一、背 景

刷脸技术,即人脸识别技术,是一种基于人的脸部特征信息进行身份识别的生物识别技术。刷脸技术如今在公共安全、场所进出、信息处理等领域已经得到了广泛应用,在为我们带来便利的同时,也伴随着法律风险、技术风险等安全隐患。

央视网曾经报道,23岁的李某,在读大学的时候做了一份需要人脸验证的“兼职”,泄露了个人信息,莫名其妙成为了多家公司的法人或高管,同年9月,他在报考公务员考试时被告知不能通过资格审查,无法参加考试,考公、考编之路寸步难行。

硕士毕业的周某,通过了一家公司的面试,但在背景调查阶段,信息显示他名下有多家企业,且部分企业被列入经营异常名录,导致他的录用流程无法推进。经调查,是周青在校时做过的一份“兼职”在手机上下载安装了两款手机应用程序,且进行了人脸和实名认证,被不法分子盗取了当时的人脸识别信息,并且冒用身份注册了多家公司。

这些真实发生的案件,为我们敲响了警钟,揭示了人脸信息泄露可能给我们的生活带来无穷无尽的负面影响,更加凸显了保护人脸信息在我们生活中的重要性。

二、风 险

刷脸时代,即人脸识别技术的广泛应用,为人们的生活带来了便利的同时,也对个人信息泄露带来了不容忽视的风险。

(一)过度收集和滥用

人脸识别技术具有非强制性和非接触性的特点,这意味着个人在无意识的状态下就可能被采集人脸信息,这种特性使得人脸数据容易被过度收集和滥用,违反《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、 《网络数据安全管理条例(征求意见稿)》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》、GB/T 35273-2020《信息安全技术 个人信息安全规范》、GB/T 41819-2022《信息安全技术人脸识别数据安全要求》等相关的法律法规、条例规定及国家标准的相关要求。

(二)数据泄露

人脸识别技术在不断发展和完善,但仍然存在着很多安全隐患。人脸信息作为个人生物特征的一部分,一旦泄露,就可能导致个人的身份信息、行踪轨迹等敏感信息等被暴露,进而引发隐私泄露的风险。这种风险不仅会对个人生活名誉、财产等造成困扰,还会威胁公共安全,扰乱市场秩序。人脸信息如果被不法分子进行制造假身份证、伪造证件等非法活动,将对社会治安造成威胁,从而导致社会信任体系的崩溃,使得人们对人脸识别技术的信任度降低,进而影响社会的稳定和发展。

三、应对措施

为了保障个人信息安全和社会稳定,我们需要加强人脸识别技术的监管和管理,同时提高个人的信息安全意识,采取多种有效的措施保护个人人脸信息不被泄露和滥用。

(一)政策要求

人脸数据是敏感个人信息,泄漏可能导致大数据杀熟、被冒用和诈骗等风险,目前已经出台《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》、 《网络数据安全管理条例(征求意见稿)》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》、GB/T 35273-2020《信息安全技术 个人信息安全规范》、GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》等相关的法律法规、条例规定及国家标准,都对收集个人信息做出了严格的限定和要求。人脸数据等个人信息在应用过程中受到相应的保护,将减少个人信息泄露给我们的生活、财产、名誉等带来的负面影响,进而保护个人安全,维护社会秩序。

(二)落实监管

企业和机构应该严格遵守和落实各项关于保障和监督人脸识别技术应用的法律法规、条例规定及国家标准,明确告知用户信息收集的目的、范围和方式,并征得用户的明确同意,确保数据收集、存储、使用和共享的规范,明确非法获取、滥用或泄露人脸信息的行为将依照法律法规得到严厉惩治,确保人脸识别技术的合规使用。

近期,上海市旅馆业治安管理信息系统中相继发布通知和提示,严禁对已出示本人有效身份证件的旅客进行“强制刷脸”核验,严禁发生不“刷脸”不能入住问题。不只是上海,杭州、广州的一些酒店也确认已取消入住“强制刷脸”。

(三)技术保障

通过技术保障人脸的安全,借助数据安全企业去保护,提升系统的安全性和稳定性。借助可信执行环境(TEE)、安全多方计算(MPC)、数据安全沙箱等技术手段,确保在不归集、不共享原始数据的前提下,对人脸特征信息进行安全处理。采用访问控制技术,防止未经授权的访问和使用。采用数据加密技术,对采集到的人脸数据,进行加密处理,保护人脸数据的存储安全。采用去标识化、匿名化等技术,对人脸特征原始信息进行脱敏处理,确保人脸数据在使用、处理和流转过程中不发生泄露。

同时,在使用人脸进行识别的过程中,可以考虑结合其他认证方式,如密码、指纹等,形成多因素认证机制。目前已经有商家在自动贩卖机运作中使用了这种多因素认证方式,利用人脸识别付款技术时,需要用户手动输入个人身份证或手机号后六位才能付款成功,这样的操作设置,在给我们提供付款便利的同时,还可以提高身份验证的准确性和安全性,降低单一因素认证带来的风险。

《中华人民共和国个人信息保护法》规定,个人对其个人信息的处理享有知情权、决定权、查阅、复制、更正、补充、删除和解释说明等权利。企业在收集和使用人脸数据时,应严格遵守有关法律法规,借助自动化的个人信息保护平台,检索、定位个人信息,及时响应个人信息主体的上述诉求,确保人脸使用的合规性。

(四)安全意识

个人应提高隐私保护意识,谨慎对待人脸信息的收集和使用。在使用需要人脸识别技术的服务时,应仔细阅读隐私政策,了解个人信息的收集范围和使用目的。对于不必要的人脸信息收集,应予以拒绝。

四、小 结

“人脸识别技术是把双刃剑”,我们应该平衡技术进步与个人隐私保护之间的关系,企业应在严格遵守相关法律法规的前提下,合法、正当、必要的使用人脸识别技术,个人更要提高自我保护意识,对于那些非必要、于法无据、于理不合的强制刷脸场景勇敢说“不”,在享受科技进步带来的便利的同时,保护好自己的人脸信息。

(本文作者:北京数安行科技有限公司 郭灵)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。