两会即将召开，十三届全国人大代表，浙江省工商联副主席、德力西集团董事局主席胡成中准备在今年全国两会期间提交《关于加强生物识别信息管理筑牢公民隐私边界的建议》。他建议，应及时设置必要门槛，杜绝任何企业都可以染指公民生物识别信息的现状，乃至参照身份证管理，原始数据统一由国家掌控。

　　胡成中认为，今年正式实施的《民法典》首次将个人生物识别信息纳入个人信息的保护范畴，体现了国家立法工作的与时俱进和对社会秩序的必要指引。

　　胡成中表示，随着社会整体信息化程度越来越高，公民生物识别信息一旦泄露，则意味着自家大门永远向陌生人敞开，后果不堪设想。目前虽然《民法典》有了提纲挈领的规定，但“制度的笼子”还没有织就，高度重视和严格保护公民生物识别信息的社会氛围还没有形成，主要表现在——

　　一是场景滥用。公民生物识别信息本是最敏感和重要的个人数据，非必要不应轻易采集和使用。但由于缺乏全国性的明确约束，一些社区、企业、机构毫无谦抑敬畏之心，动辄以“方便管理”为由强推“刷脸”系统等技术设备，有的学校甚至用人脸识别来监控学生的上课状态，剥夺人民群众知情权、选择权，绝大多数人只能在不知利害或者无力反对的状态下被动接受。

　　二是权限不明。以施行“刷脸”出入的小区为例，居民的人脸识别数据是掌握在居委会手中、业委会手中、物业公司手中还是提供技术设备的企业手中，数据是否加密，谁有权读取、改动、存储，凡此种种，都缺乏明确、详细的要求。

　　三是监督乏力。新版的国家标准《信息安全技术个人信息安全规范》明确要求，在收集个人生物识别信息前，需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则，并征得用户的明示同意；个人生物识别信息要与个人身份信息分开存储，原则上不应存储原始个人生物识别信息。但这些要求相关单位是否执行是一个问号，而面对不按要求办事的单位，人民群众向谁举报、有何处罚措施也是一个问号。

　　鉴于生物识别信息保护是关系到每一个人切身利益和安全的要紧大事，而我国的相关制度和机制建设滞后于欧盟《通用数据保护条例》、美国《生物识别信息隐私法》等国外范例，与我国数字经济的发展水平不相匹配，胡成中提出以下建议：

　　一、进一步细化、严化相关法律法规。在《民法典》的主旨性规定之外，对《个人信息保护法》、《刑法》等相关法律法规中涉及生物识别信息的部分应予以突出强调和专门规定，采取比一般个人信息更大的保护力度、更有力的处罚措施，最大程度限制采集公民生物识别信息的应用场景，明确在可以通过其他方式（如刷卡、密码等）替代的情况下不得采集生物识别信息的基本原则。

　　二、归口管理，常态执法。可以考虑在公安或者网信系统增设专门的数据保护部门，类似瑞典的数据保护局（DPA）。在相关法律的授权下，开展对全社会的数据安全，尤其是个人生物识别信息的日常管理和保护工作，既监督技术研发和商业开发是否越界，也监督应用场景是否合理必要，同时受理人民群众的举报投诉、查办相关案件。2019年，瑞典一所学校因未经学生同意而采用人脸识别系统考勤，就被DPA认定违反了《通用数据保护条例》，处以罚款约合15万元人民币。

　　三、设置必要门槛，特别保护原始数据。目前，社会上存在着似乎谁都可以染指公民个人生物识别信息的不合理现象，企业甚至个人只要开发一款APP，就可以索取或骗取用户的人脸识别等数据，导致信息泄露和相关黑市交易屡打不绝。国家应考虑对企业涉足个人生物识别信息业务采取准入制度，设置若干硬性条件，对企业的数据保护能力、内部管理严密性等方面提出硬性要求，并开展常态化监督检查。同时，为最大限度降低个人生物识别信息原始数据的泄露风险，建议参考身份证的管理模式，技术和设备的研发企业只能提供软硬件服务，设备的使用方只能获得比对相符/不符的最终结果，均不得存储数据；与公民身份相对应的生物识别信息原始数据，应由国家机关统一存储、严格保护，向合格企业开放端口但不提供详细数据，仅提供比对结果。