来源:国际数字之都
随着数字化的不断深入,消费者可以体验到便捷的互联网服务,手机逛淘宝,快递送到家;超市购物,刷个脸就可以完成支付。然而,商家对个人信息的不当使用会让消费者遭受到各种营销骚扰,甚至会面临个人隐私泄露和财产损失的安全风险。如今,有的网友表示,保护个人信息的安全并应对网络欺诈最简单有效的方法之一,就是尽可能减少将个人信息放入互联网,那么哪些个人信息可以提供,哪些信息属于个人隐私,又有哪些信息需要严格保护?
个人信息包括范围
首先我们要了解什么是个人信息。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。判定某项信息是否属于个人信息,可分析特定自然人与信息之间的关系,无论是从信息到个人,还是从个人到信息,任何一种可识别特定自然人的信息均为个人信息。
从信息到个人,即依据信息本身的特殊性可识别出特定自然人,包括单独或结合其他信息识别出特定自然人。比如,在一个具体的学校,通过学号可以直接识别出一个具体的学生,学号就是直接标识信息。常见的直接标识信息主要有:姓名、公民身份号码、电子邮件地址、移动电话号码、银行卡号码、车辆识别号码、社会保险号码、唯一设备识别码等。如果在特定环境下无法单独唯一识别特定自然人,但结合其他信息可以唯一识别特定自然人的信息也属于个人信息。常见的准标识信息有:性别、出生日期或年龄、事件日期(例如入院、手术、出院、访问)及地点、职业、婚姻状况、受教育水平、宗教信仰等。
从个人到信息,即如已知特定自然人,该自然人的一些固有属性特征所反映出来的信息,比如民族、家庭住址,个人生物识别信息等;以及由该特定自然人在其活动中产生的信息,如个人位置信息、个人通话记录、网页浏览记录、账户交易流水等,均可识别为个人信息。可以用来识别特定个人的信息除基本资料、个人身份信息外,还包括个人生物识别信息、网络身份标识信息等。其中,个人生物识别信息包括了个人基因、指纹、声纹、掌纹、眼纹、耳廓、虹膜、面部识别特征、步态等。
在生物识别技术被广泛应用的当下,刷脸应用无处不在。机场安检、酒店住宿都要经过人脸识别比对;进出小区刷脸开门,上下班考勤面部识别,很多手机和移动应用都提供面部解锁功能,在金融服务领域进行身份验证时人脸识别更是成为必选。
那么,人脸识别安全么,可以通过造假来骗过摄像头么?尤其是在涉及到金融业务的时候,会不会因为我的人脸信息泄露造成风险?
人脸识别并非绝对安全
人脸识别并非绝对安全,客观来讲人脸识别的确可以造假,我们有必要先了解一下人脸识别的基本步骤:首先人脸识别算法识别二维画面中是否有人脸信息。如果有的话,则根据人脸的平面生物特征,如人脸大小尺寸、五官位置等进行信息提取。将提取的特征信息与预先收集存储的人脸特征数据进行比对,确认该人脸对应的人员身份。
由于光线、拍摄角度,年龄、面部变化等诸多因素的影响,通过摄像头获取的人脸生物特征信息都会产生偏差,很难达到与预留特征信息100%一致。因此为了避免由于偏差导致的识别错误,往往通过相似度百分比的方式进行匹配。当识别的人脸信息与预先收集存储的相似度达到设定值,即被认为是同一个人。当阈值设置过高时,容易导致无法识别的问题;当阈值过低时,就会产生一个人脸信息被识别为多个人的错误。因此阈值的合理设置就变得非常重要。
除了比对相似度以外,收集的生物特征值的数量也会对正确识别人脸产生影响。某些软件所使用的人脸识别算法较弱时,所收集的生物特征值较少,同样会导致错误的人脸识别结果。在手机刚推出面部识别解锁功能的时候,就有用户使用照片成功解锁手机的新闻报道。这就是由于收集和比对生物特征信息较少导致的。
为了避免由于生物特征值单一导致的错误识别问题,在进行金融服务时,往往会进行活体检测,也就是要求用户通过做出指定的面部动作来判断该图像并非照片合成。然而使用几张照片并结合成熟的图像处理与合成技术,就可以生成模拟人脸动作及特征的视频,以骗过活体检测程序。尽管目前人脸识别技术的准确率已经超越人类,但是其并非完美,无法做到所有场景下的准确识别,在办理资金转账、财产转移等高风险业务时,仅依赖人脸识别进行身份验证仍有一定的风险,还应结合其他安全手段验证,比如,用户名密码、验证码、安全令牌等。
人脸信息属于个人敏感信息
随着智慧社区建设的推进,越来越多的小区开始安装人脸识别门禁,很多市民认为人脸识别方便小区安保管理,防止坏人随意进出。也有业主并不买账,认为强制采集个人生物信息使用公用设施设备程序违法,甚至担心个人隐私泄漏造成不良后果。众说纷纭的背后,是对收集个人信息的合理性与合法性的讨论。
那么,“人脸”是否属于个人隐私,是否属于敏感信息?法律对于“收集”行为是如何规定的?人脸识别进社区的正确方式是什么?
