一年一度的央视“3·15”晚会落下帷幕,个人信息的安全问题再次受到关注。摄像头自动抓取人脸识别数据、数家招聘网站个人简历信息被泄露等事件层出不穷,多家知名企业也因此被“点名”。大数据时代,人工智能等新兴技术犹如一把双刃剑,在带来科技进步的同时,同样也亟待监管和治理。
个人隐私泄露问题频发
在“3·15”晚会上,首先被揭露的是人脸识别收集和使用问题。其中,上海科勒卫浴、宝马等商家被发现在门店中装有特别为人脸识别使用的摄像头,用于消费者管理。而顾客进店后在完全不知情的情况下就被采集了人脸数据,这些信息一旦被泄露,将严重威胁个人的财产、隐私安全。
据央视报道,摄像头的提供商为苏州万店掌网络科技有限公司,该摄像头可以在消费者毫不知情的情况下直接获取其人脸数据。除了万店掌之外,悠络客、雅量科技、瑞为技术等公司也被同时曝光。这些人脸识别摄像头除了可以实时偷拍之外,还可以通过这些公司的总账号直接调取任意一个门店的人脸数据信息,并进行数据处理、实时分析。
此次“3·15”晚会曝光的使用人脸识别摄像头的品牌中,科勒(中国)投资有限公司、新茶饮品牌“喜茶”均已作出回应,万店掌则在其微信公众号及官方网站上发表了道歉声明。科勒卫浴方面表示,已安排相关门店连夜拆除该摄像设备,个别无法连夜拆除的摄像设备做断电下线处理,同时督促供应商积极配合监管部门妥善处理。
3月16日,中国商报记者在万店掌官网发现,其产品目录下“人脸互动”等内容已被下架,但在苹果应用商店中,万店掌App的介绍中依然明确写有“通过人脸识别摄像头,进行门店、商场等零售场景顾客面部识别……提示其历史购买数据、购物偏好”等内容。
而被泄露的除了人脸信息,还有简历信息。“3·15”晚会上曝光了智联招聘、前程无忧、猎聘等一些网络求职招聘平台对求职者个人简历管理上存在严重漏洞的问题。大量求职者个人简历在其他网络渠道上被批量出售,手机号、院校、工作经历等信息也因此被泄露。
在智联招聘平台上,企业账户交钱办理会员,便可不受数量限制下载包含姓名、电话及邮箱地址等关键信息的完整简历。除此之外,在前程无忧和猎聘网上,同样存在企业账户只需支付费用,便可以下载到求职者的完整简历的现象,三个平台对企业账户的管理均存在漏洞。对此,三家平台连夜作出回应,表示将联合抵制一切侵犯求职者权益的不法行为。
人工智能是把双刃剑
近年来,以人脸识别为代表的人工智能技术迅速崛起,其产品已成规模化态势落地各行各业,人脸识别产业链发展迅猛。但与此同时,包含人脸信息在内的个人信息泄露问题屡见不鲜,甚至已形成黑色产业链。
早在去年央视就曾曝光人工智能的黑色产业链:2元便可以在网上买到上千条人脸数据,3D打印可以制作仿真面具,经过AI换脸和照片活化可以生成动态视频,骗过人脸核验系统……不法分子可以通过这些操作进行盗取账号、窃取财产以及精准诈骗、敲诈勒索等违法犯罪活动。
去年12月29日,中国“人脸识别第一案”二审开庭,人脸识别入园的必要性成庭审争议焦点。该案起因是,2019年原告郭兵因不满杭州野生动物世界提出的“年卡用户必须刷脸入园”的要求,对园方提起诉讼。
通信行业观察家付亮对记者表示,以上案例只是人工智能带来个人信息安全问题的缩影。“像现在很多小区上也安装有人脸识别系统,在无形中你的人员信息就存放在了物业的服务器上,因为是联网的,管理人员远程就可以取走。还有常见的商场人脸识别测体温的机器,其实都是在收集个人信息。”付亮说,“这也显示出,随着人工智能技术的发展,相应的监管措施却是严重缺位的。”
北京计算机学会数字经济专业委员会秘书长王娟对记者表示,人脸识别信息风险会导致个人信息安全处于极不安全的状态。目前,采用人脸识别的应用越来越多,人脸数据作为数字ID被企业等政府以外的商业主体采集后,正面的影响是一些身份验证服务的便捷化,但负面的影响则难以预料。人脸特征信息的泄露,会给社会对主体确认识别带来混乱,可能引致由身份伪造和盗用出现的一系列风险。同时,也将个人隐私完全置于高度暴露之下,给社交安全和社会秩序带来极大危害。
大数据时代,数据已成为基础的生产要素之一,人脸数据也只是大数据里的冰山一角。为何个人信息安全保护难上加难?江苏省大数据交易和流通工程实验室副主任李可顺对记者表示,大数据时代下,个人信息安全保护的难点在于采集渠道多、乱、隐蔽,以前数据采集的主要渠道是移动设备和以PC(个人计算机)为载体的软件系统,现在基于技术创新,通过如“3·15”晚会中所提及的采集人脸信息的摄像头等采集用户数据,随买随用。
“而在商业场景下,获取人脸数据是基于特定关联性数据,可以获得用户详细画像标签,例如轨迹、消费能力、消费习惯等,这些标签数据都存在泄露风险,甚至可以被黑产用来突破用户安全账户体系,进行骗贷、骗保、盗刷等犯罪行为。”李可顺表示。
谁来保护用户的个人信息安全
值得注意的是,为了保护个人信息不受侵犯,有关部门也对此加强了监管,多部法律法规对个人信息保护均有涉及。
例如,今年1月1日起实施的《中华人民共和国民法典》将人格权独立成编,以“隐私权和个人信息保护”专章方式,对隐私权和个人信息的定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。
国家市场监管总局发布的《信息安全技术个人信息安全规范》明确规定,在收集个人生物识别信息前,需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得用户的明示同意;个人生物识别信息要与个人身份信息分开存储,原则上不应存储原始个人生物识别信息。
除此之外,日前提请全国人大常委会审议的《中华人民共和国个人信息保护法(草案)》从立法的角度对数字时代的突出问题进行了规制,有效回应了实践中个人信息保护面临的重点和难点问题,平衡了个人信息保护、个人信息的利用与流转、国家安全和社会公众利益等多方面利益。
不过,多位业内人士也对记者表示,当前对于个人信息安全问题的监管仍然任重道远。北京市伟博律师事务所主任李伟民表示,当前个人信息保护的难点主要有三点:一是个人信息的性质和权属存在争议,目前没有明确一致的意见,影响个人信息的保护;二是个人信息保护中,涉及众多管理部门、众多参与主体;三是在立法层面,侵害个人信息的法律责任尚不明确。
王娟表示,网络化数字化的社会,平台经济带来的交易模式转变,实质上已经对人的身份进行了完全的数字化升级改造,由于手机摄像功能的普及,这些方式较输入信息,对大部分人群更为简单,而忽略了其中的风险,这些服务的提供者已经捷足先登地拥有了很多数据资源优势。这都给后期监管带来了巨大的挑战和问题。
付亮表示,在收集用户个人信息时,不仅在事前应设立公示明确告知,与此同时,还要考虑有一部分个人信息在收集完后应马上处理和删除,不应该再保留。另外,对存储和使用方面也应该有严格的规范,例如使用用户个人信息时应保证在相对安全的环境下。(祖爽)