80後代表建議個人生物識別採集要更合法合規

80後人大代表沙青青，2年前就開始關注個人信息安全問題，今年兩會期間，他也將提交有關加強個人生物信息識別安全的書面意見。

“現在刷臉的應用場景很多，可能都會涉及到一些個人身份信息識別。而因個人信息不當收集、濫用、泄露，往往會導致公民權益受到侵害的事件時有發生。”沙青青説，今年還有一個不一樣的背景，在國家立法層面，2020年全國人大也將制定《個人信息保護法》《數據安全法》，從國家法律層面以專法的形式來予以明確界定。

個人信息必然包含個人生物識別信息。相較於其他個人信息，如證件信息、聯繫方式、傳統密碼等，個人生物識別信息更具敏感性，而其若遭盜用、違規使用，潛在的危害性也更大。沙青青説，例如面部識別、指紋、虹膜等個人生物識別信息，較之以往的密碼等個人信息，其最大特徵在於“不可變更性”。“換言之，一旦被盜用，個人難以變更，其潛在社會危害性也更大。而在大數據技術應用廣泛的情況下，相關企事業單位在獲取此類個人生物識別信息時也存在隨意性和違反常規相關法規的潛在危險。”

實際上，早在2019年初公安部網絡安全保衞局就已發佈過《互聯網個人信息安全保護指南》。該指南明確“建議僅存儲個人生物特徵識別的摘要信息，也就是經過分析、處理後得到的結果”，而避免收集人面識別類的原始信息。又如2019年9月教育部就明確提出“採集包含學生的個人信息都要非常謹慎，能不採集就不採。能少採集就少採集，尤其涉及到個人生物信息的。 ”

沙青青表示，目前，包括人臉識別在內的個人生物識別信息的應用場景越來越多，進行採集的主體也越來越多。其中，既有政府部門基於治安與社會管理必要性、合法依規進行的，也有企事業單位出於各自業務或經營便利需要進行的。在此背景下，究竟誰有權進行採集、誰有權進行調用、是否履行告知義務，是亟需重視和釐清的問題。其中，也隱含着法律風險。

此外，在《個人信息保護法》《數據安全法》即將出台的背景下，採集後信息的保管、使用規範也亟待健全完善。例如企事業單位出於工作需要採集的個人生物識別信息究竟應該如何保管？是否需要制定相關的標準規範？沒有技術保障技術、條件的主體，是否應該禁止其採集？沙青青認為，對於這些問題理應進行調研。

“在今年上海市政府報告中，應勇市長強調‘圍繞數據惠民，加強公共數據治理’。上海作為數據應用領域處於領先地位的社會主義國際大都市，建議在加快智慧城市建設、加快推進智慧公安建設的同時，進一步做好網絡安全尤其是個人信息安全、個人生物識別信息安全的保障工作。”沙青青建議，要健全個人信息尤其是個人生物識別信息的採集規範和內控機制，完善各數據採集、保管主體的相關內控規範。通過網信、網安等部門進行行業巡視、檢查的形式，嚴肅提醒相關主體在進行個人生物識別信息採集、保管、使用時應充分認識到其風險性及法律責任，為上海”城市大腦“建設守牢安全底線。