近年来,随着信息技术飞速发展,人脸识别逐步渗透到人们生活的方方面面。不过人脸识别技术在诸多领域发挥着巨大作用的同时,也存在着被滥用的情况。
7月28日,最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》),对人脸识别技术的应用给予明确法律规范。
人脸识别有泄露隐私风险
随着人脸识别技术不断发展,“刷脸验证”逐渐走进普通人的生活。其中支付转账、开户销户、实名登记、解密解锁、换脸娱乐、交通安检、门禁考勤、在线教育、公共安全监管等数十种应用场景,均已实现人脸识别技术的应用。
银行业是使用人脸识别技术较多的行业。当前,多数银行网点已展开应用人脸识别、设备指纹等新技术进行辅助验证,很多银行APP也会将人脸识别等活体检测技术作为账号登录验证的重要方式,在APP后端,银行也会借助人脸信息进行多重分析和验证。
人脸识别在为相关行业带来便利的同时,个人信息保护问题也日益凸显。近年来,因人脸信息等身份信息泄露导致“被贷款”“被诈骗”和隐私权、名誉权被侵害等问题多有发生。甚至还有一些犯罪分子利用非法获取的身份证照片等个人信息制作成动态视频,破解人脸识别验证程序,实施窃取财产、虚开增值税普通发票等犯罪行为。上述行为严重损害自然人的人格权益,侵害其人身、财产等合法权益,破坏社会秩序,亟待进行规制。
人脸信息属于敏感个人信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。
据APP专项治理工作组去年发布的《人脸识别应用公众调研报告》显示,在2万多名受访者中,94.07%的受访者用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势,30.86%受访者已经因为人脸信息泄露、滥用等遭受损失或者隐私被侵犯。这段时间,人脸识别已成为网络热门词汇,社会公众对人脸识别技术滥用的担心不断增加,强化人脸信息保护的呼声日益高涨。
金融业应用人脸识别须注意技术风险
从金融业来看,人脸识别等活体检测技术的应用主要服务于风控方面。以银行业为例,人脸识别技术主要应用于用户认证环节,它可以用于验证用户身份,避免各类假体人脸攻击,避免人脸被冒用和滥用,守护用户的财产安全。
由于不同金融机构的技术能力有所差异,加之金融业尚未正式明确人脸识别技术的应用标准,过去几年,金融行业出现多起因人脸识别造成的信息泄露事件以及因人脸识别技术漏洞造成的财产损失案件。
2019年1月,厦门银行被曝出遭不法分子通过软件抓包、PS身份证等手段,破解了该行手机银行APP的人脸识别系统,并注册厦门银行Ⅱ类账户76个,并以一套账户人民币100元至200元不等的价格对外出售;同年央视315晚会上,央视指出网贷平台“萨摩耶金服”借用“探针盒子”违法收集商场顾客个人信息,后者随即宣布停止IPO进程。
新网银行业务安全部总经理贾坤表示,目前,一些不法分子已渗入了消费信贷申请流程,在人脸识别环节,不法分子通过诸多“换脸”软件活体模拟以及视频攻击等手段进行金融欺诈。据悉,2018年,某消费金融公司曾发现100多起活体模拟视频伪冒借贷案件。
根据早前央行等部门发布的规定,人脸识别等生物特征识别技术不能作为核验用户身份信息的主要手段,仅将其作为一种辅助方式。2015年,央行发布的《中国人民银行关于改进个人银行账户服务 加强账户管理的通知》指出,由于我国尚无生物特征识别技术的基础标准,也没有应用于金融领域的国家或行业标准,因此,将生物特征识别技术作为核验存款人身份信息的主要手段的条件尚不成熟。但按照“鼓励创新、防范风险、趋利避害、健康发展”原则,为探索生物特征识别技术应用于金融领域的可行性,为未来制定相关标准积累经验,央行支持有条件的银行将生物特征识别技术应用于开立个人银行账户,将其作为核验存款人身份信息的辅助手段。
“人脸属于弱隐私生物特征,信息误用风险比较大。”2019年,央行科技司司长李伟在金融网络安全论坛上就指出,部分机构高估了弱隐私特征的识别作用,在网络空间仅依靠单一特征进行金融交易验证,存在严重隐患。
李伟认为,金融机构在进行人脸数据采集时,应提前告知用户信息使用的方式,明确获得客户授权。同时他表示,不要简单地将人脸特征作为唯一的交易验证因素,须根据风险等级结合用户口令等其他因素进行多因素认证,平衡好金融服务的安全与便捷。
《个人信息保护法》呼之欲出
近年来,不断加强个人信息保护已经成为了有关部门高度重视并持续开展的重点工作。
最高法《规定》列举了八类信息处理者处理人脸信息情形,法院应当认定属于侵害自然人人格权益的行为,包括:在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息等。
在此之前,全国信息安全标准化技术委员会修订发布的《个人信息安全规范》中,已对人脸信息等生物识别信息保护提出“增强型”要求。央行发布的《网上银行系统信息安全通用规范2020》亦明确指出,应把生物特征技术作为安全增强手段,并与其他身份认证技术相结合,增强交易安全。
据悉,《个人信息保护法》尚在制订之中,其中重点提到了个人生物特征等敏感个人信息的处理。另外,《生物特征识别信息保护要求》《信息安全技术人脸识别数据安全要求》等也已在全国信息安全标准化技术委员会重点制定的标准之列。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示,人脸识别是一种新兴技术,我们不应拒绝这种技术,但在个人信息保护意识觉醒的情况下,我们需要兼顾安全和隐私保护,对人脸识别的技术在合理场景下逐步应用。他从场景评估、数据特征、使用限制、安全增强等方面总结了人脸识别技术的合规思路和建议,包括:第一,目的合理、正当、必要,在影响个人重大利益或社会公共利益的情形下考虑优先使用人脸识别;第二,要保障用户的选择权,不宜将人脸设置为唯一的身份核验手段,不应强制要求或频繁推荐用户开通;第三,要确保授权同意后采集,未经用户同意或法律法规授权,不得通过高清摄像头私自采集,不得使用人脸信息追踪个人行为;第四,明示收集使用规则,防止人脸信息被滥用、非法提供给第三方;第五,最小化存储和使用,原则上应仅取人脸特征信息完成身份核验后及时删除原始样本;第六,明确标注避免混淆,AI技术合成图像应注明,征得个人授权、遵循管理规定;第七,要提高准确度和安全性,加强技术、系统和设备的安全性检测与认证。
对于银行来说,未来要不断适应相关法律法规与技术标准,不断加强人脸识别技术应用的合规性,同时也要加强对用户生物信息的安全管理水平。面对一些潜在风险与漏洞,银行要持续提升技术能力,提高风险防护等级,防止被不法分子钻空子。