数字经济中的个人生物识别信息安全隐患与保护对策
2021-11-29周志山
韩 飞,周志山
(1.义乌工商职业技术学院 马克思主义学院,浙江 义乌 322000;2.浙江师范大学 马克思主义学院,浙江 金华 321004)
近年来,随着人工智能的迅速发展,包括人体指纹、脸像、虹膜,以及多模态融合等各类愈发成熟的生物特征识别技术,正逐渐成为现代社会广大人民群众实现便捷化个人安全验证的首选方式。但限于当下配套的法律规范尚不健全且行政管理亦未完全到位,致使一部分生物特征识别技术很容易在数字经济中被非法使用,而屡屡发生的个人生物识别信息泄露事件更引发了社会广泛关注和公众普遍忧虑。同时,从中国裁判文书网上调阅的相关案例也表明,数字经济发展过程中出现的诸多个人生物识别信息安全违法犯罪行为不但会给经济发展和社会稳定带来极大隐患,而且还很可能触发难以预料的网络舆情危机。对此,本文拟从个人生物识别信息的商品价值研究出发,深入剖析数字经济中存在的个人生物识别信息安全隐患及其背后隐藏的法律漏洞,进而尝试从引领技术标准、完善立法保障、增强行业自律等多个维度提出科学而有效的保护策略。
一、个人生物识别信息商品化及其社会效益
自进入21世纪以来,基于生物特征的自动身份识别技术在计算机领域所取得的一系列重大创新成果,已促使世界各国争先恐后地应用新技术来助推数字经济的全面提速。可随之而来频繁爆发的大量个人生物识别信息被滥用、盗用,甚至被当作“信息商品”进行交易的情况,却又使得数字经济发展过程中存在的信任危机和商业风险变得愈加凸显。故此,加快开展个人生物识别信息商品化研究,理性看待新技术创造的社会效益就具有特别重要的现实意义。
(一)个人生物识别信息的含义与特点
一般来讲,包括指纹、脸像、掌形等可识别自然人生理特性与生物特征的信息,都可被称为个人生物识别信息。尤其伴随现代生物特征识别技术的不断进步和进入大规模应用阶段以后,人们先通过将个人生物识别信息转换为数字信息,并直接储存在计算机硬盘或云盘中,再利用可靠的匹配算法来完成验证及个人身份识别。于是,越来越多的国家都在想方设法按照人人皆有生物识别信息的共通性、单个市场交易主体身上生物识别信息的独特性、大部分生物识别信息不会因年龄和环境变化而改变的稳定性,以及伪造难度极高的不可复制性等特点,试图将生物特征识别技术更广泛地应用在智能家居控制、门禁系统开关、签证信息比对、文件真伪检验、人员身份核查、深度反恐防恐等各个行业领域,以期尽快把整个经济社会带入跨越式发展的新阶段。
(二)数字经济衍生出的个人生物识别信息商品化
数字经济(又称信息经济)时代里,信息商品化指的是将信息的使用、交换、开发都纳入商品经济轨道之中。这既促成市场中各类企业或个体消费者对信息商品的需求呈现数量不断增加、档次日渐提升的新趋势,又由于急需的信息产品数量和品种供不应求而催生出专门从事信息产品交换的信息市场。信息市场的出现,一方面令生物识别信息产品变得能同其他商品一样可以在市场中自由流通,实现信息供需双方间的等价交换;另一方面又帮助企业利用生物识别信息随时能够从市场中获取急需的生产资料,形成更大经济效益,并推动整个社会商品经济保持平稳增长和持续繁荣。美国咨询机构Transparency Market Research估算,2020年全球生物识别技术市场规模已达到233亿美元[1]。由于许多成熟的生物特征识别技术已被世界各国广泛应用,不仅像嵌入式心电图传感器、双目生物识别摄像头、生物指纹扫描仪等信息识别硬件产品成为信息市场“新宠”外,很快就连个人生物识别信息也在众多西方发达国家成为可以自由交易的商品在互联网上被贩卖。例如,英国有很多个人主动提供的重要生物识别信息,在网上售价常常达到5~10英镑(约合人民币87~174元)。
(三)生物特征识别技术助推社会经济结构转型升级
作为工业社会发展的最新产物之一,生物特征识别技术正逐步取代PIN码、磁条等传统密码验证方式,成为包括教育、金融、社保、安防、司法等各个社会领域中最被看好的一项信息技术资源。中国公安系统就较早地采用加入指纹信息的新一代身份证,以实现远程身份核查。2013年,以苹果在iPhone 5S上推出Touch ID为标志,生物特征识别技术开始被民用化地移植到智能手机、iPad等移动终端,并正式成为公众消费品,大大方便了人们通过手机网上银行直接办理各类在线业务。由此可见,把日趋成熟的生物特征识别技术应用到经济或社会生活的各个领域,既有利于促进网络信息科技,特别是大数据技术在人工智能领域实现更加便民的信息化服务,又能帮助企业创造更高生产效率、形成更多经济效益。同时,这也有助于引导一个国家的经济结构从传统工业经济朝着数字经济加快转型升级,能进一步培育和提升现代化经济体系的全方位国际竞争力,保障整个社会经济建设获得长期繁荣稳定发展。
