劉 烽

（廣州市公安局網(wǎng)絡(luò)警察支隊，廣東 廣州510030)

為應(yīng)對人臉識別技術(shù)應(yīng)用的諸多風(fēng)險，應(yīng)該從保護(hù)人臉數(shù)據(jù)的采集、存儲、傳輸、使用和人臉模型的角度，完善生物識別相關(guān)法律法規(guī)，建立人臉大數(shù)據(jù)中心和多因子識別管理體系，加強(qiáng)技術(shù)應(yīng)用的監(jiān)管和數(shù)據(jù)保護(hù)。

1 強(qiáng)化政府綜合管理，建立生物特征信息相關(guān)的管理機(jī)構(gòu)和制度，保障人臉數(shù)據(jù)的安全、規(guī)范使用

根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的2018年全球人臉識別算法測試（FRVT）結(jié)果，2018年來自全球共有39家企業(yè)和機(jī)構(gòu)參與本次競賽。在該排名中，前五名算法被中國依圖科技、商湯科技、中國科學(xué)院深圳先進(jìn)技術(shù)研究院等包攬，顯示中國強(qiáng)大的競爭力。

為強(qiáng)化政府的綜合管理，推動社會共治的全新模式。要建立生物特征信息相關(guān)的管理機(jī)構(gòu)和制度，保障人臉數(shù)據(jù)的安全、規(guī)范使用。構(gòu)建統(tǒng)一的機(jī)構(gòu)和一個透明的機(jī)制，既可以約束從業(yè)廠商、數(shù)據(jù)運(yùn)營方，做好隱私保護(hù)，又可以取得公眾理解和支持，推動技術(shù)創(chuàng)新升級，以獲得共贏。建議成立生物特征識別技術(shù)專業(yè)委員會的管理機(jī)構(gòu)和制度，以更好為行業(yè)標(biāo)準(zhǔn)和安全提供技術(shù)引導(dǎo)和監(jiān)管服務(wù)。

2 強(qiáng)化網(wǎng)絡(luò)安全保障，建立人臉識別網(wǎng)絡(luò)及信息安全監(jiān)管體系

一是加快制定人臉識別應(yīng)用技術(shù)標(biāo)準(zhǔn)體系。針對人臉識別技術(shù)發(fā)展與安全防護(hù)問題，鼓勵政府與人臉識別龍頭企業(yè)合作推進(jìn)誤識率、識別正取率、識別速率等技術(shù)標(biāo)準(zhǔn)的研究制定，明確對人臉識別軟硬件應(yīng)用的安全技術(shù)要求，依據(jù)人臉識別在公共或商業(yè)應(yīng)用對安全的差異化需求，制定分級別、多層次的國家安全標(biāo)準(zhǔn)及行業(yè)安全標(biāo)準(zhǔn)。加快落實《安全防范人臉識別應(yīng)用靜態(tài)人臉圖像采集規(guī)范》等標(biāo)準(zhǔn)文件，促進(jìn)人臉識別行業(yè)應(yīng)用規(guī)范化。

二是建立人臉識別應(yīng)用的安全評估及審核制度。針對安防、金融、電商、支付等不同應(yīng)用領(lǐng)域進(jìn)行安全評估，對人臉識別產(chǎn)品的應(yīng)用及推廣實行審批環(huán)節(jié)，保證產(chǎn)品符合安全技術(shù)要求。同時，指導(dǎo)企業(yè)建立人臉識別數(shù)據(jù)安全風(fēng)險管理及防控機(jī)制，制定企業(yè)合規(guī)體系，孕育有效的內(nèi)在約束機(jī)制。建立健全網(wǎng)絡(luò)安全責(zé)任制和問責(zé)制及網(wǎng)絡(luò)運(yùn)營主體責(zé)任，增強(qiáng)全社會維護(hù)網(wǎng)絡(luò)安全的防護(hù)意識和主體責(zé)任意識，督促依法開展網(wǎng)絡(luò)安全等級保護(hù)備案和安全測評，落實城市公共基礎(chǔ)設(shè)施、民生服務(wù)、金融服務(wù)等重要領(lǐng)域信息系統(tǒng)安全體系“同步規(guī)劃、同步建設(shè)”。

