文/中国质量万里行 罗克研
前不久,江苏平女士在中国质量万里行消费平台发来投诉,她在大麦网帮闺蜜购买了一张10月3日国潮音乐节的票,买票时进场规则是刷身份证入常平女士原本是想闺蜜当天去看演出,但之后当她登陆大麦网时发现进场规则改为了刷身份证和人脸识别进场,这就意味着人票证合一必须她本人进常大麦网临时“人脸识别”的入场规则,让平女士退不了票,闺蜜也错过了音乐演出。
现今,人脸识别的应用越来越广泛。“人脸解锁”、“刷脸支付”、“刷脸进出”等行为,很多人觉得在日常生活中已经变得非常普遍了,新技术应用带来多便利性的同时,另一方面,人脸信息被滥用、被盗用风险也在加大。
“湖北广水一名94岁的老奶奶行动不便,为了激活社保卡,被人抬到银行进行人脸识别。”“被售楼处人脸识别拍到,买房多花30万?有人被迫戴头盔看房。”“杭州这小区装了人脸识别系统,有人反对:信息泄露了怎么办?”
人脸识别技术该不该“渗透”到所有领域?像激活社保卡是不是非要启用人脸识别?售楼处人脸识别系统的“无感抓拍”真的能把顾客分类,并与购房优惠挂钩?
清华大学法学院劳东燕教授认为,所谓“无感”的个人信息收集和处理行为均不合法,同时,人脸识别将看房者区分为不同类型,给予不同的优惠力度,还有“价格和服务歧视”的嫌疑。且不说人脸信息到底怎么用,首先,搜集就是不合法的。人脸数据肯定是个人信息,这种收集行为,作为企业肯定是要征求消费者同意才可以。而且征求同意的前提就是要告知,不仅要告知要收集,而且要告知收集来了以后用来干什么,包括使用目的等都要进行告知。这些房产企业都是‘无感抓取’,所有人都不知道。在不知道的情况下直接抓取人脸信息,实际上就是非法获取个人信息。”
众所周知,面部识别系统是能够从数字图像或来自视频源的视频帧识别或验证人的技术。面部识别系统有多种方法可以工作,但一般来说,它们通过将给定图像中的选定面部特征与数据库中的面部进行比较来工作。它还被描述为基于应用的生物识别的人工智能的程序,该程序可以通过人的面部纹理和形状分析模式来唯一地识别人。
目前在全球范围内,从事人脸识别系统的企业很多,国外知名的有Aurora、IDEMI,EnterFace,Artec Group和Herta A等;国内这些年也涌现了很多实力派,如云从科技,大华股份,浙大网新科技,海康威视和旷视科技等。
目前,人脸识别存在的安全隐患,一是人脸识别未经用户许可擅自采集用户人脸数据,并用作商业用途;二是人脸数据被采集后,通常有很长的生态链,商家不仅拥有了用户的人脸数据,还拥有了用户的消费习惯、财务状况等其他信息,这些信息一旦泄露,将对用户的隐私造成巨大的损害。
比如我们用于支付交易的人脸识别流程,包括眨眼、张嘴、摇头、点头等一系列验证方式,实际上已经被一些恶意人士破解,甚至用于借贷、套现等不法行为,而当事人却对此一无所知。
业内专业人员透露,人脸识别的信息存储仍基于计算机可识别的语言,即数字或特定代码,而随着这些数据价值的提高,面临黑客攻击的风险也会越来越高。“所有带有动态人脸识别的APP,都有‘活体检测’功能,当该功能做得不够严谨时,则会出现系统无法区分真实和伪造数据的漏洞。”
此前网上公开报道,一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程,“人脸数据0.5元一份、修改软件35元一套”。
如何避免人脸识别技术被滥用?如何保护个人信息安全?这一连串的问题都在考验着社会里的每一个人。
2019年,前瞻产业研究院数据显示,2019年人脸识别市场规模达34.5亿元;未来5年人脸识别市场规模,还将保持20%以上的增长速度;预计2024年,市场规模将达100亿元左右。
智研咨询发布的《2019-2025中国人脸识别行业报告》也显示,2015-2020年间全球人脸识别市场增长166.6%,在包括指纹识别的众多生物识别技术中增幅居于首位,预计到2021年中国人脸识别市场规模将突破50亿元。
业内人士分析,当前的情况是,技术跑在监管前面。人脸识别行业监管不到位,针对采集人脸信息的公司没有规范的管理办法,比如哪些公司可以采集、什么用途、保存多久、谁可以看、要不要加密、什么样的清晰度,这些应该有一些法律规范,目前行业比较混乱。另外,从人脸信息的采集、储存、传播到再利用,中间哪些环节该为信息泄露负责?而泄露后的人脸数据,究竟会被什么样的人使用,用于怎样的场合,是否可能导致财产的损失与其他人身权益的侵犯,更没有一个清晰的法律界定。
但可以确定的是,人脸数据的泄露,所带来的潜在的安全风险,远比手机号与账户信息的泄露更为严重。也因此,世界各国都在思考,如何对其设置更为合理和科学的监管规则来保护个人隐私与数据安全。
今年10月1日,《信息安全技术个人信息安全规范》正式实施,在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。此外,10月21日开始向社会征求意见的《中华人民共和国个人信息保护法(草案)》第27条也规定,在公共场所安装图像采集、个人身份识别设备,应当设置显著的提示标识。
近日,受到舆论广泛关注的“人脸识别第一案”在浙江省杭州市富阳区人民法院一审宣判。
杭州野生动物世界因强制刷脸入园,最终被判决赔偿郭某合同利益损失及交通费共计1038元,删除其办理指纹年卡时提交的包括照片在内的面部特征信息。针对这一判决,有法律专家表示,这是迄今就“人脸识别”作出司法回应并试图厘清“刷脸”法律边界的最新努力。虽然消费者胜诉,但信息保护仍任重而道远。