来源:FreeBuf
作者:meishixiamang
1、人脸识别技术概述
人脸识别[1]是指计算机通过基于个人的面部轮廓比较和分析模式,唯一地识别或验证人的生物测定技术。作为生物特征识别领域中一种基于生理特征的识别,人脸识别技术具以下优越性:第一、不需要人工操作,是一种非接触的识别技术;第二、快速、简便;第三、直观、准确可靠;第四、性价比高,可扩展性良好;第五、可跟踪性好;第六、具有自学习功能。
1.1 技术分类
基于人脸识别的过程,可将人脸识别技术[2]分为人脸检测方法、面部特征提取方法、人脸确认与识别方法三类:
(1)人脸检测方法:从不同的图像中将人脸区域与非人脸区域区分开。根据图像的状态,人脸检测又可以分为静止图像中的人脸检测定位与运动图像中的人脸检测定位。目前常用的人脸检测方法主要包括:参考模板法、人脸规则法、样品学习法、肤色模型法、特征子脸法等。
(2)面部特征提取方法:面部特征定位与提取是检测人脸上的某些或所有特征的位置、大小、轮廓线等信息的过程。一般而言,人脸识别系统可使用的特征包括:视觉特征、像素统计特征、人脸图像变换系数特征、人脸图像代数特征等。目前,面部特征提取的实现过程最常见的是先求出双眼的中心位置,然后进行人脸的归一化,进而可以提取其他一些特征的信息。方法包括人脸几何特征 (如欧式距离、曲率、角度等)、代数特征 (如矩阵特征矢量等) 、 固定特征模板、特征脸、云纹图等。
(3)人脸确认识别方法:人脸确认识别技术就是根据前两步所得到的特征,将待测人脸与库中人脸进行比较,确认和识别待测人脸的身份。人脸确认与识别的方法基本上可以归结为四类,即基于几何特征的方法、基于代数特征的方法、基于模板的方法和基于神经网络的方法。
1.2 应用模式
在目前,人脸识别技术主要有三种应用模式:人脸验证、人脸辨识、人脸分析[3]。
(1)人脸验证是将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对(1:1比对),以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对,移动智能终端的人脸解锁功能等。
(2)人脸辨识是将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。典型应用包括公园入园、居民小区门禁、商场通过“无感”式人脸识别辨识特定客户或者中介等。这种情况下,系统里需要先期录入用户的人脸识别数据,形成人脸识别数据库。应用人脸识别技术的目的是证明现场这张脸是库里的若干张脸之一。
(3)人脸分析是不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析,通过分析人脸图像,预测评估个人年龄、健康、天赋、情绪、工作或者学习专注度等个人特征的活动。典型应用包括公共场所人流量统计、体温检测、图片美化等。人脸分析可能会引发个人歧视,侵害人格尊严。部分国家对人脸分析持完全否定态度。
2、人脸识别技术在民航领域的应用
人脸识别是人工智能的重要应用。近年来,随着信息技术飞速发展,人脸识别逐步渗透到人们生活的方方面面。大到智慧城市建设,小到手机客户端的登录解锁,都能见到人脸识别的应用。在国境边防、公共交通、城市治安、疫情防控等诸多领域,人脸识别技术发挥着巨大作用。
人脸识别技术在民航领域正处于大规模地普及与应用阶段,从人脸识别系统用于员工身份核验开始,到机场人脸识别出入境自助通关、再到人脸识别自助登机通关等,人脸识别技术广泛用于视频监控、智慧安检、安防布控、运营管理、自助行李托运、疫情防控及智慧服务等各种场景。
2.1 视频监控
根据《民用运输机场安全保卫设施》(MH/T 7003-2017)要求,目前,机场范围内飞行区、航站楼、场区范围内容按照“以点带面、大场景跟踪、卡口目标检测和识别”的建设原则部署视频监控系统,同时对监控清晰度提出了具体要求:(1)人员基本特征识别,要求能分清楚男女,看清肢体动作,有短暂遮挡情况下目标的持续跟踪;(2)人脸特征识别,要求图像能清晰反映人的脸部正面特征,以满足人眼或计算机自动识别、比对的要求。要求满足这种清晰度的区域有以下四个:航站楼出入口、乘机手续柜台、安全检查通道验证柜台和登机口。
2.2 智慧安检
在安检环节,人脸识别技术可以对比分析旅客头像照片、身份照片、实时照片是否为同一人,辅助安检人员对旅客身份进行甄别。
