首页
“我们在大数据面前就像脱光了衣服一样,任何人都没有个人隐私可言。”
“加强个人信息保护非常迫切,对窃取、售卖个人信息必须严厉打击。”
“人脸识别使用的地方越来越多了,一定程度上威胁了个人信息的安全。”
个人信息收集太“任性”、对违法者惩处力度不够、疫情期间收集的个人信息何去何从……4月27日,十三届全国人大常委会第二十八次会议分组审议个人信息保护法草案二审稿,全国人大常委会组成人员就公众关心的人脸识别、涉疫情个人信息保护以及侵犯个人信息违法犯罪的惩处等问题展开讨论。
“采脸”不该太“任性”
生活中,人脸识别技术被滥用的情况比较普遍——有的地方,业主进入小区要刷脸、进入电梯要刷脸;除了看得见的“索脸”行为,据媒体报道,还有一些商家存在安装带有人脸识别功能的摄像头、偷偷抓取人脸数据、生成人脸ID的“偷脸”行为。
“目前人脸识别使用的地方越来越多了,一定程度上威胁了个人信息的安全,个人的行踪信息都可以被揭露出来。”杨震委员建议,由专门机构承担人脸识别应用的审批和监管职能、界定设备及数据主管的职责等。
全国人大常委会香港基本法委员会副主任谭惠珠提出,草案第27条规定“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必须,遵守国家有关规定,并设置显著的提示标识”,这一条规定的“公共场所”没有定义。建议在本条中加一款作为第2款规定“本条规定中的公共场所是指向不特定公众开放,供其使用的区域”。
“我认为这个定义需要进一步明确,公共场所应该是指整体上供不特定公众使用的地方,比如图书馆、博物馆、医院、商场、公共交通设施等,而不应该包括私人场所的附带区域,例如居民小区的公共区域。”谭惠珠举例说,居民小区等本质上属于私人场所,不能以维护公共安全为由强制使用个人身份识别的设备。
曹建明副委员长说:“一些地方、企业和单位滥用人工智能、大数据特别是人脸识别等新技术,无序、任意采集使用乃至泄露敏感个人信息的问题愈演愈烈,有必要从法律上对敏感个人信息处理的源头加强规制,强化保护,并提出比个人信息保护更严格的要求。”为此,他建议规定:“除法律、行政法规规定和维护国家安全、公共利益外,敏感个人信息的采集与使用,应当报履行个人信息保护职责的部门备案审查;极度敏感个人信息的采集与使用,应当取得相关行政许可。”
吕薇委员认为,个人身份特征信息只能用于维护公共安全或履行法定义务的目的,因此建议草案第27条修改为:在公共场所安装图像采集个人身份识别设备,应当为维护公共安全或履行法定义务所必须。
“刷脸机”被“默认同意”
随着越来越多的高校、小区推行“智慧校园”“智慧课堂”“智慧物业”的建设,人脸识别、大数据采集等技术被引入到各地高校及社区。
人脸识别技术在高校的推广很早之前就引发关注:自2018年起,西南大学、重庆交通大学、北京大学等高校均已陆续使用人脸识别技术,实现“刷脸”报到、“刷脸”门禁、“刷脸”入馆等,更有高校在部分试点教室安装了人脸识别摄像头,用于日常考勤和课堂纪律管理,试图杜绝学生上课玩手机、逃课和“替同学签到”等问题。
在教育系统内,人脸识别技术固然有一定优势,比如杜绝“替考”等现象,以及疫情防控时期进行人员管理等,但该技术要如何用、怎么用,也成了一大课题。此前,教育部等八部门曾发布《关于引导规范教育移动互联网应用有序健康发展的意见》,《意见》中指出,不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供服务无关的个人信息,不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人信息。而记者走访时却发现,“默认授权”的情况较为普遍。
与学生们情况类似的还包括企业职工,记者在采访珠江新城多个开设了人脸识别系统的商业写字楼物业中心时发现,鲜少有职工在面临企业要求“刷脸”管理时能够有机会表达意愿。“一般在APP上被采纳人脸,可能还会有一个用户协议,询问你是否同意被采集,但是作为员工,当企业提出为了安全防疫工作更新门禁系统时,也没办法拒绝。”在某写字楼上班的李明树告诉记者。
市民卢洁在一家游戏公司工作,从去年起,她所在的公司就启用了人脸识别的门禁考勤。“当时公司说的是系统升级,起初我们的考勤方式是指纹打卡,现在要换成刷脸打卡,就让每一个员工对着人脸采集设备做眨眼、微笑、转动头部等动作,属于全方位采集人脸信息。”卢洁所在的公司有近千人,对于“刷脸”这种打卡方式,大家普遍的反映是“更快捷方便、一目了然”,而对于人脸信息的保存和应用以及安全保障,大家心里却没底:“相当于公司掌握了我们的指纹、人脸等个人信息。”
“刷脸支付”相关隐私政策仍需完善
