实现“产品系列化、运营集团化、通路国际化、服务本地化、办公智能化”
的目标,打造世界一流的智能应用及运营管理平台。
4月26日,十三届全国人大常委会第二十八次会议在京召开,会议审议了《中华人民共和国个人隐私信息保护法(草案)》(二次审议稿)、《中华人民共和国数据安全法(草案)》(二次审议稿),同时向社会公开征求意见。
个人信息安全威胁的背后,数据安全、关键信息基础设施安全的防护问题日渐凸显,网络安全问题日渐成为影响国家安全、社会稳定和人民群众切身利益的重大战略问题。本期关切围绕近期热点案件、话题,及正在制定的数据安全法、个人隐私信息保护法展开报道,以飨读者。
在当今技术发展更为重视“以人为本”的AI时代,利用生物识别技术进行身份识别与应用的场景慢慢的变多。购物可以刷脸支付、使用智能手机可以刷脸解码、登录手机应用程序能通过语音识别、进行健康监控的可穿戴设备甚至可以识别你的心跳……
当人们正在享受技术带来的便捷而放松警惕时,生物识别信息被泄露和滥用的风险也正发生在我们身边。
不久前,短视频领域出现了一款火爆的应用——“蚂蚁呀嘿”。玩家只要上传一张照片,照片上的人就能扭动脖子、瞪着眼睛,唱出一首“蚂蚁呀嘿”。2019年曾在国内红极一时的换脸软件“ZAO”,其原理也相同。两款APP均通过使用深度伪造技术,实现图像、声音、视频的篡改、伪造和自动生成,产生高度逼真且难以甄别的效果。但两款软件均因涉嫌过度收集人脸信息,而被迅速下架。
深度伪造技术,源自英文词汇deepfake,是计算机“深度学习”(deep learning)和“伪造”(fake)的组合,指通过深度学习伪造数字内容的人工智能技术。其本质上是一种声音、图像与视频的智能处理技术,能够模仿特定人物或者让特定人物看起来在做特定的事件。其效果可以达到“以假乱真”的程度,被称为“音视频领域的PS技术”。
不可否认,深度伪造技术有一定的正向作用。该技术可以辅助科研、教学、艺术创作等。例如,在教育方面,逼真的虚拟教师可以让数字教学更具互动性和趣味性,合成的历史人物演讲视频可以再现历史场景,让受众更具代入感。
然而,与深度伪造技术的正面效应相比,其所蕴含的潜在威胁和安全隐患,更为引人关注。
近年来,不少公司瞄准这一市场,运用深度伪造技术,制作相关产品,但往往存在不少违规之处,尤其忽视了对人脸信息等生物识别信息的保护。
国家网信办3月18日发布消息称,针对近期未履行安全评估程序的语音社交软件和涉深度伪造技术的应用,国家网信办、公安部指导北京、天津、上海、浙江、广东等地网信部门、公安机关约谈相关企业,督促其按照《中华人民共和国网络安全法》(以下简称《网络安全法》)、《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等法律法规及政策要求,认真开展安全评估,完善风险防控机制和措施,并对安全评估中发现的安全隐患及时采取有效整改措施,切实履行企业信息内容安全主体责任。据悉,此次被依法约谈的11家企业包括映客、小米、快手、字节跳动、鲸准数服、云账户、喜马拉雅、阿里巴巴、网易云音乐、腾讯、去演等。
“深度伪造技术一旦被滥用,将产生严重后果。”中国信息安全研究院副院长左晓栋指出,此次有关部门约谈相关企业,一方面是为了给部分平台上存在涉深度伪造技术的安全隐患敲警钟;另一方面也要求行业内的相关企业依法依规保护用户个人信息和名誉权,对于可能涉嫌违法犯罪的相关线索,要及时上报有关监管部门。
深度伪造技术的另一类应用场景即音频伪造。目前,实现音频伪造最为常见的方法是“语音克隆”技术。这一应用并不罕见。有的地图类应用可选择不同明星语音进行导航提示,其实质就是在对明星语音进行分析的基础上,建立语料库,训练AI合成的。此外,在语音助理构建、游戏数字化角色设计、有声读物等领域,都有这一技术的身影。
