身處信息化時(shí)代�����,人們身上的每種特征都可能成為機(jī)器識(shí)別的線索���。而生物信息的過(guò)度收集��、無(wú)感收集也給人們的隱私安全帶來(lái)隱患�。
近日,國(guó)家市場(chǎng)監(jiān)督管理總局���、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布四份針對(duì)人臉信息���、步態(tài)信息、聲紋信息和基因信息識(shí)別的數(shù)據(jù)安全要求���,2023年5月1日起正式實(shí)施����。
這四份國(guó)標(biāo)均提出����,數(shù)據(jù)存儲(chǔ)過(guò)程中,應(yīng)經(jīng)過(guò)去標(biāo)識(shí)化處理�。除此之外,數(shù)據(jù)處理者不得存儲(chǔ)聲紋語(yǔ)音樣本����、步態(tài)樣本,用于識(shí)別自然人的人臉圖像在識(shí)別自然人身份后應(yīng)立即被刪除��。而基因數(shù)據(jù)處理者在使用基因數(shù)據(jù)前要通過(guò)倫理委員會(huì)審查��。
使用基因數(shù)據(jù) 應(yīng)通過(guò)倫理委員會(huì)審查
根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》���,敏感個(gè)人信息是一旦泄露或者非法使用���,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息��,比如生物識(shí)別信息����。只有在具有特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下��,個(gè)人信息處理者方可處理敏感個(gè)人信息��。處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意�����。
而《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(下稱《安全規(guī)范》)規(guī)定�,個(gè)人生物識(shí)別信息包括個(gè)人基因����、指紋、聲紋��、掌紋�����、耳郭、虹膜��、面部識(shí)別特征等�����。
記者注意到,此次發(fā)布的四份國(guó)標(biāo)分別為《信息安全技術(shù) 聲紋識(shí)別數(shù)據(jù)安全要求》(下稱《聲紋識(shí)別國(guó)標(biāo)》)��、《信息安全技術(shù)
基因識(shí)別數(shù)據(jù)安全要求》(下稱《基因識(shí)別國(guó)標(biāo)》)�、《信息安全技術(shù) 步態(tài)識(shí)別數(shù)據(jù)安全要求》(下稱《步態(tài)識(shí)別國(guó)標(biāo)》)和《信息安全技術(shù)
人臉識(shí)別數(shù)據(jù)安全要求》(下稱《人臉識(shí)別國(guó)標(biāo)》)。其中����,基因����、聲紋�、人臉信息均屬于《安全規(guī)范》中列舉的個(gè)人生物識(shí)別信息。
因此�,三份相關(guān)國(guó)標(biāo)均提出����,在收集相關(guān)數(shù)據(jù)時(shí),應(yīng)向數(shù)據(jù)主體告知該數(shù)據(jù)的相關(guān)事項(xiàng)�����,聲紋和人臉數(shù)據(jù)在收集數(shù)據(jù)樣本前應(yīng)告知數(shù)據(jù)主體數(shù)據(jù)處理者的名稱�����、聯(lián)系方式��、處理規(guī)則�,并征得數(shù)據(jù)主題的單獨(dú)同意。
《聲紋識(shí)別國(guó)標(biāo)》中還提出����,收集聲紋語(yǔ)音樣本時(shí),應(yīng)提示數(shù)據(jù)主體不說(shuō)出完整身份號(hào)碼����、姓名、電話號(hào)碼��、賬號(hào)口令等個(gè)人信息���。此外�����,數(shù)據(jù)主體在收集過(guò)程中明示停止�,應(yīng)立即停止收集�����,若未明示停止且數(shù)據(jù)主體持續(xù)不發(fā)聲時(shí)長(zhǎng)達(dá)到10秒���,數(shù)據(jù)處理者應(yīng)立即自動(dòng)停止收集��。
而針對(duì)基因數(shù)據(jù)���,《基因識(shí)別國(guó)標(biāo)》提出�����,數(shù)據(jù)處理者應(yīng)根據(jù)自身業(yè)務(wù)特點(diǎn)提出需求�,制定知情同意書(shū)��,告知數(shù)據(jù)主體遺傳物質(zhì)及所獲取數(shù)據(jù)的種類��、用途�、安全保護(hù)措施、數(shù)據(jù)應(yīng)用的潛在風(fēng)險(xiǎn)����,生物樣本和數(shù)據(jù)存儲(chǔ)時(shí)限及剩余生物樣本的處理方式。在得到許可后�,數(shù)據(jù)的相關(guān)使用需求應(yīng)通過(guò)倫理委員會(huì)的審查。
