“刷脸”时代 你的个人生物信息还好吗?
近日,一种“面相测试”在网上引发了不少的关注,网友称在扫码进入应用界面后,可以上传个人照片并进行面相测试,有不少人还在微博和朋友圈等晒出了自己的测试结果。但同时,也有不少网友转发称,“不要进行扫码面相测试,用户面部识别信息可能会被盗用”。
伴随着生物医学研究的进步,人体的指纹、虹膜、面容、DNA等个人生物信息的获取、采集、存储和应用越发便利和普及。不少平台通过收集个人生物信息作为用户登录密钥,如人脸识别、指纹识别等,甚至连支付也进入了“刷脸”时代。
然而,这些先进科技在给人们带来便利的同时,也带来了新的烦恼。如果生物信息在收集、使用和保护中不当或存在漏洞,将会给个人信息安全、生命财产安全、社会治理甚至国家安全问题带来巨大的挑战。
两会期间,全国人大代表、北京科学学研究中心副主任伊彤提交《关于开展公民个人生物信息保护立法的建议》。建议提出,“公民个人生物信息具有唯一性和不可变更的特质,一旦泄露就是终身泄露,其敏感程度和利用价值远高于一般信息,存在特殊风险。”
对此,有学者认为,个人生物信息安全上升到法律层面的认知应体现为,对于个人的生物信息,法律应该确认,并且给予保障;对于侵犯公民生物信息的行为,法律应该界定,并且给予惩戒;对于因生物信息泄露而造成的歧视和健康受损后果,法律要予以禁止并进行严惩,而且要给予赔偿。
●事件
“面相测试”需获得用户信息?
有媒体调查后发现,“面相测试”提示要获得用户的公开信息,包括昵称、头像、地区及性别,在选择“允许”后才可进行下一步。
在上传一张照片后,系统再次提示要确认照片是本人,并称“每人仅有一份免费报告,首次检测到的面部数据会与您的账号绑定”。点击“是本人照片”后,系统有几十秒的分析时间,随后生成面相概述、五官评分和五官的介绍等。但除了眼睛和嘴巴等五官介绍外,应用提示要付2元才可以解锁鼻相解读。此外,应用中还提供所谓的“面相事业运程报告”和“面相情感运程报告”,但都需要付费19.8元。
据应用中介绍,除了面相测试以外,系统中还提供299元一次的“资深大师在线私人看相”服务,并在招募推广渠道。
不同链接指向同一个平台
据调查,有不少公众号内都提供这种“面相测试”的链接,但很多链接点开后都导向同一个测试平台。根据介绍,这款“面相测试”是由杭州算术科技有限公司开发。
该公司推广经理薛先生称,用户如果不放心数据安全,在进行测试后可以自行删除报告,并称公司在隐私保护方面做到的是欧盟通用数据保护条例标准,且有专业的运维工程师维护。对于近日不少网友建议不要进行面相测试,会有泄露信息的风险的提示,薛先生回应称“是有人在黑我们”。
除了测试本身以外,薛先生称公司确实在针对“面相测试”寻找渠道推广代理。根据推广工作人员介绍,招募代理的推广渠道主要包括朋友圈、微信私聊、微博和贴吧等网络平台。
推广人员分享的代理收益似乎也很诱人,有代理依靠这些“高成交”的文案获得了2.8万余元的收益。薛先生称,目前公司已招募到很多代理推广,因为这个测试“变现能力好”,代理会有属于自己的后台小程序,小程序里可以看到付费用户。对于代理而言,薛先生称“用户测试付费就可以变现”。那么公司如何盈利?薛先生只称是“互助互利”。
●声音
娱乐APP安全性无保障
“我们的面部信息,或者说表情相关的一些信息,可以跟密码是一样的。如果你认为你的面部信息跟密码一样重要的话,那么你肯定不会轻易地把你的密码上传给任何一个你不信任的对象。”电子科技大学视频加联创中心副教授曾辽原在接受媒体采访时说道,“具体到测面相这个事上,面相的测试本身并不是一个刚需中的刚需,换句话说它不是像银行这样我们必须要做的转账的一些业务。它的安全性,在背后的这些运营的团队或者组织,明显没有其他一些严密的正常的或者说公开的、有国家背书的这些组织做的那么好。所以在上传这些信息去做一些面相测试,它其实是更偏向娱乐的一种APP的话,大家要极其谨慎。”
