刷脸危机：谁在偷我们的“脸”？

杜一兰

“请刷脸！”

当你来到购物商场或办公楼下，显示屏发出了这样的指令;你按照指令站位、刷脸，然后你成功走进大门。

然而，殊不知，在你脚步移动时，你的人脸信息数据也在移动——被传输到一个你不知道的数据库，被你不知道的人收集。

随着信息技术的发展，在万物互联时代，人们吃饭、睡觉、购物、出行等一切言行都在触网，与此同时，从手机号、家庭住址、通讯录，再到语音、人脸信息等个人隐私信息，都在互联网上流动，甚至是裸奔。

谁也不知道这些数据最终流向了哪里、有何用途，但毫无疑问的是，当下收集数据的端口越来越多，个人隐私保护面临更加严峻的挑战。

圆通40万条个人信息泄露、大学毕业生简历信息泄露、米高梅酒店1060万旅客信息泄露等一系列事件，为加强个人信息数据的使用与管控敲响了警钟。

数据被称作“21世纪的石油”，你的个人信息数据很可能是别人眼里的生意。如何防止人脸识别数据等个人隐私信息被滥用？如何避免个人信息在互联网上裸奔？

信息泄露案件频发

近年来，个人隐私信息被恶意利用的现象，可谓越演越烈。

资料显示，仅2017年中国就有3.52亿人因个人隐私数据泄露遭受攻击，经济损失达到4500亿人民币。

2020年年底，北京第三中级人民法院在通报涉公民个人信息犯罪案件审理情况时指出，酒店、快递公司、外卖平台等企业成为个人信息泄露的重灾区，数量呈现爆炸式增长态势，非法购买方式最多。

去年6月，南京一女子发布微博称，她和朋友在未点餐的情况下有外卖骑手上门送餐，并能准确报出她朋友的真实姓名。去年3月，某外卖平台的骑手在直播平台上全程直播与女客户沟通、采购、配送的过程，拍摄画面还泄露了用户地址、面部形象等隐私信息。

不少网友表示，曾因个人信息泄露遭到网络诈骗、敲诈勒索、暴力追债、滋扰型“软暴力”等恶性事件。

随着信息技术的发展，已经有越来越多类型的个人信息，通过不同的信息传输形式，被不同的应用软件收集。

全国政协委员、佳都科技集团董事长刘伟告诉记者，随着以深度学习算法为代表的人工智能技术的飞速发展，人脸识别技术已经从理论研究走向大规模的应用落地，海量人脸识别生物信息数据在各个场景被采集。

目前来看，由此带来两方面的效应。一方面，在居民消费、城市轨道交通、公共安全、医疗、教育等领域，人脸识别等技术大规模落地，“刷脸”购物、“刷脸”购票乘车等方便了人们的生活，提高了社会效率并节省了社会资源，同时利用人脸识别技术高效地刑侦追捕逃犯，成为公安干警的好帮手，维护了社会稳定与安全。

但另一方面，伴随着人脸识别技术的广泛使用，海量人脸识别生物信息数据在各个场景被采集，导致人们的一言一行、一举一动都暴露在“阳光之下”。由于缺乏明确约束，一些企业、社区、机构毫无敬畏之心，动辄以方便管理为由强推人脸识别等技术设备，多数人在不知利害或无力反对的情况下被动接受。

刘伟表示：“在相关法律法规相对滞后的情况下，一旦人脸数据被不法领域使用，极可能引发科技伦理、公共安全和法律等众多方面的风险，危及公众人身与财产安全，人脸数据或将与电话号码、身份证号一样成为不法分子违法犯罪的新手段。”

法律法规有待进一步规范

“由于法规与管理约束不足，相关开发和应用单位在信息收集与使用等方面缺少主动性与责任感，导致数据被泄露与滥用可能性急剧上升：”刘伟称，一旦出现重大侵害公众隐私或公共安全事故势必将会导致严重社会与经济后果，极大伤害公众安全感。

2020年11月，圆通多位员工将其内部员工系统账号，以每日500元的价格租借给外部“黑产”团伙，导致超过40万条用户信息泄露。此后又有不法分子通过“盗卖”的用户信息诈骗，不少用户遭受财产损失。

对此刘伟表示，应从法律法规及行业规范等多个方面，加强人脸识别等技术的监管，规范人脸识别及数据应用，防范伦理与法律风险。

他建议，由公安部门统一承担人脸识别应用的审批与监管职能，设立相应审批标准及程序。对不合规安装、使用人脸识别技术的小区、企业、机构等要求定期整改，依法打击非法滥用。同时清理电子政务平台人脸识别认证安全漏洞，不给不法分子以可乘之机。

其次他谈到，对于小区管理等特定人群人脸识别应用，须以自愿为原则;对于商场等非特定人群人脸识别应用，应加以审批，并给予大众提示，切实维护公民的知情权。

中国科学院大学教授馬一德近日指出：“法律明确了个人信息保护的最低标准，我们还要基于互联网产业实践逐步建立个人信息保护的行业自治和行业标准。”

因此刘伟建议，组织专项立法，完善相关法律法规。

中国社科院科学技术和社会研究中心主任、研究员段伟文曾指出，未来生物信息识别技术会越来越先进、越来越强大，就像武器一样，如果不事先制定相关的伦理规范、法律规范加以限制就贸然使用，不管什么人和什么场景都可以滥用，必然会带来一定的风险，甚至是危害。

在3月3日的全国政协十三届四次会议新闻发布会上，大会新闻发言人郭卫民称，《个人信息保护法》草案已提请全国人大常委会审议，这一法律的颁布和实施，对保护个人信息安全将发挥重要的作用。

设立“数据银行”

进入移动互联网时代，电商、社交、资讯、餐饮、打车、教育、医疗等每个领域都涌现出大量的应用程序（APP）。每一个APP为了争夺用户，都会耗费大量人力、物力和资金来构建自己的信息内容，这些信息只在自己的APP内可见，只有注册用户才能使用。

有互联网大数据平台从业人士表示，移动互联网的信息和服务都被割裂在一个个应用程序中，每个APP都成为封闭的“信息孤岛”，可以加强互联网平台数据开放共享，当然，这也给数据使用提出了更高的要求。

对此，全国政协委员、上海市信息安全行业协会会长谈剑锋称：“数据应在合法、合规、标准化的前提下共享共建。”

他认为，对具有唯一性和不可再生性的个人生物特征数据（人脸、指纹、DNA等），必须有效管控，以预防社会风险，确保国家安全。

因此谈剑锋建议，应加强数据治理和数据监管，严控大数据的使用场景。

科技需要从“0”到“1”的创造，而不是滥用场景式的所谓“创新”。对互联网企业的信息采集，要进行严格的管理规定，只可针对企业产品的特性进行相关必要的数据采集，不得过度、无序、随意地采集。要警惕互联网科技巨头的集中“巨头式”数据采集与应用，防止“数据垄断”。

同时谈剑锋还建议，设立国家“数据银行”，由国家成立专门机构统一管控，最大限度地保障关键数据安全和国家安全。“关键数据不可让企业自行采集收集，更不可由互联网龙头企业垄断。”

他认为，市场化公司具有天生的逐利本性，人脸、指纹等不可再生关键数据一旦被企业大量汇聚，很难保证其不被恶意窃取和所谓的创新利用。

人脸识别、人工智能等数字技术作为一种泛在的集成技术，可以赋能很多应用场景，但是，企业不能只看到赋能的一面，而忽视技术滥用带来的侵害。科技时代的美好生活，不仅要强调科技赋能，同时也要重视赋权，即赋予社会公众、普通个体对自我权利的主张。