如何防范人脸识别技术的潜在风险
人脸识别技术实质上是一种基于大规模人脸数据分析的人工智能身份验证技术。所以,在合理、合法地使用这一技术时,还必须充分认识到人脸数据的重要意义和价值:一是将人脸数据还原为人脸图像,关涉到个人的肖像权,因而相关的滥用很容易侵犯这一权益;二是在数字经济时代,人脸数据具有一定的经济价值。首先,基于人脸数据的人脸识别技术的应用,为相关企业和行业带来了巨大的经济效益,而用户不仅几乎得不到任何经济补偿,甚至给自身权益的侵害埋下了巨大的隐患;另一方面,作为身份识别和验证的人脸数据,一旦被窃取、滥用,可能给用户带来直接安全威胁或财产损失,如门禁和支付应用。
要想有效地防范人脸识别技术带来的风险,就必须从完善相关法规政策、加强政府监管、增强行业自律、提升个人素养等方面系统地规避人脸识别技术应用带来的风险和挑战。
第一,要尽快完善有关人体生物信息使用的法律法规,包括人脸识别。要界定人脸识别技术使用范围,建立人脸识别技术应用申报备案和审批制度。为了防止技术被商业利益滥用,遵循“必要性”原则。比如,对非封闭公共场所安装人脸识别设备(如公园验票等)进行充分评估的必要性。
第二,在采集数据之前应告知人脸数据的用途和可能的风险,以保障公众的知情权和选择权,防止企业过度收集和利用。特别是企业或政府机构在公共场合通过拍照、录像、扫描等方式收集可用于人脸识别的数据,应当公开、明确地告知,使不愿意被采集者能够避开这些区域。与此同时,对于某些商业或娱乐应用,不仅要履行通知义务,还要为用户提供“退出”选项。也就是,当用户不想继续授权使用面部数据时,应用提供方必须提供“退出”或“删除”路径,以确保被收集者有选择的权利和权利。
第三,明确规定人脸数据的存储权限,保证数据在采集、传输、使用和存储过程中的安全。可以通过第三方认证的方式,确认企业是否有保证人脸数据安全的相应技术能力。另外,人脸数据应该采用本地存储方式,并禁止跨界传输。
第四,根据数据的用途,明确规定了人脸数据的存储主体、时限和采集范围,最大限度地保障数据安全。面部识别技术的应用通常涉及到人脸识别技术产品的提供者和收件人。在这些因素中,采纳方既包括维护公共安全的有关政府公共管理部门,同时也包括一般企事业单位主体。但是无论哪一类主体都应避免滥用职权,过度采集人脸数据,同时承担数据保护责任。根据使用目的和需要,将人脸数据的存储时间划分为即时、短期、长期三种类型,并尽可能选择即时存储方式,即通过比对后不将扫描的人脸数据保存起来。
第五,建立和完善行业组织,制定人脸识别行业自律规范。数字化时代,科技进步日新月异,法律法规滞后于技术发展已成为新常态。所以,仅仅依靠政府来管理人脸识别既不可能也不现实。建立人脸识别技术企业联盟类组织,制定相应的伦理原则和安全标准,有利于人脸识别行业的良性发展。
第六,认识到人脸资料的价值,提高个人隐私保护意识。目前,人脸识别技术应用迅速,面对各种信息的采集,个体在面对个人隐私保护的同时,必须提高自身的隐私保护意识,认真阅读有关隐私条款,对于存在信任可能存在怀疑的应用,应明确拒绝其信息收集行为,警惕个人隐私泄露风险。
人脸识别技术滥用问题及治理对策
■文/朱晓瑜赵静岚
摘要:人脸识别技术在大量应用场景已落地应用,为人们提供了高效便捷的生活和工作方式,但有些应用场景超出了合理使用范围,侵犯到了个人隐私。针对当前人脸识别技术存在的滥用问题,本文阐述了人脸识别技术的优势,概括了人脸识别技术滥用的现象,分析探讨了滥用现象产生的深层原因,最后提出了防范人脸识别技术滥用的对策和保护人脸数据安全的技术措施,以期为个人信息安全保护和人脸数据安全提供参考。
