國慶中秋“雙節(jié)”期間，很多游客在乘車安檢、入住酒店等過程中都有“刷臉”的經(jīng)歷。實際上，越來越多的人已經(jīng)習(xí)慣了“刷臉”：購物時“刷臉”支付、玩手機時“刷臉”解鎖、進入小區(qū)時“刷臉”開門……如今，人臉識別技術(shù)應(yīng)用于金融支付、身份認證、小區(qū)安防等諸多場景，給人們的生活帶來不少便利。但與此同時，人臉數(shù)據(jù)等個人隱私數(shù)據(jù)信息也存在被過度分析和濫用的風(fēng)險，數(shù)據(jù)安全不容忽視。

11月1日，國家標準《信息安全技術(shù) 遠程人臉識別系統(tǒng)技術(shù)要求》將正式實施。該標準將推動我國人臉識別技術(shù)產(chǎn)業(yè)化發(fā)展，進一步豐富人臉識別技術(shù)體系和應(yīng)用場景。當前，我國人臉識別技術(shù)及應(yīng)用現(xiàn)狀如何？人臉數(shù)據(jù)等個人隱私數(shù)據(jù)信息存在哪些安全風(fēng)險？今后應(yīng)如何更好地應(yīng)用人臉識別、保護數(shù)據(jù)安全？記者就此采訪了有關(guān)專家。

1 “刷臉才能進小區(qū)，誰來保護我的人臉信息”

【案例】

近日，北京市民楊女士所在的小區(qū)加裝了人臉識別門禁，這讓她“喜憂參半”。“喜”的是出門可以不用帶門禁卡，“憂”的是數(shù)據(jù)信息存在被泄露的風(fēng)險。“小區(qū)門禁使用人臉識別，需要拍照并登記電話號碼、身份證號、房產(chǎn)證上具體住址等個人信息，如果這些隱私數(shù)據(jù)信息泄露了，后果簡直不堪設(shè)想。刷臉才能進小區(qū)，誰來保護我的人臉信息？”楊女士說。

人臉識別是基于人的臉部特征信息進行身份識別的一種生物識別技術(shù)。具體而言，就是計算機通過視頻采集設(shè)備獲取識別對象的面部圖像，再利用核心算法對其臉部的五官位置、臉型和角度等特征信息進行計算分析，進而與數(shù)據(jù)庫里已有的范本進行比對，最后判斷出用戶的真實身份。

“簡單的人臉識別，可能需要采集、提取人臉上的六個或八個關(guān)鍵點，用這些點和數(shù)據(jù)庫里的點進行比對，如果比對上就可以進行識別。人臉識別不是為了更加安全，而是為了方便。”通信行業(yè)觀察家項立剛說。

中國通信工業(yè)協(xié)會區(qū)塊鏈專委會副主任委員于佳寧在接受本報記者采訪時表示，以人臉識別為代表的生物識別技術(shù)規(guī)模化商用確實為經(jīng)濟社會運行和人們生活帶來很多便利，但是生物信息屬于社會基礎(chǔ)性資源，具有終身不可更改等特點，這些數(shù)據(jù)在采集、傳輸、保存、使用以及第三方調(diào)用過程中，可能會出現(xiàn)數(shù)據(jù)泄露和濫用問題，給社會正常運行和發(fā)展帶來額外風(fēng)險。

中國電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò)安全研究所副所長閆曉麗也認為，人臉數(shù)據(jù)作為高敏感的生物識別信息，具有不可變更性，一旦被過度分析和濫用，將會對個人隱私權(quán)等權(quán)利構(gòu)成侵害。例如，未經(jīng)個人同意，通過與人臉識別系統(tǒng)連接的攝像頭、智能設(shè)備等收集人臉數(shù)據(jù)，并利用機器學(xué)習(xí)等技術(shù)對其加以分析，對個人“畫像”，將會獲得個人行蹤、行為特征等私密信息。

閆曉麗告訴記者，國內(nèi)外已有對人臉數(shù)據(jù)過度分析的情況。基于人臉識別技術(shù)被濫用的擔(dān)憂，美國以及歐洲一些國家對人臉識別技術(shù)使用進行了限制。在實踐中，未經(jīng)個人同意或在非必要場景下收集人臉數(shù)據(jù)、因管理不當導(dǎo)致大規(guī)模泄露等情況，都可能導(dǎo)致人臉數(shù)據(jù)被進一步濫用，從而給個人隱私權(quán)等造成侵害。

