“刷臉”正變得無處不在,無疑給人們帶來了諸多便利,但在各類數據沒有牢固的“保險”的情況下,人們更接近于在信息世界“裸奔”。“人臉數據泄露和濫用最大的問題在于造成的危害是不可逆的,與密碼不同,人臉信息不可重置。”
---------------
人臉識別視頻最低0.5元/套,質量較高的100多元/套,其中,質量較高的可通過大部分App驗證的消息令人膽戰心驚。“刷臉”時代到來了,老百姓該如何保護好自己的“臉”?
一場關于人臉數據的“爭奪戰”正在打響,一邊是不少移動互聯網應用程序(App)在人臉數據等領域瘋狂“攻城略地”,不少App甚至采用“霸王”條款,比如不進行人臉識別就不能寄快遞、投簡歷、上廁所,甚至還有個別企業安裝攝像頭“偷”人臉數據……另一邊是公眾對人臉信息等個人信息保護的強烈呼吁以及監管部門不斷重拳出擊。
4月23日,《信息安全技術人臉識別數據安全要求》國家標準的征求意見稿開始面向社會公開征求意見,提出刷臉必須征得明示同意,并不得用于預測個人經濟狀況。
并且,今年5月1日,《常見類型移動互聯網應用程序必要個人信息范圍規定》也將正式實施。其中明確了App運營者不得因用戶不同意收集非必要個人信息,而拒絕用戶使用App基本功能服務。
工信部信息通信經濟專家委員會委員、聯合國世界絲路論壇數字經濟研究院院長、浙江大學教授王春暉表示,對個人必要信息的范圍進行劃線,填補了人臉識別應用領域的空白。這一次,不斷伸向“人臉”的“黑手”能否被斬斷?
不“刷臉”就不能買票、寄快遞
“必須要我的人臉信息才能登錄嗎?”3月28日,來自北京的孫斌(化名)通過身份證號等信息登錄了一直在使用的某航空公司官方購票App購買機票,卻顯示賬號存在風險,需進行身份驗證。孫斌通過App提供的“銀聯驗證”進行驗證,卻被告知“暫時不支持此驗證方式”。孫斌說,“這唯一的方式也是形同虛設。”
隨后,孫斌致電該航空公司,客服告訴他,系統認定該賬號安全等級過低從而“凍結”了他的賬號,并稱“這是為了您的賬戶安全著想”。而“解凍”的唯一方式則是完成人臉識別。孫斌表示,這明顯是強制“刷臉”。
與孫斌的遭遇如出一轍,高茗茗(化名)也被強制要求“刷臉”。她用快遞柜寄件時卻被告知:根據快遞條例要求,寄件需要驗證本人身份,唯一的驗證方法也是人臉識別。下單前,她已在官方微信公眾號上通過了實名認證。
2018年5月1日起施行的《快遞暫行條例》對實名收寄快遞作出了規定,收寄快件時,應對寄件人身份進行查驗,并登記身份信息,寄件人拒絕提供身份信息或者提供身份信息不實的,經營快遞業務的企業不得收寄。其中,對是否使用人臉識別并未明確規定。
北京觀韜中茂律師事務所合伙人王渝偉表示,寄送快遞達不到采集人臉信息的必要性,這里要求人臉識別是假借了身份查驗的由頭。人臉信息并非不能應用于寄送快遞的身份查驗,問題在于不應該是唯一手段,應給予消費者選擇權。
當前,小區安防和智慧零售是人臉識別安全風險發生的重災區。在王渝偉看來,人臉識別的安全風險主要是應用太過泛濫。“最讓人擔心的是不知道這些信息泄露到了哪里,甚至有可能是境外。”
通過一張臉掌握一個人的消費習慣
“刷臉”正變得無處不在,無疑給人們帶來了諸多便利,但在各類數據沒有牢固的“保險”的情況下,人們更接近于在信息世界“裸奔”。并且,各類App的信息獲取從個人位置到照片,再從通訊錄到人‘臉’信息,對個人信息的挖掘速度不斷加快,深度也在不斷增加。
“人臉信息的背后是一個人的住址、喜好以及消費習慣等信息,掌握了這張‘臉’,就掌握了一個人的各種習慣。”王春暉表示,很多App不斷在人臉識別領域布局,是為了方便對用戶有針對性地“畫像”,從而精準定位和營銷,實現更大的商業價值。
事實上,人臉識別相關產業正在不斷發展壯大。據億歐智庫發布的《2019計算機視覺人臉識別市場研究報告》顯示,2018年中國計算機視覺人臉識別市場規模為151.7億元,預計今年將達到530億元。
然而,與人臉識別相關的風險問題也越來越凸顯,比如個人信息泄露、濫用等。一些企業因管理不到位、應用方式不規范以及安全保障技術不過關等因素導致人臉信息、行蹤軌跡等個人敏感信息泄露。
