近年来,伴随物联网的快速发展,人脸识别技术在智慧校园精细化管理中被广泛应用。特别是2020年以来,受疫情防控刚性需求的推动,虽然人脸识别技术的应用还存在质量参差不齐,安全性、隐私保护甚至法律层面还受到质疑等问题,但由于其具有实施简单、成本低、见效快的特点,所以在疫情下的校园精细化管理和疫情防控中发挥了重要作用。
快速应用带来的风险和应对措施
当前,各类可穿戴设备、医疗设备、安防摄像头、智能门锁、人脸识别、自动售卖机等已经改变了人们的生活方式。物联网的“端、管、云”三层基础网络架构,对于实时性、安全可信性、资源保证性等方面有着更高的要求,使得物联网的安全问题更加复杂和突出。特别是利用人脸识别进行身份认证的多数大众应用领域,安全问题日益凸显,集中体现在:对人脸识别的数据保护,人脸识别的应用管理职责不清,人脸识别的法律法规不明确,以及对监视系统的应用备案、授权和限制等问题上。
网络安全技术风险应对措施
2019年5月,国家发布了网络安全等级保护2.0标准,包含了对物联网信息系统等级保护对象的新要求。
《信息安全技术网络安全等级保护基本要求》及《信息安全技术网络安全等级保护测评要求》中根据等级保护要求新增物联网安全扩展要求。人脸识别作为物联网的一个应用类型,须在物理环境、网络结构、网络边界防护、物联网感知设备等方面满足物联网扩展的安全要求。
在人脸识别技术应用建设中,应落实网络安全等级保护的要求,先规划定级,再实施建设。在建设过程中,遵照所定等级的要求,保证应用建设的安全性。
管理风险应对措施
中国人民大学公共管理学院教授马亮认为,采集的数据不是放在政府部门那里就可以高枕无忧,也不是放到企业自己手上就有问题,关键是要考虑到数据存储有没有达到相应的要求,数据存储带来的风险谁来承担,要用一套规则去进行认证、检测和评估。
鉴于专家呼吁国家层面尽快对人脸识别技术应用制定相关的管理办法,使该领域监管做到有章可循、有法可依。
2021年1月1日起实施的《民法典》明确了公民个人信息处理原则和条件:处理个人信息的,应当遵循合法、正当、必要原则,并征得该自然人或者其监护人的同意。
《个人信息保护法(草案)》再次明确了“告知-同意”为核心的个人信息处理规则,将个人生物特征信息归为敏感个人信息,并规定了比普通的个人信息更为严格的处理规则。
目前,人脸识别技术应用相关的法律法规以及配套的管理措施,还有较大的完善和提升空间。
人脸识别技术浸入教育行业
校园精细化管理需求
精细化管理是现代管理学的一种思想和管理模式,是依托专业化、标准化、数据化和信息化的技术手段,在关键环节上量化、考核、督促和执行,从而把控质量和实现目标。随着社会分工的细化,现代企业只有采取精细化管理的模式,才能稳定运营和发展。
在教育行业,高校的校园不仅要为几万名师生7×24提供开展教学科研的场景和设施,还要提供包括衣食住行、科技、健康、娱乐、绿化和安全保卫等在内的各项保障。校园就像一个高度浓缩的城市,其规模和复杂度要求在各个环节上必须做到精细化管理。
人脸识别技术用于校园精细化管理
2018年6月,国家标准化管理委员会发布了《智慧校园总体框架》国家标准。在智慧校园所包含的八大类应用系统中,人脸识别技术被广泛应用于教育管理类、安全监控类、后勤服务类和社会服务类。人脸识别技术应用的核心是身份确认。普遍用于校园门禁、出入管理、考勤、消费、视频监控、借阅、治安巡查、体育健身等场景中。
事实上,人脸识别技术在教育行业中的应用建设质量也参差不齐,建设规划、技术成熟性、安全保障和管理规范等方面尚有欠缺。为此,2021年教育部发布《关于加强新时代教育管理信息化工作的通知》,明确表示各高校探索物联网场景中的应用,为精准化管理提供支撑保障。
人脸识别技术助力校园疫情防控
