你的臉安全嗎?
(原標題:你的臉安全嗎?)
房地產開發公司的監控攝像頭不是簡單監控攝像,而是具備人臉識別功能的攝像機——近期浙江溫州市場監管部門執法過程中發現的“攝像頭貓膩”,再度讓“人臉信息安全”觸動公衆敏感的神經。
近年來,人臉識別技術被廣泛應用於支付轉賬、實名登記等領域,呈現加速落地趨勢,但與此同時,頻頻發生的信息濫採、泄露事件也將新技術背後的安全風險暴露於公衆面前。調查數據顯示,人臉識別技術距離被公衆完全接納,還有很長一段路要走。未來,加強人臉等生物特徵信息立法保護,完善監管制度,爲技術應用找到便捷與安全的平衡點,成爲新技術推廣面臨的必要課題。
趙乃育 繪
近期,溫州瑞安市一房企因非法收集人臉信息被瑞安市市場監管局立案查處。據瞭解,該公司通過自動存儲人臉抓拍機攝取的所有到訪售樓處客戶的人臉生物識別信息,用於分析客戶是否由分銷商介紹而來,據此向分銷商結算佣金。
在人臉識別引發的爭議中,這只是冰山一角。今年初,一段特斯拉車內攝像頭拍攝的高清畫面,就曾登上社交媒體熱搜榜。在視頻中,車內攝像頭能夠清晰地看到駕駛員以及乘客的動作、姿態和麪部表情。儘管事後特斯拉回應稱,車內攝像頭目前在北美以外的市場並沒有激活,但不少人仍對此心存疑慮。
車內採集人臉信息並非個例。據媒體報道,蔚來、小鵬等十多家汽車公司均搭載車內攝像頭並配備人臉識別系統,用於監測車主狀態和拍照等。
企查查數據顯示,目前我國共有人臉識別相關企業7831家,相關企業註冊量已連續三年突破1000家,其中2020年全年新註冊1518家。此外,人臉識別相關的軟件著作權有1.83萬件。近年來人臉識別系統層出不窮,與之相伴的則是各類信息安全風險。
2021年全國兩會期間,人臉識別產生的個人信息保護問題,也成爲多位代表和委員熱議的話題。全國政協委員劉偉表示,疫情當下,人臉識別被廣泛使用,但其安全性卻屢屢引發關注和熱議。人臉數據的違規採集與數據泄露、非法交易與使用等問題,是人臉識別技術應用面臨的主要風險。
2021年1月1日正式實施的民法典明確規定,處理個人信息應徵得該自然人或其監護人同意。然而新京智庫的一組調查顯示,近半App人臉識別前未單獨徵求用戶同意,在線下這一現象更爲普遍。
新技術應用面臨諸多問題
疫情出現以來,人臉識別技術在疫情防控、金融交易等領域發揮了積極作用,但新技術在應用過程中存在的諸多問題不容忽視。
人臉識別技術尚未成熟,存在被技術破解的風險。“針對人臉識別系統的攻擊手段正不斷演進。比如說打印照片,展示視頻,甚至用3D打印技術打印出逼真的人臉面具,攻擊系統。”百度公司視覺技術部人臉算法團隊的首席研究員馮浩城表示,近年來,人臉合成技術帶來新挑戰,該技術不需要照片等展示媒介即可僞造,風險較大,若沒有深度鑑僞技術,幾乎可以欺騙傳統有媒介展示活體技術的系統。
因信息泄露和財產安全等問題,消費者對人臉識別心存疑慮。近年來,因人臉信息泄露導致財產受損的情況屢見不鮮。南都智庫發佈的《人臉識別應用公衆調研報告(2020)》顯示,超三成受訪者已經因爲自己的人臉信息泄露、濫用等遭受損失或隱私被侵犯。
“人臉信息不同於密碼,他屬於個人生物信息,無法更改,一旦泄露將對個人的人身與財產安全造成極大的危害。”中國電信福建公司高級工程師曹曦說。
人臉識別存在濫用、亂用、強制使用趨勢,引發公衆警戒心理。記者發現,無論線上App還是線下門店,人臉信息都被過度索取。一些租房、接單類App要求用戶上傳人臉信息才能使用,而在日常生活中,不少商超會在消費者不知情的情況下,用攝像頭採集人臉信息,並對用戶進行畫像分析,甚至進行“大數據殺熟”。上海市信息安全行業協會會長談劍鋒說,當前不少企業使用人臉識別技術,往往打着便捷之名獲取利益,濫用現象突出,最終人臉信息是否被採集、由誰存儲、用到何處均無從得知。
新京報、南都智庫等進行的調查顯示,64.39%的受訪者認爲人臉識別技術有被濫用的趨勢,大部分受訪者在有選擇的情況下,不會使用人臉識別,仍傾向於傳統密碼或指紋等手段。
遏制技術濫用需加強立法保護
近期中國網絡空間安全協會組織專家專題研討人臉識別信息安全問題。中國網絡空間研究院副院長、網絡空間安全協會秘書長李欲曉等專家建議,在立法方面進一步加大對人臉等涉及人生物特徵信息的保護力度,既消除安全隱患,又推動相關數據合法合規使用。
一是在採集環節,明確知情同意原則的同時,確定人臉信息適度採集原則。中國人民大學信息法中心主任張新寶認爲,由於高清攝像頭的普及,目前公共場所已經可以實現遠程收集高分辨人臉信息,應當明確人臉信息採集尺度,清晰度到達肖像級別,或者能比對個人信息的,需要特別告知。
南都個人信息保護研究中心主任蔣琳認爲,在告知同意方面,應用方應“雙管齊下”:線上,完善隱私政策,並將涉及人臉信息等個人敏感信息的條款單獨列出;線下,在人臉識別設備處設置顯著標識,通過張貼二維碼、安排人工說明等方式,向個人信息主體告知處理規則。
二是加大對人臉信息採集、存儲、加工、傳輸各環節違規行爲的懲戒力度。李欲曉、談劍鋒等專家認爲,鑑於人臉等生物特徵信息的唯一性,相關信息泄露危害更大、更難消除影響,對於濫採、濫用的,需適當加大懲戒力度,形成有效震懾,增強公衆的安全感。
三是建立人臉信息定期銷燬機制。近年來,以自動駕駛爲代表的多種人工智能技術,都將人臉信息作爲訓練數據。張新寶提出,這一做法需要採集大量路況和路人信息,一旦傳輸到境外,容易涉及國家安全問題,應當建立規則,要求人臉信息本地化存儲的同時,在一定週期內定期銷燬相關數據。
四是建立多層次的風控體系。鑑於當前人臉識別技術尚未成熟,中國工商銀行信息科技部副處長趙開山建議,在金融領域,除了對人臉信息進行二次加密外,應考慮將該技術作爲密碼、指紋等之外的輔助驗證手段,平衡風險。
“區塊鏈提供的非對稱加密技術有助於防止人臉信息被濫用,人臉數據是否被動用、由誰動用,都能完整體現在信息鏈上,方便事後追溯監管,建議加大開發應用力度。”中國銀行高級經理楊濤認爲。