你知道你被跟踪到什么地步了吗?为什么刚刚搜索了一个关键词之后,再打开另一个新的 APP 时,发现这些软件竟然能很好地了解你的喜好?这是推荐算法的滥用。
不同意使用条款?对不起,不能安装;不同意访问通讯录,对不起,不能更新;不同意获取定位,对不起,不能打开...一定要打开这些不想打开的权限吗?这是手机权限的超范围使用。
无论是推荐算法还是手机权限,对大多数人而言此类信息滥用都是较为隐形的,未到不良后果产生之时,大家很难感知其存在。但,有一类信息的使用,我们都是“身临其境”——人脸信息。
人脸信息作为身份识别中生物识别技术所需的信息,已经广泛应用于各行各业及各种场景(售楼处采集人脸分佣金、公共厕所采集人脸获取纸巾等);
但其合理性、合法性及安全性如何保障,仍是相关人脸信息收集者尚未回应和解决的重要事项。
今年3·15报道中我们虽然没有看到有关人脸信息滥用的报道,那往年连续被3·15报道的人脸信息滥用现象,2022年了,人脸信息滥用现象的情况有所改善吗?
答案是否定的。跟随小编来一起看看现如今有哪些猖狂的人脸滥用场景。
在广州某地一产业园区内,有一号称智能就餐的餐厅,设置顾客关注公众号进行注册账户充值用餐时,要求客户上传实时拍照的人脸信息后才可以使用该公众号进行扫码用餐。在该餐厅的公众号中,其明目张胆发布了以正常用餐为由要求客户上传人脸信息的通告。
“发个照片我看看”对于大多数人来说都要犹豫很久,但现如今外出就餐就要我们拍照上传人脸信息,对着摄像头直接录入,纯保真无美颜无p图,细思极恐。
吃个饭收集人脸真的必要吗?这些餐厅收集我们的人脸信息后用到了哪里?
我们无从得知,这些收集人脸信息的相关方秉持着各式各样的理由,却没有几个可以说服我们。
查询该公司的营业执照信息,发现在餐饮服务之外,有不少营销策划类的经营业务,
顾客的人脸信息是否被用在了这些营销服务中,人脸信息是否被在暗网销售,都是令人疑惑的地方。
科勒卫浴被曝收集顾客人脸信息,某些门店安装的摄像头会在顾客毫不知情的情况下抓取人脸数据,能标注顾客第几次到店、男女、年龄等信息。
该企业已在全国上千家门店安装了具有人脸识别功能的摄像头,消费者只要进了其中一家店,在不知情的情况下,就会被摄像头抓取并自动生成编号,以后顾客再去哪家店,去了几次,科勒卫浴都会知道。
上海销售:“比如这个人过来了,B店会提示这个人也逛过A店,B店如何去接待、如何去报价,就有心理准备了。”
2021年7月,该公司因违反消费者权益保护法被罚款50万,主要违法事实是其在全国222家门店安装了565台万店掌的摄像设备,擅自抓取顾客人脸信息。
GB35273-2020《个人信息安全规范》明确规定,人脸信息属于生物识别信息,收集个人信息时应获得个人信息主体的授权同意。
2021年1月1日正式实施的《民法典》第1035条明确规定,处理个人信息,应征得该自然人或者其监护人同意。
尽管法律明确规定,然而在我们周围,获取涉及我们隐私、财产安全的人脸识别摄像头数量惊人,这些最核心的生物识别信息,已被第三方公司所掌握。
原告用户集体代理人指控称,Facebook公司违反了伊利诺伊州生物特征隐私法,在未经许可的情况下,从该州数百万用户的照片中获取面部数据用于标签建议,Facebook也没有告诉他们这些数据将保留多长时间;
根据伊利诺伊州生物特征隐私法,每张未经允许被Facebook自动识别的照片,都有可能获得1000~5000美元的赔偿;
从Facebook、Google和Snapchat等科技巨头都遭遇涉及生物识别技术的指控,引发行业和个人重大关注。
在2021年11月2日,该公司宣布将“停止使用人脸识别软件,该软件能帮助其自动识别人们在社交网络上发布的照片与视频
这一举措致超过10亿人的个人面部识别模板被删除。
目前,脸书正因为社交媒体平台对于现实世界的潜在危害而遭到广泛审查;
其人工智能副总裁佩森蒂也提到了对于人脸识别技术适用性的担忧;
“我们需要权衡面部识别的积极用例与日益增长的社会问题,特别是监管机构尚未提供明确的规则。”
我国于2021年11月1日起施行的《中华人民共和国个人信息保护法》规定:
公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家规定,并设置显著的提示标识;
所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
人脸信息必然属于我们每一个个体的个人信息,其到底可不可以用,怎么用,对于人脸信息我们应该拥有哪些权利?
