2017年,一股无人零售的新风潮在大大小小的办公室里刮起,继阿里巴巴试水无人超市后,无人便利店、无人值守货架和自动贩售机三种形态的无人零售业成为业界的焦点。在这个信息高速发展的今天,面对不断进化的无人零售,我们的个人信息安全吗?
“刷脸”安全吗?2017年央视“3·15晚会”曝出的人脸识别安全隐患,给市场预留了一个大大的问号和感叹号。
也正是2017年,“无人零售”的异军突起,让“刷脸”消费成为新的风向标。不仅如此,在各种无人化消费场景中,消费者所有的消费轨迹都开始被人工智能等科技一一记录,零售产业链的全面数据化已经成为无人零售背后的战略核心。那么,对消费者而言,无人零售信息安全有保障吗?
时值又一年“3·15”临近,《每日经济新闻》记者特别针对“无人零售”这个零售创新升级探索新风口的信息安全,进行了全面深入的调查采访。
消费者信息被“全”记录
早上,你“刷脸”进入一家便利店,店中没有售卖员,和往常一样,你挑选了自己最喜欢的面包和咖啡,不需要人工结账,靠“刷脸”就可以自动结算,即拿即走……如今,这样的生活已经随着无人零售的到来变成现实,并逐渐成为人们日常生活的一部分。
“无人零售”这一概念自2016年提出,就掀起了创业热潮。2017年在资本助推下,作为未来零售的一个重要突围方向,“无人零售”更加成为市场的“宠儿”。据业界不完全统计,截至去年底,我国已有约138家无人零售企业,其中57家获得融资,总融资额超48亿元。除了无人便利店,无人超市、无人货架等一系列无人消费场景都相继涌现。
作为“无人零售”中最重要的场景之一,无人便利店是智能化程度最高的场景——但也正是因其高度的智能化,可以实现对消费者信息的全记录。
以最早推出无人便利店,广为人知的Amazon Go为例,消费者从“刷脸”进入店内的那一刻开始,身份、消费记录、支付记录等信息即被记录,甚至在店中或货架前停留的时间和次数,每次拿起/放回的商品类型、个数等行为轨迹,也会被一一记录。
无人便利店的“刷脸”安全吗?
无人零售对消费者信息采集的全面程度已经空前,但《每日经济新闻》记者注意到,公众对其中信息安全的关注仍然不够。在记者的随机采访中,消费者对无人零售信息安全所知的,也基本仅限于2017年央视“3·15晚会”所提到的人脸识别安全隐患。
那么,无人便利店的“刷脸”安全吗?
回顾那场晚会现场,主持人利用两部手机、一张正面照、一个换脸APP,几分钟内便完成了用户人脸的“复制”。接下来,主持人凭借这个“复刻版”的用户面部,轻松完成了一名观众的人脸识别系统检测,并成功登陆了该观众的账户。
据人脸识别资深专家、中科院博士李子青公开表示,当时晚会人脸识别复制演示用的是face2face技术,通过人脸关键点定位和变形算法,实现对图片或视频中人物表情和动作的操纵控制,从而达到“盗脸”的目的。
如此顺利的“盗脸登录”确实不免让公众对人脸识别等身份验证存在顾虑。无人便利店的刷脸和上述刷脸有何不同?又如何避免这种安全隐患的发生?
据《每日经济新闻》记者了解,国内对标亚马逊Amazon Go的无人便利店简24,便是通过“摄像头+感应器”设备进行人脸识别。简24创始人兼CEO林捷接受《每日经济新闻》记者采访表示,人脸识别在无人便利店中的使用一般只是在出入店门的身份验证,并且通常只是正脸的采集。相比手机对人脸各个角度的采集数据更简单。
也就是说,无人店的人脸识别数据只能用于无人店身份识别,放到其他场景,一般会需要更多维度的脸部数据。甚至在林捷看来,“不会构成什么风险”。
同时,有业内人士进一步解释,尽管人脸比对的精确度可以达到较高水平,但在实际应用过程中,很多企业考虑到成本等因素,使用的人脸识别系统算法相对比较简单,虽然破解起来并不困难,但也正是为了保证安全性,往往不会单一的被嵌入到消费场景中。所以无人便利店的刷脸也并非想象中“危险”。
除了“刷脸”还有更多新问题
在业内人士眼中,当前无人便利店“刷脸”安全隐患并不如此前央视“3·15晚会”曝光的那么危险。但是,未来无人零售所呈现的智能化应用,远非一项人脸识别身份验证,因此无人便利店采集消费者数据的方式与时间点也并非单一,信息安全仍不容忽视。
有无人便利店从业人士就对《每日经济新闻》记者指出,目前市场上部分无人值守货柜的智能锁安全模块加密程度不高,可能只需要在这种智能锁上安装一个硬件,就可以盗取用户信息,是值得注意的。
同时,北京亿达(上海)律师事务所律师董毅智提到,当消费者进入无人店铺消费,消费者的轨迹信息商家是否就可以使用?如果使用,是否需要提前告知?用在哪些领域、边界何在?这些问题在之前的法律条款中也并没有涉及,都是新生的问题。
“无人便利店需要在消费者进入店内或者使用移动APP时,对消费者有非常明显的获取消费者相关数据的提示,至少是要在消费者首次进入到这一场景时要有非常明显的风险提示,不然就不属于明示同意。”谈及风险,董毅智对《每日经济新闻》记者进一步表示,他认为这实际上在“合同法”里也是有明确的,因为这属于一种典型的合同条款。
无人技术规范标准正在路上
在记者采访的多数业内人士看来,智能化与信息安全风险没有必然的关系。在无人零售领域,要想真正保护用户信息,最重要的是要有监管协议来规范技术标准。
而可喜的是,当前包括宏观层面、行业在内,都开始关注和制定一些标准来规范无人零售中运营商、消费者的安全问题。
2017年10月24日,中国百货商业协会无人店分会公布了《中国无人店业务经营指导规范(意见征询稿)》,要求无人店经营者应在提交报备的同时提供安全性审核材料。
董毅智同时告诉记者,2018年1月24日,全国信息安全标准化技术委员会制定和归口管理的国家标准《信息安全技术个人信息安全规范》(GB/T35273-2017)(下简称《规范》)已经正式发布。在个人信息收集方面,《规范》明确,不得隐瞒产品或服务所具有的收集个人信息的功能等;对于个人敏感信息的收集,《规范》指出,应取得个人信息主体的明示同意,应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。
该《规范》将于2018年5月1日实施。这被认为也同样适用于无人零售的信息采集。
“法律界对于信息安全的重视在逐步提升,但由于无人零售相对还比较新,加上法律相对于商业具有天然的滞后性,所以这块目前法律界还只是先以一些小型化的规范来尝试。”董智毅说。如何平衡好由科技所带来的方便与安全之间的关系,对未来无人零售的长远发展和消费者权益保护都显得越来越为重要。
(原标题:面对不断进化的无人零售 我们的个人信息安全吗?)
