近年来,人脸识别技术不断发展,目前已被广泛应用于门禁、支付、出行等私人和公共服务领域。但人脸信息具有唯一性和不可更改性,一旦泄露或被不法分子利用,就会给当事人的信息安全以及人身和财产安全带来风险。近日,媒体就报道了一起让人颇为震惊的刷脸案:今年6月至10月,广西南宁当地一些业主委托房产中介公司工作人员韦某卖房,在骗得业主人脸照片后,韦某直接将业主房屋过户,涉及案值达上千万元。据报道,韦某是使用“邕e登”App进行不动产转移登记的,此App是南宁市不动产登记中心推出的线上业务办理平台。目前,韦某已被公安机关抓获。
这起事件也引发了人们对人脸识别在公共服务领域应用的担忧。人脸识别是人类进入
智能社会进行身份验证不可或缺的方式,其应用势不可挡。客观来讲,单纯以身份验证为目的的人脸识别并不可怕,可怕的是人脸信息被滥用,或者被挪作他用。要解决这一问题,就需要严格限定人脸信息使用场景和目的,同时对人脸识别行为进行规范。
就公共服务领域的应用而言,人脸识别主要是为了身份核验和公共安全,脱离这两个范畴的人脸信息应用均应当予以禁止。今年10月公布的个人信息保护法(草案)提出,对于公共场所安装图像采集、个人身份识别设备,要“设置显著的提示标识”并限定于“为维护公共安全所必需”。同时,由于人脸具有唯一性、直接识别性和不可更改性,泄露危害比一般个人信息更大,因此对于处理人脸识别系统和人员管理应当作出特别的规定。实际上,2019年4月由公安部网络安全保卫局等三部门制定的《互联网个人信息安全保护指南》已明确规定,“个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息”。也就是说,只能存储经过分析、处理后得到的可用于验证的信息。而结合此前多起重大个人信息泄露事件的教训,在强化技术安全的基础上,更要加强内部人员管理,即只有加大对内部人员渎职、窃取、向外提供或出售个人信息的惩罚力度,方能筑牢个人信息最基本的安全防线。
人脸识别应用对个人而言,最大的威胁就是被他人利用实施冒名、诈骗等违法犯罪行为。例如,拿别人的面部图像或动态影像资料开门或者支付,就属于冒用身份行为。据报道,2018年7月,浙江绍兴的张某就利用非法购买的公民个人身份信息,将相关公民的照片制成3D头像,通过某支付公司人脸识别认证,并利用这些信息注册了账户。在此次南宁的案例中,中介韦某虽然没有冒用他人的脸,但是隐瞒了真实的人脸核验目的,导致房屋在业主不知情的情况下被过户,这本质就是诈骗行为。这些行为已不再属于个人信息保护法范畴的安全问题,而是一种具有社会危害性的违法犯罪行为。对于这些行为,可以纳入到既有盗用、冒用身份的犯罪行为来惩治。依据我国居民身份证法、刑法,冒用他人居民身份证可受罚款、拘留等行政处罚;如果从事犯罪行为,可依法追究刑事责任。冒用他人人脸属于冒用身份的行为,冒用他人人脸进行诈骗或从事不法行为,需要通过立法或制定司法解释加以规制,让其受到应有惩治。
至于在南宁案例中,诱使本人刷脸,导致行为人作出非本人真实意思表示的行为,从技术层面来说,可以通过设置人脸识别的特别程序来预防,如增加提示环节,再次告知其身份核验的后果,以使当事人明明白白刷脸。此次事件发生后,南宁有关部门也对“邕e登”App进行了安全升级,设置了短信二次核验,很好降低了此类事件再度发生的可能性。
当下,随着“放管服”改革的推进,“让信息多跑路,让群众少跑腿”正在成为很多政府部门的共识,这起案件也给了公共服务提供者和公众以警示:在线上利用刷脸方式办理诸如房产过户等重大交易时,要更加重视人脸信息的保护,并采取有力措施防范盗用他人人脸信息进行交易的风险。
人脸识别总体而言是一项带给人们便利和安全的技术,同时也能赋能公共安全管理,是智能社会的新基础设施。我们不必断然拒绝人脸识别技术在公共服务领域的应用,但对其滥用可能给人们隐私和安全带来的危害,也要有相应的解决方案或应对措施。对人脸识别的场景和使用目的要由法律作出限定,对人脸信息存管安全要作出特别要求,对冒用人脸的行为要纳入现行违法犯罪惩治体系,只有如此,才能让人脸识别在公共服务领域的应用得到更加有力的安全保障。