人臉、聲紋、基因等“人體密碼”一旦泄露，公民如同“裸奔”，後果不堪設想。專家認爲應從技術、立法、執法等方面着力，保護好數字時代的通行證。

首發：“新華每日電訊”調查週刊

本報記者：胡銳、戴威 編輯：完顏文豪

出差歸來，安徽合肥市民周進良被新裝的門禁系統，擋在了小區門外。

錄入人臉信息、對準攝像頭、屏幕出現面部照片、大門開啓......方便倒是方便，但他卻有一絲擔憂，“我的人臉信息是誰在保管？會不會有泄露的風險？”

周進良道出了一種普遍情緒：人們在享受生物特徵識別技術便利的同時，也對可能存在的風險充滿顧慮。

近年來，人臉識別、聲紋識別、基因檢測等生物特徵識別技術，不斷滲透進我們的日常生活。同時，侵犯公民生物識別信息的行爲屢見不鮮。人臉、聲紋、基因等“人體密碼”一旦泄露，公民如同“裸奔”，後果不堪設想。

製圖：劉旭峯、章舒

“賞臉”不是自己說了算

“生物識別信息屬於敏感個人信息。它具有唯一性，無法更換或刪除，一旦被不法利用，可能給信息主體的人身、財產安全和人格尊嚴帶來風險。”安徽師範大學法學院教授周俊強說。

生物識別信息保護如此重要，但新華每日電訊記者調查發現，目前信息採集和使用還存在諸多亂象，“丟臉”“失聲”的現象不斷出現。

生物識別信息被強制採集。乘車進站、上班打卡、轉賬支付甚至存包、取廁紙……日常生活中“要臉”的地方越來越多，而很多時候，我們無權決定是否“賞臉”。

今年4月，江蘇部分社區推行人臉識別門禁系統，居民被要求錄入人臉照片、家庭住址等信息，否則將無法正常進入小區，這讓很多居民頗爲無奈。有居民表示，人臉是自己的生物信息，怎能隨意被人拿走，一旦泄露，造成的後果誰來承擔？

類似的強制採集人臉信息的案例在多地都有發生，對大多數人來說，根本沒有“討價還價”的可能，即使心懷疑慮，也只能提交人臉信息。

生物識別信息被盜用。你的“面子”也很“值錢”。今年10月，湖北省巴東警方破獲系列微信支付詐騙案。辦案民警介紹，不法分子在盜取受害者微信賬號後，找出受害人的自拍照，並通過照片活化技術騙過微信支付的人臉識別驗證，進而轉移受害人的賬戶餘額。

通過微信語音和你“熱聊”的好友，很可能是騙子。南京警方介紹過這樣一個案例，2019年10月，南京市民陳先生收到一位“朋友”發來的語音消息，說要借5000元錢。陳先生聽着是朋友的聲音，沒多想就把錢轉了過去，誰知對方收到錢後不久就把他“拉黑”了。專家介紹，現有的AI語音合成技術可以從原始錄音中取樣，模擬出相似度極高的聲音，極具欺騙性。

生物識別信息被泄露。對於公民來說，生物識別信息一經提交，這些“人體密碼”將去向何方， 不得而知。近年來，這類信息被泄露的案例屢有發生。

寄出一毫升唾液，就能測出自己的血統來源，是否爲“易胖體質”，是哪些疾病的易感人羣。聽上去是不是很有吸引力？許多人都希望通過基因檢測，擁有一本專屬的“生命說明書”。

但個人基因信息，同樣存在被泄露的風險。2018年10月，科技部官網公佈了一批行政處罰決定書，國內外共六家機構上榜。據悉，這些機構都存在非法處理公民遺傳資源信息的行爲。

2019年2月，中國某人工智能公司的數據庫由於未做訪問限制，直接開放在互聯網上，導致超過250萬人的數據可被獲取，這其中就包括了人臉識別圖像。

小區強推人臉門禁歸誰管

生物識別信息逐漸取代傳統的數字密碼，成爲人們的“支付依據”“准入憑證”，可以說是價值非凡，因此常被人“惦記”。

趨利的不法分子通過一切手段，試圖盜取“人體密碼”，道高一尺魔高一丈的“貓鼠遊戲”每天都在上演。

以人臉信息爲例，如果想開發人臉識別技術，就需要大量的人臉信息訓練相關模型。

訊飛AI研究院視頻分析技術負責人吳子揚告訴記者，在商用的、來源正規的人臉信息數據庫裏，單人不同角度、不同場景的人臉數據集，能賣到幾十甚至上百元。收集、倒賣公民人臉數據，正成爲不法分子牟取利益的手段。

