【解局】强制刷脸？该关注隐私和技术风险了

最近，围绕“人脸识别”技术是否滥用的新闻很多——

在浙江某地，有售楼部安装了无感人脸采集系统，用来区分购房者究竟是“渠道客户”还是“自然到访客户”，以判定佣金该发给谁。有看房者表示，戴口罩也会被抓拍，这才戴着头盔看房；

北京一家中学发布通知，称“学生每天进出校门必须在闸机进行人脸识别”，“不服从管理、不刷脸进入将通报批评”；在南京，去年有大学安装人脸识别设备，“可追踪、识别学生听讲、发呆、睡觉等上课状态”；

此外，也有多地小区、写字楼安装人脸识别系统，甚至有的地方还要求同步上传户口本、房本、学历信息等。

技术的快速扩张还常与“强制性”捆绑。不少业主、上班者表示，社区或写字楼在采用这些系统时往往并未提前征求意见，带来隐私信息被泄露的隐忧。

被识别的人脸（图源：网络）

一

这并非杞人忧天。

去年一则新闻称，国内一家科技公司泄露256万用户信息；网上同时曝光，有商家在出售包括人脸在内、106处关键点的17万条人脸数据包。甚至在一些交易平台上，花2元就能买到上千张人脸照片，“照片活化”工具还能让人脸照片眨眼、张嘴、点头，变为能完成人脸验证的“活照片”。

当时便有岛友留言：“早上出小区门刷脸，送娃到幼儿园刷脸，到处都需要刷脸，大数据时代，还能有隐私吗？”

毫无疑问，人脸识别技术可以带来便利性。抓捕逃犯、海关通关、信息录入、身份识别……当年张学友演唱会抓逃犯，这项技术也扮演了关键角色。

但技术带来的风险也显而易见。这些年的新闻中，有不法分子用3D打印制作的蜡像人头骗过了支付平台人脸识别系统，成功买到火车票；有抢劫者用被害人身份证和具有人脸识别功能的支付App强行修改支付密码，取走大笔钱财。

近日，全国信息安全标准化技术委员会牵头成立专项治理工作组发布《人脸识别应用公众调查报告2020》，其中提到，9成受访者称“使用过人脸识别技术”；6成受访者认为该技术“有滥用趋势”；3成表示个人隐私或财产安全已因此遭受损失。

中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》同样显示，参与测评的100款App中，10款“涉嫌过度收集个人生物特征信息”。

合肥某小区物业采用人脸识别门禁（图源：网络）

二

人脸等生物特征是关键性的敏感个人信息。邮箱密码可以定期修改，但是人脸改起来难度可不小。

中国电子技术标准化研究院信安中心测评实验室副主任何延哲说，如果只采集人脸信息，未获得关联身份信息，隐私泄露风险不算大。但“商家”销售的个人数据中，个人手机号、社交媒体账号甚至身份证号码、银行卡号等数据一并打包在内，就值得警惕了。

在这一领域，目前仍缺乏统一标准规范，数据存储也缺乏安全保障。用户对于人脸识别技术安全风险的主要担忧是，不知道某些场景下人脸信息是如何被收集、存储和处理的。

例如，假设某小区强制使用人脸识别，租户在租住期间刷脸出入，那以后搬家，，这信息是依然会留存在该小区，还是留在相应的数据公司服务器上？安全性如何保证？

讲个几天前的真事儿。当时某岛叔正上班，一个电话打进来：“先生您好，请问您前阵子在xx网站浏览了xx商品的信息，您现在还对这商品感兴趣吗？”

该岛叔直接反问：“你是怎么拿到我的个人信息的？我在什么网站上浏览商品，你怎么知道？而且还知道了我的手机号和姓名？”对方支支吾吾挂了电话。

这种例子相当普遍。最近，圆通快递内部员工泄露40万条用户信息的消息炸了锅；今年5月，江苏也破获一起建设银行员工贩卖用户信息数据的案件，数据多达5万余条，涉及金额2000余万元。

这些虽不是人脸信息，但足以警示风险：人脸信息一样有被泄露的可能，而且一旦泄露，其关联的平台注册信息、银行卡、个人住址等信息很有可能一并泄露。

考试培训，技能提升，游泳健身，保健理财，不管什么推销电话打进来，一开口总能知道你姓甚名谁；你跟同事在办公室聊到某产品，随后便在手机App里看到广告；再加上某些企业家“中国人就是喜欢用隐私换便利”的大言不惭言论——种种现象，让人不免对个人信息安全环境感到担忧。

若网络收集的普通个人信息都难以得到妥善保护、出现泄露甚至形成黑产，又如何让人们放心地交出敏感个人信息？

（图源：《人脸识别应用公众调查报告2020》）

三

不久前，被媒体冠以“人脸识别第一案”之名的郭兵案作出一审判决。

本案中，浙江理工大学副教授郭兵因不接受杭州野生动物园规定的人脸识别入园方式，提起诉讼。一审法院判令杭州野生动物世界赔偿原告郭兵合同利益损失及交通费，删除其办理指纹年卡时提交的包括照片在内的面部特征信息。

2019年底，人脸识别国家标准制定工作全面启动。今年10月1日生效的新版《信息安全技术个人信息安全规范》明确要求，在收集人脸、指纹等个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

划重点：“单独告知”，“取得明示同意”。郭兵案代理律师张延来此前接受媒体时表示，所谓“明示同意”意味着单方面通知是不可以的，要有同意确认的过程。采集的一方需征求被采集一方的意见，被采集的一方在没有被强迫的情况下，主动表示愿意提供信息。

各地也有一些有益探索。10月底提交杭州市人大常委会审议的《杭州市物业管理条例（修订草案）》提出，物业服务人“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备”。

这些新规和探索，都是在努力明确规范、健全制度，让监管跟上技术发展的脚步。便利和隐私，快速和安全，不应成为互相对立的二选一范畴，而应是兼顾、平衡的关系。技术不是洪水猛兽，但不受控地滥用技术一定会是。

人脸识别（图源：网络）

文/云中歌

编辑/明日绫波