人体生物信息的商业应用日趋广泛，深入社会生活方方面面，同时也存在诸多不安全因素。它能够替代传统密码，涉及人身安全、财产安全甚至公共安全、国家安全。加强对于人体生物信息的法律规制是国际趋势，中国、欧盟、美国在监管中都将人体生物信息列为敏感个人信息加以严格保护。对于人体生物信息中风险最高的人脸识别信息，欧盟、美国强调充分保护个人信息主体的自决权，重视实质安全。我国在规制与监管人体生物信息商业利用问题上应重视三个变化。第一，个人信息本质的变化，从人格、财产到社会属性。第二，个人信息权能的变化，从支配到控制。第三，从形式安全到实质安全的变化，如治理告知同意间歇性失效问题，引入高风险情况下的影响评估制度。