“人臉識別第一案”背後的安全之憂

備受關注的“人臉識別第一案”近日在杭州市富陽區人民法院一審公開宣判。法院判決杭州野生動物世界賠償郭兵合同利益損失及交通費，刪除其辦理指紋年卡時提交的包括照片在內的面部特徵信息；但駁回了郭兵提出的其他訴訟請求。

該案一審落槌，如同一顆石子落入湖水。這一案件所激起的關於個人生物識別信息安全話題，值得社會各方思考。

“人臉識別”背後的安全之憂

“人臉識別第一案”表面上是一場看似有些較真的訴訟，但背後反映出的是隨着近些年技術進步，人臉識別等應用快速鋪開後的安全之憂。

近期，某視頻平臺上一段名爲“戴頭盔看房”的短視頻火了。爆料人表示，出現這種滑稽現象，是因爲房地產“老帶新”、商業中介、自然看房人等不同類型客戶可以拿到不同程度的買房優惠，所以看房人極力掩蓋面容，以“對抗”售樓處用人臉識別判斷客戶類型。

一位網絡安全專家表示，目前，攝像頭捕捉人臉靜態畫面的技術已經相當成熟。“如果你在看房過程中留下了個人信息，那麼你的生物特徵信息、身份證號、出生年月等就形成了一個‘信息包’。在這個過程中，沒有人會徵求你的意見。”

業內人士表示，因爲技術的成熟、成本的降低，許多應用開發過程中，已經可以購買現成的程序模塊嵌套進系統，相當於做好了一個成熟的輸入、輸出接口的代碼組件，可以直接實現人臉識別功能。有些這樣的模塊已經完全免費，因而人臉識別的應用場景得以大面積鋪開。

網絡安全企業奇安信集團網絡安全專家陳洪波說，人臉識別的大面積推廣應用，無論是出於方便管理、便利客戶還是其他商業目的，但技術的推廣必須讓用戶有知情權和選擇權，並遵循最小必要的原則。

信息泄露“細思恐極”

此前接受採訪時，“人臉識別第一案”的當事人郭兵曾表示，自己並不是一個技術上的“保守者”，是面對越來越多的應用場景，人臉識別技術大規模鋪開，他習慣多問幾個爲什麼，這些問題幾乎都讓他想到數據安全問題。

在技術層面，陳洪波說：“現在對數據的存儲，無論是本地服務器還是託管到公有云，實際上都面臨被攻破的風險。更何況許多企業推廣人臉識別並沒有有效的安防措施，在技術日新月異的背景下，隨意採集人臉信息很難保證數據安全。”

一旦數據因爲黑客侵入、員工倒賣、企業私自使用等原因泄露，人臉等“不可更改的”生物識別信息就會流入網絡黑灰產市場，可能造成很大的社會危害。

陳洪波介紹，一方面人臉識別存儲原本只是一張靜態圖像，但現在一些新技術可以通過靜態圖片來模擬動態行爲，可以攻破一些識別系統；另一方面，如果人臉、個人身份信息一一對應掛鉤，這樣的“信息包”價值密度將更高，可能對個人的損害也更大。

記者此前調查也發現，爲了通過實人認證，達到註冊虛假賬號或者侵犯他人賬號等非法目的，人臉信息已經成爲黑灰產的重要交易信息，並催生出了“過臉產業”：人臉信息泄露後，不法分子可以通過“照片活化”，將照片製作成動圖，按照相應登錄軟件規定程序，圖片可以完成點頭、眨眼等認證動作，順利通過部分軟件的人臉認證。

“人臉識別”技術呼喚加強監管

“人臉識別第一案”宣判後，郭兵接受記者採訪時表示，由於法院並未支持他關於“確認多項告示、通知內容無效”等訴訟請求，他已考慮針對這部分訴請提出上訴。而相較於個案本身，部分受訪法律、網絡安全專家表示，通過民事訴訟維護個人權益具有重要意義，但更希望這一個案能引起相關方面的重視，進而完善法律法規，強化對人臉識別的規範和監管。

北京大學法學院教授薛軍表示，這一案件很有啓發性。除了個人提起民事訴訟以外，未來還可能出現集團訴訟、代表人訴訟，或者消費者組織公益訴訟等，對侵犯個人信息的行爲進行遏制。

實際上，在法律層面，針對生物特徵信息採集儲存，我國已對個人信息安全規範等做了具體規定。例如個人生物特徵信息屬於敏感信息，要求個人生物識別信息要與個人身份信息分開存儲；原則上不應存儲原始個人生物識別信息，可採取的措施包括但不限於：僅存儲摘要信息。

本案原告代理律師張延來表示，現行法律法規體系下，指紋、人臉等個人生物特徵信息，在蒐集使用的邊界層面已經比較明確。“比如網絡安全法、消費者權益保護法、電子商務法中，對採集信息合法性、正當性、必要性三原則的規定都是高度一致的，民法典也專闢一章規定公民信息保護。”

陳洪波表示，除了法律，目前在技術層面，監管是相對成熟的，也就是說通過監測、爬蟲等手段可以自動發現隱私收集的情況。除了個案捍衛自身權益，有關部門監管還需真正“亮劍”，進一步淨化行業，推動人臉識別規範安全有序發展。