三是建立常態(tài)化個人影像數(shù)據(jù)管理機(jī)制。落實《信息安全技術(shù)個人信息安全規(guī)范》、《網(wǎng)絡(luò)安全法》，規(guī)范企業(yè)采集、傳輸、存儲、使用個人影像數(shù)據(jù)等行為，加強(qiáng)大數(shù)據(jù)環(huán)境下個人信息安全保護(hù)，通過加強(qiáng)職能部門監(jiān)管和行業(yè)自律，嚴(yán)格對個人信息的采集、保管、運(yùn)用等，加速行業(yè)統(tǒng)一標(biāo)準(zhǔn)的制定，對重點(diǎn)群體、重點(diǎn)行業(yè)的個人信息數(shù)據(jù)施加重點(diǎn)保護(hù)，構(gòu)建分級分類保護(hù)體系；對不遵守審核制度、非法采集、泄露及濫用個人隱私、不正當(dāng)競爭的企業(yè)，加大處罰力度，督促其落實安全主體責(zé)任，不斷提升全民的網(wǎng)絡(luò)素養(yǎng)和安全防范意識。

例如，針對2019年2月份，“深網(wǎng)視界”沒有密碼保護(hù)，直接將250萬人臉數(shù)據(jù)暴露于公網(wǎng)，而依據(jù)《網(wǎng)路安全法》的規(guī)定，根據(jù)情節(jié)嚴(yán)重程度，其可以被處以罰款、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等處罰措施。

同時，監(jiān)管部門應(yīng)依法規(guī)實施監(jiān)管，兼顧發(fā)展問題，促進(jìn)人臉識別企業(yè)和網(wǎng)絡(luò)安全企業(yè)合作，展開針對人臉識別的網(wǎng)絡(luò)安全技術(shù)研發(fā)，包括基于人臉識別系統(tǒng)的網(wǎng)絡(luò)安全應(yīng)急處理、信息系統(tǒng)安全運(yùn)維、數(shù)據(jù)和系統(tǒng)容災(zāi)備份等內(nèi)容，推動基于人工智能技術(shù)的新型自主網(wǎng)絡(luò)安全系統(tǒng)研究，避免不當(dāng)監(jiān)管措施抑制人臉識別技術(shù)創(chuàng)新和市場發(fā)展。

3 落實生物特征數(shù)據(jù)各環(huán)節(jié)的安全主體責(zé)任，厘清大數(shù)據(jù)下政府、企業(yè)及個人的數(shù)據(jù)權(quán)責(zé)問題

安防領(lǐng)域要規(guī)范人臉模型訓(xùn)練和流轉(zhuǎn)，建立人臉大數(shù)據(jù)中心。公安機(jī)關(guān)在互聯(lián)網(wǎng)運(yùn)行的應(yīng)用系統(tǒng)（如民生服務(wù)，業(yè)務(wù)數(shù)據(jù)采集等）要確保數(shù)據(jù)安全，嚴(yán)禁在互聯(lián)網(wǎng)存儲公安內(nèi)部數(shù)據(jù)，嚴(yán)格落實公安網(wǎng)絡(luò)邊界安全措施，嚴(yán)格落實運(yùn)維公司安全管理措施，按照網(wǎng)絡(luò)安全等級三級保護(hù)標(biāo)準(zhǔn)和國家強(qiáng)制性標(biāo)準(zhǔn)《公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求》，落實公安視頻傳輸網(wǎng)絡(luò)安全管理措施。

在技術(shù)上，建議公安系統(tǒng)在國家和省級層面建立人臉大數(shù)據(jù)中心，在物理隔絕的專網(wǎng)內(nèi)存儲人臉數(shù)據(jù)。算法供應(yīng)商的模型必須在公安專網(wǎng)的大數(shù)據(jù)中心內(nèi)進(jìn)行訓(xùn)練，產(chǎn)生的模型也必須應(yīng)用在公安系統(tǒng)的專網(wǎng)內(nèi)部，實現(xiàn)數(shù)據(jù)、模型物理上不出專網(wǎng)。深度學(xué)習(xí)的模型如果需要跨省市流轉(zhuǎn)并持續(xù)訓(xùn)練增強(qiáng)，只能在公安專網(wǎng)內(nèi)部流轉(zhuǎn)。算法供應(yīng)商可以租用公安大數(shù)據(jù)中心的數(shù)據(jù)和計算力進(jìn)行算法模型的升級和更新。在法律和行業(yè)規(guī)范上，建議規(guī)定并區(qū)分?jǐn)?shù)據(jù)和模型流轉(zhuǎn)的法律關(guān)系。程序是由程序員編寫而成，其信息的來源是程序員自身，是人創(chuàng)造的產(chǎn)物。但是模型是由數(shù)據(jù)訓(xùn)練而來，其信息來源是人臉大數(shù)據(jù)，是自然資源進(jìn)一步加工的產(chǎn)物。區(qū)分算法供應(yīng)商的程序版權(quán)和模型來源，對使用的模型需要提供訓(xùn)練數(shù)據(jù)源所有者的授權(quán)證書。規(guī)定數(shù)據(jù)和模型的流轉(zhuǎn)必須有詳細(xì)、有區(qū)別的法律手續(xù)作保證，對數(shù)據(jù)進(jìn)行訓(xùn)練得到模型，并不能改變數(shù)據(jù)屬主對模型的擁有關(guān)系。

