原标题:人脸识别有温度更要守法度
旅客在深圳机场“刷脸”登机。
新华社记者毛思倩摄
近日,备受关注的“人脸识别第一案”一审公开宣判——杭州市民郭兵诉杭州野生动物世界一案中,法院判决杭州野生动物世界赔偿郭兵合同利益损失及交通费,删除其办理指纹年卡时提交的包括照片在内的面部特征信息。
“第一案”的落槌,再度激起对人脸识别等个人生物识别信息安全话题的讨论。如何让人脸识别即便捷、又安全,成为社会各方的关注焦点。
落地场景多滥用引争议
选好商品,在柜台前选择刷脸支付,通过人脸识别后,只需输入手机号码后几位就可完成付款——在北京一家甜品店内,不少消费者通过刷脸支付设备为所购商品结账。
“刷脸支付比手机扫码还要便捷一些,解决了手机没电时的支付难题。对很多不会用手机的老年人来说,刷脸支付也可以减少不便。”消费者胡荣说。
近年来,金融支付成为人脸识别技术的“主战场”。同时,在安检安防、政务服务、教育医疗等诸多场景,人脸识别技术都有用武之地——高铁告别纸质车票后,刷脸进站极大提升了效率;明星演唱会上,人脸识别协助抓获逃犯,立下奇功;一号难求的大医院,人脸识别将号贩子拒之门外;疫情防控期间,人脸识别助力人群动态管理,成为防疫抗疫的利器。
在全球范围内,人脸识别的市场前景同样广阔。有数据显示,到2022年,全球人脸识别市场规模将达75.95亿美元。而在中国,人脸识别的相关企业已突破1万家。作为新兴的身份认证手段,便捷高效的人脸识别应用范围越来越广。
随着人脸识别与日常生活的联系日益紧密,对于该技术的滥用与安全之忧,近来频频引发争议和讨论。在“人脸识别第一案”中,原告郭兵便是对动物园“刷脸”入园的要求提出“挑战”,以服务合同违约为由,将杭州野生动物世界告上法庭。
用户和消费者的担忧并非杞人忧天。近日,一些地方的售楼处安装了人脸识别系统,以此辨别客户类型,有的购房者不得不“戴头盔看房”,以防被开发商“割韭菜”。此前在部分城市,人脸识别系统还曾应用于分类投放的垃圾桶上,甚至出现在用于监控学生行为的课堂上,类似行为引发了不小的争议。
信息频泄露储存有隐患
对于人脸识别的担忧,大多源于面部信息泄漏的安全隐患。
据专家介绍,人脸识别是生物识别技术的一种,即利用人体的生理特征,通过计算机进行个人身份鉴定。如果说同为生物识别的指纹识别需要主动“画押”,人脸识别则可以在悄无声息中完成。一旦人脸及其相关信息“落入贼手”,民众的合法权益极易遭受侵害。
今年7月,有不法分子在电商平台贩卖人脸信息。以五毛钱一份的低价打包出售后,被盗的人脸信息被用于虚假注册、电信网络诈骗等违法犯罪活动。近年来,杭州、深圳等地警方破获的盗用公民个人信息案中,犯罪嫌疑人均使用了“AI换脸技术”。在非法获取公民照片后,通过“照片活化”的方式生成动态视频,成功骗过人脸核验机制,进而为犯罪团伙提供黑产服务。
中国电子技术标准化研究院信安中心测评实验室副主任何延哲说,目前网络黑市中售卖的人脸信息,很多并非单纯的“人脸照片”,而是包含了身份证号、银行卡号、手机号等公民个人身份信息。如果人脸信息同其他身份信息或行踪信息相匹配,就有可能被不法分子用于从事犯罪活动。
人脸信息泄漏的隐患主要在存储环节。专家介绍,目前人脸数据一般存储于人脸识别应用的运营方或技术提供方的数据库中。无论是在本地服务器还是在云端,一些企业缺乏有效的安防措施。一旦服务器遭到入侵,人脸数据就面临着泄露风险。
事实上,对人脸识别的争议已在全球多国出现,处于风口浪尖的科技巨头首当其冲。此前,IBM主动放弃人脸识别业务,宣布将不再提供、开发或研究任何人脸识别和人脸分析软件;微软则在去年删除了其最大的公开人脸识别数据库。
法律划边界监管需加强
人脸识别涉及身份信息采集识别与个人隐私保护等话题,离不开法律的保驾护航。近年来,在法律层面,中国针对生物特征信息采集和储存做了具体规定,为人脸等生物特征信息的搜集使用划定了边界。
例如,网络安全法规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
正在征求意见的个人信息保护法草案则明确提出,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。
即将于明年1月1日起施行的民法典在“人格权编”中提出,处理人脸在内的个人信息,应当遵循合法、正当、必要原则。
而在人脸生物识别信息的存储方面,最新版的《信息安全技术个人信息安全规范》明确了个人生物特征信息属于敏感信息,要求个人生物识别信息与个人身份信息分开存储;原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于仅存储摘要信息等。
中国政法大学传播法研究中心副主任朱巍表示,对收集个人生物信息的管理,核心在于对获取方的管理。应当遵循“能不采集个人生物信息就不采集”的原则。同时应通过立法,进一步明确具备采集资格的主体范围。
专家指出,应建立更严格的标准和规范,加强对人脸信息的采集和存储的监管。尤其是技术开发方和运营方应在更趋严格的监管和法律、行业规范下采集、使用、存储人脸信息数据。
科技有温度规范谋发展
尽管人脸识别过程仍存隐忧,但专家表示,不必把人脸识别当作洪水猛兽。对于人脸识别技术的正面作用,应当有理性的认识和思考。
从技术方面来看,面临安全隐患,人脸识别正在从2D向3D转变。相比于2D,3D识别能够采集多达几十万个信息点,以防止身份冒充。目前消费者频繁使用的支付宝和微信刷脸支付,均采用了3D识别技术,通过软硬件结合的方法判断采集到的人脸是否为活体。同时,人脸识别服务商还通过诸如绑定设备,有人值守应用场景和多维校验方式增强人脸识别安全性。
此外,在用户授权的情况下,绝大多数的人脸数据都被技术方用于训练和测试,以优化人脸识别系统。这些人脸数据都是已被脱敏处理过的大数据,不再带有个人信息,无法识别和对应到自然人的身上。
北京师范大学法学院教授刘德良表示,真正威胁到个人信息安全的,是对于人脸信息的滥用。人脸识别技术的本质是存储人类面部信息,从而进行精准有效的身份验证,新技术的使用能提高整个社会运行的效率。
如今,人脸识别的广泛应用,也为社会带来更多温度。例如,为防止未成年人沉迷网络游戏、过度消费,不少游戏厂商在原有身份证认证的基础上引入人脸识别技术,以加强关于网络游戏账号实名注册的监管,防止未成年人冒用成年人身份进行游戏消费。在深圳、合肥等地,退休老人可以在支付宝通过刷脸的方式领取养老金,人脸识别为政务服务提供了更多便利。