人脸识别泛滥,谁有权拿走你的人脸数据?
记者 | 周伊雪 8月中旬的一天,住在北京昌平区回龙观某小区的王轶在业主群中收到了一则来自居委会的通知。 这则通知中写到,随着新冠疫情工作转入常态化,为了加强居家隔离人员管理,有效降低外来输入型病例传播风险,小区计划安装智慧社区门禁系统,需要居民通过手机APP或到居委会现场上传包括手机号码、身份证以及人脸照片等信息,办理新的出入权限。 王轶所在的业主群共有近500人,群内成员包括小区的业主和租户。这个群是在今年年初国内爆发新冠疫情后才由居委会建立的,平时的主要功能是传达疫情相关信息。 看到这则通知后,在互联网公司有过数据分析工作经历的王轶感到有些不安。他发现虽然通知中写到安装智慧社区门禁后可以使用人脸识别(也就是“刷脸”)或者手机APP两种方式来开门,但在办理权限时都必须要录入人脸照片。 他还注意到负责安装人脸识别门禁系统的第三方公司曾经曝出过负面信息,自然开始担忧个人信息尤其是人脸照片被收集后会如何存储和使用,以及是否会存在信息安全问题。 王轶和其他住户在业主群中提出了这些疑问,小区居委会的回应是,新的智慧门禁设备已经在公安备案,并且会与公安联网,试图以此打消居民的顾虑。但却一直未能出示相关文件证明。 除了个人信息安全方面的担忧外,业主们对于在小区安装人脸识别设备的必要性和实际中的可操作性也提出质疑。有住户问到,小区已经有一套刷卡的门禁系统,为什么还有搞人脸识别?并且,这套系统针对居住在该小区的居民,只采集小区居民的信息,那么快递员、外卖员进入小区是否需要刷脸呢? 与王轶的经历类似,12月中旬,在北京东二环嘉诚有树产业园上班的刘欢也被告知由于新冠疫情防控转入常态化,园区要安装新的人脸识别门禁系统。 在一场由设备安装方主办的说明会上,刘欢及其他人被告知,新系统需要采集在该园区上班的人的手机、身份证和人脸信息,系统投入使用后,他们可以且仅可以通过刷脸方式进入办公区。 当刘欢及其他在场的参会者提出,如何对收集的个人信息做保密管理,以及公司是否具备相关资质时。“设备方的人要么答非所问,要么几个人相互确认,说应该取得相应资质了会发过来。但直到现在,我们还没看到资质文件。”刘欢对界面新闻说。 “谁掌握了你的脸,谁就掌握了你的身份标识” 王轶和刘欢的担忧并非少数个例。近年来,以深度学习为核心的人工智能技术飞速发展,其中国内以视觉识别技术最为成熟,应用落地最为广泛。出于商业前景考虑,无论是互联网大公司、传统安防公司以及新兴的人工智能技术公司都在这一领域大举投入。 人脸识别(视觉识别技术的一种应用)在国内的应用大致经历从公共安全领域扩展到商业领域的过程。最初,机场、高铁站以及酒店等场景使用这项技术对个人身份进行验证,随后商业银行也开始采用人脸识别实现远程开户。再之后,刷脸支付、刷脸门禁也相继出现,人脸识别逐渐从少数有限场景渗透到人们的日常生活之中。 人脸识别在国内快速且广泛的应用,背后既有政府部门对于维护公共安全的诉求,也有商业机构应用新技术提效降本的需求,更有人工智能技术公司寻求业务增长的冲动。而今年以来新冠肺炎疫情的流行更是加速了这一过程。 如今,你大概已经对商场、办公楼等场所入口处的测温设备习以为常。通常这类设备融合了人脸检测与红外测温技术,能够实现“非接触式测温”,在疫情防控中被广泛铺开。 很多人开始意识到这项技术正在被不加节制地应用。今年10月份,一项两万人参与的调查显示,有超过六成以上的受访者认为人脸识别技术存在滥用趋势。其中,在交通安检、实名登记、开户销户、支付转账和门禁考勤等场景中存在突出的“强制使用”问题。 与此同时,一些受访者最为关注的问题——比如人脸原始信息是否会被收集方保留以及会被如何处理,数据收集方采取何种技术和管理措施来保证收集的人脸信息安全,以及人脸信息目前被应用在什么场景,是否变更了使用目的——在绝大多数时候都是不透明的,目前尚无相关的法律法规进行规范。 与其他个人信息不同,人脸信息属于生物识别信息,具备唯一性。“它不像密码,一旦泄露无法修复。未来一旦人脸成为进入互联网世界的入口,那么某种程度上谁掌握了你的脸,谁就掌握了你的身份标识。”北京安理律师事务所高级合伙人王新锐对界面新闻说。 他认为,现在很多场合过分强调这项技术的便利性,却对人脸数据泄露可能产生的后果考虑不足。“有人问你要银行卡密码,你肯定特别警觉,对不对?但如果要人脸信息,好像很多人就觉得没什么,但实际上这两者很多情况下是没区别的。” 今年2月份,浙江省衢州市中级人民法院公布的一份裁决书显示,自2018年7月开始,浙江绍兴一名叫做张富的大专毕业生通过非法渠道购买到2000万条公民身份信息,其后使用软件将照片制成3D头像,在案发时,注册成功至少547个通过人脸识别的实名支付宝账户。 值得一提的是,并非所有使用人脸识别技术的设备都会收集人脸原始照片。一些技术较为领先的公司会提取面部的特征值来替代原始照片,这些特征值是匿名性数据,经过加密处理后即使被泄露也无法重新定位至某个具体的人。采用这种方式能够在一定程度上实现对于个人信息的保护。 但现实情况是,当大公司们将深度学习算法框架开源之后,人脸识别技术的门槛已经大大降低。很多技术实力一般的公司通过开源平台拥有了算法能力,但在数据的收集和存储环节却无法保证同样的安全性。这些公司的做法往往是直接收集和存储原始的面部信息。 一位从事旅游行业数字化的人士告诉界面新闻,新冠疫情发生后,行业内提倡非接触式入园,很多旅游景点都安装了人脸识别设备,当游客在景区入口录入人脸信息后,可以实现在不同景点刷脸进入。游客的人脸信息就存储在本地服务器中,而这种服务器的安全性是极低的。 “已经曝出的人脸数据泄露事件,有的是因为存储照片的数据库被攻击,这是技术层面的原因。但其实在非技术层面也会有,比如有不法分子能够接触到数据库,可能会将信息拷出去贩卖获利等等。”北京瑞莱智慧科技有限公司副总裁唐家渝说。瑞莱智慧是一家主打安全特色的人工智能技术公司。 唐家渝告诉界面新闻,现在的人脸识别算法由于先天原因存在漏洞,在与工信和公安等部门合作进行的多个测试中,瑞莱智慧可以凭借一张照片就“攻破”手机、闸机和考勤机等门禁。“基于深度学习算法的模型是黑盒,先天存在脆弱性,攻击者总能找到漏洞。” (编辑:ASP站长网) |