此前有外国媒体报道称,一家英国能源公司被敲诈了24万美元,其背后正是利用了音频版深度伪造技术。攻击者假冒公司CEO,制造了一段虚假语音,并以电子邮件的方式发给公司下属员工,要求其向指定账户完成汇款。
诸如此类的诈骗案件已经发生多起。不同于以往脚本类的电信诈骗,“语音克隆”技术可实现从电话号码到声音音色的全链路伪造。攻击者可以利用漏洞劫持语音电话,实现虚假电话的拨打,并基于深度伪造AI变声技术,生成特定人物的声音,进行诈骗。
可以说,深度伪造技术的发展和普及是一把双刃剑,在带来娱乐、搞笑、推动技术革新的背后,风险与危害也正在显现。
“为保护个人信息,戴着头盔去看房。”此前,这则让人啼笑皆非的新闻曾引发网络热议。细细一想,你是否也曾对“极其精准”的广告推送感到吃惊、有所怀疑?前几天刚去过某商店,今天就被推送同一品牌的广告;周末刚去过汽车展,工作日就密集收到各类汽车广告,甚至只是昨天和朋友聊天时提到了某款产品,今天就被网购平台推送了该产品的促销信息……
今年的央视“3·15”晚会揭露了这一怀疑背后的真相——原来,在你毫不知情的情况下,有人正在悄悄“偷”走你的脸。
据央视报道,在科勒卫浴、宝马等门店,都安装了人脸识别摄像头。顾客一进店,性别、年龄、第几次到店,甚至心情状态等信息都在第一时间被打上标签,上传至后台,成为营销依据。
科勒卫浴也在采访中承认,“一个人过来了,B店就会提示这个人也逛过A店。那么在B店这边,如何去接待这个人、如何报价,就有心理准备了。”
而背后为这些商家提供技术实现路径的万店掌、悠洛客、雅量科技、瑞为信息等互联网公司,也同时被曝光。
国家市场监督管理总局、国家标准化管理委员会于2020年3月发布的《信息安全技术个人信息安全规范》明确规定,收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。然而,多数企业并未遵守这一规定,很多时候,人们也未意识到自己的人脸信息被采集背后所暗藏的威胁。
央视记者在全国多地先后调查了20余家装有人脸识别系统的商户,所到之处人脸识别信息被偷偷获取,但没有一家商户明确告知顾客其人脸信息已被获取。
在这一问题被“3·15”晚会曝光后,不少企业均回应称,用户数据不会上传至云端,也不会提供给任何第三方组织。但在大数据时代,握有大量用户生物识别信息的企业,往往极易被黑客盯上。不仅是深度伪造技术,只要涉及生物识别信息的采集、识别、使用问题,相关公司均需更加谨慎。
此前备受关注的“人脸识别第一案”,就是一起因采集个人生物识别信息而产生纠纷的案件。4月9日,该案迎来了二审判决。浙江省杭州市中级人民法院依法公开宣判原告郭兵与被告杭州野生动物世界有限公司(以下简称“野生动物世界”)服务合同纠纷二审案。在一审原判决基础上,杭州中院增判野生动物世界删除原告郭兵办理指纹年卡时提交的指纹识别信息。
本案中,郭兵于2019年4月支付1360元购买野生动物世界双人年卡,确定指纹识别入园方式。2019年7月、10月,野生动物世界两次向郭兵发送短信,通知年卡入园识别系统更换事宜,要求激活人脸识别系统,否则将无法正常入园。但是,郭兵认为人脸信息属于高度敏感的个人隐私,不接受人脸识别系统,要求园方退卡。
2020年11月20日,浙江省杭州市富阳区人民法院作出一审判决,判令野生动物世界赔偿郭兵合同利益损失及交通费共计1038元;删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息;驳回其他诉讼请求。判决后双方均表示不服,分别向杭州中院提起上诉。
杭州中院经审理认为,生物识别信息作为敏感的个人信息,深度体现自然人的生理和行为特征,具备较强的人格属性,一旦被泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到无法预测的危害,更应谨慎处理和严格保护。