关键字:人脸识别技术技术滥用治理
1引言
随着人工智能的快速发展和计算机视觉技术的不断突破,人脸识别技术已完成商业化落地,应用场景渗透到安防、金融、消费、生活、教育等各个领域,在给人们提供了高效的生活工作方式和便捷使用体验的同时,人脸识别技术也给个人隐私保护带来巨大挑战。据《人脸识别应用公众调研报告(2020)》显示,六成受访者认为人脸识别技术有被滥用的趋势。当前,公安机关及有关部门需要彻底厘清人脸识别技术的滥用风险,梳理相关法律法规,引导规范使用人脸识别技术,建立相应治理机制。
2人脸识别技术应用优势
人脸识别技术作为主流身份识别技术,具有以下的特点和优势:一是无接触、无感知。用户只需出现在摄像可视范围内就能应用,杜绝了使用接触感应设备带来的风险和麻烦,譬如疫情期间大量使用的无接触式人脸识别配合热成像自动测温设备,为疫情的精准防控发挥了重要作用。同时,很多人脸识别设备与普通摄像机外形相似,多数用户以为其是普通摄像机,习以为常,因此也具有隐蔽性。二是算法先进、速度快。近年来,99%以上人脸识别系统的误报率只有千万分之一,不断升级的人脸识别技术在蒙面、光源昏暗、面部多角度变化等复杂场景下,识别精度也可以远超人的肉眼水平。在一帧图像中同时采集多张人脸进行比对具有更高的识别速率,可以缩短采集时间,实现多人快速认证。三是高度开放共享。开放共享可以促进人脸识别技术的快速发展。大量研究人员、企业提供了人脸识别算法和系统深度学习框架的开源代码和软件,技术的共享、算法的开放加速了成果的转化,带动越来越多的中小企业加入到人脸识别的应用行业中,构建了多元合作的人脸识别技术生态体系。四是需求旺、应用广。市场对身份认证技术的需求旺盛,各行各业对安全、可靠、方便的身份认证技术的需求不断扩大,大量应用场景涉及身份认证,为身份认证提供了更多便利和多样化需求,特别是在复杂场景下身份的认证应用,推动了人脸识别技术大规模普及应用。
目前,人脸识别技术在我国大量应用场景已落地应用,从金融、安防领域拓展至消费、生活、医疗、交通、学校、社区、企业等多个领域。常见的应用包括:在警务工作方面,人脸识别技术在服务人口管理、案件侦破等公安实战应用方面提供了打击防范违法犯罪的新手段和核查身份的新模式;在智能门禁方面,通过在出入口、闸机处部署人脸识别认证系统,实现自动通行、无人值守,可以提高检查核验的通行效率和准确性;在金融应用方面,通过使用人脸识别技术,可以确定客户身份,提升业务办结效率,减轻银行运营负担,有效防控风险;在移动支付方面,通过开通支付软件的刷脸功能,可在不输入密码、不携带设备,仅凭刷脸方式验证即可实现付款,使用户获得良好消费体验,提升交易效率;在医疗服务行业,通过人脸识别对“票贩子”等进行“黑名单”预警,有效打击了医院“黄牛”,缓解了就医难问题。
3人脸识别技术滥用情况
人脸数据作为身份信息具有不可更改的特点,一旦泄露后,不法分子可借助深度伪造技术实现个人身份篡改、个人信息伪造、人脸画面自动生成,伪造的视频真假难辨。当前,基于人脸的身份认证可以通过人脸伪造技术被绕过,视频及图片中的人脸也可以由人脸伪造技术形成,对人身、财产安全以及社会生活带来严重的风险隐患,同时对视频举证、新闻传播的真实性带来一定的挑战。当前,人脸识别技术滥用情况,可以归纳为以下四类:
