顔認識の混乱が蔓延しています。企業は規制に準拠しながら顔認識技術をどのように適用できるでしょうか?

2012年以来、情報セキュリティに対する世間の注目はますます高まっており、今年の315 Galaでは顔認識に焦点が当てられました。 315 Galaは顔認識の悪用を暴露した。Kohler Bathroom、BMW、Max Maraなど多くの有名企業が、実店舗、4Sストア、専門店などの営業所で顔認識機能付きの監視カメラを使用し、顧客に知られることなく密かに顧客の顔データをキャプチャし、顔IDを生成して「精密マーケティング」を行っていた。

3月15日に暴露された顔認識アプリケーションは氷山の一角に過ぎない。顔認識技術は、アリペイやWeChatでの顔スキャン決済、住宅地やオフィスビルの入退出、携帯電話のロック解除、企業での顔スキャンによるサインインや出勤、ゲームでの顔スキャンによる実名認証など、日常生活のあらゆる場面に浸透している。顔認識情報は唯一無二で、永久的で、かけがえのないものです。一度漏洩すると、一生漏洩したままになります。顔認識に対する一般の人々の関心は、それがもたらす利便性と安全性だけではなく、顔認識アプリケーションの合法性と合理性にあります。

顔認識技術の特徴

顔認識技術は、顔の特徴を利用して個人の身元を識別する生体認証技術です。ユーザーの顔画像のデジタル特徴を分析および抽出してサンプル特徴シーケンスを生成し、サンプル特徴シーケンスを保存されたテンプレート特徴シーケンスと比較してユーザーを識別します。

1. 顔情報の一意性と永続性

顔認識情報の本質は生体情報であり、生体情報の一般的な特性、すなわち一意性と永続性を備えています。

2. 侵害の結果の不可逆性

顔情報の独自性と永続性を考えると、パスワードの変更、住所や携帯電話番号の変更などの単純な方法では、より深刻な侵害から保護することはできません。一度漏洩すると、一生漏洩したままとなり、財産の安全とプライバシーのセキュリティの両方が深刻に脅かされます。

顔認識技術による個人情報の侵害

1. 顔情報の違法収集

「情報セキュリティ技術個人情報セキュリティ規範」の規定によれば、個人情報を収集する際には、個人情報の収集と利用の目的、方法、範囲を個人情報主体に告知し、個人情報主体の許可と同意を得る必要があります。実際には、商店主がユーザーの顔情報を秘密裏に収集することがよくあります。 315 Galaで報じられたように、記者たちは全国各地で顔認識システムを導入している20社以上の企業を調査した。彼らが行った先々で、顔認識情報は秘密裏に入手されていた。どの企業も明確に通知しておらず、同意を得ることは不可能だった。

2. 顔情報を過剰に分析する

最近、SNSで「ヘルメットをかぶって家を見学する」という短い動画が拡散した。これは営業所の顔認識システムが顔情報を過剰に分析したことが原因だった。 「住宅購入」「顔認識」というキーワードでネット検索すると、顔認識を使って顧客のタイプを判別する営業所に関する報告が多数見つかります。

営業所に顔認証システムを導入するのは、「流通モデル」を識別するためとみられる。新しい物件が市場に投入されるたびに、一方では自社によるマーケティング手法を採用し、他方では外部との共同販売のための「流通チャネル」も模索することになります。営業所の顔認識システムは、住宅購入者が通常の訪問者なのか、仲介チャネル経由の顧客なのかを判断するのに役立ちます。営業所は顔認識システムを使用して、住宅購入者のタイプ（自然訪問者か中間チャネル顧客か）を分析し、異なる住宅購入優遇政策を実施しており、「ビッグデータが既知を殺す」と人々に思わせている。販売業者がユーザーの顔情報を過度に分析すると、最終的にはユーザーの個人的な利益が損なわれます。

3. 顔情報の漏洩

現在、多くのカメラは、顔認識の警告サインやスタッフへの通知、関係者からの許可なしに、簡単に顔情報を取得できます。このデータを収集する企業が顔データをどのように使用し、どのように保存し、他の人と顔データを共有するかどうかはほとんど不明であり、それらがもたらすセキュリティリスクも不明です。顔の特徴情報はユニークで生涯変わることがないため、犯罪者に漏洩すると、ユーザーの個人的および財産的安全が常に脅かされることになります。

顔認識アプリケーションのコンプライアンス推奨事項

1. 顔情報を収集する前にユーザーの許可を得る

ユーザーの顔情報を無断で収集・撮影すると、個人情報の不正収集の疑いが持たれます。したがって、ユーザー情報を収集する前に、ユーザーの明示的な同意を得る必要があります。たとえば、オフラインのシナリオで顔情報を収集する前に、顔認識のリマインダーサインを設置し、スタッフがユーザーに顔が認識されることを通知し、同意するかどうかを確認します。オンラインのシナリオで顔情報を収集する前に、プライバシーポリシーやポップアッププロンプトなどを通じてユーザーにプロンプ​​トを表示し、ユーザーが手動で同意を確認します。

2. 顔データの安全な保管

（１）顔データの機密性を保護するために個人の顔情報を暗号化して保存する。

（２）顔データにアクセスできる人数を制限し、無関係な人がユーザーの顔データにアクセスするのを防ぐ。

（３）顔データのバックアップ機能とそれに応じた復旧管理措置を有すること。

3. 顔認識データの送信を保護する

（１）セキュアチャネル、信頼できるチャネル、データ暗号化など、対応するデータ伝送セキュリティ戦略を満たすセキュリティ管理措置を採用する。

（２）伝送チャネルを確立する前に、両当事者の身元を認証する。

4. 顔データの削除

ユーザーが当社が収集した顔データの削除を要求した場合、当社は削除前に登録解除の権限を持つ者の認証を行う必要があります。ログアウト後は、ストレージ内の顔データは破棄され、再利用できなくなります。次回の使用時には再度収集する必要があります。

最後に

現在、企業による顔認識技術の活用には混乱が生じています。企業によってユーザーの個人情報の利用および保護のレベルは異なります。企業がセキュリティ保護義務を履行せず、ユーザーの顔情報が漏洩した場合、非常に深刻な結果につながります。我々は、国が顔認識技術の応用に対する完全な承認システムを確立し、企業のユーザーデータセキュリティ保護レベルと顔認識の応用シナリオの必要性を検討し、国家レベルで顔認識を規制することを期待しています。