在我国,以人脸识别为代表的生物识别技术日益普及,市场热情高涨,但相关法律体系还有待完善。
截至目前,我国仅有一些关于信息保护的相关规定散落于民法、网络安全法、消费者权益保护法,其他则来自国务院、最高人民法院、最高人民检察院的相关司法解释与规定。对生物识别乃至人工智能产业,尚无专门立法。
眼见着我国快步迈向数字经济时代,这一高新技术如何“以规矩定方圆”,亟待破题。
以法为“规”出拳
生物识别技术应用中的最主要矛盾之一,是个人信息保护问题。
中国政法大学《法治政府蓝皮书:中国法治政府发展报告2018》显示,我国有近40部法律、30部行政法规和200余部规章规定涉及个人信息保护。2016年网络安全法落地后,公安部、中央网信办、工信部等部门应声而动,对违法违规者除采取常规的约谈、整改措施外,还增加了高额罚款、产品下架、限期停服等处罚,情节严重者还要承担刑事责任。
然而,尽管对黑市上信息窃取倒卖等乱象有明显的收敛作用,但由于各法之间缺乏衔接、匹配且尚无专门立法,社会经济活动中的数据过度采集行为依旧无孔不入。
有受访者举例说,前一秒自己刚刚说到想买个日用品,后一秒相关商品就被推荐在一些电商APP上,且即使关闭了该APP,也似乎无法阻止信息偷采行为。对此,中国消费者协会2018年发布的一项测评报告显示,在其测评的100款APP中多达91款涉嫌“越界”采集数据。
“黑产需求旺盛,法律体系欠缺,企业投入少且能力有限。”艾瑞咨询分析师张阳认为法律体系建设是解决这三大问题的关键。
今年以来,过度采集信息已被列为监管打击重点,但多位受访者仍认为有些杯水车薪。
“一来无法定义何为‘过度’;二来用户关闭软件但仍被偷采信息的情况非常普遍,实时监管的难度较大。”远鉴科技有限公司投资总监王秋明认为,“现行法律法规对于互联网服务提供商过度获取用户信息的惩罚措施仍待完善。”
对于正在酝酿中的个人信息保护法和隐私保护法,信联智慧创始人杨楠认为,长时间的酝酿大多是难以协调各方需求,要避免最终沦为泛泛之谈,也要避免一部分细则出台后却滞后于日新月异的技术、业态更新。
多层次标准为“矩”
在法律法规之外,目前有20多项涉及生物识别的国家级标准发布。
“标准可对信息的采集、传输、存储给出规范,也可作为参考文献帮助和指导机构展业。”杨楠说。
这其中相对重磅的,是2018年10月人民银行颁布的《移动金融基于声纹识别的安全应用技术规范》,该文件对技术性能提出了采样、抗噪性等要求,对数据安全给出了采集、传输、存储、处理和删除等过程中的相应规范。
清华大学信息技术研究院语音语言技术中心主任郑方介绍,上述标准一出台,大批银行开始摩拳擦掌。“当然,标准的出台也伴随有两面性,一方面积极促进行业蓬勃发展,一方面也可能很快炒热一个‘小众’领域,大批机构进驻且缺乏自律,加剧市场的良莠不齐。”
因此,必须尽快建立多层次、多维度的立体标准及规范体系。
据杨楠介绍,标准体系可分企业标准、行业标准、国家标准、国际标准,但在我国却存在三方面难题:
其一,团体标准层面,一些互联网巨头牵头成立联盟,制定标准,构建了一定的团体内约束力,但这些互联网巨头所倡导的标准,以智能终端制造商为代表的其他合作伙伴却未必“买账”;其二,在行业标准和国家标准层面,每个管理部门都从自身需求和相关行业现状出发来制定标准,也大多仅适应于小范围“圈子”,各标准之间甚至还存在矛盾之处;其三,现有标准几乎均为推荐性而非强制性,效力较弱。
一些受访人士认为,接下来的标准研究和制定工作,应该以人工智能产业的基础共性、互联互通、行业应用、网络安全、隐私保护等为重点,打破各种利益屏障并升级管理手段,从“婴儿时期”就让整个产业走上正轨。
平衡安全与创新
对于数字经济的发展,全世界范围内2018年掀起了一股“匡正纲纪”的浪潮。在我国,电子商务法历时五年也终获通过,在网络安全法的基础上对个人信息保护规则做了进一步细化。
“期待监管层能够实现国家安全、消费者满意、行业发展三方面的平衡。”旷视科技副总裁谢忆楠提出,或可尝试由中科院等第三方学术机构组成专委会并制定测试题集,其中内容随着技术的迭代更新而进行动态调整,借此来相对准确地衡量企业的安全措施和技术水平,规范其业务拓展边界。
商汤科技方面人士认为,酝酿顶层设计的同时,企业也须加强自律。
首先,在国家标准和行业标准的指导下,企业应构建自身的安全体系。比如:引入第三方认证,并重视这些认证标准与自身业务的融合,以确保其有效、持续地落地。
其次,企业需具备定期自查与审计数据安全保护的能力。比如:内部或外部聘用渗透测试团队,定期完成数据安全审计,内部建立红蓝攻防团队,具有测试API防御的能力和手段。
最后,企业还可制定一系列数据防泄露措施。比如:部署域防护,设置权限管理体系,部署日志管理软件,使用水印功能等来保护敏感信息。
中国人民银行科技司司长李伟认为,在监管体系上,应探索建立金融科技创新产品管理机制、自我声明与备案制度,在一定范围内先行验证生物识别技术应用的可行性和合规性,及时发现并规避产品缺陷与风险隐患;在标准规范上,坚持标准先行,逐步构建生物识别技术应用标准体系;在技术应用上,引导金融机构在风险可控前提下选取较为成熟、安全性高的生物识别技术稳妥开展金融应用。