錄入人臉信息、對準攝像頭、屏幕出現(xiàn)面部照片、大門開啟......方便倒是方便,但他卻有一絲擔憂,“我的人臉信息是誰在保管?會不會有泄露的風險?”
周進良道出了一種普遍情緒:人們在享受生物特征識別技術便利的同時,也對可能存在的風險充滿顧慮。
近年來,人臉識別、聲紋識別、基因檢測等生物特征識別技術,不斷滲透進我們的日常生活。同時,侵犯公民生物識別信息的行為屢見不鮮。人臉、聲紋、基因等“人體密碼”一旦泄露,公民如同“裸奔”,后果不堪設想。
“賞臉”不是自己說了算
“生物識別信息屬于敏感個人信息。它具有唯一性,無法更換或刪除,一旦被不法利用,可能給信息主體的人身、財產安全和人格尊嚴帶來風險。”安徽師范大學法學院教授周俊強說。
生物識別信息保護如此重要,但新華每日電訊記者調查發(fā)現(xiàn),目前信息采集和使用還存在諸多亂象,“丟臉”“失聲”的現(xiàn)象不斷出現(xiàn)。
生物識別信息被強制采集。乘車進站、上班打卡、轉賬支付甚至存包、取廁紙……日常生活中“要臉”的地方越來越多,而很多時候,我們無權決定是否“賞臉”。
今年4月,江蘇部分社區(qū)推行人臉識別門禁系統(tǒng),居民被要求錄入人臉照片、家庭住址等信息,否則將無法正常進入小區(qū),這讓很多居民頗為無奈。有居民表示,人臉是自己的生物信息,怎能隨意被人拿走,一旦泄露,造成的后果誰來承擔?
類似的強制采集人臉信息的案例在多地都有發(fā)生,對大多數人來說,根本沒有“討價還價”的可能,即使心懷疑慮,也只能提交人臉信息。
生物識別信息被盜用。你的“面子”也很“值錢”。今年10月,湖北省巴東警方破獲系列微信支付詐騙案。辦案民警介紹,不法分子在盜取受害者微信賬號后,找出受害人的自拍照,并通過照片活化技術騙過微信支付的人臉識別驗證,進而轉移受害人的賬戶余額。
通過微信語音和你“熱聊”的好友,很可能是騙子。南京警方介紹過這樣一個案例,2019年10月,南京市民陳先生收到一位“朋友”發(fā)來的語音消息,說要借5000元錢。陳先生聽著是朋友的聲音,沒多想就把錢轉了過去,誰知對方收到錢后不久就把他“拉黑”了。專家介紹,現(xiàn)有的AI語音合成技術可以從原始錄音中取樣,模擬出相似度極高的聲音,極具欺騙性。
生物識別信息被泄露。對于公民來說,生物識別信息一經提交,這些“人體密碼”將去向何方, 不得而知。近年來,這類信息被泄露的案例屢有發(fā)生。
寄出一毫升唾液,就能測出自己的血統(tǒng)來源,是否為“易胖體質”,是哪些疾病的易感人群。聽上去是不是很有吸引力?許多人都希望通過基因檢測,擁有一本專屬的“生命說明書”。
但個人基因信息,同樣存在被泄露的風險。2018年10月,科技部官網公布了一批行政處罰決定書,國內外共六家機構上榜。據悉,這些機構都存在非法處理公民遺傳資源信息的行為。
2019年2月,中國某人工智能公司的數據庫由于未做訪問限制,直接開放在互聯(lián)網上,導致超過250萬人的數據可被獲取,這其中就包括了人臉識別圖像。
小區(qū)強推人臉門禁歸誰管
生物識別信息逐漸取代傳統(tǒng)的數字密碼,成為人們的“支付依據”“準入憑證”,可以說是價值非凡,因此常被人“惦記”。
趨利的不法分子通過一切手段,試圖盜取“人體密碼”,道高一尺魔高一丈的“貓鼠游戲”每天都在上演。
以人臉信息為例,如果想開發(fā)人臉識別技術,就需要大量的人臉信息訓練相關模型。
訊飛AI研究院視頻分析技術負責人吳子揚告訴記者,在商用的、來源正規(guī)的人臉信息數據庫里,單人不同角度、不同場景的人臉數據集,能賣到幾十甚至上百元。收集、倒賣公民人臉數據,正成為不法分子牟取利益的手段。
除此之外,人臉信息目前主要用于身份權限認證,一旦泄露,不法分子可以借此通過身份認證系統(tǒng),盜取公民社交平臺賬號或金融賬戶內財產。
不少商家也把采集生物識別信息當作商業(yè)競爭中的取勝之匙。當消費者走進一個裝有人臉識別設備的賣場,智能營銷系統(tǒng)就會迅速識別出他是不是“熟客”,并分析其收入水平與消費習慣,商家可以借此進行精準推薦或“大數據殺熟”。
