80后代表建议个人生物识别采集要更合法合规

80后人大代表沙青青,2年前就开始关注个人信息安全问题,今年两会期间,他也将提交有关加强个人生物信息识别安全的书面意见。

“现在刷脸的应用场景很多,可能都会涉及到一些个人身份信息识别。而因个人信息不当收集、滥用、泄露,往往会导致公民权益受到侵害的事件时有发生。”沙青青说,今年还有一个不一样的背景,在国家立法层面,2020年全国人大也将制定《个人信息保护法》《数据安全法》,从国家法律层面以专法的形式来予以明确界定。

个人信息必然包含个人生物识别信息。相较于其他个人信息,如证件信息、联系方式、传统密码等,个人生物识别信息更具敏感性,而其若遭盗用、违规使用,潜在的危害性也更大。沙青青说,例如面部识别、指纹、虹膜等个人生物识别信息,较之以往的密码等个人信息,其最大特征在于“不可变更性”。“换言之,一旦被盗用,个人难以变更,其潜在社会危害性也更大。而在大数据技术应用广泛的情况下,相关企事业单位在获取此类个人生物识别信息时也存在随意性和违反常规相关法规的潜在危险。”

实际上,早在2019年初公安部网络安全保卫局就已发布过《互联网个人信息安全保护指南》。该指南明确“建议仅存储个人生物特征识别的摘要信息,也就是经过分析、处理后得到的结果”,而避免收集人面识别类的原始信息。又如2019年9月教育部就明确提出“采集包含学生的个人信息都要非常谨慎,能不采集就不采。能少采集就少采集,尤其涉及到个人生物信息的。 ”

沙青青表示,目前,包括人脸识别在内的个人生物识别信息的应用场景越来越多,进行采集的主体也越来越多。其中,既有政府部门基于治安与社会管理必要性、合法依规进行的,也有企事业单位出于各自业务或经营便利需要进行的。在此背景下,究竟谁有权进行采集、谁有权进行调用、是否履行告知义务,是亟需重视和厘清的问题。其中,也隐含着法律风险。

此外,在《个人信息保护法》《数据安全法》即将出台的背景下,采集后信息的保管、使用规范也亟待健全完善。例如企事业单位出于工作需要采集的个人生物识别信息究竟应该如何保管?是否需要制定相关的标准规范?没有技术保障技术、条件的主体,是否应该禁止其采集?沙青青认为,对于这些问题理应进行调研。

“在今年上海市政府报告中,应勇市长强调‘围绕数据惠民,加强公共数据治理’。上海作为数据应用领域处于领先地位的社会主义国际大都市,建议在加快智慧城市建设、加快推进智慧公安建设的同时,进一步做好网络安全尤其是个人信息安全、个人生物识别信息安全的保障工作。”沙青青建议,要健全个人信息尤其是个人生物识别信息的采集规范和内控机制,完善各数据采集、保管主体的相关内控规范。通过网信、网安等部门进行行业巡视、检查的形式,严肃提醒相关主体在进行个人生物识别信息采集、保管、使用时应充分认识到其风险性及法律责任,为上海”城市大脑“建设守牢安全底线。