冯思琦 宋 杰
(公安部第一研究所 北京 100048) (fengsiqi@anicert.cn)
随着我国个人信息保护综合治理的持续推进,保护个人信息相关政策法规体系逐步完善,人像信息使用相关方的重视程度及安全防范措施均有所提高,网民的个人信息保护意识和技能也在不断加强,国内许多App隐私政策中开始体现如何收集、使用、存储个人信息等[1].然而网民依然面临着人像信息无感采集、莫名泄露、被冒用、滥用的苦恼和恐惧,如连锁商场利用人像信息精准营销、冒用人像信息注册贷款等.2020年以来,疫情防控催生了身份信息统计、健康信息展示等方面数字化治理的刚性需求,其中人像照片、公民身份号码等明文身份信息的收集、使用几乎成为必选项[2].个人信息在收集时总是出于身份识别的目的,但却相继发生了多起如“流调个人信息泄露”“明星健康宝照片泄露”等事件,究其原因,身份信息可能被不规范地收集存储,甚至有可能被滥用,而这也正是网络身份认证环节面临的人像信息保护顽疾.
《中华人民共和国个人信息保护法(草案三次审议稿)》修改意见的报告中提到,为减少网络身份认证中对个人信息的过度采集,有关方面遵循自愿原则正在试点应用网络身份认证公共服务[3].那么,如何借助国家公共服务保障网络身份认证环节采集和利用身份信息合法、合规,本文立足公安部第一研究所《人脸识别制度立法研究》课题研究成果,基于网络身份认证公共服务可实现的人像信息处理规则为例,阐述人像信息保护的合规体现.
所谓网络身份认证,是指利用算法,通过信息比对,核验自然人的真实身份[4-5].在网络未普及之前,需要面对面以自然人的真实面目与自然人的证件信息进行比对,以此确定自然人的真实身份.然而,随着互联网技术的发展和人工智能技术的进步,通过网络远程进行身份认证已经成为现实.当前,将采集的人像等生物识别信息与身份信息数据库中的身份信息进行比对,核验出自然人的真实身份,是网络身份认证主流技术模式的重要组成[6].因此,人像信息在身份认证领域的价值与日俱增,利用人像信息进行远程身份认证,对数字经济的发展与诚信社会的构建起到了积极的作用.与此同时,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等法律法规的出台,将人像等生物识别信息纳入到敏感个人信息的范畴加以保护,但在身份认证领域对人像信息保护的效果并不理想,人像信息的安全受到严重的威胁[7],主要体现在如下方面:
1) 人像信息过度收集.
线上场景中,许多互联网账号在注册、注销等环节需要核验用户身份,强制要求提交人像信息,存在严重的过度收集个人信息的风险.一般来说,除了在注册、注销金融类账户等涉及资金安全时需要确保本人意愿完成身份核验操作外,在不涉及用户重大切身权益情况下,不应要求用户匹配实人认证信任等级;其次,有些手机App本着“应收尽收”的原则一次性收集业务不相关的个人生物识别信息却未征得用户的授权同意,收集人像信息更是司空见惯;此外,还存在实人认证环节未经个人同意,以服务器缓存方式收集人像信息的情况,超出业务场景所需必要信息的范围.
2) 人像信息泄露风险加剧.
数据时代随着互联网体验感提升,网民人像信息被大量留存在不同实名登记的网络活动中,其中不乏人像明文信息被存储在企业数据服务器中.由于多数互联网企业在数据传输、存储等方面的信息安全和隐私保护能力不足,安全意识薄弱,降低运营成本等原因,对网民个人信息的保护不够重视,造成大规模人像信息泄露.同时,被“内鬼”窃取后别有用心地出售或犯罪分子利用拖库、撞库等手段窃取人像信息,增加了泄露的风险,容易引发精准诈骗、洗钱等非法活动.
3) 人像信息被冒用、滥用现象高发.
被泄露的人像信息引发广大网民对个人隐私保护的担忧,如被冒用人像注册银行账号、转账提现等,给个人征信、社会评价造成沉重负面影响.在使用过程中人像信息还存在被滥用现象,这是个人信息保护领域最为严重的问题,如此前出现的线下门店利用安装的摄像头自动抓拍客户人像照片,并用于识别贵宾客户.由于监管部门无法有效监控存储人像信息的企业使用个人信息的具体行为,难以精准打击第三方黑产数据倒买倒卖的利益链条等原因,容易诱发人像关联信息被滥用于贷款、集资等场景,对个人隐私安全、财产安全造成巨大危害,甚至大面积、多数量的滥用现象将威胁国家安全和社会稳定.
人像信息如同一把“双刃剑”,利用得好能标记个人,用于身份鉴别,利用得不好容易被关联分析,借此追踪个人定位轨迹.因此,在网络身份认证过程中,既要发挥人像信息应有的价值,也要确保在应用过程中得到保护.那么如何规避实人认证中人像信息可能带来的弊端,使其既安全又便捷地应用于网络业务系统中,这对人像信息的合规性管控体系建设、认证技术、认证支撑能力提出要求.
根据《中华人民共和国网络安全法》第24条第2款规定:“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”.同时,根据《个人信息保护法》第62条规定,国家网信部门统筹协调有关部门,“支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设.”综合2部法律可见,国家实施的网络可信身份战略落地路径已开始由电子身份认证之间的互认,逐步过渡到网络身份认证公共服务建设这一新的发展方向,旨在通过国家公共服务的形式统一向社会、企业、个人等用户群体提供权威及可信的网络身份认证服务.而如何确保参与认证的网络身份是可信的、符合国家倡导的战略要求,显然以上2部法律提出了具体的指引,即兼顾网络身份认证全流程安全、个人身份信息保护及合规应用.
