这是一个非常好的问题,关系到每个人的隐私和安全。科技公司在收集人脸数据后,其存储和处理方式遵循着一条基本原则:数据最小化、安全存储、受控处理、用户知情与授权。但具体实践因公司而异,也受到不同地区法律的严格约束(例如欧盟的GDPR、中国的《个人信息保护法》、《数据安全法》等)。
以下是通常的流程和措施,分为存储和处理两个部分:
一、存储阶段
数据脱敏与加密:
- 不存储原始图像:许多负责任的公司在完成识别后,不会存储用户上传的原始照片。
- 生成特征向量(Face Embedding):核心步骤是将人脸图像通过算法转换成一串独一无二的数字代码(通常是一串512维或128维的数字)。这串代码就是“人脸特征”,它代表了这张脸的关键信息,但理论上无法逆向还原出原始图像。存储的是这个特征向量,而非图片本身。
- 加密存储:无论是特征向量还是极少情况下存储的原始图像,都会在存储时进行强加密(如AES-256)。数据在“静止状态”下是密文。
安全存储环境:
- 访问隔离:人脸数据库会被放在高度安全的服务器中,与公司其他业务系统隔离。
- 访问控制:只有极少数经过严格授权的人员(如安全工程师)才能接触到这些数据,并且所有访问行为都会被详细记录和审计。
- 分布式与备份:为防止数据丢失,可能会进行加密备份,但备份数据同样遵循严格的安全协议。
二、处理与使用阶段
明确的处理目的:法律规定,公司必须在收集时明确告知用户处理目的(例如:用于刷脸支付、门禁解锁、内容标签建议或美颜滤镜),并且
不能超出此范围使用。将人脸数据用于用户未同意的其他用途(如情绪分析、营销画像)是违法的。
计算通常在内存中进行:
- 当用户进行人脸识别时,系统会即时计算用户上传图像的特征向量。
- 然后,将这个“新向量”与数据库中存储的“已加密的向量”进行加密态的比对(或在安全内存中解密后进行比对)。
- 比对完成后,临时计算数据会被清除。整个过程力求不在不安全的环境中暴露数据。
第三方处理:如果公司使用第三方云服务(如AWS、阿里云、腾讯云)来处理或存储数据,那么需要通过严格的合同来约束这些供应商,确保其安全标准符合要求。用户有权知道自己的数据是否被共享。
算法偏见与伦理审查:负责任的公司会对其人脸识别算法进行偏见测试(确保对不同性别、肤色人种的准确性一致),并设立伦理委员会审查相关应用。
三、用户权利与法律合规
知情同意:在收集前,公司必须清晰、明确地告知用户,并获得用户的单独同意(不能隐藏在冗长的用户协议中)。这是法律的底线。
数据主体权利:根据法律(特别是GDPR和中国的《个人信息保护法》),用户通常拥有以下权利:
- 访问权:询问公司存储了自己哪些人脸信息。
- 更正与删除权(被遗忘权):要求公司更正不准确的信息,或彻底删除自己的人脸数据。
- 撤回同意权:随时可以撤回授权,公司必须停止处理并删除数据。
数据留存期限:公司会制定明确的政策,规定数据保留多久。一旦达到目的或用户注销账号,数据应被安全地销毁。
数据出境限制:许多国家的法律对将包含人脸在内的生物识别数据传输到境外有严格限制,通常需要额外的安全评估和用户同意。
四、潜在风险与需要警惕的方面
尽管有上述措施,风险依然存在:
- 违规与滥用:内部员工违规访问、黑客攻击导致数据泄露是最大风险。一旦特征向量库泄露,虽然不能直接还原人脸,但可能被用于伪造和冒名攻击。
- 过度收集与“功能蔓延”:一些应用可能以“方便用户”为名,不断扩展人脸数据的用途,模糊最初的同意范围。
- 第三方风险:与第三方合作伙伴共享数据时,如果对方安全措施不足,会造成风险扩散。
- 法律执行差异:不同国家和地区监管力度不一,并非所有公司都严格遵守最佳实践。
总结
理想状态下,科技公司应:只存储无法还原的人脸特征向量、进行强加密、在严格访问控制下处理、只为已告知的特定目的服务、并随时响应用户的删除请求。
作为用户,你可以:
- 在使用任何人脸识别功能前,仔细阅读隐私条款。
- 询问该公司如何处理你的人脸数据、存储多久、如何删除。
- 只在绝对必要且信任的应用(如国家法定证件验证、核心金融服务)中使用该功能。
- 定期检查应用权限,关闭不必要的生物识别授权。
总的来说,这个领域在技术和法律层面都在快速发展和完善,但用户保持警惕并了解自己的权利至关重要。
