编者按:本文来自微信公众号“IT时报”(ID:vittimes),作者:潘少颖,36氪经授权发布。
作者 | IT时报记者 潘少颖
编辑 | 挨踢妹
排版 | 黄建
图片 | 冯诚杰 采访对象
30秒快读
1 一条楼道、一座花园、一处出入口……疫情渐趋稳定后,在上海越来越多的小区和楼宇,“脸”已经成了主要通行证,人脸识别门禁已然成为衡量一个小区、一幢楼宇是否便利的重要条件之一。也因此,人脸识别闸机的出现已成为通道行业的新趋势。
2 可以刷卡,为何一定要刷脸?保安、居委会大妈都有资格访问后台数据吗?
3 要知道,人脸信息一旦泄露,是不可能追回,也不可能整容的,没有选择权的回家路,有点难。
“高科技很赞,不用带门禁卡还解放了双手!”有的居民说道。
“疫情期间,为了严控外来人员出入,保安日夜值守,居委会、物业的工作量都很大,所以才想到启用刷脸出入。”物业负责人说道。
的确,“刷脸”让通行速度更快,也提升了治安管理的效率。
但不得不说的是,一旦个人的生物信息被录入进系统,总会面对被泄露的风险,一处泄露则处处泄露,犹如一张大网,细思极恐。
更重要的是,市民似乎对于如何进出并没有太大的选择权,如果不想“出卖”自己的脸,可能就进不了门。
“之前因为担心隐私被泄漏,一直没去物业登记。”去年,家住上海某一小区的汤松(化名)在小区里看到请居民录入人脸的通知。
看到这张通知的那一刻,汤松就产生了抵触情绪,在他看来,人脸是自己的生物信息,怎能随意被拿走?
为了不“献出”自己的人脸,汤松多次咨询物业是否有其他方式,但最终还是“屈服”了。
“没有第二种选择,一户人家只发两张卡,卡不够就必须刷脸,我们一家五人,总要献出三张脸。”汤松认为,既然有刷卡和刷脸两种方式,为什么不能让居民有自主选择权,哪怕出钱购卡也可以。
碰到类似问题的还有在普陀一商务楼上班的陆培(化名),4月中旬,陆培接到物业通知,要求大楼里的员工在规定时间内去录入人脸,此时,陆培发现,大堂内8个人脸识别闸机已经安装好,就等员工们的人脸了。
大堂内,陆陆续续有人在录入人脸,只需报上身份证、手机号,整个过程只要一分钟。
但是,考虑到安全原因,陆培不想这么刷脸进出,她希望能刷卡,可是现场工作人员却表示闸机没有刷卡功能,要进大楼就只有刷脸这一条路。
无奈之下,陆培和汤松一样,只能妥协。“为什么直到安装好了设备才通知,此前也没询问过,而且也没有给大家选择。”陆培说。
对于陆培的问题,该楼宇物业负责人肖经理表示,目前楼内有800多人已经录入了人脸信息,信息保存在本地服务器上。
“只有一个负责出入管理的员工可以访问信息,其他人没有权限查看。”肖经理表示,闸机有刷卡功能,但为了便于管理,避免员工忘记带卡,所以目前只启用了人脸识别功能。至于刷卡功能是否会启用,肖经理表示,要看刷脸使用的情况。
陈小姐也遇到过类似的问题,“我们小区不是刷脸,而是每次进小区都要扫二维码,要授权位置信息。”
从事科技工作的陈小姐相对谨慎。她告诉记者,她不知道后台是谁管理,所以不愿授权位置信息,有时保安也没办法只能让她进。
但对于一些对隐私保观念并不强的大爷大妈,保安们就连哄带骗。
相较于汤松和陆培的“没有选择”,住在徐汇一小区的商商(化名)还是幸运的,从4月21日起,该小区开始进行门禁系统安装调试,根据居委会通知,小区居民每家可以拿到三张免费的NFC卡,超出3张则需支付10元工本费。
“我前几天去居委录入人脸时,有蛮多人在排队录入,尤其是年轻人。”对于应该如何进入小区,商商表示,自己是支持刷脸的,但还是应该让居民有选择权。
可以刷卡的设备,用户却被强制录入人脸信息
“刷脸”是智能小区的重要组成部分,但关于刷脸进门是否安全的讨论由来已久,担心数据泄露的最为普遍。
此前,教育部科技司司长雷朝滋对于在教室装人脸识别设备采集学生生物信息表示,“能不采就不采,能少采就少采,尤其是涉及到学生个人生物信息,对于人脸识别或者肢体识别的教育App加以限制和规范”。
疫情趋于稳定之后,刷脸的脚步正在加快,不少商务楼宇、小区已经步入“刷脸”时代。
直到现在,众人科技创始人谈剑锋依然保持着如果需要采集人脸、指纹等生物信息的App就情愿不用的习惯。
“我虽然没有碰到过只能刷脸才能进入小区或楼宇的情况,但对于规定只能刷脸才能进入的场所,而且无法选择,属于强制收集个人隐私数据,且不论日后可能出现的风险,至少用户应该有选择权。”在谈剑峰看来,对于个人生物信息,能采就采是当下的普遍现象,这是为了体验而牺牲了隐私。
2020年10月1日,新版《信息安全技术个人信息安全规范》(以下简称《规范》)即将实施。相较于2017年12月发布的《规范》旧版本,新版对个人信息收集、储存、使用作出明确规定。业界表示,这是加强个人信息保护所释放的一个强烈信号。
比如根据新版《规范》要求,在收集人脸、指纹等个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得个人信息主体的明示同意。也就是对于收集个人信息者提出“单独告知”及“取得明示同意”的双重要求。
这一规定相较于旧版及2019年10月《规范》征求意见稿中,对收集个人敏感信息时“应当确保获得个人信息主体的明示同意”的要求更为严格。
遗憾的是,但就目前的情况来看,并没有做到单独告知、使用目的、方式、范围等,甚至让用户陷入“进退两难”的境地。
尽管新版《规范》尚未实施,但个人生物信息保护却是一个长期存在的问题,时刻需要念念“紧箍咒”。