针对野生动物世界行为是否构成欺诈等争议焦点,二审法院认为,郭兵办理指纹识别年卡时,选择权并未受到限制或侵害,野生动物世界的行为亦不构成欺诈,但野生动物世界单方变更入园方式构成违约。
鉴于野生动物世界已停止使用指纹识别闸机,致使原约定的入园服务方式无法实现。故二审在原判决的基础上,增判野生动物世界删除郭兵办理指纹年卡时提交的指纹识别信息。
“‘人脸识别第一案’二审判决虽‘尘埃落定’,但个人信息保护的‘正剧’才刚刚拉开序幕,应继续寻求破解类似案件中的‘阿基米德支点’。”浙江大学法学院教授张谷指出,该案虽为私益诉讼,却追求公益上的效果,探求经营者采集生物识别信息和消费者选择权的边界,进而追问在何种范围内个人可以抵抗数字时代的裹挟?传统的身份识别方式应当在多大范围、何种程度上保留和并存?现行的“合法、正当、必要”原则应否场景化地落实?该案引发许多思考。
在崇尚效率的当下,大多数民众并不排斥人工智能发展带来的便捷高效。但不可忽视的是,生物识别信息泄露与数据安全问题正如一把达摩克利斯之剑,始终悬挂在人类社会的“头顶”,时刻提醒着人们,对于技术的发展不可盲目乐观自信,忽视背后隐藏的风险。
“实践中,盗用个人生物识别信息常与金融、财产类犯罪相关联。”北京师范大学网络法治国际中心执行主任吴沈括分析认为,就其具体表现形式而言,一类是数据泄露问题,犯罪分子可通过攻击漏洞窃取大量用户隐私数据,包括指纹、虹膜、脸、身形等身份信息,而这些信息将被用于侵入安防系统、盗取保险设备中的钱物、实施财产诈骗行为等;第二类是数据篡改或破坏问题,犯罪分子可采用变形、模糊、真假调换等处理技术,对数据进行伪造,进一步干扰以数据为基础的系统的正常运行。
深度伪造技术一旦被滥用,势必会对公众的人身、财产等合法权益造成侵害。例如,利用深度伪造技术实现“移花接木”,会对他人名誉权构成侵害。制作虚假色,是深度伪造技术最早、也是最常见的非法运用方式之一。利用该技术能将一些知名歌星、影星等公众人物的脸移转到色情明星身上,伪造逼真的色情场景。这些虚假色一经传播,公众可能真假难辨,从而导致受害人的名誉严重受损。
清华大学法学院教授程啸指出,即便不是用于制作色,深度伪造技术也完全能够最终靠制造虚假的视频或音频,侵害自然人、法人或非法人组织的名誉权,进而给其造成财产损失及精神损害。在视频娱乐化的当下,今后如果不能“眼见为实”,将给信息的真实性带来挑战。
基于深度伪造技术制作的假视频、音频等产品迎合了大众的猎奇心理,很容易借助社交媒体在全世界快速传播,导致假消息泛滥,公众难以区分真假。这无疑会对社会信任体系造成重大损害,导致严重的社会信任危机。
中国人民大学法学院副教授、未来法治研究院副院长丁晓东建议,在缔结合同需要收集、使用个人信息,尤其是生物识别信息的时候,个人信息处理者要谨慎对待。个人信息处理者需要遵守收集、使用个人信息的“合法、正当、必要”等原则,个人要知晓并保护自己在个人信息处理活动中的权利。
吴沈括认为,人工智能数据风险治理具有复杂性和广泛的社会性,并非仅依靠法律手段就能解决,还需要学术界打通学科壁垒、产业界加强技术沟通、政府和公众积极开展对话,将政府、企事业单位、专家、技术人员、公众等纳入多元一体的人工智能安全治理参与机制中,建立包括法律规制、伦理规制、行业规制、自律规制在内的多元互动的风险规制体系,从而营造人工智能创新发展所需的良好生态环境。
《中华人民共和国民法典》(以下简称《民法典》)确立了我国民事法律制度对个人信息权益的保护,规定处理个人信息“应当遵循合法、正当、必要原则”,并在第一千零一十九条第一款规定,任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权。未经肖像权人同意,不得制作、使用、公开肖像权人的肖像,但是法律另有规定的除外。
