生物識別信息具有唯一性、不可變更性，公民生物識別信息一旦泄露，后果不堪設想。德力西集團董事局主席胡成中今年“兩會”的建議之一即聚焦于此。

十三屆全國人大代表、德力西集團董事局主席胡成中出席2020年兩會照片

《投資時報》記者 鄧妍

你所在的小區是否要靠“刷臉”才能出入？

你知道自己的人臉識別數據，是掌握在居委會、業委會、物業公司還是提供技術設備的企業手中嗎？

你知道自己的人臉數據是否加密？

誰有權讀取、改動、存儲你的人臉數據嗎？

你的答案，大概率是，“不知道”“不清楚”。

近年來，隨著人臉識別、大數據、人工智能等技術飛速發展和商業化應用，人臉、指紋、聲紋、虹膜等生物識別信息正在不知不覺中被悄然泄露。但與密碼、住址、手機號等可更改的個人信息不同，具唯一性、不可變更性的生物識別信息一旦被泄露，意味著自家大門永遠向陌生人敞開，后果不堪設想。

基于此，《投資時報》記者獲悉，十三屆全國人大代表，浙江省工商聯副主席、德力西集團董事局主席胡成中今年“兩會”期間準備提交的三件建議之一，即聚焦于《關于規范生物信息收集 筑牢公民隱私邊界的建議》。其他兩件建議分別是《關于進一步加大打擊侵犯企業知識產權行為力度的建議》、《關于壓實企業責任 保障“小哥”群體勞動權益的建議》。

胡成中于2018年1月30日當選十三屆全國人大代表。此前，他曾先后擔任第十屆、十一屆全國政協委員，期間，上交提案30多件。2018年、2019年、2020年“兩會”期間，作為人大代表的胡成中，提交了十余件建議，涵蓋加快智慧城市建設、大力支持國家級智能電氣創新中心建設、打造芯片強國引領經濟高質量發展、加大對民營企業打造先進制造業支持力度等多方面內容。

《投資時報》記者了解到，早在2021年春節前，胡成中即通過德力西集團董事局秘書處，向公司內部和社會各界征集今年“兩會”的議案建議，經篩選形成初稿后，又向有關專家學者征求意見。

針對生物識別信息目前存在的普遍問題，胡成中代表提出三方面建議。一是要明確必要性原則，在可以通過其他方式替代的情況下，不得采集生物識別信息；二是歸口管理，在公安或者網信系統增設專門的數據保護部門；三是設置必要門檻，杜絕任何企業都可以染指公民生物識別信息的現狀，乃至參照身份證管理，原始數據統一由國家掌控。

十三屆全國人大代表、德力西集團董事局主席胡成中在2020年兩會現場

保護生物信息的氛圍尚未形成

近年來，隨著人臉識別、大數據、人工智能等技術的飛速發展和商業化應用，廣大人民群眾在技術無孔不入的窺視下有漸成“透明人”之憂，有的既得利益方甚至鼓吹“中國人愿意用隱私換便利”。

與密碼、住址、手機號等可以更改的個人信息不同，人臉、指紋、聲紋、虹膜等生物識別信息具有唯一性、不可變更性。隨著社會整體信息化程度越來越高，公民生物識別信息一旦泄露，則意味著自家大門永遠向陌生人敞開。

今年正式實施的《民法典》首次將個人生物識別信息納入個人信息的保護范疇，體現了國家立法工作的與時俱進，和對社會秩序的必要指引。然而，雖然目前《民法典》有了提綱挈領的規定，但“制度的籠子”還沒有織就，高度重視和嚴格保護公民生物識別信息的社會氛圍還沒有形成。

胡成中代表通過前期調研、匯總后注意到，相關問題主要表現在三個方面。

一是場景濫用。公民生物識別信息原本是最敏感和最重要的個人數據，非必要不應輕易采集和使用。但由于缺乏全國性的明確約束，一些社區、企業、機構毫無謙抑敬畏之心，動輒以“方便管理”為由強推“刷臉”系統等技術設備，有的學校甚至用人臉識別來監控學生的上課狀態，剝奪人民群眾知情權、選擇權，絕大多數人只能在不知利害或者無力反對的狀態下被動接受。

二是權限不明。以施行“刷臉”出入的小區為例，居民的人臉識別數據是掌握在居委會手中、業委會手中、物業公司手中還是提供技術設備的企業手中，數據是否加密，誰有權讀取、改動、存儲，凡此種種，都缺乏明確、詳細的要求。

三是監督乏力。新版的國家標準《信息安全技術個人信息安全規范》明確要求，在收集個人生物識別信息前，需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規則，并征得用戶的明示同意；個人生物識別信息要與個人身份信息分開存儲，原則上不應存儲原始個人生物識別信息。但這些要求相關單位是否執行是一個問號，而面對不按要求辦事的單位，人民群眾向誰舉報、有何處罰措施也是一個問號。

加強生物信息管理三措并舉

《投資時報》記者注意到，對于近年來社會上有濫用趨勢的強制“刷臉”現象，胡成中深表關切。鑒于生物識別信息的保護，是關系到每一個人切身利益和安全的要緊大事，而我國的相關制度和機制建設滯后于歐盟《通用數據保護條例》、美國《生物識別信息隱私法》等國外范例，與我國數字經濟的發展水平不相匹配，胡成中特別提出以下三方面的建議。

其一是，進一步細化、嚴化相關法律法規。

在《民法典》的主旨性規定之外，對《個人信息保護法》、《刑法》等相關法律法規中涉及生物識別信息的部分，應予以突出強調和專門規定，采取比一般個人信息更大的保護力度、更有力的處罰措施，最大程度限制采集公民生物識別信息的應用場景，明確在可以通過其他方式（如刷卡、密碼等）替代的情況下，不得采集生物識別信息的基本原則。

其二，歸口管理，常態執法。

可以考慮在公安或者網信系統增設專門的數據保護部門，類似瑞典的數據保護局（DPA）。在相關法律的授權下，開展對全社會的數據安全，尤其是個人生物識別信息的日常管理和保護工作。既監督技術研發和商業開發是否越界，也監督應用場景是否合理必要，同時，受理人民群眾的舉報投訴、查辦相關案件。

2019年，瑞典一所學校因未經學生同意而采用人臉識別系統考勤，就被DPA認定違反了《通用數據保護條例》，處以罰款約合15萬元人民幣。

其三是設置必要門檻，特別保護原始數據。

目前，社會上存在著似乎誰都可以染指公民個人生物識別信息的不合理現象，企業甚至個人只要開發一款APP，就可以索取或騙取用戶的人臉識別等數據，導致信息泄露和相關黑市交易屢打不絕。

就此，胡成中代表建議，國家應考慮對企業涉足個人生物識別信息業務采取準入制度，設置若干硬性條件，對企業的數據保護能力、內部管理嚴密性等方面提出硬性要求，并開展常態化監督檢查。

同時，為最大限度降低個人生物識別信息原始數據的泄露風險，建議參考身份證的管理模式，技術和設備的研發企業只能提供軟硬件服務，設備的使用方只能獲得比對相符/不符的最終結果，均不得存儲數據；與公民身份相對應的生物識別信息原始數據，應由國家機關統一存儲、嚴格保護，向合格企業開放端口但不提供詳細數據，僅提供比對結果。

責任編輯：王超