作者：吴丹君律师 张振君律师助理

随着互联网方式提供的服务类型日趋多样，各行业对个人生物识别信息的利用需求亦日益频繁。个人信息主体身份识别及认证是个人生物识别信息的重要用途之一，如通过指纹识别登录账号、以人脸识别方式进行支付活动等等。一方面，由于生物识别信息具有难以变更的特点，可以与唯一特定主体相关联。这种关联性提供了强有力的身份识别、认证保障。而另一方面，这种强大的约束力也对生物特征识别系统的安全性提出了挑战。如发生非法处理生物识别信息等安全事件时，由于生物识别信息难以变更，常规的更改密码或发放新令牌的补救措施无法实现，易导致财产损失、名誉受损等不良后果。因此，采取适当措施以保护个人生物识别信息的重要性不言而喻。

2020年3月6日，历经多次修改和公开征求意见的《信息安全技术个人信息安全规范》（GB/T 35273-2020，以下简称“《规范》”）正式出台，并将于2020年10月1日起实施。相较《信息安全技术个人信息安全规范》（GB/T 35273-2017，以下简称“2017年《规范》”），《规范》出现了较大变动，除修改“征得授权同意的例外”“个人信息主体注销账户”等规范内容外，还新增了包括“多项业务功能的自主选择”“用户画像”“个性化展示”在内的多项要求，回应了当下中国个人信息保护过程中暴露的种种问题（具体变动条款索引可参考附录A）。其中，针对近年来社会对个人生物识别信息，特别是面部数据的过度收集和滥用引发的关注和讨论，《规范》细化与完善了个人生物识别信息在收集、存储和共享三大环节的保护要求。

一、收集环节：单独告知，明示同意

《规范》将2017年《规范》的“5.3收集个人信息时的授权同意”与“5.5收集个人敏感信息时的明示同意”合并为“5.4收集个人信息时的授权同意”，并增加了收集个人生物识别信息的相关要求。个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。由于其与个人信息主体的人身与财产安全高度相关，网络运营者在收集个人生物识别信息前，应单独向个人信息主体告知收集个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

这说明，将个人生物识别信息处理规则置于个人信息保护政策（原“隐私政策”）进行统一的事前告知已无法满足合规要求。网络运营者需制定单独的个人生物识别信息处理规则并在实际收集之前以弹窗等方式对个人信息主体进行告知，并获得其明示同意。

网络运营者在制定个人生物识别信息处理规则时，除《规范》5.4所规定的告知内容外，还可参考2019年6月发布的《信息技术安全技术生物特征识别信息的保护要求（征求意见稿）》（以下简称“《生物特征识别信息的保护要求》”）6.4.1，充分告知以下内容：

①所采集的个人生物识别信息的类型和数量；

②个人信息主体不想注册或无法注册时，还应告知可用替代程序的信息；

③有关于生物特征识别系统中所采集的个人生物识别信息处理方式的描述；

④有关于生物特征识别信息管理负责人的信息，包括他/她的姓名、组织机构、职位、联系方式等。

此外，2020年1月发布的《信息安全技术个人信息告知同意指南（征求意见稿）》在附录D、G、H，对网络购物场景、公共场合场景及车载场景下的个人生物识别信息收集的告知同意模式做出指引，有关网络运营者可予以参考。个人生物识别信息的收集亦需遵守合法、正当、必要的基本原则，即使已取得个人信息主体的同意，网络运营者仍应仅收集达到目的所需的最少个人生物识别信息，以最大限度降低损害风险。

二、存储环节：原则禁止，分隔存储

《规范》对2017年《规范》6.3b)的个人生物识别信息存储要求进行了细化。《规范》原则上禁止网络运营者存储原始个人生物识别信息（如样本、图像等）。网络运营者仅可存储个人生物识别信息的摘要信息，且该摘要信息应具备不可逆性，即无法回溯至原始信息。《规范》要求网络运营者将个人生物识别信息与个人身份信息分开存储，因为这两者的暴露将导致严重的个人信息泄露。需注意的是，即使个人生物识别信息与个人身份信息被分隔成不同的存储区域，若两者仍由同一操作人员控制将可能显著降低分隔的保护效果。因此，网络运营者不仅应将个人生物识别信息与个人身份识别信息在物理上分开存储，同时还需将这两者的控制权限分配给不同的操作人员，以实现分隔效果。

为实现身份识别、认证等功能，网络运营者可采取两条路径。一是在采集终端直接使用个人生物识别信息实现身份识别、认证等功能。在此种情况下，身份识别、认证等操作在用户手机等终端进行，网络运营者只能根据身份识别、认证的结果提供相应服务，而无法直接接触个人生物识别信息。二是在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。此时，网络运营者虽可接触个人生物识别信息，但一旦完成收集目的即需立即删除。

当网络运营者在履行法律法规所规定的义务时，其可以存储原始个人生物识别信息，但必须采取措施保障信息安全。网络运营者可参考《生物特征识别信息的保护要求》6.2对个人生物识别信息提出的不可逆性、不可链接性及保密性三项要求及操作指南制定和落实个人生物识别信息的保护制度。

三、对个人金融信息特定类别的特殊要求

根据《规范》9.2i)，网络运营者确因业务需要，确需共享、转让的，应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意。《规范》以“不应共享、转让”为原则，当出现例外情形时，网络运营者需满足两个条件方可进行个人生物识别信息的共享或转让：一是“业务需要”，二是满足“告知同意”要求。

共享、转让是个人生物识别信息从原网络运营者传输至数据接收方的过程，网络运营者应确保数据接收方受到合同或义务的约束，以保障个人生物识别信息在数据接收方的安全。在传输过程中，亦应采取加密等安全措施。当涉及个人生物识别信息出境情形时，网络运营者应根据相关政策和标准要求进行安全评估。

个人生物识别信息属于个人敏感信息，《规范》沿袭2017年《规范》的要求，不允许公开披露个人生物识别信息。若个人生物识别信息的分析结果包含种族、民族等内容，该分析结果亦不得公开披露。

四、结语

前有小学生用照片破解丰巢的人脸识别，后有市民不满面部数据收集将野生动物园告上法庭；继被告人窃取2000万个人信息“骗过”支付宝人脸验证后[1]，厦门银行APP人脸识别技术又被00后攻破[2]。以面部数据为代表的个人生物识别信息的过度收集、泄露和滥用以及技术发展不成熟导致的侵害风险频现，社会对个人生物识别信息关注度的提高倒逼着法律和政府采取日益严格的监管力度。《规范》对个人生物识别信息生命全周期的规定，正是对该问题的有力回应。网络运营者在人脸识别等新兴技术的使用中需增强合规意识，切实履行告知同意义务，建立信息存储与传输制度，让个人生物识别信息在安全的前提下迸发价值火花。

【参考资料】

[1]浙江省衢州市中级人民法院（2019）浙08刑终333号刑事判决书.

[2]福建省厦门市思明区人民法院（2019）闽0203刑初890号刑事判决书、福建省厦门市中级人民法院(2019)闽02刑终749号刑事裁定书.

附录A 《信息安全技术 个人信息安全规范》（GB/T 35272-2020）具体变动条款索引