freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

戴着头盔去看房——原来还是对个人信息滥采滥用的恐惧
2020-11-24 18:03:43

近日,网络上出现一起令人啼笑皆非的“男子戴头盔看房”视频,字幕显示为保护个人信息,戴着头盔去看房。

而在此之前,关于买房戴口罩、戴墨镜之类的事件也早已屡见不鲜。究其原因,是由于售楼部的摄像头大多都配有人脸识别系统。在去年底某自媒体发布的一篇文章中称,某地产公司推出了一系列年底购房优惠,只要购房者是第一次到访并当场下单,则可享受相关够放折扣。据计算,这一系列折扣下来,约莫可以少花30万元。但享受折扣的前提是,购房者必须是第一次到访该售楼部,换个角度说,是第一次被该售楼部的摄像头“捕获”面部数据。这个传闻的真假暂且不管,我们首先了解售楼中心为啥会用人脸识别系统?

房产“人脸识别”的前世今生

售楼中心人脸识别系统的应用与其“分销模式”有关。每当房企新楼盘上市时,都会花费大量预算用作于营销宣传,吸引潜在购房者——房企将该类购房者定义为“自然到访客户”,同时也会与各种卖房平台合作,使其作为“分销渠道”,让渠道帮忙拓展客户。

如果是卖房平台拉来的客户,那房企就要给其一定的佣金,而卖房平台为了获取更多佣金,就会给客户提供一定程度的额外优惠,以此吸引更多客户。这就导致了房企的营销系统与渠道中介时长发生抢客户的“混战”。这时候,售楼处的人脸识别就派上了用场,它可以让房企迅速地识别目标购房者是中介拉来的,还是看了宣传的“自然到访客户”,这既有利于房企营销费用的精准溯源,又明确了目标购房者是否能享受中介渠道的优惠。

科技的理想很美好,然而事实也许很多人不是那么愿意被人随意采集面部信息。今年8月,就有网友投诉称,天津某房产售楼中心擅自采集了他的人脸信息。

原来,这位网友通过中介购买了某处的一套房屋。但在之后,他被售楼处告知,售楼处的人脸识别系统曾经识别到与他相似的人独自看房,因此他属于自然到访客户,不属于中介渠道客户,不能享受渠道优惠。

人脸识别技术真的可以滥用吗?

现如今,已经进入了刷脸时代,不仅房企将其用于营销管理,刷脸支付、刷脸解锁、刷脸进小区、刷脸开门……越来越多的便利场景不断被解锁,然而人脸识别在给人们带来便利的同时也隐藏着巨大的风险。

人脸识别在具体应用过程中必然要采集并保存含有人脸的图像或视频流,这些信息属于应受法律严格保护的肖像权和个人信息权。人脸识别技术看似高大上,但人脸等生物信息具有唯一性和不可更改性,识别、保存和使用这一系列过程存在个人生物信息被过渡采集和滥用的风险,一旦泄露则是不可逆的状态。

为此,在2020年10月21日,《个人信息保护法(草案)》经全国人大发布:

  • 明确了信息处理者在处理个人信息时需要取得个人同意,违者从严处罚。并对敏感个人信息进行了定义,具体包括:种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等;
  • 明确了个人信息处理者,有义务采取包括管理制度建设、个人信息分类分级管理、加密去标识化措施及其他安全技术措施在内的必要措施;
  • 明确了对违法行为加大了处罚力度,违反个人信息保护法最高可处五千万元或年度营业额百分之五罚款。

由此可知,企业在采集个人隐私数据时,首先要征得个人同意才能使用;其次要对个人敏感信息进行制度建设、分类分级管理、脱敏措施等;最后对于违法行为将可处最高年度营业额百分之五罚款。

  • “国内人脸识别第一案”宣判

2019年4月,郭兵支付1360元购买野生动物世界“畅游365天”双人年卡,确定指纹识别入园方式。郭兵与其妻子留存了姓名、身份号码、电话号码等,并录入指纹、拍照。后野生动物世界将年卡客户入园方式从指纹识别调整为人脸识别,并更换了店堂告示。2019年7月、10月,野生动物世界两次向郭兵发送短信,通知年卡入园识别系统更换事宜,要求激活人脸识别系统,否则将无法正常入园。

此后,双方就入园方式、退卡等相关事宜协商未果,郭兵遂提起诉讼,要求确认野生动物世界店堂告示、短信通知中相关内容无效,并以野生动物世界违约且存在欺诈行为为由要求赔偿年卡卡费、交通费,删除个人信息等。

在2020年11月20日下午,杭州市富阳区人民法院公开开庭宣判原告郭兵与被告杭州野生动物世界有限公司(以下简称野生动物世界)服务合同纠纷一案,判决野生动物世界赔偿郭兵合同利益损失及交通费共计1038元,删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息;

个人隐私保护该何去何从?

