應用

技術

物聯(lián)網世界 >> 物聯(lián)網新聞 >> 物聯(lián)網熱點新聞
企業(yè)注冊個人注冊登錄

中國人臉識別第一案:刷臉身處灰色地帶,生物信息泄露便成“裸奔”

2019-11-05 09:11 DeepTech

導讀:11月1日,被媒體稱為“中國人臉識別第一案”的消費者起訴杭州野生動物世界案,正式在杭州市富陽區(qū)人民法院立案。

人臉識別,人臉識別,人工智能,隱私安全

圖片來自“123RF”

11月1日,被媒體稱為“中國人臉識別第一案”的消費者起訴杭州野生動物世界案,正式在杭州市富陽區(qū)人民法院立案。

據(jù)報道,10月28日,一位年卡用戶將杭州野生動物世界(以下簡稱動物世界)告上法庭,稱動物世界引進了人臉識別技術并強制用戶注冊,導致未注冊人臉識別的用戶無法入園這一行為違反了《消費者權益保護法》并且侵犯了用戶隱私。

人臉識別攝像頭

圖|人臉識別攝像頭(來源:Pixabay)

動物世界的年卡認證方式本來是通過年卡和本人指紋的雙重認證,由于指紋認證比較耗時且容易出故障。所以在今年7月,動物世界開始謀劃“智慧旅游”,引進了人臉識別技術并向所有年卡用戶發(fā)送了一條信息:園區(qū)年卡系統(tǒng)已經升級為人臉識別入園,原指紋識別已取消。即日起,未注冊人臉識別的用戶將無法正常入園。如尚未注冊,請您攜帶指紋年卡盡快至年卡中心辦理。

浙江大學法學博士郭兵質疑其安全性和隱私性,前往動物世界退卡卻遭拒?!安芍讣y,我是同意的。但是采集人臉信息,我是拒絕的,難道因為我拒絕人臉信息采集,作為年卡用戶的我就不能享受入園的權利嗎?”郭兵說。

必要嗎?合法嗎?

根據(jù)《消費者權益保護法》第 29 條規(guī)定,經營者收集、使用原告?zhèn)€人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經原告同意。而且,被告收集、使用原告?zhèn)€人信息,應該公開其收集、使用規(guī)則,不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。

《消費者權益保護法》第29條

圖 |《消費者權益保護法》第29條(來源:中華人民共和國中央人民政府官網)

那么,動物世界搜集人臉信息是否必要和合法?

郭兵在接受媒體采訪時表示:“人臉信息的手機和使用存在極不確定的安全風險,公安等政府部門處于一定的公共利益考慮采集人臉信息我還可以接受,但是一家動物娛樂游樂場也能采集人臉信息,安全性、隱私性我都表示懷疑,萬一信息泄露誰能負責?”

DeepTech 就合法、正當和必要問題咨詢了該動物世界,截至發(fā)稿前未接通電話。

北京德恒律師事務所徐凱律師向DeepTech表示:我國關于個人信息的采集和使用,主要還是依據(jù)《網絡安全法》的三原則,也就是合法、正當、必要。在這個案子中,它(刷臉)只是作為入園的身份識別,采用一般的身份證件就可以了,所以很可能就必要性來講,不是必要的采集。在正當性問題上,肯定要經過用戶同意,人臉識別可以是一種輔助的選項,讓用戶自愿去進行人臉識別,不能要求用戶必須進行。所以,“這個案子應該違反了網絡安全法三個條件里的兩個,即正當和必要?!?/p>

調研機構 Gen Market Insights 發(fā)布的數(shù)據(jù)顯示,全球人臉識別設備市場價值在 2018 年至 2025 年期間將以 26.8% 的速度增長,到 2025 年底將達到 71.7 億美元。中國是人臉識別設備最大的消費區(qū)域,2023 年占全球比例將達到 44.59%,在 2018-2023 年復合年增長率為 29.53%。

一般來說,人臉識別有兩種用途:驗證“你是不是你”;識別“你是誰”。因為這一技術屬于非接觸式識別技術,操作方便快捷,推廣成本低,所以應用場景越來越多。被用來進出地鐵安檢、被安裝在教室監(jiān)控學生注意力、甚至被安裝在天壇公園的公共廁所用來防止“偷紙大盜”。

目前,人們對人臉識別的倫理問題并沒有達成共識,人臉識別的合法性和道德可持續(xù)性遭到越來越多的質疑。該技術的應用范圍是什么?地鐵、小區(qū)、寫字樓、街道、互聯(lián)網服務都會采集信息,進行個人身份捆綁,怎樣使用人臉識別技術才算合規(guī)?

