孟凡霞 宋亦桐
作为生物识别技术的一种,人脸识别技术以其独特的优势,利用人个体面部特征的区别,被多家银行以及金融科技机构广泛运用。不过,更让人担心的是,人脸识别技术存在一定的隐私风险,而用户指纹、声纹、面部特征等信息被采集后如何储存与运用,如何防止数据泄露等问题仍待解决和规范。
人脸识别成“新宠”
2017年12月底,央行发布了《中国人民银行关于改进个人银行账户服务加强账户管理的通知》,明确提出“提供个人银行账户开立服务时,有条件的银行可探索将生物特征识别技术和其他安全有效的技术手段作为核验开户申请人身份信息的辅助手段”。至此,人脸识别终于得到了“准生证”,成为各家银行的新宠。近日,新晋国有大行之列的邮储银行正式宣布打造“人脸识别+客户标签”的智能化数据应用服务体系,持续推进大数据应用与客户金融服务的融合。目前包括中、农、工、建、交、邮储银行在内的六大国有行以及民生银行、浦发银行、平安银行等在内的各大商业银行纷纷布局人脸识别技术。
“顾名思义,人脸识别技术就是识别面部信息,本身并没有太多隐私。但是,这背后关联着被识别人登记的相关信息,包括姓名、年龄、身份证号码、地址、手机号码等基本信息。” 麻袋研究院高级研究员王诗强介绍,当前,银行等很多App都可以通过人脸识别登录。但是技术是一把双刃剑,一旦相关人脸信息被坏人收集,是否会被用来干违法犯罪的事情,就不得而知了。
信息安全风险仍待解
人脸识别确实在生活中给人们带来许多便利,但更让人担心的是,人脸识别技术仍存在一定的隐私风险。日前,全国政协委员、上海众人网络安全技术有限公司创始人谈剑锋在提交的一份题为《关于加强大数据风险防控,以信息安全保障国家安全的建议》的提案中提到,大数据在特定领域的应用是存在严重风险的,如将人脸识别、生物特征识别等应用在互联网身份认证就非常不安全。“密码丢了可以换,但生物信息是不可再生的,一旦泄露,你不可能再有第二张脸。” 谈剑锋说道。
苏宁金融研究院金融科技中心主任孙扬表示,人脸识别技术存在图片未经允许在公开场合被传播、图片被窃取用于分析个人的面部和生理特征、图片被PS软件伪造修改后进行造谣生事、人脸识别数据和时间以及位置结合又会暴露个人的行踪信息,人脸识别数据还可以通过图像识别和情感分析技术用来分析个人的情感信息这些涉及到个人隐私的问题。法律界专业人士指出,人脸识别领域最大的特点就是处于无法可依的状态,缺少行业规范,立法赶不上技术发展的需要。当用户权益受到损害时,很可能因技术原因难以取证,也缺少向有关责任主体索赔的法律依据。希望有关部门将生物技术领域的立法提上日程,确定技术使用的合理范围,划定权利和責任的边界。
建议制定数据保护清单
对人脸识别领域如何规范?孙扬进一步指出,对于个人数据的收集、保存、使用和共享等步骤和数据要素,都要制定标准规范。要通过国家立法机关制定个人隐私保护的法律,从很细致的程度严格规定数据信息安全保护,比如不允许随意向营销机构分享个人联系方式、不允许如果使用App就要强制收集一些个人信息、最小化个人数据收集、收集个人数据必须获得个人的显式同意、个人数据保存时间必须明确最小化、个人数据保存必须去标识化、个人敏感信息必须具备完善的访问控制机制、个人可以发起个人信息删除等。
王诗强也提醒,监管应出台明确的监管规定,对相关从事人脸识别技术的企业持牌经营,对于使用相关技术的企业禁止利用人脸信息从事非法业务,在收集信息前,明确约定使用范围,比如仅用户登录使用。建议从政府层面制定数据保护清单,严控生物、医药等关键领域内的数据在互联网上的应用,切断风险源头;对互联网企业的信息采集进行严格地管理规定,只可针对企业产品的特性进行必要的数据采集,不得额外过度地采集用户数据。