记者调查“刷脸”进小区,如何防漏洞护隐私?
温州网讯 人脸识别门禁系统进入温州多个小区,业主录入人脸和相关信息后,就能“刷脸”进出小区。
这项技术给大家带来方便的同时,也引发不小的担忧,如果你的“面子”连同身份证、电话号码、住址、车辆信息等“里子”绑定在一起交付他人后,隐私如何保障?
对此,记者近日对市区几个小区的人脸识别门禁系统进行探访。
小区住户
情况:录入方式和所需信息各有不同
近日,记者来到市区某小区,是已建成的智慧安防小区之一。该小区有近1400户,按平均一家三口计算,目前有4000余人居住,然而录入人脸信息的人数才刚刚过百。
该小区录入人脸信息时,除了要拍摄一张人脸照片,还需要身份证。录入平台会读取身份证上的所有信息,与业主的小区居住位置信息和车辆信息进行绑定。
录入完毕之后,与识别设备隔着2米左右的距离,业主就能够被识别出来,小区大门也会自动开启,整个过程非常便捷。
随后,记者来到老城区的另一小区,该小区的业主人脸等信息需要录入指定的APP中。市民张先生说,他先自拍了一张照片发到某APP中,然后填写小区名字、个人姓名与联系方式。填写完,等待物业方面确认后,完成整个信息录入过程。之后,通过小区大门口时,经设备一照,就能顺利进门。
另有一些小区,业主只需录入一张人脸,便可通过门禁。
观点:确实便捷,也担心隐私安全
在随机采访中,小区居民对人脸识别门禁也有不同的意见。一部分人认为可以提高通行速度,更加便捷;另一部分人认为,人脸识别门禁和门禁卡并没有太大的不同,并且没有从根本上解决安全问题,外来人员登记后还是可以进出小区。然而,小区居民普遍担心的是人脸等信息录入之后,信息数据的安全能得到保障吗?
设备厂家
情况:数据存储在小区服务器或云端
市区某开发人脸识别门禁系统的设备商说,业主人脸等信息一般会存储在云端或小区服务器。一般的做法是在小区本地服务器和前端设备会存储数据,在云端也进行备份。
如果要录入稍微复杂的人脸信息,系统会把人的脸分成若干个关键点,在录入时,业主需要眨眨眼、摇摇头,以便系统拍摄不同的照片,形成图片组。有的系统甚至会将整个录制过程形成一个视频流,掌握的信息更加精确。
不过,小区大门口的门禁以便捷性为主,识别要求和相似度设定都不会太高。目前,温州的小区基本是拍摄一张照片,就录入完成,今后脸一照,就进小区了。如果单元门也有人脸识别门禁的话,识别要求应该会相应提高。
观点:相关方应签订保密协议
一般来说,系统开发者在进行系统研发时,可以设定权限,而投放主体可以决定管理者的权限。如果数据存储在小区的局域网中,投放主体应和物业签订保密协议;如果数据存储在云端,投放主体应和系统开发者签订保密协议,如果产生数据泄露,相关方承担相应的责任。
记者在调查过程中发现,目前尚未有投放主体和物业公司签订相关的保密协议。
业内人士
情况:小区服务器安全尚无制度保障
对于人脸信息等安全问题,一位业内资深人士称,目前小区服务器的信息安全并没有一套完整的制度去保障,而且现在对存储的信息内容、对信息的安全管理、对应有的防护能力,没有一个具体的标准。“个别小区甚至有可能没有专人保管服务器,存在被人把所有信息拷走的可能。”
该人士介绍,如果一些小区的业主信息需要录入到某APP中的话,那么这些信息数据会存储在云端。云平台规模化比较大,有一定防护能力,数据信息被企业保管。不过,在一定程度上,业主信息的安全取决于企业的自觉。
网络安全等级保护技术2.0版本(简称等保2.0)推出后,对信息化系统的等级保护,对企业的系统防护能力、运行环境都做了一定的要求,否则不能对外提供服务。“但是,关键还是看落实。”该人士说,同样的,如果物业公司的信息化系统能够做到等保2.0的标准,风险也将大大降低。
智慧安防小区则是政府牵头开展的一项民生工程。人脸信息等数据存储在小区内部,内网运行,和外网隔绝,安全性有一定的保障。除此之外,相关部门会对核心服务器进行监测,当设备有异常、有信息导出,或者有其他设备接入该设备时,相关部门就能获取这个情况,及时预警。整个安全防护系统是经过专家论证的。
