为规范人脸识别技术应用,国家网信办8月8日发布的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《意见稿》),从公共场所、经营场所、可能侵害他人隐私的场所等作出要求,同时针对人脸识别技术远距离、无感式辨识等划线。随着科技发展,人脸识别技术已经落地各项应用,由此引发的个人隐私泄露等问题也日渐突出,人脸识别技术应用安全管理势在必行。
应取得个人同意
【资料图】
“使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外”,《意见稿》明确指出。
根据《意见稿》,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。
针对不同的场景,《意见稿》也提出了具体的要求,比如旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。
在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识。《意见稿》强调,在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位,对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
在宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,《意见稿》要求,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。个人自愿选择使用人脸识别技术验证个人身份的,应当确保个人充分知情并在个人主动参与的情况下进行,验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。
不得关联非必需个人信息
上述场景下因人脸识别引发的个人信息泄露问题,已引起相关部门的注意。
2021年央视“3·15”晚会上曝光了科勒卫浴、正通汽车等多家公司在名下门店私自安装人脸识别摄像头,侵犯消费者个人隐私。
2022年底,上海市普陀区人民检察院发现,辖区内有超市为应对物品失窃、恶意索赔等情况,在超市出入口安装采集消费者人脸信息的摄像头及相关设备。其中一家超市的人脸数据处理设备可以清楚地看到每名消费者的进出信息,该设备还会对消费者的消费数据进行分析并予以差异化提示,有消费者还被打上了“疑似小偷”等标签,而消费者对此毫不知情。
“目前,普通用户对支付、验证等大多发生在移动端的人脸识别技术有一定的认知,防范意识较强,对公共场所的人脸识别技术应用可能引起的个人信息泄露,相对较难察觉。《意见稿》加强对这些场所的安全管理,一方面可以提高大众的安全意识,也让技术使用者不再有违规操作空间”,中国科学院文献情报中心人工智能高级工程师张彧告诉北京商报记者。
根据《意见稿》,在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人,应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出。
人脸识别技术使用者应个人或者利害关系人请求使用人脸识别技术远距离、无感式辨识特定个人或者利害关系人的,应当将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。
不得保存人脸原始图片等
《意见稿》同时强调,除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,或者取得个人单独同意外,任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。
除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。
面向社会公众提供人脸识别技术服务的,相关技术系统应当符合网络安全等级保护第三级以上保护要求,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的,还应当符合关键信息基础设施安全保护的相关要求。
《意见稿》指出,使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息,无法避免的,应当及时删除或者进行匿名化处理。人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
“通过人脸识别技术收集、使用人脸特征等生物特征信息是新技术,一旦泄露造成的危害巨大,甚至难以采取有效的弥补措施。近年来公众隐私保护的意识有了一定程度的提升,相关法律法规逐步完善,这对技术发展和用户保护都是好事”,比达分析师李锦清表示。
就拿最近大火的妙鸭相机而言,就曾因个人信息问题被质疑。妙鸭相机是一款聚焦人像写真的AIGC(人工智能生成内容)产品。用户上传一张清晰的正面照以及至少20张上半身照片,可先生成一个数字分身。基于数字分身,选择自己喜欢的模板,就可得到一套AI写真。但有用户担心上传20张照片会导致面部特征泄露。
针对用户疑问,妙鸭相机产品负责人张月光向北京商报记者解释,“妙鸭相机没有提取用户的脸部数据。用户上传的所有照片,不管是20张还是多少张,都会在数字分身制作完毕后删除掉。我们也不会把用户的数字分身或其他任何数据展示给第三方看,妙鸭相机本身也做了大量的网络安全防护”。
北京商报记者 魏蔚