刷脸一时爽“丢”脸不得了

信息安全 人脸识别防滥用

■人脸识别“不安全”，不是技术本身不安全，而是安全防护还不完善

■对居民进行数据采集前应当进行提示，确保居民的知情权。人脸识别数据使用单位应当有严格的内控制度，建立内部审批流程，并且建立台账

■要尝试建立符合我国国情的生物信息采集应用平台准入制度，严格审核应用平台的信息安全保护能力

“手机、电脑的密码可以随意更换，天天换都行，但你的‘脸’一旦‘丢’了，就再也换不了了。”昨天，全国政协委员、上海众人网络安全技术有限公司董事长谈剑锋在接受记者采访时，呼吁切勿滥用人脸识别技术，也不应将其作为唯一的认证手段。另一位在沪全国政协委员、致公党上海市委专职副主委马进则建议尽快对人脸识别技术应用制定相关的管理办法，使该领域监管做到有法可依、有章可循。

强化立法

斩断数据黑色产业链

在全国政协，谈剑锋是最早提出有关人脸识别安全问题提案的委员，他连续几年关注这个话题，“在个人隐私数据中，人脸识别数据等生物特征数据，是最为敏感的数据，在特定领域的应用是存在严重风险的。因为生物特性数据具有唯一性和不可再生性，不可能通过传统更改密码的简单方式来实现，这是生物特征数据与传统的认证数据最为关键的区别。”谈剑锋认为，人脸识别不安全，不是技术本身不安全，而是安全防护还不完善。“我们现在使用了很多新技术，享受了便捷，同时却放弃了安全。”

在他看来，随着各类生物特征识别系统的大规模应用，将数据集中保管在数据库中，再被采集到不安全的网络上，一旦数据库遭受攻击，将造成比传统密码泄露更加严重的影响，极有可能引发社会风险。谈剑锋在这次带来的一件提案《关于提升数据安全综合能力，助推数字经济创新腾飞》中，希望强化数据安全专业立法和专项执法。全国人大已经把《个人信息保护法》《数据安全法》列入国家5年立法规划第一序列，对保护我国公民用户隐私数据和国家重要数据产生极为关键的影响。“建议两部法律既要瞄准国际前沿也要紧密结合国情需要，重点强化与其他相关法律和标准的协同，明确国家数据主权、企业数据权益、公民数据权利等基础性法律问题。同时，针对数据黑色产业链、平台过度垄断用户数据等突出问题，在《网络安全法》等法律框架下，开展专项持续性执法，全面扭转数据犯罪和数据侵权的势头。”

加强监督

规范数据采集应用

马进委员的提案认为，目前我国人脸识别技术的应用还存在一些问题，认证能力参差不齐，个别的识别精准度还不够高，且由于人脸模型比指纹更容易获取，伪造人脸进行识别会比伪造指纹更为方便；人脸识别的应用流程不够规范。“前阶段有出租车公司管理不严，在人脸识别结束后，由他人冒名顶替开车运营，造成严重后果。”

另外，现在尚无法律法规对人脸识别的法律效力进行规定，采用人脸识别进行身份认证的交易，如后期发生纠纷，法院难以认定人脸识别认证结果的有效性。

他建议尽快对人脸识别技术应用制定相关的管理办法，规范人脸识别数据采集、存储。为建立人脸识别数据库，对居民进行数据采集前应当进行提示，确保居民的知情权。用于公共事业的人脸识别数据库，可由政府部门或由国家监管部门向符合条件的公司发放牌照委托制作；加强对人脸识别数据使用的监督，人脸识别数据使用单位应当有严格的内控制度，建立内部审批流程，并且建立台账。每条数据使用，应当在系统中留下相应痕迹，以备相关部门查询；确认人脸识别数据的法律效力，对于使用符合资质的人脸识别系统作为人脸识别身份认证的，予以法律性确认，即，用户在人脸识别系统中“刷脸”，可以视同为本人签名，以减少后期合同纠纷的产生。“由于人脸识别技术的应用较为敏感和重要，建议采用修改《刑法》等相关法律或出台相关司法解释等方式，对利用人脸识别技术进行违法犯罪的行为以及不法分子进行严惩。”本报记者江跃中 方翔