3.1非授权滥用
随着人脸识别技术和大数据技术应用的普及,在用户不知情的情况下全量收集人脸数据比对处理,满足商业应用。据2021年央视“3.15”晚会报道,某卫浴门店安装的具有人脸识别功能的摄像头,可以在客户毫不知情的情况下抓取人脸数据,用于分析客户的访问记录从而实现精准营销。又如前段时间曝光的房产公司为了区分售房渠道,识别客户是否属于首次到访享受优惠等目的,对到访客户进行人脸识别,实现给中介利润分成和销售优惠等措施。这些人脸识别都是在客户未知及非授权情况下实施的,属于非法获取个人信息数据,侵害了他人隐私权。
3.2低安全滥用
从数据全生命周期角度而言,人脸识别技术应用包含人脸采集、传输、存储、使用、销毁多个环节,每个环节都有可能出现数据泄露。由于应用人脸识别技术的企业安全防范能力参差不齐,部分企业数据保护意识不强,无法做到人脸数据全生命周期的安全防护。例如,在“智慧安防小区”建设中,由于建设主体复杂,有些物业公司为节约成本,直接将人脸数据保存在互联网服务器上,而且缺乏安全管理和安全防护措施,黑客可以轻易获取人脸数据。还有内部管理混乱的问题,管理者可以轻易将掌握的人脸识别全量数据导出后拿到社会上交易。
3.3超伦理滥用
人脸识别技术与其他人工智能分析技术相结合,有可能会涉及道德伦理问题。例如,人脸识别技术与体态识别技术、面部表情识别技术相结合后可以识别并监测发呆、打瞌睡、玩手机等行为,个别学校通过该技术收集分析学生的诸如微表情、抬头率、行为姿态等,最后经统计分析得到学习效果指数、专注度指数、行为数据等,并将分析数据提交给老师和家长,对学生的人格尊严造成伤害。甚至有些人脸识别技术可以分析个人性取向,严重侵犯了个人隐私。
3.4非必要滥用
为了博取眼球,有些单位在非必要场景应用人脸识别技术,存在着“杀鸡用牛刀”的情况。例如,一些地方推出“刷脸”垃圾桶、“刷脸”卫生纸设备,将采集的敏感数据应用于这样的场景,极易引起普通用户的不满。
4人脸识别技术滥用原因分析
造成人脸识别技术滥用存在多方面原因,主要有以下几点:
4.1法律体系不完善
我国现已颁布的《民法典》《网络安全法》《刑法》《数据安全法》等法律文件中的个人信息保护条款已经初步构建了具有我国特色、与我国信息化发展相适应的个人信息保护制度体系,但可操作性不强。新版国家标准《个人信息安全规范》对生物识别信息的收集、使用、存储等作了针对性的要求和建议,但其仅为推荐性国家标准,不具有强制效力。当前,我国暂时没有专门的法律来规范人脸数据的收集和使用,《个人信息保护法(草案)》已对人脸数据的处理和保护做出了较为完整的考虑,但尚未正式颁布。
4.2信息安全保护职责不明确
虽然国家已有信息安全保护法律法规及标准体系,特别是安全等级保护体系,但缺少统一的实施管理机构,如工信部、网信办、公安部、国家工商总局、商务部、中国人民银行等部门,都承担着对组织和个人信息安全的监管职责,但却没有专门的执法部门进行统一管理。由于信息安全保护职责不明确,各个部门管理的范围不同、实施的标准不同,容易产生监管内容重叠、监管死角、追责投诉困难等,导致人脸识别技术滥用问题难以遏制,个人信息安全问题依然突出,法律法规难以发挥作用。
4.3个人信息保护意识淡薄
