武汉尚未出现强制刷脸极端案例,人脸识别该如何规范使用?专家给出建议
楚天都市报11月30日讯(记者曾凌轲 刘楒睿)今年10月,杭州市人民代表大会常务委员会发布了关于《杭州市物业管理条例(修订草案)》的说明。条例新增了“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权”等内容,有望成为中国首部明确写入人脸识别禁止性条款的地方性法规。
楚天都市报记者采访中了解到,目前,武汉市尚未有强制刷脸的极端案例出现。不过,随着国内近期对人脸识别个人信息保护的讨论越来越多,更多居民对人脸识别系统使用边界和数据管理安全表达担忧。
该如何规范使用人脸识别技术?楚天都市报记者采访了多位人脸识别行业的专家。
迫切需要防止人脸识别被滥用
浙江理工大学法政学院特聘副教授郭兵近年主要从事个人信息保护领域的相关研究。2019年,他曾因杭州市野生动物世界强制用户刷脸入园,而将动物园告上法庭。近日,法院宣判杭州野生动物园删除其个人信息并赔偿其个人损失。这一案件也引发了一场关于个人信息保护与人脸识别技术边界的讨论。
郭兵告诉楚天都市报记者,他之所以在此案上如此较真,主要是因为随着人脸识别技术应用越来越普遍,普通老百姓对于个人信息的保护意识和相关立法未能齐头并进。他指出,目前国内在人脸信息保护领域的立法规范仍然比较原则化。
郭兵介绍,现行立法中《网络安全法》、《民法典》都对个人信息保护进行了统一规范,但对面部特征信息等生物识别信息并没有针对性的细化规定。
《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循“合法、正当、必要”原则,但这样的原则性规定对厘清人脸识别技术应用的边界仍然比较困难,其中“正当、必要”的解释具有非常大的弹性空间。“商场使用人脸识别技术到底是否‘正当、必要’?动物园使用人脸识别技术到底是否‘正当、必要’?”郭兵说。
郭兵认为,考虑到生物识别信息安全的巨大风险,目前迫切需要防止人脸识别技术被滥用。国内正在制定的《个人信息保护法》有必要对生物识别信息保护作出针对性的规定。
在目前立法对个人信息保护仍在不断完善的背景下,郭兵提醒市民充分认识人脸信息的潜在风险。
“单独的人脸信息可能风险并不是特别大,但当你的身份证信息、手机号等其他个人信息与人脸信息融一起时,不法分子就可能利用人脸识别技术骗过某些验证平台。”郭兵说,“另外,人脸信息不像姓名、手机号等个人信息还可以更改,人脸信息一旦泄漏风险是长久存在的。在平时的生活中,市民应该多留个心眼,不要一味用隐私换便利。”
云悦邸小区还有高低不一的识别系统方便行人
安全防护和信息安全是最大难点
武汉大学计算机学院教授王中元告诉楚天都市报记者,其实人脸识别行业从技术角度也一直在朝抗干扰、防伪装的方向努力。随着技术进步,利用人脸识别信息违法犯罪的门槛也将越来越高。
“此前有人用仿真面具破解过人脸识别”,王中元说,通过仿真面具确实可以欺骗部分较为老旧的人脸识别机器,但目前人脸识别技术已经发展到用三维信息识别。“所谓的三维信息,不仅只是你的面部特征,还包括脸部三维形状、纹理及材质”,王中元说,这一点是仿真面具难以实现的,仅人类面部微表情就十分难模仿。
中南民族大学电子信息工程学院教授江小平也表示,现在也有技术可利用照片信息合成三维人脸,但这已经属于高科技犯罪,犯罪成本和收益或不成正比。另外,江小平认为,人脸识别系统在不同场景的应用也无可厚非。比如商场、公园等地之所以安装人脸识别系统,也有加强管理之意,“比如你在商场被偷了东西,商场如果有人脸,就可以在监控系统快速协助公安部门定位嫌疑人。”
“从指纹到虹膜再到人脸识别,目前生物信息的应用多种多样,人脸信息有其他生物信息无可比拟的优点。”王中元指出,人脸识别和其他生物信息相比,具有方便采集、非接触的特点及普适性优点。这有利于避免新冠肺炎等传染病的交叉感染,武汉市的人脸识别系统应用也正是在疫情后期出现大量应用。
江小平向记者介绍,想要进一步规范人脸信息数据的管理和储存并非无据可循。他告诉记者,国内人脸识别系统最先应用在公安系统,主要用于社会综合治理。而在公安系统安装的人脸识别系统中,信息保存及信息安全管理都达到标准要求。随着系统成本不断降低,使得人脸识别系统应用越来越普遍,但要考虑到,在商用领域进行数据安全防护和信息安全等级提升同时意味着成本投入,这也是目前面临的困境。
“信息安全领域有《信息安全等级保护管理办法》,这个办法将信息安全等级分为5个级别,每一级别对应不同的管理要求。在平安智慧小区的试点小区,我们要求最少达到二级信息安全等级保护要求,按照《管理办法》进行建设和管理。其他商业应用领域尚不清楚是否有此要求。”江小平说。《管理办法》显示,第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
制定国家标准保障信息安全
湖北省安全技术防范行业协会秘书长郭志刚告诉楚天都市报记者,人脸识别技术和产品是安防行业一种安全防范技术应用,湖北省内人脸识别产品、系统的应用,基本上都是省内安防工程企业参与建设的。而协会对省内安防企业有关个人信息管理方面并无行业强制规定,主要靠法律法规和协会开展行业自律性管理,提升企业从业服务意识。
“企业都会在合同里注明不会泄漏客户信息。泄漏就是违法。协会根据制定的行业自律性管理工作,对安防企业进行服务能力评价,评价越高的企业在各个方面都会更有保障。”郭志刚说,“个人信息保护属于信息安全方面,安防行业协会也尚无权限对此做强制要求。”
郭志刚提醒,目前,社会一些领域人脸识别产品的使用,个人信息保护还有赖有关行业和安防行业共建。
郭志刚向记者解释,现在的人脸识别系统通俗来讲就是由前端的摄像机、后端的数据和应用软件等组成的系统。但从管理角度来看,信息管理及保护属于网络信息安全领域。未来个人信息数据的保护也有赖于不同行业的跨界合作。
“一方面我们呼吁行业自律,另一方面,未来我们与社会各行业间进行更多交流和合作。”郭志刚说。
浙江垦丁律师事务所主任律师张延来建议,现在已经使用了人脸识别系统的商用场景比如小区、写字楼等,首先应遵守不强制原则,尊重个人的选择权。其次,还应在征得个人许可前,充分告知用户未来使用个人信息的范围和方式。针对现行法律较为原则化的问题,建议未来通过制定国家标准对使用人脸识别系统的机构提出保障信息安全等方面的要求。另外,主管机关还可出台细则按照具体应用情形划分“必要”和“不必要”的情形。