“虹膜写真”走红背后的“冷”思考

本刊记者 白楚玄

近日，一档综艺节目的嘉宾体验了一种新型摄影形式——“虹膜写真”。这种摄影形式虽然能够让人们了解“自己的眼珠子在镜头下是什么样”，但一个不容忽视的问题也随之浮现：虹膜摄影是否存在泄露个人生物特征信息的风险?这一疑虑迅速在社交媒体上发酵，并引发广泛讨论和关注。即便商家澄清，不会保存用户虹膜照片，也无法进行虹膜识别，但大众仍存担忧。

“拍虹膜”背后暗藏泄密风险

如星空般深邃、沙漠般神秘、向日葵般温暖的眼眸形状……仅需60元至100元，就能通过拍摄记录眼球的形状。同时，还可以将艺术加工后的虹膜写真打印出来用相框装裱，或制作成吊坠、手链等。

本刊记者搜索发现，在我国多个城市，“虹膜写真”或“瞳孔摄影”这一新兴摄影形式正悄然兴起。

区别于传统的人像摄影，所谓“虹膜写真”，摄影师利用微距镜头精准捕捉瞳孔周围虹膜的独特纹理，并通过后期调色，使得虹膜呈现出多样化的视觉效果。

有人戏谑道，“可以去眼科门诊拍晶体写真、眼底写真、黄斑写真……还能走医保”。但不乏有消费者抱着“自己的眼珠子在镜头下是什么样”的好奇，依旧选择了拍摄。在享受“虹膜写真”带来的个性化与美感的同时，不少公众对其可能带来的隐私泄露和个人生物信息风险也产生了疑虑。

从一张虹膜照片中，可以提取到用户的个人信息吗?

“上世纪80年代的一张老照片，18年后，技术人员通过虹膜识别技术最终找到了照片的主人公。”深耕生物特征识别技术的北京理工大学光电学院副教授何玉青向记者讲述了这个故事，“虹膜的特性就是靠纹理的差异去体现每个人的不同”。

当下，“虹膜写真”这种静态的拍照方式是否存在安全风险?本刊记者向何玉青和一位安全领域的专家求证后，他们均给出了肯定答复。

“‘虹膜写真’因其直观地捕捉和放大了虹膜的细微结构，其生成的影像本质上等同于一种未经加密的生物特征信息。”一位受访的虹膜产业内人士表示。

何玉青的团队通过实验证明，无论是专业设备还是普通设备，从成像原理和研究结果来看，都能拍摄到可用于身份识别的虹膜图像，并达到一定的识别率。“有些人可能误以为不同设备拍摄的虹膜图像会存在差异，实际上，尽管专业设备可能加入了特殊的光源照明，普通设备拍摄的图像可能不如专业设备清晰，但本质上在识别过程中，其成像原理都是拍摄虹膜的纹理特征，再通过比对纹理之间的差异来进行身份辨识。尽管可能存在不同的特征提取算法，但核心都是寻找纹理之间的相似性和差异。”

信息被盗用或产生“次生危害”

当今社会，随着生物特征识别技术在生活中的广泛使用，除虹膜外，人脸、声纹、指纹，甚至是步态都已经成为重要的个人身份信息。这些生物特征信息在身份验证、支付安全等多个领域发挥着重要作用的同时，个人生物信息安全问题也日益凸显，需要高度警惕可能产生的“次生危害”。

在业内人士看来，以“虹膜写真”为例，其在艺术和个性化表达上有其独特价值，但作为生物识别信息的一部分，技术处理和传播过程中的安全隐患不容忽视，应该防范他人恶意将照片与其他个人信息串联后进行非法使用。

为了应对相关隐患，我国已采取了一系列法律保护措施。我国民法典、网络安全法、个人信息保护法等法律法规，都对个人生物识别信息保护作了专门规定。同时，最高人民法院和最高人民检察院也相继出台了有关办理涉及个人生物识别信息案件的司法解释，发布一些典型案例、指导性案例，注重加强对个人生物识别信息的司法保护。其中，“处理生物识别信息应取得个人的单独同意”这一原则得以明确。

那么，为什么虹膜等个人生物信息安全如此重要?