二、数字经济中的个人生物识别信息安全隐患及其成因
在生物特征识别技术被广泛应用于车站、机场、银行、电子商务等各类应用场景的今天,生物识别产品因其愈趋低廉的售价和简易的操作流程倍受政府、企业、学校、家庭,乃至军队等各类市场交易主体的普遍欢迎。但任何一种新技术都是把双刃剑,人们一边在尽情享受着生物特征识别技术带来的全新体验,另一边却并未意识到这种新技术在预防攻击性和保障安全性方面正遭遇前所未有的严峻挑战。
(一)个人生物识别信息遭遇不法侵权案接踵而至
2017年9月,浙江松阳判决特大信息侵权案,有超过7亿条信息遭泄露[2]。2020年2月,浙江衢州判决“中国人脸数据刑事第一案”,该案犯罪团伙非法使用了547个依靠人脸识别认证的实名支付宝账户[3]。2020年9月,广西南宁又发生一起置业顾问诱导十多名房产业主在毫无防范的情况下使用手机app进行刷脸验证,并给受害人造成数十万到上百万元不等的巨大经济损失案件。①央视网.广西南宁:十几名业主刷脸卖房被骗超千万元[EB/OL].(2020-12-10)[2021-01-12].http://tv.cctv.com/2020/12/10/VIDEXGdyjEKE0SC80Via9Xx5201210.shtml.2020年11月,浙江富阳法院判决“野生动物世界”赔偿原告1038元,并删除原告办理指纹年卡时提交的包括照片在内的面部特征信息[4]。该案件被称作是“中国人脸识别第一案”,其判决结果更令人们意识到:指纹、脸像等个人生物识别信息在被人们当作数字经济的商品交易媒介来使用时,必须同时做好足够的信息安全保障工作,以及认真维护好公民合法的个人信息权益,否则一旦给不法分子提供可乘之机,将必然会引发大量难以预料的个人信息安全风险隐患。例如,中国裁判文书网的统计数据显示,在2019—2020年与“刷脸支付”有关的裁判文书共发布64篇,从沿海到内地的20多个省市皆有分布。
(二)个人生物识别信息泄露给数字经济发展带来严重危害
随着支付宝和微信支付的日益普及,越来越多的人都已习惯于用指纹或刷脸等生物特征识别技术来完成网上个人的数字身份认证,并在超过常规的交易金额限制时,可同样依靠个人生物识别信息来提供更严格标准、更高要求的信用授权。但与此同时,鉴于个人生物识别信息具有唯一性的特点,即便经过整容后的人脸仍会有很多未实施整形部位的特征依旧能够被生物识别技术有效获取[5],实现超乎人们想象的精准比对效果,这进一步导致违规采集、运输公民个人生物识别信息,乃至被非法盗用变得更为容易,也更难预防。事实上,个人隐私信息被无意识、无察觉泄漏的巨大隐患,已不仅令公民的合法权益随时可能遭遇难以防范的有意侵害或其他潜在威胁,而且还将迫使受害者连锁反应地不得不在发现安全隐患的第一时间立即采取手机号码更换、门禁系统再设置、银行账户临时冻结等一系列烦琐、复杂的紧急应对措施,从而给公民个人日常生活带来极大妨碍。同时,个人生物识别信息泄露也会给数字经济中的生产经营企业带来诸多不利影响,如后疫情时代里企业法人因无法安全地利用个人生物识别信息来通过互联网及时签订交易合同,或完成合同约定的本方义务而造成难以估量的重大经济损失。此外,社会信用体系同样会因信息泄露而产生不小的危机,近期被国家市场监督管理总局依法立案调查的某集团控股有限公司,就是采用以生物特征识别技术为支撑的支付宝等第三方支付工具,引导数字经济的广大线上交易主体采用指纹或刷脸来完成商品或服务订购,以提高用户“黏性”,再利用大数据实现对不同数字经济交易主体的精准分析,形成市场优势和垄断地位,阻断市场的公平竞争环境。故此,只有打破地区封锁和行业垄断,清除数字经济中的信息技术壁垒,确保人们的个人生物识别信息在使用过程中采取加密传输和存储,以及严格的权限控制、审计追踪等监察措施,真正达到信息环境的安全可靠,才能更好地建设和健全数字经济时代全覆盖的社会信用体系。