个人对人脸数据的自我保护意识不强,知道被侵犯了,不知道去找谁维权或懒得维权。大量个人手机信息已被不良中介买卖了很多遍,导致每天都会接到各种推销贷款、房产的骚扰电话。另外,人脸数据采集方和用户地位不对等,用户在第一次安装某个APP时,往往不会认真阅读有关个人信息采集使用的“隐私授权协议”,但不点“同意”则无法继续安装也不能使用APP,导致用户“被迫同意”,变成“鱼肉”任人宰割。某些公司及相关经营者法律意识淡薄,以为数据在自己手上可以随意处置,想怎么使用就怎么使用,想卖给谁就卖给谁,进而造成了信息数据被滥用的乱象。
4.4人脸识别技术低门槛
为促进人脸识别技术的发展,打破技术壁垒,大量企业提供了人脸识别算法、开源代码和软件接口,大大降低了技术应用的门槛和成本。开源代码的发布,虽然促使了人脸识别技术应用的创新和繁荣,但也意味着当前人脸识别软件的质量参差不齐,安全性存在巨大隐患。同时,一些企业由于受资金和人力限制,在安全方面投入较少,导致普遍缺乏与人脸识别能力相匹配的数据传输及数据存储的保护能力。
5防范人脸识别技术滥用的对策
人脸数据的保护和对人脸识别技术监管已成为全球性问题,发达国家已制定许多规制措施。目前,最有代表性的应对策略有两类:一是禁止使用策略。比如美国旧金山、波士顿等城市,在尚未找到有效保护人脸数据绝对安全方法前,采取保守策略,禁止执法机构和其他政府部门使用人脸识别技术,美国波特兰市禁止企业在公共场所使用该技术,美国纽约州暂时禁止学校使用该技术。二是严格限制使用的策略。例如,美国联邦参议院提出的《商业面部识别隐私法案》、华盛顿州《人脸识别服务法》等,均要求按照合理使用信息原则对该技术使用的场景和方式进行限制。又如欧盟的《通用数据保护条例》(简称GDPR)规定,生物数据的处理应遵循“原则禁止,特殊例外”的原则,即除一些特殊情况外,诸如数据主体的同意,或者为了公共利益、科学研究、统计目的等,原则上禁止使用人脸识别技术。GDPR通过高额的罚单、严格的条款来保护用户人脸数据的收集和使用,从而实现对人脸识别技术的规制。
区别于欧美国家的严格限制或禁止策略,我们应该把握以下原则:一方面要积极鼓励人脸识别技术应用;另一方面也有严格限制人脸识别技术的滥用。按照“积极审慎应用,严格保护隐私”原则,促使人脸识别技术积极推动数字化改革,最大程度保护人脸数据安全,找到应用和保护这两者的平衡点,提出如下对策:
5.1完善人脸数据保护的法律政策
扼制滥用风险的关键是完善相关监管制度和法律法规。首先,应从立法层面对人脸识别技术的使用加以规制,通过出台《个人信息保护法》《数据安全法》,明确人脸数据采集处理应当遵循的原则、个人在其过程中享有的权利、对滥用行为的制裁和惩罚、承担人脸数据保护职能的执法机构、人脸数据共享和流通的相关规则。同时,还必须给新技术的发展和数据的流动共享留有空间。其次,执法层应设立专门的监管机构,结合政府数字化转型的契机,对政府及非政府机构使用人脸数据在采集、传输、存储、使用和销毁进行全生命周期监督和管理,融入数字化改革大局。监管机构需广泛收集人脸识别滥用存在的问题,响应群众对违规收集个人信息的诉求,及时处理技术滥用的典型案例和突出问题。
5.2不断发挥公安机关对滥用行为的监管职责