2 人臉數(shù)據(jù)“3元包郵”，竊取、濫用和誤用成三大難題

【案例】

有調(diào)查發(fā)現(xiàn)，在一些網(wǎng)絡(luò)交易平臺上，部分賣家以“0.5元一份”的價格售賣人臉數(shù)據(jù)，甚至也賣“照片活化”網(wǎng)絡(luò)工具及教程。近日，AI（人工智能）換臉涉嫌侵犯肖像權(quán)的話題登上微博熱搜，同時也有媒體報道，在某二手交易平臺上，有人售賣具有400張人臉數(shù)據(jù)信息的人臉二維碼識別程序，稱“3元包郵”。

有專家稱，當前，網(wǎng)絡(luò)黑市中售賣的人臉信息并非單純的“人臉照片”，而是包含公民個人身份信息（包括身份證號、銀行卡號、手機號等）的一系列敏感數(shù)據(jù)。如果人臉信息和其他身份信息相匹配，可能會被不法分子用以盜取網(wǎng)絡(luò)社交平臺賬號或竊取金融賬戶內(nèi)財產(chǎn)；如果人臉信息和行蹤信息相匹配，可能會被不法分子用于精準詐騙、敲詐勒索等違法犯罪活動。

人臉數(shù)據(jù)只是一個縮影。當前，數(shù)據(jù)作為新型生產(chǎn)要素，已成為信息時代國家重要戰(zhàn)略資源，數(shù)據(jù)安全關(guān)系到經(jīng)濟社會發(fā)展的方方面面。

360集團首席安全官杜躍進認為，目前，數(shù)據(jù)安全現(xiàn)狀有兩個關(guān)鍵詞：恐慌、混亂。“恐慌”表現(xiàn)在很多普通人以及企業(yè)非常擔(dān)心數(shù)據(jù)安全出問題，但是會出什么問題說不太清楚，甚至有一些人擔(dān)心“手機無時無刻不在監(jiān)聽著自己”；“混亂”表現(xiàn)在產(chǎn)業(yè)界等尚不知道該如何解決數(shù)據(jù)安全問題。竊取、濫用和誤用是當前數(shù)據(jù)安全面臨的三大難題。從數(shù)據(jù)安全發(fā)展趨勢看，痛點在加強、需求在加快、動作在加大。

在于佳寧看來，數(shù)據(jù)安全已經(jīng)不僅僅是個人隱私問題，更是網(wǎng)絡(luò)安全甚至是國家安全的重要組成部分。他表示，我國目前在數(shù)據(jù)安全方面已建立部分法律法規(guī)，總體數(shù)據(jù)安全保障體系正在逐步建立，但數(shù)據(jù)安全還存在一些痛點和隱患。例如，個人和企業(yè)數(shù)據(jù)普遍托管在中心化互聯(lián)網(wǎng)平臺，無法控制數(shù)據(jù)的使用和流動，導(dǎo)致個人數(shù)據(jù)被濫用，且數(shù)據(jù)價值和收益分配極為不合理。總之，我國數(shù)據(jù)安全保護體系仍然亟待完善。

閆曉麗介紹，目前，我國確立了數(shù)據(jù)安全的基本制度，包括數(shù)據(jù)分類分級、重要數(shù)據(jù)出境安全評估、個人信息安全保護等。相關(guān)部門落實法律要求，通過個人信息專項治理、數(shù)據(jù)安全合規(guī)性評估等工作，促進了企業(yè)和機構(gòu)數(shù)據(jù)安全管理能力的提升，以及社會各界數(shù)據(jù)安全意識的提高。

“但整體看，我國數(shù)據(jù)安全保護還處于較低水平。”閆曉麗說，非法收集和使用個人信息的情況屢見不鮮，人臉數(shù)據(jù)等個人信息買賣黑色產(chǎn)業(yè)鏈屢禁不止；尤其是一些關(guān)系國計民生的重要行業(yè)和領(lǐng)域，尚未建立起針對重要數(shù)據(jù)的數(shù)據(jù)安全管理體系，企業(yè)數(shù)據(jù)安全風(fēng)險監(jiān)測、預(yù)警和事件處置能力還較為薄弱。此外，針對數(shù)據(jù)流通各環(huán)節(jié)的安全風(fēng)險，相關(guān)企業(yè)的數(shù)據(jù)安全保障能力也有待提高。

