近年来,人脸识别技术应用已经越来越广泛,买房、存包、取厕纸,上班、上学、逛动物园……人脸识别已经全面嵌入生活。近期,戴头盔看房、人脸识别第一案、天津出台条例禁止采集生物识别信息等相继成为热点,透露出人们对人脸信息泄露的焦虑。走到哪都需要“刷脸”,有必要吗?人脸信息被“弄丢”的风险高不高?我们又该怎么保护自己的“脸”?
12月1日,国家网信办发布《常见类型移动互联网应用程序(APP)必要个人信息范围(征求意见稿)》,其中明确规定了地图导航、网络约车、即时通信等38类常见类型APP必要个人信息范围。必要个人信息是指保障APP基本功能正常运行所必须的个人信息,缺少该信息APP无法提供基本功能服务。其中,均没有包括人脸识别、指纹识别等生物信息的相关内容。
人脸识别滥用引发安全担忧
选好商品,在柜台前选择刷脸支付,通过人脸识别后,只需输入手机号码后几位就可完成付款——在北京一家甜品店内,不少消费者通过刷脸支付设备为所购商品结账。
“刷脸支付比手机扫码还要便捷一些,解决了手机没电时的支付难题。对很多不会用手机的老年人来说,刷脸支付也可以减少不便。”消费者胡荣说。
近年来,金融支付成为人脸识别技术的“主战场”。同时,在安检安防、政务服务、教育医疗等诸多场景,人脸识别技术都有用武之地——高铁告别纸质车票后,刷脸进站极大提升了效率;明星演唱会上,人脸识别协助抓获逃犯,立下奇功;一号难求的大医院,人脸识别将号贩子拒之门外;疫情防控期间,人脸识别助力人群动态管理,成为防疫抗疫的利器。
在全球范围内,人脸识别的市场前景同样广阔。有数据显示,到2022年,全球人脸识别市场规模将达75.95亿美元。而在中国,人脸识别的相关企业已突破1万家。作为新兴的身份认证手段,便捷高效的人脸识别应用范围越来越广。
随着人脸识别与日常生活的联系日益紧密,对于该技术的滥用与安全之忧,近来频频引发争议和讨论。在“人脸识别第一案”中,原告郭兵便是对动物园“刷脸”入园的要求提出“挑战”,以服务合同违约为由,将杭州野生动物世界告上法庭。
作为“人脸识别第一案”的律师,浙江垦丁律师事务所创始合伙人麻策表示,“我们并不反对人脸识别,反对的是滥用人脸识别。”他强调,用户如果“丢了脸”或者该信息被滥用,“其损害后可能是不可逆的。”与此同时,随着人脸识别技术在金融等各大应用场景的应用铺开,滥用行为亦可能导致人身和财产的不确定性损害。
用户和消费者的担忧并非杞人忧天。近日,一些地方的售楼处安装了人脸识别系统,以此辨别客户类型,有的购房者不得不“戴头盔看房”,以防被开发商“割韭菜”。此前在部分城市,人脸识别系统还曾应用于分类投放的垃圾桶上,甚至出现在用于监控学生行为的课堂上,类似行为引发了不小的争议。
据专家介绍,人脸识别是生物识别技术的一种,即利用人体的生理特征,通过计算机进行个人身份鉴定。如果说同为生物识别的指纹识别需要主动“画押”,人脸识别则可以在悄无声息中完成。一旦人脸及其相关信息“落入贼手”,民众的合法权益极易遭受侵害。
今年7月,有不法分子在电商平台贩卖人脸信息。以五毛钱一份的低价打包出售后,被盗的人脸信息被用于虚假注册、电信网络诈骗等违法犯罪活动。近年来,杭州、深圳等地警方破获的盗用公民个人信息案中,犯罪嫌疑人均使用了“AI换脸技术”。在非法获取公民照片后,通过“照片活化”的方式生成动态视频,成功骗过人脸核验机制,进而为犯罪团伙提供黑产服务。
中国电子技术标准化研究院信安中心测评实验室副主任何延哲说,目前网络黑市中售卖的人脸信息,很多并非单纯的“人脸照片”,而是包含了身份证号、银行卡号、手机号等公民个人身份信息。如果人脸信息同其他身份信息或行踪信息相匹配,就有可能被不法分子用于从事犯罪活动。
人脸信息泄漏的隐患主要在存储环节。专家介绍,目前人脸数据一般存储于人脸识别应用的运营方或技术提供方的数据库中。无论是在本地服务器还是在云端,一些企业缺乏有效的安防措施。一旦服务器遭到入侵,人脸数据就面临着泄露风险。
政策落地规范应用场景
针对人脸识别技术被滥用的问题,包括天津、南京、杭州在内的多地出台了相应的政策:
12月1日,《天津市社会信用条例》(以下简称《条例》)表决通过,并将自2021年1月1日起施行。《条例》第十六条规定,市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。
据此,企事业单位、行业协会、商会等被禁止采集人脸、指纹、声音等生物识别信息。
在中国信息通信研究院互联网法律研究中心研究员杨婕看来,天津的立法是源于2013年就立法的《征信业管理条例》。“法律规制人脸识别技术的目的,不是一刀切地禁止使用,而是要在确保安全的前提下,倡导负责任地使用。”杨婕说。
不只是天津《条例》中所提及的市场信用信息采集场景中的技术滥用,今年10月份“戴头盔逛售楼处”事件后,南京、徐州等地的住房保障和房产局、住房和城乡建设局等相继发出紧急通知,要求售楼处不得使用人脸识别系统。
针对不少打着“智慧社区”的名义,通过“刷脸”门禁等形式,收集业主信息的情况,杭州市最先提请审议修订《杭州市物业管理条例》,规定物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。随后,安徽省、兰州市、北京市等多地的《物业管理条例》中,也就业主个人信息保护进行了明文规定。
