专家表示采集环节应明确知情同意原则 同时应建立人脸信息定期销毁机制
房地产开发公司的
监控摄像头不是简单监控摄像,而是具备人脸识别功能的
摄像机——近期浙江温州市场监管部门执法过程中发现的“摄像头猫腻”,再度让“人脸信息安全”触动公众敏感的神经。
私自采集人脸信息并非个例
近期,温州瑞安市一房企因非法收集人脸信息被瑞安市市场监管局立案查处。据了解,该公司通过自动存储人脸抓拍机摄取的所有到访售楼处客户的人脸
生物识别信息,用于分析客户是否由分销商介绍而来,据此向分销商结算佣金。
在人脸识别引发的争议中,这只是冰山一角。今年初,一段特斯拉车内摄像头拍摄的高清画面,就曾登上社交媒体热搜榜。在视频中,车内摄像头能够清晰地看到驾驶员以及乘客的动作、姿态和面部表情。尽管事后特斯拉回应称,车内摄像头目前在北美以外的市场并没有激活,但不少人仍对此心存疑虑。
车内采集人脸信息并非个例。据媒体报道,蔚来、小鹏等十多家汽车公司均搭载车内摄像头并配备人脸识别系统,用于监测车主状态和拍照等。
企查查数据显示,目前我国共有人脸识别相关企业7831家,相关企业注册量已连续三年突破1000家,其中2020年全年新注册1518家。此外,人脸识别相关的软件著作权有1.83万件。近年来人脸识别系统层出不穷,与之相伴的则是各类信息安全风险。
2021年全国两会期间,人脸识别产生的个人信息保护问题,也成为多位代表和委员热议的话题。全国政协委员刘伟表示,疫情当下,人脸识别被广泛使用,但其安全性却屡屡引发关注和热议。人脸数据的违规采集与数据泄露、非法交易与使用等问题,是人脸识别技术应用面临的主要风险。
2021年1月1日正式实施的《民法典》明确规定,处理个人信息应征得该自然人或其监护人同意。然而新京智库的一组调查显示,近半App人脸识别前未单独征求用户同意,在线下这一现象更为普遍。
技术尚未成熟 存被破解风险
疫情出现以来,人脸识别技术在疫情防控、金融交易等领域发挥了积极作用,但新技术在应用过程中存在的诸多问题不容忽视。
人脸识别技术尚未成熟,存在被技术破解的风险。“针对人脸识别系统的攻击手段正不断演进。比如说打印照片,展示视频,甚至用3D打印技术打印出逼真的人脸面具,攻击系统。”百度公司视觉技术部人脸算法团队的首席研究员冯浩城表示,近年来,人脸合成技术带来新挑战,该技术不需要照片等展示媒介即可伪造,风险较大,若没有深度鉴伪技术,几乎可以欺骗传统有媒介展示活体技术的系统。
因信息泄露和财产安全等问题,消费者对人脸识别心存疑虑。近年来,因人脸信息泄露导致财产受损的情况屡见不鲜。南都智库发布的《人脸识别应用公众调研报告(2020)》显示,超三成受访者已经因为自己的人脸信息泄露、滥用等遭受损失或隐私被侵犯。
“人脸信息不同于密码,它属于个人生物信息,无法更改,一旦泄露将对个人的人身与财产安全造成极大的危害。”中国电信福建公司高级工程师曹曦说。
人脸识别存在滥用、乱用、强制使用趋势,引发公众警戒心理。《经济参考报》记者发现,无论线上App还是线下门店,人脸信息都被过度索取。一些租房、接单类App要求用户上传人脸信息才能使用,而在日常生活中,不少商超会在消费者不知情的情况下,用摄像头采集人脸信息,并对用户进行画像分析,甚至进行“大数据杀熟”。上海市信息安全行业协会会长谈剑锋说,当前不少企业使用人脸识别技术,往往打着便捷之名获取利益,滥用现象突出,最终人脸信息是否被采集、由谁存储、用到何处均无从得知。
新京报、南都智库等进行的调查显示,64.39%的受访者认为人脸识别技术有被滥用的趋势,大部分受访者在有选择的情况下,不会使用人脸识别,仍倾向于传统密码或指纹等手段。
监管
遏制技术滥用需加强立法保护
近期中国网络空间安全协会组织专家专题研讨人脸识别信息安全问题。中国网络空间研究院副院长、网络空间安全协会秘书长李欲晓等专家建议,在立法方面进一步加大对人脸等涉及人生物特征信息的保护力度,既消除安全隐患,又推动相关数据合法合规使用。
一是在采集环节,明确知情同意原则的同时,确定人脸信息适度采集原则。中国人民大学信息法中心主任张新宝认为,由于高清摄像头的普及,目前公共场所已经可以实现远程收集高分辨人脸信息,应当明确人脸信息采集尺度,清晰度到达肖像级别,或者能比对个人信息的,需要特别告知。
南都个人信息保护研究中心主任蒋琳认为,在告知同意方面,应用方应“双管齐下”:线上,完善隐私政策,并将涉及人脸信息等个人敏感信息的条款单独列出;线下,在人脸识别设备处设置显著标识,通过张贴二维码、安排人工说明等方式,向个人信息主体告知处理规则。
二是加大对人脸信息采集、存储、加工、传输各环节违规行为的惩戒力度。李欲晓、谈剑锋等专家认为,鉴于人脸等生物特征信息的唯一性,相关信息泄露危害更大、更难消除影响,对于滥采、滥用的,需适当加大惩戒力度,形成有效震慑,增强公众的安全感。
三是建立人脸信息定期销毁机制。近年来,以自动驾驶为代表的多种人工智能技术,都将人脸信息作为训练数据。张新宝提出,这一做法需要采集大量路况和路人信息,一旦传输到境外,容易涉及国家安全问题,应当建立规则,要求人脸信息本地化存储的同时,在一定周期内定期销毁相关数据。
四是建立多层次的风控体系。鉴于当前人脸识别技术尚未成熟,中国工商银行信息科技部副处长赵开山建议,在金融领域,除了对人脸信息进行二次加密外,应考虑将该技术作为密码、指纹等之外的辅助验证手段,平衡风险。
“区块链提供的非对称加密技术有助于防止人脸信息被滥用,人脸数据是否被动用、由谁动用,都能完整体现在信息链上,方便事后追溯监管,建议加大开发应用力度。”中国银行高级经理杨涛认为。