安徽合肥人周出差回来后,被新安装的门禁系统屏蔽了。
输入人脸信息,对准摄像头,在屏幕上显示人脸照片,开门.很方便,但他有点担心,“谁在保留我的面部信息?会有渗漏的风险吗?”
周表达了一种普遍的情感:人们在享受生物识别技术带来的便利的同时,也对可能存在的风险充满了担忧。
近年来,人脸识别、声纹识别、基因检测等生物识别技术不断渗透到我们的日常生活中。同时,侵犯公民生物特征信息的行为也屡见不鲜。一旦人脸、声纹、基因等“人体密码”被泄露,市民就像“裸奔”,后果不堪设想。
“赏脸”不是自己说了算
“生物信息是敏感的个人信息。它是唯一的,不能被替换或删除。一旦被非法使用,可能会给信息主体的人身财产安全和人格尊严带来风险。”安徽师范大学法学院教授周俊强说。
生物特征信息保护如此重要,但新华社《每日电讯报》记者调查发现,信息采集和使用仍存在诸多混乱,“丢脸”、“失声”现象不断出现。
生物特征信息被强制收集。坐公交进站,上班打卡,转账,甚至存包,拿卫生纸……日常生活中的地方越来越多,很多时候我们没有权利决定是否“荣誉”。
今年4月,江苏部分社区实施了人脸识别门禁系统,要求居民输入人脸照片、家庭住址等信息,否则无法正常进入社区,让很多居民感到无奈。有居民说人脸是自己的生物信息,怎么可以随意拿走?一旦泄露,后果谁来承担?
类似强制采集人脸信息的案例在很多地方都有发生。对于大多数人来说,根本没有“讨价还价”的可能,即使有疑惑,也只能提交面子信息。
生物识别信息被盗。你的“脸”也很值钱。今年10月,湖北省巴东警方破获了一系列微信支付诈骗案件。据调查此案的警方称,犯罪分子窃取受害人微信账号后,查出受害人自拍,通过照片激活技术骗过微信支付的人脸识别验证,然后转移受害人账号余额。
通过微信语音和你聊天的朋友大概都是骗子。南京警方介绍了这样一个案例。2019年10月,南京市民陈先生收到一个“朋友”的语音留言,说想借5000元。陈老师听了一个朋友的声音,没多想就把钱翻了过来,但对方收到钱后不久就“眼前发黑”。据专家介绍,现有的AI语音合成技术只能从原始录音中采样,模拟相似度高的声音,具有极大的欺骗性。
生物识别信息被泄露。对于公民来说,一旦提交了生物特征信息,就不知道这些“身体密码”会去哪里。近年来,这类信息被泄露的案件频繁发生。
送一毫升唾液,就可以测出你的血源,是否是“易胖体质”,哪些疾病是人容易患的。听起来很有吸引力吧?很多人希望通过基因检测,有一本专属的“生命指导书”。
但是,个人基因信息也有被泄露的风险。2018年10月,科技部官网公布多项行政处罚决定,境内外6家机构上榜。据报道,这些机构非法处理公民的遗传资源信息。
2019年2月,国内某人工智能公司的数据库在互联网上不受访问限制直接开放,导致包括人脸识别图像在内的250多万人的数据可用。
小区强推人脸门禁归谁管
生物特征信息逐渐取代传统的数字密码,成为人们的“支付依据”和“访问凭证”,可以说是价值非凡,所以常常被“记住”。
逐利罪犯想方设法窃取“人体密码”,每天都在上演“能抓我就抓我”。
以人脸信息为例,要想发展人脸识别技术,需要大量的人脸信息来训练相关模型。
讯飞AI研究院视频分析技术负责人吴紫阳告诉记者,在正规来源的商业人脸信息数据库中,不同角度和场景的单个人脸数据集可以卖到几十元甚至几百元。收集和倒卖公民的面部数据正成为犯罪分子谋取利益的手段。
另外,人脸信息目前主要用于身份认证。一旦泄露,犯罪分子可以通过身份认证系统窃取公民社交平台账户或金融账户中的财产。
很多商家也把采集生物特征信息作为在商业竞争中取胜的关键。当一个消费者走进一家配有人脸识别设备的商店,智能营销系统会快速识别他是否是“常客”,并分析他的收入水平和消费习惯,以便商家做出准确的推荐或“大数据杀”。