自2018年起,支付宝、微信、银联旗下的云闪付APP纷纷推出“刷脸支付”服务,如今三年过去,该服务基本上已全面开花。记者打开支付宝“刷脸设置”搜索花城广场附近支持“刷脸支付”的门店,光是1公里范围内就有98家,涵盖便利店、奶茶店、自动售货机、桌游店、美容院、快餐店等。
“但目前只有不到两成的人使用刷脸支付。”记者询问多家便利店的工作人员时对方称。即便是在对技术接受程度较高的华南理工大学以及琶洲的高端写字楼附近,“刷脸支付”也依然“备受冷遇”。记者看到,即便是在午餐时间,便利店内的人工支付区已排起长队,一旁的智能“刷脸”设备却鲜有人问津。“主要还是觉得刷脸支付安全性不太高。”一名25岁左右的IT工作人员告诉记者。
不过这也并非意味着线上人脸识别技术比线下更“稳定”。今年2月,清华大学人工智能研究院的AI团队瑞莱智慧公司就通过生成“对抗眼镜” (通过AI算法生成特殊花纹,定制成人脸三角区的特殊“眼镜”),在不到15分钟的时间破解了19部不同型号手机上的人脸识别系统,平均每部手机的破解时间不到1分钟。
此外记者梳理时发现,许多APP在开设人脸识别功能前都未单独征求用户同意,且多数APP在隐私政策里并未在形式上突出采集人脸识别等信息,而是将人脸信息与一般个人信息相混淆进行收集;此外,诸多条款里也并没有提到APP将对人脸信息采取何种特殊保护措施,也未明确指出支持人脸识别技术的第三方技术企业的具体信息,包括名称和资质。
“有必要强化法律责任”
近年来,我国个人信息保护力度不断加大,但在现实生活中,依然存在一些企业、机构和个人,过度收集、违法获取、非法买卖个人信息,利用非法获取的个人信息侵害人民群众合法权益的现象。
李学勇委员说,从草案目前法律责任条款看,行政保护占大多数,但行政处罚力度不大,处罚裁量空间比较大,不足以形成威慑。民法典第1034条明确将个人信息作为民事利益予以保护。在充分发挥行政保护作用的同时,应进一步加大民事保护和刑事保护力度。
“传统的损害赔偿制度,很难起到有效遏制侵害个人信息行为的作用。”曹建明副委员长提出,司法实践中,由于侵害个人信息造成的损害一般难以量化,而且单个受害人能够证明所受损害程度与加害人因侵权行为可能获得的利益相比,往往不成比例。因此,建议在草案中增设严重侵害个人信息权益的惩罚性赔偿制度,以加大对侵害个人信息权益行为的惩罚,并对侵害个人信息权益的行为人形成震慑。
郑功成委员认为,应当在法律责任中列明网信企业违法该怎么样,个人违法该怎么样,这样更有针对性、约束力,这部法律执行起来也容易操作。此外应当加大处罚力度。“现在法条中对违法行为还算是比较严重行为的处罚,也只在5000元以下,这种处罚力度太小,实质上没有处罚的意义,应当大幅加大惩罚力度。”
建议官方设立数据中心
清华大学深圳国际研究生院院长助理、物理学家马兆远认为,人脸识别技术的安全性和稳定性不能一概而论,由于企业的技术水平不同,人脸识别产品的安全性和稳定性也会有差别。“比如支付宝的人脸识别技术结合了眼纹等多因子验证技术,其准确率能达到99.99%;但部分没有活体检测技术的人脸识别门禁设备就容易被攻击。”
而人脸识别门禁机因为其终端设备的计算力有限,只能进行相对简单的人脸识别算法,再加上室外光线的变化以及背景复杂,容易导致出现错误识别的情况。比如通过打印人脸刷脸成功的案例,其主要原因是系统的活体检测技术还不理想。“目前人脸识别算法主要针对图片进行识别,设备通过摄像头采集人脸,丢失了深度信息,无法区分摄像头前是图片还是真实人脸。因此需要通过活体检测技术防止此类攻击,例如通过要求被识别人做出指定动作(眨眼、摇头),使用3D相机获取人脸3维图像等。”马兆远解释,相对于2D人脸识别技术来说,3D人脸识别技术要更为安全。
除此之外,马兆远介绍,脸部识别系统的快慢也会受多方面因素影响。如:数据库中人脸数据的多少,会影响比对的计算量,从而影响总体识别速度;人脸数据库是否在本地,也会影响总体识别速度等,因此许多企业会根据应用场景,结合实时和易用性来进行调整,“任何一个人脸识别系统都无法做到百分之百正确。因此在某些人脸数据库较大,错误识别带来的损失较大的应用场景中,需要采集更多的人脸信息,以保证识别的准确率,这类识别系统的速度就相对较慢;而类似企业考勤这类人脸数据库相对较小,即使错误识别带来的损失也不大、对实时和易用性要求较高的场景,仅提取眼部等部分信息就能达到满意的效果,因此其识别速度也较快。另外,针对‘戴口罩只露出眼睛’等特定场景优化过的人脸识别网络,也能提升该场景下的人脸识别速度。”马兆远说。
(来源:工人日报、广州日报)
SourcePh" style="display:none">
放大
上一版
