人臉識別已經(jīng)成為人們生產(chǎn)生活中習以為常的人工智能應用方式,刷臉進門、刷臉支付、刷臉打卡等應用悄無聲息地改變了人們的生活習慣,提升了人們的生產(chǎn)效率。但人臉識別技術應用中也暴露出很多觸目驚心的隱私安全問題,引起社會關注。當前,全球已掀起人臉識別的治理熱潮,我國人臉識別綜合治理體系也已漸趨完善,但人臉識別技術應用過程中仍存在抵抗攻擊能力差、合規(guī)要求不落地等問題,需要政產(chǎn)學研通力合作,破解企業(yè)技術應用難題,提升行業(yè)安全合規(guī)能力。
全球掀起人臉識別治理新熱潮
新技術打開行業(yè)新市場。人臉識別應用領域遍地開花,產(chǎn)業(yè)增速迅猛。在深度學習技術加持下,人臉識別技術準確率躍升,全面開啟了商業(yè)化進程。尤其是近兩年,人臉識別在安防、金融、交通、電信等領域的應用種類和用戶規(guī)模呈現(xiàn)爆發(fā)式增長,已經(jīng)成為人們習以為常的人工智能應用,極大提升了身份認證、支付轉(zhuǎn)賬、人流統(tǒng)計和特定任務甄別等諸多任務效率。據(jù)數(shù)據(jù)統(tǒng)計公司Statista測算,2021年全球人臉識別市場規(guī)模約50.1億美元,預計2027年翻一番,達129.2億美元。
新應用誘發(fā)安全新風險。人臉識別技術在高效率采集人臉信息的過程中,暴露出數(shù)據(jù)安全和隱私保護雙重風險。人臉信息敏感度高,具有唯一性和不可篡改性,一旦泄露將對個人人身安全、財產(chǎn)安全帶來極大的危害,全球范圍內(nèi)人臉識別技術使用相關案例層出不窮。一是安全防護漏洞增大數(shù)據(jù)泄露風險。智能快遞柜曾被曝光一張打印照片即可輕松突破人臉識別;銀行APP人臉識別被攻破,不法分子實施電信網(wǎng)絡詐騙,轉(zhuǎn)走巨額存款。二是應用濫采濫用侵犯個人信息權利?!?·15晚會”曝光房地產(chǎn)公司在用戶無感知、未授權情形下處理人臉信息;Mate因濫用人臉識別功能向160萬用戶賠償共計6.5億美元。
新挑戰(zhàn)引發(fā)治理新熱潮。全球加快個人信息保護工作,人臉識別作為治理的重點抓手。目前,多個國家和地區(qū)意識到包括人臉信息在內(nèi)的生物特征識別信息保護的重要性和緊迫性,著手推進相關治理工作,其中以美國和歐盟的保護路徑為代表。美國秉持審慎監(jiān)管以鼓勵創(chuàng)新。美國聯(lián)邦層面尚未制定專門的法律規(guī)制人臉識別技術使用,地方政府積極出臺立法進行規(guī)范。伊利諾伊州2008年頒布首部生物識別信息保護法案,要求主體在獲取生物信息前獲得信息主體的書面同意,并禁止售賣此類信息獲利。紐約市2021年頒布《生物識別信息隱私法案》對數(shù)據(jù)安全、知情告知及私人訴權等做出了較為翔實的規(guī)定。歐盟制定統(tǒng)一法案實施強監(jiān)管路徑。歐盟2018年實施的《通用數(shù)據(jù)保護條例》明確原則上禁止處理生物識別數(shù)據(jù),除非具備合法基礎,或者得到數(shù)據(jù)主體自由、特定且明確的同意確認。歐盟2021年4月出臺的《人工智能法》草案進一步加強了對生物特征識別技術的管控,原則上禁止執(zhí)法部門在公共場所使用實時遠程生物特征識別系統(tǒng)。歐盟2022年通過的《執(zhí)法領域面部識別技術使用指南》重申了禁止使用人臉識別技術的情況,并對能夠使用的場景規(guī)定了非常嚴苛的條件。
我國人臉識別治理日趨完善
