“人臉識別第一案”背後的安全之憂

備受關注的“人臉識別第一案”近日在杭州市富陽區人民法院一審公開宣判。法院判決杭州野生動物世界賠償郭兵合同利益損失及交通費,刪除其辦理指紋年卡時提交的包括照片在內的面部特徵信息;但駁回了郭兵提出的其他訴訟請求。

案一審落槌,如同一顆石子落入湖水。這一案件所激起的關於個人生物識別信息安全話題,值得社會各方思考。

“人臉識別”背後的安全之憂

“人臉識別第一案”表面上是一場看似有些較真的訴訟,但背後反映出的是隨着近些年技術進步,人臉識別等應用快速鋪開後的安全之憂。

近期,某視頻平臺上一段名爲“戴頭盔看房”的短視頻火了。爆料人表示,出現這種滑稽現象,是因爲房地產“老帶新”、商業中介、自然看房人等不同類型客戶可以拿到不同程度的買房優惠,所以看房人極力掩蓋面容,以“對抗”售樓處用人臉識別判斷客戶類型。

一位網絡安全專家表示,目前,攝像頭捕捉人臉靜態畫面的技術已經相當成熟。“如果你在看房過程中留下了個人信息,那麼你的生物特徵信息、身份證號、出生年月等就形成了一個‘信息包’。在這個過程中,沒有人會徵求你的意見。”

業內人士表示,因爲技術的成熟、成本的降低,許多應用開發過程中,已經可以購買現成的程序模塊嵌套進系統,相當於做好了一個成熟的輸入、輸出接口的代碼組件,可以直接實現人臉識別功能。有些這樣的模塊已經完全免費,因而人臉識別的應用場景得以大面積鋪開。

網絡安全企業安信集團網絡安全專家陳洪波說,人臉識別的大面積推廣應用,無論是出於方便管理、便利客戶還是其他商業目的,但技術的推廣必須讓用戶有知情權選擇權,並遵循最小必要的原則

信息泄露“細思恐極”

此前接受採訪時,“人臉識別第一案”的當事人郭兵曾表示,自己並不是一個技術上的“保守者”,是面對越來越多的應用場景,人臉識別技術大規模鋪開,他習慣多問幾個爲什麼,這些問題幾乎都讓他想到數據安全問題。

在技術層面,陳洪波說:“現在對數據的存儲,無論是本地服務器還是託管到公有云,實際上都面臨被攻破的風險。更何況許多企業推廣人臉識別並沒有有效的安防措施,在技術日新月異的背景下,隨意採集人臉信息很難保證數據安全。”

一旦數據因爲黑客侵入、員工倒賣、企業私自使用等原因泄露,人臉等“不可更改的”生物識別信息就會流入網絡黑灰產市場,可能造成很大的社會危害。

陳洪波介紹,一方面人臉識別存儲原本只是一張靜態圖像,但現在一些新技術可以通過靜態圖片來模擬動態行爲,可以攻破一些識別系統;另一方面,如果人臉、個人身份信息一一對應掛鉤,這樣的“信息包”價值密度將更高,可能對個人的損害也更大。

記者此前調查也發現,爲了通過實人認證,達到註冊虛假賬號或者侵犯他人賬號等非法目的,人臉信息已經成爲黑灰產的重要交易信息,並催生出了“過臉產業”:人臉信息泄露後,不法分子可以通過“照片活化”,將照片製作成動圖,按照相應登錄軟件規定程序,圖片可以完成點頭、眨眼等認證動作,順利通過部分軟件的人臉認證。

“人臉識別”技術呼喚加強監管

“人臉識別第一案”宣判後,郭兵接受記者採訪時表示,由於法院並未支持他關於“確認多項告示、通知內容無效”等訴訟請求,他已考慮針對這部分訴請提出上訴。而相較於個案本身,部分受訪法律、網絡安全專家表示,通過民事訴訟維護個人權益具有重要意義,但更希望這一個案能引起相關方面的重視,進而完善法律法規,強化對人臉識別的規範和監管。

北京大學法學院教授薛軍表示,這一案件很有啓發性。除了個人提起民事訴訟以外,未來還可能出現集團訴訟、代表人訴訟,或者消費者組織公益訴訟等,對侵犯個人信息的行爲進行遏制。

實際上,在法律層面,針對生物特徵信息採集儲存,我國已對個人信息安全規範等做了具體規定。例如個人生物特徵信息屬於敏感信息,要求個人生物識別信息要與個人身份信息分開存儲;原則上不應存儲原始個人生物識別信息,可採取的措施包括但不限於:僅存儲摘要信息。

本案原告代理律師張延來表示,現行法律法規體系下,指紋、人臉等個人生物特徵信息,在蒐集使用的邊界層面已經比較明確。“比如網絡安全法、消費者權益保護法、電子商務法中,對採集信息合法性正當性、必要性三原則的規定都是高度一致的,民法典也專闢一章規定公民信息保護。”

陳洪波表示,除了法律,目前在技術層面,監管是相對成熟的,也就是說通過監測、爬蟲等手段可以自動發現隱私收集的情況。除了個案捍衛自身權益,有關部門監管還需真正“亮劍”,進一步淨化行業,推動人臉識別規範安全有序發展。