生物信息是最后一道防线
“用户对这一类需要上传照片的应用要高度警惕,原则上能不参加就不参加。”DCCI互联网数据中心创始人胡延平介绍,涉及到用户上传照片的行为已经不只是隐私问题,而是用户的网络安全问题。”“生物信息是个人信息安全的最后一道防线,最后一道防线不能轻易泄露,不能轻易放弃。”胡延平进一步解释了用户要注意个人信息的原因:
其一,对于目前很多互联网公司和开发者来说,他们的安全防护水平以及数据保护水准都还比较低,存在着信息泄露的风险。
其二,人的生物信息,比如指纹、视网虹膜和人脸识别,这三个方面的关键信息一定不能轻易提交。如果仅仅是用户名和密码,可以随时更改,但是指纹信息和面部特征等只有一次,不能随意更改。
360信息安全部移动安全团队负责人周烨也表示,在整个测试过程中,多个环节会存在信息泄露风险;相关程序开发公司所在服务器的安全性如果不高,也容易被黑客攻击。
另外,相关公司或者团伙如果是灰黑色产业,本身就是为收集数据所开发的相关程序。
●观点
制定个人生物信息安全规范
“生物信息安全是一个庞大的领域,个人生物信息保护是这个领域亟待解决的问题。”学者张田勘提出,目前,个人生物信息的法律保护面临着三个问题:一是个人生物信息权作为具有人格权属性的私权,尚未明确纳入私法保护范围;二是针对个人生物信息在刑事侦查、治安管理、人口治理、医疗卫生等领域的非商业应用,以及政府和相关机构的责权利,特别是个人生物信息权保护边界等急需明确;三是针对个人生物信息商业应用和相关产业侵权风险及不正当竞争,目前缺乏相应的特殊规制,法律救济、行政处罚也无法律依据。
对此,可以立法进一步规范相关内容,诸如虹膜和面部识别的技术可以在什么范围内使用,以及如何使用,包括授权和使用者的等级,都需要在立法中详细规定。这些方面已经零散地体现《民法总则》《网络安全法》等司法解释和规定中,但是并未形成完整体系。2018年5月1日《信息安全技术个人信息安全规范》(GB/T 35273-2017)实施,可以比照这个规范来制定个人生物信息安全规范,或者补充和修改这一法律,把个人生物信息安全作为一个独立的章节加入到《信息安全技术个人信息安全规范》中。
升级技术完善相关法律
“立法只是一个大的保障,立法后如何执法,可能存在哪些法规漏洞,都关系到个人生物信息安全的保障”。张田勘认为,现在的技术和法律还很难完全保护个人的生物信息泄露,因此,需要在个人生物信息的保护上不断进行技术的升级改造、法律的补充完善。
技术层面而言,在进行个体识别和其他个人信息时,不只是使用个人生物信息,也要结合使用其他方式。由于人脸识别为代表的生物个体识别技术现阶段还不太成熟,极易被盗用,现在还不宜上网和在网上广泛使用,可以在不联网的区域进行局域或区域使用,如门禁、保险箱和银行保险库等,并且应当配以身份证等的识别,这样既可以防止因错误识别造成的安全隐患,也可以防止人脸识别等生物信息在使用和保管的过程中被盗和泄露。
法律层面而言,刑事鉴识中对个人生物信息的采集和使用等问题不仅存在于中国,在国际上也是两难境地。一是警方有多大权限采集人的DNA生物信息,二是DNA信息被采集后如何保存和避免泄露,这些都是各国立法时所应考虑的内容。
伊彤的提案就表达了担心,把每个人的基因隐私交出去,未必安全,因为这些信息随时可以泄露。因此,对于生物信息安全,当然要立法,基本原则应参照1990年人类基因组计划启动之时提出的基因隐私保护原则,核心是,对人类基因的隐私要采取保护,基因研究的结果要遵循不伤害、知情同意、利益共享和基因平等等多项原则。 本报综合
新闻推荐
康得新拟担保逾百亿,涉及5家子公司 新增126.7亿元担保额度;一董事投出反对票,担心“借款有再被控股股东侵占风险”
3月17日,上市公司ST康得新(002450)披露公告称,公司于3月15日召开董事会,以“赞成5票,反对1票,弃权1票”审议通过关于为控股...