雖然生物識別的準(zhǔn)確性等問題會隨著技術(shù)進(jìn)步逐步獲得改善，但生物識別身份卻存在難以克服的安全風(fēng)險，甚至可能危害國家安全。因此，大規(guī)模的廣泛應(yīng)用，尤其是在重要領(lǐng)域的使用，必須慎之又慎，不能放任商業(yè)企業(yè)追逐利潤自行其是。建議可以采用多因子識別管理體系，與其他身份識別手段相結(jié)合，提高系統(tǒng)的安全性、穩(wěn)定性和科學(xué)性。

4 大力推進(jìn)網(wǎng)絡(luò)偵查技術(shù)手段建設(shè)，提高涉人臉技術(shù)風(fēng)險、網(wǎng)絡(luò)犯罪的發(fā)現(xiàn)能力和偵辦能力

一是與時俱進(jìn)，大力推進(jìn)網(wǎng)絡(luò)偵查技術(shù)手段建設(shè)。倡導(dǎo)科技強(qiáng)警，向科技要警力和戰(zhàn)斗力，堅持以“以高科技對抗高科技”攻堅思想，加快研發(fā)、引進(jìn)和應(yīng)用新型偵查系統(tǒng)，依托云計算技術(shù)，大數(shù)據(jù)分析，充分發(fā)揮和運(yùn)用網(wǎng)綜系統(tǒng)平臺，針對新型疑難計算機(jī)網(wǎng)絡(luò)犯罪案件進(jìn)行分析，整合各類的信息資源，破解還原網(wǎng)絡(luò)犯罪流程，重現(xiàn)犯罪作案手法，及時發(fā)現(xiàn)、挖掘此類案件線索，對有效線索進(jìn)行研判，為事實認(rèn)定、法律適用、輔助量刑、辦案決策等提供數(shù)據(jù)支撐，開展綜合整治和嚴(yán)厲打擊工作，提升偵辦案件的效率。

二是加強(qiáng)公安技術(shù)人員隊伍建設(shè)。當(dāng)前涉人臉識別技術(shù)網(wǎng)絡(luò)犯罪呈現(xiàn)明顯的團(tuán)伙化、專業(yè)化、智能化等特點(diǎn)，而專業(yè)技能、偵查手段和警力不足等諸多因素制約偵查打擊。針對當(dāng)前網(wǎng)絡(luò)犯罪行為人掌握運(yùn)用新技術(shù)快而公安內(nèi)部人才更新慢的狀況，缺少一批懂人臉識別技術(shù)、計算機(jī)網(wǎng)絡(luò)、金融知識、又能進(jìn)行專業(yè)研判的人才。建議采取向外聘請優(yōu)秀專業(yè)人才的方式，充分利用外部先進(jìn)的網(wǎng)絡(luò)安全與偵查技術(shù)，加強(qiáng)自身網(wǎng)絡(luò)安全技術(shù)的研究和推廣。因此，加強(qiáng)科技投入，結(jié)合組建打擊新型違法犯罪專業(yè)隊工作，不斷提升打擊利用人臉識別技術(shù)網(wǎng)絡(luò)犯罪隊伍的專業(yè)能力與水平，培養(yǎng)專業(yè)人才，以適應(yīng)當(dāng)前打擊利用人臉識別技術(shù)網(wǎng)絡(luò)犯罪的形勢變化。

