新華社杭州11月25日電 題:“人臉識別第一案”背后的安全之憂(yōu)
新華社“中國網(wǎng)事”記者吳帥帥
備受關(guān)注的“人臉識別第一案”近日在杭州市富陽(yáng)區人民法院一審公開(kāi)宣判。法院判決杭州野生動(dòng)物世界賠償郭兵合同利益損失及交通費,刪除其辦理指紋年卡時(shí)提交的包括照片在內的面部特征信息;但駁回了郭兵提出的其他訴訟請求。
該案一審落槌,如同一顆石子落入湖水。這一案件所激起的關(guān)于個(gè)人生物識別信息安全話(huà)題,值得社會(huì )各方思考。
“人臉識別”背后的安全之憂(yōu)
“人臉識別第一案”表面上是一場(chǎng)看似有些較真的訴訟,但背后反映出的是隨著(zhù)近些年技術(shù)進(jìn)步,人臉識別等應用快速鋪開(kāi)后的安全之憂(yōu)。
近期,某視頻平臺上一段名為“戴頭盔看房”的短視頻火了。爆料人表示,出現這種滑稽現象,是因為房地產(chǎn)“老帶新”、商業(yè)中介、自然看房人等不同類(lèi)型客戶(hù)可以拿到不同程度的買(mǎi)房?jì)?yōu)惠,所以看房人極力掩蓋面容,以“對抗”售樓處用人臉識別判斷客戶(hù)類(lèi)型。
一位網(wǎng)絡(luò )安全專(zhuān)家表示,目前,攝像頭捕捉人臉靜態(tài)畫(huà)面的技術(shù)已經(jīng)相當成熟。“如果你在看房過(guò)程中留下了個(gè)人信息,那么你的生物特征信息、身份證號、出生年月等就形成了一個(gè)‘信息包’。在這個(gè)過(guò)程中,沒(méi)有人會(huì )征求你的意見(jiàn)。”
業(yè)內人士表示,因為技術(shù)的成熟、成本的降低,許多應用開(kāi)發(fā)過(guò)程中,已經(jīng)可以購買(mǎi)現成的程序模塊嵌套進(jìn)系統,相當于做好了一個(gè)成熟的輸入、輸出接口的代碼組件,可以直接實(shí)現人臉識別功能。有些這樣的模塊已經(jīng)完全免費,因而人臉識別的應用場(chǎng)景得以大面積鋪開(kāi)。
網(wǎng)絡(luò )安全企業(yè)奇安信集團網(wǎng)絡(luò )安全專(zhuān)家陳洪波說(shuō),人臉識別的大面積推廣應用,無(wú)論是出于方便管理、便利客戶(hù)還是其他商業(yè)目的,但技術(shù)的推廣必須讓用戶(hù)有知情權和選擇權,并遵循最小必要的原則。
信息泄露“細思恐極”
此前接受采訪(fǎng)時(shí),“人臉識別第一案”的當事人郭兵曾表示,自己并不是一個(gè)技術(shù)上的“保守者”,是面對越來(lái)越多的應用場(chǎng)景,人臉識別技術(shù)大規模鋪開(kāi),他習慣多問(wèn)幾個(gè)為什么,這些問(wèn)題幾乎都讓他想到數據安全問(wèn)題。
在技術(shù)層面,陳洪波說(shuō):“現在對數據的存儲,無(wú)論是本地服務(wù)器還是托管到公有云,實(shí)際上都面臨被攻破的風(fēng)險。更何況許多企業(yè)推廣人臉識別并沒(méi)有有效的安防措施,在技術(shù)日新月異的背景下,隨意采集人臉信息很難保證數據安全。”
一旦數據因為黑客侵入、員工倒賣(mài)、企業(yè)私自使用等原因泄露,人臉等“不可更改的”生物識別信息就會(huì )流入網(wǎng)絡(luò )黑灰產(chǎn)市場(chǎng),可能造成很大的社會(huì )危害。
陳洪波介紹,一方面人臉識別存儲原本只是一張靜態(tài)圖像,但現在一些新技術(shù)可以通過(guò)靜態(tài)圖片來(lái)模擬動(dòng)態(tài)行為,可以攻破一些識別系統;另一方面,如果人臉、個(gè)人身份信息一一對應掛鉤,這樣的“信息包”價(jià)值密度將更高,可能對個(gè)人的損害也更大。
記者此前調查也發(fā)現,為了通過(guò)實(shí)人認證,達到注冊虛假賬號或者侵犯他人賬號等非法目的,人臉信息已經(jīng)成為黑灰產(chǎn)的重要交易信息,并催生出了“過(guò)臉產(chǎn)業(yè)”:人臉信息泄露后,不法分子可以通過(guò)“照片活化”,將照片制作成動(dòng)圖,按照相應登錄軟件規定程序,圖片可以完成點(diǎn)頭、眨眼等認證動(dòng)作,順利通過(guò)部分軟件的人臉認證。
“人臉識別”技術(shù)呼喚加強監管
“人臉識別第一案”宣判后,郭兵接受記者采訪(fǎng)時(shí)表示,由于法院并未支持他關(guān)于“確認多項告示、通知內容無(wú)效”等訴訟請求,他已考慮針對這部分訴請提出上訴。而相較于個(gè)案本身,部分受訪(fǎng)法律、網(wǎng)絡(luò )安全專(zhuān)家表示,通過(guò)民事訴訟維護個(gè)人權益具有重要意義,但更希望這一個(gè)案能引起相關(guān)方面的重視,進(jìn)而完善法律法規,強化對人臉識別的規范和監管。
北京大學(xué)法學(xué)院教授薛軍表示,這一案件很有啟發(fā)性。除了個(gè)人提起民事訴訟以外,未來(lái)還可能出現集團訴訟、代表人訴訟,或者消費者組織公益訴訟等,對侵犯個(gè)人信息的行為進(jìn)行遏制。
實(shí)際上,在法律層面,針對生物特征信息采集儲存,我國已對個(gè)人信息安全規范等做了具體規定。例如個(gè)人生物特征信息屬于敏感信息,要求個(gè)人生物識別信息要與個(gè)人身份信息分開(kāi)存儲;原則上不應存儲原始個(gè)人生物識別信息,可采取的措施包括但不限于:僅存儲摘要信息。
本案原告代理律師張延來(lái)表示,現行法律法規體系下,指紋、人臉等個(gè)人生物特征信息,在搜集使用的邊界層面已經(jīng)比較明確。“比如網(wǎng)絡(luò )安全法、消費者權益保護法、電子商務(wù)法中,對采集信息合法性、正當性、必要性三原則的規定都是高度一致的,民法典也專(zhuān)辟一章規定公民信息保護。”
陳洪波表示,除了法律,目前在技術(shù)層面,監管是相對成熟的,也就是說(shuō)通過(guò)監測、爬蟲(chóng)等手段可以自動(dòng)發(fā)現隱私收集的情況。除了個(gè)案捍衛自身權益,有關(guān)部門(mén)監管還需真正“亮劍”,進(jìn)一步凈化行業(yè),推動(dòng)人臉識別規范安全有序發(fā)展。
(責任編輯:張云文)
