艾尚体育:只需一点唾液就能知道遗传性疾病概率有多大……你的生物识别信息被滥用了吗？

  在9月15日举行的一次活动上，上海信息安全行业协会专委会副主任张威说，照片的拍摄者和被拍摄者距离在1.5米内，被拍摄者比出“剪刀手”时，其指纹信息可通过照片100%被提取还原。“不要专业照相机，只要用当前流行的智能手机拍摄的照片质量，就能用以提取和还原指纹信息。当下一些智能手机不仅具备更高级的光学变焦能力，还兼具AI画质增强技术，如果将拍摄焦点对准‘剪刀手’，还能刻画出指纹细节”。（方圆公众号：fangyuanmagazine）

  这段看法，一度成为舆论热题。关于生物识别信息，大众最熟悉的莫过于指纹和人脸识别，巧合的是，“剪刀手泄密之忧”仅隔数月，我国“人脸识别第一案”在杭州立案，生物信息安全的热度再度攀升。

  杭州市民郭兵办理了一张凭借身份证或者指纹，就可以入园的杭州野生动物世界年卡，在有效期内，他却接到动物园通知，持卡人须上传人脸信息，“刷脸”入园，否则就不能接着使用年卡。郭兵遂将杭州野生动物世界诉至法院，11 月 1 日，本案在杭州市富阳区法院立案。表面上看，这是一起标的只有1360元、情节简单的违约之诉，却被贴上“人脸识别第一案”的标签，其意义远远超越一般的纠纷，其折射出的是公众对生物识别信息安全的担忧。

  生物识别信息，常被简称为生物信息，欧盟的《通用数据保护法规 EU 2016/679》将其称为“生物特征信息”，并给出定义，“通过对自然人的身体、生理或行为特征有关的特定技术处理产生的能够识别该自然人的唯一特征的个人数据，例如面部图像或指纹（指纹）数据”。

  全国信息安全标准化技术委员会于2017年12月29日发布的《信息安全技术个人隐私信息安全规范》（以下简称《规范》）中，生物信息被称为“生物识别信息”，是个人隐私信息的一个分支。

  根据《规范》，个人信息，是以电子或者其他方式记录的能够单独或者与别的信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人隐私信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。个人生物识别信息，则包括个人基因、指纹、声纹、掌纹、耳郭、虹膜、面部特征等。（方圆公众号：fangyuanmagazine）

  生物识别信息，具有唯一性、不可更改性和隐私性的特点。每个人的脸部特征、指纹、虹膜等都是独一无二、无法更改的，也正是其唯一性和不可能更改性，确保了生物识别信息认证的安全可靠，因此生物识别信息常与个人财产、人格权益紧密联系，具有极大的隐私性，其一旦泄露、丢失或者失控，将会造成难以逆转的损失。

  因此，《规范》将“生物识别信息”明确归为“个人敏感信息”，即“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受损或歧视性待遇等”。

  当网络账户密码遭到泄露，马上更换密码是有效操作。但就目前的科技发展来讲，人几乎不可能修改自己的指纹、样貌、声纹乃至DNA，个人就是密码本身。生物特征信息一旦泄露就是永久性、不可逆的，生物信息被视为个人信息安全的最后一道防线，不无道理。

  而目前，很多公民生物识别信息的采集，并不是特别需要多高深的高科技，很多普通机构诸如医疗机构、生物公司、AI企业等都能掌握这种技术。技术开发者和应用者的安全防护水平以及数据保护水准，又普遍比较低，存在比较大的信息泄露风险。

  目前，我国的生物识别技术应用已经处于全球领先水平，人脸信息、指纹、虹膜等生物识别信息被普遍应用于金融支付、安防准入等众多商业消费场所，国内从事该行业的企业有千余家，市场约达千亿规模。近几年来，我国生物识别市场规模复合年均增速能够达到50%左右，商业化步伐还在加速中。（方圆公众号：fangyuanmagazine）

  但目前，有关规定法律对生物识别信息的保护，显然还没跟得上这种新技术的应用速度。调查发现，人脸信息在网上甚至被公开兜售，5000多张人脸照片，打包价只要10元，卖家甚至还能提供同一人脸部各角度的多张照片。生物识别信息泄露，已成为个人隐私信息泄露的“最新重灾区”。

  比如，不少软件（App）存在随意收集人脸数据信息的情况。今年，一款叫ZAO的“换脸App”火爆，ZAO使用人工智能技术，用户仅需要上传一张正脸照，就可以用自己的脸制作网络热门表情包，出演各种影视片段、知名场景，还可以在视频中跟明星偶像、朋友飙戏。ZAO的用户协议中写道：“在您上传及/或发布用户内容以前，您同意或者确保实际权利人同意授予ZAO及其关联公司以及ZAO用户全世界内完全免费、不可撤销、永久、可转授权和可再许可的权利。”9月，ZAO因上述等问题被工信部约谈。