2019年底,新冠疫情突然来袭,基于校园疫情防控的一项重要需求就是确认和分辨人员身份,并且减少人与人之间、人与物之间的直接接触。人脸识别技术能够有效满足这一需求。
2021年,教育部和国家卫生健康委联合发布《关于进一步加强新冠肺炎疫情防控常态化下学校卫生管理工作的通知》和《关于印发高等学校、中小学校和托幼机构新冠肺炎疫情防控技术方案(第四版)的通知》。
基于学校疫情防控提出了明确的要求,严把校门关,积极运用信息化手段,按照学校疫情防控规定,尽量减少出入校。严格日常管理,做好缺勤、早退、请假记录;加强宿舍管理、公共场所管理、活动管理,根据校园情况合理控制人员密度,严禁外来人员进入学生宿舍。例如,师生员工中有新冠肺炎确诊病例、无症状感染者、疑似病例或密切接触者,学校应当立即启动应急处置机制,并配合做好流行病学调查、密切接触者排查等。
与传统的校园一卡通相比,人脸识别的身份认证模式能够更精准、更可信地分辨身份。通过人脸识别来实现疫情防控所要求的校门、宿舍和公共场所等地人员出入管理,以及配合流调所需要的时空交集、行程等的排查,取得了非常好的效果。
人脸识别技术应用实践
中国人民大学在人脸识别技术应用中,不跟风建设,不盲目发展,在技术上立足于网络安全等级保护2.0标准规范,在管理上采取严控数据源头,多部门联动管理。双管齐下,助力校园精细化管理和疫情防控。
1.人脸识别应用建设现状
2021年,中国人民大学人脸识别应用涵盖:校园门禁管理,校园综合安防管理,各类办公楼、教学楼、图书馆和学生公寓的出入管理,体育场馆和设施使用管理,食堂消费人脸识别管理等。
人脸识别应用系统分属校内多个职能部门管理,由多个厂商建设。人脸识别应用系统业务信息包括:校内师生的姓名、学工号、人脸照片等基础数据,出入记录、食堂消费记录等。校外人员身份证件信息和出入记录等。
2.建立统一的人脸数据库平台
在人脸识别应用建设之初,学校网络安全和信息化领导小组提出了全校人脸数据“一张网”“一个源”的建设指导思想,保证数据采集和存储的源头安全。学校建立统一的人脸数据库平台,统一采集学校教职员工、学生的人脸照片信息,生成对应人脸信息特征值存储到人脸数据库平台。该平台部署在校园网内部“数据中心”私网内,并部署有堡垒机、防火墙、入侵检测、数据库审计、日志审计等安全防护措施。
人脸识别应用系统通过向人脸数据库平台调取人脸特征值以及单独下发所需人脸信息的特征值的方式实现人脸识别各场景的应用。
3.多部门联动,规范人脸数据使用管理流程
在人脸数据的使用管理上,学校采取“技术+管理+使用”的多部门联动管理模式,制定规范的人脸数据使用管理流程。由学校多个部门协同,负责技术支撑,人脸数据使用管理审批,规范使用流程,细化使用范围。
4.落实人脸识别系统网络安全等级保护
基于《信息安全技术网络安全等级保护定级指南》要求,中国人民大学将校内已建人脸识别应用系统以及人脸数据库平台列入等级保护定级对象。从人脸识别应用系统的主管单位、网络拓扑结构、人脸识别系统功能的验证机制等六个方面进行人脸识别系统的定级调研,并定期开展人脸识别应用系统的网络安全风险评估和测评。
人脸识别技术的应用就像一把“双刃剑”,在校园精细化管理和疫情防控中的应用效果如此突出。与此同时,数据、技术和管理的安全风险也同样棘手。
笔者认为,学校在建设人脸识别应用时,首先要明确海量的师生人脸信息,由谁负责,负哪些责?由谁保管,如何保管?由谁使用,如何使用?人脸识别应用系统的开发质量如何保证,谁来把关?一旦发生人脸识别应用相关的安全问题,有没有应急处置预案?如何在人脸识别应用建设中把握效率、效果和安全可控,还有许多需要探讨的问题。
作者:葛泓、谢琦(中国人民大学)
责编:陈永杰