两会聚焦|人脸、指纹等技术存安全风险，杨元庆建议相关法设“生物识别信息”专门规定

作者：张馨予

“建议《个人信息保护法》对生物识别信息的收集、处理、持有、披露等进行明确规定，对安全保护提出明确要求。”

在加强数据安全保护和有效利用方面，第十三届全国人大代表、联想集团董事长兼CEO杨元庆提出上述建议。

杨元庆对界面新闻记者表示：“数据作为重要的战略资源，是智慧经济发展的核心要素。但国内在数据安全保护和有效利用方面，还存在很多提升空间。”

杨元庆称，智慧经济面临严峻的数据安全挑战，数据资源的有效利用不足，也制约了智慧经济的发展。

生物特征识别技术，尤其是人脸、指纹、虹膜、掌静脉、声纹、步态形体以及基因等识别技术，正在广泛应用于智能产品中。杨元庆认为，这暴漏出严重的安全问题。

“密码丢了可以更换，但生物识别信息无法更改，一旦泄露，个人可能终身暴露在被攻击和骚扰的风险中。移动APP过度索权、超范围收集个人信息的现象屡禁不止，让广大网民苦不堪言。”杨元庆说。

他举例道，疫情期间，网上出现多起事件，以寻找确诊病例密切接触者为名，公布他人姓名、手机号码等个人信息，甚至是户籍地详址、身份证号码等个人敏感信息，个别被公开信息的人员受到了陌生人电话、微信等方式的骚扰。

杨元庆认为，5G、智能物联网、车联网等产生了严重的数据安全风险。

杨元庆称，此次疫情中出现的不同部门、甚至是同一个部门不同工作人员重复收集个人信息，疫情数据更新不及时等问题，充分说明数据壁垒广泛存在，数据贯通、数据集成等基础工作存在不足。

此外，还存在大数据应用发展不均衡、数据资产利用规则尚不明晰，立法欠缺和制度模糊等问题。

对此，杨元庆建议，首先从全生命周期角度，对数据面临的安全问题进行规制。

“尽快建立完善的，涵盖数据收集、存储、使用、传输、共享、删除等全生命周期的安全管理制度。”杨元庆说，尤其是即将出台的《数据安全法》和《个人信息保护法》，应明确参与数据全生命周期环节的各类主体，包括个人、企业、公共单位及政府部门，在数据安全保护方面的权利、义务和责任，严厉打击各种窃取、滥用、篡改、泄露等非法使用数据的行为。

杨元庆称，应设置统一的数据安全保护机构，推动制定全生命周期的数据安全管理制度，建立数据安全合规性评估认证体系，以确保数据安全保护的强有力实施落地，以及数据权益遭受侵害时的有效维权等。

针对新一代信息技术引发的数据安全问题，杨元庆建议加强企业在数据安全保护方面的意识和管理。

“建议《个人信息保护法》针对“生物识别信息”设置专门的规定。”杨元庆说，目前欧盟的《通用数据保护条例》（GDPR）和美国联邦隐私保护的相关立法中，都有关于生物识别信息的专门规定。

在企业层面，杨元庆建议建立敏感级评估机制，分级制定企业数据安全保护等级标准和要求。

杨元庆称，通过试点示范的方式，可遴选一批技术先进、体系完善的数据安全管理和运营模式，加以推广，鼓励企业积极探索5G各类典型技术和车联网、工业互联网等典型应用场景面临的数据安全问题，并利用人工智能、量子计算、边缘计算、区块链等新技术加强数据安全保护。

在保障数据有效利用上，杨元庆建议完善数据控制和流通规则，明确界定数据流通过程中各方的责任和义务。

他认为，目前的相关法律法规下，缺乏公共突发事件中数据安全保护和有效利用的明确规定。

针对此次疫情中出现的问题，杨元庆建议加快制定公共突发事件等特殊场景下的数据控制和流通规则。

“按照数据的不同识别程度、敏感性、重要性和公共需求的迫切性等维度，分别规定不同的利用规则、认定标准、保护措施、管理体制和主体责任，明确具有收集使用相关数据权力的机构，及相关工作的启动条件和流程规范，按需调取，落实管理责任。”杨元庆说。

这些规则包括：建立统一集中管理机制，运用去标识化、加密等措施对数据进行预处理，在数据关联分析过程中不指向个人身份，在锁定存在风险的对象后，再进一步进行身份重标识处理。

此外，采用严密的访问控制、审计、加密等安全措施，防止数据泄露、丢失、未授权的使用，同时规定公共突发事件结束后数据处理的方案。