人臉識別 有温度更要守法度
旅客在深圳機場“刷臉”登機。
新華社記者 毛思倩攝
近日,備受關注的“人臉識別第一案”一審公開宣判——杭州市民郭兵訴杭州野生動物世界一案中,法院判決杭州野生動物世界賠償郭兵合同利益損失及交通費,刪除其辦理指紋年卡時提交的包括照片在內的面部特徵信息。
“第一案”的落槌,再度激起對人臉識別等個人生物識別信息安全話題的討論。如何讓人臉識別即便捷、又安全,成為社會各方的關注焦點。
落地場景多濫用引爭議
選好商品,在櫃枱前選擇刷臉支付,通過人臉識別後,只需輸入手機號碼後幾位就可完成付款——在北京一家甜品店內,不少消費者通過刷臉支付設備為所購商品結賬。
“刷臉支付比手機掃碼還要便捷一些,解決了手機沒電時的支付難題。對很多不會用手機的老年人來説,刷臉支付也可以減少不便。”消費者胡榮説。
近年來,金融支付成為人臉識別技術的“主戰場”。同時,在安檢安防、政務服務、教育醫療等諸多場景,人臉識別技術都有用武之地——高鐵告別紙質車票後,刷臉進站極大提升了效率;明星演唱會上,人臉識別協助抓獲逃犯,立下奇功;一號難求的大醫院,人臉識別將號販子拒之門外;疫情防控期間,人臉識別助力人羣動態管理,成為防疫抗疫的利器。
在全球範圍內,人臉識別的市場前景同樣廣闊。有數據顯示,到2022年,全球人臉識別市場規模將達75.95億美元。而在中國,人臉識別的相關企業已突破1萬家。作為新興的身份認證手段,便捷高效的人臉識別應用範圍越來越廣。
隨着人臉識別與日常生活的聯繫日益緊密,對於該技術的濫用與安全之憂,近來頻頻引發爭議和討論。在“人臉識別第一案”中,原告郭兵便是對動物園“刷臉”入園的要求提出“挑戰”,以服務合同違約為由,將杭州野生動物世界告上法庭。
用户和消費者的擔憂並非杞人憂天。近日,一些地方的售樓處安裝了人臉識別系統,以此辨別客户類型,有的購房者不得不“戴頭盔看房”,以防被開發商“割韭菜”。此前在部分城市,人臉識別系統還曾應用於分類投放的垃圾桶上,甚至出現在用於監控學生行為的課堂上,類似行為引發了不小的爭議。
信息頻泄露儲存有隱患
對於人臉識別的擔憂,大多源於面部信息泄漏的安全隱患。
據專家介紹,人臉識別是生物識別技術的一種,即利用人體的生理特徵,通過計算機進行個人身份鑑定。如果説同為生物識別的指紋識別需要主動“畫押”,人臉識別則可以在悄無聲息中完成。一旦人臉及其相關信息“落入賊手”,民眾的合法權益極易遭受侵害。
今年7月,有不法分子在電商平台販賣人臉信息。以五毛錢一份的低價打包出售後,被盜的人臉信息被用於虛假註冊、電信網絡詐騙等違法犯罪活動。近年來,杭州、深圳等地警方破獲的盜用公民個人信息案中,犯罪嫌疑人均使用了“AI換臉技術”。在非法獲取公民照片後,通過“照片活化”的方式生成動態視頻,成功騙過人臉核驗機制,進而為犯罪團伙提供黑產服務。
中國電子技術標準化研究院信安中心測評實驗室副主任何延哲説,目前網絡黑市中售賣的人臉信息,很多並非單純的“人臉照片”,而是包含了身份證號、銀行卡號、手機號等公民個人身份信息。如果人臉信息同其他身份信息或行蹤信息相匹配,就有可能被不法分子用於從事犯罪活動。
人臉信息泄漏的隱患主要在存儲環節。專家介紹,目前人臉數據一般存儲於人臉識別應用的運營方或技術提供方的數據庫中。無論是在本地服務器還是在雲端,一些企業缺乏有效的安防措施。一旦服務器遭到入侵,人臉數據就面臨着泄露風險。
事實上,對人臉識別的爭議已在全球多國出現,處於風口浪尖的科技巨頭首當其衝。此前,IBM主動放棄人臉識別業務,宣佈將不再提供、開發或研究任何人臉識別和人臉分析軟件;微軟則在去年刪除了其最大的公開人臉識別數據庫。
法律劃邊界監管需加強
人臉識別涉及身份信息採集識別與個人隱私保護等話題,離不開法律的保駕護航。近年來,在法律層面,中國針對生物特徵信息採集和儲存做了具體規定,為人臉等生物特徵信息的蒐集使用劃定了邊界。
例如,網絡安全法規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
正在徵求意見的個人信息保護法草案則明確提出,在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。所收集的個人圖像、個人身份特徵信息只能用於維護公共安全的目的,不得公開或者向他人提供。
即將於明年1月1日起施行的民法典在“人格權編”中提出,處理人臉在內的個人信息,應當遵循合法、正當、必要原則。
而在人臉生物識別信息的存儲方面,最新版的《信息安全技術個人信息安全規範》明確了個人生物特徵信息屬於敏感信息,要求個人生物識別信息與個人身份信息分開存儲;原則上不應存儲原始個人生物識別信息,可採取的措施包括但不限於僅存儲摘要信息等。
中國政法大學傳播法研究中心副主任朱巍表示,對收集個人生物信息的管理,核心在於對獲取方的管理。應當遵循“能不採集個人生物信息就不採集”的原則。同時應通過立法,進一步明確具備採集資格的主體範圍。
專家指出,應建立更嚴格的標準和規範,加強對人臉信息的採集和存儲的監管。尤其是技術開發方和運營方應在更趨嚴格的監管和法律、行業規範下采集、使用、存儲人臉信息數據。
科技有温度規範謀發展
儘管人臉識別過程仍存隱憂,但專家表示,不必把人臉識別當作洪水猛獸。對於人臉識別技術的正面作用,應當有理性的認識和思考。
從技術方面來看,面臨安全隱患,人臉識別正在從2D向3D轉變。相比於2D,3D識別能夠採集多達幾十萬個信息點,以防止身份冒充。目前消費者頻繁使用的支付寶和微信刷臉支付,均採用了3D識別技術,通過軟硬件結合的方法判斷採集到的人臉是否為活體。同時,人臉識別服務商還通過諸如綁定設備,有人值守應用場景和多維校驗方式增強人臉識別安全性。
此外,在用户授權的情況下,絕大多數的人臉數據都被技術方用於訓練和測試,以優化人臉識別系統。這些人臉數據都是已被脱敏處理過的大數據,不再帶有個人信息,無法識別和對應到自然人的身上。
北京師範大學法學院教授劉德良表示,真正威脅到個人信息安全的,是對於人臉信息的濫用。人臉識別技術的本質是存儲人類面部信息,從而進行精準有效的身份驗證,新技術的使用能提高整個社會運行的效率。
如今,人臉識別的廣泛應用,也為社會帶來更多温度。例如,為防止未成年人沉迷網絡遊戲、過度消費,不少遊戲廠商在原有身份證認證的基礎上引入人臉識別技術,以加強關於網絡遊戲賬號實名註冊的監管,防止未成年人冒用成年人身份進行遊戲消費。在深圳、合肥等地,退休老人可以在支付寶通過刷臉的方式領取養老金,人臉識別為政務服務提供了更多便利。