人脸识别无孔不入 信息泄露细思恐极

　　人脸识别无孔不入 信息泄露细思恐极
　　
　　监管需真正“亮剑”
　　
　　近日，一条“济南男子戴头盔看房”的小视频在网上热传。视频中，该男子戴着头盔进售楼处看房，以防范人脸识别系统的抓拍。视频的流传令人好奇：人脸识别技术竟已无孔不入？
　　
　　刷脸支付、刷脸考勤、刷脸入园……近年来，人脸识别作为新兴的身份认证手段，得到不少商家组织和机构单位的应用推广。一方面，人们的确享受了技术带来的便捷高效，节约了时间人力成本，另一方面，人脸识别的泛滥也为用户面部信息泄露留下了安全隐患。
　　
　　11月20日，备受关注的“人脸识别第一案”在杭州市富阳区人民法院一审公开宣判。法院判决杭州野生动物世界赔偿郭兵合同利益损失及交通费，删除其办理指纹年卡时提交的包括照片在内的面部特征信息，但驳回了郭兵提出的其他诉讼请求。
　　
　　该案一审落槌，如同一颗石子落入湖水。这一案件所激起的关于个人生物识别信息安全话题引发社会各方思考。毕竟，技术应用与技术滥用之间，可能仅一墙之隔。
　　
　　■进趟售楼处就被抓拍
　　
　　“戴头盔看房”的短视频在网上火了。爆料人表示，出现这种滑稽现象，是因为房地产“老带新”、商业中介、自然看房人等不同类型客户可以拿到不同程度的买房优惠，所以看房人极力掩盖面容，以“对抗”售楼处用人脸识别判断客户类型。“您走进售楼处内，面部信息就会被采集进系统。当然，我们绝不会随便泄露您的信息，这么做只是开发商统计的需要。”北京某楼盘售楼员向媒体透露，由于链家、我爱我家等渠道给楼盘带客成交是要支付佣金的，从成本角度，开发商更喜欢主动到访的看房人，为了方便甄别谁是谁的客户，便想出这套办法。“北京如今九成以上的售楼处都安装有人脸识别系统，目的是用于区别客户。”一名房地产业内人士透露，现在进入售楼处的客户，有的是看到企业宣传自行前往，即自然到访客户；有的是由链家等中介带上门的，即渠道客户。精准的人脸识别系统能帮助企业锁定身份，避免本场销售人员和中介人员互相扯皮。“我就是签约时才发现自己已经被人脸识别了。”不久前刚在南四环某楼盘购买了一套商品房的王先生表示，直到交定金前，销售人员才表明，虽然他是在经纪人陪同下签的约，但由于人脸识别系统记录到他曾主动到访过一次，因此不能享受2%的优惠，两个价格相差近20万元。
　　
　　■私自采集涉嫌侵权
　　
　　“《网络安全法》第四十一条明确规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。人脸信息作为个人生物信息，具有唯一性和高度敏感性。”北京威诺律师事务所主任杨兆全表示，售楼处私自采集人脸信息的做法，属于商家为私利所实施的行为，显然构成了对公民人格权的侵犯。“售楼处收集个人信息，应该是在明示告知、充分提醒的前提下，由公民选择是否提供、如何提供、销毁个人信息，在此过程中不能对公民的选择权予以不正当的限制。”杨兆全说。
　　
　　■信息泄露“细思恐极”
　　
　　经过今年新冠肺炎疫情的考验，国内人脸识别系统的技术手段已大幅提升，即便是在火车站、地铁等大客流情况下，也能精准识别人脸，“不摘口罩识别”成为不少设备供应商标榜的亮点。但这也意味着今后消费者在售楼处等商业场所，被无感“盗取”人脸信息的概率越来越高。“人脸识别第一案”的当事人郭兵曾表示，自己并不是一个技术上的“保守者”，是面对越来越多的应用场景，人脸识别技术大规模铺开，他习惯多问几个为什么，这些问题几乎都让他想到数据安全问题。
　　
　　在技术层面，网络安全企业奇安信集团网络安全专家陈洪波说：“现在对数据的存储，无论是本地服务器还是托管到公有云，实际上都面临被攻破的风险。更何况许多企业推广人脸识别并没有有效的安防措施，在技术日新月异的背景下，随意采集人脸信息很难保证数据安全。”
　　
　　一旦数据因为黑客侵入、员工倒卖、企业私自使用等原因泄露，人脸等“不可更改的”生物识别信息就会流入网络黑灰产市场，可能造成很大的社会危害。
　　
　　陈洪波介绍，一方面人脸识别存储原本只是一张静态图像，但现在一些新技术可以通过静态图片来模拟动态行为，可以攻破一些识别系统；另一方面，如果人脸、个人身份信息一一对应挂钩，这样的“信息包”价值密度将更高，可能对个人的损害也更大。
　　
　　■“人脸识别”呼唤监管
　　
　　实际上，在法律层面，针对生物特征信息采集储存，我国已对个人信息安全规范等作了具体规定。例如个人生物特征信息属于敏感信息，要求个人生物识别信息要与个人身份信息分开存储；原则上不应存储原始个人生物识别信息，可采取的措施包括但不限于：仅存储摘要信息。
　　
　　“人脸识别第一案”原告代理律师张延来表示，现行法律法规体系下，指纹、人脸等个人生物特征信息，在收集使用的边界层面已经比较明确。“比如网络安全法、消费者权益保护法、电子商务法中，对采集信息合法性、正当性、必要性三原则的规定都是高度一致的，民法典也专辟一章规定公民信息保护。”
　　
　　陈洪波表示，除了法律，目前在技术层面，监管是相对成熟的，也就是说通过监测、爬虫等手段可以自动发现隐私收集的情况。除了个案捍卫自身权益，有关部门监管还需真正“亮剑”，进一步净化行业，推动人脸识别规范安全有序发展。本报综合 据新华社、半月谈、北京日报等