不“刷臉”就不能買票、寄快遞?斬斷伸向人臉的“黑手”
“刷臉”正變得無處不在,無疑給人們帶來了諸多便利,但在各類數據沒有牢固的“保險”的情況下,人們更接近於在信息世界“裸奔”。“人臉數據泄露和濫用最大的問題在於造成的危害是不可逆的,與密碼不同,人臉信息不可重置。”
人臉識別視頻最低0.5元/套,質量較高的100多元/套,其中,質量較高的可通過大部分App驗證的消息令人膽戰心驚。“刷臉”時代到來了,老百姓該如何保護好自己的“臉”?
一場關於人臉數據的“爭奪戰”正在打響,一邊是不少移動互聯網應用程序(App)在人臉數據等領域瘋狂“攻城略地”,不少App甚至採用“霸王”條款,比如不進行人臉識別就不能寄快遞、投簡歷、上廁所,甚至還有個別企業安裝攝像頭“偷”人臉數據……另一邊是公眾對人臉信息等個人信息保護的強烈呼籲以及監管部門不斷重拳出擊。
4月23日,《信息安全技術人臉識別數據安全要求》國家標準的徵求意見稿開始面向社會公開徵求意見,提出刷臉必須徵得明示同意,並不得用於預測個人經濟狀況。
並且,今年5月1日,《常見類型移動互聯網應用程序必要個人信息範圍規定》也將正式實施。其中明確了App運營者不得因用户不同意收集非必要個人信息,而拒絕用户使用App基本功能服務。
工信部信息通信經濟專家委員會委員、聯合國世界絲路論壇數字經濟研究院院長、浙江大學教授王春暉表示,對個人必要信息的範圍進行劃線,填補了人臉識別應用領域的空白。這一次,不斷伸向“人臉”的“黑手”能否被斬斷?
不“刷臉”就不能買票、寄快遞
“必須要我的人臉信息才能登錄嗎?”3月28日,來自北京的孫斌(化名)通過身份證號等信息登錄了一直在使用的某航空公司官方購票App購買機票,卻顯示賬號存在風險,需進行身份驗證。孫斌通過App提供的“銀聯驗證”進行驗證,卻被告知“暫時不支持此驗證方式”。孫斌説,“這唯一的方式也是形同虛設。”
隨後,孫斌致電該航空公司,客服告訴他,系統認定該賬號安全等級過低從而“凍結”了他的賬號,並稱“這是為了您的賬户安全着想”。而“解凍”的唯一方式則是完成人臉識別。孫斌表示,這明顯是強制“刷臉”。
與孫斌的遭遇如出一轍,高茗茗(化名)也被強制要求“刷臉”。她用快遞櫃寄件時卻被告知:根據快遞條例要求,寄件需要驗證本人身份,唯一的驗證方法也是人臉識別。下單前,她已在官方微信公眾號上通過了實名認證。
2018年5月1日起施行的《快遞暫行條例》對實名收寄快遞作出了規定,收寄快件時,應對寄件人身份進行查驗,並登記身份信息,寄件人拒絕提供身份信息或者提供身份信息不實的,經營快遞業務的企業不得收寄。其中,對是否使用人臉識別並未明確規定。
北京觀韜中茂律師事務所合夥人王渝偉表示,寄送快遞達不到採集人臉信息的必要性,這裏要求人臉識別是假借了身份查驗的由頭。人臉信息並非不能應用於寄送快遞的身份查驗,問題在於不應該是唯一手段,應給予消費者選擇權。
當前,小區安防和智慧零售是人臉識別安全風險發生的重災區。在王渝偉看來,人臉識別的安全風險主要是應用太過氾濫。“最讓人擔心的是不知道這些信息泄露到了哪裏,甚至有可能是境外。”
通過一張臉掌握一個人的消費習慣
“刷臉”正變得無處不在,無疑給人們帶來了諸多便利,但在各類數據沒有牢固的“保險”的情況下,人們更接近於在信息世界“裸奔”。並且,各類App的信息獲取從個人位置到照片,再從通訊錄到人‘臉’信息,對個人信息的挖掘速度不斷加快,深度也在不斷增加。
“人臉信息的背後是一個人的住址、喜好以及消費習慣等信息,掌握了這張‘臉’,就掌握了一個人的各種習慣。”王春暉表示,很多App不斷在人臉識別領域佈局,是為了方便對用户有針對性地“畫像”,從而精準定位和營銷,實現更大的商業價值。
事實上,人臉識別相關產業正在不斷髮展壯大。據億歐智庫發佈的《2019計算機視覺人臉識別市場研究報告》顯示,2018年中國計算機視覺人臉識別市場規模為151.7億元,預計今年將達到530億元。
然而,與人臉識別相關的風險問題也越來越凸顯,比如個人信息泄露、濫用等。一些企業因管理不到位、應用方式不規範以及安全保障技術不過關等因素導致人臉信息、行蹤軌跡等個人敏感信息泄露。
