每经评论员 谢婧
近日,李开复在参加一场峰会时的一番言论引起了轩然大波,热度甚至挤进了微博热搜。
李开复宣称:自己在早期曾帮助旷视科技公司找了包括美图和蚂蚁金服等合作伙伴,让他们拿到了大量的人脸数据,并在随后的摸索过程中找到了几个有价值的商业化方向。
但该言论随后遭到蚂蚁集团的否认,蚂蚁集团通过微博回应称,在与旷视科技合作事宜上从未与李开复有过接触,也从未提供任何人脸数据给旷视科技。这被李开复后来称为原本是一场“口误”的事件,却触动了企业敏感的神经,不仅作出光速回复,还不惜“打脸”李开复。
实际上,随着信息加速和技术手段的革新,类似事件不断冲击着公众的眼球。此前,媒体就曾报道过,有提供人脸检测和人群分析服务的科技公司的人脸识别数据库缺乏密码保护,导致大规模的数据泄露。除此之外,更是出现了曾有小学生使用打印出的照片做了验证,结果成功开启快递柜。
这些案例暴露出的生物识别技术问题令人担忧。要知道,这是个信息加速化的时代,个人生物识别信息受到广泛应用,在生活中大大提高了效率,减少了不便。比如,现在可以“刷脸支付”,进小区可以“刷脸开门”,登录APP可以“指纹登录”“声音解锁”等。
大量的生活场景开始植入个人生物识别技术,这就不由得让人们开始思考,“人脸”识别等个人生物识别信息一旦发生泄漏、滥用该怎么办?毕竟个人生物识别信息具有“唯一性”,而且生物识别信息一旦泄露则意味着终身泄露。
个人信息保护不力不仅会为用户带来巨大损失,还会让企业面临信任危机。笔者认为保护个人生物识别信息刻不容缓!一方面,必须通过监管引导,用法律手段规范市场,明确生物识别信息的收集、使用、存储等相关权限。
好在今年3月,全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术个人信息安全规范》(以下简称为《规范》)国家标准正式发布。《规范》从个人信息的收集、存储、使用、委托处理、共享、转让、公开披露等关键环节,均进行了技术规范,并在个人信息的基础上细化了个人敏感信息,包括:个人生物识别信息、通信记录和内容、行踪轨迹、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
《规范》中提到,个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
此外,《规范》还明确了个人信息保护负责人的任职资格和职责,从个人信息处理者的角度,对于个人信息安全事件处理、组织的个人信息安全管理提出了要求。《规范》将于今年10月1日起正式生效。这对个人信息保护将起到重要作用。
另一方面,对于企业来说,应采用最小化原则,不应该过度采集、泛滥使用,不要从登录到支付一条龙的指纹、虹膜、人脸都安排上。在收集个人信息过程中,应做到恪守底线,同时加强生物识别安全技术,防范泄露和被攻击风险。
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。