人體的生物特征既具有唯一性,也具有不可更改性,一旦泄露並被非法使用,將嚴重損害目標個體的利益。為此建議建立生物特征信息保護框架,來規范和指導人體生物特征信息的使用。
一、生物特征的原始信息採集和使用須嚴加規范
建議採用以下原則:
(一)原始信息僅留存在有足夠防護能力的採集設備中。(二)不允許通過網絡傳輸原始信息,允許傳輸不可逆的特征信息用於識別或匹配。(三)在採集設備或區域有醒目標示,告知被採集人自己的生物特征已被採集。(四)在服務器側存放的生物特征信息,當達到一定個體數量並且關聯進一步身份信息時,須向權威部門報備,並提供防護方案認証報告。
二、定義保護規范的原則和保護要求
建議從以下幾個維度來定義保護規范:
(一)採集器中原始數據或原始特征的防護﹔(二)哪些數據不能網絡明文傳輸﹔(三)服務器側在什麼條件下可以建立生物特征數據庫﹔(四)當生物特征與身份信息關聯時,不管採集器還是服務器側,須採取什麼樣的或什麼等級的防護手段﹔(五)在公共區域和私屬區域可以有不同的要求﹔(六)對不同特征可能需要區別對待。
三、鼓勵開展生物特征創新研究,尤其是隱私保護研究
鼓勵探索更具便捷性、穩定性、辨識性、更能抵抗物理仿真特性的生物特征。鼓勵對生物特征的安全性開展研究,尤其要進行隱私保護研究。