人脸识别安全性遭疑 业界建议完善个人生物信息法律保护制度
2019-04-16 12:00 法制日报
多位全国人大代表建议完善个人生物信息法律保护制度

人脸识别可以说是近些年最火的技术概念之一,被越来越广泛地应用到日常生活中,但其安全性也一直遭到质疑。

就在不久前,一则9岁孩子用妈妈照片成功“刷脸”解锁智能音箱的事件,更加深了人们对生物信息技术应用的担忧。很多网友甚至半开玩笑半认真地说,被劫匪劫持后直接刷脸转账不再是段子了。其实早在几年前,已有国外网络安全公司发布声明称,他们靠精心制作的假面具成功破解了手机的人脸识别系统。

随着生物科技的飞速发展,人体的指纹、虹膜、面容、DNA等个人生物信息的获取、采集、存储和应用越来越便利和普及,在商业应用、社会治理及国家安全领域的强大效用和广泛前景日益显现。

与此同时,因其更具敏感性,一旦被非法利用,将对个人安全、社会稳定乃至国家安全带来极大隐患。

加强个人隐私尤其是个人生物信息保护,已刻不容缓。出台保护个人隐私法律,尤其是加大对公民生物信息的保护,已经成为理论界、实务界等多方的共同期盼。目前,民法典人格权分编正处编纂之中,不久将提交全国人大常委会会议进行二审,而呼吁多年的公民个人信息保护法也是箭在弦上。

立法会如何应对个人生物信息等的复杂性?又如何提供到位实质的保护?各方对此十分关切。

个人生物信息使用范围越来越广泛

“只有DNA不会骗你。”

除了进行亲子鉴定,在婚前、孕前进行相应基因检测、在招聘时看应聘者的基因是否存在遗传病风险……不难发现,个人生物信息的使用范围越来越广泛、频率越来越高。

个人生物信息,一般包括自然人的指纹、面容、基因等信息,属于个人信息的一种类型。以基因为核心的个人生物信息因为具有涉及自然人的唯一识别性,被准确识别的可能性高达100%,因此具有的利用价值也非常重大。

与此同时,让人不免担心的是,在现实生活中,采集公民生物基因信息并不需要高科技,很多机构,诸如医疗机构、生物公司等都能掌握此种技术。

“个人生物信息的重要性,不仅因为其具有人格权属性,尤为重要的是,其更具有生物含义上的国家安全意义,与国家安全息息相关。”中国社会科学院法学研究所副研究员姚佳以基因信息为例介绍说,2018年,科技部曾公示了六起涉及人类遗传资源采集、收集、买卖、出口、出境审批的行政处罚,包括停止研究、销毁材料及数据,暂停涉及我国人类资源的国际合作等。

有业界分析认为这是因相关基因科技公司基因数据可能外流等引发。

“如不进行法律规制,相应基因信息等就可能存在被不当使用、泄露甚至被贩卖的风险。因此,通过立法对生物信息的采集、利用、保护等进行规范非常必要。”姚佳说。

加快公民个人生物信息保护立法步伐

记者在采访中了解到,目前已有60多个国家和地区制定了保护个人隐私的相关法律。比如,欧洲理事会早在1981年1月就通过了《个人数据自动处理中的个人保护公约》,规定对数据自动处理过程中个人数据的保护。

在此基础上,1995年发展出了《个人数据处理和自由流动中的个人保护指令》,规定了一系列保护基因信息的措施,强调收集和处理的过程必须合法、准确、保密,必须获得信息主体的同意,同时规定了基因收集的禁止和例外情况以及信息主体享有的各种权利和救济。

2012年1月25日,欧盟出台了《欧洲数据保护法案》,对个人数据的处理及自由流动的个人数据进行保护立法。

与国际社会相比,目前,我国对于公民生物信息等个人信息保护的相关法律法规散见于民法总则、网络安全法、消费者权益保护法以及最高法、最高检、国务院颁布的相关司法解释和规定中,内容上也都只是对个人信息收集、使用、加工、传输等进行了一些原则性规定。

此外,还有一些行政机关和特定行业针对个人生物信息出台了相关规定。比如,涉及重要身份证件,如身份证、护照等的签发以及相关人员保密工作相关的规定。再比如,规定公安机关对于犯罪分子、刑事被告人相关生物信息具有保密义务。《保安服务管理条例》《征信业管理条例》等则针对有个人生物信息收集需求的特定行业,如安保服务行业、征信行业作出相关规定。

构建符合国情个人生物信息保护制度

“这些有关信息安全保护的法律法规明显是不够的。”全国人大代表、北京市律师协会会长高子程在今年全国人大会议期间提交了关于加大个人生物信息保护的建议。

在他看来,由于目前没有针对个人隐私保护的专门立法,也没有形成统一的关于个人隐私保护的基本法,因此,对于泄露个人隐私的处罚较轻且缺乏统一性和系统性,不足以有效打击非法利用个人隐私等违法犯罪行为。由此导致侵犯个人隐私的违法成本过低,个人隐私保护力度极其有限,无法满足个人隐私保护的现实需求。

高子程建议尽快制定包括生物信息在内的个人隐私权保护的专门性基础性立法,明确法律要保护的公民个人隐私的范围,明确公民个人隐私保护的义务主体,强化责任追究,加大对侵害公民个人隐私行为的处罚力度。

他同时强调,个人隐私保护应与信息安全相关的法律法规进行有效衔接,做到相统一、相呼应,从而形成较为完善的信息安全法律系统。 

“隐私权的内涵也已从消极被动的‘私生活不受干扰’的人格性权利发展为积极能动的‘自己的信息自己控制’、兼具人格和财产属性的权利。为适应国际化需求,我国应与国际个人隐私保护立法接轨。”高子程说。

来自科技界的全国人大代表、北京科学学研究中心副主任伊彤也关注到这一问题。在今年全国人大会议期间,她提交了一份关于开展公民个人生物信息保护立法的建议。

“个人生物信息在社会治理上具有突出优势和不可限量的应用前景,政府应大力支持和推动个人生物信息在非商业应用领域的发展,但必须明确公权力与个人生物信息私权的保护边界。”伊彤认为,目前我国的个人生物信息法律保护存在诸多问题,包括个人生物信息权尚未被明确纳入私法的保护范围;个人生物信息在刑事侦查、治安管理、人口治理、医疗卫生等领域进行非商业应用时,对政府及相关机构的责任权利,特别是个人生物信息权保护边界等并不完善;法律救济和行政处罚缺乏法律依据,缺乏个人生物信息商业应用和相关产业的侵权风险及不正当竞争的特殊规制。

鉴于此,伊彤建议尽快完善个人生物信息的法律保护制度,通过完善公法、私法领域的法律、法规,对个人生物信息进行全面保护。(朱宁宁)

来源 | 法制日报
责编 | 吴瑕