長景 CHJ

俠客島:強制刷臉?該關注隱私和技術風險了

人臉等生物特征是關鍵性的敏感個人信息。郵箱密碼可以定期修改,但是人臉改起來難度可不小。用戶對于人臉識別技術安全風險的主要擔憂是,不知道某些場景下人臉信息是如何被收集、存儲和處理的。便利和隱私,快速和安全,不應成為互相對立的二選一范疇,而應是兼顧、平衡的關系。

最近,圍繞“人臉識別”技術是否濫用的新聞很多——

在浙江某地,有售樓部安裝了無感人臉采集系統,用來區分購房者究竟是“渠道客戶”還是“自然到訪客戶”,以判定傭金該發給誰。有看房者表示,戴口罩也會被抓拍,這才戴著頭盔看房;

北京一家中學發布通知,稱“學生每天進出校門必須在閘機進行人臉識別”,“不服從管理、不刷臉進入將通報批評”;在南京,去年有大學安裝人臉識別設備,“可追蹤、識別學生聽講、發呆、睡覺等上課狀態”

此外,也有多地小區、寫字樓安裝人臉識別系統,甚至有的地方還要求同步上傳戶口本、房本、學歷信息等。

技術的快速擴張還常與“強制性”捆綁。不少業主、上班者表示,社區或寫字樓在采用這些系統時往往并未提前征求意見,帶來隱私信息被泄露的隱憂。

 被識別的人臉(圖源:網絡)

這并非杞人憂天。

去年一則新聞稱,國內一家科技公司泄露256萬用戶信息;網上同時曝光,有商家在出售包括人臉在內、106處關鍵點的17萬條人臉數據包。甚至在一些交易平臺上,花2元就能買到上千張人臉照片,“照片活化”工具還能讓人臉照片眨眼、張嘴、點頭,變為能完成人臉驗證的“活照片”。

當時便有島友留言:“早上出小區門刷臉,送娃到幼兒園刷臉,到處都需要刷臉,大數據時代,還能有隱私嗎?”

毫無疑問,人臉識別技術可以帶來便利性。抓捕逃犯、海關通關、信息錄入、身份識別……當年張學友演唱會抓逃犯,這項技術也扮演了關鍵角色。

但技術帶來的風險也顯而易見。這些年的新聞中,有不法分子用3D打印制作的蠟像人頭騙過了支付平臺人臉識別系統,成功買到火車票;有搶劫者用被害人身份證和具有人臉識別功能的支付App強行修改支付密碼,取走大筆錢財。

近日,全國信息安全標準化技術委員會牽頭成立專項治理工作組發布《人臉識別應用公眾調查報告2020》,其中提到,9成受訪者稱“使用過人臉識別技術”;6成受訪者認為該技術“有濫用趨勢”;3成表示個人隱私或財產安全已因此遭受損失。

中國消費者協會發布的《100款App個人信息收集與隱私政策測評報告》同樣顯示,參與測評的100款App中,10款“涉嫌過度收集個人生物特征信息”。

 合肥某小區物業采用人臉識別門禁(圖源:網絡)

人臉等生物特征是關鍵性的敏感個人信息。郵箱密碼可以定期修改,但是人臉改起來難度可不小。

中國電子技術標準化研究院信安中心測評實驗室副主任何延哲說,如果只采集人臉信息,未獲得關聯身份信息,隱私泄露風險不算大。但“商家”銷售的個人數據中,個人手機號、社交媒體賬號甚至身份證號碼、銀行卡號等數據一并打包在內,就值得警惕了。

在這一領域,目前仍缺乏統一標準規范,數據存儲也缺乏安全保障。用戶對于人臉識別技術安全風險的主要擔憂是,不知道某些場景下人臉信息是如何被收集、存儲和處理的。

例如,假設某小區強制使用人臉識別,租戶在租住期間刷臉出入,那以后搬家,這信息是依然會留存在該小區,還是留在相應的數據公司服務器上?安全性如何保證?

講個幾天前的真事兒。當時某島叔正上班,一個電話打進來:“先生您好,請問您前陣子在xx網站瀏覽了xx商品的信息,您現在還對這商品感興趣嗎?”

該島叔直接反問:“你是怎么拿到我的個人信息的?我在什么網站上瀏覽商品,你怎么知道?而且還知道了我的手機號和姓名?”對方支支吾吾掛了電話。

這種例子相當普遍。最近,圓通快遞內部員工泄露40萬條用戶信息的消息炸了鍋;今年5月,江蘇也破獲一起建設銀行員工販賣用戶信息數據的案件,數據多達5萬余條,涉及金額2000余萬元。

這些雖不是人臉信息,但足以警示風險:人臉信息一樣有被泄露的可能,而且一旦泄露,其關聯的平臺注冊信息、銀行卡、個人住址等信息很有可能一并泄露。

考試培訓,技能提升,游泳健身,保健理財,不管什么推銷電話打進來,一開口總能知道你姓甚名誰;你跟同事在辦公室聊到某產品,隨后便在手機App里看到廣告;再加上某些企業家“中國人就是喜歡用隱私換便利”的大言不慚言論——種種現象,讓人不免對個人信息安全環境感到擔憂。

若網絡收集的普通個人信息都難以得到妥善保護、出現泄露甚至形成黑產,又如何讓人們放心地交出敏感個人信息?

 (圖源:《人臉識別應用公眾調查報告2020》)

不久前,被媒體冠以“人臉識別第一案”之名的郭兵案作出一審判決。

本案中,浙江理工大學副教授郭兵因不接受杭州野生動物園規定的人臉識別入園方式,提起訴訟。一審法院判令杭州野生動物世界賠償原告郭兵合同利益損失及交通費,刪除其辦理指紋年卡時提交的包括照片在內的面部特征信息。

2019年底,人臉識別國家標準制定工作全面啟動。今年10月1日生效的新版《信息安全技術個人信息安全規范》明確要求,在收集人臉、指紋等個人生物識別信息前,應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍,以及存儲時間等規則,并征得個人信息主體的明示同意。

劃重點:“單獨告知”,“取得明示同意”。郭兵案代理律師張延來此前接受媒體時表示,所謂“明示同意”意味著單方面通知是不可以的,要有同意確認的過程。采集的一方需征求被采集一方的意見,被采集的一方在沒有被強迫的情況下,主動表示愿意提供信息。

各地也有一些有益探索。10月底提交杭州市人大常委會審議的《杭州市物業管理條例(修訂草案)》提出,物業服務人“不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備”。

這些新規和探索,都是在努力明確規范、健全制度,讓監管跟上技術發展的腳步。便利和隱私,快速和安全,不應成為互相對立的二選一范疇,而應是兼顧、平衡的關系。技術不是洪水猛獸,但不受控地濫用技術一定會是。


服務熱線:0314-4070088
備案序列號:冀ICP備17020631號