综合自新京报和第一财经，仅供学习！

在今年的全国政协十三届四次会议新闻发布会上，大会新闻发言人郭卫民介绍称，目前个人信息保护法草案已提请全国人大常委会审议，这一法律的颁布和实施，将对保护个人信息安全将发挥重要作用。

APP违法违规收集使用信息专项治理

郭卫民说，随着大数据、人工智能、互联网新技术广泛使用，隐私保护和个人信息安全问题日益突出，出现了个人信息被非法获取，被泄露、滥用，甚至出现被倒卖的现象，引发了人们担忧。政协委员们认为，如何有效规范相关机构、规范互联网企业等依法依规采集、储存和使用个人信息，有效保护个人信息安全十分重要。

郭卫民表示，中央网信办、工信部、公安部、市场监管总局等部门开展了相关工作，包括制定相关国家标准规范，指导督促企业平台落实个人信息保护义务，开展APP违法违规收集使用个人信息的专项治理。对公共安全视频监控、人脸识别等手段的使用加强管理。有关部门针对疫情防控过程中的个人信息收集问题印发了专门的文件进行规范，并督促检查。目前，《个人信息保护法》草案已提请全国人大常委会审议，这一法律的颁布和实施，将对个人信息安全保护发挥重要的作用。

近年来很多委员提案涉个人信息安全

郭卫民介绍，近年来，全国政协围绕个人信息安全和隐私保护开展了大量工作。很多政协委员提交了相关的提案。委员们认为，要加大整治工作的力度，严格落实好各项文件规范，要加快完善法律制度，进一步加强监管和执法，对侵犯个人隐私和个人信息安全的行为要进行严厉打击和惩处。采取系列措施加快构建个人信息安全的“防火墙”，让个人信息安全、让社会公众满意。政协委员中有一些互联网企业的负责人，他们也参加了相关议题的讨论，表示要加强行业自律，处理好服务和管理的关系，严格落实企业的主体责任，保障好用户的合法权益。全国政协将持续关注这一问题，推动这项工作不断取得新的进展。

人脸识别技术的法律治理框架

人脸识别数据的存储缺少安全管理

今年两会，全国政协委员皮剑龙带来了一份关于加快构建人脸识别技术数据监管体系的提案。他认为，应用人脸识别技术必须要遵循合法、正当、必要等原则，同时，应加快制定和完善有关人脸识别数据管理专门法律，强化行政监管机制，完善行业自律监督。

调研后皮剑龙发现，现阶段不少互联网公司掌握大量公民信息，一旦黑客利用技术入侵或者公司泄露用户信息，极易造成安全隐患，此前已经出现过某公司因安全措施不到位而导致大量人脸信息泄露的情况。

“人脸信息载有生物特征，并具有唯一性，一旦丢失就是等于把自己的‘密码’公之于众，后果不堪设想。”皮剑龙说，当不法分子掌握公民人脸信息和个人隐私数据后，可以远程窃取公民信息并造成损害。民法典对个人隐私有明确规定，人脸识别数据的管理作为个人隐私的重要组成部分，也应该受到更加严格的管理，现仅有少量内容对信息采集进行规范，仍缺乏保障数据安全的法律及实施细则和指引，指导行业企业强化数据安全管理。

信息收集缺少准入机制 监管机制存不足

皮剑龙注意到，现阶段，人脸识别技术被滥用的趋势愈发严重。他认为，对于公共安防等领域，使用人脸识别有其必要性和合理性。但随着人脸识别技术应用场景的不断拓展、各类应用“遍地开花”，如刷脸入小区、刷脸开机、刷脸考勤、刷脸取款、刷脸购物，甚至刷脸倒垃圾等，这让人脸识别技术应用频频“越界”。

“公众其实无法获知这些人脸数据存在哪里、怎么管理、会不会被滥用。”皮剑龙说，现在登记人脸信息已经成为一种常态，公众经常为了接受某项服务而用自己的人脸信息作为交换。

他认为，这些现象的出现正是因为我国对于信息收集没有设置相应的门槛要求。在互联网大数据背景下，个人隐私保护部门没有明确相应职责并进行明确分工协作，导致目前收集人脸识别信息的准入许可机制和监管机制存在不足，需要通过立法和政策予以改进。对于个人而言，也应该重视人脸信息数据安全意识，增加防范意识，对一些不规范收集要尽量规避。

加快制定、完善法律强化行政监管机制

“我国目前没有一部法律法规对人脸识别数据管理的相关问题进行立法与规制。”皮剑龙建议，加快制定和完善有关人脸识别数据管理的专门法律。

中央层面尽快启动关于人脸识别数据管理的法律法规起草工作，对人脸识别数据的采集、存储、使用、加工等方面进行规范。对公民进行人脸识别，除合法、正当、必要原则外，还应遵循事前申请原则、数据监管原则、数据保密原则等。地方政府制定关于人脸识别数据管理的地方法规，政府部门制定相关的规章和办法。对人脸识别技术数据安全进行规制和保障。

