一、你的脸，正在被“偷走”

刷脸时代，你的人脸信息安全吗？

7月21日，国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定，其违法事实中提到“过度收集乘客人脸识别信息1.07亿条”

去年315晚会上，央视揭露了一个令人惊悚的事实——你的脸，随时都有可能被“偷”。在商场、小区，甚至是路边并不起眼的门店，人脸信息都可能被悄无声息窃取。

目前人脸识别在金融政务、安防、交通、教育、医疗等行业都有广泛应用。相比指纹、声纹、虹膜、步态等其他基于生物特征的身份认证技术而言，人脸识别技术更受青睐。

技术飞速发展的背后，又该如何保障我们的信息安全？

资料图 据视觉中国

（一）

人脸信息纠纷正屡屡发生

经过6次人脸识别后，李红（化名）被骗子利用人脸识别骗走近43万元。而这一切，却并非李红“本人操作”。

《中国新闻周刊》报道称，银行系统后台显示，在进行密码重置和大额转账时，“李红”进行了6次人脸识别比对，均显示“活检成功”。事实是，那几次人脸识别并不是身在北京的李红本人操作，登录者的IP地址显示在台湾。

据报道，诈骗分子让李红从网站下载了假冒的诈骗软件和视频会议软件，套取了她的银行卡和密码以及人脸信息等关键内容，并远程操控了她的手机。

因怀疑银行人脸识别系统的安全性，李红以“借记卡纠纷”为由将银行告上法庭，要求赔偿。6月30日，北京市丰台区人民法院一审驳回了李红的全部诉求。法院认为，李红在42.9万元被盗过程中“过错明显”，银行作为指令付款方，已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份，未见存在明显的错误或过失。

李红的遭遇并非个案。据浙江电视台某新闻栏目报道，2020年，杭州赵女士也被类似的套路骗走了52万，犯罪分子在和赵女士视频聊天时录制了她的人脸画面，从而通过了转账时的人脸识别步骤。

清华大学法学教授劳东燕在去年提出过一个预测，她认为包括人脸数据在内的利用个人信息进行精准诈骗等犯罪的浪潮才刚到来。“犯罪的高潮还在后面，尤其是这种多中心的信息收集模式，一定会暴雷。”

红星资本局梳理发现，去年平安银行、光大银行等多家银行均发布公告，提示人脸识别盗用风险。

在此之前，有关“人脸识别”的相关纠纷已经在发生。2019年，因不愿意使用人脸识别，浙江理工大学特聘副教授郭兵作为消费者将杭州野生动物世界告上了法庭。该案也成为中国“人脸识别第一案”。今年“天津人脸识别案”中，天津的顾先生因拒绝“刷脸”回家，将自己小区物业告上法庭。此外，“广西南宁业主刷脸房子被过户”“94岁老人被抱起做人脸识别”等事件也在舆论场中引发热议。

（二）

人脸数据被交易，成本只有几毛钱

从法律角度来讲，人脸信息属于典型的“生物识别信息”。人脸识别也一直被视为最安全的生物识别技术。

而李红的遭遇意味着人脸识别并不完全可靠。红星资本局梳理公开信息后注意到，解锁人脸识别在技术上并不难。

去年10月，清华大学Real AI团队用15分钟解锁了19部国产智能手机，解锁的道具为人脸照片；2019年，浙江有小学生 科技 团队爆料，用照片就能破解居民小区的快递柜。

大部分人很难想到，仅仅通过自己的一张照片就能完成“刷脸”。事实上，由静态照片变成冒充人脸识别的动态视频的过程，仅需数十秒。

去年10月，合肥警方捣毁了一个伪造他人人脸动态视频的犯罪团伙。现场缴获的涉案电脑里，保存了大量的公民人脸数据，包括公民身份证正反面以及生活照等。

据警方了解，这些照片售价几毛钱到一块钱不等，而嫌疑人帮别人伪造人脸识别的收费一般在2块钱到10块钱不等。

今年1月，奇安信集团行业安全研究中心主任裴智勇在接受《中国消费者报》采访时表示，智能换脸的技术门槛比绝大多数人的想象要低得多。通过人工智能技术，可以将一张普通的静态照片（正面、侧面均可），转化生成一张表情生动的人脸，以2017年左右的技术水平，已经完全有能力骗过绝大多数人脸识别系统。

