4月9日,我国“人脸识别第一案”在杭州市中级人民法院迎来终审判决,“人脸”安全保护再次引发关注。作为前沿科技,人脸识别技术近年来被广泛应用于金融支付、社区门禁、手机解锁等领域,呈现加速落地趋势。然而从“人脸识别第一案”到央视“3·15”曝光多家企业违规收集人脸信息,从济南看房者戴头盔进入售楼处到5000多张人脸打包兜售,技术应用中涉及的信息安全问题也在不断挑拨着人们的神经。如何明晰人脸识别技术的应用边界,更有效地保护我们的“脸”,连日来,记者对此进行了采访。
人脸识别滥用案件频发
“商家安装隐秘的人脸识别摄像头,顾客只要走进门店,人脸数据就会被捕捉到,生成人脸ID,性别、年龄甚至情绪都能识别出来,还能通过统计到店次数、看过哪些产品,分析出消费心理和偏好,人脸安全令人担忧。”太原市民袁秀英通过直播观看了今年央视的3·15晚会,节目中曝光了上海科勒卫浴、无锡宝马4S店及MaxMara旗下一家店铺等不良企业不经过用户允许偷偷抓取人脸信息。袁秀英直言,在商家面前,消费者总有种裸奔的感觉,不知何时丢“脸”,也不知“脸”用在何处。
无独有偶,2月中旬,晋中市民赵楠(化名)通过中介渠道在晋中金科博翠天宸售楼处购买新房,被销售人员告知,通过售楼处人脸识别系统发现他曾经独自来过售楼处看房,判定赵先生为售楼处自访客户,不属于中介渠道客户,无法享受相应的优惠政策。对此,赵楠十分气愤:“真是稀里糊涂就被人脸识别了。”位于省城并州南路西二巷一家房产中介工作人员告诉记者,售楼处安装人脸识别摄像头的情况非常普遍,即使戴口罩该系统也可以识别,该功能主要用来区分客户是自然到访还是中介介绍。
事实上,人脸识别技术滥用问题由来已久,相关案件频频被曝光。2019年国内一款AI换脸应用“ZAO”引发争议,一旦上传照片将完全免费、不可撤销地将包括人脸照片在内的肖像资料授权给该公司和其关联公司,让用户意识到让渡生物信息后可能带来的名誉权损害等风险。
“生物识别信息与个人是绑定关系,一旦泄露其危害是不可逆的。”中科院软件研究所研究员张敏表示,人脸信息属于生物识别信息,相比于虹膜、指纹等其他生物识别信息,人脸识别具有无意识和非接触性的特点,可以远距离发挥作用,只要站在摄像头前,获取者就能在被采集者没有觉察的情况下,长距离抓取其头像,形成人脸ID,并且能长时间、大规模地积累数据,具有很强的侵入性。“很多时候你并没有察觉,对方已经收集了你的人脸信息。”张敏指出。
对强制人脸识别说“不”
今年3月底,一则“超5亿元的虚开发票案牵出非法人脸识别案”的新闻登上热搜,据犯罪嫌疑人交代,其破解的App类别非常广泛,涉及政务、安防、金融、支付、生活消费等用户量巨大的App,每单的破解价格从25元到300元不等。大同网友@main在微博留言:“人脸信息售卖的黑色产业链才是对个人信息威胁最大的部分,一旦人脸及其相关信息‘落入贼手’,用户的合法权益极易遭受侵害。”
北京市汇京律师事务所律师朱琴认为,当人脸信息与身份、行为、位置、偏好等隐私相对接,人脸识别就不仅具有身份认证功能,而是成为获取个人隐私的一把钥匙。因此,新版推荐性国家标准《信息安全技术个人信息安全规范》明确了人脸信息属于生物识别信息,也属于个人敏感信息,收集个人信息时应获得个人信息主体的授权同意。
“面对是否需要采集人脸信息,我们有知情权和选择权。”工信部信息通信经济专家委员会委员刘兴亮表示,在各种应用场景中,人脸识别只能是一种“可选项”,而不是“必选项”。此前备受关注的“人脸识别第一案”终审判决意义非凡,“它告诉我们,可以勇敢地向强制人脸识别说‘不’。”刘兴亮说。
2019年4月,郭兵购买杭州野生动物世界双人年卡,留存相关个人身份信息,并录入指纹和拍照。后野生动物世界将年卡入园方式由指纹识别调整为人脸识别,并向郭兵发送短信通知相关事宜,要求其进行人脸激活,郭兵不同意采集人脸信息,要求退卡退费被拒,于是向动物园提起诉讼。最终被告杭州野生动物世界被要求删除郭兵办理指纹年卡时提交的面部特征信息和指纹识别信息。杭州市中级人民法院经审理认为,生物识别信息作为敏感的个人信息,深度体现自然人的生理和行为特征,具备较强的人格属性,一旦被泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到不测危害,更应谨慎处理和严格保护。晋城网友@鸡汤小哥在微博话题留言:“终审判决让用户底气足了,我的‘脸’我做主。”
为人脸识别划“红线”
针对“人脸”安全痛点,我国正不断出台完善相关法律法规,为人脸识别等个人信息采集划出“红线”。《民法典》中规定,收集信息应当坚持合法、正当、必要原则,坚持最小化原则,能不收集尽量不收集,能少收集尽量少收集。同时,也明确规定这些信息不得擅自转让、共享;在共享时要再次取得权利人的同意,除非已进行匿名化处理。2020年10月,《个人信息保护法(草案)》对公共场所人脸识别设备的铺设作出专门规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识;所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。
朱琴认为,虽有法律明文规定,但人脸识别仍存在滥用现象,主要因为人脸识别的使用边界不清,监管惩戒措施也相对滞后,使不少商家明目张胆逾规越矩。人脸识别必须及时“上锁”,明晰相关主体权责边界,根据识别目的,划分获取信息权限,比如基于公共利益的行为,相关部门在一定程度上可以超越个人隐私权,依法抓取人脸信息,但非公共用途抓取人脸信息需取得个人或监护人同意;细化人脸信息种类,明确各种场景下的使用范围,避免信息过度采集;根据场景级别分级管理,对不同主体采取相应监管措施,加大惩戒力度,提高违法成本。
此外,技术“红线”也必不可少。张敏表示,研究人员已经做出了诸多尝试和努力,提升企业在大数据环境下的网络安全防护技术,在使用人脸识别等生物识别技术时对生物特征进行加密,保证应用或验证单位不直接掌握原始生物信息,若这项技术能得到推广,生物识别、指纹识别、虹膜识别信息都采取加密方式,将为用户提供安全保障。同时,企业也应加强自律,在获取和使用个人信息时遵循合法、正当、必要原则,规范应用隐私条款,为用户删除数据、注销账户提供渠道,明确告知用户争议解决机制等。