近日,杭州野生動物園規(guī)定,不錄入人臉信息將影響該公園年卡的正常使用,引起社會關(guān)注。
當(dāng)前,公民的指紋、面部特征等生物特征信息是否面臨被過度采集的風(fēng)險?哪些主體正在獲取我們的生物特征信息?相關(guān)信息保護在哪些方面亟需補強?新華社記者就此展開調(diào)查。
公眾生物特征信息屢遭過度收集
記者從北京大學(xué)法學(xué)院副院長薛軍教授處了解到,當(dāng)前,人臉、指紋等個人生物特征信息已經(jīng)成為身份證號碼、手機號碼等信息之外,過度搜集公民信息案件中新的“重災(zāi)區(qū)”。
同時,由于生物特征信息與個人財產(chǎn)、人格權(quán)益之間的聯(lián)系日趨緊密,信息一旦丟失或失控,將給信息所有者造成巨大且難以挽回的損失。
這并非杞人憂天。2019年2月深圳某人臉識別企業(yè)被證實發(fā)生數(shù)據(jù)泄露事件,超過250萬人的核心數(shù)據(jù)可被獲取,680萬條記錄泄露,其中包括身份證信息、人臉識別圖像及GPS位置記錄等。
一些軟件也涉嫌過度采集用戶的生物特征信息。此前,中國消費者協(xié)會曾發(fā)布《100款A(yù)pp個人信息收集與隱私政策測評報告》。報告顯示測評的100款A(yù)pp中,10款A(yù)pp涉嫌過度收集個人生物特征信息。一度成為互聯(lián)網(wǎng)熱門應(yīng)用的某換臉軟件開發(fā)企業(yè),也在今年9月因涉嫌未依法依規(guī)收集使用用戶個人信息被工信部約談。
有國內(nèi)知名互聯(lián)網(wǎng)企業(yè)視頻識別安全專家向記者透露,當(dāng)前存在為數(shù)不少的不法分子、數(shù)據(jù)黑灰產(chǎn)從業(yè)者為通過實人認證,達到注冊虛假賬號或者直接侵犯他人賬號的目的,需要相應(yīng)的人臉信息,甚至在國內(nèi)已催生出一定規(guī)模的“過臉產(chǎn)業(yè)”。
記者搜索互聯(lián)網(wǎng),發(fā)現(xiàn)網(wǎng)絡(luò)論壇中存在大量針對電商平臺、特定設(shè)備的“過臉”技術(shù)解答,甚至有完整“過臉”技術(shù)教程,包括軟件選擇、腳本設(shè)置等。一些網(wǎng)站上還有“過臉軟件”代碼鏈接,隨意供人下載。
我們的生物特征信息流入何處?是否安全?
那么在日常生活中,究竟是誰熱衷于記錄和儲存我們的生物特征信息呢?奇安信網(wǎng)絡(luò)安全研究中心主任裴智勇告訴記者,當(dāng)前大致有三類主體。
首先是部分視頻監(jiān)控的運營主體。比如通過商場酒店、會議場館等公共場所視頻設(shè)備采集信息。
其次是一些公共職能部門、大型互聯(lián)網(wǎng)企業(yè)、商業(yè)機構(gòu)等,經(jīng)過用戶授權(quán),采集包含用戶個人生物特征的數(shù)據(jù)信息。
第三是科研機構(gòu)因為科研需要收集使用,如存儲一定規(guī)模的樣本供人工智能進行學(xué)習(xí)、訓(xùn)練。
浙江大學(xué)計算機學(xué)院人工智能研究所教授李璽表示,目前公民生物特征信息的主要采集儲存主體提供信息安全保護的能力水平參差不齊,信息公開透明度也不夠,容易導(dǎo)致海量信息面臨安全風(fēng)險。
與此同時,業(yè)內(nèi)人士透露,目前在授權(quán)采集過程中,大量商業(yè)主體為降低自身成本,通過格式條款或單方告知的形式“逼”處于弱勢地位的公眾出讓生物特征信息,甚至在合同約定中暗含自我免責(zé)條款。這些都不利于相關(guān)信息保護。
“未來也不排除根據(jù)收集來的數(shù)據(jù)重建個人生物識別特征的可能,比如3D打印技術(shù)‘復(fù)刻’人臉。到那時我們所面臨的風(fēng)險就不僅僅是虛擬世界被入侵,而是現(xiàn)實生活中被冒充?!逼姘残偶瘓F副總裁左英男說。
正、邪技術(shù)力量仍將纏斗 法律空白亟需填補
受訪網(wǎng)絡(luò)安全專家認為,人臉、指紋、虹膜甚至基因,生物特征信息因其隨身性、唯一性,將被愈加廣泛地應(yīng)用于金融、購物、安全等生活場景的趨勢不可逆轉(zhuǎn)。但其可復(fù)制性則同樣決定了圍繞信息安全技術(shù)所展開的“道魔之爭”將長期持續(xù)。
記者了解到,目前針對“換臉”潛在的風(fēng)險,技術(shù)層面主要可以通過“活體檢測+人臉比對識別”應(yīng)對,同時通過翻拍、3D結(jié)構(gòu)光、多維度生物特征信息等輔助技術(shù),也能夠在一定程度上增加相關(guān)技術(shù)的安全性。
有專家認為,當(dāng)前相關(guān)法律規(guī)范層面的缺位同樣亟需填補。
據(jù)浙江浙杭律師事務(wù)所高級合伙人姜海斌律師介紹,我國網(wǎng)絡(luò)安全法規(guī)定了“誰收集、誰負責(zé)”的原則,并規(guī)定收集個人信息須經(jīng)被收集者同意,其中包括個人生物特征信息。但對于收集相關(guān)信息主體需要提供何種程度的保護力量、如何評估與公開、公民個人敏感信息的保護層級、具體保護措施等關(guān)鍵問題,目前均尚未制定具強制力的法律規(guī)范。
2018年5月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會頒布實施《信息安全技術(shù)個人信息安全規(guī)范》,作為推薦性國家標(biāo)準(zhǔn),其中將生物識別信息等明確歸為“一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等”的個人敏感信息。
北京航空航天大學(xué)法學(xué)院院長龍衛(wèi)球認為,該標(biāo)準(zhǔn)針對個人信息收集、保存、使用、委托處理等環(huán)節(jié)提出要求,落地網(wǎng)絡(luò)安全法的原則性規(guī)定,填補國內(nèi)個人信息保護在實踐標(biāo)準(zhǔn)上的空白,為企業(yè)進行個人信息保護合規(guī)提供具體指引。
目前,我國正加快推進個人信息保護法立法進程。對此,薛軍也建議,應(yīng)在立法層面需區(qū)分普通個人信息和敏感個人信息?!搬槍€人敏感信息,或可建立特許制度,就是說,如無法律法規(guī)授權(quán),即使在公民個人同意的情況下,一般商家、私人機構(gòu)等也不得收集包含個人生物特征的敏感信息?!保?span style="background-color: rgb(255, 255, 255); font-family: 宋體, SimSun;">新華社記者 吳帥帥 張璇) (據(jù)新華社)