本刊記者 白楚玄
近日��,一檔綜藝節(jié)目的嘉賓體驗了一種新型攝影形式——“虹膜寫真”����。這種攝影形式雖然能夠讓人們了解“自己的眼珠子在鏡頭下是什么樣”���,但一個不容忽視的問題也隨之浮現(xiàn):虹膜攝影是否存在泄露個人生物特征信息的風(fēng)險?這一疑慮迅速在社交媒體上發(fā)酵�,并引發(fā)廣泛討論和關(guān)注。即便商家澄清��,不會保存用戶虹膜照片����,也無法進(jìn)行虹膜識別,但大眾仍存擔(dān)憂���。
“拍虹膜”背后暗藏泄密風(fēng)險
如星空般深邃�、沙漠般神秘�、向日葵般溫暖的眼眸形狀……僅需60元至100元,就能通過拍攝記錄眼球的形狀��。同時�����,還可以將藝術(shù)加工后的虹膜寫真打印出來用相框裝裱�,或制作成吊墜、手鏈等���。
本刊記者搜索發(fā)現(xiàn)����,在我國多個城市,“虹膜寫真”或“瞳孔攝影”這一新興攝影形式正悄然興起�����。
區(qū)別于傳統(tǒng)的人像攝影����,所謂“虹膜寫真”,攝影師利用微距鏡頭精準(zhǔn)捕捉瞳孔周圍虹膜的獨特紋理����,并通過后期調(diào)色����,使得虹膜呈現(xiàn)出多樣化的視覺效果。
有人戲謔道����,“可以去眼科門診拍晶體寫真、眼底寫真�����、黃斑寫真……還能走醫(yī)?�!薄5环τ邢M者抱著“自己的眼珠子在鏡頭下是什么樣”的好奇����,依舊選擇了拍攝。在享受“虹膜寫真”帶來的個性化與美感的同時���,不少公眾對其可能帶來的隱私泄露和個人生物信息風(fēng)險也產(chǎn)生了疑慮�。
從一張虹膜照片中�,可以提取到用戶的個人信息嗎?
“上世紀(jì)80年代的一張老照片,18年后�,技術(shù)人員通過虹膜識別技術(shù)最終找到了照片的主人公?�!鄙罡锾卣髯R別技術(shù)的北京理工大學(xué)光電學(xué)院副教授何玉青向記者講述了這個故事��,“虹膜的特性就是靠紋理的差異去體現(xiàn)每個人的不同”��。
當(dāng)下����,“虹膜寫真”這種靜態(tài)的拍照方式是否存在安全風(fēng)險?本刊記者向何玉青和一位安全領(lǐng)域的專家求證后,他們均給出了肯定答復(fù)�。
“‘虹膜寫真’因其直觀地捕捉和放大了虹膜的細(xì)微結(jié)構(gòu),其生成的影像本質(zhì)上等同于一種未經(jīng)加密的生物特征信息���?���!币晃皇茉L的虹膜產(chǎn)業(yè)內(nèi)人士表示。
何玉青的團隊通過實驗證明�,無論是專業(yè)設(shè)備還是普通設(shè)備,從成像原理和研究結(jié)果來看��,都能拍攝到可用于身份識別的虹膜圖像�����,并達(dá)到一定的識別率��?!坝行┤丝赡苷`以為不同設(shè)備拍攝的虹膜圖像會存在差異,實際上��,盡管專業(yè)設(shè)備可能加入了特殊的光源照明�����,普通設(shè)備拍攝的圖像可能不如專業(yè)設(shè)備清晰�,但本質(zhì)上在識別過程中�,其成像原理都是拍攝虹膜的紋理特征�����,再通過比對紋理之間的差異來進(jìn)行身份辨識����。盡管可能存在不同的特征提取算法����,但核心都是尋找紋理之間的相似性和差異?����!?/p>
信息被盜用或產(chǎn)生“次生危害”
當(dāng)今社會���,隨著生物特征識別技術(shù)在生活中的廣泛使用���,除虹膜外,人臉��、聲紋��、指紋�,甚至是步態(tài)都已經(jīng)成為重要的個人身份信息��。這些生物特征信息在身份驗證�����、支付安全等多個領(lǐng)域發(fā)揮著重要作用的同時���,個人生物信息安全問題也日益凸顯,需要高度警惕可能產(chǎn)生的“次生危害”�。
