网友:人脸识别用起来很方便,感觉也很时尚,人脸识别相较于身份证信息、指纹信息等验证方式更安全吗?
谈剑锋:便捷不等于安全,互联网发展带来生活、学习、工作等的便捷,但大数据也在一定程度上侵犯了隐私,甚至有人完全是在互联网上“裸奔”。点点滴滴的个人隐私安全,汇聚起来就会是国家安全问题。
脸是生物识别技术,生物识别技术也是科技发展的趋势,但任何技术要适用场景,而不能以便捷之名换取市场利益的无底线滥用。传统的口令和密码,可以随时更换,而生物特征具有唯一性和不可再生性,丢了就无法更换。
相对于口令或密码必须是100%符合,目前生物识别认证技术还不是100%的,人脸识别是有漏洞的。前不久新闻报道“清华大学团队破解人脸识别”,尤其是我们现在所使用的手机人脸识别技术,是一种平面化的识别,只要面部特征与手机储存的这个识别信息,相似度超过阈值就会自动解锁。通过这个漏洞,就可以利用特殊的干扰值来对抗手机的相似度阈值,这样就可以实现人脸的解锁。该团队目前已经破解了市面上19款安卓手机。
网友:现在为了实名制,大多数应用在使用过程中都要求用户上传身份证信息和照片,还有的会采集人脸信息,我们很无奈,这该怎么解决?
谈剑锋:2017年6月1日,国家实施《网络安全法》,2020年1月1日,国家实施《密码法》,包括今年1月1日开始实施的《民法典》也有涉及个人隐私数据保护的相关条款。
《个人信息保护法》《数据安全法》也已分别公布草案,将成为2021年全国人大审议重点。均已规定了有关国家安全的重要数据、保密数据、个人敏感数据的保护原则,但针对数据确权、数据内容敏感性审查、数据流转利用合规评定等方面的具体判定和操作细则还有待完善。
我注意到,天津市2020年12月1日“立法禁止采集人脸识别信息”。2021年1月1日,实施的《天津市社会信用条例》中规定:市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。
希望政府能够完善相应的法律法规,并依法依规加大违法信息采集的处罚力度。
网友:对于包括人脸数据在内的数据安全,您有哪些具体的建议呢?
谈剑锋:数据是有价值的,数据就是资产。习近平总书记就曾强调“数据是新的石油,是本世纪最为珍贵的财产。”
今年的全国两会,我提交了一件提案:建议国家设立“数据银行”。
对唯一性、不可再生性数据,比如:生物特征(人脸、指纹、虹膜等)数据、DNA数据、医疗和健康档案数据,必须由国家统一管理,市场不得自行采集、存储和使用。
国家统一管理的这些敏感数据,通过脱敏、加密、标识后,才能返回市场做应用。经过处理后的这些数据,市场在使用时,不能再像现在这样“数据裸奔”,完全没有隐私。
网友:在信息安全领域,未来动向如何?需要注意些什么?
谈剑锋:大家看到最近国家正在打击互联网的垄断,其实这些垄断根本上是数据的垄断。大型平台公司和机构掌握大量数据,形成事实上的数据垄断。今年全国两会我的另一件提案是:建议国家尽快出台数据合规应用的评审制度。在数据合规应用审评制度未明确前,众多大数据分析技术创新公司只能依附数据垄断平台和机构,并为其提供服务,进一步助推了垄断的发展。
智能汽车最近越来越火,智能汽车将会重新定义汽车。智能汽车就是物联网的终端,说成智能网联车更准确。那么,智能网联车未来的发展基础就是数据,而数据安全就更显重要。互联网时代让我们没有了隐私,物联网时代不要让我们没有了安全。因为,手机涉及隐私安全,智能车联网不仅涉及隐私,更涉及人身安全。智能手机就是互联网时代的重要入口,智能网联车就是未来物联网的重要入口,我们必须提前应对,出台相关法律法规和对应的技术规范。