人脸、声纹、基因等“人体密码”一旦泄露,公民如同“裸奔”,后果不堪设想。专家认为应从技术、立法、执法等方面着力,保护好数字时代的通行证。
首发:“新华每日电讯”调查周刊
本报记者:胡锐、戴威编辑:完颜文豪
出差归来,安徽合肥市民周进良被新装的门禁系统,挡在了小区门外。
录入人脸信息、对准摄像头、屏幕出现面部照片、大门开启......方便倒是方便,但他却有一丝担忧,“我的人脸信息是谁在保管?会不会有泄露的风险?”
周进良道出了一种普遍情绪:人们在享受生物特征识别技术便利的同时,也对可能存在的风险充满顾虑。
近年来,人脸识别、声纹识别、基因检测等生物特征识别技术,不断渗透进我们的日常生活。同时,侵犯公民生物识别信息的行为屡见不鲜。人脸、声纹、基因等“人体密码”一旦泄露,公民如同“裸奔”,后果不堪设想。
制图:刘旭峰、章舒
“赏脸”不是自己说了算
“生物识别信息属于敏感个人信息。它具有唯一性,无法更换或删除,一旦被不法利用,可能给信息主体的人身、财产安全和人格尊严带来风险。”安徽师范大学法学院教授周俊强说。
生物识别信息保护如此重要,但新华每日电讯记者调查发现,目前信息采集和使用还存在诸多乱象,“丢脸”“失声”的现象不断出现。
生物识别信息被强制采集。乘车进站、上班打卡、转账支付甚至存包、取厕纸……日常生活中“要脸”的地方越来越多,而很多时候,我们无权决定是否“赏脸”。
今年4月,江苏部分社区推行人脸识别门禁系统,居民被要求录入人脸照片、家庭住址等信息,否则将无法正常进入小区,这让很多居民颇为无奈。有居民表示,人脸是自己的生物信息,怎能随意被人拿走,一旦泄露,造成的后果谁来承担?
类似的强制采集人脸信息的案例在多地都有发生,对大多数人来说,根本没有“讨价还价”的可能,即使心怀疑虑,也只能提交人脸信息。
生物识别信息被盗用。你的“面子”也很“值钱”。今年10月,湖北省巴东警方破获系列微信支付诈骗案。办案民警介绍,不法分子在盗取受害者微信账号后,找出受害人的自拍照,并通过照片活化技术骗过微信支付的人脸识别验证,进而转移受害人的账户余额。
通过微信语音和你“热聊”的好友,很可能是骗子。南京警方介绍过这样一个案例,2019年10月,南京市民陈先生收到一位“朋友”发来的语音消息,说要借5000元钱。陈先生听着是朋友的声音,没多想就把钱转了过去,谁知对方收到钱后不久就把他“拉黑”了。专家介绍,现有的AI语音合成技术可以从原始录音中取样,模拟出相似度极高的声音,极具欺骗性。
生物识别信息被泄露。对于公民来说,生物识别信息一经提交,这些“人体密码”将去向何方,不得而知。近年来,这类信息被泄露的案例屡有发生。
寄出一毫升唾液,就能测出自己的血统来源,是否为“易胖体质”,是哪些疾病的易感人群。听上去是不是很有吸引力?许多人都希望通过基因检测,拥有一本专属的“生命说明书”。
但个人基因信息,同样存在被泄露的风险。2018年10月,科技部官网公布了一批行政处罚决定书,国内外共六家机构上榜。据悉,这些机构都存在非法处理公民遗传资源信息的行为。
2019年2月,中国某人工智能公司的数据库由于未做访问限制,直接开放在互联网上,导致超过250万人的数据可被获取,这其中就包括了人脸识别图像。
小区强推人脸门禁归谁管
生物识别信息逐渐取代传统的数字密码,成为人们的“支付依据”“准入凭证”,可以说是价值非凡,因此常被人“惦记”。
趋利的不法分子通过一切手段,试图盗取“人体密码”,道高一尺魔高一丈的“猫鼠游戏”每天都在上演。
以人脸信息为例,如果想开发人脸识别技术,就需要大量的人脸信息训练相关模型。
讯飞AI研究院视频分析技术负责人吴子扬告诉记者,在商用的、来源正规的人脸信息数据库里,单人不同角度、不同场景的人脸数据集,能卖到几十甚至上百元。收集、倒卖公民人脸数据,正成为不法分子牟取利益的手段。
除此之外,人脸信息目前主要用于身份权限认证,一旦泄露,不法分子可以借此通过身份认证系统,盗取公民社交平台账号或金融账户内财产。
