技术创新虽然会带来一系列的便利与社会发展,但无论从技术上还是法律上考虑,当前都还不宜过分依赖生物识别中作为身份识别手段,尤其是涉及公众与国家重要关切的利益时,还需要与其他手段相结合,在系统安全性得到保障的同时,适时应用新的技术。
随着人工智能、大数据等技术的快速发展与成熟,生物特征识别技术应运而生并收到越来越多行业的青睐。据相关统计看,目前在一些具有高、中等风险的应用场景中,密码使用比例将降低55%,其它新型识别技术正取而代之,其中最具发展价值和代表性的便是以人脸识别技术为代表的生物识别技术。
央视“3·15”晚会现场对于人脸识别的实验演示,以及2019年国内某人脸识别企业人脸数据库信息被泄露,将网络产品的人脸识别的风险清晰展示在人们面前。虽然生物识别的准确性等问题会随着技术进步逐步提高,但生物识别身份却存在难以克服的重大潜在法律风险以及网络信息安全泄露问题,甚至可能上升到危害国家安全的高度。
为应对人脸识别技术等生物特征识别技术应用的诸多风险,无论是国家、企业,还是个人都需要把生物特征识别涉及到的信息安全保障作为重中之重来抓。应该从保护特征数据和模型的角度,完善生物识别相关法律法规、标准,加强个人隐私保护等几个方面重视。
国家层面需要加快制定人脸识别应用技术标准体系建设,针对人脸识别技术发展与安全防护问题,鼓励政府要牵头,通过领军企业合作推进误识率、识别正确率、识别速率等技术标准的研究制定,制定分级别、多层次的国家安全标准及行业安全标准。
目前国家标准《信息安全技术个人信息安全规范》(GB/T35273-2017)已经于2018年5月1日正式实施,为我国个人信息保护工作的开展提供了翔实的实务指南。在今年5月国家标准网络安全等级保护制度2.0正式实施,该标准在主动防御、动态防御、整体防控以及精准防护等方面进一步加强。通过强化一个中心、三层防护的安全保护体系,旨在进一步指导各单位、各部门整体提升网络安全保护能力,发挥维护国家关键信息基础设施、重要信息系统和大数据安全的关键基础性作用。
另外,今年10月1日起实施的新版《信息安全技术个人信息安全规范》要求,在收集人脸、指纹等个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得个人信息主体的同意。这显然是政府为加强个人信息保护释放的一个强烈信号。
同时政府相关机构还需要建立人脸识别应用的安全评估及审核制度。对人脸识别产品的应用及推广实行审批环节,保证产品符合安全技术要求,并指导企业建立人脸识别数据安全风险管理及防控机制,制定企业合规体系。
另外,进一步落实《网络安全法》,加大处罚力度,督促其落实安全主体责任;同时,监管部门应依法规实施监管,兼顾发展问题,避免不当监管措施抑制技术创新和市场化应用。在完善人脸识别相关法律法规的同时,还需要加强个人隐私保护,制定个人信息保护相关的法律法规,确立个人信息控制权、删除权、遗忘权等信息权利,健全个人对信息权利的投诉和救济机制。
企业也需要格外重视生物特征识别技术信息安全,例如360视觉从终端上增加了硬件安全芯片,将人脸识别算法与模型固化到安全芯片中,不仅防止了算法攻击,还增加了360安全加密白盒,将数据库及管理员账户密码进行了安全密钥加固,确保黑客5年内无法破解。另外,在终端与后台服务器传输过程中全程加密,确保了传输过程中不被拦截破解。
在人脸识别防伪攻击方面,360视觉采用业界内最全的36种防伪攻击算法,有效屏蔽了各种照片、视频、3D面具等欺骗性攻击,严格守住人脸识别伪装攻击的阵地。
技术创新虽然会带来一系列的便利与社会发展,但无论从技术上还是法律上考虑,当前都还不宜过分依赖生物识别中作为身份识别手段,尤其是涉及公众与国家重要关切的利益时,还需要与其他手段相结合,在系统安全性得到保障的同时,适时应用新的技术。