人脸识别,安全吗? 或许,这个问题在很多人的心中 会不自觉地打上一个问号。
2019年,杭州野生动物世界引进了人脸识别技术,应用于年卡使用者的入园检票环节。但此举受到年卡用户——浙大法学博士、浙江理工大学特聘副教授郭兵的质疑。于是,他一纸诉状将杭州野生动物世界告上法庭。2020年6月,浙江杭州富阳区开庭审理这起被誉为“中国人脸识别第一案”的案件。人脸识别技术与个人隐私保护的边界,再一次引发广泛关注。

事实上,这两年,“人脸识别”的问题在全国两会的现场也一直受到持续关注。无论是行业外的普通委员,还是行业内的专家型委员,大家都对“人脸识别”提出了不同的看法与意见。

今年全国两会,胡卫、马进两位委员不约而同地提交了提案,建议“人脸识别”的数据收集与处理必须合法有度,可考虑实施许可证管理的措施。

当前,我国的人脸识别技术正在迅猛发展。据测算,这几年我国人脸识别市场规模以年均50%的速度增长,预计到2021年将突破500亿元。

但在全国政协委员、民进上海市委专职副主委、上海中华职教社副主任胡卫看来,以人脸识别为代表的生物识别技术在我国的规模化商用,虽然带来很多便利,但生物信息属于社会基础性资源,具有终身不可更改等特点,这些数据在采集、传输、保存、使用以及第三方调用过程中,可能会出现数据泄露和滥用问题,对个人、组织和国家造成系统性风险,不可不引起重视。

全国政协委员胡卫

图片来源:委员供图

“人脸识别数据在全世界都是敏感信息,人脸识别数据的收集与处理必须合法有度”,胡卫在撰写提案时收集了大量的数据与案例,他向记者表示,根据我国《网络安全法》和《个人信息保护法(草案)》,“面部识别特征”是“个人生物识别信息”的一种,属于“个人敏感信息”的范畴,在信息收集、共享、传输和存储等方面应当受到比普通个人信息更加严格的保护。

目前,我国关于人像采集的法律法规主要集中于出入境管理、身份证办理、刑事侦查、道路交通安全管理等法律法规。除了法律对人像采集有强制性规定的场合之外,人脸识别正在被广泛运用到火车站、机场、码头等公共场所,工厂、学校等企事业单位的刷脸签到和监控,以及银行、通信、交通、卫生等机构相关软件的身份验证等领域。上述行为是否符合《网络安全法》及相关信息保护法律规范的要求,值得思考。

因此,胡卫建议尽快出台《数据安全法》、《个人信息保护法》等法律,在重要行业和领域要加快制定实施细则和指引,指导行业企业强化数据安全管理。

更重要的是,参照国际普遍遵守的“数据隐私六原则”,建立所有涉人脸识别数据的公私部门须遵守和符合的特殊安全认证体系,加快人脸识别的标准体系研究,明确人脸识别相关标准,提高数据安全风险监测、预警和事件处置能力。

此外,在分类型特殊安全认证体系下,收集诸如面部特征数据的个人可识别信息的任何技术都应努力保护这些数据,使用匿名化或其他方式来减少可用数据量,并建立严格的用户协议以限制未经授权的访问。

对于人脸识别技术应用单位来说,应建立信息安全管理体系,加强网络应用层、传输层、主机层、数据链路层、物理层安全防护,明确数据收集、数据传输、数据保存、数据处置、数据使用、数据共享、转让与委托处理、公开披露、数据出境、第三方服务接入等数据活动的安全管理和控制要求。

无独有偶,全国政协委员、致公党上海市委专职副主委马进也格外留意“人脸识别”的采集与保存的安全,因此他建议可对此类采集单位实施许可证管理。

全国政协委员马进

图片来源:委员供图

具体而言,相关部门应出台人脸采集使用场景的限制性规定,并根据该规定就特定场所人脸采集的必要性、合理性以及场所所属企业的技术能力与管理能力进行评估,对符合条件的企业与场所颁发许可证。

取得许可证后,企业方可在规定的场景下进行人脸采集。在场景应用阶段,取得许可证的单位应尽到告知义务,赋予用户知情权和选择权。

从政府层面而言,要做好监督与宣传两方面的工作,除了加强对于个人人脸信息隐私安全的宣传与教育,提高居民对于个人隐私权保护的意识外。可由用户协助共同监督,若发现有违规或强制采集个人人脸信息的行为,可通过有效渠道向有关部门进行反映。