“刷臉”正變得無處不在,無疑給人們帶來了諸多便利,但在各類數(shù)據(jù)沒有牢固的“保險”的情況下,人們更接近于在信息世界“裸奔”。“人臉數(shù)據(jù)泄露和濫用最大的問題在于造成的危害是不可逆的,與密碼不同,人臉信息不可重置。”
---------------
人臉識別視頻最低0.5元/套,質(zhì)量較高的100多元/套,其中,質(zhì)量較高的可通過大部分App驗證的消息令人膽戰(zhàn)心驚。“刷臉”時代到來了,老百姓該如何保護好自己的“臉”?
一場關(guān)于人臉數(shù)據(jù)的“爭奪戰(zhàn)”正在打響,一邊是不少移動互聯(lián)網(wǎng)應(yīng)用程序(App)在人臉數(shù)據(jù)等領(lǐng)域瘋狂“攻城略地”,不少App甚至采用“霸王”條款,比如不進行人臉識別就不能寄快遞、投簡歷、上廁所,甚至還有個別企業(yè)安裝攝像頭“偷”人臉數(shù)據(jù)……另一邊是公眾對人臉信息等個人信息保護的強烈呼吁以及監(jiān)管部門不斷重拳出擊。
4月23日,《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求》國家標準的征求意見稿開始面向社會公開征求意見,提出刷臉必須征得明示同意,并不得用于預(yù)測個人經(jīng)濟狀況。
并且,今年5月1日,《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》也將正式實施。其中明確了App運營者不得因用戶不同意收集非必要個人信息,而拒絕用戶使用App基本功能服務(wù)。
工信部信息通信經(jīng)濟專家委員會委員、聯(lián)合國世界絲路論壇數(shù)字經(jīng)濟研究院院長、浙江大學教授王春暉表示,對個人必要信息的范圍進行劃線,填補了人臉識別應(yīng)用領(lǐng)域的空白。這一次,不斷伸向“人臉”的“黑手”能否被斬斷?
不“刷臉”就不能買票、寄快遞
“必須要我的人臉信息才能登錄嗎?”3月28日,來自北京的孫斌(化名)通過身份證號等信息登錄了一直在使用的某航空公司官方購票App購買機票,卻顯示賬號存在風險,需進行身份驗證。孫斌通過App提供的“銀聯(lián)驗證”進行驗證,卻被告知“暫時不支持此驗證方式”。孫斌說,“這唯一的方式也是形同虛設(shè)。”
隨后,孫斌致電該航空公司,客服告訴他,系統(tǒng)認定該賬號安全等級過低從而“凍結(jié)”了他的賬號,并稱“這是為了您的賬戶安全著想”。而“解凍”的唯一方式則是完成人臉識別。孫斌表示,這明顯是強制“刷臉”。
與孫斌的遭遇如出一轍,高茗茗(化名)也被強制要求“刷臉”。她用快遞柜寄件時卻被告知:根據(jù)快遞條例要求,寄件需要驗證本人身份,唯一的驗證方法也是人臉識別。下單前,她已在官方微信公眾號上通過了實名認證。
2018年5月1日起施行的《快遞暫行條例》對實名收寄快遞作出了規(guī)定,收寄快件時,應(yīng)對寄件人身份進行查驗,并登記身份信息,寄件人拒絕提供身份信息或者提供身份信息不實的,經(jīng)營快遞業(yè)務(wù)的企業(yè)不得收寄。其中,對是否使用人臉識別并未明確規(guī)定。
北京觀韜中茂律師事務(wù)所合伙人王渝偉表示,寄送快遞達不到采集人臉信息的必要性,這里要求人臉識別是假借了身份查驗的由頭。人臉信息并非不能應(yīng)用于寄送快遞的身份查驗,問題在于不應(yīng)該是唯一手段,應(yīng)給予消費者選擇權(quán)。