“现在大家提到人脸信息，更多的是把它作为敏感个人信息中的生物识别信息去保护，但人脸信息越来越成为人的数字身份中最重要的要素。这在过去的讨论中是不够充分的。”世辉律师事务所合伙人王新锐律师向红星资本局表示，“人脸”已经成为每个人数字身份中最底层、最基础的要素。

换句话说，只要有“你的脸”就能够连接“你”这个数字身份。反过来，如果有人造假了这张脸，那也能够掌握这个数字身份。“盗用这个数字身份背后带来的人格权、财产权的损害，是非常可怕的。”王新锐表示。

人脸信息跟数字身份的天然联系，意味着一旦发生盗用，带来的损害将是连锁反应。

（三）

保护自己的脸已不仅是个人问题

从行业发展的角度来讲，人脸识别技术未来可期。据预测，新冠疫情后全球人脸识别市场规模将从2020年的38亿美元增长至2025年的85亿美元。到2024年我国人脸识别市场规模将突破100亿元人民币，我国有望成为全球最大人脸识别市场。

近些年在立法层面，我国对人脸信息使用也有了明确规定和高规格的保护。

去年8月1日，最高法发布司法解释，对人脸信息处理予以专门规定，其中包括收集人脸信息需征得单独同意、禁止物业强制刷脸等。

《个人信息保护法》中也突出了作为敏感个人信息的生物识别信息的特别保护，规定“处理个人敏感信息应该进行更多的告知，包括相应的风险，以及应当取得个人的单独同意”。

尽管有法律上的相关约束，但现实中仍无法避免大量场景滥用人脸信息的情况发生。“在哪些场景下允许去用？是不是强制大家去用？在现实里仍是一个很大的挑战。”王新锐说。特别是对人脸识别做评估和利益衡量的时候，往往会突出技术优点，对其背后风险的分析远远不够。

北京大学法学教授、博士生导师张平向红星资本局指出，保护自己这张脸，已经不仅仅是个人问题，有些时候甚至涉及 社会 问题，包括 社会 群体的安全问题。

张平提出了一种假设，“比如北大清华的老师们都被刷脸，根据分类就知道某些老师是研究哪类问题的，继而会越来越精准画像，而这种画像已经不属于个人安全和个人隐私范畴，甚至有可能是涉及群体安全和 科技 安全的问题。”

“我们一直都去推动个人信息保护的合规，包括各种技术标准和指南，但其实在个人信息里边，人脸这个信息应该特别给予重视。”张平注意到，各个机构在制定隐私政策的时候，很少把“人脸识别”的技术单独拉出来强调，而是放在一般隐私政策当中，操作非常不规范。

（四）

人脸识别的安全与合规依然任重道远

如果放在场景中去探讨，张平认为，从居住环境开始，就应该提高对人脸信息的重视。比如小区及超市商场，最容易出现“灰色地带”。

张平认为，这些监管空白应该从当下就开始介入，如果等大量信息存在于数据库和云端，监管就失去了意义。

针对人脸信息的采集和使用，法律监管和行业自律缺一不可。“所有处理人脸信息的公司，都需要有一个自证清白的义务。”王新锐表示。

王新锐介绍，首先这些机构要有个人信息安全影响评估，但在实践过程中，普遍做得并不好。

他指出，很多企业在处理人脸信息的时候，并没有去做评估，或者做完评估以后，很多问题考虑仍比较简单。他认为不管是企业侧还是政府侧，针对人脸识别的各种授权文件、相关协议都需要更严谨的解释。

“人脸信息跟一般的敏感个人信息相比还是有一些差异，所以我觉得在做人脸信息评估的时候，不能仅仅把它当做敏感个人信息，而是要把它更往前推一步。”

王新锐指出，目前全球对人脸信息的管控监管普遍趋严。“我们也认为，未来在人脸信息的处理以及合规方面，还是应该采取叠加技术手段和管理手段的方式。在合法性基础上，以更加严格的态度去对待人脸信息。”