纵观我国及相关国家地区的立法,人脸信息使用的相关规范和限制要求并不少见。
基于我国目前与人脸识别技术相关的立法及标准,企业在使用人脸识别技术处理个人信息时,应当重点考虑以下几个方面:
关注
01
必要性评估
使用人脸识别技术,应当将必要性,目的的比例性,以及对数据主体权利的影响一起进行评估。
必要性要求行政主体在应用人脸识别技术时应当坚持最小够用标准,应是“为履行法定职责或者法定义务”或“为应对突发公共卫生事件”“所必需”(个人信息保护法(草案)第13条第2、4项)。
对于企业而言,进行必要性评估判定时应按照比例原则,结合对安全等利益的影响综合考量,确保人脸识别范围和方式与识别目的相称。
关注
02
合法性评估
在收集用户信息前,应获得用户的明确同意。
线下场景中收集人脸信息前,设置人脸识别提醒标识、工作人员向用户告知将人脸识别,询问是否同意,同时,还应向用户提供除人脸识别外其他身份认证途径;
线上场景中收集人脸信息前,通过隐私政策、弹窗提示等方式提示用户,并由用户手动确认同意。
关注
03
安全性评估
企业收集用户信息后,应充分考虑使用人脸识别技术可能带来的影响及对个人信息主体可能带来的风险:
具体体现在加密存储人脸个人信息,对人脸数据保密性保护;限制人脸数据访问人员数量,防止无关人员访问用户人脸数据;
在传输使用人脸信息的过程中,应采用满足数据传输安全策略相应的安全控制措施,如安全通道、可信通道、数据传输加密,等。
关注
04
个人信息主体权利响应
如已经完成必要性、合法性及安全性的评估并采取了相应的措施,还不可忽略个人信息主体权利响应,企业需要设置完备的程序和措施,关注并响应个人主体对其人脸信息的决定权、更正权和删除权等权利。
当用户在有变更意愿不再使用人脸时,可停止使用人脸并提供可替换的方式给用户使用;当用户有更正人脸信息需求的时候,能够提供有效更正的入口;当用户要求删除或在满足原有收集目的所必须的期限后,能对人脸信息进行删除,存储设备或介质中的人脸数据应销毁,不可重复使用,下次使用需重新采集。
个人信息保护展望
企业应当意识到,现如今个人信息保护意识逐渐觉醒,企业应当抓住时机,尽早采取合规措施来满足监管的要求,建立用户的信任。
这不仅是考虑法律的合规性,更是技术伦理道德等多重的考验,为将来长远的发展提前做好打算。
团队从客户业务场景和业务风险出发,通过专业的端到端服务组合。
帮助企业建立主动防御的安全合规体系和落地机制,助力企业将业务、数据及系统应用的安全合规有效融合并进行积极有效的前置或跟进式管理。
有效应对信息化时代的安全合规风险,建立用户信任。同时,助力企业有效应对外部威胁和安全漏洞事件。
数字化安全体系
帮助企业在数字化环境下建立主动防御的安全体系和机制
数据安全
梳理企业核数据资产,进行数据分级分类,制定并实施数据防泄漏的保护策略
隐私保护
遵循全球数据隐私保护相关规定,结合行业领域为企业量身定制隐私保护方案
全方位的安全技术
帮助企业应对技术安全风险,提升车联网安全、APP安全、应用安全、移动安全、云安全及I0T安全等方面的安全能力
突发事件和威胁管理
围绕突发事件进行相应的监测、调查和挽救措施:同时提供威胁情报定制服务,有效应对威胁
原文始发于微信公众号(赛博星人):热点 | 315连年提起的人脸信息滥用,你的脸都去哪了?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论