“刷脸”时代,如何保护好自己的“脸”?在2021年的全国“两会”期间,人脸识别产生的个人信息保护等相关问题,是多位全国人大代表和政协委员热议的话题。
红星新闻记者记者检索发现,本届全国“两会”,围绕规范人脸识别应用的相关建议、提案不下5份。其中既有代表委员的个人建议、提案,也有联名提案,还有以民主党派中央的名义向大会提交的提案。
如民革中央提交了《关于规范人脸识别信息采集,保障公民权益的提案》;全国政协委员、民建中央委员、佳都科技集团董事长刘伟带来了《关于规范人脸识别应用,防范伦理与法律风险,促进人工智能产业健康发展的提案》;全国人大代表、暨南大学管理学院会计系教授卢馨建议,立即清理整顿非必要的人脸识别,明确规定人脸识别使用范围;全国政协委员、中国科学院近代物理研究所研究员蔡晓红等6位委员联合提案,建议加强人脸识别监管。
作为上述民革中央提案的执笔人之一,全国政协委员、民革广东省委会副主委、民革广州市委会主委于欣伟接受红星新闻记者采访时表示,目前很多小区、公共场所需要刷脸进入;同时,刷脸开屏、支付等也被广泛运用,现实生活中可以通过“刷脸”解决的事情越来越多,但由此带来的安全风险也越来越大
全国政协委员、民建中央委员、佳都科技集团董事长刘伟则坦言,伴随着人脸识别技术的广泛使用,海量人脸识别生物信息数据在各个场景被采集,在相关法律法规相对滞后的情况下,一旦人脸数据被不法领域使用,极可能引发科技伦理、公共安全和法律等众多方面的风险,危及公众人身与财产安全。
机场安检通道启用人脸识别,实现便捷高效通行 图据IC Photo
亟待解决的现实问题:
人脸信息采集便利,一旦泄露难以恢复
于欣伟介绍,人脸识别信息与一般个人信息相比,属于生物信息,具有唯一性、不可更改性等特殊属性,且人脸信息采集极其便利,可以做到在被采集者完全不知情的情况下,获得其人脸信息。而在现行规定下,几乎任何组织、单位都可收集民众的人脸信息。
民革中央提案中也提到,现实中,人脸识别技术出现被滥用的情况,有的单位以维护安全、加强管理为名,在内部及公共场所安装“黑科技”刷脸机,相关人员在不知不觉中被采集人脸识别数据。
于欣伟表示,大量采集的人脸数据目前在存储、使用等方面明显缺少公共规范管理,存在失控风险。
“人脸数据或将与电话号码、身份证号一样成为不法分子违法犯罪的新手段。”刘伟举例道,人脸识别生物信息具有唯一性、永久性与不可替换行,终身无法修改,一旦泄露即终身泄露,即便维权成功也难以恢复原状。
另一人脸识别技术应用面临的风险表现为,人脸识别系统可以对摄像头采集的人脸图像进行辨认,却无法识别采集的人脸图像是来自真人还是一张照片,人脸照片、视频及伪造3D头套等均有可能被机器识别,因此,人脸识别系统容易受到各类蓄意的仿冒攻击,常见手段包括盗用合法用户人脸照片、盗用合法用户人脸视频及盗用三维人脸面具等。
解决方案1:
建议对人脸识别生物信息专项立法
天津、杭州等地方立法已有探索
一段时间来,“人脸识别第一案”,消费者戴头盔看房,为了躲避人脸识别系统等一系列的事件引发了民众对于人脸识别这类技术应用的广泛讨论。而人脸识别技术作为一项新兴的人工智能技术,其产生时间尚短,立法层面对它的规定仍然欠缺。
红星新闻记者注意到,在围绕规范人脸识别应用,防范相关风险的建议、提案中,代表委员不约而同提出了组织专项立法,完善相关法律法规的建议。
如民革中央提出,推进人脸识别生物信息专项立法工作。根据实际情况,研究推进专项立法对人脸识别大数据进行具体管控,制定商业机构对人脸识别信息数据的摄制、采集、储存、传播、使用、销毁等程序,明确界定人脸识别设备主管部门职责、数据使用范围、程序管理权限、人员资质要求等,在把握底限的条件下促进人工智能行业稳健成长。
中国法学会案例法学研究会副会长、中国政法大学公共决策中心执行主任李轩接受红星新闻记者采访时表示,目前正在制定,已提交全国人大常委会审议的《个人信息保护法(草案)》,对处理包括人脸信息等个人生物特征在内的敏感信息作出了专门规定。