编辑 余冬梅

（下载红星新闻，报料有奖！）

二、现在国内律师事务所排名是如何？

现在国内律师事务所排名：中闻律师事务所、金杜律师事务所、天元律师事务所、尊而光律师事务所。

1、中闻律师事务所是一家提供综合性法律服务的大型律所，总部设在北京，在上海、海南、郑州、济南、南宁等地设有分所；律所注册资本3500万元，是业内注册资本规模最大的律所之一。

北京总部办公面积5000多平米，现有法律工作团队成员300多名，其中合伙人律师140多名，29个法律专业部门，4个研究机构；中闻所入选“ALB亚洲50强律所”、“ALB中国国内30强律所”、“ALB 2018年知识产权排名”前30强、“The Lawyer亚太百强律所”、“The Lawyer亚太区20所发展最快的律所”等榜单，荣获“中国PPP项目十佳律所”等称号。

2、金杜律师事务所是一家国际化大所，在业内知名，主要从事高端服务，营业收入在国内律师事务所中始终保持领先。金杜律师大多出自知名高校，有海外留学背景，律师整体素质和经验较高。

三、世辉律师事务所难进吗

较难，要求比较高。

1、世辉律师事务所是中国互联网新经济领域最优秀的法律服务团队；客户顶尖、项目众多，对用人的标准相对来说也比较高，筛选也较为严苛；

2、作为2019 ALB China年度最佳雇主之一的世辉律师事务所致力于打造年轻律师的最佳发展平台。通过科学的筛选、培养，将惯常的合伙人之路有针对性地缩短，赋能律界精英实现超越式成长。

3、如果是本科五院四系毕业的话容易留用 ，此外因为世辉流动性比较高，工作强度能接受的话觉得很适合做第一份工作。

四、legalband排名靠谱吗

靠谱。

排名榜单包括96个一级学科。法学学科排名共有109所大学上榜。法律行业评级机构LEGALBAND公了布了“2018年度中国法律卓越大奖”提名名单。 世辉凭借为客户提供的高质量法律服务荣获“年度最受客户青睐。权威法律媒体 LEGALBAND 公布了 “2019 年度中国卓越法律雇主大奖 ” 获奖名单，世辉律师事务所以 “ 晋升机制明确清晰 ” 蝉联。

五、医疗数据合规观察⑩：政策趋严成本抬升，医疗数据跨境应走向何方？

编者按：医疗大数据产业作为国家最早布局和推动数据要素市场的行业，正进入飞速发展时期。与此同时，去年以来，《个人信息保护法》《数据安全法》等数据立法框架搭建并落地执行，给医疗 健康 行业的数据处理带来了压力。

跨境会诊、跨境医学研究、国际临床试验、医疗器械出海…… 跨境医疗 近年来发展迅速，而这其中大量敏感个人信息的医疗数据跨境对于相关机构和企业而言，意味着更高的合规要求。

受访专家认为，我国目前医疗数据的跨境流动机制尚未明确， 亟需在《数据安全法》《个人信息保护法》的框架下，结合医药行业的特性设计有针对性的行业规则，既做好个人权益及数据安全的保护，又兼顾药品、医疗器械创新研发的效率 。同时，积极实现本国数据治理规制与国际数据治理规制的融合，将助力我国与境外医药企业、高校和医院更加深度的合作。

2020年以来，全球新冠肺炎疫情一定程度上阻断了跨境寻医之路，持续刺激着跨境远程医疗的需求。

网络将患者与身处异国的医生连接起来，可以通过视频或电话交流，得出诊疗结论。在此过程中，往往涉及到医生对于患者医疗影像等信息和数据的跨境调取。

这是医疗数据跨境传输常见的应用场景之一。事实上，随着全球医学交流日益频繁，医疗数据所面临的跨境需求也愈加迫切。

国家计算机网络应急技术处理协调中心发布的《2020年中国互联网网络安全报告》显示，2020年，共发现境内医学影像数据通过网络出境497万余次，其中， 我国未脱敏医学影像数据出境近40万次，占出境总次数的7.9% 。而医学影像文件在未脱敏的情况下包含大量患者个人信息。