當前,小區(qū)安防和智慧零售是人臉識別安全風險發(fā)生的重災(zāi)區(qū)。在王渝偉看來,人臉識別的安全風險主要是應(yīng)用太過泛濫。“最讓人擔心的是不知道這些信息泄露到了哪里,甚至有可能是境外。”
通過一張臉掌握一個人的消費習慣
“刷臉”正變得無處不在,無疑給人們帶來了諸多便利,但在各類數(shù)據(jù)沒有牢固的“保險”的情況下,人們更接近于在信息世界“裸奔”。并且,各類App的信息獲取從個人位置到照片,再從通訊錄到人‘臉’信息,對個人信息的挖掘速度不斷加快,深度也在不斷增加。
“人臉信息的背后是一個人的住址、喜好以及消費習慣等信息,掌握了這張‘臉’,就掌握了一個人的各種習慣。”王春暉表示,很多App不斷在人臉識別領(lǐng)域布局,是為了方便對用戶有針對性地“畫像”,從而精準定位和營銷,實現(xiàn)更大的商業(yè)價值。
事實上,人臉識別相關(guān)產(chǎn)業(yè)正在不斷發(fā)展壯大。據(jù)億歐智庫發(fā)布的《2019計算機視覺人臉識別市場研究報告》顯示,2018年中國計算機視覺人臉識別市場規(guī)模為151.7億元,預(yù)計今年將達到530億元。
然而,與人臉識別相關(guān)的風險問題也越來越凸顯,比如個人信息泄露、濫用等。一些企業(yè)因管理不到位、應(yīng)用方式不規(guī)范以及安全保障技術(shù)不過關(guān)等因素導(dǎo)致人臉信息、行蹤軌跡等個人敏感信息泄露。
人臉等個人信息采集、售賣甚至已經(jīng)形成了一條成熟的黑色產(chǎn)業(yè)鏈。近期,在部分社交平臺和網(wǎng)站上,不少賣家將人臉識別視頻明碼標價,100元一套,其中包括身份證正反面照片、以及手持身份證照片和點頭、搖頭張嘴等諸多視頻。并且,賣家還打包票稱所售驗證視頻,能通過大多數(shù)App平臺驗證流程。
據(jù)媒體報道,個別賣家透露,如今市面上流通的身份證照片大多是在小額貸款平臺和公司野蠻發(fā)展期間泄露出來的;有些則是各個行業(yè)以人臉識別技術(shù)開發(fā)和系統(tǒng)測試為名采集而來。
其中,不乏通過技術(shù)偽造的人臉識別視頻。王春暉觀察到,人臉識別技術(shù)在不斷發(fā)展,相關(guān)的“偽造技術(shù)”也在不斷迭代。甚至有人用身份證照片就可以進行模擬人臉識別需要的張嘴、眨眼等動作,甚至可以騙過許多技術(shù)等級不高的人臉識別平臺。
“信息之所以被偽造核心在于個別企業(yè)的人臉識別技術(shù)不太行。”王渝偉表示,如果一個企業(yè)的核心算法夠強,偽造的難度就很大,偽造成功率也很低。
當前,人臉識別的技術(shù)提供商很多,但水平參差不齊,有的企業(yè)沒有能力支撐人臉數(shù)據(jù)安全保障。企查查數(shù)據(jù)顯示,目前,我國共有人臉識別相關(guān)企業(yè)7404家,并且,相關(guān)企業(yè)注冊量已連續(xù)3年突破1000家。近年來,各類人臉識別系統(tǒng)也層出不窮,據(jù)統(tǒng)計,我國人臉識別相關(guān)專利目前共1.37萬件。
王渝偉也觀察到,當前,人臉識別市場競爭激烈,不少企業(yè)為了爭奪市場份額,低價出售人臉識別技術(shù)或者設(shè)備,行業(yè)內(nèi)甚至在一定程度上打起了“價格戰(zhàn)”。王渝偉說,在這種情況下,人臉識別技術(shù)變現(xiàn)難,一些企業(yè)將盈利的可能性聚焦在數(shù)據(jù)上,“很多企業(yè)只是希望拿到人臉數(shù)據(jù)。”
監(jiān)管逐漸進入“深水區(qū)”