生物特征識別技術的使用場景愈發(fā)廣泛,但是相關的應用還存在技術漏洞。
吳子揚表示,從技術層面來看,守護生物識別信息的難點主要在存儲環(huán)節(jié)。存儲器漏洞、缺乏訪問控制機制、黑客攻擊,都可能導致數據泄露。
與此同時,相關立法和監(jiān)管機制還存在一定滯后。
浙江理工大學法政學院副教授郭兵說,盡管我國有多部法律就保護公民個人信息作出規(guī)定,但相關法條多為原則性規(guī)定,缺乏對生物識別信息具體、針對性規(guī)定。
“我國現(xiàn)有的關于公民個人信息保護的法律,難以滿足日益具體、多樣的規(guī)范需求。”北京航空航天大學法學院副院長周學峰說,《中華人民共和國網絡安全法》適用于網絡運營者,而現(xiàn)實生活中侵犯公民生物識別信息的行為主體多種多樣?!吨腥A人民共和國民法典》即將生效,若受害者想憑此維權,需要到法院提起民事訴訟,維權成本高,舉證難度大。
周學峰表示,對于公民個人信息保護,目前多個部門都有管轄權,比如市場監(jiān)管、網信、公安等部門。但多部門監(jiān)管有可能導致監(jiān)管職責不清。我國目前缺乏一個公民個人信息保護領域的集中統(tǒng)一主管部門,“沒有明確的主管部門,公民在自身生物識別信息遭侵犯時,比如小區(qū)強制推行人臉門禁,都不知道該找哪個部門投訴”。
如何守護我們的“人體密碼”
近日,《天津市社會信用條例》的出臺受到公眾關注。條例明確規(guī)定市場信用信息提供單位,不得采集自然人的生物識別信息。對于生物識別信息保護而言,該條例的制定可以看作一次有益的探索。
如何守護我們的“人體密碼”?目前還沒有一個放之四海而皆準的“答案”。不過多位受訪專家表示,應構建立體化的生物識別信息保護體系,從技術、立法、執(zhí)法等方面著力。
“技術上,可以從降低生物識別信息的存儲依賴與減少存儲數據的濫用兩方面入手。”吳子揚表示,首先要加強生物識別算法的研發(fā),減少對數據的依賴;其次還應加強對隱私保護、加密等技術的研究,提升信息匿名化的能力,這樣即便數據泄露,他人也無法解析,降低數據被濫用的風險。
吳子揚認為,除了少數外部攻擊,大部分信息安全事故還是因為企業(yè)不自律、管理不規(guī)范導致的。他建議盡早建立生物識別信息應用系統(tǒng)的行業(yè)標準和評價指標,還可以依托行業(yè)內具有公信力的組織或第三方機構,對安全性進行定期評估與測試。
“生物識別信息的內涵外延需明確,相關處理規(guī)則需細化。”郭兵表示,應完善相關立法,對收集公民生物識別信息的行為要有明確標準,對于存儲和使用信息,也應作出更為具體的規(guī)定。
當個人生物識別信息被侵犯時,公民往往不愿意提起民事訴訟,因為“打官司”時間、經濟成本高,舉證難度大。就算勝訴,收益也很低。這導致很多公民在相關權益受侵害時忍氣吞聲,不法分子卻逍遙法外。
對此,周俊強建議將公益訴訟引入個人信息權益保護領域。這樣,人民檢察院等部門可以就違法處理個人信息的行為,向人民法院提起訴訟,大大增強維權力量。郭兵建議將懲罰性賠償制度引入個人信息權益侵害救濟的相關規(guī)定中,增強公民維權動力,同時提高法律威懾力。
“保護個人生物識別信息,不能光靠立法,執(zhí)法環(huán)節(jié)同樣重要。”周學峰建議,應設立個人信息保護領域的集中統(tǒng)一監(jiān)管機構,并設置投訴處理程序,在民事訴訟之外給公民提供行政救濟的途徑。這樣,當信息權益受侵害時,個人再也不會茫然無措,可以直接去找個人信息保護機構投訴。
相較于傳統(tǒng)的數字密碼,生物特征識別體現(xiàn)了技術的迭代升級。因噎廢食不是對待新技術的正確態(tài)度,加以約束、因勢利導,或許更為理性。
生物識別信息是公民獨一無二的“人體密碼”,是數字時代的通行證。隨著技術的進步和相關法律、監(jiān)管的完善,期待生物特征識別技術能實現(xiàn)“科技向善”,使我們的生活更加便捷,而我們的“人體密碼”,也能得到更妥善的保護。(記者 胡銳 戴威)