我國人臉識別相關法律體系和標準規(guī)范持續(xù)完善,人臉信息保護路徑更加清晰。《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》的陸續(xù)出臺為人臉數(shù)據(jù)的安全流通和信息保護保駕護航。其中,《個人信息保護法》以及最高人民法院出臺的人臉識別司法解釋針對人臉信息的處理做出了更嚴格、更精細化的規(guī)定。此外,人臉識別技術相關標準體系已初步形成,范圍覆蓋基礎技術、信息保護和行業(yè)應用。但是,人臉識別在落地應用過程中仍然存在安全與合規(guī)兩大問題需要破解。
一是人臉識別安全問題:抵抗攻擊能力水平低。
人臉識別安全方面,抵抗攻擊能力較低,防御易被突破。主要原因在于準入機制欠缺以及精細化管理不夠:第一,研發(fā)企業(yè)技術水平參差不齊,存在劣幣驅(qū)逐良幣的現(xiàn)象。隨著人臉識別技術研發(fā)門檻的不斷降低,市場上技術研發(fā)企業(yè)魚龍混雜,技術產(chǎn)品的安全防護能力參差不齊。當前,我國仍然缺乏人臉識別技術的準入機制,事前安全監(jiān)督存在不足。第二,應用單位的安全防范能力良莠不齊,一些便民服務、小區(qū)物業(yè)、個別中小金融機構(gòu)等存在安全風險。大量應用單位多是采買、集成第三方技術服務,過度依賴生物特征識別技術,缺乏系統(tǒng)性的風險管控能力,安全防護能力較弱,存在一定安全隱患。
二是人臉識別合規(guī)問題:應用合規(guī)要求落實差。
人臉識別合規(guī)方面,存在技術濫用和應用單位管理不完善等問題。隨著《個人信息保護法》的出臺和實施,作為敏感個人信息的人臉信息在收集、存儲等各個環(huán)節(jié)提出了嚴格的要求。在實踐中還存在兩個方面問題。第一,人臉特征識別技術濫用現(xiàn)象依然嚴重。應用單位存在“未充分授權”及“捆綁式”“強制式”收集人臉信息的違法行為;部分人臉識別應用場景也不滿足最小必要原則;此外,一些非配合式的人臉識別設備較為隱蔽,侵犯公民個人隱私、沖擊社會信任。第二,應用單位的管理不到位,存在數(shù)據(jù)泄露風險。在校園、小區(qū)、寫字樓等場景下使用的人臉識別門禁存在應用不規(guī)范的情形,包括未將人臉信息與身份信息分類存儲,極易關聯(lián)個人隱私;未設立嚴格、合理的數(shù)據(jù)權限,物業(yè)普通員工可以隨意接觸人臉信息,加大了人臉數(shù)據(jù)泄露的風險。
人臉識別治理需要多方共治
健全事前事中事后全鏈條監(jiān)管。在事前,引導企業(yè)在人臉識別相關應用、業(yè)務上線前,主動開展影響評估,積極履行合規(guī)義務,構(gòu)建安全管理制度、應急響應管理制度。在事中,對開展人臉識別應用的企業(yè),特別是政務、金融等關鍵領域,定期開展安全評估、合規(guī)審計等。在事后,落實追責制度,并建立投訴舉報機制加大監(jiān)管力度,積極查處濫用人臉識別的企業(yè)或個人等。
建立分級分類的人臉識別技術安全管理體系。一是推動行業(yè)組織構(gòu)建人臉識別安全、合規(guī)技術標準,提高整個行業(yè)的安全水平,對涉及范圍大、影響程度深的應用行業(yè)建立備案準入機制。二是按照不同行業(yè)需求以及潛在危害程度,對人臉識別應用劃分為不同的等級,結(jié)合業(yè)務特點,分別制定涉及人臉數(shù)據(jù)處理的要求,確保應用有據(jù)可依。
鼓勵政產(chǎn)學研多層次、多方面加強溝通。一是依托行業(yè)組織,廣泛吸收產(chǎn)業(yè)界優(yōu)秀實踐經(jīng)驗,嚴格落實《個人信息保護法》各項要求,發(fā)布人臉識別技術和應用相關實踐指南,為企業(yè)處理生物特征提供實踐層面的指引。二是鼓勵研究機構(gòu)進行技術交流,共同探索具有隱私保護能力的人臉識別技術。
中國安防協(xié)會 2022-11-15 17:09 發(fā)表于北京