文｜佟秀毓

如何安全放心的“刷脸”?

上周公布了iPhone X应用脸部识别功能，就在几天前，杭州一肯德基餐厅宣布可以刷脸支付了;农业银行总行下发通知，要求全国推广人脸识别系统;旅游业界很多领域已经开始试水应用刷脸技术---“刷脸”应用呈爆发式增长。但不少人也对该技术的安全性提出质疑。新华社《瞭望东方周刊》对此做专题报告，对齐爱民教授进行专访。

新华社《瞭望东方周刊》记者：指纹、虹膜、面容甚至基因等个人生物信息被大量搜集存储，目前这些已经被采集的生物信息，其利用和保护现状如何?我们该用怎样的眼光看待这些问题?

齐爱民教授： IPhone X 应用脸部识别功能及其他“刷脸”应用的推广和使用，再次引起社会大众对此类个人信息问题的广泛关注。指纹、虹膜、面容等生物信息毫无疑问是个人信息的重要组成部分。而不同于地址、电话号码等由社会生活经验等而形成的其他社会性抽象符号，这些生物信息直接采集于人体，体现个人的生理特性且与唯一对应。通常正是由于此唯一对应性降低了用户的被“复制”和“替代”的担忧。但在特殊情形下，指纹、虹膜、面容等此类唯一识别生物信息的收集，将用户个人信息安全推入更大的不确定风险中，一旦为他人非法使用，造成的个人信息侵权问题、个人信息安全问题、个人生活安全甚至是生命安全都将远远大于其他社会类个人信息的非法收集、处理和利用。

以苹果新机型iPhone X应用脸部识别功能为例，机械识别人脸的过程本身是在编码程序控制下的自动化过程，很容易由其编写人员跳过或者破解，或者在了解抓取特征后仿制出难以被识别的仿冒品。基因等生物信息则更具敏感性，侵权人可以通过基因信息轻易了解到被侵权人易致病致死相关信息，为生命安全埋下了极大的隐患。

鉴于此类个人生物信息可直接且唯一识别到个人，从个人信息理论分类角度，其敏感程度远高于一般信息，甚至可称之为“敏感信息”中的“敏感信息”。鉴于其存在特殊风险，因此在保护层级上要高于“一般信息”，需要受到特殊关注和保护，但是以上讨论还仅限于学术领域，未列入立法实践的议程。

作为个人信息的组成部分，生物信息受到个人信息相关法律法规的保护，但是由于专门针对该领域的《个人信息保护法》还未通过，个人信息保护相关法律法规散见于《民法总则》、《网络安全法》、《中华人民共和国民法典》、《消费者权益保护法》、最高院、最高检、国务院颁布的相关司法解释和规定中，未形成完整体系，制定《中华人民共和国个人信息保护法》势在必行。科技的超前性与法律滞后性的冲突不可避免，生物识别技术的发展在为我国现有个人信息保护制度进行冲击的同时也为我国个人信息法律保护体系的构建和完善提供了前进的方向和动力。

新华社《瞭望东方周刊》记者：技术革新改变了人们的习惯，包括生物信息、健康数据、生活习惯等在内的个人信息被国外厂商大量搜集利用，可能会给个人、社会和国家安全带来什么样的影响和后果?

齐爱民教授：由于全球化和国际化趋势的加强，个人信息早就突破了地域的局限，成为各国竞争和关注的焦点。在当今信息时代，谁掌握了信息，谁就掌握了主动权。个人信息跨国传输问题早就超越个人信息保护的层面，上升到社会安全和国家安全领域。在我国公民个人信息为他国厂商广泛收集的情况下，其除了可以通过大数据分析和挖掘技术等透视我国公民的消费习惯和购买倾向外，同样可以了解我国整体社会发展状况及未来可能发生的重大事件，我国国家安全面临极大的安全隐患。2013年出现的斯诺登事件就是一个例证，但这只是被揭露出的冰山一角，事件已经渐渐淡出人们的视野，但上述安全威胁却并未停止。

新华社《瞭望东方周刊》记者：指纹、虹膜、面容等个人生物信息的所有权到底归谁所有?搜集利用有无法律边界?保存保管是否谁都可以?现行法律法规能够起到阻止和规范作用?还需怎样进一步完善?

齐爱民教授：指纹、虹膜、面容等个人生物信息的所有权探讨的是权利人与权利边界的问题。个人信息不是财产，其上不成立所有权，而是自然人人格权的客体，其上的权利应该被称为个人信息权。如果表达成个人生物信息的权利人是谁，或者谁对个人生物信息享有权利可能在法律用语中更为恰当，因为所有权是一个纯粹的财产法意义上的概念，而个人生物信息则具有的是人格权法律属性。

自然人对其生物信息的个人信息权的行使遵循两大基本行使方式：主要是 “同意”和“禁止”。同意就是权利人以外的其他主体须得到其“授权”或者同意后方得使用个人信息否则即构成侵权。“禁止”就是未经同意，权利人可以禁止任何人收集和处理其个人信息。

行业中的一般做法是将享受网络服务与个人信息相关授权绑定在一起，通过格式性合同要求用户必须一次性买断式的授予个人信息相关所有权利。这种做法往往是整个互联网行业的惯例。但是从法律视角看，却是违法的。从行业规范的角度入手，禁止绑定条款，授予用户多样化的选择，保证用户个人信息收集的透明性，尽到充分的告知和提示义务，并提供时候救济途径等不失为追求个人信息保护道路上体现行业态度的重要方面。

新华社《瞭望东方周刊》记者：对于个人生物信息的搜集利用，现行的行政监管措施有哪些?在互联网时代是否奏效?如何避免因生物信息被搜集可能带来的更严重的后果?

齐爱民教授：除了个人信息保护的法律法规以外，我国专门针对生物识别信息保护的法律法规还有三类：第一类是与重要身份证件，如身份证、护照的签发以及相关人员的保密工作相关的法律规定，主要规定在《居民身份证法》以及《普通护照和出入境通行证签发管理办法》中;第二类主要是针对公安机关的对于犯罪分子、刑事被告人相关生物信息的保密义务，规定在《中华人民共和国刑事诉讼法》以及《公安机关指纹信息工作规定》中;第三类是针对有合理生物信息收集需求的特定行业，如安保服务行业，征信行业，主要规定在《保安服务管理条例》、《征信业管理条例》中。前两种类型主要针对的是行政机关，而后一种规定虽是针对特定行业但涵盖范围有限，都不能针对类似手机人脸识别的行为进行有效管控，只能在个人信息保护相关法律法规中寻求解决路径。

在生物识别信息相关法律保护体系还未成熟之前贸然授予个人权限存在风险，尤其是在支付领域，因此较为稳妥的做法是保留个人权限或者为其设定上限，以免造成不必要的损失。

齐爱民：博士，教授，博士研究生导师

国家首批知识产权库专家，全国知识产权领军人才，教育部新世纪人才，我国网络法与电子商务法开创者之一，我国大数据法开创者之一，兼任二十几所高校兼职教授或研究员。