人臉等個人信息采集、售賣甚至已經形成了一條成熟的黑色產業鏈。近期,在部分社交平臺和網站上,不少賣家將人臉識別視頻明碼標價,100元一套,其中包括身份證正反面照片、以及手持身份證照片和點頭、搖頭張嘴等諸多視頻。并且,賣家還打包票稱所售驗證視頻,能通過大多數App平臺驗證流程。
據媒體報道,個別賣家透露,如今市面上流通的身份證照片大多是在小額貸款平臺和公司野蠻發展期間泄露出來的;有些則是各個行業以人臉識別技術開發和系統測試為名采集而來。
其中,不乏通過技術偽造的人臉識別視頻。王春暉觀察到,人臉識別技術在不斷發展,相關的“偽造技術”也在不斷迭代。甚至有人用身份證照片就可以進行模擬人臉識別需要的張嘴、眨眼等動作,甚至可以騙過許多技術等級不高的人臉識別平臺。
“信息之所以被偽造核心在于個別企業的人臉識別技術不太行。”王渝偉表示,如果一個企業的核心算法夠強,偽造的難度就很大,偽造成功率也很低。
當前,人臉識別的技術提供商很多,但水平參差不齊,有的企業沒有能力支撐人臉數據安全保障。企查查數據顯示,目前,我國共有人臉識別相關企業7404家,并且,相關企業注冊量已連續3年突破1000家。近年來,各類人臉識別系統也層出不窮,據統計,我國人臉識別相關專利目前共1.37萬件。
王渝偉也觀察到,當前,人臉識別市場競爭激烈,不少企業為了爭奪市場份額,低價出售人臉識別技術或者設備,行業內甚至在一定程度上打起了“價格戰”。王渝偉說,在這種情況下,人臉識別技術變現難,一些企業將盈利的可能性聚焦在數據上,“很多企業只是希望拿到人臉數據。”
監管逐漸進入“深水區”
人臉數據十分特殊而敏感,監管刻不容緩。王渝偉表示,“人臉數據泄露和濫用最大的問題在于造成的危害是不可逆的,與密碼不同,人臉信息不可重置。”
事實上,監管方面也一直在發力。比如,近期發布的《常見類型移動互聯網應用程序必要個人信息范圍規定》明確了39種常見類型App的必要個人信息范圍。
“現在監管邁出了一大步,逐漸進入了‘深水區’。”王渝偉表示,這里對每類App可以采集的個人信息作了詳細規定,行業的標尺更為明確,監管的效率也將更高,這也意味著對人臉信息安全的保護能力可能將會提高一大截。
與此同時,一些地區也開始出臺相關規定,明確物業不得強制業主進行人臉識別。日前,經四川省人民政府第64次常務會議討論通過并提請四川省人大常委會第二十六次會議審議的《四川省物業管理條例(修訂草案)》(以下簡稱《條例》)明確,物業服務人不得強制業主通過指紋、人臉識別等生物信息方式使用共用設施設備。給予業主選擇權的同時,也保護業主的隱私。
當前,人臉數據被泄漏、濫用后,老百姓維權的難度依然很大。今年4月,備受關注的“人臉識別第一案”迎來了終審判決。被告杭州野生動物世界被判刪除原告郭兵辦理指紋年卡時提交的包括照片在內的面部特征信息和指紋識別信息,并于判決生效之日起十日內履行完畢。當事人郭兵在接受央視采訪時表示,訴訟收益小,百姓維權動力不足,以及違法成本低,處罰力度不夠是人臉識別濫用仍頻發的原因。
個人信息安全受到侵犯該怎么辦?郭兵建議,可以讓相關機構提起公益訴訟,這相對于個人舉證會多一些優勢。
王春暉建議,將App使用的個人必要信息的范圍納入法律范疇,給予更高的法律位階,比如納入《中華人民共和國個人信息保護法(草案)》。王渝偉也表示,人臉識別技術發展日新月異,新問題層出不窮,他建議,將人臉識別的相關法律同人臉識別相關的國家標準、行業標準進行有效銜接,這樣既與時俱進,可操作性也更強。
同時,王春暉還建議,加大對違法違規獲取、提供個人信息行為的懲罰力度。并且,拓寬消費者維權的路徑,一旦發生侵權事件,消費者可以盡快向監管部門反映和舉報。
在企業端也需加大事前審批監管的力度。王渝偉表示,可以借鑒行政審批的模式,對提供人臉識別底層技術支持的企業,進行資質審核,必須達到相應的安全保障能力,獲得相應的資格認證,才能從事相關的技術。
同時,也應對后續人臉數據信息存儲作出更為詳細的規定。王渝偉說,比如不存儲人臉的原始圖片,并規定數據存儲期限等。
當前,我國人臉識別技術走在世界前列。王渝偉表示,面對出現的新問題,對人臉數據安全的保護再嚴厲都不為過,但監管也不能“一刀切”,亦要給予行業一定發展空間。如何既管得住、又管得好仍然是監管部門面臨的一道考題。