当旅客通过安检到达登机口,经过自助闸机面对摄像头时,无需持证件和登机牌,人脸识别系统连接摄像头,与旅客名单自动进行人脸匹配。匹配成功的旅客1秒之内即可过闸机完成登机。
2.3 安防布控
针对违规违法旅客通过现场实时人脸比对,辨别出在场嫌疑人,对接海关业务系统,智能分析嫌疑人,实现海关的特殊重点人员布控、走私或水客自动辨别、机场旅客信息收集。
2.4 运营管理
机场内部管理区域,用人脸作为“通行证”刷脸进入,可有效屏蔽非该区域人员进入,杜绝借、换、仿冒证卡的行为。同时,配合动态布控系统,杜绝尾随非法闯入问题。
2.5 自助行李托运
集合人脸识别技术的自助行李托运设备,可通过“刷脸”识别认证旅客身份,具有自助选座、登机牌、自助行李托运等功能于一身,真正实现“一站式”全自助乘机手续。
2.6 疫情防控
为更好地契合疫情防控常态化下疫情防控需求,部分机场融合应用了无感检测技术、智能生物识别技术、智能分色报警技术、远程控制技术等多项技术实现“人、码、证、温”四合一的验证,并实现了与健康码、国家防疫健康信息码等平台数据的对接与集中管理,可快速进行风险识别预警。同时,还能做到“人过留痕”,后台管理平台会实时记录旅客身份信息、人脸相片、体表温度、健康码状态等数据,以备后期的信息追溯查询[4],甚至可以实现“一键轨迹倒查”[5]。
2.7 智慧服务
智慧服务是基于人脸识别技术主动识别当前旅客身份,可以与安检、离港、航显、导航等系统进行整合,突出显示该旅客的航班信息及状态,为旅客提供当前位置到登机口的地图导航,以及气象报告、新闻报道等各种实时信息,为旅客提供更个性化餐饮、购物和娱乐服务。
3、人脸识别技术的网络安全监管要求
顺应智慧民航建设的需要,人脸识别技术在机场服务业务领域得到了广泛应用,据统计,超八成以上民用机场都已使用到了人脸识别技术。但在采用人脸识别技术前,首先要考虑“能否用、合法用、规范用”三个问题。
3.1 能否用
3.1.1 发改委意见
2015年5月6日,发改委发布了由九部委联合出台的《关于加强公共安全视频监控建设联网应用工作的若干意见》,意见提出“到2020年,基本实现’全域覆盖、全网共享、全时可用、全程可控’的公共安全视频监控建设联网应用,在加强治安防控、优化交通出行、服务城市管理、创新社会治理等方面取得显著成效”。第十三条同时指出“推动集成应用。运用数据挖掘、人像比对、车牌识别、智能预警、无线射频、地理信息、北斗导航等现代技术,在充分考虑技术成熟度的基础上,加大在公共安全视频监控系统中的集成应用力度,提高视频图像信息的综合应用水平。逐步建立 和省级公共安全视频图像数据处理分析中心,深化视频图像信息预测预警、实时监控、轨迹追踪、快速检索等应用。推动视频监控系统与综治视联网系统对接。”
发改委等九部委以《意见》的形式明确了公共安全视频监控的目前与要求,强调了人脸识别、数据挖掘、视频图像信息预测预警、轨迹追踪等技术应用的必要性。
3.1.2 民航局意见
2018年,民航局发布《关于进一步提升民航服务质量的指导意见》,指出“推行“无纸化”便捷出行,推广人脸识别技术;改进安检手段,完善安检设施,增加繁忙时段安检通道,提高安检效率。”
2020年,民航局《民航局关于印发<推动新型基础设施建设促进民航高质量发展实施意见>的通知》(民航发[2020]62号)指出“以提升旅客出行体验和服务品质为重点,做好‘旅客出行一张脸’,简化出行流程,压缩综合出行时间。推行出行即服务,向旅客提供精准的地面交通信息和航班动态信息,在门到门行李服务、无感安检、无感通道、无感通关取得突破。拓展民航服务链条,提供个性化餐饮、购物和娱乐服务,提升消费体验,实现更全面、更精准、更及时的民航服务。”
民航局以多种形式鼓励各个民航单位加大人脸识别技术应用,尽可能实现‘旅客出行一张脸’。
因此,民航机场部署视频监控系统是必须执行的要求,而在合适的场景下使用人脸技术也是符合政策和文件精神的。是否在所有场景下使用人脸识别都符合相关法律与标准要求,还需要结合具体的场景来具体分析。下一章节将结合具体的法律与标准讨论人脸识别技术在民航机场哪些场景下可以使用。
3.2 合法用
2021年7月28日,最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(简称:规定),对“因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件”的定罪量刑标准和有关法律适用问题作了全面、系统的规定。
