N央视
近几年,出门办事儿要刷脸的场景是越来越多,看似人们得到了方便,但是担心也与日俱增,我的脸我能自己做主吗?
8月8日,国家网信办发布《人脸识别技术应用安全管理规定》的征求意见稿,明确人脸识别只有在具有特定的目的和充分的必要性,并且采取严格保护措施的情形下才能使用,这也就意味着拥有了三个限制条件。它一旦开始实施,真的能保护我们的这张脸吗?它将带来哪些改变?
案例
超市采集人脸照片被责令整改
日前,上海市普陀区人民检察院带队回访检查了辖区内的多家超市,虽然店内都有监控,但都没有使用人脸识别设备,顾客们多了许多自在。此前,该检察院曾发现辖区内有超市在出入口安装采集消费者人脸信息的摄像头等设备,还会对消费者的多项数据进行分析并予以差异化提示,甚至有人还被打上了“疑似小偷”等标签,而消费者对此毫不知情。
普陀区人民检察院检察官张晓灵介绍,当每一个消费者进门之后,它实时抓拍消费者人脸信息,而且还给人脸信息打上了一些标签,比如说是男性还是女性,是中年还是青年,具体心情如何等等。通过超市人员介绍,把每个进门的消费者人脸采集到之后,他们可以通过人脸比对,比如说把一些他们认为可疑人员的人脸,添加到他们所谓的人脸库当中,等到这个可疑人员下次再来的时候,监控就会自动报警。
通过30天的影像资料来看,辖区内相关设备采集了大约14万张人脸照片,而真正有偷窃行为的嫌疑人,相比这个数据而言只是少数。在经过相关部门履行调查,并进行处罚后,现如今此辖区“购物而被偷拍”乱象已罕见。
中国政法大学数据法治研究院教授张凌寒表示,非经过法庭的审判不能给任何人定罪,打这种标签本身就是对人身份的一种歧视。第二,如果打上这种标签之后,可能对这个人的歧视性信息会随着这套设备和这套数据库的广泛使用,而在不同的超市不同的场景都会显示出对他的这种歧视性身份标签,就会使得这个人的行动处处受限,受到一种不公正的待遇。有一些学者研究,把它叫做一种无形的“算法监狱”。
解读
个人信息收集,应遵循“最小必要”
上周二,国家网信办就《人脸识别技术应用安全管理规定》公开征求意见。其中就提出,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。
此次新规中就还提到,实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。
此项优化适用于更多生活场景,类似于健身房、书店等经营性场所,长期以来需要使用人脸识别系统去完成入场、借书,但这些功能可以凭借办卡等其它更为简易的方式去完成,即便智能设备更加便捷,但在此类消费场景里,理应把选择权交给消费者。
张凌寒表示,实际上,个人信息的知情和同意原则,在学界也一直受到质疑,“我是不是真正的同意,我如果不同意可能就没有办法享受相关的服务”,所以这次新规当中也要求要以明确的方式、显著的方式去告知个人,并且同时提供一些非生物性的身份验证方式和方法。这样就能够使得人脸识别的知情同意是真正有效的,因为你还有其他身份识别的方法可以选择。
由此可见,人脸识别的应用,并非怎么方便就怎么来。能不能使用、如何使用,都必须在制度的框架内进行。这看似严苛,但不过是遵循个人信息收集的最基本原则——“最小必要”。也即,最大程度避免滥用,防止煽起不良的“蝴蝶效应”。眼下五花八门的人脸识别应用已经非常普遍,相关政策制度的完善,将对已出现的乱象作出更有力的规制和纠偏。
针对比较常见的小区物业采用人脸识别管理进出的现象,新发布的征求意见稿中就明确指出,人脸识别不得作为进出物业管理区的唯一方式,物业也应当提供其他合理、便捷的方式,供不愿使用人脸识别的个人选择。
人脸识别,“安全”是绝对关键词
今年夏天,“人、证、脸”三合一的强实名制,已经成为热门歌手演唱会的标配。一位刚刚在合肥体育中心看完演唱会的观众告诉我们,演出当天,她在这台类似高铁站进站口闸机的设备上,被要求刷身份证。不到一秒钟,屏幕显示人脸和身份证匹配,可以通过。
张凌寒表示,根据新规的规定,如果完成了人脸识别应用的特定目的之后,对于在识别过程中收集到的人脸照片,是应该及时删除和销毁的。防止在个体不知情的情况下,把收集的照片再进行交易和流转,甚至给第三方去进行一些比如说像人工智能模型的训练,甚至被泄露给第三方。
在征求意见稿中,“安全”是绝对的关键词。不单做人脸识别时拍摄的照片不能保存,储存样本照片的数据库也应确保不被入侵,发生泄露。新规明确,面向社会公众提供人脸识别技术服务的,相关技术系统要符合网络安全保护第三级以上的保护要求。
按照相关法律规定,网络安全保护第三级的系统,必须每年进行一次保护测评,检验其是否能抵御黑客攻击,防止数据泄露、窃取等。测评由公安部认证的,有专业资质的企业完成。除了人脸图像泄露外,对人脸的分析和滥用,也是个人信息安全的重大威胁。
敏感个人信息,严禁任何组织或个人分析
2021年的“3·15”晚会,曝光了多家知名企业的线下门店,通过安装一款名为“万店掌”的摄像头,非法抓取客户人脸信息进行标记。客人一旦去了A店,再光顾B店,就绝对不会得到比A店低的价格。
针对此类现象,此次的征求意见稿中,就明确细化:任何组织或者个人,都不得利用人脸识别技术分析个人包括种族、民族、宗教信仰、健康状况、社会阶层等的敏感个人信息。在公共场所使用人脸识别技术,或存储超过1万人人脸信息的,需在30个工作日内向所属地市级以上网信部门备案。网信、电信、公安、市场监管等部门,应按照各自职责范围加强对人脸识别技术使用的监督检查,及时发现隐患,督促整改。