几年前,伴随人脸识别技术与相关创业公司的火热,技术安全与伦理问题还是尚待解决的社会争议性话题。如今,该领域终于明确相关规定。
8月8日早间,国家互联网信息办公室发布消息称,国家互联网信息办公室起草了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(简称《征求意见稿》)。
(资料图片仅供参考)
该意见稿中提到,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。
规定明确人脸识别技术使用条件
《征求意见稿》规定:只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。
2020年,因购房者反映某新房售楼处安装多个摄像头用于识别购房者身份,由人脸识别技术所带来的隐私安全问题引发社会广泛关注。同年11月底,南京多家售楼处接到南京市住房保障与房产局通知,要求拆除现有的人脸识别系统,这在全国尚属首例。
此次《征求意见稿》进一步明确相关规定:使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。
在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识。对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。
宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
个人自愿选择使用人脸识别技术验证个人身份的,应当确保个人充分知情并在个人主动参与的情况下进行,验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。
面向社会公众提供人脸识别技术服务的,相关技术系统应当符合网络安全等级保护第三级以上保护要求,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。
人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
按照国家有关规定列入网络关键设备和网络安全专用产品目录的图像采集设备、个人身份识别设备,应当按照相关国家标准的强制性要求,由具备资格的机构认证合格或者检测符合要求后,方可销售或者提供。
新技术趋势下网络安全风险剧增
当下大数据、云计算、区块链等新一代信息技术蓬勃兴起,个人信息保护问题引发各界关注。
中国信息通信研究院互联网法律研究中心研究员杨婕对第一财经记者表示,法律规制人脸识别技术的目的不是一刀切地禁止使用,而是要在确保安全的前提下倡导负责任地使用。
一是建立健全一体适用的安全与责任底线,以《个人信息保护法(草案)》为契机,进一步明确各主体使用人脸识别技术的安全与责任底线;二是区分场景配置差异化的规制思路和重心,解决人脸识别技术的共同性风险以及在不同场景应用下的差异性问题;三是加快构建人脸识别技术应用监管体系,实现全流程、动态化的监管;四是助推行业自律规范落地,建立内生机制,建立人脸识别技术企业联盟类组织,推动各利益相关方共同制定收集使用人脸数据的行为准则和安全标准。
杨婕表示,个人信息保护问题主要包括企业滥用市场支配地位,“知情同意”原则失效;隐私政策内容不达标,个人信息滥用风险增加;大规模数据泄露事件频发,信息安全不容乐观;新技术新应用对个人信息保护带来全新挑战。其中个人信息作为一种特殊的数据资源价值凸显,由于经济利益的驱动,侵犯公民个人信息的现象日益突出,我国个人信息保护形势严峻。
尤需注意的是,伴随生成式AI与大模型应用的火热,网络安全风险日趋险峻。今年七月初,一名中国人民大学学生马某某在其读硕士研究生期间,利用专业技术盗取全校学生个人信息的事件被网友曝光。
奇安信集团董事长齐向东对记者表示,该事件也给所有政府与企业客户敲响警钟,该人大学生窃取的数据对他来说可能没有经济价值,但在数字经济时代,更多的数据具备更大的经济价值,政府与企业客户,以及高校应以此事件为反面教材,检查内部数据安全体系是否存在漏洞与不足,在先进的网络安全防护体系架构下不断查漏补缺,杜绝类似事故发生,实现网络数据安全零事故。
方正证券发布研报称,在本轮AI产业浪潮下,网络安全产业在攻击侧、防守侧及监管侧的逻辑将发生重大变化。未来将大概率将推出生成式AI的监管细则,并将其纳入网络安全常规保护工作。从具体涉及的细分领域来看,内容安全、数据安全、流量可视等安全监管侧的需求将得到显著提升。
埃及最高网络安全委员会执行局主席艾哈迈德·阿卜杜勒·哈菲兹表示,面对新形势与新挑战,新网络安全理念需要应运而生。未来的网络安全应当是定制网络安全,政企机构需要在准确识别自身所面临的威胁,厘清自身拥有的业务资产,确定明确目标和方向的前提下,管理自身的网络安全风险。