為生物識(shí)別產(chǎn)業(yè)立規(guī)矩

劉秋娜　黃思楠

在我國(guó)，以人臉識(shí)別為代表的生物識(shí)別技術(shù)日益普及，市場(chǎng)熱情高漲，但相關(guān)法律體系還有待完善。

截至目前，我國(guó)僅有一些關(guān)于信息保護(hù)的相關(guān)規(guī)定散落于民法、網(wǎng)絡(luò)安全法、消費(fèi)者權(quán)益保護(hù)法，其他則來(lái)自國(guó)務(wù)院、最高人民法院、最高人民檢察院的相關(guān)司法解釋與規(guī)定。對(duì)生物識(shí)別乃至人工智能產(chǎn)業(yè)，尚無(wú)專門立法。

眼見著我國(guó)快步邁向數(shù)字經(jīng)濟(jì)時(shí)代，這一高新技術(shù)如何“以規(guī)矩定方圓”，亟待破題。

以法為“規(guī)”出拳

生物識(shí)別技術(shù)應(yīng)用中的最主要矛盾之一，是個(gè)人信息保護(hù)問(wèn)題。

中國(guó)政法大學(xué)《法治政府藍(lán)皮書：中國(guó)法治政府發(fā)展報(bào)告2018》顯示，我國(guó)有近40部法律、30部行政法規(guī)和200余部規(guī)章規(guī)定涉及個(gè)人信息保護(hù)。2016年網(wǎng)絡(luò)安全法落地后，公安部、中央網(wǎng)信辦、工信部等部門應(yīng)聲而動(dòng)，對(duì)違法違規(guī)者除采取常規(guī)的約談、整改措施外，還增加了高額罰款、產(chǎn)品下架、限期停服等處罰，情節(jié)嚴(yán)重者還要承擔(dān)刑事責(zé)任。

然而，盡管對(duì)黑市上信息竊取倒賣等亂象有明顯的收斂作用，但由于各法之間缺乏銜接、匹配且尚無(wú)專門立法，社會(huì)經(jīng)濟(jì)活動(dòng)中的數(shù)據(jù)過(guò)度采集行為依舊無(wú)孔不入。

越界 中消協(xié)2018年一項(xiàng)報(bào)告顯示，在其測(cè)評(píng)的100款A(yù)pp中多達(dá)91款涉嫌“越界”采集數(shù)據(jù)。

有受訪者舉例說(shuō)，前一秒自己剛剛說(shuō)到想買個(gè)日用品，后一秒相關(guān)商品就被推薦在一些電商APP上，且即使關(guān)閉了該APP，也似乎無(wú)法阻止信息偷采行為。對(duì)此，中國(guó)消費(fèi)者協(xié)會(huì)2018年發(fā)布的一項(xiàng)測(cè)評(píng)報(bào)告顯示，在其測(cè)評(píng)的100款A(yù)PP中多達(dá)91款涉嫌“越界”采集數(shù)據(jù)。

“黑產(chǎn)需求旺盛，法律體系欠缺，企業(yè)投入少且能力有限?！卑鹱稍兎治鰩煆堦?yáng)認(rèn)為法律體系建設(shè)是解決這三大問(wèn)題的關(guān)鍵。

今年以來(lái)，過(guò)度采集信息已被列為監(jiān)管打擊重點(diǎn)，但多位受訪者仍認(rèn)為有些杯水車薪。

“一來(lái)無(wú)法定義何為‘過(guò)度;二來(lái)用戶關(guān)閉軟件但仍被偷采信息的情況非常普遍，實(shí)時(shí)監(jiān)管的難度較大?！边h(yuǎn)鑒科技有限公司投資總監(jiān)王秋明認(rèn)為，“現(xiàn)行法律法規(guī)對(duì)于互聯(lián)網(wǎng)服務(wù)提供商過(guò)度獲取用戶信息的懲罰措施仍待完善?！?/p>

對(duì)于正在醞釀中的個(gè)人信息保護(hù)法和隱私保護(hù)法，信聯(lián)智慧創(chuàng)始人楊楠認(rèn)為，長(zhǎng)時(shí)間的醞釀大多是難以協(xié)調(diào)各方需求，要避免最終淪為泛泛之談，也要避免一部分細(xì)則出臺(tái)后卻滯后于日新月異的技術(shù)、業(yè)態(tài)更新。

多層次標(biāo)準(zhǔn)為“矩”

在法律法規(guī)之外，目前有20多項(xiàng)涉及生物識(shí)別的國(guó)家級(jí)標(biāo)準(zhǔn)發(fā)布。

“標(biāo)準(zhǔn)可對(duì)信息的采集、傳輸、存儲(chǔ)給出規(guī)范，也可作為參考文獻(xiàn)幫助和指導(dǎo)機(jī)構(gòu)展業(yè)?！睏铋f(shuō)。

這其中相對(duì)重磅的，是2018年10月人民銀行頒布的《移動(dòng)金融基于聲紋識(shí)別的安全應(yīng)用技術(shù)規(guī)范》，該文件對(duì)技術(shù)性能提出了采樣、抗噪性等要求，對(duì)數(shù)據(jù)安全給出了采集、傳輸、存儲(chǔ)、處理和刪除等過(guò)程中的相應(yīng)規(guī)范。

