何延哲:App使用人脸识别技术的合规关注点
移动支付网 2020/11/6 9:31:10

近日,《杭州市物业管理条例(修订草案)》提请浙江杭州市十三届人大常委会第三十次会议审议。该修订草案提出:禁止强制业主通过指纹、人脸识别等生物信息方式进入小区。该管理条例如获通过将成为我国首部明确规定人脸识别禁止性条款的地方性法规。

当下,人脸识别技术正处于高科技风口,已广泛应用于金融支付、涉密行业等领域。但对普通人来说,无处不在的人脸识别,也带来了隐私被侵犯的困扰。

11月3日,由北京金融科技产业联盟、移动支付网联合主办的2020第五届中国金融科技安全大会在深圳顺利召开,会上中国电子技术标准化研究院信安中心测评实验室副主任何延哲针对人脸识别的安全问题进行了分享。

人脸识别受欢迎吗?

实际上,随着近年来人脸识别的不断发展,刷脸已经逐渐走进普通人的生活。其中支付转账、开户销户、实名登记、解锁解密、换脸娱乐、政府办事、交通安检、门禁考勤、校园/在线教育、公共安全监管等10类应用场景,均已实现人脸识别技术的应用。

2020年上半年,App专项治理工作组联合媒体进行了一项关于人脸识别的线上调研,从覆盖不同地区、学历和年龄段人群的2万份调查问卷得出了一些数据情况。其中关于更愿意使用的验证手段,大部分人还是更喜欢指纹、手机验证码和密码等形式的验证方式,人脸识别仅排在倒数第二。

而大部分人所担心的问题是人脸原始信息可能会保留以及未来会被如何处理。并且对于人脸数据的使用方并不完全感到信任,甚至有超过六成的受访者认为人脸识别有滥用趋势。

不过尽管公众对于人脸识别充满了担忧,但是仍然也怀有一些期待,比如希望尽快出台相关法律法规或国家标准来规范人脸识别的应用,提高人脸识别行业的进入门槛等。另外,公众也认为人脸识别的应用总体而言是利大于弊的,但在推广时要注重风险,保障用户知情和选择权。

App使用人脸识别有哪些风险?

那么App使用人脸识别技术到底存在着哪些风险呢?何延哲列举了三个具体的案例来进行分析。

1、某刷脸解锁手机App存在“反复明文传输人脸图片”“未提供注销账号等渠道支持用户删除人脸信息”“使用照片即可通过刷脸核验”等现象和问题。

2、某智慧社区App存在“人脸等图片明文传输且可被互联网公开访问”“人脸等个人信息可被互联网公开渠道批量下载”等现象和问题。

3、某粉丝追星社区App存在“强制要求用户使用人脸识别”“传输身份证等图片且可被互联网公开访问”“未提供注销账号等渠道支持用户删除人脸信息”等现象和问题。

这些实际案例都反映了目前App在应用人脸识别时存在或多或少的安全问题,比如:人脸信息的加密和泄露问题、人脸识别的准确性和伪造问题、强制用户使用人脸识别的侵权问题等等。

从技术层面而言,人脸识别技术的大规模使用,基于人脸特征点的信息是以数字化信息进行存储的,相关数据库就面临着被黑客攻击或者自身防范不力导致泄露事件。人脸特征数据库的外泄将面临很大的隐患,首先以往密码被窃取,可通过重新设置实现密码更改,并提高安全防范级别,但人脸等生物特征信息是唯一且终身不变的,因此,一旦泄露就将导致人们个人财产、或者隐私等被公开,造成重大损失,并且无法挽回。

人脸识别有哪些合规点?

既然存在着风险,那么未来应该通过哪些措施来规避风险,通过哪些标准规范来完善行业现状呢?

何延哲表示,目前人脸识别已经有一些行业标准,但是应该上升到国家标准,并且进行相应的细化完善。

近年来,涉及个人信息保护的规则细化、执法监管、治理倡议等方面动作频繁,不断加强个人信息保护已经成为了有关部门高度重视并持续开展的重点工作。目前,全国信息安全标准化技术委员会(TC260)新修订发布的《个人信息安全规范》(GB/T 35273-2020)中,对人脸信息等生物识别信息保护提出“增强型”要求。《个人信息保护法(草案)》也于上个月开始公开征求社会意见,其中也重点提到了个人生物特征等敏感个人信息的处理。另外,《生物特征识别信息保护要求》《人脸识别数据安全要求》等已经在信安标委重点制定的标准之列。

随后,何延哲分别从场景评估、数据特征、使用限制、安全增强等四个方面介绍了人脸识别的合规思路。

关于其中要点,他总结了以下几点:

1、目的合理、正当、必要,在影响个人重大利益或社会公共利益的情形下考虑优先使用人脸识别;

2、要保障用户的选择权,不宜将人脸设置为唯一的身份核验手段,不应强制要求或频繁推荐用户开通;

3、要确保授权同意后采集,未经用户同意或法律法规授权,不得通过高清摄像头私自采集,不得使用人脸信息追踪个人行为;

4、明示收集使用规则,防止人脸信息被滥用、非法提供给第三方;

5、最小化存储和使用,原则上应仅取人脸特征信息完成身份核验后及时删除原始样本;

6、明确标注避免混淆,AI技术合成图像应注明,征得个人授权、遵循管理规定;

7、要提高准确度和安全性,加强技术、系统和设备的安全性检测与认证。

最后他认为,对于人脸识别的未来不能太乐观,尤其是对于C端用户而言以上这些都是长期存在的毛病,安全与便捷的矛盾会长期存在;B端也同样不够乐观,因为它的价值上限并不明显,效果和自由度会影响其发展;G端应用场景则可观一些,政务服务需要较强的身份核验,但仍然需要把技术做好,避免出现技术问题;O端则存在比较难超越的壁垒,除非是杀手锏级别的应用,以至于无法代替,否则很难立足,而且国际上人脸识别反对的声音比国内更加强烈!


展开全文
相关阅读
资讯查询取消