為生物識別產(chǎn)業(yè)立規(guī)矩

劉秋娜　黃思楠

在我國，以人臉識別為代表的生物識別技術日益普及，市場熱情高漲，但相關法律體系還有待完善。

截至目前，我國僅有一些關于信息保護的相關規(guī)定散落于民法、網(wǎng)絡安全法、消費者權益保護法，其他則來自國務院、最高人民法院、最高人民檢察院的相關司法解釋與規(guī)定。對生物識別乃至人工智能產(chǎn)業(yè)，尚無專門立法。

眼見著我國快步邁向數(shù)字經(jīng)濟時代，這一高新技術如何“以規(guī)矩定方圓”，亟待破題。

以法為“規(guī)”出拳

生物識別技術應用中的最主要矛盾之一，是個人信息保護問題。

中國政法大學《法治政府藍皮書：中國法治政府發(fā)展報告2018》顯示，我國有近40部法律、30部行政法規(guī)和200余部規(guī)章規(guī)定涉及個人信息保護。2016年網(wǎng)絡安全法落地后，公安部、中央網(wǎng)信辦、工信部等部門應聲而動，對違法違規(guī)者除采取常規(guī)的約談、整改措施外，還增加了高額罰款、產(chǎn)品下架、限期停服等處罰，情節(jié)嚴重者還要承擔刑事責任。

然而，盡管對黑市上信息竊取倒賣等亂象有明顯的收斂作用，但由于各法之間缺乏銜接、匹配且尚無專門立法，社會經(jīng)濟活動中的數(shù)據(jù)過度采集行為依舊無孔不入。

越界 中消協(xié)2018年一項報告顯示，在其測評的100款App中多達91款涉嫌“越界”采集數(shù)據(jù)。

有受訪者舉例說，前一秒自己剛剛說到想買個日用品，后一秒相關商品就被推薦在一些電商APP上，且即使關閉了該APP，也似乎無法阻止信息偷采行為。對此，中國消費者協(xié)會2018年發(fā)布的一項測評報告顯示，在其測評的100款APP中多達91款涉嫌“越界”采集數(shù)據(jù)。

“黑產(chǎn)需求旺盛，法律體系欠缺，企業(yè)投入少且能力有限。”艾瑞咨詢分析師張陽認為法律體系建設是解決這三大問題的關鍵。

今年以來，過度采集信息已被列為監(jiān)管打擊重點，但多位受訪者仍認為有些杯水車薪。

“一來無法定義何為‘過度;二來用戶關閉軟件但仍被偷采信息的情況非常普遍，實時監(jiān)管的難度較大。”遠鑒科技有限公司投資總監(jiān)王秋明認為，“現(xiàn)行法律法規(guī)對于互聯(lián)網(wǎng)服務提供商過度獲取用戶信息的懲罰措施仍待完善。”

對于正在醞釀中的個人信息保護法和隱私保護法，信聯(lián)智慧創(chuàng)始人楊楠認為，長時間的醞釀大多是難以協(xié)調(diào)各方需求，要避免最終淪為泛泛之談，也要避免一部分細則出臺后卻滯后于日新月異的技術、業(yè)態(tài)更新。

多層次標準為“矩”

在法律法規(guī)之外，目前有20多項涉及生物識別的國家級標準發(fā)布。

“標準可對信息的采集、傳輸、存儲給出規(guī)范，也可作為參考文獻幫助和指導機構展業(yè)。”楊楠說。

這其中相對重磅的，是2018年10月人民銀行頒布的《移動金融基于聲紋識別的安全應用技術規(guī)范》，該文件對技術性能提出了采樣、抗噪性等要求，對數(shù)據(jù)安全給出了采集、傳輸、存儲、處理和刪除等過程中的相應規(guī)范。