三是規(guī)范和完善電子證據(jù)提取固定工作流程，強(qiáng)化證據(jù)意識。電子證據(jù)是懲治打擊計算機(jī)網(wǎng)絡(luò)犯罪的關(guān)鍵證據(jù)，因其特點(diǎn)是易破壞、易滅失、易偽造與篡改等，公安機(jī)關(guān)依托云計算技術(shù)，電子數(shù)據(jù)云平臺，電子證據(jù)實驗室等手段，規(guī)范和完善電子證據(jù)提取固定等各類工作流程。如涉人臉識別技術(shù)風(fēng)險漏洞新型犯罪的取證，主要從以下方面：一是要從作案現(xiàn)場及第三運(yùn)營商發(fā)現(xiàn)查找被破解或攻擊的登錄系統(tǒng)、用戶注冊信息、身份認(rèn)證信息、登錄日志等信息。二要從作案現(xiàn)場及第三運(yùn)營商發(fā)現(xiàn)調(diào)取銀聯(lián)、第三方、第四方電子交易記錄、資金流向。三要從作案現(xiàn)場及第三運(yùn)營商發(fā)現(xiàn)固定手機(jī)短信、電子郵件、即時通信、通訊群組等網(wǎng)絡(luò)應(yīng)用服務(wù)的通信信息；網(wǎng)頁、博客、微博客、朋友圈、網(wǎng)盤等網(wǎng)絡(luò)平臺發(fā)布的信息。四要從作案現(xiàn)場對涉案的文檔、圖片、音視頻、數(shù)字證書、計算機(jī)程序等電子文件進(jìn)行勘驗固定。從中獲取、分析和發(fā)現(xiàn)各種犯罪證據(jù)，以電子證據(jù)為突破口破解打擊新型犯罪難題。

5 整合優(yōu)化資源，完善警種聯(lián)合作戰(zhàn)、跨區(qū)域協(xié)作機(jī)制，提升打擊效果

縱觀警務(wù)信息化的發(fā)展歷程，從資源平臺的初步建設(shè)到整合，再到運(yùn)用云計算等信息技術(shù)，利用大數(shù)據(jù)分析、預(yù)測方法進(jìn)行案件偵查，也帶動偵查思維和模式的變革和發(fā)展，實現(xiàn)從傳統(tǒng)偵查方法到信息化偵查的跳躍，為公安信息化帶來創(chuàng)新式的突破。大數(shù)據(jù)警務(wù)云建設(shè)、“智慧新偵查”將有效聚焦違法犯罪問題熱點(diǎn)區(qū)域和成因，指導(dǎo)集約化開展打防行動，把數(shù)據(jù)變成線索、把線索變成指令，起到主動預(yù)測犯罪、防范犯罪的作用。

強(qiáng)化多警種及區(qū)域性警務(wù)合作。一方面，在本區(qū)域范圍內(nèi)，技偵、網(wǎng)警、刑偵、經(jīng)偵和情報等各警種建立長效的工作與合作機(jī)制，按分工開展并案查處，集中力量實施有針對性打擊；另一方面，要加強(qiáng)與周邊城市的信息互通，協(xié)調(diào)與外地的警務(wù)合作，實現(xiàn)信息與資源上的共享、數(shù)據(jù)共用新機(jī)制，做好跨地域網(wǎng)絡(luò)違法犯罪的打擊，形成整體打擊合力。

然而在網(wǎng)絡(luò)犯罪高發(fā)的今天，僅僅依靠公安一家已經(jīng)遠(yuǎn)遠(yuǎn)無法滿足實踐需求。要借助社會、企業(yè)的力量，利用廣大的社會資源，才能真正實現(xiàn)及時、精準(zhǔn)打擊，提升打擊效果。

6 嚴(yán)厲打擊黑灰產(chǎn)業(yè)，有效遏制涉人臉識別漏洞等網(wǎng)絡(luò)犯罪

隨著網(wǎng)絡(luò)黑產(chǎn)技術(shù)的升級，新型網(wǎng)絡(luò)犯罪呈現(xiàn)出跨部門、跨行業(yè)、跨地域等特性，形成盤根錯節(jié)的網(wǎng)絡(luò)犯罪黑色產(chǎn)業(yè)鏈。當(dāng)前黑灰產(chǎn)業(yè)無疑已經(jīng)成為互聯(lián)網(wǎng)的毒瘤，在這條黑色產(chǎn)業(yè)鏈上，上游為提供技術(shù)的黑客，中游為黑色產(chǎn)業(yè)的犯罪團(tuán)伙，下游則是支持黑色產(chǎn)業(yè)犯罪團(tuán)伙的各種團(tuán)伙組織，使得網(wǎng)絡(luò)犯罪越來越產(chǎn)業(yè)化，給社會帶來巨大危害。

