3月15日,一年一度的中央广播电视总台“315”晚会播出。晚会曝光了科勒卫寓宝马等多家知名商店不经消费者同意就安装人脸识别摄像头。
3月16日早上7点40分,科勒(中国)投资有限公司就央视315晚会中,关于科勒门店摄像设备采集人脸信息发布致歉声明。科勒公司表示已安排相关门店连夜拆除摄像设备。
事件回顾
监控摄像头在生活中几乎无所不在,这些摄像头大多以保障公共安全为目的。然而,有些商家安装的摄像头却暗藏玄机。
记者在全国多地先后调查了20多家装有人脸识别系统的商户,所到之处,人脸识别信息均被偷偷获取,没有一个商家明确告知,征得同意更是无从谈起。
其中,科勒卫浴在全国上千家门店安装了具有人脸识别功能的摄像头,消费者只要进其中一家店,在不知情的情况下,就会被摄像头抓取并自动生成编号。以后顾客再去哪家店,去了几次,科勒卫浴都会知道。记者在科勒卫浴门店待了不到两分钟,就被抓拍了三次。
除了科勒卫浴,宝马汽车4S店、港汇恒隆MaxMara专卖店也安装了人脸识别系统。
其中,科勒卫浴的摄像头上标注着“万店掌”字样。通过联系,记者见到了苏州万店掌公司的相关负责人。薛经理承认,科勒卫浴确实装了他们公司具有人脸识别功能的摄像头。
除了苏州万店掌公司,悠络客电子科技股份有限公司、广州雅量智能技术有限公司、深圳瑞为信息技术有限公司等同样为不少商家安装了人脸识别系统。其中,悠络客电子科技股份有限公司经理透露,“这种摄像头已经安装了上百万个了。”苏州万店掌网络科技有限公司薛经理告诉记者,他们平台目前拥有的人脸数据量已经上亿。
那么,
面对人脸识别的安全问题,
院士专家们是怎么看的呢?
人脸识别等数据不可撤销 应用需慎重
中国工程院院士倪光南
2018国家网络安全宣传周,新京报记者就“人脸识别等数据保护”等网络安全问题对中国工程院院士、中科院计算所研究员倪光南进行了专访。关于“人脸识别”等数据的个人隐私保护,倪光南院士认为:
欧盟2018年通过的《通用数据保护条例》(GDPR),是一个很全面的隐私保护法规,值得我们用心研究学习。比如说,现在不少应用通过人脸识别、指纹识别非常方便,但是这些生物特征是不可重建、不可撤销的,所以需要很慎重地应用,防止泄露。假如在应用过程中泄露,是不可挽回的,这方面的安全保护还要加强规范。
当然,也有观点认为,类似的数据保护条例会给大数据应用带来很多制约。那么,如何更好地扬长避短,既能保护隐私,又能很好地扩展大数据的应用,依然是很大的难题。政府管理部门、法律专家、技术专家等要一起研究,平衡各方面的关系。
政府部门毫无疑问地要负主导责任,包括制定更好的法规,规范网络信息安全,起引领作用。另一方面来说,“网络安全为人民,网络安全靠人民”,这意味着每个人都有自己的责任,至少应有安全意识,认识到保护隐私信息的重要性,了解网络安全相关规范并执行。不过整体上,我还是希望政府监管部门、提供服务的厂商更多尽自己的责任,不要让个人来做这些事情。
尽快加快制定个人信息保护法
华中科技大学计算机学院院长冯丹
人脸等生物信息具有唯一性和不可更改性,一旦泄露易被不法分子利用,有些通过AI技术能把基础图片合成系列动图骗过机器。因此,建议从源头治理压实收集与保管责任,在非必需的场景慎用人脸识别等技术,提高应用门槛,更好地保护个人信息。
同时,信息的保管者负有保密责任,因此应采取技术措施和其他必要措施,确保信息安全,防止公民的面部信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。在防止信息泄露方面,建议采用信息安全技术,比如数据加密、访问控制、身份认证、入侵检测等,从技术上保障数据安全,同时对保管者加强法治教育。
希望加快制定个人信息保护法,通过法律防止人脸识别技术被滥用,避免个人信息采集的失控。
数据的收集与处理须合法有度
全国政协委员、民进上海市委专职副主委胡卫
以人脸识别为代表的生物识别技术在我国的规模化商用,确实带来了很多便利,但是生物信息属于社会基础性资源,具有终身不可更改等特点,这些数据在采集、传输、保存、使用以及第三方调用过程中,可能会出现数据泄露和滥用问题。
个人信息保护法草案已将“个人生物特征”纳入“敏感个人信息”范围,明确个人信息处理者只有“具有特定的目的和充分的必要性”,方可处理敏感个人信息。从法条本身来看,操作性仍然较弱,要进一步给涉及收集处理相关数据的企业以合规压力。
人脸识别数据的收集与处理必须合法有度。除了法律对人像采集有强制性规定的场合之外,人脸识别正在被广泛运用到火车站、机尝码头等公共场所,工厂、学校等企事业单位的刷脸签到和监控,以及银行、通信、交通、卫生等机构相关软件的身份验证等领域。上述行为是否符合网络安全法及相关信息保护法律规范的要求,值得思考。不仅如此,敏感数据被收集后,要符合怎样的安全要求才能被存储、处理和传输,目前法律还无细化的规定。
针对频出的个人信息遭泄露、买卖等问题,建议尽快出台数据安全法、个人信息保护法等法律,在重要行业和领域要加快制定实施细则和指引,指导行业企业强化数据安全管理。同时,参照国际普遍遵守的“数据隐私六原则”,建立所有涉人脸识别数据的公私部门须遵守和符合的特殊安全认证体系,加快人脸识别的标准体系研究,明确人脸识别相关标准,提高数据安全风险监测、预警和事件处置能力。
人脸识别技术应用单位,应建立信息安全管理体系,加强网络应用层、传输层、主机层、数据链路层、物理层安全防护,明确数据收集、传输、保存、处置、使用、共享、转让与委托处理、公开披露、数据出境、第三方服务接入等数据活动的安全管理和控制要求。
综合整理自央视新闻、央视财经、检察日报、最高人民检察院、澎湃新闻
编辑:王彤