《网络安全法》赋予了公安机关网络安全保护和监督管理的职责。公安机关应针对相关企业网络安全意识淡薄,人脸数据过度采集,未按照网络安全等保标准建设人脸应用系统等现象,不断探索具体的实施细则,定期开展清理整治工作,指导督促企业加强信息安全管理,落实网络安全等保制度,对人脸设备厂商、人脸识别技术企业、“智慧安防小区”建设厂商等重点单位深入开展集中整治,聚焦人脸采集、数据存储、企业安全管理制度等关键环节,依法查处建设应用中存在的违法情形,规范人脸数据采集行为,增强数据安全防护能力,切实维护个人信息安全。此外,公安机关在“智慧安防小区”建设与应用中应注重保护人脸数据等个人敏感信息,按照数据分级分类管理模式严控人脸等涉及隐私数据的分析应用,完善平台信息查询权限配置和信息资料使用登记制度,加强日常信息安全、网络安全、传输安全、边界接入防护管理,定期开展等级保护工作,实现数据安全可控,数据流向可知,数据泄露可追溯。
5.3提升行业自律和个人信息保护意识
一是掌握人脸识别技术的相关企业要慎重向购买者销售相关技术或产品。对有明确交互要求的人脸识别产品(如人脸门禁、支付识别等),一般被采集者都会知晓,会履行同意程序,风险相对较低。但对无需交互的人脸采集摄像机,不良商家往往不会履行告知同意程序,因此应该严格限制销售无需交互的人脸识别产品。二是不断加强公民个人信息保护意识的宣传。提醒引导用户在涉及到人脸数据提供时,应详细了解人脸采集的目的,收集处理者采用的数据安全保护技术、数据处理方法、数据存储时间等,在遇到个人权益被侵害时,应收集证据并向监管方求助,运用法律武器进行自我保护。三是建立相应的行业自律组织。实行行业自律监管机制,制定相关标准,推动相关行业建立和完善制度、规范和体系,建立统一的安全和责任底线,明确采集目的,遵守严格的知情同意原则,规范人脸数据传输、储存的加密方式和数据保存期限,使行业自律机制成为约束企业自身的人脸信息收集和使用行为的常态化监督管理手段。
5.4不断创新数据安全保护技术
防止人脸识别技术的滥用,不仅需要加强法律手段监管,也需要技术上的创新。一是利用多方计算、同态加密和联邦计算等安全方式实现人脸数据完全加密,构建智能化的人脸识别应用框架,实现不提供人脸原始数据,只提供模型、摘要数据或结构化数据,使人脸数据可用、不可见、不可存,从而确保数据使用价值的同时实现人权独立,保护个人隐私,保证人脸数据安全。二是利用数字水印、区块链等数字内容溯源技术,构建人脸数据安全保护的可信体系,有力保障人脸数据内容真实、来源安全,防止人脸篡改和深度伪造技术不断发展对国家安全、个人安全带来的危害。三是从保护用户对个人信息的所有权、增强用户对个人信息的控制权角度出发,借助基于区块链的数据确权和共享解决方案,制定有关收集、存储和分发人脸数据的规则并写入智能合约,对数据产生、使用和销毁进行全生命周期跟踪管理,把人脸数据的所有权和控制权归还用户,降低个人信息的泄露风险、改变数据流通和共享方式。四是利用人脸信息匿名化技术,在非身份认证场合下应用人脸时对人脸数据实行去身份处理,匿名后的人脸保留了脸部属性、不可还原,平衡了隐私和人脸数据的可用性,对人脸数据进行有效分析的同时,又保证人脸对应的个人身份信息的安全。
6结语
人脸识别技术是一把“双刃剑”,如何规范使用人脸识别技术,是大数据时代个人信息保护和数据安全的新课题。需要不断更新完善法律体系、不断研发信息保护技术,而法律法规和信息保护技术的更新常常落后于新技术的发展,因此,为让新技术继续造福社会、服务社会,需要多方面共同发力,加强个人信息保护的宣传工作,强化行业自律,制定自律公约,不断提高政府、行业的责任意识、规范意识,提高个人的信息保护意识,严密全生命周期的人脸数据保护工作,筑牢人脸识别技术滥用的防线。
参考文献
[1]南方都市报人工智能伦理课题组和App专项治理工作组.人脸识别应用公众调研报告(2020).