“可以說它(動物世界刷臉進園)是一種違法行為,但法律上并沒有明確禁止,個人信息保護的法律還沒有出臺,可以說是灰色地帶,各種機構都在這么做,將人臉識別用于學校和住宅樓小區(qū)進門等等,這是一個很普遍的現(xiàn)象”,中國政法大學法學院副教授王建勛說:“我覺得只有公權力機構,出于必要性,比如公安機關要制作身份信息等,可以這么做。其他的這些私人機構,都不應該這樣做。”

瑞為科技

圖 | 瑞為科技為北京大興國際機場提供人臉識別技術(來源:瑞為科技)

徐凱則認為,很多公共場所的人臉識別系統(tǒng)是個值得討論的問題。大多數(shù)需要身份認證的地方,實際上可以采用刷身份證件+刷臉的雙重模式,如果用戶不愿意刷臉,就有權利提出要求,有身份證就可人認定。如果管理方要求必須刷臉,就應該是可訴的、侵犯權益的行為?!?/p>

“據(jù)我所知,目前還沒有相關的明確規(guī)范(規(guī)定單位企業(yè)采用人臉識別技術需具備什么資質),就像之前的 ZAO 收集人臉信息也是自己制定的隱私條款”,曾在 GeekPwn2019 國際安全極客大賽奪冠的 RealAI 公司認為,“應盡快出臺相關規(guī)范,明確人臉信息收集的資質、權限、數(shù)據(jù)安全等要求。”

安全嗎?

動物世界采用的人臉識別技術是否有完備的數(shù)據(jù)保護系統(tǒng)防止信息泄露?目前尚不清楚動物世界采用的是哪家人臉識別公司的技術。

近年來的數(shù)據(jù)泄露事件屢有發(fā)生,如果采集到的大量數(shù)據(jù)沒有密碼保護,一旦被不法分子惡意利用,公民的信息安全將受到極大危害,部分黑產、灰產將從中獲益。

如果發(fā)生信息泄露,誰來負責呢?

360 公司家庭安全大腦產品線某工程師表示:“核心還是在于標準和規(guī)范。相關部門應該建立一個審核機構以及一套認證標準,人臉識別機器、模塊和數(shù)據(jù)庫安全性只有經過機構和標準認證之后才能被市場應用,這樣就會淘汰一部分存在風險的人臉識別公司。就像合格的指紋識別公司在市場上只有十家左右,有問題很容易追查。人臉識別做到可溯源的話,問題會簡單得多?!?/p>

徐凱稱:“因為民法總則里有相關的規(guī)定,這里面就涉及到侵犯隱私權的問題,侵犯公民個人信息的問題,這兩個都是可訴的侵權行為,用戶可以以侵權起訴這些單位,包括違法采集、利用都是可訴侵權行為,用戶可以去法院去訴。如果情節(jié)嚴重的,也可能構成刑法上的犯罪行為,就是侵犯公民個人信息罪。”

人臉識別

圖 | 今年二月深圳的一家主營人臉識別的“AI+安防”公司被爆發(fā)生數(shù)據(jù)泄露,致使 250 萬人的私人信息能夠被不受限制的訪問(來源:Frank Top10)

另一方面,站在技術角度。盡管人臉識別技術在業(yè)界的準確率已經可以達到 99%。但從 315 曝光刷臉漏洞,到 DeepFake 用 AI 換臉干擾美國政壇,再到戴一副簡單的眼鏡就能破解手機面部識別,人臉識別技術本身并不完善。

人臉識別通過攝像頭獲取信息之后,將通過信息網絡轉化為計算機代碼,所提取的數(shù)據(jù)將存儲于企業(yè)數(shù)據(jù)庫。人臉不能復制,但是代碼是可以被獲取和重構的。普通的字符和字串密碼在丟失之后可以設置新密碼,但是生物信息是不能“重置”的,一旦泄露便很難找回。換句話說,生物信息泄露后,用戶在使用生物信息作為身份認證的場合,可能被“李鬼”冒名頂替,身份安全形同裸奔。

RealAI 表示:“人臉信息屬于敏感信息,當前的人臉識別算法存在被攻擊的風險,人臉識別這一應用在推廣的同時也應該注重技術的迭代升級,避免因技術漏洞造成惡劣后果。”

所以,盡管人臉識別技術相對快捷和安全,目前來看也是利大于弊,但是技術的應用和信息安全的管理需要“兩條腿走路”,為避免信息泄露,加強數(shù)據(jù)安全是一個必然工作。

王建勛表示,個人信息安全保護法已經被呼吁很長時間了,人臉識別第一案對推動其進程的影響很難說。中國的立法受到很多因素的影響,要看官方是不是認為有必要,是不是到了要出臺的時候。

法學博士的“一紙訴狀”掀起了公民熱議隱私權的熱潮,“刷臉”技術已成大勢。如何在必要、安全和合法的前提下使用這項技術,有效規(guī)避“有人模仿我的臉”所帶來的安全隱患?這恐怕是相關部門、人臉識別公司、運營主體和諸多工程師們需要冷思考的問題。