首页 > 银行 > 监管 > 正文

旷视拿了蚂蚁人脸数据监管机构很着急

文章来源:
字体:
发布时间:2020-09-17 19:28:40

旷视拿了蚂蚁人脸数据监管机构很着急



不久前,创新工场董事长兼 CEO 李开复在一场公开演讲中提到,曾在旷视科技成立初期帮助其找到了美图、蚂蚁金服等合作伙伴,拿到了大量的人脸数据。


蚂蚁集团服监测到舆情后,主动发声,表示从未提供任何人脸数据给旷视科技,并声明,数据安全和隐私是蚂蚁集团的生命线,在任何时候都不会违背。 


随后,旷视科技和李开复也先后发声。前者表示,旷视不掌握,也不会主动收集终端用户的任何个人信息。后者对其口误进行了说明,并对其对三家公司造成的困扰致歉。 


至此,口误事件逐步平息,但关于人脸隐私的问题引发了一连串疑虑。那么我们是否应该担心人脸数据的问题,甚至对大数据时代到底该不该表示拒绝呢?


拿得到吗?

AI 技术的发展建立在数据的基础之上。以人脸识别所在的图像识别为例,AI 模型在被构建初期,需要通过大量图像数据的学习,掌握图像中不同事物的特征,并用学到的特征识别新的图像中的物体。 


对于人脸识别来说,经过训练的机器能够识别图像或视频中的人脸的特征,与其已知的人脸特征相比对,从而识别出被识别人的身份。因此,要想一个人脸识别应用「能认出你」,首先它要「认识你」。 


比如在支付场景下,用户在开通「刷脸支付」的时候,往往需要先进行面部扫描,以便系统「认识你」。扫描所得的人脸数据会被应用拥有方存入数据库,当用户发生刷脸支付行为的时候,系统就会将当下的人脸特征与数据库中存档的人脸特征进行比对,并结合其他行为信息确认用户身份。 


那么,当技术合作方,比如 AI 公司,与金融机构合作建立人脸识别项目的时候,AI 公司能否有机会从金融机构获得人脸数据?这在当前的监管形势下,答案是否定的。 


人脸识别技术逐步走入人们生活中后,监管力度开始逐步加强。特别是在关乎人民财产安全的金融领域,监管部门对金融隐私数据的治理更是严格。 


新规出台

2020 年 2 月,中国人民银行发布了金融行业标准《个人金融信息保护技术规范》,从安全技术和安全管理两个方面规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期环节的安全防护要求。 


在该规范中,央行规定了信息分级管理制度,其中,个人身份信息,包括指纹、人脸、虹膜等个人生物识别信息属于 C3 级别,也就是最高级别保护信息,与银行卡密码同级。规范明确规定,C3 级别信息不应共享转让,且不应委托给第三方机构进行处理。 


「金融机构对数据安全的要求一直以来都是最高级的」,一位 AI 公司的业务负责人告诉极客公园,他在工作中频繁接触金融客户。「机构内部有两级物理隔离的系统保证数据安全,即使内部员工想要访问数据都需要在一个放满摄像头监控的物理隔离的操作间进行操作。」 


如果需要第三方公司的服务,第三方公司的员工需要到机构现场,并且要在机构内部员工的陪同下,按同样的安全策略执行。也就是说,在金融机构完全合规的情况下,在当前的金融监管环境中,AI 公司想要通过合作获取数据,几乎没有可能。 


然而,时间拉回到人脸识别技术刚刚起步的 2012 年,那时监管尚未成熟,哪怕是在金融领域,合作双方也不一定有意识对人脸信息做保护。这就导致在行业初始阶段,很多人脸信息在人脸拥有者不知情的情况下,被复用或交易。 


多少钱能买你的脸?

虽然生物识别信息与银行卡同属于 C3 级别,但在实际意义上,个人生物信息甚至重要意义远大于银行卡密码,因为生物信息无法被修改。也就是说,一旦你的人脸、指纹、虹膜信息授权给数据使用方,你没有办法通过「修改你的脸、指纹、虹膜」撤销授权。 


尽管上述规范中对金融机构提出了明确的数据删除及销毁规范。但在实际环境中,情况并非如此简单和乐观。一位金融领域的 AI 技术从业者向极客公园谈到:「我家附近的奶茶店都能自动地识别到我,每次我过去买奶茶,门口的机器都会说『张先生您好,您是我们的 VIP 会员』,你说想要获得人脸信息,还是难事吗?」