為規范人臉識別技術應用,國家網信辦8月8日發布的《人臉識別技術應用安全管理規定(試行)(征求意見稿)》(以下簡稱《意見稿》),從公共場所、經營場所、可能侵害他人隱私的場所等作出要求,同時針對人臉識別技術遠距離、無感式辨識等劃線。隨著科技發展,人臉識別技術已經落地各項應用,由此引發的個人隱私泄露等問題也日漸突出,人臉識別技術應用安全管理勢在必行。
應取得個人同意
“使用人臉識別技術處理人臉信息應當取得個人的單獨同意或者依法取得書面同意。法律、行政法規規定不需取得個人同意的除外”,《意見稿》明確指出。
根據《意見稿》,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可使用人臉識別技術處理人臉信息。實現相同目的或者達到同等業務要求,存在其他非生物特征識別技術方案的,應當優先選擇非生物特征識別技術方案。
針對不同的場景,《意見稿》也提出了具體的要求,比如旅館客房、公共浴室、更衣室、衛生間及其他可能侵害他人隱私的場所不得安裝圖像采集、個人身份識別設備。
在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,設置顯著提示標識。《意見稿》強調,在公共場所安裝圖像采集、個人身份識別設備的建設、使用、運行維護單位,對獲取的個人圖像、身份識別信息負有保密義務,不得非法泄露或者對外提供。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
在賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經營場所,《意見稿》要求,除法律、行政法規規定應當使用人臉識別技術驗證個人身份的,不得以辦理業務、提升服務質量等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。個人自愿選擇使用人臉識別技術驗證個人身份的,應當確保個人充分知情并在個人主動參與的情況下進行,驗證過程中應當以清晰易懂的語音或者文字等方式即時明確提示身份驗證的目的。
不得關聯非必需個人信息
上述場景下因人臉識別引發的個人信息泄露問題,已引起相關部門的注意。
2021年央視“3·15”晚會上曝光了科勒衛浴、正通汽車等多家公司在名下門店私自安裝人臉識別攝像頭,侵犯消費者個人隱私。
2022年底,上海市普陀區人民檢察院發現,轄區內有超市為應對物品失竊、惡意索賠等情況,在超市出入口安裝采集消費者人臉信息的攝像頭及相關設備。其中一家超市的人臉數據處理設備可以清楚地看到每名消費者的進出信息,該設備還會對消費者的消費數據進行分析并予以差異化提示,有消費者還被打上了“疑似小偷”等標簽,而消費者對此毫不知情。
“目前,普通用戶對支付、驗證等大多發生在移動端的人臉識別技術有一定的認知,防范意識較強,對公共場所的人臉識別技術應用可能引起的個人信息泄露,相對較難察覺。《意見稿》加強對這些場所的安全管理,一方面可以提高大眾的安全意識,也讓技術使用者不再有違規操作空間”,中國科學院文獻情報中心人工智能高級工程師張彧告訴北京商報記者。
根據《意見稿》,在公共場所、經營場所使用人臉識別技術遠距離、無感式辨識特定自然人,應當為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產安全所必需,并由個人或者利害關系人主動提出。
人臉識別技術使用者應個人或者利害關系人請求使用人臉識別技術遠距離、無感式辨識特定個人或者利害關系人的,應當將相關服務限定在最小必要的時間、地點或者人群范圍內,不得關聯與個人請求事項無直接必然相關的個人信息。
不得保存人臉原始圖片等
《意見稿》同時強調,除維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產安全所必需,或者取得個人單獨同意外,任何組織或者個人不得利用人臉識別技術分析個人種族、民族、宗教信仰、健康狀況、社會階層等敏感個人信息。
除法定條件或者取得個人單獨同意外,人臉識別技術使用者不得保存人臉原始圖像、圖片、視頻,經過匿名化處理的人臉信息除外。
面向社會公眾提供人臉識別技術服務的,相關技術系統應當符合網絡安全等級保護第三級以上保護要求,并采取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防御等措施保護人臉信息安全。屬于關鍵信息基礎設施的,還應當符合關鍵信息基礎設施安全保護的相關要求。
《意見稿》指出,使用人臉識別技術處理人臉信息應當盡量避免采集與提供服務無關的人臉信息,無法避免的,應當及時刪除或者進行匿名化處理。人臉識別技術使用者應當每年對圖像采集設備、個人身份識別設備的安全性和可能存在的風險進行檢測評估,并根據檢測評估情況改進安全策略,調整置信度閾值,采取有效措施保護圖像采集設備、個人身份識別設備免受攻擊、侵入、干擾和破壞。
“通過人臉識別技術收集、使用人臉特征等生物特征信息是新技術,一旦泄露造成的危害巨大,甚至難以采取有效的彌補措施。近年來公眾隱私保護的意識有了一定程度的提升,相關法律法規逐步完善,這對技術發展和用戶保護都是好事”,比達分析師李錦清表示。
就拿最近大火的妙鴨相機而言,就曾因個人信息問題被質疑。妙鴨相機是一款聚焦人像寫真的AIGC(人工智能生成內容)產品。用戶上傳一張清晰的正面照以及至少20張上半身照片,可先生成一個數字分身。基于數字分身,選擇自己喜歡的模板,就可得到一套AI寫真。但有用戶擔心上傳20張照片會導致面部特征泄露。
針對用戶疑問,妙鴨相機產品負責人張月光向北京商報記者解釋,“妙鴨相機沒有提取用戶的臉部數據。用戶上傳的所有照片,不管是20張還是多少張,都會在數字分身制作完畢后刪除掉。我們也不會把用戶的數字分身或其他任何數據展示給第三方看,妙鴨相機本身也做了大量的網絡安全防護”。
北京商報記者 魏蔚
