上海地铁可以手机扫码进站了
交通卡都不用带
且近期还有各种免单、打折优惠
市民佟小姐兴冲冲地下载了Metro大都会App
不过,在选择使用支付宝实名认证的环节,
系统跳出《芝麻认证服务协议》后,
指令要求进行“人脸识别”认证。
看到屏幕上出现自己的脸,
佟小姐犹豫片刻后决定放弃。
““感觉我这张脸要授权出去还是得慎重一些,毕竟它是终身不变的,这跟银行卡、手机号、密码还不一样。”佟小姐这样解释。
解放日报·上观新闻记者随机询问了一番,发现身边与佟小姐持类似态度的人不在少数。
一些受访者表示,现在他们对需要授权个人信息的服务、商业优惠等,尤其是像“刷脸”这样较为敏感的生物特征,不再像几年前那样毫不在意地勾选“同意”,而是会稍微权衡一下“有没有可能泄露隐私”。
尽管有时因为“没得选”还是接受了协议,但内心总有隐隐不安,因为“隐私被盗用的新闻,很多了”。
那么,
这样的担心是否“多余”?
记者联系了支付宝、芝麻信用母公司蚂蚁金服相关负责人。蚂蚁金服方面回应称,用户选择使用芝麻信用进行实名认证时,一般情况下无须刷脸就能完成实名认证;当系统无法确认是否为用户本人操作时,为了保护用户账户安全,会升级到刷脸认证做进一步验证。后者的具体情况比较复杂,是由系统进行判断的。
蚂蚁金服表示,组织保障方面,他们成立了专门的数据隐私保护部门;内部管理方面,对全体员工开展《网络安全法》培训,加强数据处理的流程内控,对支付宝网络运行安全体系与数据安全体系进行全面自查完善。
尽管如此,
一些网络安全专家还是建议
谨慎对待人脸、指纹等生物密码
去年9月,科普作家@奥卡姆剃刀 的一篇博文曾引发热议,他指出,现在人体的生物密码都具有唯一性和不可变更性,一旦泄露就是终生泄露。
无独有偶,在2017年网络安全博览会暨网络安全成就展新闻发布会上,众人科技创始人、上海市信息安全行业协会会长谈剑峰也曾表示,生物特征在自己身上具有唯一性,因此生物识别认证技术应该是安全的;但这种唯一性同时也意味着,生物认证信息一旦“丢失”就不可再生;普通密码丢了,还可以重新改,但是生物特征信息被盗,将无法再次使用。因此他认为目前所有互联网认证技术中,生物识别认证是“最不安全”的。
针对企业通过指纹扫描、面部识别、语音识别等方式索取手机用户人体生物密码的安全性,共青团中央曾在微博发起投票。
致网络运营者:
数据收集应保持克制和审慎
蚂蚁金服表示,因为上海地铁刷码乘车有实名制要求,所以需要用户在使用Metro大都会App时,授权上海地铁查询用户的姓名和身份证号两项信息。用户允许地铁查询什么信息,会在页面展示出来,经用户自行勾选同意后,才会输出信息。
实名认证,是我国互联网管理的一项重要措施。张衠告诉解放日报·上观新闻记者,自2012年全国人大常委会颁布《加强互联网信息保护的决定》起我国开始推行电话实名认证,此后,国家网信办又颁布《互联网用户账号名称管理规定》《移动互联网应用程序服务管理规定》,将真实身份信息认证的要求推广到所有使用互联网和移动互联网的用户。“用户实名制”成为监管层规范行业发展的重要方式,身份的验证有多种方式。
她认为,一方面,Metro大都会APP创新性地为地铁乘客提供了手机扫码、先乘后付的地铁出行新模式,让市民的公交出行跟上了移动互联网的步伐;另一方面,公共交通大数据的应用有助于提高地铁交通运行的效率、安全水平和服务能力,为市民带来智慧出行的体验。“但实名制的要求是否需要采集一些个人敏感身份信息,目前尚有疑问。”张衠说。
她指出,我国《网络安全法》第四十一条规定,网络运营者收集个人信息,应遵循必要原则。2017年底,全国人民代表大会常务委员会执法检查组在关于检查《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》实施情况的报告中就建议:“要认真研究用户实名制的范围和方式,坚决避免信息采集主体过多、实名登记事项过滥问题。要改进实名信息采集方式,减少实名信息采集的内容。”
因此她建议,“从网络运营者角度来说,对个人数据的收集,应当保持适当的克制和审慎。”