人臉數(shù)據(jù)十分特殊而敏感,監(jiān)管刻不容緩。王渝偉表示,“人臉數(shù)據(jù)泄露和濫用最大的問題在于造成的危害是不可逆的,與密碼不同,人臉信息不可重置。”
事實上,監(jiān)管方面也一直在發(fā)力。比如,近期發(fā)布的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》明確了39種常見類型App的必要個人信息范圍。
“現(xiàn)在監(jiān)管邁出了一大步,逐漸進入了‘深水區(qū)’。”王渝偉表示,這里對每類App可以采集的個人信息作了詳細規(guī)定,行業(yè)的標尺更為明確,監(jiān)管的效率也將更高,這也意味著對人臉信息安全的保護能力可能將會提高一大截。
與此同時,一些地區(qū)也開始出臺相關(guān)規(guī)定,明確物業(yè)不得強制業(yè)主進行人臉識別。日前,經(jīng)四川省人民政府第64次常務(wù)會議討論通過并提請四川省人大常委會第二十六次會議審議的《四川省物業(yè)管理條例(修訂草案)》(以下簡稱《條例》)明確,物業(yè)服務(wù)人不得強制業(yè)主通過指紋、人臉識別等生物信息方式使用共用設(shè)施設(shè)備。給予業(yè)主選擇權(quán)的同時,也保護業(yè)主的隱私。
當前,人臉數(shù)據(jù)被泄漏、濫用后,老百姓維權(quán)的難度依然很大。今年4月,備受關(guān)注的“人臉識別第一案”迎來了終審判決。被告杭州野生動物世界被判刪除原告郭兵辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息和指紋識別信息,并于判決生效之日起十日內(nèi)履行完畢。當事人郭兵在接受央視采訪時表示,訴訟收益小,百姓維權(quán)動力不足,以及違法成本低,處罰力度不夠是人臉識別濫用仍頻發(fā)的原因。
個人信息安全受到侵犯該怎么辦?郭兵建議,可以讓相關(guān)機構(gòu)提起公益訴訟,這相對于個人舉證會多一些優(yōu)勢。
王春暉建議,將App使用的個人必要信息的范圍納入法律范疇,給予更高的法律位階,比如納入《中華人民共和國個人信息保護法(草案)》。王渝偉也表示,人臉識別技術(shù)發(fā)展日新月異,新問題層出不窮,他建議,將人臉識別的相關(guān)法律同人臉識別相關(guān)的國家標準、行業(yè)標準進行有效銜接,這樣既與時俱進,可操作性也更強。
同時,王春暉還建議,加大對違法違規(guī)獲取、提供個人信息行為的懲罰力度。并且,拓寬消費者維權(quán)的路徑,一旦發(fā)生侵權(quán)事件,消費者可以盡快向監(jiān)管部門反映和舉報。
在企業(yè)端也需加大事前審批監(jiān)管的力度。王渝偉表示,可以借鑒行政審批的模式,對提供人臉識別底層技術(shù)支持的企業(yè),進行資質(zhì)審核,必須達到相應(yīng)的安全保障能力,獲得相應(yīng)的資格認證,才能從事相關(guān)的技術(shù)。
同時,也應(yīng)對后續(xù)人臉數(shù)據(jù)信息存儲作出更為詳細的規(guī)定。王渝偉說,比如不存儲人臉的原始圖片,并規(guī)定數(shù)據(jù)存儲期限等。
當前,我國人臉識別技術(shù)走在世界前列。王渝偉表示,面對出現(xiàn)的新問題,對人臉數(shù)據(jù)安全的保護再嚴厲都不為過,但監(jiān)管也不能“一刀切”,亦要給予行業(yè)一定發(fā)展空間。如何既管得住、又管得好仍然是監(jiān)管部門面臨的一道考題。