图一、二、三：不少小区、商场、营业厅等场所都安装了人脸识别系统。
图四：手机里的APP时不时就会跳出 “是否开通人脸识别”的提示。
■本报记者 武晓莉 文/摄
　　工业和信息化部信息通信研究院的一份报告指出，以人脸识别为主要对象的用户生物识别信息，在用户不知情或未明示同意的情况下被收集使用，以用户可感知的方式呈现。但信息是如何被收集、通过何种渠道共享传播，普通用户难识别、难举证。较多应用并未通过隐私政策或其他途径告知用户收集使用信息的目的、方式和范围，也未向用户提供明确的允许和拒绝的选择，这种累积性的权益侵害在日常生活中普遍存在，引发了用户的严重担忧。生物识别信息过度收集、使用的乱象亟待解决。
　　在立法和消费者权益保护层面，现状、手段以及未来趋势如何？用户在什么层面可以说“不”？公共安全采集的界限在哪里？生物识别信息能“阅后即焚”吗？本报记者就此进行了采访。
常被要求刷脸令人焦虑
　　最近，记者用一个下午的时间集中办了几件事。在办事过程中记者发现，不知从何时起，人脸识别应用已经普遍到令人惊讶的地步了。
　　先是补手机卡。记者记得商场里有运营商的营业厅，就先去了商场。进门的时候被要求查验健康码，然后通过架设好的人脸识别机器测试温度。进去后发现商场里没有营业厅，但看见商场旁边有银行，便想去打印个账单，结果又被刷脸一次。
　　后来找到的营业厅是一个小小的门脸，进门不用健康码也不用刷脸，但补卡信息填完后，营业员拿出一个手持刷脸扫描仪说：“正对着，慢慢眨眼，向左转头、向右转头，低头、抬头，好了。”她解释说，这是运营商要求的实名制办理流程，不刷脸就不能补卡。
　　补完卡往回走，以前穿过一个小区是近路，但由于疫情的原因，小区已经封闭了。此时记者看见一个家长接放学的孩子，孩子一溜小跑冲到门口，对着门上的人脸识别门禁扫了一下，门开了，孩子很兴奋地喊妈妈一起进去。
　　绕行的路上有一个学校，两个学生模样的人在试门禁卡，打不开。路边的快递小哥喊：“别试了，昨天就关了，要刷脸才行。”
　　……
　　不仅如此，手机上的APP也会不时跳出“开通人脸识别功能”的提示。“人脸识别技术显然正在被加速应用到生活的方方面面，已经由不得你了。”中国新闻社一位人士对记者说，“我们小区马上要安装人脸识别门禁了，不刷就回不了家。机场、商场、小区、银行到处都要求人脸识别，如果拒绝，就进不去，但这些很难说都是出于公共安全的需要。我个人觉得目前的主要安全隐忧不是刷脸本身，而是采集范围过度、强制采集以及储存、使用、销毁等层面不能充分告知，导致大家对这个事情很焦虑。”
期待更强有力的法律保护
　　如何界定收集行为是否出于公共安全的需要？个人可以说“不”吗？个人对生物信息的收集、存储、共享、转让是否有知情权？
　　北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长吴沈括认为，生物识别信息固有的特殊性和敏感性，决定了此类信息的滥用更容易产生严重的社会危害。事实上，生物识别信息被各类主体违法收集、恶意使用以及非法买卖等安全事件频频发生，与之伴生的电信网络诈骗甚至人身伤害等恶性案件，都让公众广泛期待更强有力的法律保护。
　　据吴沈括介绍，《个人信息保护法（草案）》（以下简称《草案》）提出了更高水平保护要求的解决方案。
　　首先，立法者明确规定生物识别信息属于“敏感个人信息”，也就是说，只要是“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息”,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等，都属于敏感个人信息。对这些信息的处理，立法者要求基于个人同意，并且要求信息处理者不仅应当取得个人的单独同意，还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
　　此外，《草案》还针对在公共场所安装图像采集、个人身份识别设备的特殊场景做出专门规定，强调应当为维护公共安全所必需，并设置显著的提示标识。所收集的个人图像、个人身份特征信息，只能用于维护公共安全的目的，不得公开或者向他人提供。
　　今年10月1日起，由国家市场监督管理总局和国家标准化管理委员会联合制定的《信息安全技术个人信息安全规范（GB/T35273-2020）》（以下简称新版《规范》）正式生效。业内人士认为，与2017年的旧版相比，新版《规范》最显著的变化是对使用生物识别信息的各个环节做出了较为详细的规定，尤其是在使用知情权方面，对个人生物识别信息的收集、存储、共享、转让等各个环节都提出了具体要求。
　　从收集方来看，按新版《规范》要求，企业要单独向个人用户告知收集和使用生物识别信息的目的、方式和范围、存储时间等规则，取得个人用户明示同意。原则上不应共享或转让个人生物识别信息，确需共享和转让的，仍应当单独向用户告知目的、信息类型等内容，并征得个人用户的同意。此外，还要求企业不应公开披露个人生物识别信息。
　　从被收集方来看，新版《规范》规定不能通过功能捆绑强迫用户接受个人信息收集，而应该逐一告知用户扩展业务功能，逐项获得用户明示同意后再开启；用户拒绝开启扩展业务功能收集个人信息，企业不得拒绝提供基本业务功能或者降低服务质量，并且不得在48小时内再次征得用户同意；用户有权关闭或退出业务功能，相应的途径或方式应与选择使用该项业务功能的途径或方式一样方便。
“阅后即焚”暂难实现
　　“数据即力量已经成为各方奉为圭臬的业务信条。”吴沈括认为，在个人信息已成为基础性战略资源和社会创新原动力的当下，海量个人信息的处理挖掘有助于经济发展和社会运行的创新升级，个人信息处理活动的爆炸式发展，将深度重塑现时的经济发展、社会治理、人民生活。
　　在一些采集场合，会有数据如何处置的提示，但更多场合数据的存储以及后续处置是一个黑箱。“一想到我的人脸信息被不知道哪家企业存着，或者还卖掉了，就很不安，不知道什么时候会出问题。”上述中新社人士说。
　　新版《规范》规定个人生物识别信息与个人身份信息应分开存储，原则上不应存储原始个人生物识别信息（指样本和图像），企业可采取的措施包括但不限于：存储个人生物识别信息的摘要信息；在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；在使用面部识别特征、指纹等实现识别身份、认证等功能后，删除可提取个人生物识别信息的原始图像。
　　也就是说，按新版《规范》的建议，企业如果需要存储个人生物识别信息，应仅存储摘要信息，删除原始图像。从技术上说，这样就不能还原人脸，因此个人面部信息就能得到有效保护。但该规定是非强制性规定，技术上的特征导致企业很可能并不会删除原始图像。据业内人士介绍，例如在一些智慧城市项目中，可能会用到多家设备，而由于AI算法不兼容，如果删除了原始图像，就意味着每增加一个公司就要采集一次人脸信息，这显然是不现实的。
　　吴沈括认为，对于目前的问题，应该鼓励研发升级生物识别信息保护应用技术，丰富专门技术支撑，例如生物识别信息的特别标示机制以便于溯源留痕。为了切实保护消费者权益，还可以通过提升第三方（例如消费者保护组织）社会监督介入水平，促进社会多方参与治理生态的形成，以及建设针对特殊高风险场景（如暗网平台交易、境外平台监控以及勒索软件攻击等）的风险预警与安全响应特别机制，有效应对生物识别信息泄露等严重安全问题。