除患者个人信息、 健康 状况数据外，医疗数据还囊括了医疗应用数据及人类遗传资源等，这些数据的大量向外流失可能对我国医疗卫生安全带来隐患。

早在2018年10月， 科技 部官网就曾公布6则处罚信息，涉及华大基因、复旦大学附属华山医院、苏州药明康德、阿斯利康、艾德生物、昆皓睿诚等6家公司。罚单显示，这6家公司均违反了人类遗传资源管理规定，或违规转运接收已获批项目的剩余样本；或违规开展国家合作研究；有的甚至将人血清作为犬血浆违规出境。

北京世辉律师事务所合伙人卢璟介绍， 《个人信息保护法》将“医疗 健康 ”信息视为敏感信息，医疗行业中的大量患者相关信息均会因其“医疗 健康 ”的属性落入敏感个人信息的范畴。例如：诊疗过程中的病历信息、不良反应报告信息、临床试验数据等。

以国际临床试验为例，中伦律师事务所合伙人蔡鹏介绍，在国际临床试验合作中，将会涉及构成敏感个人信息的医疗数据，数据处理者在收集处理敏感个人信息时，应当遵循《个人信息保护法》中关于处理敏感个人信息的合规要求，并按规定事前进行个人信息保护影响评估。同时，涉及跨境提供的，境内数据提供者还需要确保符合《个人信息保护法》中针对个人信息跨境提供的规则。

除了上述监管要求，如果国际合作临床试验所涉数据被认定为“ 健康 医疗大数据”、“人口 健康 信息”或是涉及到基因、基因组等遗传物质或遗传材料，则需按照《国家 健康 医疗大数据标准、安全和服务管理办法（试行）》《人口 健康 信息管理办法（试行）》《中华人民共和国人类遗传资源管理条例》或是《人类遗传资源管理条例实施细则（征求意见稿）》等法规的具体要求进行合规处理。

今年2月，国家卫生 健康 委公布对全国政协委员陈红专《关于加强临床研究受试者个人信息数据保护的提案》答复的函。其中提到，对“ 关于数据不出境但是处理结果出境、境外机构通过代理人在内地临床数据等新的挑战，相关部分应及时出台有效应对办法 ”的建议， 国家卫健委将积极配合相关部门推动出台有关应对办法，并在此基础上推进医疗卫生机构落实相关工作。

对于医疗 健康 企业而言，实现医疗数据跨境合规有何难点？

从医药企业的角度来看，卢璟指出，医药企业需要付出额外的时间成本履行合规义务，药品、医疗器械的研发时间也会相应增加。而部分合规要求（例如：在向境外提供个人信息前，要向自然人告知每一境外接收方的名称和联系方式），在临床试验国际合作的场景下可能难以落地执行。

“ 在规则设计层面过于严格的合规要求，很可能会导致在规则实施层面的普遍性违法，从而影响法规的严肃性 。”卢璟说。

因此，他建议在《数据安全法》《个人信息保护法》的框架下， 结合医药行业的特性，有针对性地设计行业规则，既保护个人权益及数据安全，又兼顾药品、医疗器械创新研发效率。

锘崴 科技 创始人、董事长王爽则认为，目前医疗数据跨境的难点主要在于满足跨境合规性前提下同时满足不同业务场景的需求。在国内，医疗数据可能涉及到多部法律法规，在不同场景下将产生不同的受保护数据分类。而全球各国的法律规制并不相同，因此也将产生不同的分类分级标准。

对此，王爽建议在进行医疗数据跨境前，相关企业和机构应首先确保根据本国法律法规要求进行数据的分类分级。然后，在数据出境时寻找各国要求的共同点，以符合规定。这其中，可通过隐私计算等技术手段处理明确规定无法交换的数据，使其以达到合规要求，实现跨境医疗数据在“可用不可见”模式下“可管、可控、可计量”的合作。此外，建设完备的人员制度同样必不可少，应形成由决策层、管理层、执行层、监督层及协同层构成的组织结构。同时，完善文档制度，应包含与数据安全相关的政策方针、制度流程规范、人员培训材料、数据收集情况等详细内容。