生物识别技术的应用越来越广泛,但相关应用仍存在技术漏洞。
吴紫阳表示,从技术角度来说,生物特征信息的防范难度主要在于存储环节。内存漏洞,缺乏访问控制机制,黑客攻击,
都可能导致数据泄露。与此同时,相关立法和监管机制还存在一定滞后。
浙江理工大学法政学院副教授郭兵说,尽管我国有多部法律就保护公民个人信息作出规定,但相关法条多为原则性规定,缺乏对生物识别信息具体、针对性规定。
“我国现有的关于公民个人信息保护的法律,难以满足日益具体、多样的规范需求。”北京航空航天大学法学院副院长周学峰说,《中华人民共和国网络安全法》适用于网络运营者,而现实生活中侵犯公民生物识别信息的行为主体多种多样。《中华人民共和国民法典》即将生效,若受害者想凭此维权,需要到法院提起民事诉讼,维权成本高,举证难度大。
周学峰表示,对于公民个人信息保护,目前多个部门都有管辖权,比如市场监管、网信、公安等部门。但多部门监管有可能导致监管职责不清。我国目前缺乏一个公民个人信息保护领域的集中统一主管部门,“没有明确的主管部门,公民在自身生物识别信息遭侵犯时,比如小区强制推行人脸门禁,都不知道该找哪个部门投诉”。
如何守护我们的“人体密码”
近日,《天津市社会信用条例》的出台受到公众关注。条例明确规定市场信用信息提供单位,不得采集自然人的生物识别信息。对于生物识别信息保护而言,该条例的制定可以看作一次有益的探索。
如何守护我们的“人体密码”?目前还没有一个放之四海而皆准的“答案”。不过多位受访专家表示,应构建立体化的生物识别信息保护体系,从技术、立法、执法等方面着力。
“技术上,可以从降低生物识别信息的存储依赖与减少存储数据的滥用两方面入手。”吴子扬表示,首先要加强生物识别算法的研发,减少对数据的依赖;其次还应加强对隐私保护、加密等技术的研究,提升信息匿名化的能力,这样即便数据泄露,他人也无法解析,降低数据被滥用的风险。
吴子扬认为,除了少数外部攻击,大部分信息安全事故还是因为企业不自律、管理不规范导致的。他建议尽早建立生物识别信息应用系统的行业标准和评价指标,还可以依托行业内具有公信力的组织或第三方机构,对安全性进行定期评估与测试。
“生物识别信息的内涵外延需明确,相关处理规则需细化。”郭兵表示,应完善相关立法,对收集公民生物识别信息的行为要有明确标准,对于存储和使用信息,也应作出更为具体的规定。
当个人生物识别信息被侵犯时,公民往往不愿意提起民事诉讼,因为“打官司”时间、经济成本高,举证难度大。就算胜诉,收益也很低。这导致很多公民在相关权益受侵害时忍气吞声,不法分子却逍遥法外。
对此,周俊强建议将公益诉讼引入个人信息权益保护领域。这样,人民检察院等部门可以就违法处理个人信息的行为,向人民法院提起诉讼,大大增强维权力量。郭兵建议将惩罚性赔偿制度引入个人信息权益侵害救济的相关规定中,增强公民维权动力,同时提高法律威慑力。
“保护个人生物识别信息,不能光靠立法,执法环节同样重要。”周学峰建议,应设立个人信息保护领域的集中统一监管机构,并设置投诉处理程序,在民事诉讼之外给公民提供行政救济的途径。这样,当信息权益受侵害时,个人再也不会茫然无措,可以直接去找个人信息保护机构投诉。
相较于传统的数字密码,生物特征识别体现了技术的迭代升级。因噎废食不是对待新技术的正确态度,加以约束、因势利导,或许更为理性。
生物识别信息是公民独一无二的“人体密码”,是数字时代的通行证。随着技术的进步和相关法律、监管的完善,期待生物特征识别技术能实现“科技向善”,使我们的生活更加便捷,而我们的“人体密码”,也能得到更妥善的保护。(记者 胡锐 戴威)