此外�����,盡管步態(tài)識(shí)別并未被法規(guī)明確列入個(gè)人生物識(shí)別信息的范疇���,但《步態(tài)識(shí)別國(guó)標(biāo)》同樣規(guī)定�,收集步態(tài)識(shí)別數(shù)據(jù)應(yīng)向數(shù)據(jù)主體告知數(shù)據(jù)處理規(guī)則�����,并取得其單獨(dú)同意。另外��,《步態(tài)識(shí)別國(guó)標(biāo)》中明確指出�,數(shù)據(jù)收集區(qū)域應(yīng)被明示且設(shè)置清晰標(biāo)志�����,數(shù)據(jù)處理者應(yīng)確保只收集相關(guān)區(qū)域內(nèi)的識(shí)別數(shù)據(jù)���。
基因數(shù)據(jù)處理者 應(yīng)建立倫理委員會(huì)
目前在生活里���,較常出現(xiàn)在人們視野中的是聲紋和人臉識(shí)別�;蜃R(shí)別和步態(tài)識(shí)別尚未普遍為大眾所知。然而��,隨著技術(shù)的發(fā)展�,這兩項(xiàng)技術(shù)也逐漸從科幻電影中走入人們的生活。
由于基因信息所具有的特殊性����,《基因識(shí)別國(guó)標(biāo)》中規(guī)定���,數(shù)據(jù)處理者應(yīng)設(shè)立倫理委員會(huì)和數(shù)據(jù)管理委員會(huì),確保公平����、無(wú)歧視的原則,并對(duì)相關(guān)業(yè)務(wù)中基因識(shí)別數(shù)據(jù)濫采�����、濫用等活動(dòng)可能造成的社會(huì)危害做出評(píng)估�����。此外����,機(jī)構(gòu)組織內(nèi)也應(yīng)開(kāi)展倫理審查培訓(xùn),保護(hù)數(shù)據(jù)主體的尊嚴(yán)����、安全和合法權(quán)益。倫理委員會(huì)中至少包含內(nèi)外各一位生物醫(yī)學(xué)數(shù)據(jù)安全領(lǐng)域?qū)<摇?br>
而在《步態(tài)識(shí)別國(guó)標(biāo)》中��,也對(duì)數(shù)據(jù)處理者提出制定數(shù)據(jù)安全評(píng)估制度的要求,規(guī)定應(yīng)定期對(duì)步態(tài)識(shí)別技術(shù)識(shí)別應(yīng)用的必要性��,安全措施的有效性���、數(shù)據(jù)使用目的的授權(quán)情況進(jìn)行評(píng)估����。此外����,除了取得個(gè)人單獨(dú)同意的情況之外���,數(shù)據(jù)處理者收集的步態(tài)識(shí)別數(shù)據(jù)只能用于維護(hù)公共安全的目的�,且僅在公共安全管理部門(mén)有明確要求時(shí)��,才可將數(shù)據(jù)與個(gè)人身份信息進(jìn)行關(guān)聯(lián)���。
在信息過(guò)度收集�、或無(wú)感收集之外��,另一個(gè)人們普遍擔(dān)憂的問(wèn)題是數(shù)據(jù)的儲(chǔ)存安全���。四份國(guó)標(biāo)均提出��,在數(shù)據(jù)安全事件發(fā)生后���,應(yīng)及時(shí)采取應(yīng)急補(bǔ)救措施���。除了《步態(tài)識(shí)別國(guó)標(biāo)》外,其他三份國(guó)標(biāo)均規(guī)定此類事件發(fā)生后��,應(yīng)及時(shí)告知數(shù)據(jù)主體������!度四樧R(shí)別國(guó)標(biāo)》中還單獨(dú)列出,應(yīng)在24小時(shí)內(nèi)以電話����、短信、郵件或公告等方式告知數(shù)據(jù)主體信息安全事件情況和方式��、減輕損害的措施���。
而當(dāng)數(shù)據(jù)主體授權(quán)撤回或明示其停止使用數(shù)據(jù)時(shí)��,基因�、人臉和聲紋的數(shù)據(jù)處理者都應(yīng)當(dāng)將數(shù)據(jù)刪除,聲紋��、人臉數(shù)據(jù)的處理者應(yīng)確保相關(guān)數(shù)據(jù)不可恢復(fù)�����,人臉數(shù)據(jù)處理者應(yīng)在15日內(nèi)刪除人臉數(shù)據(jù)���。步態(tài)識(shí)別數(shù)據(jù)處理者則應(yīng)當(dāng)在超過(guò)數(shù)據(jù)授權(quán)存儲(chǔ)期限�、數(shù)據(jù)主體授權(quán)撤回時(shí)刪除步態(tài)識(shí)別數(shù)據(jù)��。