此外,2022年9月2日最新公布的《中华人民共和国反电信网络诈骗法》第33条明确提出:“国家推进网络身份认证公共服务建设,支持个人、企业自愿使用,电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者对存在涉诈异常的电话卡、银行账户、支付账户、互联网账号,可以通过国家网络身份认证公共服务对用户身份重新进行核验.”可以看出,国家已逐渐开始在反电信网络诈骗高危账户等可能威胁国家安全和公民人身财产安全领域,推进网络身份认证公共服务应用,彰显网络可信身份认证的权威性、安全性、可信性在有效落实网络实名制中不可代替的作用.
《中华人民共和国民法典》第四编人格权第1034条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等.”明确了生物识别信息属于个人信息;并在第1035条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”,这为网络身份认证公共服务人像信息处理规则提供了定义出处和基本遵循.
《个人信息保护法》第26条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识.所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外.”指出了在公共场所收集使用可用于身份识别功能的人像信息需要遵守的法律原则,防止在公共场所容易导致的监视权力扩张,超出为维护公共安全与保护人像信息之间取得的平衡[8].虽然只对公共场所如何处理人像信息的原则作出规定,但也同样为网络身份认证公共服务中的实人认证处理人像信息提供了法理参考.首先,收集人像信息需要具备身份认证的特定目的,如为确保必须是本人亲自参与完成某些业务功能,以此解决仅用姓名、手机号码、公民身份号码等“实名制”信息核验带来的可信度不足等问题;其次,应当遵守国家有关网络身份认证相关的法律法规、地方管理规定等要求;再次,处理人像信息需要提前作出显著提示或取得个人单独同意[9],如通过人像信息处理规则弹窗告知、授权开启摄像头权限时的征得同意等方式实现;最后,对于实人认证环节存储的人像信息不得随意挪作除身份认证目的以外的用途,如结合业务行为信息作关联分析,以实现利益场景的持续追踪和精准用户画像.
另外,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,从人像信息处理相关民事案件角度作出系列规定,其中第2条第1项规定:“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的,人民法院应当认定属于侵害自然人人格权益的行为.”其中人脸验证与本文所研究的实人认证原理不谋而合,且列举场景多为线下公共场合,这为实人认证在线下场景处理人像信息提供了政策保障,体现了网络身份认证公共服务线上线下一体化的合规应用发展方向.
基于上述分析,推进建设符合国家监管需要,保障企业利益和个人权益的网络身份认证公共服务恰逢其时,对规范其在实人认证环节的人像信息保护意义重大.
1) 管住人像信息过度收集的源头.
网络身份认证公共服务可将已汇聚的公民人像基础数据资源作为“信任根”支撑,统一解决现实社会应用缺乏数据比对源的问题,确保业务办理时发起的实人认证过程不再二次收集、存储人像明文信息,保障网络身份认证中的人像信息安全,也就从源头上助力解决网络身份认证生态中存在的人像信息使用全生命周期“连锁反应”问题,必将有效遏制人像信息被过度收集、泄露、滥用等可能现象的发生.
2) 人像数据采取分域分类隔离存储.
网络身份认证公共服务可通过对人像比对的源头数据进行海量脱敏治理后,严格将其原始信息与摘要信息分域存储、分类分级保护,人像原始明文信息存储在物理隔离的内网数据库中,将去标识化后的人像摘要信息在互联网区完成实人认证,认证过程即使被黑客攻击、截获也无法被完全逆向还原为明文人像信息.
3) 统一规划人像信息处理“间接”告知同意.
网络身份认证公共服务可通过统一对接、处理使用人像信息服务的第三方应用的方式,公示告知人像信息处理应当遵循的规则,并按照应用接入管理办法对第三方应用进行合规审计,确保接入公共服务的第三方应用在实人认证环节的合规性,提前把住合规入口,间接落实告知同意的原则,帮助公民“诊断”合规顽疾,解决人像信息收集、使用过程中的合规性困扰,尽量减少向个人逐一征得授权同意的高频打扰.
4) 建立严格授权访问人像信息机制.
第三方应用首先需要评估业务场景对注册用户身份验证的信任等级,然后征得用户的明示同意,并授权主动发起现场人脸图像采集后,以国产密码算法加密后再传输,并可在网络身份认证公共服务提供的统一比对引擎支撑下有序比对验证,人像信息经转的各级认证系统访问权限、等级需要严格建立在针对不同网络身份和业务必要信息单独授权同意的基础上进行.
5) 规范引导“人证合一”验证新模式.
实人认证环节还可以视法律法规要求及业务场景信任等级需要,使用“刷脸”结合其他网络身份凭证等多因子、多模式参与验证,统一规范如“手持身份证照片”等现行的高风险、高成本的“人证合一”验证身份的方式,不断探索满足网络身份认证生态衍生的合理化服务新需求,引领“良币驱逐劣币”新格局.
扎根于网络身份认证生态的爆发式互联网应用,激发了在实人认证环节的高并发、高可信需求,人像信息安全、便捷、合规化使用形势严峻,亟待网络身份认证公共服务破冰.通过网络身份认证公共服务集中管控网民敏感个人信息,是将国家战略数据资源支配权掌握在自己手中的重要举措,并借助身份认证基础设施构建覆盖系统安全、数据安全、应用安全、运行安全和个人信息保护等的全方位安全体系,有效保护人像信息安全.同时,在应对全民网上业务办理和网络社会管理中,有力弥补因需求方重复自建身份认证系统、违法违规收集使用人像信息导致的网络诚信体系缺失、社会运行成本巨大等负面问题.我们期待构建以网络身份认证公共服务为代表的个人信息保护体系尽快推广开来,引领合规新趋势,推动产生经济社会新效益.