享法专文| 生物识别信息保护:“你”真的是你吗?

享法专文| 生物识别信息保护:“你”真的是你吗?

今年315晚会为大家现场展示了一场精彩的“换脸术”。主持人随机邀请了一位观众,并在将其公开发布的一张自拍照进行现场技术处理后快速生成了与观众本人一模一样的3D人脸模型。随后,主持人对准手中的手机镜头,将观众的3D脸模套在自己的脸上直接“换脸”,并按照某款具有人脸识别功能的APP的活体检测的提示依次完成眨眼、转头、微笑等动作,顺利骗过APP完成了活体检测认证。

再看广泛用于考勤、解锁、支付等各个生活领域指纹识别,其安全性被打脸的实例也很多,例如某电商平台售卖的一种叫做指纹贴的东东,该种指纹透明贴或者其他类似的指纹膜可以轻松帮助普通人迅速骗过指纹识别验证。也许,有些看客到此就不服气了,我们的指纹,其他人怎么可能轻易获取到?但是,真的如此吗?还记得大家拍照大多会使用的剪刀手么?几年前既有黑客联盟“混沌电脑俱乐部”表示,其已经掌握了新的技术,可以通过几张手指照片,便可复制出人们的指纹。而今年日本国立情报学研究所的研究人员也再次对此发出了警告。虽然有技术专家表示该种技术仅适用于1米之内拍摄的照片,但是您能保证在自拍时不伸出胜利之“V”么?更何况我们在生活中随处留下的指纹呢?

看到这里,您还能自信的说,在诸如人脸识别、指纹识别、声纹识别、虹膜识别等生物识别系统中,“你”真的是你么?这些生物识别技术真的安全么?

面对这些安全性问题的挑战,对于引领生物识别技术前沿的创业者,又应该知道哪些基本的法律要求来设计自己的产品和商业模式,在科技创新的同时也更好的保障信息的安全呢?

1.个人生物识别信息属于受保护的个人信息

我国《网络安全法》第七十二条第五款规定 “个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”,即《网络安全法》已明确将个人生物识别信息列入了个人信息保护的范畴。

2.企业无权非法收集个人生物识别信息

生物识别技术虽然多种多样,但所面临的法律问题大同小异,鉴于篇幅有限,本文我们仅就目前应用最为广泛的指纹识别技术和人脸识别技术进行讨论。

指纹信息

指纹因具有唯一性和终生不变性,属于人体生物识别的重要指标,是认定个人身份的重要依据,被列入国家指导性技术文件《公共及商用服务信息系统个人信息保护指南》并被界定为个人敏感信息,即一旦泄露将会对标识个人信息主体造成不良影响的信息;同时,指纹信息在《征信业管理条例》中被明确列为禁止征信机构采集的个人信息。

此外,目前关于采集指纹的主要规定有《保安服务管理条例》、《公安机关实施保安服务管理条例办法》、《居民身份证法》、《出境入境管理法》、《刑事诉讼法》、《反恐怖主义法》、《教育部关于做好2014年全国硕士学位研究生招生工作的通知》、《公安机关指纹信息工作规定》等。

以上明确规定保安员、办理身份证应采集指纹,出入境、确定被害人、嫌疑人身份等可采集指纹,且法律明文规定指纹采集手段与使用目的必须具有密切关联性,禁止法定目的之外进行使用。

对于被明确禁止采集指纹信息的征信机构以外的企事业单位是否能够采集指纹信息则并无法律上明确的禁止性规定,但应当按照个人信息保护的相关规定予以保护。

人脸(肖像)信息

公民肖像作为与特定个人相关联的、反映个体特征的具有可识别性的信息,毫无疑问,属于个人信息的一种,但应当按照个人信息保护的相关规定予以保护。

并且,我国已明确立法保护公民的肖像权,未经公民本人同意,不得以营利为目的使用公民的肖像。但“以营利为目的”,并不是构成侵害肖像权行为的一般构成要件。因此,即便无营利目的,若不符合肖像权法定使用许可范围 ,未经肖像权人同意使用他人肖像的行为,亦可认定构成侵害他人肖像权。

3.如何保护个人生物识别信息?