不少商家也把采集生物识别信息当作商业竞争中的取胜之匙。当消费者走进一个装有人脸识别设备的卖场,智能营销系统就会迅速识别出他是不是“熟客”,并分析其收入水平与消费习惯,商家可以借此进行精准推荐或“大数据杀熟”。
生物特征识别技术的使用场景愈发广泛,但是相关的应用还存在技术漏洞。
吴子扬表示,从技术层面来看,守护生物识别信息的难点主要在存储环节。存储器漏洞、缺乏访问控制机制、黑客攻击,都可能导致数据泄露。
与此同时,相关立法和监管机制还存在一定滞后。
浙江理工大学法政学院副教授郭兵说,尽管我国有多部法律就保护公民个人信息作出规定,但相关法条多为原则性规定,缺乏对生物识别信息具体、针对性规定。
“我国现有的关于公民个人信息保护的法律,难以满足日益具体、多样的规范需求。”北京航空航天大学法学院副院长周学峰说,《中华人民共和国网络安全法》适用于网络运营者,而现实生活中侵犯公民生物识别信息的行为主体多种多样。《中华人民共和国民法典》即将生效,若受害者想凭此维权,需要到法院提起民事诉讼,维权成本高,举证难度大。
周学峰表示,对于公民个人信息保护,目前多个部门都有管辖权,比如市场监管、网信、公安等部门。但多部门监管有可能导致监管职责不清。我国目前缺乏一个公民个人信息保护领域的集中统一主管部门,“没有明确的主管部门,公民在自身生物识别信息遭侵犯时,比如小区强制推行人脸门禁,都不知道该找哪个部门投诉”。
如何守护我们的“人体密码”
近日,《天津市社会信用条例》的出台受到公众关注。条例明确规定市场信用信息提供单位,不得采集自然人的生物识别信息。对于生物识别信息保护而言,该条例的制定可以看作一次有益的探索。
如何守护我们的“人体密码”?目前还没有一个放之四海而皆准的“答案”。不过多位受访专家表示,应构建立体化的生物识别信息保护体系,从技术、立法、执法等方面着力。
“技术上,可以从降低生物识别信息的存储依赖与减少存储数据的滥用两方面入手。”吴子扬表示,首先要加强生物识别算法的研发,减少对数据的依赖;其次还应加强对隐私保护、加密等技术的研究,提升信息匿名化的能力,这样即便数据泄露,他人也无法解析,降低数据被滥用的风险。
吴子扬认为,除了少数外部攻击,大部分信息安全事故还是因为企业不自律、管理不规范导致的。他建议尽早建立生物识别信息应用系统的行业标准和评价指标,还可以依托行业内具有公信力的组织或第三方机构,对安全性进行定期评估与测试。
“生物识别信息的内涵外延需明确,相关处理规则需细化。”郭兵表示,应完善相关立法,对收集公民生物识别信息的行为要有明确标准,对于存储和使用信息,也应作出更为具体的规定。
当个人生物识别信息被侵犯时,公民往往不愿意提起民事诉讼,因为“打官司”时间、经济成本高,举证难度大。就算胜诉,收益也很低。这导致很多公民在相关权益受侵害时忍气吞声,不法分子却逍遥法外。
对此,周俊强建议将公益诉讼引入个人信息权益保护领域。这样,人民检察院等部门可以就违法处理个人信息的行为,向人民法院提起诉讼,大大增强维权力量。郭兵建议将惩罚性赔偿制度引入个人信息权益侵害救济的相关规定中,增强公民维权动力,同时提高法律威慑力。
“保护个人生物识别信息,不能光靠立法,执法环节同样重要。”周学峰建议,应设立个人信息保护领域的集中统一监管机构,并设置投诉处理程序,在民事诉讼之外给公民提供行政救济的途径。这样,当信息权益受侵害时,个人再也不会茫然无措,可以直接去找个人信息保护机构投诉。
相较于传统的数字密码,生物特征识别体现了技术的迭代升级。因噎废食不是对待新技术的正确态度,加以约束、因势利导,或许更为理性。
生物识别信息是公民独一无二的“人体密码”,是数字时代的通行证。随着技术的进步和相关法律、监管的完善,期待生物特征识别技术能实现“科技向善”,使我们的生活更加便捷,而我们的“人体密码”,也能得到更妥善的保护。