全国人大代表、清华大学法学院教授、北京大学校友周光权向记者介绍,近年来,制作模拟人脸模型以破解人脸识别验证的黑色产业链已相当“成熟”,而且许多软件代码已经开源,用身份证照片就可以从技术上模拟张嘴、眨眼等动作,仿真效果很高,可以骗过许多人脸识别平台。鉴于此,周光权认为,需要中央有关政法机关、网络安全监管部门、电信网络主管机关的高度重视,通力协作,综合施策,有效遏制涉人脸识别技术滥用的犯罪,以维护公民的合法权益,消除人民群众对新技术运用的恐慌。他建议:
(一)中央有关部门和单位应加大宣传力度,增强公民(尤其是中老年人)对其个人信息尤其是人脸识别信息的保护意识,使之认识到“生物信息是个人信息安全的最后一道防线”,对个人照片、人脸视频等坚守“非必要不提供”的立场。
“例如,对在超市门口,以顾客购物满一定金额可获赠洗衣液等礼品为名,并要求顾客在领取礼品时提供姓名、身份证号码,并用手机拍照、录制视频等方式采集被害人的肖像信息的情形,有关单位应当及时报警,公安机关应当及时出面调查核实,以防止犯罪人向被害人获取个人信息后,使用该信息办理开通、实名认证的移动通讯卡、银行卡,或者注册网络账户,以及注册某些公司开发运营的放贷APP用户等,进而实施电信网络诈骗行为。”他举例道。
(二)对于开发、提供涉及人脸识别APP的申请,网络安全监管机关必须严格审查,原则上不能再批准类似于换脸游戏APP的软件,以防止不良商家非法获取公民敏感个人信息。
(三)督促大数据公司落实信息安全监管责任。他表示,对于个人信息、计算机信息系统安全和数据完整性、可用性等法益的保护而言,刑法只是“最后手段”。“最好的社会政策是最好的刑事政策。”
对于人脸识别信息的保护,应当加强对网络公司收集人脸数据的监管,对哪些机构可以处理人脸识别信息作出更为细化的明确规定,设计相应的安全等级要求,并督促其根据《个人信息保护法》第55条关于处理敏感个人信息时,‘个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录’等规定,建立、落实敏感个人信息保护的制度体系。特别是要确保云储存与云技术中用户数据的基本安全,防止人脸识别等敏感个人信息的泄露。
除此以外,大数据公司要加强行业自律,非必要不采集人脸识别信息,仅在符合事前明示的信息处理目的的情形下,使用人脸识别数据。
(四)对于使用人脸识别系统、采集相关信息的单位,尤其是金融机构、地铁安检部门、小区文义公司、第三方支付机构、公安交通管理机关等,应当建立特别严格、完善的人脸识别信息管理、调用、处理机制。
(五)大力推进司法机关与网络服务提供者、网络安全监管机关的协作共建,在普通场所禁止使用人脸识别技术,推进网络安全机制建设,对包括人脸识别信息在内的敏感个人信息给予强有力的特殊保护。
他认为,唯其如此,才能维护网络安全秩序,进而实现对公民个人信息和财产安全的充分保护,同时促进大数据的运用,平衡好个人信息保护和数据自由流动、数据经济发展之间的关系。
(六)公安机关必须发挥打击相关犯罪的主力军作用。对于涉及大批量人脸识别信息泄露、使用的案件,公安机关应当接警必处,迅速开展侦查活动,做到件件有回音,力争实现有案必破。
(七)加大对涉及人脸识别犯罪的刑罚处罚力度。对于侵害公民个人信息,通过掌握被害人行踪轨迹侵害其人身安全,以及涉及电信诈骗等犯罪的,应当数罪并罚。对于因涉及滥用人脸识别技术构成犯罪被判刑的,原则上不适用缓刑,也轻易不适用假释;同时,对罪犯适用禁止令,以防止其在出狱后很快重操旧业、继续实施危害社会的网络犯罪行为。
“总之,在大数据时代,随着人工智能的广泛运用,人脸识别技术的频繁使用是不可阻挡的趋势。但是,人脸识别技术安全漏洞的存在以及其‘易破解’的特征,决定了涉人脸识别数据的犯罪在今后很可能有增无减,技术的运用和相关的‘黑灰产业’始终如影随形。直面这一现实,确实需要认真考虑刑法的准确规制,以及刑事政策和相关监管措施、大数据公司自律的相互协调问题。”周光权说。