刷脸技术如何监管

“刷脸”技术的应用，将使人们的生活更加便捷高效。与此同时，也存在监管方面的空白，现有法律法规对监管机构的职责并未进行明确划分，一旦有问题，谁来负相应的法律责任？

“刷脸”的炫酷背后 还有四大不安

9月13日，苹果公司发布的新机推出了“刷脸解锁”功能，使“刷脸”开始在全世界范围内成为关注点。但刷脸带来的并不仅仅是炫酷，还有不安。

“刷脸”会遭遇“非活体攻击”吗？

体验过之前各种“刷脸”的市民，印象很深的可能是系统提出的要求：眨眨眼、张张嘴、摇摇头……在百度一个贴吧，有人把静态的照片用软件改为动态的小视频，视频中除了背景不动，人面部所做的动作正是标准的刷脸验证动作。

这样的情况，研究人员称之为“非活体攻击”。

据专注于计算机视觉领域技术研发的国内某人脸识别项目团队成员介绍，虽然都说是刷脸，但有的“刷脸”技术的确不难破解，甚至用照片都可以实现非活体攻击。不过对于拥有扎实技术基础的“刷脸”，想要破解并不容易。

也就是说，并非所有的“刷脸”都无懈可击。当各种技术层次的刷脸技术争相推出之时，很可能会有一些不靠谱的“刷脸”给用户带来意料之外的问题。

刷了脸脸还仅仅属于我吗？

面相被采集用来作为身份验证，所采集的数据究竟存放在哪里？面相、指纹、虹膜、声纹、静脉甚至基因，这些生物信息原本都是唯一的，也是不可更改的，被采集方拿去之后，还仅仅属于用户吗？会不会被拿去做不利于用户的事情？当个人面相等生物信息被搜集、储存，刷脸在技术上也并不能保证万无一失的情况下，若真的遭受了“非活体攻击”，用户自己的脸又如何来为自己做身份验证？一旦有问题，谁来负相应的法律责任？

被刷脸我们知道吗？

无论是刷脸取款、刷脸吃饭还是刷脸进站、刷脸收快递，当我们主动刷脸进行验证时，一般目的性都比较明确。但还有一些时候，是完全被动的。据报道，5月以来济南交警对路口的行人、非机动车闯红灯等不文明现象不但明确了处罚措施，而且曝光违法者的高清无码照片以及姓名、住址等身份信息。6月9日，违法曝光再添新平台，济南交警联合客运公司将在客运大巴上播放闯红灯曝光视频。报道称：“这就意味着在济南闯红灯被抓拍曝光，不但会丢脸丢到单位丢到家，甚至还会随着客车的脚步丢到外市、外省。”

这固然是为改变陋习、保证执法效果而采取的严厉措施，但公民个人的隐私权被置于何处？虽然从另一方面来说，这样运用“刷脸”可能给相关政府部门的工作效率带来极大提高，但是否应该因此而牺牲公民的个人隐私？

会不会给国家带来不利和威胁？

自从苹果公司开启云账号与设备绑定使用的模式后，用户的重要个人信息几乎都被备份在厂商提供的云平台。其他厂商虽然并未采用云账号与设备绑定模式，但也都开始在设备上推出云平台，提供云端备份。各种各样的“厂商云”，虽然给用户提供了良好的使用体验并带来了方便，但所收集的用户个人信息也很多。当新机“刷脸”启用后，必然会有大量用户的面相数据，连同以前已收集的指纹等生物信息一起被收集，谁又知道这些数据到底存储在哪里，复杂的数据流究竟流向何处？是否会因此给我国带来不利甚至是威胁？

新技术到来，监管跟上了吗？

制定《个人信息保护法》是迫切需要解决的问题

受访对象：西安交通大学信息安全法律研究中心主任，陕西法学会信息安全法学研究会会长，中国信息法学研究会理事，中欧信息化推进项目信息安全法律专家，国家密码管理局密码法立法顾问、中国网络空间安全协会副理事长马民虎

足够的生物信息可分析出种族特征

华商报：面容、指纹等个人生物信息被搜集存储，慢慢成常见现象。您如何看待这种情况？

马民虎：一方面，面容、指纹、虹膜、声纹等个人生物信息具有唯一性、随身携带性、不易伪造性等特点，能够直接识别个人。通过此类生物信息进行加密或进行身份验证将更加安全、保密，在每个人都拥有众多账户和密码的当下，个人生物信息识别技术将使人们的生活更加便捷、高效。另一方面，根据我国法律规定，面容、指纹等个人生物信息属于个人敏感信息，一旦遭到泄露，将对个人的生命和财产造成直接威胁。较之于一般个人信息，对此类信息的搜集和存储，要求更为严格。在享受便利的同时，我们也应当高度警惕此类信息泄露可能造成的潜在威胁。

我国法律明确规定，禁止非法出售个人信息。个人生物信息、健康数据等重要信息的买卖更应当被禁止。同时，生物信息、健康数据等不仅是个人的重要数据，也是国家的重要数据。因为它显示了个体的生物特征，而对足够数量的上述信息进行分析就有可能得出某一群体、民族的种族特征。如果这些信息被国外厂商或政府获取，就有可能成为未来攻击或威胁我国国家安全的有力武器。因此，对生物信息、健康数据等敏感信息必须加以重点保护。

网络运营者收集个人信息必须公开收集、使用规则

华商报：个人生物信息的所有权归谁所有？搜集利用、保存保管有无法律规定？

马民虎：个人生物信息的所有权必然属于个人。《网络安全法》规定，网络运营者在收集用户个人信息时，必须公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不得违反法律、行政法规的规定和双方的约定，收集、使用个人信息。