观点:需考量给予物业的管理权限
为了管理方便,给予物业一定的权限是必要的,但投放主体把哪些信息留给物业、哪些信息进行加密,需要考量。另外,需和物业以及相关方签订一个保密协议。
物管协会
情况:对人脸等信息的保护是个空白
温州市物业管理行业协会相关负责人告诉记者,如果是传统的业主登记资料信息,规范的物业公司有严格的客户财产保密管理制度。除了能够提供相应证明的相关部门,业主信息不会提供给任何第三方。
不过,随着小区对人脸、瞳孔、指纹等“新型”信息进行采录,物业公司却没有很好的能力来保障这些信息的安全。“信息化系统的存储应该要加密处理,但大部分物业公司并没有在信息化这块有很高的投入,他们也并没有这样的技术去提升信息安全的防护能力。”该相关负责人说。
小区物业对人脸、指纹等业主信息的保护确实是个空白和缺失,不少物业公司也认识到这个问题,在进行探索。
观点:相关法规还需完善
要解决这个问题,还需要相关法规的完善,建立相应的保障机制。
隐患因素
人脸信息关联大量个人信息
业内人士介绍,人脸信息不存在信息安全的问题,监控无处不在,如果要得到一个人的人脸照片其实非常简单,关键是你这张脸和哪些个人信息进行了关联。
人脸信息在没有跟其他信息做关联的情况下,本身并不会带来太多危害,但是假如同时能获取这个人的身份证、电话、住址、家庭成员关系、具体消费出行信息以及行为踪迹,那么就要留心。不法分子很可能会通过掌握的个人信息实施诈骗。
此外,如果金融机构或者提供服务的运营商没有对风险进行很好的把控,那么也会给已掌握个人信息的不法分子可乘之机。“理论上,存在把我们卡里的钱转走的可能。”
近期,“网上公开兜售17万条人脸数据”“人脸数据网上被售,5千多张人脸信息只卖10元”等新闻报道引发关注。
报道中,杭州某网络工程师表示,目前有科技公司会收集人脸信息训练人工智能,以提高机器的准确度,但尚未听说有利用人脸信息直接犯罪的案例。他表示,“若收集到某个人足够详细的肖像和人脸数据,通过技术手段可以实现实时换脸,搭配其他一些音频仿真技术及个人隐私信息的话,用来视频聊天诈骗可能就具有很强的迷惑性。”
一般来说,如果只是进小区的门,业主录张人脸就行了。如果物业要让你录入超出小区范围的信息,理论上要有相关职能部门的文件或相应证明,只有确定这些信息是给职能部门使用的,再行录入。
律师观点
物业掌握相关信息具有相应保密义务
浙江嘉瑞成律师事务所合伙人邵见娣说,首先需要明确物业公司只是全体业主聘请的管理小区的服务机构,其没有权利作出超出业主意思范围的行为。也就是说,如果全体业主反对采集个人信息这种管理方式的话,物业公司不应当再继续进行,否则物业公司可能会因为违反业主与物业公司所签订的《物业服务合同》,或因为侵犯业主的通行权而承担责任。如果是相关部门履行行政职责进行投放,业主反对的话可以依法提起行政诉讼。
其次,目前没有法律就物业公司设立信息采集装置是否违法有具体、详细的规定。但是根据《刑法》规定,对于非法泄露、买卖公民个人信息的,情节严重时,可能会承担刑事责任。具体情形包括但不限于非法获取、出售或者提供行踪轨迹信息、通信内容等与人身关系比较密切的信息50条;涉及公民人身、财产安全的个人信息500条以上;上述信息以外信息5000条的;违法所得5000元以上等情形。
因此,物业公司在掌握了业主个人信息后,具有相应的保密义务。
新闻+
网络安全等级保护技术2.0版本日前正式公布,覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。从等保1.0到2.0,我国网络安全保护定级流程更加严格,项目要求更加细化,通过难度更高,安全更有保证。
来源:温州都市报
记者 夏忠信
本文转自:温州网 66wz.com