商业领域人脸识别频繁“暴雷”,何解?
这几年来,随着人工智能技术的快速发展,以人脸识别为代表的AI技术逐渐从公检法、金融等高安全性领域朝普通行业市场渗透。人脸识别的应用出现在社区门禁、公司考勤、展会通道闸机、景区入口通道等多个场景,贯穿到大众生活的诸多方面。
而随着人脸识别技术应用的日趋普及,个人生物特征信息隐私的安全性问题也迎来挑战。
越来越多商业场所为谋求便利或意欲收集顾客个人信息,单方面的安装部署人脸识别摄像头或人脸识别门禁、通道闸机类产品,使得大众在日常生活中“刷脸”的频次越来越高。而部分商家在信息安全方面又缺乏较强的监管机制,这就留下了隐私泄露的漏洞。
今年3.15晚会上曝光的诸多品牌在人脸识别事件上“触霉”,也揭开了“刷脸”时代背后所隐藏的风险隐患。
脱离了人证核验为本的人脸识别应用需谨慎
3.15关于人脸识别被曝光的点主要在于商家未明示的情况下擅自安装人脸识别摄像机采集顾客人脸信息,并美其名曰是为精准营销。
也正是这点触动了消费者敏感神经。消费者在不知情的情况下被采集了人脸信息,一旦商家信息安全监管出现问题,那么就有可能造成消费者人脸信息泄露的风险。
对此,a&s也特别采访了业内某知名生物识别企业,该企业相关负责人明确指出该类事件中关于人脸识别技术应用的不当之处。
首先,商家并没有明示消费者便单方面进行顾客人脸信息的采集,这不合规。依据《数据安全法》和《个人信息保护法》规定,收集个人生物识别(个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等)信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
其次,人脸图片信息不可以被直接保存,而应该是以特征值呈现。以人证核验的应用为例,一般是通过AI摄像机抓拍人脸信息后生成特征值,然后再将解析出来的特征值放到另一个库进行相似度比对。这其中包含两套系统:一个是个人身份的比对系统,另一个是计算机视觉计算出来的特征值比对。整个人证核验的过程中,所有的人脸信息均以特征值呈现,不会直接存储为人脸面部图片。
最后,该负责人还特别强调,关于人脸识别技术的采集和应用,出发点要聚焦到以人本身的身份核验为根。而这里被诟病的商家的出发点并不在于身份核验,而是将客户人脸信息作为一种辅助销售的数据资源,这种做法本身就是本末倒置。
“当下国内商业领域关于人脸识别的技术应用,其最大的问题并非是技术的安全性问题,而是伦理性的问题。”上述负责人补充道。
如何规范人脸识别技术应用的伦理建设?这很大程度上还依赖相关政策标准及法规的完善。
标准出台,规范人脸识别伦理建设
人脸识别技术和设备应用,属于典型的“使用先于规范”、“应用先于立法”。今年两会期间,关于人脸识别立法的讨论呼声也相当高。有多位代表相继提到人脸识别立法的必要性以及关于人脸识别立法法规的重点方向。
其中,全国政协委员、中国科学院近代物理研究所研究员蔡晓红与国家计算流体力学实验室研究员叶友达、中国科学院微电子研究所副所长周玉梅等6位全国政协委员联合提案,围绕加强人脸识别监管提出了多项建议。
建立人脸识别的网络及信息安全监管体系,加快制定人脸识别应用技术标准体系,明确对人脸识别软硬件应用的安全技术要求;建立人脸识别应用的安全评估及审核制度,针对安防、金融、电商、支付等不同应用领域进行安全评估,对人脸识别产品的应用及推广增加审批环节,保证产品符合安全技术要求。
尽管当前《数据安全法》和《个人信息保护法》中均有提到人脸识别技术应用在收集、存储、共享、披露等不同环节应遵循的标准,但在执法和监管层面仍需要介入更具有针对性的监管手段。
比如有代表建议生物识别信息管理参照身份证,在公安或网信系统增设专门的数据保护部门;设必要门槛,杜绝任何企业都可染指公民生物识别信息的现状,乃至参照身份证管理办法,原始数据应统一由国家掌控。
在众多人脸识别相关提案中,可以看出加强对人脸识别技术应用的监管已经成为共识,人脸识别应用将迎来强监管阶段。
而就在近日(4月22日),《信息安全技术人脸识别数据安全要求》国家标准的征求意见稿正式面向社会公开征求意见。
