今年,警方破获两起盗用公民个人信息案件,犯罪嫌疑人均是利用“AI换脸技术”非法获取公民照片进行一定预处理,而后再通过“照片活化”软件生成动态视频,骗过了人脸核验机制,得以实施犯罪(10月27日央视新闻微信公众号)。
曾出现在荧幕上令人惊叹的高科技犯罪,如今真实地发生在我们日常生活中。在感慨科技飞速发展的同时,也应关注法治的完善。
报道称,有超九成的受访者表示使用过人脸识别,有六成受访者认为人脸识别技术有滥用趋势,还有三成受访者表示,已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。更有甚者,在某些网络交易平台上,只要花2元钱就能买到上千张人脸照片,而5000多张人脸照片标价还不到10元。
两个问题需要我们明确。
首先,被数字化了的人脸信息应不应被保护?网络安全法规定,个人生物识别信息属于个人信息,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。可见,我们的人脸信息应当被保护。
其次,人脸信息该如何保护?根据网络安全法规定,个人信息的保护义务主要由网络运营者承担。例如,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度;收集、使用个人信息,应当遵循合法、正当、必要的原则;不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
然而相较于如此重要的法律责任,一些网络运营平台似乎做得还远远不够。有专家表示,由于人脸识别应用五花八门,也没有统一的行业标准,大量的人脸数据都被存储在各应用运营方,数据是否脱敏、安全是否到位、哪些用于算法训练、哪些会被合作方分享,外界一概不知,这些高度敏感的人脸数据面临着不小的泄露风险。
要想有效保护好人脸信息,三方主体的保护责任,一个都不能少。
其一,有关机关应当尽快明确人脸识别技术的行业标准,对收集、存储、保护、使用等严格规范。加大对相关App和软件的监管,对违规收集使用人脸信息的运营商严肃查处,加大处罚力度。加快个人信息保护法的立法进度,进一步界定因公共安全需要收集人脸信息的行为和其他商业行为,明确责任。
其二,有关平台要加强自律,尽可能减少不必要的个人信息收集,对已收集的个人信息要妥善保护,建立完备的保护机制,规范有关信息的使用。坚决杜绝违法违规违约使用有关个人信息。在人脸识别行业标准出台前,鼓励有能力的企业牵头制定有关诚信规范。
其三,用户个人要注意对个人信息的保护,注意使用经正规渠道认证的App,发现个人信息被违法售卖或使用时应当及时报案,并注意保留有关证据。对涉嫌违规收集个人信息的软件也要及时向有关部门举报。