2020年12月7日,中央印发《法治社会建设实施纲要(2020-2025年)》。其中明确提出,要制定完善对算法推荐、深度伪造等新技术应用的规范管理办法。
为保证相关要求切实落地,各相关部门认真把握《民法典》精髓要旨,结合技术发展实际与数据保护需求,正在积极出台具体规定。
4月23日,全国信息安全标准化技术委员会发布《信息安全技术人脸识别数据安全要求》国家标准(以下简称“国家标准”)征求意见稿,面向社会公开征求意见。此次拟出台的国家标准主要为解决人脸数据滥采、泄露或丢失,以及过度存储、使用等问题,要求收集人脸识别数据时,应征得数据主体明示同意,不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。同时,应提供除人脸识别外的其他身份识别方式,供用户选择,不应因用户不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。
针对人脸图像,国家标准要求,应在完成验证或辨识后立即删除,如果开发商希望存储人脸图像,同样要经过数据主体单独书面授权同意。此外,还对进行人脸识别的开发商提出了技术资质“门槛”,要求其具备相应的数据安全防护和个人信息保护能力,以防范人脸识别被“活照片”等非法破解。
4月26日,工业和信息化部公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见。其中明确提到APP第三方服务提供者未经用户同意,不得将收集到的用户个人信息共享转让。
4月28日,中国科学技术法学会、中国法学交流基金会发布《个人信息处理法律合规性评估指引》(以下简称《评估指引》)团体标准,针对个人信息处理的不同环节设置了多种维度的标准。比如,在个人信息的收集环节,《评估指引》设置了“手段合法维度”“目的明确维度”“公开透明维度”“可问责性维度”等标准,有利于用户、监管者进行检查监督,也为独立机构开展法律合规性的评估、咨询和认证服务提供了便利。
“《评估指引》的出台,将成为今后个人信息保护法落地实施的有力抓手,对于更好协调个人信息保护与信息流通、推动我国信息化进程、维护国家安全具有重大意义。”中国科学技术法学会副会长孙永俭说。
4月26日,十三届全国人大常委会第二十八次会议在京召开,会议审议了《中华人民共和国个人信息保护法(草案)》(二次审议稿)〔以下简称《个人信息保护法(草案)》(二次审议稿)〕、《中华人民共和国数据安全法(草案)》(二次审议稿)〔以下简称《数据安全法(草案)》(二次审议稿)〕,同时向社会公开征求意见。
其中,《个人信息保护法(草案)》(二次审议稿)明确,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督。
中国信息安全研究院副院长左晓栋认为,该条款极具创新性,为保护好超大型互联网平台上的个人信息提供了新的监管思路。“超大型平台是如何收集和使用个人信息的,对外人来说一直都是个‘谜’。该新增条款能让这些平台接受社会大众的独立监督。”左晓栋说。
《数据安全法(草案)》(二次审议稿)拟新增规定,要求开展数据处理活动应当“在网络安全等级保护制度的基础上,建立健全全流程安全管理制度”,加强数据安全保护。
吴沈括认为,作为我国数据安全治理的顶层立法设计,《数据安全法(草案)》(二次审议稿)通过上述条款,在制度层面实现网络安全法与其他基本法律和法规的制度衔接,有其必要性。同时,这也是实际操作中能有效指导各方主体,实现合规风控的重要制度设计。
上一篇:AI换脸APP意外走红警惕生物识别信息泄露 下一篇:每经热评 李开复“口误”道歉背后是人们对生物识别信息安全的忧虑