物识别信息”明确归为“个人敏感信息”，即“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等”。

当网络账户密码遭到泄露，马上更换密码是有效操作。但就目前的科技发展来讲，人几乎不可能修改自己的指纹、样貌、声纹乃至DNA，个人就是密码本身。生物特征信息一旦泄露就是永久性、不可逆的，生物信息被视为个人信息安全的最后一道防线，不无道理。

生物识别信息采集随意

目前，我国的生物识别技术应用已经处于全球先进水平，人脸信息、指纹、虹膜等生物识别信息被普遍应用于金融支付、安防准入等众多商业消费场所。国内从事该行业的企业有千余家，市场约达千亿规模。近几年来，我国生物识别市场规模年均增速可以达到50%左右，商业化步伐还在加速中。

但目前，相关法律对生物识别信息的保护，显然还没跟得上这种新技术的应用速度。调查发现，人脸信息在网上甚至被公开兜售。5000多张人脸照片，打包价只要10元，卖家甚至还能提供同一人脸部各角度的多张照片。生物识别信息泄露，已成为个人信息泄露的“最新重灾区”。

2018年11月28日，中国消费者协会发布的《100款APP（手机软件）个人信息收集与隐私政策测评报告》显示，通信社交、影音播放等10类100款APP中的91款APP列出的权限涉嫌“越界”，存在过度收集用户个人信息的问题。其中，10款APP对可识别生物信息的收集未能向用户明确告知，涉嫌过度收集个人生物识别信息。甚至还有的APP在没有用户协议许可的情况下，就随意采集用户人脸数据。

但很多用户对于生物识别信息泄露缺乏警觉性和自我保护意识。比如，近日一款“面相测试”小程序在微信朋友圈中热传，该测试通过上传个人照片进行面相测试，不少人在朋友圈晒出了自己的测试结果，玩得不亦乐乎，却没意识到随意上传照片的风险。

比人脸识别信息泄露，更令人担忧的是基因信息泄露。2018年，基因检测是个网红词汇。只需提供一点儿唾液，花费几百元，你就能得到一份自己的基因检测报告：祖先来自哪里，遗传性疾病概率有多大……听起来似乎很高科技，专家却提出严重警告：基因检测带来的风险超出想象，它有可能泄露遗传密码，如此轻率地把决定生命轨迹的基因密码交出去，是不是就意味着我们把下半生乃至后代人的命运也交到他人手中呢？

信息滥用催生非法产业

事实上，“过脸产业”的出现已经给社会敲响了警钟。

何謂过脸产业？一些不法分子、数据黑灰产业从业者，帮那些无法完成账号实名认证的人群完成实名认证，以获取利益，就是过脸产业。过脸产业需要大量的“人脸信息”，于是催生出更多的脸部信息获取生意。

除了人脸识别，指纹信息滥用的隐忧也不少。在一次展览会上，为了宣传电脑信息安全的公益主题，工作人员演示用现场提取的指纹信息，用了不到10分钟的时间就解锁一款手机。

类似的案例也早已出现。2017年7月5日，安徽省宿迁市宿城区法院审理了一起涉及21名被告人的诈骗案。某公司员工从2013年起，就利用定制的指纹膜打卡该公司上下班，制造假出勤，骗取公司的工资及缴纳社保费用，共计37万余元。网络上，制作指纹膜的小广告、教授指纹膜技术的教程和“过脸技术”一样，随处可见。

业内人士认为，灰色产业的形成，说明生物识别信息安全已经是严重的问题。与电话号码等个人信息泄露相比，生物识别信息泄露造成的影响要更加严重。有人开玩笑地说，被坏人劫持后直接被刷脸、强按指纹解密或转账，已经不远了。其实早在几年前，已有国外网络安全公司声称，他们靠制作的假面具成功破解了手机人脸识别系统。据报道，一家英国能源公司，被不法分子利用AI合成技术模仿公司CEO的声音，骗走了24.3万美元。

目前，我国对于包含生物识别信息在内的个人信息保护，尚无专门法律，对其进行规范的条文，散见于民法总则、网络安全法、消费者权益保护法以及最高人民法院、最高人民检察院、国务院部门颁布的解释和规定中。目前，也有很多法学专家呼吁对于包括生物识别信息在内的个人信心保护进行专门立法。（《方圆》）