中伦律师事务所认为，企业实施医疗数据信息跨境传输必须明确数据收集、使用、传输发送和接收方，以及为此提供服务的第三方，明确医疗数据内容与属性；明确数据存储地；同时定好数据出境计划等方案，定立涵盖数据处理目的、方式和采取的安全措施等条款的协议；还应完善重要数据处理活动风险自评机制、网络安全等级保护机制、关键信息基础设施（CII）安全保护机制以及非CII运营者网络安全审查应对机制。

对于有上市需求的医疗 健康 企业而言，数据跨境监管趋严所产生的影响或更为直接。 “医疗大数据企业已经将数据跨境的难题作为选择上市地的考虑重点之一。 ”互联网医疗系统与应用国家工程实验室副主任翟运开表示。

近期，医疗大数据龙头零氪 科技 撤回美国IPO计划。其先前披露的招股书显示，该公司有超过250万名患者超过900万次纵向医疗记录。在去年7月该公司突然暂停赴美IPO后，同年9月曾传出或转赴香港上市的消息，零氪并未对此进行回应。

目前，国际上对于个人 健康 医疗数据跨境流动的专门标准并不多，国际标准化组织（ISO）2004年颁布的《 健康 信息学 推动个人 健康 信息跨国流动的数据保护指南》提及，除保护数据主体切身利益所必要的传输之外，个人 健康 数据不应传输，除非得到数据主体明确的同意。澳大利亚则明确禁止与 健康 医疗相关的数据出境。

“ 医疗数据在不同国家的流通对于推动相关领域科学研究和产业发展并进一步推动医疗 健康 服务水平意义重大，但越来越多的国家或地区基于‘重要’‘敏感’数据对国家安全或个人隐私保护，公开呼吁将医疗 健康 数据完全本地化，这不利于促进数据自由流动，更不利于科学研究和产业发展。 ”翟运开表示。

对于我国而言，一方面，可通过完善医疗数据合规跨境的制度体系本身推动面向国际的数据流动。蔡鹏指出，《个人信息保护法》的出台毋庸置疑使得企业面临更高的合规成本，但该法案的问世也是我国在保障人权上的一大进步，促使我国企业在相关领域与国际接轨，并得到国际认可。以GDPR为例，若我国后续的配套立法能够与之接轨，那么对于国内企业与欧洲的企业、高校、医院开展深度科研临床合作，在保障国家安全的情况下促进数据流动，将具有十分积极的意义。

另一方面，我国还多番 探索 数据跨境试点。早在2019年7月，国务院印发《中国（上海）自由贸易试验区临港新片区总体方案》， 明确支持新片区聚焦生物医药等关键领域，试点开展数据跨境流动的安全评估，建立数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制。2020年底，北京市又聚焦人工智能、生物医药等关键领域推进数据跨进流动安全管理试点工作。

“医疗数据作为特殊数据，应该建立什么样的跨境流动机制，法律法规和实践的确都还需要进一步明确。”翟运开强调。他建议我国可参考欧盟及其他国家经验，设立符合我国国情需要的多样化合法流动机制，以及指引性的数据跨境流动协议范本。

同时，从国际协调来看，可推动形成数据跨境统一治理体系，由相应的国际组织，如WHO、ITU等，联合制定医疗 健康 数据跨境流动与交易的详细规范，共同协商制定有关国际标准。 面对海量医疗大数据跨境传输保护，形成独立统一的数据保护执法机构，独立实现对数据活动安全的保障，避免不同国家重复执法，提高数据流动效率。

更多内容请下载21 财经 APP

六、世辉律所青睐的高校?

世辉律所青睐的高校：西北政法大学

世辉律师事务所是一家专长于互联网领域法律服务的综合性律师事务所，为客户提供兼并收购、资本市场、私募股权投资、基金设立、外商直接投资、境外投资、财富管理、争议解决、合规、反垄断、资产证券化、数据保护等业务领的法律服务。