2021两会:全国人大代表、暨南大学教授卢馨建议,立即清理整顿非必要的人脸识别,明确规定人脸识别使用范围。建议由公安部门统一承担人脸识别应用的审批与监管职能,设立相应审批标准及程序,加强资源统筹、部门协作、信息共享。
人脸识别上两会已经不是第一年,2020年两会,全国政协委员、致公党上海市委专职副主委马进先生提出尽快对人脸识别技术应用制定相关管理办法的建议,包括人脸识别数据采集、存储和使用,人脸识别软硬件认证等问题,让人脸识别监管做到有法可依。
早在2016年开始,人脸识别就广泛应用在各种大型活动中,包括G20峰会、乌镇互联网大会和各种体育赛事。在2018年的两会中,大会安保更采用动态人脸识别实时预警系统和人脸识别酒店入住登记。前者可以进行人脸捕获、分析、比对、定位和预警,后者进行人证合一对比。人脸识别发挥了重大价值。
从去年开始,人脸识别诉讼问题逐渐浮出水面,大家关心的焦点不再是人脸识别带来的方便,安全,而是“人脸识别应用的必要性”问题。所谓人脸识别的必要性,指的是:抛开公安、安防、大型活动等场合,普通园区、企业、楼盘、校园等场所,是否真的必要应用人脸识别(进行门禁刷脸出入,入园刷脸等)?是否有其他替代方案可以?如何让公众自有选择?如何保证生物识别信息安全及不滥用?
大家的关心是:人脸信息被广泛采集,一点人脸信息泄露,是否意味着自己的支付账号不安全了?人脸信息作为生物的唯一性,无法修改性,是否自己未来的行踪等隐私也容易暴露了?
实际上,目前的人脸识别模式,一种是主动配合型,比如企业的人脸识别门禁或者园区,通常要求使用者提前提供清晰的照片(作为人脸识别比对的底片),之后由管理者将照片上传到比对底库。工作过程中,摄像机会现场采集和抓取人脸的照片,与底库照片进行比对。
另外一种是不需要配合型,比如公安、安检、宾馆等身份核验应用,通常没有底库照片搜集过程,而是直接调取的使用者身份证的照片,摄像机会现场采集和抓取人脸的照片,与底库照片(身份证照片)进行比对。
所以,使用者有两类照片被企业或者园区所掌握,一个是相对清晰的,主动提供的底库照片,还有就是日常随时采集的现场抓取的照片(类似缓存),后者完成比对过程后就不再具有保留意义。
这些具有身份识别附加信息的照片,如果泄露了,对自己的风险有多大?实际上,没有想象的大。比如说我们在常规的企业入职或者公园门票应用中,也需要提供自己的照片用于制卡做证件,也有外泄的风险。
这些身份信息外泄,是否会被不法者用来进行门禁开门,支付验证等。目前看,可能性很低,因为照片不足以通过活体检测等环节,支付安全还保障体系还是比较强大的。但是,人们的担忧是并不多余的。
人们抗拒人脸识别,在于认为人脸是暴露在外的,不可更改的,“危险”在于:一方面,人脸这种生物特征具有唯一性,通过人脸识别可以更加容易地发现个人隐私,比如行踪、商场消费等;另一方面,人脸识别要依靠大型的信息数据库,而这种数据库的安全性是存疑的,目前是屡屡发生泄漏的,一旦被滥用或者泄露,就会极大威胁到个人隐私乃至个人的其他权利。
所以,在当前无法完全保障人脸信息数据库安全性的情况下,在人脸识别被各种场景广泛应用的情况下,对人脸识别广泛应用的担心是可以理解的,媒体的客观引导也是非常有必要的。
与所有其他个人数据一样,必要性和相称性是关键。由于生物特征数据的敏感性,可能很难证明其收集和使用的合理性。我们可能会发现,如果已经有一个非生物识别(比如常规IC门卡或者证件信息)系统来满足需求(即使这样的非生物识别系统没有充分发挥作用,也可以补救),那么我们很难通过隐私影响评估。
所以,目前情况下,希望收集员工生物特征数据的雇主或者园区管理者应确保其员工可以自由选择。即使员工生物特征数据的收集是充分的,而不是过度的,这种收集也必须以公平的方式进行。如果有人不愿意接受处罚,那么一刀切向他们收集生物特征数据是不公平的。
由于人脸识别应用通常由用户的承包商落地实施,鉴于生物特征数据的敏感性,最终用户必须防范生物特征数据被泄露和窃取的任何风险。最终用户还必须采用合同或其他方式,防止传输给承包商的个人数据被超过必要时间保存,防止未经授权或意外访问、处理、擦除、丢失或使用,并可能对承包商因安全故障导致的任何个人数据泄露或误用负责。
