本报记者 曲忠芳 李正豪 天津 北京报道
人脸识别技术大规模应用,在推动社会发展的同时, 其身后的数据隐私及安全风险问题也日益突出。不过,近期的多项案例都在表明,对于居民人脸数据的采集、运用、保护正逐渐引起有关部门的重视。
2021年1月1日,《天津市社会信用条例》(以下简称《条例》)正式施行,该条例明确规定“市场信用信息提供单位不得采集自然人的生物识别信息”,按照国家标准《信息安全技术 个人信息安全规范》,个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。尽管在适用区域、规范主体存在“局限性”,但在法律界看来,《条例》是国内第一个明确向人脸信息采集发出“禁令”的法规。
此外,在2020年11月,“中国人脸识别第一案”落槌。杭州市富阳人民法院一审判决,作为被告的杭州野生动物园删除原告郭某办理年卡时提交的面部特征信息,赔偿郭某合同利益损失费及交通费。
不过,《中国经营报》记者在调查中发现,目前对人脸信息的保护措施仅是内网部署、向公安机关备案等方面,记者就此进一步采访了终端设备厂商、算法厂商以及法律专家、网络安全专家等,通过采访调查了解到,因缺乏行业标准,刷脸门禁市场参与者鱼龙混杂,信息安全保护能力参差不齐,人脸信息的保护仍处于“奔”状态。
全国信息技术标准化技术委员会最新发布的《2020年人脸识别行业研究报告》援引IT桔子、前瞻研究院等第三方调研机构的数据称,截至2020年12月,中国人脸识别技术总投资额已达到406亿元,预计到2024年中国人脸识别市场规模将突破100亿元。如何在技术大规模应用中厘清法律及安全边界,已成为亟待解决的重要课题。
“禁令”落地
《条例》是在2020年12月1日由天津市人大常委表决通过的,一个月后,即2021年起施行。该条例第十六条规定:“市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史,以及法律、行政法规规定禁止采集的其他个人信息。”
《条例》的施行,在天津市的居民社区里也产生了较大的反响。
1月7日下午,当记者来到西青区大寺村谊龙花园社区时,恰好遇到两名工作人员一东一西各在安装一台“360守望智能门禁”的刷脸门禁设备。
社区党群服务中心的一位工作人员向记者介绍道,2021年1月15日前后就会正式启用刷脸门禁,“元旦前已经征求过住户意愿,住户都是自愿办理,愿意刷脸进出的占大多数,当然,不愿意刷脸出入的,我们也不强制,使用门禁卡也能正常进出。”
“您提到的新法规,我们早就学习了解,社区里安装刷脸门禁主要是为了防控疫情和保障社区安全。至于信息保护方面,已在公安局做了备案。”该工作人员如是说道。
不同于谊龙花园对刷脸门禁“尝鲜”,和平区的文化村社区作为智慧平安示范社区之一,早在2018年就安装了刷脸门禁设备。1月6日当记者到达社区门口时,刷脸门禁设备下方仍贴着一张纸条,提示住户若进出小区时发现设备提示“人脸信息未注册”,原因是未登记同意2021年继续使用人脸识别信息,被系统默认为“不同意使用”。
记者随机采访的几位住户透露,早在“禁令”颁布不久,即2020年12月里,社区居委会就在微信群、通告栏、广播里通知居民,年底前需自行决定是否继续使用人脸识别信息,并且通过书面方式记录,设备系统进行了重置。少数不同意的、或者未在元旦前登记的住户,可以刷门禁卡、身份证正常进出。
记者试图向文化村居委会进一步采访了解居民意愿征集结果,居委会及所属的街道办事处方面表示“目前已不接受所有媒体的采访”。
随后,记者来到了东丽区的万科金色雅筑,门口一侧的刷脸门禁设备非常明显,并有明显提示“您已进入监控区域”。万科物业“幸福驿站”的工作人员告诉记者,刷脸门禁已安装三四个月了,住户自愿办理。该工作人员向记者展示一个二维码,扫描后输入“管理处已登记手机号码”,再填写相关身份信息即可办理。
而东丽区地理位置更远的军丽园、军宏园社区,尽管出入口安装了支持刷脸功能的门禁设备,但保安处负责人告诉记者,刷脸功能一直并没有使用,里面有红外测温功能,所以主要是为了防疫,一旦显示用户体温过高就会发出警示声音。
在记者走访小区过程中随机采访的二三十名业主或租户中,大部分的用户都不否认刷脸门禁的便捷性,而且对于防偷盗、保障公共安全有利。其中,有大约五六位受访者主动提及网络信息安全的担忧,不过这种担忧又很快被他们“自我化解”,有的表示信息泄露倒卖并不新鲜,关键是自己注意保护人身财产安全,有的受访者提出,刷脸门禁在社区刚兴起没多久,真正出现安全问题的概率或许比较小,相信居委会和公安机关,可暂且“让位”于生活便利和公共治安。
人脸数据的悬顶之剑
然而,人脸识别技术遍地开花,人脸信息的泄露甚至贩卖是否真如上述受访者表示的一样,是一个“小概率”事件呢?