3 個人信息采集應(yīng)“正當化”，從源頭上確保數(shù)據(jù)安全

【案例】

如今，人臉識別也進入了校園。一些學(xué)校除了運用人臉識別技術(shù)進行校園智能安防外，還在“試水”用人臉識別保證出勤率和提高聽課效率，不僅能全程監(jiān)控課堂，就連學(xué)生發(fā)呆、打瞌睡和玩手機等行為都能識別出來。有學(xué)生表示，一舉一動都被攝像頭監(jiān)視，“讓人后背發(fā)涼”。專家認為，人臉數(shù)據(jù)采集應(yīng)“正當化”，人臉識別技術(shù)應(yīng)用的基本原則是被監(jiān)控者知情同意和最大程度隱私保護。

對于人臉識別，不能抱“鴕鳥”心態(tài)、不能因噎廢食，要進一步規(guī)范、謹慎應(yīng)對。專家建議，立法機關(guān)應(yīng)劃定人臉識別技術(shù)的使用紅線；監(jiān)管部門也應(yīng)對惡意泄露他人人臉和身份信息的違法行為予以堅決制止。

“目前，數(shù)據(jù)安全問題之所以非常突出，部分原因在于當前數(shù)字身份、數(shù)據(jù)確權(quán)、數(shù)據(jù)溯源和交易等方面的機制還不夠健全，技術(shù)也不夠完備。”于佳寧說，區(qū)塊鏈被認為是一種“為數(shù)據(jù)而生”的新型技術(shù)，借助區(qū)塊鏈可以在數(shù)據(jù)安全保護的同時，實現(xiàn)“數(shù)據(jù)價值最大化”。基于區(qū)塊鏈的公私鑰體系，可以確立統(tǒng)一化數(shù)字身份，進而實現(xiàn)數(shù)據(jù)的確權(quán)、有序流轉(zhuǎn)、可溯源和防篡改。

于佳寧認為，今后要積極推動區(qū)塊鏈與5G、物聯(lián)網(wǎng)、人工智能等新技術(shù)融合發(fā)展，從源頭上保護人臉數(shù)據(jù)等個人隱私數(shù)據(jù)信息安全。隨著5G、物聯(lián)網(wǎng)等技術(shù)發(fā)展和新型基礎(chǔ)設(shè)施建設(shè)進程加快，智能物聯(lián)設(shè)備可能帶來的新型數(shù)據(jù)安全風(fēng)險不可忽視。區(qū)塊鏈與這些技術(shù)具有天然的互補性，正所謂“5G是區(qū)塊鏈的加速器，區(qū)塊鏈為5G穿上防彈衣”。因此，有必要盡早推動技術(shù)融合，構(gòu)建從數(shù)據(jù)源頭就開始生效的可信數(shù)據(jù)流轉(zhuǎn)體系，從根源上確保數(shù)據(jù)的可信和安全。

于佳寧建議，加快建設(shè)數(shù)據(jù)資產(chǎn)生命周期管理新型基礎(chǔ)設(shè)施。數(shù)據(jù)的存儲和共享是確保數(shù)據(jù)安全的核心環(huán)節(jié)，要結(jié)合云計算和區(qū)塊鏈技術(shù)，構(gòu)建以數(shù)據(jù)為基礎(chǔ)、算法為支撐、算力為動力的數(shù)字經(jīng)濟資源開放服務(wù)平臺。另外，要建立企業(yè)數(shù)據(jù)資產(chǎn)新型管理模式。加快實現(xiàn)數(shù)據(jù)資產(chǎn)化，并從司法、會計、稅務(wù)等方面修訂現(xiàn)行法律法規(guī)，讓數(shù)據(jù)資產(chǎn)管理標準化、規(guī)范化、常態(tài)化，進而在充分保障數(shù)據(jù)權(quán)屬和安全的前提下，帶動不同企業(yè)之間數(shù)據(jù)的共采共享與可信交易。

閆曉麗表示，保護人臉數(shù)據(jù)等個人隱私數(shù)據(jù)信息安全，制度建設(shè)要先行。盡快出臺《數(shù)據(jù)安全法》《個人信息保護法》等法律；重要行業(yè)和領(lǐng)域加快制定實施細則和指引，指導(dǎo)行業(yè)企業(yè)強化數(shù)據(jù)安全管理。同時，要大力發(fā)展數(shù)據(jù)安全技術(shù)和產(chǎn)業(yè)。支持網(wǎng)絡(luò)安全等企業(yè)開展差分隱私技術(shù)、多方安全計算、數(shù)據(jù)監(jiān)控與追溯等關(guān)鍵技術(shù)研發(fā)，培育數(shù)據(jù)安全咨詢、數(shù)據(jù)保護設(shè)計、數(shù)據(jù)安全管理等服務(wù)。
責(zé)任編輯:pj