从上述案件可知,其争议焦点实为对经营者处理消费者个人信息,尤其是指纹和人脸等个人生物识别信息行为的评价和规范问题。我国法律对于个人信息在消费领域的收集、使用虽未予禁止,但强调:

  • 对个人信息处理过程中的监督和管理,即个人信息的收集要遵循“合法、正当、必要”的原则并征得当事人同意;
  • 个人信息的利用要遵循确保安全原则,不得泄露、出售或者非法向他人提供;
  • 个人信息被侵害时,经营者需承担相应的侵权责任。

因此,人脸识别不能以牺牲安全为代价,至少应赋予用户知情权和选择权。从“人脸识别第一案”也让相关企业认识到个人信息保护的重要性及严重性。

除了使用个人信息要征求当事人同事,企业对于个人敏感信息的保护更是重中之重。而敏感信息泄露更是屡见于报端:

  • 小区物业大量个人信息被出售,花两元钱就能买到上千张人脸照片;
  • 圆通5名“内鬼”有偿租借员工账号,导致超过40万条公民个人信息被泄露;
  • …………

由此可知,一些拥有先进技术的大型企业都难免会发生数据库泄密事件,更何况这些物业公司、景区企业等,它们的数据库可能更容易出现问题。如果不采取有效措施予以限制或禁止的话,“人脸识别”在方便一些企业使用的同时,必然会侵犯个人权益。企业作为个人信息使用者,在合法、正当、必要的使用个人信息的时候,保护好个人信息安全更是责无旁贷。

企业该如何做好个人敏感数据保护?

为此,面对企业内部个人信息安全已存在或可能面临的安全问题,应从顶层建设着手,制定关于个人信息保护的管理措施,提升个人信息整体安全防护效果。建议企业对个人信息保护措施主要从以下几方面进行:

  • 梳理企业内部敏感数据分布

大多数企业在数据资产建立初期,缺少制度化规范化的管理,而信息化的过程中,数据量日益增长直至海量,其管理难度也随之加大。企业没有提供给各业务线统一的数据规范去理解和管理数据,各员工在工作进行过程中,只接触特定业务,对数据的管理方式五花八门,数据定义混乱,导致数据分散成信息孤岛。可以借助敏感数据发现工具,全方位自动扫描发现数据资产,增强资产梳理效率与发现能力,减少人工整理成本。做到清晰掌握企业资产分布,为接下来敏感数据保护做好充分准备。

  • 加强异常数据流动监测

梳理完企业内部的静态数据,还面临的问题是敏感数据的流转途径不清,难以实时掌握敏感数据的各种流转途径,也就无法有效实施流动途径中的安全管控,无法感知数据流转中的可能存在的各类风险。敏感数据泄露风险难以感知,此类风险主要集中于内部违规、以及第三方、合作伙伴对敏感数据的恶意行为与企图,这部分行为混在在正常业务行为中,难以区分与识别。所以,针对动态流转的敏感数据也需要进行监控与审计,各个Web系统内哪些接口传输了敏感数据,哪些用户访问了敏感数据,接口中哪些参数是敏感字段。对各种各样的应用系统中流转的敏感信息进行监控与风险预警,一旦出现异常的敏感数据访问、导出等操作,即预警通知。

  • 对数据易泄露场景进行精细化管控

除了对企业内部异常数据流转进行监控,如何保证在产生、交换、共享等场景下的个人信息安全可用和数据使用价值?特别是当数据应用于开发、测试、培训等环境时,使用真实数据将临严重数据泄露的风险。为满足这一要求,数据共享时需要使用数据脱敏技术、水印溯源技术等。即对多种类型数据库及文件源的个人信息类敏感数据按预设的脱敏规则屏蔽敏感信息,并保证数据脱敏结果的一致性、关联性、有效性,以确保应用程序可在使用脱敏数据后进行开发与测试,且适用于企业日常数据提取和分析使用。

脱敏的同时,将水印信息融入原始数据中,在数据进行对外分发后能实现对泄露数据的溯源产品,使水印后的敏感数据能够安全的应用 将生产/离线数据进行交易,用于追踪,溯源,定责等场景。

  • 定期对个人信息等敏感数据进行风险评估

企业在采用安全产品治理后,往往缺乏必要的检查和评估工具,可以利用数据风险评估工具定期对企业内部资产进行风险检查。通过企业敏感数据目录,知道敏感数据分布情况,结合数据分类分级的管控原则,检查敏感数据安全保护情况,是否存在数据安全风险。

例如:测试环境里是否有未脱敏、未加密的敏感数据,有哪些非合规数据及其位置。及时给到相应部门进行整改,以便后续对数据资产进行脱敏或加密等安全整改工作的执行。

结束语

隐私权是公民人格权的一个部分,非法收集利用公民的个人数据信息是侵犯隐私权的违法行为。随着立法不断加大对公民个人信息的保护力度,在一定程度上震慑了通过不当途径获取个人信息的不法之徒。但从源头上,大家也需要注意保护自己的个人信息,敢于对违规行为说不,让自己的个人隐私更安全。

本文作者:,属于FreeBuf原创奖励计划,未经许可禁止转载

# 个人信息 # 个人信息保护 # 个人信息保护法 # 个人信息泄露
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0文章数
  • 0评论数
  • 0关注者
登录/ 注册后在FreeBuf发布内容哦
收入专辑