應用

技術

物聯網世界 >> 物聯網新聞 >> 物联网熱點新聞
企業注冊個人注冊登錄

中國人臉識別第一案:刷臉身處灰色地帶,生物信息泄露便成“裸奔”

2019-11-05 09:11 DeepTech

導讀:11月1日,被媒體稱爲“中國人臉識別第一案”的消費者起訴杭州野生動物世界案,正式在杭州市富陽區人民法院立案。

人脸识别,人脸识别,人工智能,隐私安全

圖片來自“123RF”

11月1日,被媒體稱爲“中國人臉識別第一案”的消費者起訴杭州野生動物世界案,正式在杭州市富陽區人民法院立案。

据报道,10月28日,一位年卡用户将杭州野生动物世界(以下简称动物世界)告上法庭,称动物世界引进了人脸识别技術并强制用户注册,导致未注册人脸识此外用户无法入园这一行为违反了《消费者权益掩护法》而且侵犯了用户隐私。

人脸识别摄像头

圖|人臉識別攝像頭(來源:Pixabay)

动物世界的年卡认证方式原来是通过年卡和本人指纹的双重认证,由于指纹认证比力耗时且容易出故障。所以在今年7月,动物世界开始谋划“智慧旅游”,引进了人脸识别技術并向所有年卡用户发送了一条信息:园区年卡系统已经升级为人脸识别入园,原指纹识别已取消。即日起,未注册人脸识此外用户将无法正常入园。如尚未注册,请您携带指纹年卡尽快至年卡中心管理。

浙江大學法學博士郭兵質疑其安全性和隱私性,前往動物世界退卡卻遭拒。“采指紋,我是同意的。但是收罗人臉信息,我是拒絕的,難道因爲我拒絕人臉信息收罗,作爲年卡用戶的我就不能享受入園的權利嗎?”郭兵說。

须要嗎?合法嗎?

根据《消费者权益掩护法》第 29 条规定,经营者收集、使用原告个人信息,应当遵循合法、正当、须要的原则,明示收集、使用信息的目的、方式和范围,并经原告同意。而且,被告收集、使用原告个人信息,应该公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。

《消费者权益掩护法》第29条

图 |《消费者权益掩护法》第29条(来源:中华人民共和国中央人民政府官网)

那麽,動物世界搜集人臉信息是否须要和合法?

郭兵在接受媒體采訪時体现:“人臉信息的手機和使用存在極不確定的安全風險,公安等政府部門處于一定的公共利益考慮收罗人臉信息我還可以接受,但是一家動物娛樂遊樂場也能收罗人臉信息,安全性、隱私性我都体现懷疑,萬一信息泄露誰能負責?”

DeepTech 就合法、正当和须要问题咨询了该动物世界,截至发稿前未接通电话。

北京德恒律師事務所徐凱律師向DeepTech体现:我國關于個人信息的收罗和使用,主要還是依據《網絡安全法》的三原則,也就是合法、正當、须要。在這個案子中,它(刷臉)只是作爲入園的身份識別,接纳一般的身份證件就可以了,所以很可能就须要性來講,不是须要的收罗。在正當性問題上,肯定要經過用戶同意,人臉識別可以是一種輔助的選項,讓用戶自願去進行人臉識別,不能要求用戶必須進行。所以,“這個案子應該違反了網絡安全法三個條件裏的兩個,即正當和须要。”

调研机构 Gen Market Insights 公布的数据显示,全球人脸识别设备市场价值在 2018 年至 2025 年期间将以 26.8% 的速度增长,到 2025 年底将到达 71.7 亿美元。中国是人脸识别设备最大的消费区域,2023 年占全球比例将到达 44.59%,在 2018-2023 年复合年增长率为 29.53%。

一般来说,人脸识别有两种用途:验证“你是不是你”;识别“你是谁”。因为这一技術属于非接触式识别技術,操作方便快捷,推广成本低,所以應用场景越来越多。被用来进出地铁安检、被安装在教室监控学生注意力、甚至被安装在天坛公园的公共茅厕用来防止“偷纸大盗”。

目前,人们对人脸识此外伦理问题并没有告竣共识,人脸识此外合法性和道德可连续性遭到越来越多的质疑。该技術的應用范围是什么?地铁、小区、写字楼、街道、互联网服务都会收罗信息,进行个人身份捆绑,怎样使用人脸识别技術才算合规?