《规定》第五条指出有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持:
(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;
(五)符合法律、行政法规规定的其他情形。
结合该条款,在第二章所分析的民航机场环境下所采用疫情防控、视频监控、智慧安检、安防布控等应用场景属于第五条第一款、第二款所规定的应对突发公共卫生事件与维护公共安全的情形,属于法律支持的应用场景。但所收集的视频信息与人脸信息的使用不得违反《规定》第二条、第四条所规定的情形。
运营管理属于民航机场内部管理活动,不严格属于《规定》所规范的行为,但在机场办公区域使用人脸识别技术可能涉及到机场、航司、商业、外包公司等多主体员工。《民用运输机场安全保卫设施》(MH/T 7003-2017)中第14章规定“14.3.2 一类、二类机场的通行口还应配备具备生物特征识别或密码输入功能的身份验证设备。” 《规定》指出“本规定所称人脸信息属于民法典第一千零三十四条规定的”生物识别信息””。因此,运营管理环节使用人脸识别技术符合民航标准要求,应属于《规定》第五条第五款所明示的“符合法律、行政法规规定的其他情形”。
自助行李托运及智慧服务属于人脸辨识与人脸分析的应用场景,并不属于《规定》第五条第一、二、三、五款所明示的情形,如在机场范围内应用需事先征得自然人或者其监护人的单独同意。自助行李托运由乘客在人工柜台或自助柜台托运,需要乘客每次在托运时单独明确确认同意条款,在同意条款中需要明确处理人脸信息的规则、目的、方式、范围。自助行李托运的受众明确,并且已经征得乘客单独同意,因此自助行李托运应属于《规定》第五条第四款所明示的情形。
智慧服务可能涉及到大范围内的人脸辨识与人脸分析,在具体应用设计过程中如无法明确征得所有乘客的单独同意,很有可能违反《规定》第二条第一款、第三款所明示的场景,造成对自然人人格权益的侵害:
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
因此,智慧服务的应用要合理规划设计,避免违反《规定》所明示的情形。
总结以上的分析,可以看出各种应用场景在法规符合性方面有所不同,在民航机场范围内视频监控、智慧安检、安防布控、疫情防控、运营管理等场景下可以合法的使用人脸识别技术,自助行李托运需要事先征得乘客单独同意,而智慧服务要谨慎使用,合理设计应用场景。
3.3 规范用
人脸识别技术具有非接触性的特征,降低了信息采集的难度,简化了采集的程序,从而极大地提高效率,节省人力投入。但人脸识别技术具有无意识性的特征,降低了对被采集者配合度的要求,增加了人脸信息被非法采集的风险。人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。3.15晚会曝光了企业私自采集消费者人脸信息用于客流分析的现象后,各地行政机关加大处罚力度,2021年4月宁波市对3家房地产公司分别处以罚款25万元[6],2021年7月上海市对某跨国公司中国子公司处以50万罚款[7]。
3.3.1 人脸信息的基本属性
《规定》并未对“人脸信息”做出定义,但明确将“人脸信息”归属于《民法典》规定的“生物识别信息”。结合个人信息相关法律法规及国家标准,人脸信息可以理解为一种人脸识别特征或者人脸识别数据。根据《信息安全技术 人脸识别数据安全要求》,人脸识别数据是指人脸图像及其处理得到的,可单独或与其他信息结合识别特定自然人或特定自然人身份的数据。
结合《民法典》、《个人信息保护法(三审稿)》、《信息安全技术 个人信息安全规范》(GB/T 35273—2020,以下简称“《信安规范》”),如下图所示,人脸信息不仅属于生物识别信息,还属于敏感个人信息(是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息),需要按照敏感个人信息、生物识别信息的特殊规则进行保护、处理。
3.3.2 人脸信息处理要求
《规定》依照《民法典》关于“个人信息的处理”的定义,将人脸信息的处理界定为人脸信息的收集、存储、使用、加工、传输、提供、公开等各个环节,从而将企业的人脸信息处理行为的全链条纳入了适用范围。具体而言,《规定》第二条、第十二条的规定涵盖了收集人脸信息之前的告知、单独同意原则,以及不得违约提供人脸信息、信息的安全存储、依法删除等各环节的要求,具体如下表所示。
3.3.3 其他监管要求