(三)产生个人生物识别信息安全隐患的主要成因
一方面,由于我国尚未对个人生物识别信息进行详细的安全标准界定,这使得社会上许多已广泛应用个人信息的政府机关、企事业单位等都可能在缺乏法律监督的情况下随意使用生物特征识别技术去采集、录入和保存个人信息。同时,还有不少为政府机关、企事业单位提供生物特征识别技术产品服务的市场供应商亦未形成足够的信息安全意识,其使用的信息设备终端也未采取最先进、最高级的安全防护措施,结果这类信息服务供应商用于业务开展的数据平台也就自然而然地成了“黑客”首选攻击的对象。往往一次成功的网络窃取就可以令数千,乃至上万条数字个人信息被彻底泄露。另外,在数字经济发展过程中对个人生物识别信息采集规范的落实不到位更是个人信息安全标准不完善的典型表现。鉴于在个人生物识别信息的收集、存储、处理等各环节中既没有明确规范采集者的责任和义务,又没有具体规范被采集者维护自己个人信息的选择权与知情权,这就导致一旦有交易活动主体被侵权,往往当事人自己还搞不清楚是否曾经盲目地签署过隐私授权协议。
另一方面,当前除个人生物识别信息安全标准缺失与规范不到位外,更关键的问题还在于现行法律法规对个人信息保护存在诸多漏洞。首先,在立法层面还仅停留在个人信息保护的框架构建上,如新出台的《中华人民共和国民法典》虽然对个人信息保护范围做了新的界定,但仍有不少问题存在争议,包括现行有效法律对个人生物识别信息案件大多还缺乏实践可操作性。其次,在司法层面存在因维权成本过高,致使一部分在数字经济活动中被侵权的受害者无奈选择放弃使用“法律武器”来维护自己的个人生物识别信息权益。这反映了个人生物识别信息权益的受害者一边必须为“谁主张谁举证”而承担举证责任风险所苦恼,另一边还要顾忌现行法律能给予受害者的赔偿很可能远小于打官司维权所需付出的较高成本。此外,一些地区的行政监管层也存在失职失责等问题,包括未能为保障数字经济主体中的个人生物识别信息安全构建统一的管理和监督职能部门;也未对从事信息服务管理的行业出现侵犯个人生物识别信息安全的情况制定和采用行政强制措施以及时加以阻止,等等。
三、数字经济中保护个人生物识别信息安全的有效对策
受新冠疫情影响,国内外市场环境都变得异常复杂,要实现在风险可控前提下稳妥应用生物识别这一前沿技术,更好地保障数字经济交易主体信息安全、中小企业数据资产安全,以及维护好国家金融安全,就必须从厘清个人生物识别信息保护的安全边界和责任机制,提升生物识别技术标准的先进性与可靠性,加强信息安全立法保障与提高行政执法效能,推进行业自律和构建科学的信息安全监管体系,以及宣传公益广告增强公民信息安全防范意识等多个维度来制定有效对策。
(一)厘清个人生物识别信息保护的安全边界和责任机制
未来社会生活中“数字”体验无处不在,尤其当人们身处数字经济时代里,普遍都会用到以“刷脸”为代表的各类先进生物特征识别技术。但由于人们主要的生物体表特征都暴露在外、没有衣物遮挡,不具备较强的隐蔽性,因而难以有效保障数字经济中的个人生物识别信息不被非法偷拍或盗用。虽然,2020版《信息安全技术个人信息安全规范》已要求在收集个人生物识别信息前必须征得主体授权同意,但未来在这一安全规范基础上,还须做到既要从行政法规角度出发来科学划定个人生物识别信息保护的安全边界,又要对从事制造生物识别技术产品的企业资质、产品安全标准和市场准入标准,以及就信息数据的储存资质与时限、使用权限等方面清晰地界定好安全责任机制,以确保所有与生物识别技术相关的生产企业和提供产品应用服务的企业都能按照严格规定要求提高个人信息安全监管上的足够的透明度。
(二)提升生物识别技术标准的先进性与可靠性
技术标准如同社会法律法规,是整个市场经济当中推动生物技术应用行业发展至关重要的前提条件;同时争当国际标准的引领者亦是我国生物识别技术设备制造企业走向海外市场的重要途径。针对信息市场中现有生物识别技术普遍存在的安全隐私保护问题,一方面,政府应责无旁贷地不断增加科研院所开展个人信息保护关键技术研发的专项基金,加大必不可少的研发人才补助,完善技术创新保障措施。另一方面,政府也可考虑采取与科技创新型企业签订委托技术开发合同的方式,全面建立个人生物识别信息的网络数据监管机制,做好个人生物识别信息终端、传输、平台三位一体的安全防护,改进多模态生物识别算法的容侵能力,搭建个人隐私信息的安全屏障。此外,还要通过出台相关政策,以便使政府能更好地支持和鼓励有较强实力的科技创新型企业同国际公益性标准协会组织展开协作,加紧追赶国际上生物识别技术向多模态融合发展转变的趋势,及时形成一套国内国际市场上都能通用的标准化应用准则。
