自2012年開始公眾對資訊保安愈加關注重視,今年的315晚會,就對準了人臉識別。315晚會曝光人臉識別遭濫用,科勒衛浴、寶馬、Max Mara等多個知名商家在實體零售店、4S店、專賣店等營業場所使用帶有人臉識別功能的監控攝像頭,在顧客在毫不知情的情況下,偷偷抓取顧客人臉資料,生成人臉 ID,用於“精準營銷”。
315曝光的人臉識別應用只是冰山一角,人臉識別技術已經深入到日常生活的方方面面,如:支付寶、微信的刷臉支付、刷臉進出小區/辦公樓、刷臉解鎖手機、企業刷臉簽到考勤、遊戲刷臉實名認證等。人臉識別資訊具有唯一性、永久性與不可替換性,一旦洩露即終身洩露,公眾對人臉識別關注的焦點不僅僅是其帶來的方便、安全,更多的是人臉識別應用的合法合理性問題。
人臉識別技術的特徵
人臉識別技術屬於生物特徵識別技術,以人面部特徵作為識別個體身份。其透過分析提取使用者人臉影象數字特徵產生樣本特徵序列,並將該樣本特徵序列與已儲存的模板特徵序列進行比對,用以識別使用者身份。
1、人臉資訊的唯一性與永久性
人臉識別資訊的本質是生物識別資訊,具備生物識別資訊的一般特性即唯一性與永久性。
2、侵害後果的不可逆性
鑑於人臉資訊具有唯一性與永久性,人臉資訊無法透過類似更改密碼、 更換住址或更換手機號等簡易方式來避免遭受更為嚴重的侵害,一旦洩露即終身洩露,財產安全、隱私安全均將收到嚴重威脅。
運用人臉識別技術侵犯個人資訊情形
1、非法收集人臉資訊
根據《資訊保安技術 個人資訊保安規範》的規定,收集個人資訊,應向個人資訊主體告知收集、使用個人資訊的目的、方式和範圍等規則,並獲得個人資訊主體的授權同意。而在實踐中,商戶對使用者人臉資訊的收集往往是偷偷進行的。正如此次315晚會報道,記者在全國多地先後調查了20多家裝有人臉識別系統的商戶,所到之處,人臉識別資訊均被偷偷獲取,沒有一個商家明確告知,徵得同意更是無從談起。
2、過度分析人臉資訊
日前,一則“戴頭盔看房”的短影片在社交平臺廣為傳播,正是由於售樓處人臉識別系統過度分析人臉資訊所引起。以“買房”加“人臉識別”為關鍵詞在網上檢索,可以發現,有關售樓處用人臉識別判斷客戶型別的訊息比比皆是。
據瞭解,售樓處安裝人臉識別系統,源於“分銷模式”的鑑別。每當新樓盤上市時,一方面會採取自營銷方式,另一方面也找“分銷渠道”進行外部合作銷售。售樓處的人臉識別系統幫助判斷購房者是自然訪客戶還是中介渠道客戶。售樓處利用人臉識別系統,分析購房者型別、是自然訪客還是中介渠道客戶,從而給予不同的購房優惠政策,這讓人不由想到“大資料殺熟”。商戶對使用者人臉資訊的過度分析,最終損害的是使用者個人的利益。
3、洩露人臉資訊
目前,在無人臉識別提醒標識、無工作人員告知、無相關人士授權情況下,很多攝像頭可以輕鬆抓取人臉資訊。抓取這些資料的公司如何使用人臉資料、如何儲存人臉資料、是否將人臉資料共享給他人,在很大程度上都是未知的,所帶來的安全風險也是未知的。由於人臉特徵資訊是唯一且終身不變的,一旦洩露給不法分子,使用者的人身安全、財產安全將一直遭受著威脅。
人臉識別應用合規建議
1、採集人臉資訊前獲得使用者的授權同意
未經許可,擅自收集、抓取使用者人臉資訊,將會涉嫌非法收集個人資訊。故,在收集使用者資訊前,應獲得使用者的明確同意。如:線下場景中收集人臉資訊前,設定人臉識別提醒標識、工作人員向用戶告知將人臉識別,詢問是否同意;線上場景中中收集人臉資訊前,透過隱私政策、彈窗提示等方式提示使用者,並由使用者手動確認同意。
2、對人臉資料安全儲存
(1)加密儲存人臉個人資訊,對人臉資料保密性保護;
(2)限制人臉資料訪問人員數量,防止無關人員訪問使用者人臉資料。
(3)具備對人臉資料進行備份的能力以及相應的恢復控制措施。
3、對人臉識別資料的傳輸進行保護
(1)採用滿足資料傳輸安全策略相應的安全控制措施,如安全通道、可信通道、資料加密,等。
(2)在構建傳輸通道前對兩端主體身份進行鑑別。
4、人臉資料登出
當用戶要求登出公司收集的其人臉資料時,公司應在登出前對授權登出者進行身份驗證。登出後,儲存器中的人臉資料應銷燬,不可重複使用,下次使用需重新採集。
寫在最後
目前,企業對人臉識別技術的使用亂象橫生。不同的企業對使用者個人資訊的使用、保護力度不一,若因企業未盡到安全保護義務,導致使用者人臉資訊洩露,將會導致非常嚴重的後果。期待國家能建立完善的人臉識別技術應用審批制度,審查企業的使用者資料安全保護水平,以及對人臉識別應用的場景的必要性,從國家層面對人臉識別進行監管。
· The End ·
