据新华社杭州11月6日电 (记者吴帅帅、张璇)杭州野生动物世界强制要求录入人脸信息“刷脸”入园,年卡持有者郭先生因此将园方告上法院。近日杭州一起服务合同纠纷案件因为涉及“人脸识别”、采集公民生物特征信息等要素,迅速成为网友热议的话题。
网友担心信息泄露
随着人脸识别的普及,打开手机、收取快递、进出门禁……人们似乎越来越多地要在镜头前完成“刷脸”这道程序,这让网友不禁担心个人信息泄露。
浙江浙杭律师事务所高级合伙人姜海斌律师表示,这个案件中,原告引用了消费者权益保护法的相关规定,认为被告不能强制收集原告的个人生物识别信息,属于服务合同纠纷案件。原告在杭州野生动物世界购买年卡即和园方之间成立了合同关系,园方在履行合同的过程中突然增加人脸识别入园的限制性条件,属于变更合同的内容,需要与原告协商一致。
姜海斌表示,我国网络安全法第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。而目前很多运营者在使用“刷脸”技术时,并未考虑到收集个人生物识别信息过程中所存在的法律风险。
此前也有媒体报道,国内某快递柜提供人脸识别,但小学生仅依靠一张打印照片就能轻而易举地攻破,人脸识别的安全性令人担忧。奇安信网络安全研究中心主任裴智勇分析,从这些事件来看,就是应用场景方面出了问题。
不少网友在担心“刷脸”引发个人信息泄露的同时,也提出是否有必要对人脸识别的应用场景进行限制?
裴智勇认为,从技术上看,人脸识别的适用场景应该包括三大要素。首先是需要绑定设备,比如手机“刷脸”支付功能,是通过绑定手机实现的,用自己的手机“刷脸”可以,但用别人的手机“刷脸”就不行。其次是应用场景最好有人值守。第三是配合其他安全技术共同使用。
浙江大学计算机学院人工智能研究所教授李玺认为,从目前技术看,脸部和声音都可以在技术上实现辨伪。但“人脸识别”等生物识别技术如果仅凭“我的特征是什么”这一个因素,很容易被攻破或利用。从物理层面上,它可能会因为个人数据被滥用而被恶意“复制”;技术层面讲,现有技术还需要更多安全验证,才能被进一步推广。
要避免随意授权
安全专家建议,在人脸识别的应用场景下,个人应尽量选择大型的企业、机构上传信息,这些机构数据库安全系数相对较高,同时注意相关条款,避免不知情的情况下随意授权。
相关法律界人士认为,个人信息保护法正在加紧制定中,但这并不意味着人脸识别可以无限制推广。收集信息、服务提供者应该自我审视应用场景是否合适。应用人脸识别技术之前,相关商业机构、社会组织等主体需要确保数据安全,这也符合我国网络安全法“谁收集、谁负责”的原则。
生物特征信息屡遭过度收集
记者从北京大学法学院副院长薛军教授处了解到,当前,人脸、指纹等个人生物特征信息已经成为身份证号码、手机号码等信息之外,过度搜集公民信息案件中新的“重灾区”。
同时,由于生物特征信息与个人财产、人格权益之间的联系日趋紧密,信息一旦丢失或失控,将给信息所有者造成巨大且难以挽回的损失。
这并非杞人忧天。2019年2月深圳某人脸识别企业被证实发生数据泄露事件,超过250万人的核心数据可被获取,680万条记录泄露,其中包括身份证信息、人脸识别图像及GPS位置记录等。
一些软件也涉嫌过度采集用户的生物特征信息。此前,中国消费者协会曾发布《100款App个人信息收集与隐私政策测评报告》。报告显示测评的100款App中,10款App涉嫌过度收集个人生物特征信息。一度成为互联网热门应用的某换脸软件开发企业,也在今年9月因涉嫌未依法依规收集使用用户个人信息被工信部约谈。
有国内知名互联网企业视频识别安全专家向记者透露,当前存在为数不少的不法分子、数据黑灰产从业者为通过实人认证,达到注册虚假账号或者直接侵犯他人账号的目的,需要相应的人脸信息,甚至在国内已催生出一定规模的“过脸产业”。
记者搜索互联网,发现网络论坛中存在大量针对电商平台、特定设备的“过脸”技术解答,甚至有完整“过脸”技术教程,包括软件选择、脚本设置等。一些网站上还有“过脸软件”代码链接,随意供人下载。
我们的生物特征信息流入何处?是否安全?
那么在日常生活中,究竟是谁热衷于记录和储存我们的生物特征信息呢?奇安信网络安全研究中心主任裴智勇告诉记者,当前大致有三类主体。
首先是部分视频监控的运营主体。比如通过商场酒店、会议场馆等公共场所视频设备采集信息。
其次是一些公共职能部门、大型互联网企业、商业机构等,经过用户授权,采集包含用户个人生物特征的数据信息。
第三是科研机构因为科研需要收集使用,如存储一定规模的样本供人工智能进行学习、训练。
浙江大学计算机学院人工智能研究所教授李玺表示,目前公民生物特征信息的主要采集储存主体提供信息安全保护的能力水平参差不齐,信息公开透明度也不够,容易导致海量信息面临安全风险。
与此同时,业内人士透露,目前在授权采集过程中,大量商业主体为降低自身成本,通过格式条款或单方告知的形式“逼”处于弱势地位的公众出让生物特征信息,甚至在合同约定中暗含自我免责条款。这些都不利于相关信息保护。
“未来也不排除根据收集来的数据重建个人生物识别特征的可能,比如3D打印技术‘复刻’人脸。到那时我们所面临的风险就不仅仅是虚拟世界被入侵,而是现实生活中被冒充。”奇安信集团副总裁左英男说。
正邪技术力量仍将缠斗 法律空白亟需填补
受访网络安全专家认为,人脸、指纹、虹膜甚至基因,生物特征信息因其随身性、唯一性,将被愈加广泛地应用于金融、购物、安全等生活场景的趋势不可逆转。但其可复制性则同样决定了围绕信息安全技术所展开的“道魔之争”将长期持续。
记者了解到,目前针对“换脸”潜在的风险,技术层面主要可以通过“活体检测+人脸比对识别”应对,同时通过翻拍、3D结构光、多维度生物特征信息等辅助技术,也能够在一定程度上增加相关技术的安全性。
有专家认为,当前相关法律规范层面的缺位同样亟需填补。
据浙江浙杭律师事务所高级合伙人姜海斌律师介绍,我国网络安全法规定了“谁收集、谁负责”的原则,并规定收集个人信息须经被收集者同意,其中包括个人生物特征信息。但对于收集相关信息主体需要提供何种程度的保护力量、如何评估与公开、公民个人敏感信息的保护层级、具体保护措施等关键问题,目前均尚未制定具强制力的法律规范。