他表示,由于人脸识别涉及人体生物信息,《个人信息保护法(草案)》对此只是原则和总体上的规定,并无对如采集主体资格、数据储存、传播、使用范围、相关方的权利义务等具体阐释,因此,针对人脸识别生物信息这一领域进行专项立法很有必要。
“人脸识别信息采集不仅仅是事关个人安全和社会公共安全,甚至事关一个国家国民生物信息及相关信息数据的总体安全。”李轩如是说。
李轩还介绍,关于人脸识别相关立法工作,在地方立法中已先行一步。如天津通过的《天津市社会信用条例》中明确,市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息等。杭州也在《杭州市物业管理条例(修订草案)》中规定,物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用公用设施设备。
解决方案2:
建议公安部门对人脸识别应用进行必要性审查
可通过清单方式列出必要场景
为了解决人脸识别泛滥,规范人脸识别应用,防范伦理与法律风险。民革中央建议,为人脸识别技术在社会生活场景应用层面设立行政管理职责。明确专门部门统一承担人脸识别系统的审批与监管职能,设立人脸识别项目审批程序。除公共区域安防监控设备以外,涉及对特定对象进行人脸识别信息数据采集使用的处所,如公园、银行、学校、市场及企业、商场等单位都应按程序自主申报,由专门部门审核技术应用必要性,并对安全使用进行积极监控。
“对公共场所开展人脸识别信息数据采集进行必要性审查,要遵循最小必要原则。”于欣伟补充道。
刘伟则建议,由公安部门统一承担人脸识别应用的审批与监管职能,设立相应审批标准及程序。
他认为,除道路、交通工具、银行等法律规定的安防应用以外,涉及对特定及非特定对象的处所,在应用人脸识别技术前都应申报审批,公安部门依法审核其合法、正当和必要性,同时监控其数据安全,要求以必要安保措施限于最小范围使用。
那么如何界定开展人脸识别数据采集的必要性?刘伟提出,需进一步明确“谁可以安装图像采集和个人身份识别设备,需要什么样的批准程序,由谁来批准”等问题。同时,要切实维护个人信息主体权益,部署图像采集、个人身份识别设备时,须以自愿为原则,经审批的人脸识别应用,须以显著标识告知相对人。
于欣伟则建议,相关部门可以通过出台清单的形式,对于公共场所开展人脸识别信息采集必要性的情形进行列举,让大家一目了然。
对于此建议,李轩也表达认同。他表示,在对人脸识别生物信息采集的范围、场景等必要性规定方面,就应具体而微,以列举的方式,而不是以概括的方式予以表达。
解决方案3:
建议集中整治不规范和非法安装人脸识别摄录采集
清理电子政务平台安全漏洞
刘伟介绍,目前,很多场所人脸识别应用的时候并未告知相对人其目的、方式和范围以及储存时间规则;且不少人脸识别技术由小企业、私人企业提供,没有有关部门的介入和背书,其信息存储安全性存疑,同时由于法规与管理约束不足,相关开发和应用单位在信息收集与使用等方面缺少主动性与责任感,导致数据被泄露与滥用的可能性急剧上升。
“‘刷脸’要便捷,‘护脸’也要规范。”对此,刘伟建议,集中整治不规范的采集与使用。对不合规安装、使用人脸识别技术的要求定期整改,依法打击非法滥用。制定集中整治计划,开展自查、主管核查、公安检查和市民举报等专项整治。
针对当前的人脸识别使用乱象,民革中央也提出,建议各地尽快制定集中整治计划,开展专项整治活动,规范单位自查、主管部门核查、市民举报和公安核查等程序,对未经过主管部门审批擅自安装人脸识别信息数据采集设备的,依法进行行政处罚、设备拆除及数据销毁。
同时,也对电子政务平台过度依赖人脸识别数据的安全漏洞进行排查清理,提升通过人脸识别登录系统和办理业务的安全性能,不给不法分子以可乘之机。
此外,刘伟还建议,引导相关行业协会和中介组织制定人工智能产业技术标准、行业自律规范,制定伦理规则,强化保护个人隐私责任。开展宣传教育,强化企业伦理与法律培训。
红星新闻记者 张炎良 北京报道