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人隐私多指的是私密个人信息,即个人信息中不愿为他人知晓的个人隐私信息。
判断私密个人信息的标准为“秘密性”和“私人性”,需要同时满足以下两个条件:一是该信息为私人所享有,信息主体有权决定是否对该信息进行公开。二是从社会公众的一般认知和价值认识综合权衡,该信息一旦泄露,会侵害个人的隐私权,但通常不会危害他人及公共利益。常见的私密个人信息有:身体缺陷、女性三围、心理特征、个人感情生活、性取向、未公开的违法犯罪记录、个人身体私密部位信息、个人私密照片和录音、个人金融账户交易流水等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。在最新发布的《个人信息保护法》中第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
人脸信息属于生物特征,它具有独特性,并且很难改变,一旦泄露都会造成很高风险。然而相当多的企业在处理人脸识别场景的隐私保护时,由于安全和隐私保护意识不足、利用个人信息商业价值最大化、甚至是降低成本的考虑,未采取有效保护个人隐私的措施。在信息采集时引导用户自主拍照上传找,通过手机应用获取扫描相册权限,在传输过程未采取加密或其他措施进行保护,在完成比对验证后未删除收集上传的人脸信息并长期留存用于其他用途。一旦人脸信息在上述任一环节被泄露,则很难被彻底删除或修改。而获得该信息的人员可以冒用身份通过互联网应用进行财务盗取或欺诈。
在进行人脸识别时,隐私友好的做法是:一是识别摄像头捕捉的视频中的人脸特征信息,并不将人脸的原始图片拍照存储或上传。二是将提取后的特征信息加密传输上传到后端进行比对验证。三是在完成比对验证后,删除或不留存上传到后端的人脸特征信息。
个人金融信息等级保护
2020年,“池子事件”引发了大家对个人金融信息安全保护的关注。池子本名王越池,是知名脱口秀演员,与笑果文化经济合约纠纷一事中,笑果文化寄给他的材料中包含池子个人的银行账户交易明细,以期望在打官司时获利。池子认为个人银行账户交易明细是重要的个人隐私,银行不能把个人账户交易明细交给第三方。这是属于侵犯公民个人信息的违法行为。中信银行连夜在官方微博发布致歉信,此后被银保监会以“客户信息保护体制机制不健全,客户信息收集环节管理不规范,客户敏感信息管理不善”为由罚款450万元。
个人金融信息是金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。
个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。常见的账户信息包括银行、证券、保险账户所对应的账户开立时间、开户机构、账户余额等。常见的鉴别信息则包括银行卡密码,账户登录、查询、交易密码,卡片验证码(CVN和CVN2)、动态口令、短信验证码、密码提示问题答案等。
金融交易信息则包括交易金额、支付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息等。个人身份信息指个人基本信息、个人生物识别信息等。财产信息包括个人收入状况、拥有的不动产、车辆状况、纳税额、公积金存缴金额等。借贷信息包括但授信、信用卡和贷款的发放及还款、担保情况等。此外,还包括经过对原始数据处理、分析形成的,能够反映特定个人某些情况的信息,比如,个人消费意愿、支付习惯等。以及在提供金融产品与服务过程中获取、保存的其他个人信息均属于个人金融信息范畴。
根据信息遭到未经授权的查看或变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害。C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害。C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响。
金融机构应设计并实施覆盖个人金融信息从收集、传输、存储、使用、删除到销毁的全生命周期的安全保护策略,这些良好做法也值得其他机构学习。
在收集个人信息时,应注意合法性,不应以欺诈、诱骗、误导的方式收集个人信息,不应隐瞒产品或服务所具有的收集个人信息的功能,不应从非法渠道获取个人信息。
收集个人信息营遵循最小必要原则,当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。
收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意;收集个人敏感信息和个人生物识别信息则应征得个人信息主体的明示同意;收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
在存储个人信息时,应遵循存储时间最小化原则,收集个人信息后,应立即进行去标识化处理。传输和存储个人敏感信息时,应采用加密等安全措施;个人生物识别信息应与个人身份信息分开存储,原则上不应存储原始个人生物识别信息。
在使用个人信息时,对被对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。如果需要展示,个人信息控制者宜采取去标识化处理措施,比如对身份证号码、手机号码进行掩码。
随着数字化技术的广泛应用,全方位的数据收集形成了“千人千面”的客户画像,能为客户带来更丰富的消费体验,为商家带来更精准的营销,为金融消费者带来更便捷的借款服务。不过,对于用户画像的使用限制也应遵循规范,对个人信息主体的特征描述,不应包括淫秽、色情、赌博、迷信、恐怖、暴力的内容;不应表达对民族、种族、宗教、残疾、疾病歧视的内容。如果个人信息控制者明白这些,就不会出现侮辱字眼上了市民个人征信报告的新闻。
记住,作为个人信息主体,您拥有查询个人信息,获取个人信息副本,更正或删除个人信息的权利,如果觉得个人隐私得不到保障,也可以撤回授权同意,注销账户,即“被遗忘权”。个人信息控制者除特殊情形外,均应积极响应个人信息主体的请求,在合理时间内给予应答并解决问题。
作者简介
刘诚燃,《国际数字之都-上海城市数字化转型市民手册》编委。1104专家,上海熵衍信息技术有限公司创始人,曾先后就职于地方人民银行、银监分局,金融监管研究院,拥有15年监管工作经验。专注于金融监管统计和银行业数据治理研究。曾参与过银监会1104制度修订,多次荣获系统内数据质量先进个人。发表与1104相关的原创文章400余篇;个人著有1104手册上中下:《统计分类之法》、《风险计量之术》和《数据治理之道》。
高巍,《国际数字之都-上海城市数字化转型市民手册》编委。德系车企工作15年,深入了解汽车行业内部体系及业务模式。曾作为信息技术规划负责人角色参与某德系品牌的企业数字化转型变革进程。具有20年以上的IT领域从业经验,具备丰富的车企数字化战略规划、实施、治理及运营管理的实践经验。信息安全、网络安全、数据安全专家,自由顾问,现任BSI外聘讲师及咨询顾问。参与《软件定义边界SDP安全架构技术指南》和CZTP零信任课程教材的编写。CISP-PIP讲师IAPP亚太区官方授权讲师(CIPP/E, CIPM, CIPT)。CSA数据安全认证课程CDSP讲师。