人臉識別漸成氾濫之勢,該給狂奔的技術套上籠頭了!
半月談評論員 郭豔慧
11月20日,被稱為國內“人臉識別第一案”的杭州市民郭兵訴杭州野生動物世界有限公司一案宣判。杭州市富陽人民法院一審判決杭州野生動物世界刪除郭兵辦理年卡時提交的面部特徵信息,賠償郭兵合同利益損失及交通費共計1038元。郭兵的勝訴固然具有里程碑式意義,而關於人臉識別技術的討論仍在繼續。
刷臉支付、刷臉考勤、刷臉入園……人臉識別作為新興的身份認證手段,得到不少商家組織和機構單位的應用推廣。一方面,人們的確享受了技術帶來的便捷高效,節約了時間人力成本,另一方面,人臉識別的泛濫也為用户面部信息泄漏留下了安全隱患。2020年7月,“人臉信息五毛一份在電商平台打包出售”被曝光,不少網絡黑產從業者以此批量倒賣非法獲取的人臉等身份信息,從事虛假註冊、電信網絡詐騙等違法犯罪活動。
《中華人民共和國網絡安全法》第四十一條規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
然而在人臉識別的應用場景中,用户或被反覆彈窗提示使用人臉識別功能,或在並無人臉識別平行選擇的情況下被動接受刷臉,甄別能力較弱者甚至被某些“換臉遊戲”引導錄入面部信息並不自知……在信息使用層面,部分信息採集方並未向用户明確使用規則及範圍,後續信息的使用處理亦無人監管;在信息保護層面,人臉識別技術的使用機構和數據公司,一味使用技術紅利採集信息,卻並不都具備相關風險抵禦能力。作為不可複製替換的個人信息元素,面部信息一旦被竊取或泄漏,其風險不言而喻。
人臉識別技術被濫用,正在造成個人信息採集的失控。除了公眾個人信息保護意識薄弱之外,不少組織機構無論是否正當、有無必要,一味追求成本低廉和採集便利,無限制使用人臉識別身份認證也是重要原因。此外,數據公司為拓展業務和增收盈利,不斷推廣普及採集技術,也為人臉信息安全埋下了隱患。
技術的發展和應用有待相關法律的同步。在現有網絡安全法、民法典、消費者權益保護法等相關法律的基礎上,法律有必要對不同主體收集人臉信息的正當性、必要性邊界進行規範,進一步明確信息採集尺度、技術使用邊界、信息保護監管、信息安全責任。
2020年3月,由國家市場監督管理總局、國家標準化管理委員會正式發佈了2020版國家標準《信息安全技術個人信息安全規範》,其中明確要求個人生物識別信息需單獨告知使用目的、方式和範圍,並且應當與個人身份信息分開存儲且原則上不應存儲原始個人生物識別信息。規範中具有參考價值的提法建議,有必要落實為法律層面進行強制約束。
作為信息的採集流通儲存環節,組織機構和技術公司在採集人臉信息時,應當遵循“最少夠用”原則,充分徵求被採集人意見,落實行業主體責任,公開信息使用規則,保障信息使用安全。另一方面,也要開發替代性的身份識別手段,在信息安全流程尚不成熟階段,把控人臉識別技術存在的技術風險。
與此同時,在公民提高個人信息安全意識之外,政府也要落實監管主體責任,管控過度信息採集行為,監管信息的使用流通安全,建立組織機構的普適性安全責任底線,為公民搭建一張值得信賴的個人信息安全保護網絡。
(完)