2000年发布的《关于维护互联网安全的决定》中也明确规定，禁止非法获取、出售或者非法向他人提供公民个人电子信息；2013年我国出台首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》，其中提出处理个人信息时应当遵循的八项基本原则，即“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确”。除此之外，还将个人信息的处理阶段分为收集、加工、转移、删除四个环节。《网络安全法》在第四章设专章规定网络信息安全，对个人信息保护进行明确规定。虽然我国目前尚未出台《个人信息保护法》，但现有法律法规的相关规定，基本可以起到保护个人权利、防范个人信息滥用的效果。不过，《个人信息保护法》的制定仍是个人信息保护领域迫切需要解决的问题。

监管机构职责未明确划分

个人信息遭受前所未有风险

华商报：现行监管措施都有哪些？

马民虎：从我国现有关于个人信息保护的法律法规来看，监管机构和监管职责不明是主要问题。尽管我国《网络安全法》第四十五条规定，依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。但其中并未明确监督管理部门，也没有对监管机构的职责进行明确划分。在个人信息遭受前所未有风险的环境下，上述问题必然引起监管缺位或监管重复等问题的发生。相比之下，欧盟《通用数据保护条例》中，规定了数据保护专员以及个人数据保护违反联络中心等相对具体而明确的保护主体和保护机构。因此，我国应当在这些方面进行改进和完善。我们必须承认生物信息技术给我们带来的便利，也必须正视由此而引发的个人信息安全风险。但正视风险并不代表着“因噎废食”，而是要化解风险。

华商报：科学技术是一把双刃剑，当我们过度依赖技术，是否意味着不得不放弃个人隐私？人类是否有必要系统思考关于自身的保护问题？

马民虎：任何技术的出现与发展，都应当以谋求人类的发展为出发点和落脚点，信息技术也是如此。对信息技术的依赖程度与放弃个人隐私之间并没有非此即彼的关系。例如，欧盟的信息化水平高于我国，但对于个人信息保护的力度非但没有降低，反而远远高于我国，甚至是世界上个人信息保护力度最高的。对信息技术的依赖并不意味着对个人隐私的放弃，相反，而是应当促进对个人隐私的保护。否则，信息技术的发展就不是良性的发展。

随着信息技术的发展，越来越多的人工智能开始走进人们生活，而为提供更加有针对性、更加精准的服务，收集个人信息也成为必要环节。为防止个人信息的滥用和恶意使用，对所收集的个人信息进行必要处理就很有必要。例如，在大数据交易过程中，如果涉及个人信息的，必须要进行脱敏处理。2010年个人信息保护标准中明确规定了安全保障原则，即要求采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段，保护个人信息安全，防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。

安全及保护问题是人类历史发展过程中最重要也是最根本的永恒话题，信息安全问题是人类在经历信息技术革命后所面临的新的需求和远景，完全有必要对自身保护问题进行系统地思考。

电子身份标识eID拟载入手机卡

延伸

我国的居民身份证上，详细登记了居民的重要个人信息，很方便当面的身份查验。但这样的身份证，很容易在各种各样的用证环节造成个人信息的泄露。比如市民到通讯营业厅、银行等地方，每办一次业务就可能被留存一份复印件。但这些单位的身份证复印件如何保管，市民并不清楚。

不过，今后这种情况有可能发生改变。据报道，2017年国家网络安全宣传周期间，公安部第三研究所在上海举行的网络安全博览会上设立展台，对eID的研发和发展进行了展示。

公安部第三研究所工作人员介绍，eID是由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识，能够在不泄露身份信息的前提下在线远程识别身份。目前，中国工商银行已在全国试点发行八千多万张加载eID的金融IC卡（印有eID标识）。而在未来，eID将通过更多种类的银行卡、移动电话SIM卡进行推广，当用户使用搭载了eID的银行卡或智能手机时，不需要在网上提交自己的姓名、住址、电话、身份证号码等个人信息，就能方便地进行网上交易。“简单来说，eID就是公民在网络上的一个身份标识。”工作人员说，eID是以密码技术为基础，以智能安全芯片为载体，能够在不泄露身份信息的前提下在线远程识别身份。目前，我国的网络远程身份验证普遍使用“关联比对”的方法，即将用户输入的“姓名＋身份证号”等信息传输后台，通过比对个人信息的正确来认定身份。但该方法存在身份被冒用、盗用的风险，容易造成个人信息的泄露。而eID在权威性、安全性、私密性等方面有突破，满足了公民在个人隐私、网络交易和虚拟财产等多方面的保障要求。

“eID中含有一对由智能安全芯片内部产生的非对称密钥匙，也就是说这个信息在传递过程中是不可逆的，无法被非法读取、复制、篡改或使用。”工作人员说，欧盟多个国家已颁发了eID来代替传统的身份证，使eID既有线下身份识别的功能，又具备了网络远程身份识别功能，多个国家已广泛普及，应用于电子政务、电子商务、社交网络等各个领域。华商报记者 马虎振 摄影 强军

新闻推荐

历城举行迎“十九大”暨庆祝建区30周年文艺演出历城上半年财政预算收入全省第十

9月23日，在历城唐冶文体中心，历城区举行建区30周年文艺演出。图为舞蹈表演《历城建设者》。记者刘玉乐摄今年是历城“撤县建区”30周年，9月23日，在历城唐冶文体中心，历城区举行迎“十九大”暨...

济南新闻，弘扬社会正气。除了新闻，我们还传播幸福和美好！因为热爱所以付出，光阴流水，不变的是济南这个家。