文 | 中国信息通信研究院云计算与大数据研究所 呼娜英 刘硕 石霖
人脸识别已经成为人们生产生活中习以为常的人工智能应用方式,刷脸进门、刷脸支付、刷脸打卡等应用悄无声息地改变了人们的生活习惯,提升了人们的生产效率。但人脸识别技术应用中也暴露出很多触目惊心的隐私安全问题,引起社会关注。当前,全球已掀起人脸识别的治理热潮,我国人脸识别综合治理体系也已渐趋完善,但人脸识别技术应用过程中仍存在抵抗攻击能力差、合规要求不落地等问题,需要政产学研通力合作,破解企业技术应用难题,提升行业安全合规能力。
全球掀起人脸识别治理新热潮
新技术打开行业新市场。人脸识别应用领域遍地开花,产业增速迅猛。在深度学习技术加持下,人脸识别技术准确率跃升,全面开启了商业化进程。尤其是近两年,人脸识别在安防、金融、交通、电信等领域的应用种类和用户规模呈现爆发式增长,已经成为人们习以为常的人工智能应用,极大提升了身份认证、支付转账、人流统计和特定任务甄别等诸多任务效率。据数据统计公司Statista测算,2021年全球人脸识别市场规模约50.1亿美元,预计2027年翻一番,达129.2亿美元。
新应用诱发安全新风险。人脸识别技术在高效率采集人脸信息的过程中,暴露出数据安全和隐私保护双重风险。人脸信息敏感度高,具有唯一性和不可篡改性,一旦泄露将对个人人身安全、财产安全带来极大的危害,全球范围内人脸识别技术使用相关案例层出不穷。一是安全防护漏洞增大数据泄露风险。智能快递柜曾被曝光一张打印照片即可轻松突破人脸识别;银行APP人脸识别被攻破,不法分子实施电信网络诈骗,转走巨额存款。二是应用滥采滥用侵犯个人信息权利。“3·15晚会”曝光房地产公司在用户无感知、未授权情形下处理人脸信息;Mate因滥用人脸识别功能向160万用户赔偿共计6.5亿美元。
新挑战引发治理新热潮。全球加快个人信息保护工作,人脸识别作为治理的重点抓手。目前,多个国家和地区意识到包括人脸信息在内的生物特征识别信息保护的重要性和紧迫性,着手推进相关治理工作,其中以美国和欧盟的保护路径为代表。美国秉持审慎监管以鼓励创新。美国联邦层面尚未制定专门的法律规制人脸识别技术使用,地方政府积极出台立法进行规范。伊利诺伊州2008年颁布首部生物识别信息保护法案,要求主体在获取生物信息前获得信息主体的书面同意,并禁止售卖此类信息获利。纽约市2021年颁布《生物识别信息隐私法案》对数据安全、知情告知及私人诉权等做出了较为翔实的规定。欧盟制定统一法案实施强监管路径。欧盟2018年实施的《通用数据保护条例》明确原则上禁止处理生物识别数据,除非具备合法基础,或者得到数据主体自由、特定且明确的同意确认。欧盟2021年4月出台的《人工智能法》草案进一步加强了对生物特征识别技术的管控,原则上禁止执法部门在公共场所使用实时远程生物特征识别系统。欧盟2022年通过的《执法领域面部识别技术使用指南》重申了禁止使用人脸识别技术的情况,并对能够使用的场景规定了非常严苛的条件。
我国人脸识别治理日趋完善
我国人脸识别相关法律体系和标准规范持续完善,人脸信息保护路径更加清晰。《网络安全法》《数据安全法》《个人信息保护法》的陆续出台为人脸数据的安全流通和信息保护保驾护航。其中,《个人信息保护法》以及最高人民法院出台的人脸识别司法解释针对人脸信息的处理做出了更严格、更精细化的规定。此外,人脸识别技术相关标准体系已初步形成,范围覆盖基础技术、信息保护和行业应用。但是,人脸识别在落地应用过程中仍然存在安全与合规两大问题需要破解。
一是人脸识别安全问题:抵抗攻击能力水平低。
人脸识别安全方面,抵抗攻击能力较低,防御易被突破。主要原因在于准入机制欠缺以及精细化管理不够:第一,研发企业技术水平参差不齐,存在劣币驱逐良币的现象。随着人脸识别技术研发门槛的不断降低,市场上技术研发企业鱼龙混杂,技术产品的安全防护能力参差不齐。当前,我国仍然缺乏人脸识别技术的准入机制,事前安全监督存在不足。第二,应用单位的安全防范能力良莠不齐,一些便民服务、小区物业、个别中小金融机构等存在安全风险。大量应用单位多是采买、集成第三方技术服务,过度依赖生物特征识别技术,缺乏系统性的风险管控能力,安全防护能力较弱,存在一定安全隐患。
二是人脸识别合规问题:应用合规要求落实差。
人脸识别合规方面,存在技术滥用和应用单位管理不完善等问题。随着《个人信息保护法》的出台和实施,作为敏感个人信息的人脸信息在收集、存储等各个环节提出了严格的要求。在实践中还存在两个方面问题。第一,人脸特征识别技术滥用现象依然严重。应用单位存在“未充分授权”及“捆绑式”“强制式”收集人脸信息的违法行为;部分人脸识别应用场景也不满足最小必要原则;此外,一些非配合式的人脸识别设备较为隐蔽,侵犯公民个人隐私、冲击社会信任。第二,应用单位的管理不到位,存在数据泄露风险。在校园、小区、写字楼等场景下使用的人脸识别门禁存在应用不规范的情形,包括未将人脸信息与身份信息分类存储,极易关联个人隐私;未设立严格、合理的数据权限,物业普通员工可以随意接触人脸信息,加大了人脸数据泄露的风险。
人脸识别治理需要多方共治
健全事前事中事后全链条监管。在事前,引导企业在人脸识别相关应用、业务上线前,主动开展影响评估,积极履行合规义务,构建安全管理制度、应急响应管理制度。在事中,对开展人脸识别应用的企业,特别是政务、金融等关键领域,定期开展安全评估、合规审计等。在事后,落实追责制度,并建立投诉举报机制加大监管力度,积极查处滥用人脸识别的企业或个人等。
建立分级分类的人脸识别技术安全管理体系。一是推动行业组织构建人脸识别安全、合规技术标准,提高整个行业的安全水平,对涉及范围大、影响程度深的应用行业建立备案准入机制。二是按照不同行业需求以及潜在危害程度,对人脸识别应用划分为不同的等级,结合业务特点,分别制定涉及人脸数据处理的要求,确保应用有据可依。
鼓励政产学研多层次、多方面加强沟通。一是依托行业组织,广泛吸收产业界优秀实践经验,严格落实《个人信息保护法》各项要求,发布人脸识别技术和应用相关实践指南,为企业处理生物特征提供实践层面的指引。二是鼓励研究机构进行技术交流,共同探索具有隐私保护能力的人脸识别技术。
(来源:人民邮电报)