人臉等個人信息採集、售賣甚至已經形成了一條成熟的黑色產業鏈。近期,在部分社交平台和網站上,不少賣家將人臉識別視頻明碼標價,100元一套,其中包括身份證正反面照片、以及手持身份證照片和點頭、搖頭張嘴等諸多視頻。並且,賣家還打包票稱所售驗證視頻,能通過大多數App平台驗證流程。
據媒體報道,個別賣家透露,如今市面上流通的身份證照片大多是在小額貸款平台和公司野蠻發展期間泄露出來的;有些則是各個行業以人臉識別技術開發和系統測試為名採集而來。
其中,不乏通過技術偽造的人臉識別視頻。王春暉觀察到,人臉識別技術在不斷髮展,相關的“偽造技術”也在不斷迭代。甚至有人用身份證照片就可以進行模擬人臉識別需要的張嘴、眨眼等動作,甚至可以騙過許多技術等級不高的人臉識別平台。
“信息之所以被偽造核心在於個別企業的人臉識別技術不太行。”王渝偉表示,如果一個企業的核心算法夠強,偽造的難度就很大,偽造成功率也很低。
當前,人臉識別的技術提供商很多,但水平參差不齊,有的企業沒有能力支撐人臉數據安全保障。企查查數據顯示,目前,我國共有人臉識別相關企業7404家,並且,相關企業註冊量已連續3年突破1000家。近年來,各類人臉識別系統也層出不窮,據統計,我國人臉識別相關專利目前共1.37萬件。
王渝偉也觀察到,當前,人臉識別市場競爭激烈,不少企業為了爭奪市場份額,低價出售人臉識別技術或者設備,行業內甚至在一定程度上打起了“價格戰”。王渝偉説,在這種情況下,人臉識別技術變現難,一些企業將盈利的可能性聚焦在數據上,“很多企業只是希望拿到人臉數據。”
監管逐漸進入“深水區”
人臉數據十分特殊而敏感,監管刻不容緩。王渝偉表示,“人臉數據泄露和濫用最大的問題在於造成的危害是不可逆的,與密碼不同,人臉信息不可重置。”
事實上,監管方面也一直在發力。比如,近期發佈的《常見類型移動互聯網應用程序必要個人信息範圍規定》明確了39種常見類型App的必要個人信息範圍。
“現在監管邁出了一大步,逐漸進入了‘深水區’。”王渝偉表示,這裏對每類App可以採集的個人信息作了詳細規定,行業的標尺更為明確,監管的效率也將更高,這也意味着對人臉信息安全的保護能力可能將會提高一大截。
與此同時,一些地區也開始出台相關規定,明確物業不得強制業主進行人臉識別。日前,經四川省人民政府第64次常務會議討論通過並提請四川省人大常委會第二十六次會議審議的《四川省物業管理條例(修訂草案)》(以下簡稱《條例》)明確,物業服務人不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備。給予業主選擇權的同時,也保護業主的隱私。
當前,人臉數據被泄漏、濫用後,老百姓維權的難度依然很大。今年4月,備受關注的“人臉識別第一案”迎來了終審判決。被告杭州野生動物世界被判刪除原告郭兵辦理指紋年卡時提交的包括照片在內的面部特徵信息和指紋識別信息,並於判決生效之日起十日內履行完畢。當事人郭兵在接受央視採訪時表示,訴訟收益小,百姓維權動力不足,以及違法成本低,處罰力度不夠是人臉識別濫用仍頻發的原因。
個人信息安全受到侵犯該怎麼辦?郭兵建議,可以讓相關機構提起公益訴訟,這相對於個人舉證會多一些優勢。
王春暉建議,將App使用的個人必要信息的範圍納入法律範疇,給予更高的法律位階,比如納入《中華人民共和國個人信息保護法(草案)》。王渝偉也表示,人臉識別技術發展日新月異,新問題層出不窮,他建議,將人臉識別的相關法律同人臉識別相關的國家標準、行業標準進行有效銜接,這樣既與時俱進,可操作性也更強。
同時,王春暉還建議,加大對違法違規獲取、提供個人信息行為的懲罰力度。並且,拓寬消費者維權的路徑,一旦發生侵權事件,消費者可以儘快向監管部門反映和舉報。
在企業端也需加大事前審批監管的力度。王渝偉表示,可以借鑑行政審批的模式,對提供人臉識別底層技術支持的企業,進行資質審核,必須達到相應的安全保障能力,獲得相應的資格認證,才能從事相關的技術。
同時,也應對後續人臉數據信息存儲作出更為詳細的規定。王渝偉説,比如不存儲人臉的原始圖片,並規定數據存儲期限等。
當前,我國人臉識別技術走在世界前列。王渝偉表示,面對出現的新問題,對人臉數據安全的保護再嚴厲都不為過,但監管也不能“一刀切”,亦要給予行業一定發展空間。如何既管得住、又管得好仍然是監管部門面臨的一道考題。(見習記者 趙麗梅)