人脸识别漏洞多 专家建议进一步规范信息使用

　　刷脸识别身份、认证健康码，便捷高效的人脸识别技术越来越多地应用于酒店、火车站、社区等公共服务领域。但对于人脸识别安全隐患的担忧也从未停止。

　　对此，《杭州市物业管理条例（修订草案）》（简称草案）近期公开征求意见，拟规定物业服务人“强制业主通过指纹、人脸识别等生物信息方式使用公用设施设备的，处5000元以下罚款”（第69条第2款）。

　　目前，该草案已提请浙江杭州市十三届人大常委会审议。若通过，它将成为全国首部将小区人脸识别纳入物业管理的法定条例。但该条意见提出者之一、浙江理工大学特聘副教授郭兵说，现实中，除小区外，酒店、火车站等公共场所的人脸识别应用也存在一定问题，生物识别信息保护方面需要制度进一步细化和落实。

　　如何保障信息存储安全

　　近年来，多地老旧小区改造均将安装人脸识别门禁作为改造升级的一部分。新冠肺炎疫情发生后，许多社区将人脸识别技术作为疫情常态化防控的重要措施，积极推广。

　　随之而来的是公众对人脸识别安全性的不断质疑。清华大学法学院教授劳东燕曾对自家小区推行人脸识别门禁提出抗议，拒绝提供人脸信息，并向物业公司和居委会寄去律师函，最终终止了小区门禁升级。

　　此外，据澎湃新闻等媒体报道，近期，人民网“领导留言板”上，如何保障业主人脸信息的安全性也屡次被提及。

　　实际上，目前在法律层面，人脸等生物信息的保存并无明确标准。郭兵说，尽管《中华人民共和国网络安全法》和即将生效的《中华人民共和国民法典》对个人信息的保护已较为全面，多地物业管理条例中也有关于业主个人信息保护的内容，但相关法律法规对个人信息未作区分，其范围既包括姓名、收集等非敏感个人信息，也包括指纹、面部特征等敏感个人信息。在个人主张权利时，主要依据的是原则性条款，缺乏针对性的法律依据。

　　而多地社区的信息保护措施也各有不同，部分安全措施较完善的社区通过联网有关部门系统的方式提供保障。如北京大兴区委书记周立云在人民网“领导留言板”上对相关问题回复称，大兴区清源街道办事处通过社会公开招标，选择相关科技公司提供技术，在部分社区安装智能门禁系统，其所采集的人脸信息存储于街道办事处或公安系统的后台存储，“可以保证人脸信息的绝对安全，不会有任何泄露信息的风险。”

　　宁波市海曙区某小区物业称，包括人脸在内的所有业主信息会录入物业管理云平台，平台与当地公安系统联网。

　　杭州市城乡建设委员会工作人员则表示，部分老旧小区改造选择人脸识别门禁系统，与杭州城市大脑运营指挥中心的街道管理系统相连，所采集的个人信息将储存于街道“数字驾驶舱”中。部分小区会自建“数字驾驶舱”以存放居民个人信息。

　　也有社区通过筛选可靠的技术公司加强信息保护的安全性。如北京市昌平区龙泽园街道在人民网“领导留言板”上答复网友疑问称，人脸识别技术提供公司“针对智慧社区管理系统的信息安全已在朝阳区公安局进行备案，并取得《信息系统安全等级保护备案证明》。另外，社区在安装智慧门禁前，与安装公司签署了合同，合同中对于系统运行过程中的保密及知识产权有相关的规定，以确保用户信息的安全”。

　　不过，不是所有社区都能给出较完善的安全保障措施。记者调查和梳理相关报道后发现，不少社区、街道都对信息存储问题语焉不详。郭兵表示，许多社区的人脸识别技术都由私人企业提供，甚至是不知名的小公司，没有有关部门的介入和背书，其信息存储安全性存疑。

　　信息收集不规范

　　除了存在安全风险，信息采集过程不规范也是社区推行人脸识别门禁普遍存在的问题。

　　根据2020年10月1日正式实施的《信息安全技术个人信息安全规范》，在收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

　　此外，10月21日开始向社会征求意见的《中华人民共和国个人信息保护法（草案）》第27条也规定，在公共场所安装图像采集、个人身份识别设备，应当设置显著的提示标识。

　　但在现实中，“告知”和“征求同意”常常被“跳过”，个人信息主体的知情权未得到充分保障。家住宁波市江北区某新建社区的虞女士告诉记者，购房时，物业曾告知社区将采用人脸识别门禁，但并未说明所收集的人脸信息如何储存、储存时间等情况。

　　郭兵也表示，自家社区采用人脸识别门禁并未通过业主大会表决，未征得全体业主的同意。尽管物业曾发通知表示，业主可以选择使用门禁卡、二维码扫码或人脸识别的方式进入小区，但郭兵后来发现，无论哪种方式进入小区，都必须刷脸认证健康码，实际上就相当于强制刷脸。

　　郭兵说，由于质疑物业权限，自己并未按要求录入人脸信息，也未注册相关微信程序App。但一次进入小区时，他发现，机器自动对自己进行了人脸识别，而屏幕上显示的，是自己多年前办理门禁卡时递交的照片。

　　“这个问题很严重。”郭兵认为，物业不仅强制推行人脸识别，还未经业主允许，擅自使用业主个人图像。第二天，他就向物业提出质疑。后者则回复，刷脸认证健康码是街道办的要求。“那也应该转发街道办的要求，而不是以物业的名义发布通知。”郭兵说，他要求物业出示街道的依据文件，但至今未收到后者的正式答复。

　　实际上，除了备受争议的社区人脸识别门禁，酒店、火车站等公共服务场所的人脸识别也存在同样的规范问题。酒店办理旅客入住登记时，都要求旅客刷脸，而工作人员往往以“公安部门要求”一句带过，不会详细说明收集目的、方式、范围、存储时间等信息，人脸识别机器边也没有相关提示。

　　郭兵认为，即是出于公安部门要求，也应该详细说明相关的法律法规依据。此外，还应告知消费者，数据如何存储，是由酒店自己的系统保存，还是由公安部门指定第三方机构保管，或直接由有关部门保管。这三者存在的安全风险显然大不相同。

　　此外，在火车站，关于人脸识别详细信息同样缺少提示和告知。

　　郭兵表示，仅对社区物业进行限制是不够的，对政府部门、相关企业的不规范行为也应当进一步加以约束。