  ZAO的问题并非偶发个案。2018年11月28日，中国消费者协会发布的《100款App个人隐私信息收集与隐私政策测评报告》显示，通信社交、影音播放等10类100款App中的91款App列出的权限涉嫌“越界”，存在过度收集用户个人隐私信息的问题。其中，10款App对可识别生物信息的收集未能向用户明确告知，涉嫌过度收集个人生物识别信息。在这些软件中，类似ZAO的霸王条款并不少见。更不可思议的是的App在没有用户协议许可的情况下，就随意采集用户人脸数据。

  但很多用户对于生物识别信息泄露缺乏警觉性和自我保护意识。比如，近日一款“面相测试”小程序在朋友圈中热传，该测试通过上传个人照片进行面相测试，不少人在朋友圈等晒出了自己的测试结果，玩得不亦乐乎，却没意识到把自己随意上传照片的风险。（方圆公众号：fangyuanmagazine）

  比人脸识别信息泄露，更令人担忧的是基因信息泄露。2018年，基因检测是个网红词汇。只需提供一点唾液，花费几百元，你就能得到一份自己的基因检测报告：祖先来自什么地方，遗传性疾病概率有多大……听起来似乎很高科技，专家却提出严重警告：基因检测带来的风险超出想象，它有可能泄露遗传密码，如此轻率地把决定生命轨迹的基因密码交出去，是不是就从另一方面代表着我们把下半生乃至后代人的命运也交到他人手中呢？

  “人脸识别第一案”原告郭兵是一位法学副教授，他谈及本案时说，面部特征等个人生物信息属于个人敏感信息，一旦泄露、非法提供或者滥用将极易危害包括原告在内的消费者人身和财产安全。事实上，郭兵的担忧绝非多虑。“过脸产业”的出现已经给社会敲响了警钟。

  何谓过脸产业？一些不法分子、数据黑灰产从业者，帮那些没办法完成账号实名认证的人群完成实名认证，以获取利益，就是过脸产业。过脸产业需要大量的“人脸信息”，于是催生出更多的脸部信息获取生意。记者搜索发现，网络论坛、微信平台中存在大量针对电子商务平台、特定设备的“过脸”技术解答，甚至有完整“过脸”技术教程，包括软件选择、脚本设置等。一些网站上还有“过脸软件”代码链接，随意供人下载，从事过脸生意的网店也经常通过QQ、微信群、论坛发布各种小广告招揽生意。

  除了人脸识别，指纹信息滥用的隐忧也不少。在一次展览会上，为了宣传电脑信息安全的公益主题，工作人员演示用现场提取的指纹信息，用了不到10分钟的时间就解锁一款手机。

  类似的案例也早已出现。2017年7月5日，安徽省宿迁市宿城区法院审理了一起涉及21名被告人的诈骗案，某公司员工从2013年起，就利用定制的打卡该公司上下班，制造假出勤，骗取公司的工资及缴纳社保费用37万余元。网络上，制作的小广告、教授技术的教程和“过脸技术”一样，随处可见。（方圆公众号：fangyuanmagazine）

  业内人士认为，灰色产业的形成，说明生物识别信息安全已经是个严重的问题。与手机号等个人隐私信息泄露相比，生物识别信息泄露造成的影响要更严重。有人开玩笑地说，被坏人劫持后直接被刷脸、强按指纹解密或转账，已经不远了。其实早在几年前，已有国外网络安全公司声称，他们靠制作的假面具成功破解了手机人脸识别系统。据报道，一家英国能源公司，被不法分子利用AI合成技术模仿公司CEO的声音，骗走了24.3万美元。

  试想，如果你的老板或亲属用着你熟悉的声音打电话给你，甚至连线视频，让你汇钱过去，你能不给吗？

  但目前，我国对于包含生物识别信息在内的个人隐私信息保护，尚无专门法律，对其进行规范的条文，散见于民法总则、网络安全法、消费者权益保护法以及最高人民法院、最高人民检察院、国务院部门颁布的解释和规定中，多是针对个人隐私信息收集、使用、加工、传输等的原则性规定。目前，也有很多法学专家呼吁对于包括生物识别信息在内的个人信心保护进行专门立法。今年“两会”期间，不少代表和委员也提交了这方面的建议和提案。

  原标题：《只需一点唾液，就能知道遗传性疾病概率有多大……你的生物识别信息被滥用了吗？》

  本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。

上一篇：生物识别信息安全怎么样才可以有保障 下一篇：生物识别行业热点动态盘点