国标要求,收集人脸识别数据时应征得数据主体明示同意,不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。这些条例可有效规范部分商家对人脸识别数据的非身份核验的使用行为。
同时,该国标还对进行人脸识别的开发商提出了技术资质门槛,要求其具备相应的数据安全防护和个人信息保护能力,以防范人脸识别被“活照片”等非法破解。
技术把控,提高人脸识别信息安全等级
加强对人脸识别技术应用的监管有望从立法层面自上而下逐步落实,但这也将是一个道阻且长的过程。而眼下,面对人脸识别在商业领域现存的安全隐患困境,用技术手段提升生物识别技术的安全等级也是当务之急。
上述国标中提到要提高人脸识别开发商的技术资质门槛,这里的技术门槛,既包括人脸防伪技术也包括数据加密技术。
在这方面,目前业内领先的生物识别技术和解决方案提供商都非常重视构建生物识别技术的信息安全屏障。
在人脸防伪技术方面,主流的生物识别厂商基本都会采用相关算法来提高人脸识别活体检测的能力,以防止被照片、面具等“假人脸”破解。
另外在数据加密环节,国标有明确提到应采取安全措施存储和传输人脸识别数据,包括但不限于加密存储和传输人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等。
不过,由于强化生物识别的信息安全等级本身具有较高的技术门槛,并且会增加产品研发的投入成本,这也成为很多小厂无法兼顾的地方。一套人脸识别系统的价格优势和高安全等级优势,这对于以追求经济效益为目的的商业领域而言,往往会选择前者而忽视后者。而这也是人脸识别在商业领域频繁“暴雷”的原因之一。
综合来看,要提升商业领域人脸识别技术应用的安全等级,亟待从立法层面加强监管、产品研发设计层面构筑设备安全和信息安全屏障以及提升商业市场的整体信息安全意识等多方面着手,多方协同才能更好的完善商业领域人脸识别的技术应用安全规范。