奇安信集团行业安全研究中心主任裴勇智在接受记者采访时指出,人脸信息的安全风险之所以应该被高度关注和重视,是因为当人脸信息被广泛应用于大量的社会生活或者互联网应用时,购物、上班、办卡、甚至去景点游玩等都跟“人脸”产生了关系,一旦人脸信息与其他关键的个人信息匹配在一起的时候,那么它被用于网络诈骗等违法犯罪的风险就会大大增加。以社区录入人脸数据为例,假设社区的数据记录被窃取,那么住户个人在小区内部的所有行动轨迹可能都会泄露或被滥用。
据天眼查数据统计,截至1月12日,全国共有10337家企业的名称、产品、经营服务、知识产权中涵盖“人脸识别”。2019、2020两年里新注册的人脸识别企业数量明显增多,分别约为2000家、1500家。而这上万家市场参与者,其信息安全保护能力也千差万别。
记者打开某电商平台网站搜索“人脸识别门禁”,结果可谓五花八门,商品超过1.1万件,品牌数量大约有324个,商品价格更是差距悬殊,从四五百元到上万元不等。
排名较前的ZKTeco门禁设备生产商“熵基科技股份有限公司”的一位负责人表示,该公司的硬件设备配合软件一起销售,设备的序列号与软件的编码全部绑定,相当于“双面保险”,不会出现一个设备拿到任何一个地方都能用或者查到记录这种情况。人脸信息安全能够保障,软件及设备部署在本地网络服务器里,数据管理有权限设置,除非有“内鬼”调用。
在记者走访中,发现对于“内鬼”的防范,目前更多的是靠收集、使用相关数据的公司、机构的内部自律。
对于人脸等身份信息是否安全的提问,上述万科物业的工作人员回应称,“我们是不会传到外面的,就连业主的手机号码,即使邻居询问,我们也会先打电话与业主核实确认。”
“数据泄露的情况一直存在,不具备信息安全能力的企业掌握的数据迟早都会泄露,有能力做好数据安全的企业屈指可数。”一位从事网络安全近十年、不愿具名的资深人士如是说道。
该人士“支招”道,如果社区、物业在做人脸信息的采集,居民应当先问一句“你们的信息安全等级保护达标了吗?”