除法律以外，皮剑龙表示，强化行政监管机制也必不可少。针对商业行为与公权力应用人脸识别技术给个人信息保护和数据管理带来的挑战，通过立法设立专门的行政与监督机构或赋权给相关部门进行管理为当务之急。建议在我国建立专门性的个人信息保护系统，自上而下形成一条从中央到地方相关政府机关的个人信息保护网络，依照现有行政系统各种类别部门的职能划分各个部门。

“推动人脸识别技术的个人数据保护，还需要有关部门根据法律、行政法规、部门规章等规范，推动建立和完善相关行业的自律监督机制。”皮剑龙认为，应明确在哪些必要情况下可以进行人脸信息的采集，并规范人脸信息储存的技术手段和储存期限，保障公民的知情权、同意权，使行业自律机制成为有效合法的自我监督管理手段。

“人脸采集”采取许可证制度

全国政协委员、致公党上海市委专职副主委兼秘书长马进在今年两会上带来一份《关于对“人脸采集单位”实施许可证管理的提案》，建议明确人脸采集使用场景并颁发采集许可证，就特定场所人脸采集的必要性、合理性以及场所所属企业的技术能力与管理能力进行评估，对符合条件的企业与场所颁发许可证。

马进对第一财经记者表示，近年来随着生物识别技术的快速发展，“人脸识别”在很多场景被广泛应用，在一定程度上提高了城市的治安水平和智慧化管理水平。但是该技术在某些商业领域的使用甚至是滥用，导致个人的信息安全面临重大挑战。

马进认为，由于人脸等生物信息具有唯一性和不可更改性，与密码的可修改性不同，一旦泄露则处于不可逆转的状态，产生的影响将更为长久。他对第一财经记者说道：“人脸信息被过度且不必要地采集，人脸信息采集企业的采集设备或数据管理能力也存在安全漏洞，甚至可能产生内部人员贩卖牟利的漏洞，这对于个人隐私危害巨大。”

他还建议取得人脸识别采集许可证的单位在应用场所应尽到告知义务，赋予用户知情权和选择权，如果用户不愿意被采集人脸信息，应该给予其他认证方式的选择。

数据要素市场——数据银行

大数据是工业社会的宝贵资源，谁掌握了数据，谁就掌握了主动权。有效规范相关机构，规范互联网企业依法依规采集、储存、使用个人信息，有效保护个人信息安全十分重要。

但是在大数据处理的过程中，针对数据确权、数据内容敏感性审查、数据利用方式评定等方面，现有的法律法规和操作细则不够系化和完善，未能充分释放数据生产力。

设立“数据银行”

全国政协委员、上海市信息安全行业协会会长谈剑锋在一份《关于建议设立国家“数据银行”》的提案中建议，由国家成立专门机构统一管控，以最大程度地保障关键数据安全和国家安全。

“关键数据不可让企业自行采集收集，更不可由互联网龙头企业垄断。”他在提案中写道，“建议设立国家数据银行，由国家成立专门机构统一管控，负责关键数据的采集、传输、存储和确权等。”

此外，他还带来一份《关于建立数据管理使用的合规审评制度》的提案中，建议相关部门建立一套评测标准和认证体系，为使用创新大数据挖掘分析技术针对非敏感信息数据进行处理和利用的企业提供一套合规标准。

谈剑锋对第一财经记者表示：“仅使用非敏感或脱敏数据进行分析建模创造经济价值是一种新的商业新模式，但目前这类创新性数据挖掘技术的发展和商业化因为缺乏合适的数据合规应用审评制度，也没有相关的行业标准进行指导，无法获得足够数据并有效利用和发展，丧失创新发展机会，客观上阻碍了数字经济的发展。”

他建议由网信办牵头，协调发改委、工信部、科技部、市场监管总局等相关部门建立一套评测标准和认证体系，为使用创新大数据挖掘分析技术针对非敏感信息数据进行处理和利用的企业提供一套合规标准，并由相关部门对这类企业的执业资质进行审查和评价，以保证数据要素的合规利用和流转，促进创新技术和企业的竞争发展，真正有效保障数字经济发展。

另一方面，数据垄断现象在全球变得日益严重，大型平台公司和机构掌握大量数据，形成事实上的数据垄断，在数据合规应用审评制度未明确前，众多大数据分析技术创新公司只能依附数据垄断平台和机构为其提供服务，这进一步加强了垄断的发展。

对此，谈剑锋建议可以参照欧美的方式，建立和完善数据价值确认之后，数据在交易、传输、使用、创造经济价值的过程中涉及到的数据税相关法律法规，解决数据利益在政府、企业和个人间的分配问题，在国家全面减税降费的总体方针下，平衡数字经济收益与企业创新积极性之间的关系。