“刷脸”正在变得无处不在,这无疑给人们带来了很多便利,但在对各种数据没有扎实“保险”的信息世界里,人们更接近于“裸奔”。“面子数据泄露和滥用的最大问题是,造成的危害是不可逆转的。与密码不同,面部信息不能重置。”
人脸识别视频最低0.5元/套,高质量视频100元/套以上。其中,质量更高的视频可以被大多数应用验证的消息令人恐惧。“刷脸”时代已经到来。普通人该如何保护自己的“脸”?
关于人脸数据的“竞争战”开始了。一方面,很多移动互联网应用(APPs)在人脸数据领域疯狂“攻城战”,很多APPs甚至采用不进行人脸识别等“霸王”条款。不能发快递,不能发简历,不能上厕所,甚至有些公司安装摄像头“窃取”人脸数据.另一方面,公众对面子信息等个人信息保护的强烈呼吁和监管部门继续重拳出击。
4月23日,《信息安全技术人脸识别数据安全要求》国家标准草案开始征求公众意见,提出刷脸必须获得明示同意,不得用于预测个人经济状况。
另外,《常见类型移动互联网应用程序必要个人信息范围规定》将于今年5月1日正式实施。明确了App运营商不应因为用户不同意收集不必要的个人信息而拒绝用户使用App基本功能服务。
工信部信息通信经济专家委员会委员、联合国世界丝绸之路论坛数字经济研究所所长、浙江大学教授王春晖表示,标注个人必要信息的范围,填补了人脸识别应用领域的空白。这一次,不断延伸到“脸”的“黑手”能被砍掉吗?
不“刷脸”就不能买票、寄快递
“我需要我的面部信息才能登录吗?”3月28日,来自北京的孙斌(化名)通过身份证号码等信息登录到一家航空公司的官方购票应用程序中,但显示该账号有风险,需要验证。孙斌通过了App提供的“银联认证”,但被告知“暂时不支持此认证方式”。孙斌说:“唯一的办法也是徒劳。”
随后,孙斌打电话给航空公司,客服告诉他,系统判定该账户安全级别过低,从而“冻结”了他的账户,称“这是为了你的账户安全”。“解冻”的唯一方法就是完成人脸识别。孙斌说,这显然是被迫“擦脸”。
就像孙斌的遭遇一样,高明明(化名)被迫“刷脸”。她用快递柜发邮件时被告知,根据快递规定,发邮件需要验证身份,唯一的验证方法是人脸识别。下单前,她已经在官方微信微信官方账号上通过实名认证。
《快递暂行条例》,2018年5月1日生效,规定实名快递。收发快递时,应核对寄件人身份,并登记身份信息。发送人拒绝提供身份信息或者提供的身份信息虚假的,经营快递业务的企业不得接收和发送。其中,是否使用人脸识别还没有明确的定义。
北京馆陶中茂律师事务所合伙人王宇威表示,发送快递不需要收集人脸信息,这里需要在身份识别的幌子下进行人脸识别。人脸信息不能应用于快递的识别,问题是不应该是唯一的手段,应该给消费者选择权。
目前,社区安全和智能零售是人脸识别安全风险的重灾区。在王宇威看来,人脸识别的主要安全风险在于它的应用过于广泛。“最让人担心的是,我不知道这个信息是从哪里泄露的,甚至可能是海外。”
通过一张脸掌握一个人的消费习惯
“刷脸”正在变得无处不在,这无疑给人们带来了很多便利,但在对各种数据没有扎实“保险”的信息世界里,人们更接近于“裸奔”。而且各种应用的信息都是从个人位置到照片,再从通讯录到人的‘脸’信息。个人信息挖掘的速度在加快,深度在增加。
“面部信息的背后是一个人的地址、喜好和消费习惯。掌握了这张‘脸’,就掌握了一个人的习惯。”王春晖表示,在人脸识别领域,许多应用程序都在不断布局,以方便用户有针对性地“画像”,从而准确定位和营销,实现更大的商业价值。
事实上,人脸识别相关行业正在发展。一友智库发布的《2019计算机视觉人脸识别市场研究报告》显示,2018年中国计算机视觉人脸识别市场规模为151.7亿元,预计今年将达到530亿元。
然而,与人脸识别相关的风险越来越突出,如个人信息泄露和滥用。一些企业由于管理不到位、应用方法不规范、安全技术不到位,泄露了人脸信息、行踪等敏感个人信息。
人脸等个人信息的收集和销售甚至已经形成了成熟的黑色产业链。最近,在一些社交平台和网站上,许多卖家都制作了清晰的人脸识别视频