清華大學(xué)信息技術(shù)研究院語(yǔ)音語(yǔ)言技術(shù)中心主任鄭方介紹，上述標(biāo)準(zhǔn)一出臺(tái)，大批銀行開始摩拳擦掌?！爱?dāng)然，標(biāo)準(zhǔn)的出臺(tái)也伴隨有兩面性，一方面積極促進(jìn)行業(yè)蓬勃發(fā)展，一方面也可能很快炒熱一個(gè)‘小眾領(lǐng)域，大批機(jī)構(gòu)進(jìn)駐且缺乏自律，加劇市場(chǎng)的良莠不齊。”

2018年6月7日，廣東國(guó)家考試指揮中心通過(guò)生物識(shí)別系統(tǒng)監(jiān)控考場(chǎng)。

因此，必須盡快建立多層次、多維度的立體標(biāo)準(zhǔn)及規(guī)范體系。

據(jù)楊楠介紹，標(biāo)準(zhǔn)體系可分企業(yè)標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、國(guó)際標(biāo)準(zhǔn)，但在我國(guó)卻存在三方面難題：

其一，團(tuán)體標(biāo)準(zhǔn)層面，一些互聯(lián)網(wǎng)巨頭牽頭成立聯(lián)盟，制定標(biāo)準(zhǔn)，構(gòu)建了一定的團(tuán)體內(nèi)約束力，但這些互聯(lián)網(wǎng)巨頭所倡導(dǎo)的標(biāo)準(zhǔn)，以智能終端制造商為代表的其他合作伙伴卻未必“買賬”;其二，在行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)層面，每個(gè)管理部門都從自身需求和相關(guān)行業(yè)現(xiàn)狀出發(fā)來(lái)制定標(biāo)準(zhǔn)，也大多僅適應(yīng)于小范圍“圈子”，各標(biāo)準(zhǔn)之間甚至還存在矛盾之處;其三，現(xiàn)有標(biāo)準(zhǔn)幾乎均為推薦性而非強(qiáng)制性，效力較弱。

一些受訪人士認(rèn)為，接下來(lái)的標(biāo)準(zhǔn)研究和制定工作，應(yīng)該以人工智能產(chǎn)業(yè)的基礎(chǔ)共性、互聯(lián)互通、行業(yè)應(yīng)用、網(wǎng)絡(luò)安全、隱私保護(hù)等為重點(diǎn)，打破各種利益屏障并升級(jí)管理手段，從“嬰兒時(shí)期”就讓整個(gè)產(chǎn)業(yè)走上正軌。

平衡安全與創(chuàng)新

對(duì)于數(shù)字經(jīng)濟(jì)的發(fā)展，全世界范圍內(nèi)2018年掀起了一股“匡正綱紀(jì)”的浪潮。在我國(guó)，電子商務(wù)法歷時(shí)五年也終獲通過(guò)，在網(wǎng)絡(luò)安全法的基礎(chǔ)上對(duì)個(gè)人信息保護(hù)規(guī)則做了進(jìn)一步細(xì)化。

“期待監(jiān)管層能夠?qū)崿F(xiàn)國(guó)家安全、消費(fèi)者滿意、行業(yè)發(fā)展三方面的平衡?！睍缫暱萍几笨偛弥x憶楠提出，或可嘗試由中科院等第三方學(xué)術(shù)機(jī)構(gòu)組成專委會(huì)并制定測(cè)試題集，其中內(nèi)容隨著技術(shù)的迭代更新而進(jìn)行動(dòng)態(tài)調(diào)整，借此來(lái)相對(duì)準(zhǔn)確地衡量企業(yè)的安全措施和技術(shù)水平，規(guī)范其業(yè)務(wù)拓展邊界。

商湯科技方面人士認(rèn)為，醞釀頂層設(shè)計(jì)的同時(shí)，企業(yè)也須加強(qiáng)自律。

首先，在國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的指導(dǎo)下，企業(yè)應(yīng)構(gòu)建自身的安全體系。比如：引入第三方認(rèn)證，并重視這些認(rèn)證標(biāo)準(zhǔn)與自身業(yè)務(wù)的融合，以確保其有效、持續(xù)地落地。

其次，企業(yè)需具備定期自查與審計(jì)數(shù)據(jù)安全保護(hù)的能力。比如：內(nèi)部或外部聘用滲透測(cè)試團(tuán)隊(duì)，定期完成數(shù)據(jù)安全審計(jì)，內(nèi)部建立紅藍(lán)攻防團(tuán)隊(duì)，具有測(cè)試API防御的能力和手段。

最后，企業(yè)還可制定一系列數(shù)據(jù)防泄露措施。比如：部署域防護(hù)，設(shè)置權(quán)限管理體系，部署日志管理軟件，使用水印功能等來(lái)保護(hù)敏感信息。

中國(guó)人民銀行科技司司長(zhǎng)李偉認(rèn)為，在監(jiān)管體系上，應(yīng)探索建立金融科技創(chuàng)新產(chǎn)品管理機(jī)制、自我聲明與備案制度，在一定范圍內(nèi)先行驗(yàn)證生物識(shí)別技術(shù)應(yīng)用的可行性和合規(guī)性，及時(shí)發(fā)現(xiàn)并規(guī)避產(chǎn)品缺陷與風(fēng)險(xiǎn)隱患;在標(biāo)準(zhǔn)規(guī)范上，堅(jiān)持標(biāo)準(zhǔn)先行，逐步構(gòu)建生物識(shí)別技術(shù)應(yīng)用標(biāo)準(zhǔn)體系;在技術(shù)應(yīng)用上，引導(dǎo)金融機(jī)構(gòu)在風(fēng)險(xiǎn)可控前提下選取較為成熟、安全性高的生物識(shí)別技術(shù)穩(wěn)妥開展金融應(yīng)用。