國家網信辦日前發布關于《網絡數據安全管理條例（征求意見稿）》公開征求意見的通知。《意見稿》提出，數據處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。（11月15日《北京青年報》）

隨著生物識別技術的發展，越來越多的領域開始使用指紋、臉像、虹膜等生理特征和聲音、步態等行為特征進行個人身份鑒定。在鑒定方看來，這些生物特征具有唯一性、永久性，比傳統的密碼驗證更安全。不過，對于被鑒定者來說，生物特征信息一旦泄露，其結果可能是永久性、不可逆的，將對個人的人身和財產安全造成極大危害。

國內“人臉識別第一案”中，浙江理工大學副教授郭兵因不滿杭州野生動物世界強制游客刷臉入園將其告上法庭，引發社會對于人臉等識別信息采集、使用安全風險的關注。據新華社記者調查，一些網絡黑產從業者利用電商平臺，批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程，“五毛一張，打包帶走”。去年10月發布的一項調查報告顯示，在2萬多名受訪者中，94.07%的受訪者用過人臉識別技術，64.39%的受訪者認為人臉識別技術有被濫用的趨勢，30.86%受訪者已經因為人臉信息泄露、濫用等遭受損失或者隱私被侵犯。

根據《民法典》，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，其中包括生物識別信息。個人信息受法律保護，處理個人信息應當遵循合法、正當、必要原則，不得過度處理。除了法律、行政法規另有規定外，還應征得該自然人或者其監護人同意。“我的人臉我做主”，體現了對于個人權益的保護，是法律應有之義。

但在現實生活中，一些公園、小區管理者為圖管理便利，動輒將人臉等生物特征作為唯一驗證方式，消費者、居民往往只能“被同意”。這不僅違背了法律關于個人信息的保護原則，也涉嫌加重對方責任，排除對方主要權利，應屬于無效條款。

近年來，一些地方和部門已經在物業領域予以規范。去年以來，杭州、云南、四川等地紛紛擬修訂物業管理條例，要求物業服務人不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備。今年7月，最高人民法院發布《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，明確指出：“物業服務企業或者其他建筑物管理人以人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式，不同意的業主或者物業使用人請求其提供其他合理驗證方式的，人民法院依法予以支持。”

相比之下，網信辦發布《網絡數據安全管理條例（征求意見稿）》，明確“不得將人臉等生物特征作為唯一的個人身份驗證方式”，有助于全面規范生物識別技術，遏制濫用現象。只有立法禁止強制刷臉，才能更好地保護公眾的知情同意權和選擇權，倒逼數據處理者有力規避個人信息安全風險。(張淳藝 漫畫/陳彬)