2元能买千张涉隐私人脸照！这座城市出手了：物业不得强制业主“刷脸”进入

来   源丨21世纪经济报道（ID：jjbd21 记者：张雅婷）、央视新闻、公开信息

10月26日，《杭州市物业管理条例（修订草案）》（下称“修订草案”）提请杭州市十三届人大常委会第三十次会议审议。修订草案规定，禁止强制业主通过指纹、人脸识别等生物信息方式进入小区。据了解，如果该修订草案通过，将成为我国首个明确对人脸识别进行禁止性规定的地方性法规。

图/图虫

在关于修订草案的说明中，杭州市住房保障和房产管理局方面表示，随着社会的发展和物业服务行业的不断规范，对于物业服务人的规定也应当与时俱进，以适应新情况，新增“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备，保障业主对共用设施设备的正常使用权”等内容也是出于“行业监管规范的要求和业主权益全面保护的需要”。

“小区强制安装人脸识别已在不少地方引发争议，我们的新条例应该对《民法典》中关于公民隐私权和个人信息保护有所回应。”10月15日，杭州市住房保障和房产管理局官网发布消息称，在近日召开的《杭州市物业管理条例（修订草案）》立法听证会上，便有关于小区安装人脸识别的讨论。

据央广网报道，在此次听证会上，浙江理工大学副教授、法学博士郭兵关注的是业主隐私和个人信息的保护问题。他认为，此次修订草案缺少对业主的隐私权和个人信息保护的制度规定，比如，今年新冠肺炎疫情发生之后，物业强制安装人脸识别设备就在各地引发了争议。郭兵认为，个人隐私保护也是《民法典》中很重要的一个亮点，为了更好地解决如强制安装人脸识别门禁设备这样的争议，新版物业条例可以在这个方面加以规定。

据了解，郭兵去年10月曾将杭州野生动物世界告上法庭，该案也成为我国“人脸识别第一案”。郭兵一家在杭州野生动物世界办了可以不限次数畅游的年卡，可去年10月，他却收到野生动物世界发来的短信，“即日起，未注册人脸识别的用户将无法正常入园”。随后，郭兵以违背《消费者权益保护法》为由，将杭州野生动物世界告上了法庭。

在讨论人脸识别使用范围的背后，是近年来人脸信息泄露或被盗用事件频发带来的隐忧。今年年初，浙江衢州破获一起盗用公民个人信息案，嫌疑人非法获取公民照片后进行一定处理，骗过人脸核验机制，在某金融平台注册账号非法获利数万元。

8月13日，浙江杭州钱塘新区公安部门抓获两名盗取个人信息的犯罪嫌疑人。二人通过技术手段骗过平台人脸识别，在多个网络平台共盗取数千条平台账号个人信息，准备以每单80元-100元的价格倒卖，尚未成交已被警方抓获。

据央视新闻，近日发布的一份报告显示，有九成以上的受访者都使用过人脸识别，不过有六成受访者认为人脸识别技术有滥用趋势，还有三成受访者表示，已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。

在警方今年破获的两起盗用公民个人信息案中，值得注意的是，犯罪嫌疑人都是利用“AI换脸技术”非法获取公民照片进行一定预处理，而后再通过“照片活化”软件生成动态视频，骗过了人脸核验机制，得以实施犯罪的。

面具可代替人脸解锁手机吗？

测试中，科研人员在手机对面放上面具，然后进行光线、色温以及角度的调节。通过几次比对，手机成功解锁。

专家表示，这款面具的制作成本并不高，使用3D打印技术就可以制作出精度尚可的人脸面具或头套。只要不是在极暗或极亮的背景下，通过面具或头套进行人脸识别的成功率高达3成。

经调查发现，在某些网络交易平台上，只要花2元钱就能买到上千张人脸照片，而5000多张人脸照片标价还不到10元。

商家的素材库里，全都是真人生活照、自拍照等充满个人隐私内容的照片。当记者询问客服，这些图片是否涉及版权时，客服矢口否认，但却提供不了任何可以证明照片版权的材料。

这些包含个人信息的人脸照片如果落入不法分子手中，照片主人除了有可能遭遇精准诈骗，蒙受财产损失之外，甚至还有可能因自己的人脸信息被用于洗钱、涉黑等违法犯罪活动，而卷入刑事诉讼。

在专家看来，当下人脸识别技术的风险点，更多集中在存储环节。由于人脸识别应用五花八门，也没有统一的行业标准，大量的人脸数据都被存储在各应用运营方，或是技术提供方的中心化数据库中。

数据是否脱敏、安全是否到位、哪些用于算法训练、哪些会被合作方分享，外界一概不知。而且，一旦服务器被入侵，高度敏感的人脸数据就会面临泄露风险。

对此，网友纷纷表示太吓人了：

由此，对于人脸信息的收集、使用、储存及其保护备受关注。

21世纪经济报道此前报道，全国信息安全标准化技术委员会今年8月发布了《信息安全技术网络数据处理安全规范（征求意见稿）》。其中，在突发公共卫生事件个人信息保护章节对人脸识别验证作了明确要求，规定指定机构在提供信息服务过程中不能够仅提供人脸识别的身份验证方式，而且采取人脸识别信息进行身份验证的，原则上不留存可提取人脸识别信息的原始图像。

10月1日开始施行的推荐性国家标准《信息安全技术个人信息安全规范》要求，个人生物识别信息收集要“单独告知”和“明示同意”，并且原则上不应存储原始个人生物识别信息，可以存储不可逆、无法回溯到原始信息的摘要；或在采集终端中直接使用此类信息以实现身份识别、认证等功能，而后删除可提取个人生物识别信息的原始图像。

日前提交全国人大常委会审议的《个人信息保护法（草案）》，在敏感个人信息的定义中，将含人脸在内的个人生物特征归纳在内。草案提出，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需。所收集的个人图像、个人身份特征信息应取得个人单独同意或者法律、行政法规另有规定的除外。

专家表示，目前最简单的人脸识别，只需要采集、提取人脸上的6个或8个特征点就能实现。而复杂的人脸识别，则需要采集、提取人脸上的数十个乃至上百个特征点才能实现。相比于解锁手机，“刷脸”支付、“刷脸”进小区等应用，采集的人脸特征点更多，安全性自然也更高。

此外，目前已经研发出了专门针对生物特征的活体检测技术，可有效识别扫描对象的生命体征，大大降低了识别系统把照片或面具当人脸的风险。