码标价,100元一套,其中包括身份证正反面照片、以及手持身份证照片和点头、摇头张嘴等诸多视频。并且,卖家还打包票称所售验证视频,能通过大多数App平台验证流程。 据媒体报道,个别卖家透露,如今市面上流通的身份证照片大多是在小额贷款平台和公司野蛮发展期间泄露出来的;有些则是各个行业以人脸识别技术开发和系统测试为名采集而来。 其中,不乏通过技术伪造的人脸识别视频。王春晖观察到,人脸识别技术在不断发展,相关的“伪造技术”也在不断迭代。甚至有人用身份证照片就可以进行模拟人脸识别需要的张嘴、眨眼等动作,甚至可以骗过许多技术等级不高的人脸识别平台。 “信息之所以被伪造核心在于个别企业的人脸识别技术不太行。”王渝伟表示,如果一个企业的核心算法够强,伪造的难度就很大,伪造成功率也很低。 当前,人脸识别的技术提供商很多,但水平参差不齐,有的企业没有能力支撑人脸数据安全保障。企查查数据显示,目前,我国共有人脸识别相关企业7404家,并且,相关企业注册量已连续3年突破1000家。近年来,各类人脸识别系统也层出不穷,据统计,我国人脸识别相关专利目前共1.37万件。 王渝伟也观察到,当前,人脸识别市场竞争激烈,不少企业为了争夺市场份额,低价出售人脸识别技术或者设备,行业内甚至在一定程度上打起了“价格战”。王渝伟说,在这种情况下,人脸识别技术变现难,一些企业将盈利的可能性聚焦在数据上,“很多企业只是希望拿到人脸数据。” 监管逐渐进入“深水区” 人脸数据十分特殊而敏感,监管刻不容缓。王渝伟表示,“人脸数据泄露和滥用最大的问题在于造成的危害是不可逆的,与密码不同,人脸信息不可重置。” 事实上,监管方面也一直在发力。比如,近期发布的《常见类型移动互联网应用程序必要个人信息范围规定》明确了39种常见类型App的必要个人信息范围。 “现在监管迈出了一大步,逐渐进入了‘深水区’。”王渝伟表示,这里对每类App可以采集的个人信息作了详细规定,行业的标尺更为明确,监管的效率也将更高,这也意味着对人脸信息安全的保护能力可能将会提高一大截。 与此同时,一些地区也开始出台相关规定,明确物业不得强制业主进行人脸识别。日前,经四川省人民政府第64次常务会议讨论通过并提请四川省人大常委会第二十六次会议审议的《四川省物业管理条例(修订草案)》(以下简称《条例》)明确,物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。给予业主选择权的同时,也保护业主的隐私。 当前,人脸数据被泄漏、滥用后,老百姓维权的难度依然很大。今年4月,备受关注的“人脸识别第一案”迎来了终审判决。被告杭州野生动物世界被判删除原告郭兵办理指纹年卡时提交的包括照片在内的面部特征信息和指纹识别信息,并于判决生效之日起十日内履行完毕。当事人郭兵在接受央视采访时表示,诉讼收益小,百姓维权动力不足,以及违法成本低,处罚力度不够是人脸识别滥用仍频发的原因。 个人信息安全受到侵犯该怎么办?郭兵建议,可以让相关机构提起公益诉讼,这相对于个人举证会多一些优势。 王春晖建议,将App使用的个人必要信息的范围纳入法律范畴,给予更高的法律位阶,比如纳入《中华人民共和国个人信息保护法(草案)》。王渝伟也表示,人脸识别技术发展日新月异,新问题层出不穷,他建议,将人脸识别的相关法律同人脸识别相关的国家标准、行业标准进行有效衔接,这样既与时俱进,可操作性也更强。 同时,王春晖还建议,加大对违法违规获取、提供个人信息行为的惩罚力度。并且,拓宽消费者维权的路径,一旦发生侵权事件,消费者可以尽快向监管部门反映和举报。 在企业端也需加大事前审批监管的力度。王渝伟表示,可以借鉴行政审批的模式,对提供人脸识别底层技术支持的企业,进行资质审核,必须达到相应的安全保障能力,获得相应的资格认证,才能从事相关的技术。 同时,也应对后续人脸数据信息存储作出更为详细的规定。王渝伟说,比如不存储人脸的原始图片,并规定数据存储期限等。 当前,我国人脸识别技术走在世界前列。王渝伟表示,面对出现的新问题,对人脸数据安全的保护再严厉都不为过,但监管也不能“一刀切”,亦要给予行业一定发展空间。如何既管得住、又管得好仍然是监管部门面临的一道考题。 (原题为《斩断伸向人脸的“黑手”》)