清華大學信息技術研究院語音語言技術中心主任鄭方介紹，上述標準一出臺，大批銀行開始摩拳擦掌。“當然，標準的出臺也伴隨有兩面性，一方面積極促進行業(yè)蓬勃發(fā)展，一方面也可能很快炒熱一個‘小眾領域，大批機構進駐且缺乏自律，加劇市場的良莠不齊。”

2018年6月7日，廣東國家考試指揮中心通過生物識別系統(tǒng)監(jiān)控考場。

因此，必須盡快建立多層次、多維度的立體標準及規(guī)范體系。

據(jù)楊楠介紹，標準體系可分企業(yè)標準、行業(yè)標準、國家標準、國際標準，但在我國卻存在三方面難題：

其一，團體標準層面，一些互聯(lián)網(wǎng)巨頭牽頭成立聯(lián)盟，制定標準，構建了一定的團體內(nèi)約束力，但這些互聯(lián)網(wǎng)巨頭所倡導的標準，以智能終端制造商為代表的其他合作伙伴卻未必“買賬”;其二，在行業(yè)標準和國家標準層面，每個管理部門都從自身需求和相關行業(yè)現(xiàn)狀出發(fā)來制定標準，也大多僅適應于小范圍“圈子”，各標準之間甚至還存在矛盾之處;其三，現(xiàn)有標準幾乎均為推薦性而非強制性，效力較弱。

一些受訪人士認為，接下來的標準研究和制定工作，應該以人工智能產(chǎn)業(yè)的基礎共性、互聯(lián)互通、行業(yè)應用、網(wǎng)絡安全、隱私保護等為重點，打破各種利益屏障并升級管理手段，從“嬰兒時期”就讓整個產(chǎn)業(yè)走上正軌。

平衡安全與創(chuàng)新

對于數(shù)字經(jīng)濟的發(fā)展，全世界范圍內(nèi)2018年掀起了一股“匡正綱紀”的浪潮。在我國，電子商務法歷時五年也終獲通過，在網(wǎng)絡安全法的基礎上對個人信息保護規(guī)則做了進一步細化。

“期待監(jiān)管層能夠?qū)崿F(xiàn)國家安全、消費者滿意、行業(yè)發(fā)展三方面的平衡。”曠視科技副總裁謝憶楠提出，或可嘗試由中科院等第三方學術機構組成專委會并制定測試題集，其中內(nèi)容隨著技術的迭代更新而進行動態(tài)調(diào)整，借此來相對準確地衡量企業(yè)的安全措施和技術水平，規(guī)范其業(yè)務拓展邊界。

商湯科技方面人士認為，醞釀頂層設計的同時，企業(yè)也須加強自律。

首先，在國家標準和行業(yè)標準的指導下，企業(yè)應構建自身的安全體系。比如：引入第三方認證，并重視這些認證標準與自身業(yè)務的融合，以確保其有效、持續(xù)地落地。

其次，企業(yè)需具備定期自查與審計數(shù)據(jù)安全保護的能力。比如：內(nèi)部或外部聘用滲透測試團隊，定期完成數(shù)據(jù)安全審計，內(nèi)部建立紅藍攻防團隊，具有測試API防御的能力和手段。

最后，企業(yè)還可制定一系列數(shù)據(jù)防泄露措施。比如：部署域防護，設置權限管理體系，部署日志管理軟件，使用水印功能等來保護敏感信息。

中國人民銀行科技司司長李偉認為，在監(jiān)管體系上，應探索建立金融科技創(chuàng)新產(chǎn)品管理機制、自我聲明與備案制度，在一定范圍內(nèi)先行驗證生物識別技術應用的可行性和合規(guī)性，及時發(fā)現(xiàn)并規(guī)避產(chǎn)品缺陷與風險隱患;在標準規(guī)范上，堅持標準先行，逐步構建生物識別技術應用標準體系;在技術應用上，引導金融機構在風險可控前提下選取較為成熟、安全性高的生物識別技術穩(wěn)妥開展金融應用。