在業(yè)內(nèi)人士看來,以“虹膜寫真”為例���,其在藝術(shù)和個性化表達(dá)上有其獨特價值����,但作為生物識別信息的一部分���,技術(shù)處理和傳播過程中的安全隱患不容忽視���,應(yīng)該防范他人惡意將照片與其他個人信息串聯(lián)后進(jìn)行非法使用��。
為了應(yīng)對相關(guān)隱患��,我國已采取了一系列法律保護(hù)措施。我國民法典�����、網(wǎng)絡(luò)安全法����、個人信息保護(hù)法等法律法規(guī),都對個人生物識別信息保護(hù)作了專門規(guī)定��。同時����,最高人民法院和最高人民檢察院也相繼出臺了有關(guān)辦理涉及個人生物識別信息案件的司法解釋,發(fā)布一些典型案例����、指導(dǎo)性案例,注重加強對個人生物識別信息的司法保護(hù)��。其中�����,“處理生物識別信息應(yīng)取得個人的單獨同意”這一原則得以明確。
那么�,為什么虹膜等個人生物信息安全如此重要?
“虹膜信息作為生物特征,具有高度唯一性與持久性�,一旦泄露或濫用,可能會導(dǎo)致不可逆的身份安全風(fēng)險�。”北京師范大學(xué)法學(xué)院博士生導(dǎo)師��、中國互聯(lián)網(wǎng)協(xié)會研究中心副秘書長吳沈括指出�����。
“實際上���,一旦生物信息被泄露�����,即使只是部分信息�,也可能會帶來嚴(yán)重的安全隱患���?��!焙斡袂啾硎?���,生物特征識別技術(shù)的采集����、存儲����、傳輸?shù)拳h(huán)節(jié)都可能成為不法分子的攻擊目標(biāo),進(jìn)而威脅個人隱私和數(shù)據(jù)安全����。
日常生活中,盜用此類信息的隱患并不罕見��。曾有犯罪團伙利用“變臉”App和手機安全漏洞�����,重啟被限制登錄的社交平臺賬號����。多地警方也公布有不法分子偷拍、騙取或盜取照片�����,使用AI換臉技術(shù)突破人臉認(rèn)證,竊取隱私�����。此前�,有網(wǎng)絡(luò)安全專家稱拍照比“剪刀手”,若鏡頭距離近�,“剪刀手”照片可通過技術(shù)還原指紋信息,進(jìn)而被制成指紋膜����,用于指紋解鎖、支付等渠道����。
那么,是否有技術(shù)能保證100%不被照片��、指紋等個人生物信息欺騙?
“在進(jìn)行人臉識別比對時����,并非追求百分之百的完全匹配,只要達(dá)到一定標(biāo)準(zhǔn)�����,就可以視為驗證通過?!币猿R姷娜四樧R別技術(shù)為例,何玉青詳細(xì)闡述了其工作原理:無論光照條件如何變化�,或拍攝手段如何多樣化���,人臉作為識別對象的本質(zhì)不變���。即便佩戴口罩,現(xiàn)代人臉識別技術(shù)也能通過識別眼睛等局部特征�,實現(xiàn)高效準(zhǔn)確的身份比對和確認(rèn)。
亟須提升規(guī)范標(biāo)準(zhǔn)約束力
面對生物識別技術(shù)濫用和侵犯公眾隱私的擔(dān)憂����,盡管我國有相關(guān)法律法規(guī)的支撐,但當(dāng)前立法規(guī)范并未將個人生物識別信息作為一項單獨的權(quán)利進(jìn)行保障�,并未直接使用“個人生物識別信息權(quán)”稱謂,而是將其作為公民個人信息的一種��,以個人信息權(quán)的模式來進(jìn)行確認(rèn)和保障�。
吳沈括告訴記者:“我國個人信息保護(hù)法規(guī)定了對信息泄露的相關(guān)責(zé)任追究,但針對個人生物信息的存儲期限����、使用范圍以及存儲過程中的安全措施等方面���,尚未形成細(xì)致而有針對性的法律規(guī)定?���!?/p>
立足于當(dāng)下的生物信息保護(hù)風(fēng)險隱患,如何進(jìn)一步確保個人生物識別信息安全����,為個人生物識別信息構(gòu)筑堅強司法屏障?