据了解,所谓信息系统,其安全保护等级分为五级,从第一至第五逐级增高。一般市场上能够做信息安全保护等级认证的企业以三级或二级为主,由公安机关发放“信息系统安全等级保护备案证明”证书。
北京华清信安科技有限公司项目总监魏宏伟告诉记者,从花费成本来看,以北京市为例,做安全信息等级保护认证花费在10万元左右,再加上购买安全产品总共花费在20万元左右,而且每年都要做复测,复测的费用基本也得八九万元。很多实力有限的企业一般不会投入,重视程度也不够,可以说系统运行基本是“蒙眼跑步”状态。
裴勇智说道,小区的物业公司或者其所雇佣的服务商是否具备足够的技术能力,是否提供了充分的技术保障能力确保信息不被黑客窃娶不被“内鬼”盗用?当人脸识别技术在进行大规模民用的时候,从信息安全角度一定要具有充分的安全保障,或者说经过专业的安全资质审核。
亟待法律完善
在采访中,终端厂商、算法厂商以及网络安全领域的业内人士对人脸信息的安全风险则持更谨慎的看法。
作为算法厂商的云从科技的相关负责人则表示,技术厂商能够做的主要是技术合规,如私有云部署、数据归使用方管理,以及操作合法,不具备回溯性等,云从科技近年来参与了很多国家标准的制定,但在实际应用中,还需要相应的法律法规来规范数据使用方。
在现实中,呼吁用法律法规来推动数据的规范使用和保护也正在形成共识。
由腾讯研究院、中国信通院互联网法律研究中心联合出版的《人工智能》一书中提到,“安全问题与发展问题,类似油门与刹车的关系。如果不踩油门加速,单纯踩刹车,连汽车存在的意义都没有了。”显然,技术创新应用应该找到法律约束及行业规范的边界。
就当下的天津出台的《条例》来看,无疑具有一定的正面示范效应。
北京云嘉律师事务所律师、中国政法大学知识产权研究中心特约研究员赵占领指出,《条例》属于地方性法规,其适用范围是天津市辖区的主体,或者企业等主体在天津市内的市场行为;规范的对象并不是所有企业,主要是市场信用信息提供单位。对于人脸信息保护而言,该条例的适用性显然比较局限,但作为国内针对特定主体明确禁止采集人脸信息的首个法规,对其他相关立法具有参考与借鉴意义。
“人脸识别第一案”原告方的代理律师、浙江垦丁律师事务所主任张延来告诉记者,《条例》规范的主体是提供一些公共服务的机构,提供信用信息与采集个人生物识别信息之间并没有直接关系,因此法规直接禁止了,但是对于更多的民用或商用场景领域中的人脸等个人信息采集,立法不能直接“一刀切”禁止,要征得用户的授权同意。在鼓励商业技术创新与保护个人信息安全之间,应该找到平衡,而不是单纯地扼杀。
在此之前的2020年10月21日,全国人大官网公布了《个人信息保护法(草案)》,向社会公开征集意见,明确规定了公共场所这种人脸识别1:N场景下的采集规定,“所收集的个人图像、个人身份特征信息只能用于维护公共安全目的,不得公开或者向他人提供”。
张延来向记者指出,该草案中还规定了个人敏感信息和颇具震撼力的法律责任,尤其是对情节严重的违法行为可以没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,与营业额挂钩显然抬高了违法的成本 。不过,从草案到颁布再到正式施行,还有一定的时间周期。人脸识别信息如果想得到有效的监管和保护,除了事后补救,还需启用事前监管,出台强制性标准规范市场参与主体的行为。
除此之外,地方及行业内的配套法律法规也在跟进。《杭州市物业管理条例(修订草案)》也在审议阶段,其中第四十四条明确指出物业“不得强制业主通过指纹、人脸识别等生物信息方式使用公共设施设备”。
裴勇智向记者说道,“个人信息的泄露不光在国内,在全球范围内都是一个高概率事件,网络安全不能阻碍社会进步,既不能只为了安全限制技术发展,但安全风险的骤增或爆发会影响到技术创新与商业经济的健康发展。提供人脸识别技术产品或服务的厂商,应该经过一定的资质认证,或者由监管部门发放相应的执照或牌照,即使具备了资质或牌照,还要加强信息安全监管。一旦发生信息安全事故,对责任主体进行追责与处罚。”
《2020年人脸识别行业研究报告》中对人脸识别数据安全也提出了相应的解决方案,在加强立法明确数据安全主体责任的同时,规范人脸识别数据运作关键环节,加强对人脸数据安全监控。比如在数据采集阶段,对数据进行分类、分级管理;在数据存储阶段,对敏感数据进行特殊保护与脱敏处理,并对数据使用人员进行授权管理与访问控制;在数据挖掘与应用阶段,对数据的使用行为进行审计与溯源。运用大量的新型手段,真正确保数据信息的可信性和安全性。
从全球人脸识别技术领域的应用场景布局来看,人脸识别技术已广泛应用或快速渗透在安防、金融、交通、楼宇、零售、智能设备、教育、医疗、娱乐等领域,为经济社会的发展以及人们的日常生活的便捷带来了新机遇。与此同时,人脸等个人信息安全保护问题也将成为社会的长期课题,如何在技术狂飙中提升社会的安全感,将由时间来检验。
(编辑:张靖超 校对:张国刚)