文/闵子彦

近日，上海明确了入住酒店严禁“强制刷脸”的规定，体现并贯彻了对于保护个人信息特别是敏感信息的支持。然而除了入住酒店场景之外，平日出入各党政机关、企事业单位、包括商务办公(园区)楼宇等，通常会被要求登记个人身份信息，其中使用书面纸质登记外来访客个人信息的保存管理及其所存在的信息泄露风险同样应引起足够重视。

随着数字化、智能化技术的普及应用，较多单位通过智能系统设备刷脸、刷身份证等方式登记外来访客个人信息，尽管存在网络安全的风险，但因为有网络安全法及相关的技术标准，能对系统设备和使用人员进行相应的规范和约束。然而通过书面纸质登记的方式，通常记录有外来访客的姓名、身份证号、电话号码等个人敏感信息，经手管理这些信纸质文档如有疏忽，很容易就能通过手机拍照快速记录文档中的个人信息并造成传播泄露。相比网络安全的信息泄露问题，这类纸质文档信息泄露所需的技术门槛低、潜在风险大、事后追溯难度高，却往往成为公民个人信息保护的监管盲区。

无论是通过计算机系统还是通过纸质文件，都是信息记录、传递的载体，都具有信息泄露并造成相应危害的风险。甚至有些单位因噎废食，因为担心网络安全问题废弃使用符合法律法规及相关标准要求建设的信息化访客系统设备，转而采用纸质登记的方式。

由此建议，政府有关部门对此类传统纸质载体的信息安全问题同样予以足够关注，应与网络安全的管理给予同等程度的重视，具体建议如下：

1)党政机关、企事业单位因治安管理需要实施的访客管理流程，应注意加强对外来访客人员的身份证件的人工核查，而非简单粗暴的要求记录个人身份信息。

2)党政机关、企事业单位确需记录访客信息，应尽量避免外来访客个人直接书写登记，防止外来访客直接接触到包含有其他的访客信息的记录文档，尽量规避他人信息在登记过程中的暴露与泄露的风险。

3)党政机关、企事业单位确需使用纸质文档登记访客个人信息的，应根据《个人信息保护法》、《企业事业单位内部治安保卫条例》的要求，并遵循“不过度收集个人信息”的原则，通过管理制度和管理体系的完善，进一步明确访客登记采集的信息内容，尽量避免同时记录访客的姓名、身份证号和联系电话，非必要不登记个人行踪轨迹。对纸质登记的文档的归档保存、调阅查看、销毁应制定标准操作流程、规章制度，明确责任部门(个人)。

4)公安机关治安管理部门、网络安全部门等应对个人信息保护问题建立联合监管、联合执法的机制。一方面对党政机关、企事业单位的个人信息保护开展监管、另一方面对贩卖个人信息的事件予以严厉打击，同时防范“线上”及“线下”的信息泄露风险和隐患。并有利于避免多头监管执法要求不统一，将受监管方至于顾此失彼、疲于应付的局面。

本文观点供交流参考