生物识别信息具有唯一性、不可变更性，公民生物识别信息一旦泄露，后果不堪设想。德力西集团董事局主席胡成中今年“两会”的建议之一即聚焦于此。

十三届全国人大代表、德力西集团董事局主席胡成中出席2020年两会照片

《投资时报》记者 邓妍

你所在的小区是否要靠“刷脸”才能出入？

你知道自己的人脸识别数据，是掌握在居委会、业委会、物业公司还是提供技术设备的企业手中吗？

你知道自己的人脸数据是否加密？

谁有权读取、改动、存储你的人脸数据吗？

你的答案，大概率是，“不知道”“不清楚”。

近年来，随着人脸识别、大数据、人工智能等技术飞速发展和商业化应用，人脸、指纹、声纹、虹膜等生物识别信息正在不知不觉中被悄然泄露。但与密码、住址、手机号等可更改的个人信息不同，具唯一性、不可变更性的生物识别信息一旦被泄露，意味着自家大门永远向陌生人敞开，后果不堪设想。

基于此，《投资时报》记者获悉，十三届全国人大代表，浙江省工商联副主席、德力西集团董事局主席胡成中今年“两会”期间准备提交的三件建议之一，即聚焦于《关于规范生物信息收集 筑牢公民隐私边界的建议》。其他两件建议分别是《关于进一步加大打击侵犯企业知识产权行为力度的建议》、《关于压实企业责任 保障“小哥”群体劳动权益的建议》。

胡成中于2018年1月30日当选十三届全国人大代表。此前，他曾先后担任第十届、十一届全国政协委员，期间，上交提案30多件。2018年、2019年、2020年“两会”期间，作为人大代表的胡成中，提交了十余件建议，涵盖加快智慧城市建设、大力支持国家级智能电气创新中心建设、打造芯片强国引领经济高质量发展、加大对民营企业打造先进制造业支持力度等多方面内容。

《投资时报》记者了解到，早在2021年春节前，胡成中即通过德力西集团董事局秘书处，向公司内部和社会各界征集今年“两会”的议案建议，经筛选形成初稿后，又向有关专家学者征求意见。

针对生物识别信息目前存在的普遍问题，胡成中代表提出三方面建议。一是要明确必要性原则，在可以通过其他方式替代的情况下，不得采集生物识别信息；二是归口管理，在公安或者网信系统增设专门的数据保护部门；三是设置必要门槛，杜绝任何企业都可以染指公民生物识别信息的现状，乃至参照身份证管理，原始数据统一由国家掌控。

十三届全国人大代表、德力西集团董事局主席胡成中在2020年两会现场

保护生物信息的氛围尚未形成

近年来，随着人脸识别、大数据、人工智能等技术的飞速发展和商业化应用，广大人民群众在技术无孔不入的窥视下有渐成“透明人”之忧，有的既得利益方甚至鼓吹“中国人愿意用隐私换便利”。

与密码、住址、手机号等可以更改的个人信息不同，人脸、指纹、声纹、虹膜等生物识别信息具有唯一性、不可变更性。随着社会整体信息化程度越来越高，公民生物识别信息一旦泄露，则意味着自家大门永远向陌生人敞开。

今年正式实施的《民法典》首次将个人生物识别信息纳入个人信息的保护范畴，体现了国家立法工作的与时俱进，和对社会秩序的必要指引。然而，虽然目前《民法典》有了提纲挈领的规定，但“制度的笼子”还没有织就，高度重视和严格保护公民生物识别信息的社会氛围还没有形成。

胡成中代表通过前期调研、汇总后注意到，相关问题主要表现在三个方面。

一是场景滥用。公民生物识别信息原本是最敏感和最重要的个人数据，非必要不应轻易采集和使用。但由于缺乏全国性的明确约束，一些社区、企业、机构毫无谦抑敬畏之心，动辄以“方便管理”为由强推“刷脸”系统等技术设备，有的学校甚至用人脸识别来监控学生的上课状态，剥夺人民群众知情权、选择权，绝大多数人只能在不知利害或者无力反对的状态下被动接受。

二是权限不明。以施行“刷脸”出入的小区为例，居民的人脸识别数据是掌握在居委会手中、业委会手中、物业公司手中还是提供技术设备的企业手中，数据是否加密，谁有权读取、改动、存储，凡此种种，都缺乏明确、详细的要求。

三是监督乏力。新版的国家标准《信息安全技术个人信息安全规范》明确要求，在收集个人生物识别信息前，需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则，并征得用户的明示同意；个人生物识别信息要与个人身份信息分开存储，原则上不应存储原始个人生物识别信息。但这些要求相关单位是否执行是一个问号，而面对不按要求办事的单位，人民群众向谁举报、有何处罚措施也是一个问号。

加强生物信息管理三措并举

《投资时报》记者注意到，对于近年来社会上有滥用趋势的强制“刷脸”现象，胡成中深表关切。鉴于生物识别信息的保护，是关系到每一个人切身利益和安全的要紧大事，而我国的相关制度和机制建设滞后于欧盟《通用数据保护条例》、美国《生物识别信息隐私法》等国外范例，与我国数字经济的发展水平不相匹配，胡成中特别提出以下三方面的建议。

其一是，进一步细化、严化相关法律法规。

在《民法典》的主旨性规定之外，对《个人信息保护法》、《刑法》等相关法律法规中涉及生物识别信息的部分，应予以突出强调和专门规定，采取比一般个人信息更大的保护力度、更有力的处罚措施，最大程度限制采集公民生物识别信息的应用场景，明确在可以通过其他方式（如刷卡、密码等）替代的情况下，不得采集生物识别信息的基本原则。

其二，归口管理，常态执法。

可以考虑在公安或者网信系统增设专门的数据保护部门，类似瑞典的数据保护局（DPA）。在相关法律的授权下，开展对全社会的数据安全，尤其是个人生物识别信息的日常管理和保护工作。既监督技术研发和商业开发是否越界，也监督应用场景是否合理必要，同时，受理人民群众的举报投诉、查办相关案件。

2019年，瑞典一所学校因未经学生同意而采用人脸识别系统考勤，就被DPA认定违反了《通用数据保护条例》，处以罚款约合15万元人民币。

其三是设置必要门槛，特别保护原始数据。

目前，社会上存在着似乎谁都可以染指公民个人生物识别信息的不合理现象，企业甚至个人只要开发一款APP，就可以索取或骗取用户的人脸识别等数据，导致信息泄露和相关黑市交易屡打不绝。

就此，胡成中代表建议，国家应考虑对企业涉足个人生物识别信息业务采取准入制度，设置若干硬性条件，对企业的数据保护能力、内部管理严密性等方面提出硬性要求，并开展常态化监督检查。

同时，为最大限度降低个人生物识别信息原始数据的泄露风险，建议参考身份证的管理模式，技术和设备的研发企业只能提供软硬件服务，设备的使用方只能获得比对相符/不符的最终结果，均不得存储数据；与公民身份相对应的生物识别信息原始数据，应由国家机关统一存储、严格保护，向合格企业开放端口但不提供详细数据，仅提供比对结果。

责任编辑：王超