人脸识别——就是指自动处理包含个人面部的数字图像,以便对个人进行识别、认证(验证)或者分类。人脸识别技术被广泛运用于很多场景,主要是安全应用、医疗保健、产品服务营销等三大领域,如机场、火车站、银行对乘客或用户的身份进行验证,公安机关从人流中识别出网上追逃的犯罪分子等。归纳起来,人脸识别的基本功能就是身份验证、个体识别与面部分析。
小区门禁、超市付款、账号登录……如今,人脸识别在日常生活中的应用场景越来越多,轻轻一扫人脸,方便又快捷。然而,滥用人脸识别带来的风险也不容忽视。比如,有的商家暗中对人脸信息进行统计分析,用于商业营销;有的不法分子将人脸信息用于电信诈骗等。
为规范人脸识别技术应用,国家网信办近日公布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》。专家认为,此举有利于更好保护个人信息权益,维护社会秩序和公共安全。
严格限定使用条件
只要提供个人身份证照片,无需经过当事人同意,就能让其成为一家公司的法定代表人或股东。这事听上去不可思议,但在现实生活中确实发生了。
今年3月底,家住辽宁大连的张女士到当地政务服务中心办理一项业务时,被告知自己名下有一家“公司”,而这家“公司”远在湖南株洲。张女士此前从未去过株洲,也没有申请过开办公司,名下的这家公司是从哪儿来的?一头雾水的张女士向株洲市芦淞区市场监督管理局反馈了情况,得到答复称,她名下注册的“公司”是通过网上办理的,而且她本人做了“四级实名”验证。
所谓“四级实名”,是指企业登记实名制度中,确保“人、证”一致性的技术手段,包括身份证信息核验和人脸识别验证,以此确保申请人的身份信息真实和本人意愿真实。最终经过沟通,张女士名下的“公司”被芦淞区市场监督管理局撤销。
像张女士这样的情况并不少见。在网络中,一些不法中介非法获取公民身份信息和人脸照片后,再利用人工智能换脸技术,破解相关政务APP的“人脸识别”认证,在当事人毫不知情的情况下,几分钟就能利用他人信息注册公司。
为更好保护公民隐私,打击非法使用人脸识别信息行为,《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称征求意见稿)公布,涵盖人脸识别技术的使用条件、使用禁则、备案要求、数据保护、设备管理等内容。
比如针对使用条件,征求意见稿规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。这些规定相当于给人脸识别运用增加了“安全锁”。
“相较于数字密码等信息,人脸信息等生物特征具有唯一性、难以改变的特性。滥用人脸识别,将让人更‘透明化’。无论是个人经济价值,还是个人隐私,都将被精确计算。”北京大学法学院教授薛军认为,人脸数据的准确抓取,叠加强大的算法分析,个人的经济价值被精准定义,或用于实现精准营销、“大数据杀熟”等利润攫取。此外,如果人脸抓取无处不在,个人的出行轨迹、人际关系、财产利益等个人信息都将暴露。
焦点场景合规操作
为防止外来人员穿越小区,上海市某小区居民一直希望加强对外来人员的进出管理。小区业主委员会联合物业决定对门禁系统进行升级,安装人脸识别系统。由于需要拍摄并上传业主的脸部照片,输入业主姓名、家庭住址、手机号码等,一些担心个人信息泄露的业主持反对意见。
经过向居民征求意见,该小区业委会最终选定了3种门禁方式供居民使用。一是使用IC卡,卡片进行了加密,具有不可复制性。二是通过APP二维码进行远程开门,方便业主的朋友或者亲戚进入小区。三是支持人脸识别,方便居民通过“刷脸”进入小区。
该物业公司技术负责人说,物业在选择供应商时将进行把关,并签署合作协议,约定相应责任和义务。如果出现业主信息被泄露问题,物业将承担相应责任,同时会向合作方追责。物业自身并不存储业主人脸信息,业主所录入的信息会直接上传到门禁系统供应商的平台。
征求意见稿指出,物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。中国政法大学数据法治研究院教授张凌寒认为,这有利于物业公司和供应商共同承担个人信息处理者的法律责任,明确知道相应行为可能会带来的风险,设置好相关运行机制。
近年来,有景区强制消费者“刷脸”入园、知名卫浴品牌被曝抓拍消费者人脸信息、售楼处普遍安装人脸识别设备等新闻引发热议。征求意见稿提出,宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。中国互联网协会研究中心副主任吴沈括说,相关规定及时回应了公众关切,也为焦点场景的合规操作提供了直接、明确的规则。
强化数据保护措施
今年夏天,“人、证、脸”三合一的强实名制已经成为不少演唱会进场的标配,甚至预约科技馆门票也得先进行人脸识别认证。所谓“人、证、脸”三合一的强实名制,指消费者买票时,要绑定个人身份信息,入场时扫描对应人员的身份证和脸部信息,以打击“黄牛”倒票行为。有观众担心,完成人脸识别后,这些收集到的人脸照片信息是否会被及时销毁,如何确保个人信息不被再进行交易和流转,甚至泄露给第三方进行人工智能模型的训练。
在征求意见稿中,“安全”是关键词。例如明确除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频。同时,组织机构为实施内部管理安装图像采集、个人身份识别设备的,应当根据实际需求合理确定图像信息采集区域,采取严格保护措施。
专家建议,进一步细化制度机制设计,如针对重点场景中的人脸识别算法运用,引入或明确专门的合规要求等;相关行业尽快在分类分级场景明确上达成业内共识,重视数据安全储存,尝试采取云端分离、数字加密、提取局部特征等方式来存储数据,最大限度保证原始数据的安全性。(彭训文)
责任编辑:胡睿琳
关注公众号,随时阅读陕西工人报