数字经济观察网 - 软信官网

生物识别是通过计算机与生物传感器和生物测量学原理等高科技手段密切结合，利用人体固有的生物特征来进行用户个人身份鉴定的重要手段。使用到的生物信息包括指纹信息、虹膜信息、面部信息、声纹信息、掌纹信息等。生物特征识别技术作为一种身份认证方法，已经广泛应用于金融、教育、司法等领域，各类应用服务（包括金融应用、第三方支付应用、社交类应用等）。生物特征识别技术带来种种便利的同时也带来一定的负面影响。生物特征作为人的生理属性终生不变，无法更换或撤销，一旦泄露，攻击者可以对生物特征进行伪造，以仿冒身份，或者利用生物特征进行非法追踪，后果不堪设想。因此，将生物特征识别技术用于身份认证，必须构建和完善我国生物识别信息保护制度。

生物识别商业化发展不断加快

随着人工智能的强势崛起，各种生物识别技术快速“走红”，从人脸识别、指纹识别到虹膜识别、步态识别，生物识别技术种类的愈发丰富，以及便捷、安全、高效等应用优势的愈加凸显，其产业发展正在不断扩大与深化。

生物识别产业发展非常迅猛。我国生物识别技术已经处于全球先进水平，从事该行业的企业有千余家，市场规模达千亿规模以上。据CB Insights的Industry Analyst Consensus预计，到2050年，生物识别技术行业的估值将达到590亿美元。

生物识别技术向多元化发展。我国生物识别技术已经在支付、门禁、手机解锁等众多领域获得了广泛应用，其一方面便捷了人们的日常生活，另一方面也替代传统的密保方式，保障了人们的生活安全。以时下最火热的刷脸为例，手机解锁、银行支付、上班打卡还是交通出行、安防门禁、治安维持，如今人脸识别已经彻底融入了我们生活的方方面面，并展现出显著的“刷脸”价值。我国作为世界上最大的智能手机生产国，据中国信通院数据，2019年全年智能手机出货量3.72亿部，而指纹识别在智能手机中的渗透率已达到75%以上。虹膜、指纹扫描已成汽车标配，越来越多地应用于汽车技术开发中，以保证驾驶安全及人身安全。根据CB Insights的Industry Analyst Consensus研究，到2024年，全球汽车生物识别技术的市场预计将达到3.03亿美元，年复合增长率接近17％。由于不同的生物识别技术在精度、安全性、稳定性、识别速度、便捷性、成本、功耗等众多方面有着明显的差异，因此在不同的应用领域中，也会有着各自不同的特点和优劣势。我们认为，未来多生物识别技术融合将是一大趋势。

国内产业链趋于完善。我国在计算机视觉领域、指纹识别芯片领域、虹膜识别领域、声纹识别领域已经有大量企业崭露头角。未来，随着信息安全越来越深受重视，简单、便捷的生活理念越来越多的为人所关注，生物识别技术的前景将一片大好。在这样的背景下，生物识别的商业化应用有望进一步加速和扩大，其发展前景让人看好。

生物识别信息暗藏数据安全风险

由于生物识别信息自身的特性，其在开发利用中暴露出诸多数据安全风险。

第一，生物识别信息敏感性强。一般可单独识别特定个人身份，与其他类型的个人信息相比，对其收集、使用、存储等的安全要求更高。例如，印度政府构建的全球最大的居民生物身份数据库Aadhaar，就屡屡传出泄露丑闻，深受质疑。

第二，生物特征数据采集的行业准入门槛过低。生物识别信息具有唯一性、不可变更性，但很多终端或者手机应用程序十分容易地获取个人的指纹、人脸或声音等信息。这些终端设备或手机应用程序背后的企业、个人或其他组织并非都有收集个人生物特征数据的资质。此外，很多企业的生命周期并不长，企业破产后其收集的生物特征数据可能面临泄露或违法交易。

第三，一些生物识别信息具有公开性（如人脸、声纹等），容易被他人获取，并通过技术合成伪造个人身份。近期，快递柜被曝出存在系统漏洞，只要用一张打印照片就能代替真人刷脸、骗过系统的人脸识别系统，取出快递柜中的包裹。另外，三星手机的屏幕指纹识别也被曝出安全漏洞。当三星用户在粘贴了屏幕保护膜后再录入指纹，那么非机主指纹也可轻松解锁进入手机系统。

根据卡巴斯基安全网络的数据，2019年第三季度卡巴斯基在37%的生物识别系统计算机上阻止了恶意软件攻击。换句话说，用于收集、处理和存储生物识别数据的计算机中有1/3存在被恶意软件感染的风险。由于个人生物识别信息的高度敏感性，对其的不当收集、使用或信息泄露，不仅会对个人信息及人身财产权利带来损害，大量的个人生物识别信息泄露还会对国家整体数据安全产生影响。

生物识别数据保护相关建议

我国目前的立法尚未对生物识别信息的保护和利用进行强化规定，一方面不利于引导产业健康有序发展，另一方面还会增大生物识别信息滥用和泄露风险，威胁个人信息安全。因此，我国需要进一步完善生物识别信息保护制度。

一是提高生物识别验证准确性。通过融合多种技术，结合多种识别认证模式，对个体的多个生物特征进行多重认证，最大限度地保证生物识别结果的唯一性，提高生物识别技术的准确性。加快推进生物识别技术与大数据、云计算、物联网、移动互联网等技术之间互相融合优化，不断提升生物识别技术算法的稳定性和准确性。融合多种生物特征，采取组合验证的模式，多重验证用户身份，提高识别率，降低用户单一生物特征被盗用时可能产生的支付风险，提高系统的安全性。如将人脸识别与虹膜识别融合，在不改变用户操作复杂度的同时，对用户的身份信息进行双重验证，进一步保证移动支付的安全性。

二是对不同身份验证方式分级管理。对于不同的生物识别方式，及其同其他验证方式的组合验证模式，建议进行分级管理。对于不同级别的验证方式类型或者验证方式组合，分别规定其适用场景和限额等要素。尽可能明确各种生物识别类型以及支付方案的差异性，避免市场上支付产品避重就轻，造成安全性、风险系数等方面的良莠不齐，扰乱发卡行、持卡人、商户等相关方的分辨力。

三是通过立法手段规范市场行为。明确生物特征信息的采集、保存、使用、传播权限，制定相关规范，并强制执行。严格要求应用服务提供方根据《网络安全法》以及《信息安全技术个人信息安全规范》来执行。并建议制定专门针对于金融支付个人信息安全规范，以行业标准或部门规章的形式发布，配合行政命令强制要求行业内部严格执行。在条件成熟的情况下，推动“个人信息保护法”“数据安全法”的立法工作，以法律的形式确立生物特征信息的受保护地位。此外，对于境外公司从事境内公民的生物特征采集和应用领域业务的，需要在立法环节进行更加严格的管理，以免对国家安全造成危害。

生物识别技术经过多年的发展，特别是随着半导体与人工智能领域的飞速发展，已经大大提高了识别速度和准确性，从特定行业的少数场景应用，发展到在各类消费级产品之中广为应用。未来需通过技术的突破、新技术架构的出现、商业模式的创新，以及监督管理、技术研究、法律法规等方面不断改进完善，降低生物识别的错误率，在其优势最大化的同时保证风险最小化。生物特征识别将拥有更广阔的市场前景，满足各行业的业务需求，服务社会经济发展，进一步推动诚信社会建设。