过去五年,人脸识别技术被加速应用到人们生活的各个方面,由此产生的安全隐忧也在不断增长。今年10月1日起,一部新的个人信息安全规范将正式生效,将在一定程度上规范人脸识别技术的使用。
该规范全称《信息安全技术个人信息安全规范(GB/T 35273-2020)》(以下简称“新版规范”),由国家市场监督管理总局和国家标准化管理委员会联合制定。
与 2017 年发布的旧版规范相比,新版规范最显著的变化在于对于使用生物识别信息的各个环节做出了较为详细的规定。
生物识别信息从定义上来看包括声纹、掌纹、基因、指纹、虹膜和面部识别特征,但是由于人脸识别近年来大热,因此新版规范被普遍理解为增强保护人脸隐私。
《财经》记者获悉,新版规范刚出炉就受到了不少科技企业的高度关注,纷纷启动法务来研究如何遵从,那么它究竟会带来哪些变化?能在多大程度上保护我们的人脸隐私?
变化1:更详细的使用知情权
新规生效后人们最直接的感受恐怕是,手机里那些利用人脸来识别的APP会纷纷重新请求授权。
新版规范对个人生物识别信息的收集、存储、共享、转让等各个环节提出了具体要求。
例如,在信息收集时,新版规范要求单独向个人用户告知收集和使用生物识别信息的目的、方式和范围、存储时间等规则,取得个人用户明示同意。
而且,新版规范规定企业原则上不应共享或转让个人生物识别信息,确需共享和转让的,仍应当单独向用户告知目的、信息类型等内容,并征得个人用户的同意。
以上政策意味着,在业务或APP中应用了人脸识别的企业需要修改隐私展示政策,重新获得用户的同意。
新版规范还要求企业不应公开披露个人生物识别信息。
变化2:“用户可以说不”
此前不少人都曾遇到过不同意收集信息就不能使用App的情形,新版规范不允许企业通过“功能捆绑”强迫用户接受个人信息收集,而是应该遵从以下三点。
第一,应当逐一告知用户扩展业务功能,逐项获得用户明示同意后开启;
第二,用户拒绝开启扩展业务功能收集个人信息,企业不得拒绝提供基本业务功能或者降低服务质量,并且不得在48小时内再次征得用户同意;
第三,用户有权关闭或退出业务功能,相应的途径或方式应与选择使用该项业务功能的途径或方式一样方便。
不变:人脸数据难以“用后即删”
人脸信息被一家企业长久保存总是让人感到莫名不安,新版规范也考虑到了这一点。
根据“新版规范”,个人生物识别信息与个人身份信息应分开存储,原则上不应存储原始个人生物识别信息(指样本和图像),企业可采取的措施包括但不限于:存储个人生物识别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹等实现识别身份、认证等功能后,删除可提取个人生物识别信息的原始图像。
上述规范可简单理解为,如果需要存储个人生物识别信息,那么建议企业仅存储摘要信息,删除原始图像。
一位AI算法资深工程师告诉《财经》记者,从AI技术角度而言,这是一个保护人脸信息的好建议。
“AI算法是从原始人脸图像中提取特征(即摘要信息)用以人证比对,之后存储的也是这些特征信息,而仅凭特征并不能还原人脸,如果企业真的删除了人脸原始图像,确实能有效保护我们的脸。”该AI算法工程师解释说 。
但现实中很多企业很可能并不会删除原始图像。
中星微人工智能芯片有限公司技术副总裁周学武告诉《财经》记者,AI算法最“麻烦”的地方在于无法兼容,每个厂商提取的特征都不一样,彼此之间不能共用,而很多场景下,例如智慧城市与安防项目里都会使用多家公司的人脸识别设备,如果删除了原始图像,每次在系统里新增一家公司的人脸识别设备,就要重新采集原始图像,这显然大为增加了采集成本和复杂度。
从这一点不难理解,为什么新版规范只是表示“原则上”不应存储原始个人生物识别信息。
还需要说明的是,国家标准分为“强制国家标准”与“推荐国家标准”两种,无论新版还是旧版规范都属于“推荐性国家标准”,仅是建议相关企业和个人如何操作,并没有法律约束意义,但是作为一个重要的国家标准,仍然备受关注,因为“推荐性标准”通过一段时间的实施,部分条款未来可能转化成“强制性国家标准”。
汉坤律师事务所段志超向《财经》记者进一步解释说,人脸识别应用还是处于发展阶段,非强制性国家标准方式将赋予了其在内容和尺度上的灵活性和开放性,既能响应数字化时代技术的快速迭代变革,着手解决新问题,又能兼顾隐私保护和企业实践的平衡,确保规则最终可以落地。