党中央高度重视个人信息保护工作。总书记多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益,对加强个人信息保护工作提出明确要求。国家陆续出台了《网络安全法》、《民法典》、《数据安全法》、《个人信息保护法》(三审)、《个人信息安全规范》、《人脸识别数据安全要求(征求意见稿)》等一些系列法律与标准,加强个人信息保护。
2015年5月,国家发展改革委、工业和信息化部、公安部等九大部委联合发表《关于加强公共安全视频监控建设联网应用工作的若干意见》(发改高技[2015]996号),要求严密安全措施,提升视频监控系统安全防护能力,“实现视频数据全程可控,重要视频图像信息不失控,敏感视频图像信息不泄露”。
自2017年6月1日起实施的《网络安全法》第四章 网络信息安全,共十一条,对网络运营者的个人信息保护义务及责任进行了全面的规范,要求“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”。
2021年9月1日,《数据安全法》将正式施行。人脸信息作为敏感个人信息,必然是《数据安全法》所规制的重要数据。《数据安全法》作为我国数据安全领域的基础性法律,明确了数据安全领域内治理体系的顶层设计,通过规制数据处理活动、保障数据安全、保护个人和组织合法权益、维护国家安全,引领和促进数据的开发利用,要求企业强化依法合规建设,对运营商提出更高的数据合规要求。第四章 数据安全保护义务对数据处理者的义务进行了全面相应的规范,如“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”、“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”等。
2021年8月13日,全国人大常委会法工委通报了《个人信息保护法》即将三审的情况。《个人信息保护法》(三审)对个人信息处理活动进行全面详细的规范,对个人信息处理者的义务进行了规定,具体包括指定和公开个人信息保护负责人、制定内部管理制度和操作规程、对个人信息实行分级分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案、对特定个人信息处理活动进行风险评估和记录、发生个人信息泄露时采取补救措施并通知监管部门等。
2020年3月6日,信安标委发布了《GB/T 35273-2020《信息安全技术个人信息安全规范》,该标准作为规范个人信息处理活动基础性标准,对个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为进行清晰明确的规范,在开展人脸信息处理活动中需严格执行个人敏感信息相关的处理行为。
4、总结
人脸识别技术为做好‘旅客出行一张脸’提供了有力的技术支撑,而且在全国民航机场得到了广泛的应用。但随着《数据安全法》与最高法司法解释的出台,以及《个人信息保护法》即将发布。作为人脸识别技术的使用者、人脸信息处理者的民航机场应全面评估现有各人脸识别技术应用场景的合法性,同时需要参考相关法律及标准评估现有数据、个人信息处理及保护措施的有效性。同时需要结合法律法规以及标准要求,建立起整合数据安全保护、个人信息保护、关基信息基础设施保护、网络安全等级保护等相关要求的统一的安全治理框架,从制度、管理、技术及运营多层次保障数据安全及个人信息安全。
5、参考文献
[1]《人脸识别技术综述》.左腾.软件导刊.2017,16(02)
[2]《人脸识别研究综述》.王映辉.计算机应用研究.2005,(08)
[3] 信息安全技术 人脸识别数据安全要求(征求意见稿)
[4] http://www.caacnews.com.cn/1/5/202108/t20210809\_1328810.html
[5] http://www.caacnews.com.cn/1/1/202106/t20210611\_1325539.html
[6]https://zjnews.zjol.com.cn/zjnews/nbnews/202104/t20210421\_22421654.shtml
[7]http://finance.china.com.cn/news/20210804/5623454.shtml
本文转自:FreeBuf,作者:meishixiamang,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。