智能时代个人生物信息安全如何防护

    【摘要】当前，随着社会和科技的快速发展，我国正逐渐步入智能时代，个人生物信息逐渐替代传统密码等，广泛应用于社会生活。但实际上，个人生物信息在创造便捷之余，也潜藏着巨大的安全隐患。社会公众要意识到“便捷性危险”，谨慎使用个人生物信息。国家更要尽快出台和完善相关立法，为智能时代个人生物信息安全加固防护墙。

    【关键词】个人生物信息 立法 安全 【中图分类号】D92 【文献标识码】A

    随着社会和科技的快速发展，个人生物信息被广泛应用于商业领域，但也出现了打着为用户创造便利的噱头、过度采集用户个人生物信息的情况。这些信息一旦泄露，将给个人和社会带来严重损害。但是，纵观我国现行立法，在个人生物信息安全保护领域还存在一定空白。要做好个人生物信息保护，通过设立专项立法，加大个人生物信息侵权处罚力度。同时，监管部门更要切实履行职责，将网络市场中的APP列为重点监管对象，遏制个人生物信息非法采集和滥用。

    个人生物信息“越便捷、越危险”

    近年来，个人生物信息得到了更为广泛的应用，最常见的包括手机指纹解锁、面容打卡签到、虹膜解锁保险柜等，让社会公众无需使用密码即可一键完成认证。除传统领域应用个人生物信息之外，网络个人生物信息应用更为多元，比如指纹支付、“刷脸”支付等。这虽然给公众网络交易带来极大便捷，但其中也隐藏着不少安全隐患。一直以来，不少人对生物信息技术使用提出质疑，比如技术是否成熟、隐私是否泄漏等。相比常规个人信息，比如身份证信息、密码信息等，个人生物信息具有极大的不可控性，以面容生物信息为例，面容生物信息被复制概率较高，任何人走在路上都可能被摄像头拍摄，从而让面容生物信息得以保存。同时，社会公众在朋友圈、微博等平台“晒”照片，也会泄露面容生物信息。倘若面容生物信息被不法分子掌握，利用面容信息进行网络支付，财产安全难以得到保障。此外，手机号码信息、密码信息一旦泄露，社会公众可以随时随地修改，但个人生物信息一旦泄露，并无修改的可能性，即便陷入危险境地，也难以寻求有效的解决对策。因此，在智能时代背景下，个人生物信息安全不仅要由应用者进行维护和保障，社会公众也要增强保护意识，尽量避免个人生物信息外泄，在面对便捷APP应用时，多一份警觉就会少一份担忧。

    个人生物信息保护立法还存在一定缺失

    早在2018年，中国消费者协会就曾发布APP个人信息收集与隐私评测报告，指出100款APP中90%以上存在涉嫌越界、过度收集用户个人信息的问题，点名批评美图秀秀APP涉嫌过度收集可识别生物信息、财务信息等。2019年，一款名为ZAO的AI换脸APP火爆网络，鼓励用户将影视剧中的演员换成自己的面容，先不论此种行为对肖像权造成的侵犯，其背后更是强制获取了用户的面容生物信息，一旦面容数据信息泄露，人脸解锁、人脸支付等将面临威胁。但是即便引发如此大的隐私权益讨论，该款APP也只是约谈后下架处理。从上述两个案例可以看出，我国已经存在滥用个人生物信息的现象，并且给用户个人生物信息安全造成一定隐患。但是，由于我国在个人生物信息保护方面存在一定立法空白，个人生物信息的越界、过度采集行为并未及时得到法律惩处。虽然在我国相关法律法规中，也存在关于个人信息保护的相关规定，但多局限于传统个人信息保护，而非个人生物信息保护。鉴于个人生物信息有着诸多截然不同的特征，与传统个人信息保护有着较大差异，应适时出台个人生物信息保护法，明确禁止企业对个人生物信息的过度采集和肆意使用，即便合理使用也要提前告知用户，得到用户的明确授权，并做好个人生物信息采集、储存、传输等保护工作，严防个人生物信息泄露，否则应受到法律严惩。