“應(yīng)在現(xiàn)有法律框架下,考慮進(jìn)一步提升規(guī)范標(biāo)準(zhǔn)的約束力���,進(jìn)而提升個人生物特征信息的保護(hù)效果�����?�!眳巧蚶ńㄗh�����,應(yīng)針對生物識別信息制定專門的法律條款��,以明確其特殊性并設(shè)定更為嚴(yán)格的收集�����、存儲與使用標(biāo)準(zhǔn)����,確保虹膜信息僅在消費者明確同意且限于特定用途的情況下被采集和使用。同時��,應(yīng)明確虹膜信息的存儲與使用期限����,并規(guī)定超過期限后必須進(jìn)行信息的刪除或匿名化處理�����。同時���,還應(yīng)進(jìn)一步完善信息泄露與濫用的法律責(zé)任��,強化對商家及第三方服務(wù)提供者的監(jiān)管��,鼓勵技術(shù)企業(yè)采取更加嚴(yán)格的信息安全技術(shù)措施�����,包括加密存儲��、數(shù)據(jù)傳輸加密等���,并設(shè)立獨立的第三方認(rèn)證機構(gòu)�,對生物識別信息的使用合規(guī)性進(jìn)行審查����,確保其符合隱私保護(hù)的法律要求。
何玉青向記者透露���,鑒于個人生物識別信息開發(fā)所帶來的巨大經(jīng)濟價值與潛在的數(shù)據(jù)安全風(fēng)險�����,多個國家和地區(qū)已經(jīng)采取立法措施�,對個人生物識別信息進(jìn)行全面保護(hù)��。
何玉青建議�,我國在制定相關(guān)法律時,可以借鑒國際經(jīng)驗,考慮是否需要制定專門的個人生物識別信息保護(hù)法����,或者進(jìn)一步明確生物識別信息的采集、利用規(guī)則�,以及信息權(quán)益內(nèi)容和數(shù)據(jù)控制者的責(zé)任義務(wù)。同時�����,相關(guān)規(guī)范性文件應(yīng)根據(jù)技術(shù)的發(fā)展變化進(jìn)行定期修訂和完善�����,并通過技術(shù)鑒定等手段為法律實施提供有力支撐�。
除了國家層面的立法規(guī)制和管理外�,吳沈括和何玉青提醒廣大群眾,應(yīng)提高自我保護(hù)意識����,在享受生物識別技術(shù)便利的同時,要謹(jǐn)慎使用��,共同守護(hù)個人隱私和數(shù)據(jù)安全�����。使用生物特征識別服務(wù)時,應(yīng)該仔細(xì)閱讀隱私政策����,了解個人信息的收集、使用和保護(hù)情況��。同時���,在公共場合或不安全的網(wǎng)絡(luò)環(huán)境下����,應(yīng)該盡量避免使用生物特征識別功能��,以防止信息被截獲或盜用�����。
針對公眾安全防范����,吳沈括呼吁公眾定期審查隱私設(shè)置,確保已啟用密碼保護(hù)��、指紋解鎖的二次認(rèn)證、面部識別加密等必要的安全防護(hù)措施����。同時,選擇安全標(biāo)準(zhǔn)高的產(chǎn)品���,并優(yōu)先考慮采用先進(jìn)加密技術(shù)來進(jìn)一步保障信息安全的系統(tǒng)��。此外�����,為減少信息泄露的風(fēng)險����,他建議����,公眾應(yīng)分散存儲生物識別數(shù)據(jù)����,避免將其全部集中存儲在單一平臺或服務(wù)中。
法治號