“可以說它(動物世界刷臉進園)是一種違法行爲,但法律上並沒有明確禁止,個人信息保護的法律還沒有出台,可以說是灰色地帶,各種機構都在這麽做,將人臉識別用于學校和住宅樓小區進門等等,這是一個很普遍的現象”,中國政法大學法學院副教授王建勳說:“我覺得只有公權力機構,出于须要性,好比公安機關要制作身份信息等,可以這麽做。其他的這些私人機構,都不應該這樣做。”

瑞为科技

图 | 瑞为科技为北京大兴国际机场提供人脸识别技術(来源:瑞为科技)

徐凱則認爲,很多公共場所的人臉識別系統是個值得討論的問題。大多數需要身份認證的地方,實際上可以接纳刷身份證件+刷臉的雙重模式,如果用戶不願意刷臉,就有權利提出要求,有身份證就可人認定。如果治理方要求必須刷臉,就應該是可訴的、侵犯權益的行爲。”

“据我所知,目前还没有相关的明确规范(规定单位企业接纳人脸识别技術需具备什么资质),就像之前的 ZAO 收集人脸信息也是自己制定的隐私条款”,曾在 GeekPwn2019 国际安全极客大赛夺冠的 RealAI 公司认为,“应尽快出台相关规范,明确人脸信息收集的资质、权限、数据安全等要求。”

安全嗎?

动物世界接纳的人脸识别技術是否有完备的数据掩护系统防止信息泄露?目前尚不清楚动物世界接纳的是哪家人脸识别公司的技術。

近年來的數據泄露事件屢有發生,如果收罗到的大量數據沒有密碼保護,一旦被非法分子惡意利用,公民的信息安全將受到極大危害,部门黑産、灰産將從中獲益。

如果發生信息泄露,誰來負責呢?

360 公司家庭安全大脑产物线某工程师体现:“核心还是在于尺度和规范。相关部门应该建立一个审核机构以及一套认证尺度,人脸识别机器、模块和数据库安全性只有经过机构和尺度认证之后才气被市场應用,这样就会淘汰一部门存在风险的人脸识别公司。就像合格的指纹识别公司在市场上只有十家左右,有问题很容易追查。人脸识别做到可溯源的话,问题会简单得多。”

徐凱稱:“因爲民法總則裏有相關的規定,這裏面就涉及到侵犯隱私權的問題,侵犯公民個人信息的問題,這兩個都是可訴的侵權行爲,用戶可以以侵權起訴這些單位,包罗違法收罗、利用都是可訴侵權行爲,用戶可以去法院去訴。如果情節嚴重的,也可能構成刑法上的犯罪行爲,就是侵犯公民個人信息罪。”

人脸识别

图 | 今年二月深圳的一家主营人脸识此外“AI+安防”公司被发作生数据泄露,致使 250 万人的私人信息能够被不受限制的访问(来源:Frank Top10)

另一方面,站在技術角度。尽管人脸识别技術在业界的准确率已经可以到达 99%。但从 315 曝光刷脸漏洞,到 DeepFake 用 AI 换脸干扰美国政坛,再到戴一副简单的眼镜就能破解手机面部识别,人脸识别技術自己并不完善。

人臉識別通過攝像頭獲取信息之後,將通過信息網絡轉化爲計算機代碼,所提取的數據將存儲于企業數據庫。人臉不能複制,但是代碼是可以被獲取和重構的。一般的字符和字串密碼在丟失之後可以設置新密碼,但是生物信息是不能“重置”的,一旦泄露便很難找回。換句話說,生物信息泄露後,用戶在使用生物信息作爲身份認證的場合,可能被“李鬼”冒名頂替,身份安全形同裸奔。

RealAI 体现:“人脸信息属于敏感信息,当前的人脸识别算法存在被攻击的风险,人脸识别这一應用在推广的同时也应该注重技術的迭代升级,幸免因技術漏洞造成恶劣后果。”

所以,尽管人脸识别技術相对快捷和安全,目前来看也是利大于弊,但是技術的應用和信息安全的治理需要“两条腿走路”,为幸免信息泄露,加强数据安全是一个肯定工作。

王建勳体现,個人信息安全保護法已經被呼籲很長時間了,人臉識別第一案對推動其進程的影響很難說。中國的立法受到很多因素的影響,要看官方是不是認爲有须要,是不是到了要出台的時候。

法学博士的“一纸诉状”掀起了公民热议隐私权的热潮,“刷脸”技術已成大势。如何在须要、安全和合法的前提下使用这项技術,有效规避“有人模仿我的脸”所带来的安全隐患?这恐怕是相关部门、人脸识别公司、运营主体和诸多工程师们需要冷思考的问题。