除此之外，人臉信息目前主要用於身份權限認證，一旦泄露，不法分子可以藉此通過身份認證系統，盜取公民社交平臺賬號或金融賬戶內財產。

不少商家也把採集生物識別信息當作商業競爭中的取勝之匙。當消費者走進一個裝有人臉識別設備的賣場，智能營銷系統就會迅速識別出他是不是“熟客”，並分析其收入水平與消費習慣，商家可以藉此進行精準推薦或“大數據殺熟”。

生物特徵識別技術的使用場景愈發廣泛，但是相關的應用還存在技術漏洞。

吳子揚表示，從技術層面來看，守護生物識別信息的難點主要在存儲環節。存儲器漏洞、缺乏訪問控制機制、黑客攻擊，都可能導致數據泄露。

與此同時，相關立法和監管機制還存在一定滯後。

浙江理工大學法政學院副教授郭兵說，儘管我國有多部法律就保護公民個人信息作出規定，但相關法條多爲原則性規定，缺乏對生物識別信息具體、針對性規定。

“我國現有的關於公民個人信息保護的法律，難以滿足日益具體、多樣的規範需求。”北京航空航天大學法學院副院長周學峯說，《中華人民共和國網絡安全法》適用於網絡運營者，而現實生活中侵犯公民生物識別信息的行爲主體多種多樣。《中華人民共和國民法典》即將生效，若受害者想憑此維權，需要到法院提起民事訴訟，維權成本高，舉證難度大。

周學峯表示，對於公民個人信息保護，目前多個部門都有管轄權，比如市場監管、網信、公安等部門。但多部門監管有可能導致監管職責不清。我國目前缺乏一個公民個人信息保護領域的集中統一主管部門，“沒有明確的主管部門，公民在自身生物識別信息遭侵犯時，比如小區強制推行人臉門禁，都不知道該找哪個部門投訴”。

如何守護我們的“人體密碼”

近日，《天津市社會信用條例》的出臺受到公衆關注。條例明確規定市場信用信息提供單位，不得采集自然人的生物識別信息。對於生物識別信息保護而言，該條例的制定可以看作一次有益的探索。

如何守護我們的“人體密碼”？目前還沒有一個放之四海而皆準的“答案”。不過多位受訪專家表示，應構建立體化的生物識別信息保護體系，從技術、立法、執法等方面着力。

“技術上，可以從降低生物識別信息的存儲依賴與減少存儲數據的濫用兩方面入手。”吳子揚表示，首先要加強生物識別算法的研發，減少對數據的依賴；其次還應加強對隱私保護、加密等技術的研究，提升信息匿名化的能力，這樣即便數據泄露，他人也無法解析，降低數據被濫用的風險。

吳子揚認爲，除了少數外部攻擊，大部分信息安全事故還是因爲企業不自律、管理不規範導致的。他建議儘早建立生物識別信息應用系統的行業標準和評價指標，還可以依託行業內具有公信力的組織或第三方機構，對安全性進行定期評估與測試。

“生物識別信息的內涵外延需明確，相關處理規則需細化。”郭兵表示，應完善相關立法，對收集公民生物識別信息的行爲要有明確標準，對於存儲和使用信息，也應作出更爲具體的規定。

當個人生物識別信息被侵犯時，公民往往不願意提起民事訴訟，因爲“打官司”時間、經濟成本高，舉證難度大。就算勝訴，收益也很低。這導致很多公民在相關權益受侵害時忍氣吞聲，不法分子卻逍遙法外。

對此，周俊強建議將公益訴訟引入個人信息權益保護領域。這樣，人民檢察院等部門可以就違法處理個人信息的行爲，向人民法院提起訴訟，大大增強維權力量。郭兵建議將懲罰性賠償制度引入個人信息權益侵害救濟的相關規定中，增強公民維權動力，同時提高法律威懾力。

“保護個人生物識別信息，不能光靠立法，執法環節同樣重要。”周學峯建議，應設立個人信息保護領域的集中統一監管機構，並設置投訴處理程序，在民事訴訟之外給公民提供行政救濟的途徑。這樣，當信息權益受侵害時，個人再也不會茫然無措，可以直接去找個人信息保護機構投訴。

相較於傳統的數字密碼，生物特徵識別體現了技術的迭代升級。因噎廢食不是對待新技術的正確態度，加以約束、因勢利導，或許更爲理性。

生物識別信息是公民獨一無二的“人體密碼”，是數字時代的通行證。隨着技術的進步和相關法律、監管的完善，期待生物特徵識別技術能實現“科技向善”，使我們的生活更加便捷，而我們的“人體密碼”，也能得到更妥善的保護。