个人生物识别信息因其唯一性和精准性而可贵,也因其唯一性而需要受到更多的保护。对于公民个人而言,对于其生物识别信息的最好保护就是谨慎并减少不必要的授权,同时,也应尽可能的减少对个人生物识别信息的曝光率,比如……收起我们的剪刀手。当然,我们不可能为了保护我们的肖像信息就呆着面纱出门。所以,对于个人生物识别信息的保护,个人所能做的终究是有限的,更多的还是需要采用生物识别技术的企业来采取措施实施保护。

对于企业而言,其至少应从以下几个方面来实现对个人生物识别信息的保护,当然这也是其所应履行的个人信息保护义务:

首先,除却法律明确禁止采集的个人生物识别信息外,对于其他任何个人生物识别信息的收集,都应明确告知信息权利主体该等个人生物识别信息的采集目的、使用方式、途径和使用范围,取得信息权利主体的明确同意,即通过与其之间的明确法律约定(如用户协议、隐私政策等【友情提示:如果采用的是格式合同,还应对相关条款通过字体加粗、标亮等方式进行显著提示哦】),来取得个人生物识别信息的采集权和/或使用权;否则,即应停止对其个人生物识别信息的采集和/或使用。

其次,对于个人生物识别信息(尤其如指纹、虹膜等敏感信息)的采集应遵循“合法、正当、必要”的原则,即如果不是为了实现核心服务功能所必须采集和使用的个人生物识别信息,则不予采集和使用;同时在对于个人生物识别信息的使用、处理过程中,应注意遵从“手段和目的密切相关联”的原则,即严格限制其使用范围,仅将信息权利主体明确授权的使用目的范围之内,如以支付为目的采集的指纹仅用于支付目的,不得用于其它用途。

再次,企业应注意采取信息安全保护措施并建立保密制度来保障所采集到的个人生物识别信息的安全性和保密性。企业可以参考《电信和互联网用户个人信息保护规定》中监管部门要求采取的以下措施:1)确定各部门、岗位和分支机构的用户个人信息安全管理责任;2)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;3)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;4)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;5)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;6)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;7)按照电信管理机构的规定开展通信网络安全防护工作;8)电信管理机构规定的其他必要措施。

同时,由于个人生物识别数据唯一、不可消除、不可更新的特性,目前亦有专家提出了采用数据消除技术来保障个人生物识别信息的安全,例如,根据公开报道,Google计划将人脸识别技术应用到支付服务Android Pay中,而为了保障用户的个人信息和隐私,该系统不会保存用户的照片,仅是与用户之前提供的照片进行比对后,实时将照片删除。

最后,企业亦应建立个人信息泄露救济机制。如若发现保管的用户个人生物识别信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予企业许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。

4.避免走向侵犯个人信息犯罪的深渊

因侵犯个人信息而构成犯罪的案件越来越受到关注,相关法律依据是刑法第二百五十三条:

违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

最高人民法院和最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(“《解释》”)将于2017年6月1日起施行。根据《解释》,对于刑法第二百五十三条之一规定的“情节严重”的判断,对于健康生理信息而言,界定在非法获取、出售或者提供数量达到五百条以上,违法所得在五千元以上。而达到以上标准的十倍时, 则视为“情节特别严重”。

鉴于生物识别信息的唯一识别性,它的使用无法接受任何去识别化处理。企业在发展生物识别技术时很容易收集和积累大量的个人信息,务必参考本文介绍采取必要的保护措施,加强员工教育,以免触犯刑法。


小结:生物识别技术为人们的生活带来了巨大的便利,但是生物识别技术也为人们带来了不安。对于个人生物识别信息的保护从不是多余的,而对于个人信息保护规定的遵从也不是对技术发展的限制,而是为了技术能够得到更为合理的运用。只有当个人生物识别信息得到良好的安全保障,在生物识别系统面前,“你”真的就只是你,人们才可能更安心享受生物识别技术所带来的便利,企业也才能真正从生物识别技术中获益。

编辑于 2018-01-08