当人脸识别遇上隐私该做些什么

【安防在线 www.anfang.cn】刷脸支付、刷脸安检、刷脸入住酒店……如今，大家对人脸识别都不再陌生，其功能已应用到生活的方方面面。当人脸识别可应用到进站检票、APP登录、办理各种业务等生活化的场景时，人们不由得感叹其带来的便利，但人脸作为生物识别的一种，如何做好个人隐私保护呢？陕西省网络与信息安全测评中心的专家来为我们普及如何防范人脸识别技术带来的网络信息安全问题。

什么是人脸识别

人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，进而对检测到的人脸进行脸部的一系列相关技术，通常也叫做人像识别、面部识别。这些概念已经随着信息技术的发展，悄无声息地进入我们的生活，正在以一种我们不可抵挡的方式影响着我们的生活。人脸识别技术的规模化商用给我们的生活带来了很多的便利。享受这份便利的同时，我们是否了解隐藏在其背后的安全风险呢？

人脸识别面临的信息安全问题

技术是一把双刃剑，因为它既能通过促进经济和社会发展便利我们的生活，同时也可能在一定条件下对我们的生存和发展带来风险。

首先，生物信息不可更改，泄露后果严重。人脸识别信息作为生物识别信息，需要把采集的面部信息转化为计算机可以识别的二进制代码，所提取的数据都会存储于数据库服务器中，人脸不能**，属于个人隐私的范围，但计算机二进制代码可以被截获、解析、重放、重构。传统的密码被忘记或被窃取，可重新设置新密码。但生物识别信息是唯一且终身不变的，不可再生或重建，可以想象一下，如果是密码被获取了，我们可以更改密码，但由于生物识别信息是唯一且不能改变的，一旦泄露或丢失便难以找回，人们就只能眼看着信息被盗取而无能为力。比如在超市购物时，你选择了面部识别进行支付，在支付的过程中，有黑客通过一些非法的手段获取了你的面部信息，那么这时候他就可以使用你的面部信息进行一些非法的操作，给你带来损失。

其次，相关企业重业务，轻防护。人脸识别技术的商用带来了巨大的商用利益，据专家预测，预计2021年中国人脸识别市场规模将达到53.16亿元。强大的市场基础和良好的发展态势难免会有部分人脸识别相关企业关注点放在业务发展上，对网络信息安全的投入却很少，从数据采集、数据传输、数据保存、数据处置、数据使用、数据共享、数据出境、第三方服务接入等数据活动均可能存在泄露隐患，可以看出背后隐藏着巨大的网络信息安全风险。人脸识别在商业领域展开应用，将使得个人影像数据成为身份认证的关键生物信息。伴随着互联网企业、金融机构等私营企业不断获取海量的个人影像数据，将对个人隐私、信息安全保护造成极大考验。

再次，识别技术尚未成熟，误判风险难以消除。一是缺乏能充分适应各种干扰环境的人脸预处理算法。特别在移动互联网下，个人影像数据的拍摄环境更加复杂多变，不同的光照、姿态、装饰等对于人脸识别算法精度的考验更大。二是受深度学习框架中的软件漏洞、生成恶意样本、训练数据遭受污染等影响，用于比对的模板数据库产生遗漏或者误差。三是人工智能系统在辅助决策过程中存在计算错误，产生错误信息。

最后，个人信息安全保护意识欠缺。一是公民自身普遍缺乏信息安全知识及个人隐私保护意识，一旦向不安全的网站、软件上传个人影像，将会暴露个人隐私。二是各类社交平台、电子商务、自助服务、拍摄软件等商业领域广泛使用人像采集功能，智能摄像头随时随地采集不特定人群的个人影像数据，企业不断大规模收集、积累的个人影像数据，个人信息安全保护意识欠缺，滥用个人数据的现象比比皆是。

如何防范人脸识别技术带来的网络信息安全问题

人脸识别技术是生物识别技术发展到一定阶段的新问题，也是网络空间治理过程中的新问题，要提高网络综合治理能力，还需政府管理、企业履责、社会监督、网民自律等多主体参与，经济、法律、技术等多种手段相结合的综合治理格局。

第一，健全法律法规。政府应从管理者的角度出发，通过立法方式明确对于个人隐私领域的法律法规，保障公民个人信息安全。十三届全国人大三次会议表决通过了《中华人民共和国民法典》，在总则以及第四编“人格权”第六章规定了隐私权和个人信息保护的要求，体现了信息时代的民法发展趋势。对于人脸识别数据收集、数据传输、数据保存、数据处置、数据使用、数据共享、转让与委托处理、公开披露、数据出境、第三方服务接入等数据活动的具体法律法规需进一步着手研究并推进落实。

第二，落实安全主体责任。对于已经发布的《中华人民共和国网络安全法》，其在第四章对网络信息安全进行了规定。个人信息安全作为网络信息安全的重要组成部分，也在其中得到了体现。首先，网络运营商一方掌握着大量的用户个人信息，根据该法规定，其必须确保这些个人信息的安全，妥善保管，在建立严格的保密制度的同时，也必须健全用户信息保护制度。其次，网络运营商对于用户个人信息的收集，必须遵循必要性原则，不得收集从事该项业务的任何非必要信息，并且需要在使用完毕后定期清除，确保掌握最少数量且最短时间的用户个人信息。再者，网络运营者对于用户个人信息的使用必须以用户同意为前提，不得有任何威胁个人信息安全的行为，也不得将用户个人信息进行转让、泄露等。网络的匿名性以及信息传递的快捷性对于个人信息安全来说，本身即存在着未知的风险。因此，对于个人信息安全而言，需落实《网络安全法》，加大处罚力度，督促其落实安全主体责任。

第三，需加快人脸识别的标准体系研究，明确人脸识别相关标准。

第四，加强监督管理。首先，“人脸识别”行业未建立严格的准入制度与监管制度。人脸识别信息的收集主体多、安全保障意识低、安全保障能力弱，需加强监督管理，有待于进一步探索如何建立有效的监管体系。其次，国家机构、行政职能部门加强权力及监督体系，对其工作人员在履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。

第五，提升技术实力。首先，人脸识别技术研究单位，需要研究算法不断地精进自身的技术，提升人脸识别准确度。引入安全软件开发流程，在软件开发的需求分析、计划、编码、调试、运行和维护等各个阶段明确安全软件开发规范。其次，人脸识别技术应用单位，应建立信息安全管理体系，加强网络应用层、传输层、主机层、数据链路层、物理层安全防护，明确数据收集、数据传输、数据保存、数据处置、数据使用、数据共享、转让与委托处理、公开披露、数据出境、第三方服务接入等数据活动的安全管理和控制要求。

第六，每个公民需强化个人隐私安全意识和自我保护意识，不要轻易泄露个人信息，对于有关个人信息安全的事项应当积极、主动了解、合理判断，正确处理，避免被不法分子利用。最终，政府、行业、还有公民个人三方面应形成合力，抓住信息化发展的历史机遇，筑牢个人信息安全防护体系，守护好人们的个人隐私和财产安全。