面面俱到:“刷臉”引發的安全思考
責編:gltian |2024-08-13 14:09:06一、背 景
刷臉技術,即人臉識別技術,是一種基于人的臉部特征信息進行身份識別的生物識別技術。刷臉技術如今在公共安全、場所進出、信息處理等領域已經得到了廣泛應用,在為我們帶來便利的同時,也伴隨著法律風險、技術風險等安全隱患。
央視網曾經報道,23歲的李某,在讀大學的時候做了一份需要人臉驗證的“兼職”,泄露了個人信息,莫名其妙成為了多家公司的法人或高管,同年9月,他在報考公務員考試時被告知不能通過資格審查,無法參加考試,考公、考編之路寸步難行。
碩士畢業的周某,通過了一家公司的面試,但在背景調查階段,信息顯示他名下有多家企業,且部分企業被列入經營異常名錄,導致他的錄用流程無法推進。經調查,是周青在校時做過的一份“兼職”在手機上下載安裝了兩款手機應用程序,且進行了人臉和實名認證,被不法分子盜取了當時的人臉識別信息,并且冒用身份注冊了多家公司。
這些真實發生的案件,為我們敲響了警鐘,揭示了人臉信息泄露可能給我們的生活帶來無窮無盡的負面影響,更加凸顯了保護人臉信息在我們生活中的重要性。
二、風 險
刷臉時代,即人臉識別技術的廣泛應用,為人們的生活帶來了便利的同時,也對個人信息泄露帶來了不容忽視的風險。
(一)過度收集和濫用
人臉識別技術具有非強制性和非接觸性的特點,這意味著個人在無意識的狀態下就可能被采集人臉信息,這種特性使得人臉數據容易被過度收集和濫用,違反《中華人民共和國個人信息保護法》、《中華人民共和國數據安全法》、 《網絡數據安全管理條例(征求意見稿)》、《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》、GB/T 35273-2020《信息安全技術 個人信息安全規范》、GB/T 41819-2022《信息安全技術人臉識別數據安全要求》等相關的法律法規、條例規定及國家標準的相關要求。
(二)數據泄露
人臉識別技術在不斷發展和完善,但仍然存在著很多安全隱患。人臉信息作為個人生物特征的一部分,一旦泄露,就可能導致個人的身份信息、行蹤軌跡等敏感信息等被暴露,進而引發隱私泄露的風險。這種風險不僅會對個人生活名譽、財產等造成困擾,還會威脅公共安全,擾亂市場秩序。人臉信息如果被不法分子進行制造假身份證、偽造證件等非法活動,將對社會治安造成威脅,從而導致社會信任體系的崩潰,使得人們對人臉識別技術的信任度降低,進而影響社會的穩定和發展。
三、應對措施
為了保障個人信息安全和社會穩定,我們需要加強人臉識別技術的監管和管理,同時提高個人的信息安全意識,采取多種有效的措施保護個人人臉信息不被泄露和濫用。
(一)政策要求
人臉數據是敏感個人信息,泄漏可能導致大數據殺熟、被冒用和詐騙等風險,目前已經出臺《中華人民共和國個人信息保護法》、《中華人民共和國數據安全法》、 《網絡數據安全管理條例(征求意見稿)》、《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》、GB/T 35273-2020《信息安全技術 個人信息安全規范》、GB/T 41819-2022《信息安全技術 人臉識別數據安全要求》等相關的法律法規、條例規定及國家標準,都對收集個人信息做出了嚴格的限定和要求。人臉數據等個人信息在應用過程中受到相應的保護,將減少個人信息泄露給我們的生活、財產、名譽等帶來的負面影響,進而保護個人安全,維護社會秩序。
(二)落實監管
企業和機構應該嚴格遵守和落實各項關于保障和監督人臉識別技術應用的法律法規、條例規定及國家標準,明確告知用戶信息收集的目的、范圍和方式,并征得用戶的明確同意,確保數據收集、存儲、使用和共享的規范,明確非法獲取、濫用或泄露人臉信息的行為將依照法律法規得到嚴厲懲治,確保人臉識別技術的合規使用。
近期,上海市旅館業治安管理信息系統中相繼發布通知和提示,嚴禁對已出示本人有效身份證件的旅客進行“強制刷臉”核驗,嚴禁發生不“刷臉”不能入住問題。不只是上海,杭州、廣州的一些酒店也確認已取消入住“強制刷臉”。
(三)技術保障
通過技術保障人臉的安全,借助數據安全企業去保護,提升系統的安全性和穩定性。借助可信執行環境(TEE)、安全多方計算(MPC)、數據安全沙箱等技術手段,確保在不歸集、不共享原始數據的前提下,對人臉特征信息進行安全處理。采用訪問控制技術,防止未經授權的訪問和使用。采用數據加密技術,對采集到的人臉數據,進行加密處理,保護人臉數據的存儲安全。采用去標識化、匿名化等技術,對人臉特征原始信息進行脫敏處理,確保人臉數據在使用、處理和流轉過程中不發生泄露。
同時,在使用人臉進行識別的過程中,可以考慮結合其他認證方式,如密碼、指紋等,形成多因素認證機制。目前已經有商家在自動販賣機運作中使用了這種多因素認證方式,利用人臉識別付款技術時,需要用戶手動輸入個人身份證或手機號后六位才能付款成功,這樣的操作設置,在給我們提供付款便利的同時,還可以提高身份驗證的準確性和安全性,降低單一因素認證帶來的風險。
《中華人民共和國個人信息保護法》規定,個人對其個人信息的處理享有知情權、決定權、查閱、復制、更正、補充、刪除和解釋說明等權利。企業在收集和使用人臉數據時,應嚴格遵守有關法律法規,借助自動化的個人信息保護平臺,檢索、定位個人信息,及時響應個人信息主體的上述訴求,確保人臉使用的合規性。
(四)安全意識
個人應提高隱私保護意識,謹慎對待人臉信息的收集和使用。在使用需要人臉識別技術的服務時,應仔細閱讀隱私政策,了解個人信息的收集范圍和使用目的。對于不必要的人臉信息收集,應予以拒絕。
四、小 結
“人臉識別技術是把雙刃劍”,我們應該平衡技術進步與個人隱私保護之間的關系,企業應在嚴格遵守相關法律法規的前提下,合法、正當、必要的使用人臉識別技術,個人更要提高自我保護意識,對于那些非必要、于法無據、于理不合的強制刷臉場景勇敢說“不”,在享受科技進步帶來的便利的同時,保護好自己的人臉信息。
(本文作者:北京數安行科技有限公司 郭靈)