備受關(guān)注的“人臉識別第一案”近日在杭州市富陽區(qū)人民法院一審公開宣判。法院判決杭州野生動物世界賠償郭兵合同利益損失及交通費,刪除其辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息;但駁回了郭兵提出的其他訴訟請求。

該案一審落槌,如同一顆石子落入湖水。這一案件所激起的關(guān)于個人生物識別信息安全話題,值得社會各方思考。

“人臉識別”背后的安全之憂

“人臉識別第一案”表面上是一場看似有些較真的訴訟,但背后反映出的是隨著近些年技術(shù)進步,人臉識別等應(yīng)用快速鋪開后的安全之憂。

近期,某視頻平臺上一段名為“戴頭盔看房”的短視頻火了。爆料人表示,出現(xiàn)這種滑稽現(xiàn)象,是因為房地產(chǎn)“老帶新”、商業(yè)中介、自然看房人等不同類型客戶可以拿到不同程度的買房優(yōu)惠,所以看房人極力掩蓋面容,以“對抗”售樓處用人臉識別判斷客戶類型。

一位網(wǎng)絡(luò)安全專家表示,目前,攝像頭捕捉人臉靜態(tài)畫面的技術(shù)已經(jīng)相當成熟。“如果你在看房過程中留下了個人信息,那么你的生物特征信息、身份證號、出生年月等就形成了一個‘信息包’。在這個過程中,沒有人會征求你的意見。”

業(yè)內(nèi)人士表示,因為技術(shù)的成熟、成本的降低,許多應(yīng)用開發(fā)過程中,已經(jīng)可以購買現(xiàn)成的程序模塊嵌套進系統(tǒng),相當于做好了一個成熟的輸入、輸出接口的代碼組件,可以直接實現(xiàn)人臉識別功能。有些這樣的模塊已經(jīng)完全免費,因而人臉識別的應(yīng)用場景得以大面積鋪開。

網(wǎng)絡(luò)安全企業(yè)奇安信集團網(wǎng)絡(luò)安全專家陳洪波說,人臉識別的大面積推廣應(yīng)用,無論是出于方便管理、便利客戶還是其他商業(yè)目的,但技術(shù)的推廣必須讓用戶有知情權(quán)和選擇權(quán),并遵循最小必要的原則。

信息泄露“細思恐極”

此前接受采訪時,“人臉識別第一案”的當事人郭兵曾表示,自己并不是一個技術(shù)上的“保守者”,是面對越來越多的應(yīng)用場景,人臉識別技術(shù)大規(guī)模鋪開,他習慣多問幾個為什么,這些問題幾乎都讓他想到數(shù)據(jù)安全問題。

在技術(shù)層面,陳洪波說:“現(xiàn)在對數(shù)據(jù)的存儲,無論是本地服務(wù)器還是托管到公有云,實際上都面臨被攻破的風險。更何況許多企業(yè)推廣人臉識別并沒有有效的安防措施,在技術(shù)日新月異的背景下,隨意采集人臉信息很難保證數(shù)據(jù)安全。”

一旦數(shù)據(jù)因為黑客侵入、員工倒賣、企業(yè)私自使用等原因泄露,人臉等“不可更改的”生物識別信息就會流入網(wǎng)絡(luò)黑灰產(chǎn)市場,可能造成很大的社會危害。

陳洪波介紹,一方面人臉識別存儲原本只是一張靜態(tài)圖像,但現(xiàn)在一些新技術(shù)可以通過靜態(tài)圖片來模擬動態(tài)行為,可以攻破一些識別系統(tǒng);另一方面,如果人臉、個人身份信息一一對應(yīng)掛鉤,這樣的“信息包”價值密度將更高,可能對個人的損害也更大。

記者此前調(diào)查也發(fā)現(xiàn),為了通過實人認證,達到注冊虛假賬號或者侵犯他人賬號等非法目的,人臉信息已經(jīng)成為黑灰產(chǎn)的重要交易信息,并催生出了“過臉產(chǎn)業(yè)”:人臉信息泄露后,不法分子可以通過“照片活化”,將照片制作成動圖,按照相應(yīng)登錄軟件規(guī)定程序,圖片可以完成點頭、眨眼等認證動作,順利通過部分軟件的人臉認證。

“人臉識別”技術(shù)呼喚加強監(jiān)管

“人臉識別第一案”宣判后,郭兵接受記者采訪時表示,由于法院并未支持他關(guān)于“確認多項告示、通知內(nèi)容無效”等訴訟請求,他已考慮針對這部分訴請?zhí)岢錾显V。而相較于個案本身,部分受訪法律、網(wǎng)絡(luò)安全專家表示,通過民事訴訟維護個人權(quán)益具有重要意義,但更希望這一個案能引起相關(guān)方面的重視,進而完善法律法規(guī),強化對人臉識別的規(guī)范和監(jiān)管。

北京大學(xué)法學(xué)院教授薛軍表示,這一案件很有啟發(fā)性。除了個人提起民事訴訟以外,未來還可能出現(xiàn)集團訴訟、代表人訴訟,或者消費者組織公益訴訟等,對侵犯個人信息的行為進行遏制。

實際上,在法律層面,針對生物特征信息采集儲存,我國已對個人信息安全規(guī)范等做了具體規(guī)定。例如個人生物特征信息屬于敏感信息,要求個人生物識別信息要與個人身份信息分開存儲;原則上不應(yīng)存儲原始個人生物識別信息,可采取的措施包括但不限于:僅存儲摘要信息。

本案原告代理律師張延來表示,現(xiàn)行法律法規(guī)體系下,指紋、人臉等個人生物特征信息,在搜集使用的邊界層面已經(jīng)比較明確。“比如網(wǎng)絡(luò)安全法、消費者權(quán)益保護法、電子商務(wù)法中,對采集信息合法性、正當性、必要性三原則的規(guī)定都是高度一致的,民法典也專辟一章規(guī)定公民信息保護。”

陳洪波表示,除了法律,目前在技術(shù)層面,監(jiān)管是相對成熟的,也就是說通過監(jiān)測、爬蟲等手段可以自動發(fā)現(xiàn)隱私收集的情況。除了個案捍衛(wèi)自身權(quán)益,有關(guān)部門監(jiān)管還需真正“亮劍”,進一步凈化行業(yè),推動人臉識別規(guī)范安全有序發(fā)展。

標簽: 人臉識別第一案