智能时代,手机APP已经成为网民日常使用最频繁、使用时长最久的软件,与此同时,APP超范围收集、强制收集用户个人信息的行为,特别是强制人脸识别功能也频频遭到诟病。12月1日,国家网信办发布《常见类型移动互联网应用程序(APP)必要个人信息范围(征求意见稿)》,其中明确规定了地图导航、网络约车、即时通信等38类常见类型App必要个人信息范围。
必要个人信息是指保障APP基本功能正常运行所必须的个人信息,缺少该信息APP无法提供基本功能服务。其中,均没有包括人脸识别、指纹识别等生物信息的相关内容。另外,该征求意见稿还明确,只要用户同意收集必要个人信息,APP不得拒绝用户安装使用。
法律划边界全面保护个人隐私
得知国内对于人脸识别技术应用加以规范化的消息,身在美国旧金山的人工智能领域数据科学家陈荔滨直呼,“太好了。”在他看来,这是法制社会下,平衡社会治理与先进技术应用的最正确办法。
陈荔滨居住的旧金山,从2019年5月起成为全球首个禁用人脸识别的城市。当地政府以法令形式禁止政府机构购买和使用人脸识别技术,目的是消除个人隐私泄露的隐患。
尽管中国在近几年里才通过使用人脸识别技术进行社会治理,但在疫情之后,大众对“刷脸”可以进行支付、进出站、住宿、执法等一系列AI技术应用不再陌生,甚至是习以为常。
“与指纹、虹膜等相比,人脸是一个具有弱隐私性的生物特征。”中国通信学会学术工作委员会委员、中国互联网协会应用创新工作委员会副主任委员王春晖提到,人脸识别技术的滥用,对于公民隐私保护造成的威胁,理应引起有关部门的重视。
尽管技术的应用过程能够为社会管理或治理上的便利,但“不管将来如何推广人脸识别技术,都需要制定相关规则,有的需要禁止,有些则要有条件的使用。”中国社科院科学技术和社会研究中心主任段伟文说。
近年来,我国在法律层面,针对生物特征信息采集和储存做了具体规定,为人脸等生物特征信息的搜集使用划定了边界。
例如,网络安全法规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
正在征求意见的个人信息保护法草案则明确提出,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。
即将于明年1月1日起施行的民法典在“人格权编”中提出,处理人脸在内的个人信息,应当遵循合法、正当、必要原则。
而在人脸生物识别信息的存储方面,最新版的《信息安全技术个人信息安全规范》明确了个人生物特征信息属于敏感信息,要求个人生物识别信息与个人身份信息分开存储;原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于仅存储摘要信息等。
中国政法大学传播法研究中心副主任朱巍表示,对收集个人生物信息的管理,核心在于对获取方的管理。应当遵循“能不采集个人生物信息就不采集”的原则。同时应通过立法,进一步明确具备采集资格的主体范围。
杨婕则建议,以《个人信息保护法(草案)》为契机,进一步明确各主体使用人脸识别技术的安全与责任底线。其次,相关部门要以区分场景配置差异化的规制思路,既解决人脸识别技术的共同性风险,也要解决不同场景应用下的差异性问题。第三便是加快构建人脸识别技术应用监管体系,实现全流程、动态化的监管;最后便是助推行业的自律规范落地,建立内生机制,建立人脸识别技术企业联盟类组织,推动各利益相关方共同制定收集使用人脸数据的行为准则和安全标准。
专家指出,应建立更严格的标准和规范,加强对人脸信息的采集和存储的监管。尤其是技术开发方和运营方应在更趋严格的监管和法律、行业规范下采集、使用、存储人脸信息数据。
用好科技手段提升社会运行效率
尽管人脸识别过程仍存隐忧,但专家表示,不必把人脸识别当作洪水猛兽。对于人脸识别技术的正面作用,应当有理性的认识和思考。
从技术方面来看,面临安全隐患,人脸识别正在从2D向3D转变。相比于2D,3D识别能够采集多达几十万个信息点,以防止身份冒充。目前消费者频繁使用的支付宝和微信刷脸支付,均采用了3D识别技术,通过软硬件结合的方法判断采集到的人脸是否为活体。同时,人脸识别服务商还通过诸如绑定设备,有人值守应用场景和多维校验方式增强人脸识别安全性。
此外,在用户授权的情况下,绝大多数的人脸数据都被技术方用于训练和测试,以优化人脸识别系统。这些人脸数据都是已被脱敏处理过的大数据,不再带有个人信息,无法识别和对应到自然人的身上。
北京师范大学法学院教授刘德良表示,真正威胁到个人信息安全的,是对于人脸信息的滥用。人脸识别技术的本质是存储人类面部信息,从而进行精准有效的身份验证,新技术的使用能提高整个社会运行的效率。
如今,人脸识别的广泛应用,也为社会带来更多温度。例如,为防止未成年人沉迷网络游戏、过度消费,不少游戏厂商在原有身份证认证的基础上引入人脸识别技术,以加强关于网络游戏账号实名注册的监管,防止未成年人冒用成年人身份进行游戏消费。比如寻找走失的儿童,追踪罪犯,更方便地使用智能手机和自动取款机,通过识别机器人的身份和情绪来帮助机器人与人类互动,在一些医学研究中,还可以帮助诊断或远程跟踪同意的参与者。在深圳、合肥等地,退休老人可以在支付宝通过刷脸的方式领取养老金,人脸识别为政务服务提供了更多便利。
本版文字综合人民日报、经济观察报、央视新闻、新华社、科技日报等媒体报道