“一旦泄露即终身泄露,即便维权成功也难以恢复原状。”
从银行、机场、高铁,到公园、公司、小区,人脸识别已渗透到生活的方方面面,但伴随着海量的人脸数据被收集,新型的犯罪问题也一一暴露。
今年全国两会上,信息安全成为焦点话题。全国人大代表、暨南大学管理学院会计系教授卢馨带来了与人脸识别相关的建议。
“人脸识别生物信息具有唯一性、永久性与不可替换性,一旦泄露即终身泄露,建议立即清理整顿非必要的人脸识别,明确规定人脸识别使用范围。”卢馨在接受21世纪经济报道专访时表示,区分是否“必要”,关键看是否涉及公共安全。
受访者供图
人脸信息泄露即终身泄露
《21世纪》:为什么会关注到人脸识别的问题?
卢馨:近年来,人脸识别在居民消费领域,刷脸购物、刷脸进出等应用场景已屡见不鲜;在城市轨道交通领域,国内已有多个城市试点人脸识别购票乘车。
同时,有关人脸识别的争议性社会事件也频频出现。2018年7月,有犯罪分子非法购买个人信息制作“换脸”视频,突破了支付宝的人脸识别认证。2019年,又有“00后”绕过了银行APP的人脸识别系统,使用虚假身份注册多个账户并倒卖牟利。
人脸数据一旦泄露、被滥用,可能使相关的违法犯罪活动激增,给公众的人身财产安全带来无法估量的风险。因此,我希望加强人脸识别技术的监管,规范人脸识别应用。
《21世纪》:相较其他个人数据,人脸数据有什么特性?
卢馨:人脸识别生物信息具有唯一性、永久性与不可替换性,终身无法修改,一旦泄露即终身泄露,即便维权成功也难以恢复原状。
《21世纪》:人脸识别一旦泛滥,可能存在哪些风险?
卢馨:首先,为了满足实名制要求,大多数应用在使用过程中要求用户上传身份证信息资料和照片,有些甚至要求用户提交手持身份证的照片等。另外,不少网民在朋友圈晒的各类生活信息,包括本人、好友以及家人的照片,均成为人脸数据违规采集与数据泄露的主要途径。
其次,人脸识别系统容易受到各类蓄意的仿冒攻击。因人脸识别系统可以对摄像头采集的人脸图像进行辨认,却无法识别采集的人脸图像是来自真人还是一张照片,不法分子盗用的合法用户人脸照片、视频及伪造3D头套等均有可能被机器识别。
是否必要使用,取决于公共安全
《21世纪》:在规制人脸数据的采集和滥用上,目前有哪些法律法规或相关条例?
卢馨:天津日前表决通过《天津市社会信用条例》,明确市场信用信息提供单位采集自然人信息,除法律另有规定外,应经本人同意并约定用途,且不得采集自然人的生物识别等信息。在《天津市社会信用条例》出台不久前,杭州市政府审议的《杭州市物业管理条例(修订草案)》也明确规定,物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。
去年以来,我国出台了不少有关生物识别信息采集的规定。2020年10月1日实施的《信息安全技术个人信息安全规范》明确提出,收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得信息主体的明示同意;2020年10月21日,《个人信息保护法(草案)》征求意见稿发布,强调只有具有特定的目的和充分的必要性,方可处理敏感个人信息;今年年1月1日正式实施的《民法典》第1035条规定,处理生物识别信息等自然人的个人信息,应当遵循合法、正当、必要原则,不得过度处理。
《21世纪》:你提出“立即清理整顿非必要的人脸识别,明确规定人脸识别使用范围”的建议,如何理解“非必要”?
卢馨:区分人脸识别应用的“必要”和“非必要”,关键看是否涉及公共安全。如银行、机场、高铁等涉及到公共安全的区域,则有使用人脸识别技术验明身份的必要性。
如今,我们的人脸数据通常被没有任何资质的组织或系统获取,甚至强迫使用。可以预计,因滥用人脸数据而暴露出来的犯罪问题,已经远远超过了公共安全的需要。
建议警方统一审批监管
《21世纪》:保护人脸数据的难点主要体现在哪些方面?
卢馨:在人脸识别领域,相关法律还是严重滞后的,现有的法律保护框架难以有效规制人脸识别。个人将数据的收集、使用和处理交给企业或政府后,难以进行后续的监督和控制,政府也很难直接干涉企业内部的经营。
缺乏统一的监管组织也是保护的难点之一,一旦数据被滥用犯罪,个人甚至找不到责任主体。
最重要的是,人脸信息一旦传开则终身泄露,即使犯罪分子受到了法律惩罚,但被侵权的人受到的伤害已经无法弥补,因为人不能再去换一张脸,被泄露的信息也会永久性在网络上传播。
《21世纪》:你对保护人脸信息还有什么建议?
卢馨:法律完善需要一个过程,而我们当下亟需行政命令来立即禁止滥用。
建议由公安部门统一承担人脸识别应用的审批与监管职能,设立相应审批标准及程序,加强资源统筹、部门协作、信息共享。
除道路、机场、银行等法律规定的必要的安防应用以外,涉及对特定及非特定对象的处所,如学校、酒店等在应用人脸识别技术前都应申报审批,公安部门依法审核其合法、正当和必要性。
由公安系统监控数据安全,要求以必要安保措施限于最小范围使用;禁止非授权擅自使用人脸识别,对于如商场等非特定人群的经审批的人脸识别应用,须以显著标识告知相对人。
同时,还应集中整治不规范的采集与使用。由公安系统监督,立即清理整顿非必要的小区、写字楼、商场、公园、市场、企业等单位,拆除人脸识别设备。对不合规安装、使用人脸识别技术的要求定期整改,依法打击非法滥用。制定集中整治计划,开展自查、主管核查、公安检查和市民举报等专项整治。同时,清理电子政务平台人脸识别认证安全漏洞。
最后,组织专项立法,完善相关法律法规。明确界定设备及数据主管部门职责、技术标准、数据使用、管理权限、资质要求等。规范数据权属、使用、交易、共享机制,明确数据所有、使用与收益权限。还需要明确机构对数据的权限,制定数据摄制、采集、储存、传播、使用、销毁等法定程序及数据分类管理规则。
(作者:张雅婷,实习生郭美婷 编辑:曹金良)