(三)加强信息安全立法保障与提高行政执法效能
过去由于缺乏相关立法保障,在许多侵犯公民个人信息的案例中,往往侵权者获得的利益巨大,而违法被查后所需付出的代价较小、行政处罚也偏轻,致使实际中现有法律条文或行政法规都还难以对数字经济交易中频繁出现的非法盗取或出售个人生物识别信息行为起到有效预防和严厉打击的理想效果。例如,新施行的《民法典》虽然已经把个人生物识别信息纳入新的个人信息界定范围之中,但并未具体到对生物识别信息采集主体、采集信息条件与范围、特定的信息储存与管理方式,以及相应的法律责任等内容做出细致的解释和说明。故此,要想更好地调节个人生物识别信息安全和数字经济发展之间的平衡关系,就须加紧推动个人信息保护法的尽早出台,以完善个人信息处理规则,明确个人信息保护监管职责[6]。与此同时,各地方政府也应积极设立专门独立的个人信息保护机构,统一管理个人生物识别信息,更有利于从根本上解决以往人社局、民政局、房管局等多个地方行政管理部门之间因为对个人信息管理的权力范围、安全规则、保管时效不同而极易产生的管理混乱或冲突。只有通过设立专门独立的信息安全执法机构,才能既有效增强数字经济交易过程中个人生物识别信息管理强制力,构建起专业合法的信息调查取证机构,提高行政执法效能;又能更好地推动以政府授权的第三方监管部门做到及时制止和严厉打击数字经济发展过程中随时可能出现的泄露个人生物识别信息等违法行为,并公示相关责任主体以提高人们的警惕意识。
(四)推进行业自律和构建科学的信息安全管理体系
在当代愈趋完善的社会主义市场经济体制下,个人生物识别信息安全保护的主体是信息采集者,其对数字经济发展中的个人信息安全负有不可推卸的重要责任。现在,通过积极采纳有助于强化行业自律的各项政策措施,既能弥补我国现有法律在个人信息保护方面的漏洞或不足之处,又能提升信息采集者树立坚守职业道德底线的责任意识,有助于认真做好个人生物识别信息安全储存与有效利用工作,自觉维护好数字经济中的公民合法信息权益。有鉴于当今社会法制建设尚不十分健全,仅仅依靠行业自律来确保公民的个人信息安全仍显力度不够,故而须更加重视在各行各业中组织建立起适用于个人生物识别信息的科学安全管理体系。在此,信息安全管理体系的核心任务是要求确保严格按照生物特征识别信息安全管理标准,以先进的风险管理方法来制定实际可操作的信息安全管理体系,实现正确引导和全面监督所有从事个人生物识别信息采集的组织机构。例如,在实施行业自律的企业内部管理制度之外,主动参考ISO27001标准来为从事信息采集的组织机构构建起一套科学的信息安全管理体系,就能在很大程度上更为有效地促使这些信息采集机构认真履行职责、自觉接受来自各方的严格监督,不断提升数字经济中的个人生物识别信息安全管理成效[7]。
(五)借宣传公益广告增强公民信息安全防范意识
大多数广告在传统的市场交易过程中,遵循给予受众满意、愉快、信任的情感心理基础,运用艺术的强大感染力来引发受众的情绪记忆,提高广告说服力和宣传影响力。但与普通商业广告不同的是,宣传个人生物识别信息安全保障的警示教育类公益广告在其传播的核心内容上,并非着眼于产品的市场推销或通过塑造品牌来打造“粉丝经济”。相反,其更侧重唤起人们的公益心以广泛关注社会上出现的个人信息遭遇违法侵犯行为,以及由此引发重大财产损失或隐私泄露等性质恶劣、影响深远的社会问题。借助广泛开展公益广告宣传活动的形式,既有助于提高数字经济发展过程中公民的个人信息安全防范意识,避免过去因缺乏必要的安全保护措施、或因对个人生物识别信息做好防护的忧患意识不足,导致受害人在个人信息侵权违法事件发生时只能保持缄默,难以有效维护自己的合法权益,甚至令整个社会的数字经济发展也失去了不可或缺的安全信用体系屏障与法律保护。同时,亦有利于警醒广大公民更加重视培育良好信息素养,主动学习个人生物识别信息安全防护相关基本知识,确保未来在遭遇不法侵害时懂得如何拿起法律武器来捍卫权利,共同维护好数字经济时代正常的市场交易秩序。