黑客滲透、侵入政府、企業(yè)等權(quán)威網(wǎng)站，獲取服務(wù)器權(quán)限后增、刪、改私人信息，成為偽造資質(zhì)文憑的源頭，從中獲取大量詳實公民個人信息。當(dāng)犯罪分子掌握大量公民個人信息后，實施“精準(zhǔn)盜刷”，成為頭號威脅源。以打擊網(wǎng)絡(luò)黑灰產(chǎn)威脅源為抓手，一要加大宣傳力度，不斷提升全民的網(wǎng)絡(luò)安全防范意識，加強(qiáng)大數(shù)據(jù)環(huán)境下個人信息安全保護(hù)。二對黑灰產(chǎn)必須全鏈條式進(jìn)行打擊，從下游打到上游，斬草除根，形成強(qiáng)大的震懾。三要集群式嚴(yán)打平臺化類網(wǎng)絡(luò)黑灰產(chǎn)業(yè)團(tuán)伙犯罪。為追求利益最大化，涉網(wǎng)黑灰產(chǎn)業(yè)鏈逐漸會形成規(guī)模大、公司化、平臺化運(yùn)營，而平臺就是該黑灰產(chǎn)業(yè)鏈的樞紐，牽連著黑灰產(chǎn)業(yè)鏈的各個環(huán)節(jié)以及整個團(tuán)伙的組織架構(gòu)，對該類團(tuán)伙犯罪，打源頭、打團(tuán)伙、打利益鏈條，既要懲戒犯罪分子，又要整治網(wǎng)絡(luò)平臺。四由政府部門牽頭，聯(lián)合社會各方共同努力，發(fā)揮產(chǎn)業(yè)鏈合作的優(yōu)勢，利用大數(shù)據(jù)分析、云計算技術(shù)和云存儲能力，對網(wǎng)絡(luò)犯罪進(jìn)行全面反擊，最大程度擠壓黑灰產(chǎn)生存空間，鏟除滋生網(wǎng)絡(luò)犯罪的源頭，切斷助推涉人臉識別網(wǎng)絡(luò)犯罪的黑灰產(chǎn)業(yè)鏈。

例如：宜賓市破解某支付平臺“人臉識別”系統(tǒng)案，犯罪嫌疑人周某、楊某結(jié)合自己對某支付平臺賬戶登錄、找回密碼方式的了解，破解該支付平臺賬戶人臉識別校驗系統(tǒng)的漏洞。并通過加入QQ群聯(lián)系到黑灰產(chǎn)業(yè)“料商”，大量購買公民個人信息；又通過QQ聯(lián)系黑灰產(chǎn)業(yè)“卡商”，讓“卡商”為自己提供換綁他人支付平臺手機(jī)號，實施犯罪。

7 完善人臉識別相關(guān)法律法規(guī)，推進(jìn)法律適用性和可執(zhí)行性，增強(qiáng)法律的威懾力

雖然《網(wǎng)絡(luò)安全法》明確將個人生物識別信息納入個人信息范圍，但對信息的使用、存儲、傳輸、管理仍需進(jìn)一步細(xì)化?！豆舶踩讣y識別應(yīng)用圖像技術(shù)要求》、《公共安全人臉識別應(yīng)用圖像技術(shù)要求》等相關(guān)標(biāo)準(zhǔn)，隨著生物識別技術(shù)在各領(lǐng)域，尤其是金融領(lǐng)域的逐步拓寬，仍然缺乏統(tǒng)一的從人體生物識別技術(shù)層面建立的各行業(yè)標(biāo)準(zhǔn)體系。2018年5月1日，已正式實施《信息安全技術(shù)個人信息安全規(guī)范》，但是該標(biāo)準(zhǔn)是國家推薦性標(biāo)準(zhǔn)，并不具有法律強(qiáng)制效力，因此建議盡快予以立法。

一是加快制定個人信息保護(hù)相關(guān)的法律法規(guī)，確立個人影像數(shù)據(jù)控制權(quán)、刪除權(quán)、遺忘權(quán)等信息基本權(quán)利，建立健全個人對信息權(quán)利的訴訟及救濟(jì)機(jī)制，維護(hù)個人名譽(yù)和隱私。

二是加快推進(jìn)大數(shù)據(jù)相關(guān)立法，推動出臺電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全保護(hù)指導(dǎo)意見，規(guī)范企業(yè)對個人影像數(shù)據(jù)采集、傳輸、存儲及使用的權(quán)利和義務(wù)，落實數(shù)據(jù)生命周期各環(huán)節(jié)的安全主體責(zé)任，促進(jìn)人臉識別數(shù)據(jù)流通及交易市場法治化。

三是制定生物特征信息相關(guān)的規(guī)范及管理辦法，保障個人影像數(shù)據(jù)的安全、規(guī)范使用。

四是加速推進(jìn)《網(wǎng)絡(luò)安全法》配套規(guī)定出臺，明確網(wǎng)絡(luò)等級的劃分標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全的層級、網(wǎng)絡(luò)安全監(jiān)督檢查的主體等規(guī)定，依據(jù)人臉識別的特定應(yīng)用領(lǐng)域，制定兼顧信息技術(shù)與信息安全平衡發(fā)展的法律規(guī)范。