“虹膜信息作为生物特征，具有高度唯一性与持久性，一旦泄露或滥用，可能会导致不可逆的身份安全风险。”北京师范大学法学院博士生导师、中国互联网协会研究中心副秘书长吴沈括指出。

“实际上，一旦生物信息被泄露，即使只是部分信息，也可能会带来严重的安全隐患。”何玉青表示，生物特征识别技术的采集、存储、传输等环节都可能成为不法分子的攻击目标，进而威胁个人隐私和数据安全。

日常生活中，盗用此类信息的隐患并不罕见。曾有犯罪团伙利用“变脸”App和手机安全漏洞，重启被限制登录的社交平台账号。多地警方也公布有不法分子偷拍、骗取或盗取照片，使用AI换脸技术突破人脸认证，窃取隐私。此前，有网络安全专家称拍照比“剪刀手”，若镜头距离近，“剪刀手”照片可通过技术还原指纹信息，进而被制成指纹膜，用于指纹解锁、支付等渠道。

那么，是否有技术能保证100%不被照片、指纹等个人生物信息欺骗?

“在进行人脸识别比对时，并非追求百分之百的完全匹配，只要达到一定标准，就可以视为验证通过。”以常见的人脸识别技术为例，何玉青详细阐述了其工作原理：无论光照条件如何变化，或拍摄手段如何多样化，人脸作为识别对象的本质不变。即便佩戴口罩，现代人脸识别技术也能通过识别眼睛等局部特征，实现高效准确的身份比对和确认。

亟须提升规范标准约束力

面对生物识别技术滥用和侵犯公众隐私的担忧，尽管我国有相关法律法规的支撑，但当前立法规范并未将个人生物识别信息作为一项单独的权利进行保障，并未直接使用“个人生物识别信息权”称谓，而是将其作为公民个人信息的一种，以个人信息权的模式来进行确认和保障。

吴沈括告诉记者：“我国个人信息保护法规定了对信息泄露的相关责任追究，但针对个人生物信息的存储期限、使用范围以及存储过程中的安全措施等方面，尚未形成细致而有针对性的法律规定。”

立足于当下的生物信息保护风险隐患，如何进一步确保个人生物识别信息安全，为个人生物识别信息构筑坚强司法屏障?

“应在现有法律框架下，考虑进一步提升规范标准的约束力，进而提升个人生物特征信息的保护效果。”吴沈括建议，应针对生物识别信息制定专门的法律条款，以明确其特殊性并设定更为严格的收集、存储与使用标准，确保虹膜信息仅在消费者明确同意且限于特定用途的情况下被采集和使用。同时，应明确虹膜信息的存储与使用期限，并规定超过期限后必须进行信息的删除或匿名化处理。同时，还应进一步完善信息泄露与滥用的法律责任，强化对商家及第三方服务提供者的监管，鼓励技术企业采取更加严格的信息安全技术措施，包括加密存储、数据传输加密等，并设立独立的第三方认证机构，对生物识别信息的使用合规性进行审查，确保其符合隐私保护的法律要求。

何玉青向记者透露，鉴于个人生物识别信息开发所带来的巨大经济价值与潜在的数据安全风险，多个国家和地区已经采取立法措施，对个人生物识别信息进行全面保护。

何玉青建议，我国在制定相关法律时，可以借鉴国际经验，考虑是否需要制定专门的个人生物识别信息保护法，或者进一步明确生物识别信息的采集、利用规则，以及信息权益内容和数据控制者的责任义务。同时，相关规范性文件应根据技术的发展变化进行定期修订和完善，并通过技术鉴定等手段为法律实施提供有力支撑。

除了国家层面的立法规制和管理外，吴沈括和何玉青提醒广大群众，应提高自我保护意识，在享受生物识别技术便利的同时，要谨慎使用，共同守护个人隐私和数据安全。使用生物特征识别服务时，应该仔细阅读隐私政策，了解个人信息的收集、使用和保护情况。同时，在公共场合或不安全的网络环境下，应该尽量避免使用生物特征识别功能，以防止信息被截获或盗用。

针对公众安全防范，吴沈括呼吁公众定期审查隐私设置，确保已启用密码保护、指纹解锁的二次认证、面部识别加密等必要的安全防护措施。同时，选择安全标准高的产品，并优先考虑采用先进加密技术来进一步保障信息安全的系统。此外，为减少信息泄露的风险，他建议，公众应分散存储生物识别数据，避免将其全部集中存储在单一平台或服务中。