    善用立法加固个人生物信息防护墙

    首先，依法明确个人生物信息属于私权领域。虽然社会达成普遍共识，将个人生物信息纳入私权范畴，但其属性尚未得到立法确认，应明确个人生物信息的私权属性，赋予个人生物信息法律权属和地位，罗列个人生物信息种类，以“定义+列举”的方式，比如指纹、面容、虹膜、声音、体态、健康状态、DNA等等，确保个人生物信息保护专项立法涵盖内容广泛，做好个人生物信息全面化保护。同时，依法明确用户有权处理个人生物信息，其他主体只有得到用户明确授权，方可在授权范畴之内，比如特定时间、特定用途、特定目的下使用个人生物信息。用户有权撤销个人生物信息使用授权，而使用个人生物信息的企业也有义务根据用户要求，及时删除和清空含有个人生物信息的相关数据。此外，为防控发生个人生物信息泄露风险，企业应在采集个人生物信息12个月内清除信息，用户再次使用，需重新授权达成使用协议。值得注意的是，非商业性使用个人生物信息，比如刑事侦查、治安管理、医疗卫生等领域，不应受到用户授权限制，但依然需要做好个人生物信息保护工作，以适度的方式合理使用个人生物信息。

    其次，依法做好个人生物信息法制宣传工作。既然依法明确个人生物信息属于私权领域，社会公众就需要重视个人生物信息保护，政府、企事业单位、院校、社区等要联合开展个人生物信息法制宣讲，告知社会公众乱用个人生物信息产生的严重后果，提高社会公众的隐私保护意识、法治安全意识，意识到个人生物信息与其他不同，一旦遭遇泄露无法更改，或将造成一生影响，以此提高社会公众对个人生物信息的保护意识。同时，社会公众一旦遭遇个人生物信息侵权行为，要善于利用法律武器保护自身合法权益，不要错误认为对自身影响不大，而放弃维权行为，让不法分子逍遥法外。此外，相关部门也要深入到涉及个人生物信息使用的相关企业，尤其是网络科技型企业，宣讲个人生物信息保护条款，要求企业恪守法律红线，依法使用个人生物信息，否则将严惩非法利用个人生物信息谋取利益的行为。除此之外，也应及时发布司法解释、指导案例，针对涉及个人生物信息侵权案件提高重视，以司法解释、指导案例的形式，引导各地司法机关正确处理此类案件，更好地维护社会公众合法权益。

    再次，依法强化个人生物信息监督管理职责。在诸多侵犯个人生物信息违法行为中，多数用户自身并不知情，难以更好地维护自身合法权益，需要依赖监督管理部门的技术优势，提前消除个人生物信息的安全隐患，防止因企业过度采集和使用个人生物信息，导致信息泄露侵犯社会公众合法权益。个人生物信息保护专项立法应该详细规定企业采集和使用个人生物信息的细则，针对涉及个人生物信息采集和使用的企业进行备案管理，定期和不定期地履行监督管理义务，利用技术优势对企业进行全方位监测，一旦发现越界采集、过度采集、违法采集等行为，应及时约谈相关企业，要求企业暂停提供涉及个人生物信息业务，责令进行整改，并根据违法情况给予处罚。同时，针对主观恶意、非法采集个人生物信息数量众多、造成严重后果的行为，应从重从严处理，涉及刑事违法则提交给相关部门，施以重拳打击非法采集和使用个人生物信息行为。此外，监督管理部门也要畅通举报投诉通道，设置举报电话、官方微博、官方微信等，为举报非法采集和使用个人生物信息的行为提供便利，根据社会公众举报认真核实，将最终结果反馈给举报人，并给予适当奖励，激发社会公众举报和投诉的积极性。

    最后，依法明确个人生物信息侵权违法责任。涉及个人生物信息违法行为可能侵犯多重主体权益，涵盖刑事、民事等法律法规，应根据具体侵犯个人生物信息权益行为进行划分，根据不同情况予以惩治。在一般情况下，涉及个人生物信息违法行为主要以侵犯用户个人信息为主，一旦企业存在滥用个人生物信息行为，应依法承担相关责任，依照相关规定进行严肃处理，比如停止侵权行为、公开道歉、消除影响、民事赔偿等。同时，企业非法采集或使用个人生物信息，也属于行政管辖范畴，根据有关规定，主管部门可责令经营主体停业整改、缴纳罚金等。此外，也存在侵犯个人生物信息行为造成严重后果的情况，或将受到刑法的严厉惩罚，比如利用个人生物信息盗取钱财、利用个人生物信息获取商业秘密等。对于个人生物信息保护，要根据违法行为进行具体分析和规制，确保起到更好的保护效果。

    （作者为上饶师范学院政法学院副教授）