半月谈:人脸识别逐渐泛滥 该给火速技术套上笼头了
11月20日,被称为中国首例人脸识别案的杭州市民郭冰对杭州野生动物园股份有限公司提起诉讼.杭州富阳人民法院裁定,杭州野生动物园删除了郭冰在办理年卡时提交的面部特征信息,并赔偿郭冰合同利益损失和运输费用共计1038元。郭冰的胜利是一个里程碑,但关于人脸识别技术的讨论仍在继续。
人脸识别作为一种新的身份认证手段,已经被许多商业组织和机构应用和推广。一方面,人们真正享受到了技术带来的便利和效率,节省了时间和人力成本。另一方面,人脸识别的激增也给用户的面部信息泄露留下了安全隐患。2020年7月,“电商平台打包出售50份人脸信息”曝光,众多互联网黑产品从业者利用其批量倒卖非法获取的人脸等身份信息,从事虚假注册、电信网络诈骗等违法犯罪活动。
《中华人民共和国网络安全法》第41条规定,网络经营者在收集和使用个人信息时,应当遵循合法、公正、必要的原则,公布收集和使用信息的规则,明确说明收集和使用信息的目的、方法和范围,并征得被收集人的同意。
但在人脸识别的应用场景中,可能会提示用户重复使用人脸识别功能,或者被动接受刷脸而不进行人脸识别的平行选择,识别能力弱甚至可能被一些“变脸游戏”所引导。输入面部信息是不自觉的.在信息使用层面,一些信息收集者没有明确规定对用户的使用规则和范围,对后续信息的使用没有监管;在信息保护层面,人脸识别技术的用户和数据公司盲目使用技术红利收集信息,但并不是所有人都具备抵御相关风险的能力。作为不可复制的个人信息元素,一旦面部信息被盗或泄露,风险不言而喻。
人脸识别技术的滥用导致个人信息收集失控。除了公众个人信息保护意识薄弱外,很多组织盲目追求低成本、方便采集,无限制使用人脸识别认证也是重要原因。另外,数据公司为了拓展业务,增加利润,不断推广采集技术,也为人脸信息安全埋下隐患。
技术的开发和应用需要与相关法律同步。在现有网络安全法、民法典、消费者权益保护法等相关法律的基础上,法律有必要规范不同主体采集人脸信息的合法性和必要性界限,进一步明确信息采集规模、技术使用界限、信息保护监管和信息安全责任。
2020年3月,国家市场监督管理局和国家标准化管理局正式发布了2020版国家标准《信息安全技术个人信息安全规范》,明确要求个人生物特征信息应当单独告知用途、方法和使用范围,并与个人身份信息分开存储,原则上不存储个人原始生物特征信息。有必要在规范中进行有参考价值的制定和建议,并在法律层面予以执行。
作为信息收集、流通和存储的环节,组织和技术公司在收集面子信息时,应遵循“至少足够”的原则,充分征求被收集者的意见,落实行业主体责任,披露信息使用规则,确保信息使用安全。另一方面,也有必要开发替代的识别手段,以控制信息安全过程中不成熟阶段的人脸识别技术的技术风险。
同时,除了提高公民的个人信息安全意识外,政府还应落实主要