武漢尚未出現強制刷臉極端案例,人臉識別該如何規範使用?專家給出建議
楚天都市報11月30日訊(記者曾凌軻 劉楒睿)今年10月,杭州市人民代表大會常務委員會發布了關於《杭州市物業管理條例(修訂草案)》的說明。條例新增了“不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備,保障業主對共用設施設備的正常使用權”等內容,有望成爲中國首部明確寫入人臉識別禁止性條款的地方性法規。
楚天都市報記者採訪中瞭解到,目前,武漢市尚未有強制刷臉的極端案例出現。不過,隨着國內近期對人臉識別個人信息保護的討論越來越多,更多居民對人臉識別系統使用邊界和數據管理安全表達擔憂。
該如何規範使用人臉識別技術?楚天都市報記者採訪了多位人臉識別行業的專家。
迫切需要防止人臉識別被濫用
浙江理工大學法政學院特聘副教授郭兵近年主要從事個人信息保護領域的相關研究。2019年,他曾因杭州市野生動物世界強制用戶刷臉入園,而將動物園告上法庭。近日,法院宣判杭州野生動物園刪除其個人信息並賠償其個人損失。這一案件也引發了一場關於個人信息保護與人臉識別技術邊界的討論。
郭兵告訴楚天都市報記者,他之所以在此案上如此較真,主要是因爲隨着人臉識別技術應用越來越普遍,普通老百姓對於個人信息的保護意識和相關立法未能齊頭並進。他指出,目前國內在人臉信息保護領域的立法規範仍然比較原則化。
郭兵介紹,現行立法中《網絡安全法》、《民法典》都對個人信息保護進行了統一規範,但對面部特徵信息等生物識別信息並沒有針對性的細化規定。
《網絡安全法》第四十一條規定,網絡運營者收集、使用個人信息,應當遵循“合法、正當、必要”原則,但這樣的原則性規定對釐清人臉識別技術應用的邊界仍然比較困難,其中“正當、必要”的解釋具有非常大的彈性空間。“商場使用人臉識別技術到底是否‘正當、必要’?動物園使用人臉識別技術到底是否‘正當、必要’?”郭兵說。
郭兵認爲,考慮到生物識別信息安全的巨大風險,目前迫切需要防止人臉識別技術被濫用。國內正在制定的《個人信息保護法》有必要對生物識別信息保護作出針對性的規定。
在目前立法對個人信息保護仍在不斷完善的背景下,郭兵提醒市民充分認識人臉信息的潛在風險。
“單獨的人臉信息可能風險並不是特別大,但當你的身份證信息、手機號等其他個人信息與人臉信息融一起時,不法分子就可能利用人臉識別技術騙過某些驗證平臺。”郭兵說,“另外,人臉信息不像姓名、手機號等個人信息還可以更改,人臉信息一旦泄漏風險是長久存在的。在平時的生活中,市民應該多留個心眼,不要一味用隱私換便利。”
雲悅邸小區還有高低不一的識別系統方便行人
安全防護和信息安全是最大難點
武漢大學計算機學院教授王中元告訴楚天都市報記者,其實人臉識別行業從技術角度也一直在朝抗干擾、防僞裝的方向努力。隨着技術進步,利用人臉識別信息違法犯罪的門檻也將越來越高。
“此前有人用仿真面具破解過人臉識別”,王中元說,通過仿真面具確實可以欺騙部分較爲老舊的人臉識別機器,但目前人臉識別技術已經發展到用三維信息識別。“所謂的三維信息,不僅只是你的面部特徵,還包括臉部三維形狀、紋理及材質”,王中元說,這一點是仿真面具難以實現的,僅人類面部微表情就十分難模仿。
中南民族大學電子信息工程學院教授江小平也表示,現在也有技術可利用照片信息合成三維人臉,但這已經屬於高科技犯罪,犯罪成本和收益或不成正比。另外,江小平認爲,人臉識別系統在不同場景的應用也無可厚非。比如商場、公園等地之所以安裝人臉識別系統,也有加強管理之意,“比如你在商場被偷了東西,商場如果有人臉,就可以在監控系統快速協助公安部門定位嫌疑人。”
“從指紋到虹膜再到人臉識別,目前生物信息的應用多種多樣,人臉信息有其他生物信息無可比擬的優點。”王中元指出,人臉識別和其他生物信息相比,具有方便採集、非接觸的特點及普適性優點。這有利於避免新冠肺炎等傳染病的交叉感染,武漢市的人臉識別系統應用也正是在疫情後期出現大量應用。
江小平向記者介紹,想要進一步規範人臉信息數據的管理和儲存並非無據可循。他告訴記者,國內人臉識別系統最先應用在公安系統,主要用於社會綜合治理。而在公安系統安裝的人臉識別系統中,信息保存及信息安全管理都達到標準要求。隨着系統成本不斷降低,使得人臉識別系統應用越來越普遍,但要考慮到,在商用領域進行數據安全防護和信息安全等級提升同時意味着成本投入,這也是目前面臨的困境。
“信息安全領域有《信息安全等級保護管理辦法》,這個辦法將信息安全等級分爲5個級別,每一級別對應不同的管理要求。在平安智慧小區的試點小區,我們要求最少達到二級信息安全等級保護要求,按照《管理辦法》進行建設和管理。其他商業應用領域尚不清楚是否有此要求。”江小平說。《管理辦法》顯示,第二級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。國家信息安全監管部門對該級信息系統信息安全等級保護工作進行指導。
制定國家標準保障信息安全
湖北省安全技術防範行業協會祕書長郭志剛告訴楚天都市報記者,人臉識別技術和產品是安防行業一種安全防範技術應用,湖北省內人臉識別產品、系統的應用,基本上都是省內安防工程企業參與建設的。而協會對省內安防企業有關個人信息管理方面並無行業強制規定,主要靠法律法規和協會開展行業自律性管理,提升企業從業服務意識。
“企業都會在合同裏註明不會泄漏客戶信息。泄漏就是違法。協會根據制定的行業自律性管理工作,對安防企業進行服務能力評價,評價越高的企業在各個方面都會更有保障。”郭志剛說,“個人信息保護屬於信息安全方面,安防行業協會也尚無權限對此做強制要求。”
郭志剛提醒,目前,社會一些領域人臉識別產品的使用,個人信息保護還有賴有關行業和安防行業共建。
郭志剛向記者解釋,現在的人臉識別系統通俗來講就是由前端的攝像機、後端的數據和應用軟件等組成的系統。但從管理角度來看,信息管理及保護屬於網絡信息安全領域。未來個人信息數據的保護也有賴於不同行業的跨界合作。
“一方面我們呼籲行業自律,另一方面,未來我們與社會各行業間進行更多交流和合作。”郭志剛說。
浙江墾丁律師事務所主任律師張延來建議,現在已經使用了人臉識別系統的商用場景比如小區、寫字樓等,首先應遵守不強制原則,尊重個人的選擇權。其次,還應在徵得個人許可前,充分告知用戶未來使用個人信息的範圍和方式。針對現行法律較爲原則化的問題,建議未來通過制定國家標準對使用人臉識別系統的機構提出保障信息安全等方面的要求。另外,主管機關還可出臺細則按照具體應用情形劃分“必要”和“不必要”的情形。