给人脸识别运用加上“安全锁”
王 琪作(新华社发)
小区门禁、超市付款、账号登录……如今,人脸识别在日常生活中的应用场景越来越多,轻轻一扫人脸,方便又快捷。然而,滥用人脸识别带来的风险也不容忽视。比如,有的商家暗中对人脸信息进行统计分析,用于商业营销;有的不法分子将人脸信息用于电信诈骗等。
为规范人脸识别技术应用,国家网信办近日公布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》。专家认为,此举有利于更好保护个人信息权益,维护社会秩序和公共安全。
严格限定使用条件
只要提供个人身份证照片,无需经过当事人同意,就能让其成为一家公司的法定代表人或股东。这事听上去不可思议,但在现实生活中确实发生了。
今年3月底,家住辽宁大连的张女士到当地政务服务中心办理一项业务时,被告知自己名下有一家“公司”,而这家“公司”远在湖南株洲。张女士此前从未去过株洲,也没有申请过开办公司,名下的这家公司是从哪来的?一头雾水的张女士向株洲市芦淞区市场监督管理局反馈了情况,得到答复称,她名下注册的“公司”是通过网上办理的,而且她本人做了“四级实名”验证。
所谓“四级实名”,是指企业登记实名制度中,确保“人、证”一致性的技术手段,包括身份证信息核验和人脸识别验证,以此确保申请人的身份信息真实和本人意愿真实。最终经过沟通,张女士名下的“公司”被芦淞区市场监督管理局撤销。
像张女士这样的情况并不少见。在网络中,一些不法中介非法获取公民身份信息和人脸照片后,再利用人工智能换脸技术,破解相关政务APP的“人脸识别”认证,在当事人毫不知情的情况下,几分钟就能利用他人信息注册公司。
为更好保护公民隐私,打击非法使用人脸识别信息行为,《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称征求意见稿)公布,涵盖人脸识别技术的使用条件、使用禁则、备案要求、数据保护、设备管理等内容。
比如针对使用条件,征求意见稿规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。这些规定相当于给人脸识别运用增加了“安全锁”。
“相较于数字密码等信息,人脸信息等生物特征具有唯一性、难以改变的特性。滥用人脸识别,将让人更‘透明化’。无论是个人经济价值,还是个人隐私,都将被精确计算。”北京大学法学院教授薛军认为,人脸数据的准确抓取,叠加强大的算法分析,个人的经济价值被精准定义,或用于实现精准营销、“大数据杀熟”等利润攫取。此外,如果人脸抓取无处不在,个人的出行轨迹、人际关系、财产利益等个人信息都将暴露。
焦点场景合规操作
为防止外来人员穿越小区,上海市某小区居民一直希望加强对外来人员的进出管理。小区业主委员会联合物业决定对门禁系统进行升级,安装人脸识别系统。由于需要拍摄并上传业主的脸部照片,输入业主姓名、家庭住址、手机号码等,一些担心个人信息泄露的业主持反对意见。
经过向居民征求意见,该小区业委会最终选定了3种门禁方式供居民使用。一是使用IC卡,卡片进行了加密,具有不可复制性。二是通过APP二维码进行远程开门,方便业主的朋友或者亲戚进入小区。三是支持人脸识别,方便居民通过“刷脸”进入小区。
该物业公司技术负责人说,物业在选择供应商时将进行把关,并签署合作协议,约定相应责任和义务。如果出现业主信息被泄露问题,物业将承担相应责任,同时会向合作方追责。物业自身并不存储业主人脸信息,业主所录入的信息会直接上传到门禁系统供应商的平台。
征求意见稿指出,物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。中国政法大学数据法治研究院教授张凌寒认为,这有利于物业公司和供应商共同承担个人信息处理者的法律责任,明确知道相应行为可能会带来的风险,设置好相关运行机制。