[2]李旭嵘,纪守领等.深度伪造与检测技术综述[J].软件学报,2021,2.
[3]郭爽.人脸识别进课堂,背离教育的初衷[J].甘肃教育,2019.18.
[4]GB/T35273-2020.信息安全技术个人信息安全规范[S].北京:中国标准出版社,2020.
[5]张彤,论民法典编纂视角下的个人信息保护立法[J].行政管理改革,2020,(02).
[6]吕尧,周千荷.欧美限制人脸识别技术对我国的启示[J].网络空间安全.2020,11(02).
[7]袁俊.人脸识别国际监管经验及规制建议[J].网络空间安全.2020,11(07).
[8]T/ZJAF5-2020.安全防范人脸数据安全管理规范.
[9]唐鹏,黄征,邱卫东.深度学习中的隐私保护技术综述[J].信息安全与通信保密,2019,(06).
[10]梁瑞刚,吕培卓等.视听觉深度伪造检测技术研究综述[J].信息安全学报,2020,5(02).
[11]祝烈煌,高峰等.区块链隐私保护研究综述[J].计算机研究与发展.2017,54(10).
[12]郭思雨.基于匿名化技术的人脸图像隐私保护方法研究[D].北京交通大学,2018.
声明:本文来自公安部检测中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系anquanneican@163.com。
人脸识别系统为我们的生活带来了哪些便利
现代科技越来越发达,人工智能也在不断更新换代,现代人脸识别系统为人类生活带来了很多便利,那么人脸识别系统究竟为我们的生活带来了哪些便利呢?
【评测】人脸识别测温门禁考勤一体机(捷易科技D721)
一、生活中
在现代快节奏的生活中,人脸识别系统为我们带来了许多便利,现在有很多地区的铁路部门都使用了人脸识别,比如在我们进站的时候,运用人脸识别替代了老式的人工检测,这一突破性发展为我们节省了许多时间,提高了效率,也成功的降低了人工识别的失误。
除了在出行方面带来了便利,生活中,大多数人会把资金放在银行存着,银行靠什么保证我们资金的安全呢?大部分是用银行卡和身份证,但还是有许多人不小心弄丢这些重要证件,那么资金安全成为了我们比较棘手的问题,如果银行采用这种人脸识别加证件的方法是不是可以大大保障我们资金安全呢?
人脸识别系统
二、学习中
在当代大学生的学习中,据我所知现在有许多高校采用了人脸识别系统来打卡,避免了许多人打虚卡的情况,在教室门口装一个人脸识别系统,学生们上课前刷学生卡,并用设备的摄像头采集人脸信息,必须同时具备这两个条件方可完成一次打卡,这样提高了学生的出勤率,也为教师上课清点人数带来了方便,节省了时间。
在学校图书馆自习室占座率高,但利用率较低,一个人占两个座位这种情况也不少见,那么怎么解决这一情况呢?答案依旧是人工智能,在学校图书馆门口安装人脸识别系统,记录进出的学生,再根据每人自习室签到情况,自动登记一张座位,其余的座位向其余同学开放,这样也能解决图书馆座位紧张的局面。
三、工作中
在工作中,有许多领域都已经采用了这种先进的手段,比如上班打卡,公安名警办案等等,尤其是在民警办案的过程中,依赖了这一技术,让许多犯罪分子“现出原形”,有许多人通过伪造的身份信息做坏事,在我们生活中要是都采用人脸识别技术,那么这些犯罪分子便无处遁形。
人脸识别系统的出现给我们的生活带来了很多便利,捷易科技相信在不远的将来人脸识别技术的改革与创新使我们的未来将会越来越美好,共同期待吧!