团队介绍:
W&W国际法律团队,国内外一站式法律合规顾问
W&W 国际法律团队已为超过80+头部与知名互联网公司、500强企业、大中型外资企业、独角兽企业提供专业的法律合规服务和落地解决方案。为多个产品及业务线落地互联网综合合规、国内外数据合规及出海合规法律项目。特殊行业覆盖前沿科技领域,如AIGC、区块链、GPT、云计算等新兴领域、智能网联汽车与车机系统、智能制造业与物联网。涉及业务地区为国内、欧洲、北美、亚太、中东等地区。
(如有项目需求或了解代表案例,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/王捷律师团队
✦
✧
引言
✦
随着梦幻的虹膜写真爆火,央视新闻、中国市场监管报纷纷发文提示大家美丽事物背后具有的危险。虹膜作为具有高度唯一性和防伪性的生物识别特征,包含了大量个人生物学特征信息。而且根据斯坦福研究所分拆出来的SRI国际公司的数据,虹膜识别的准确度是指纹扫描的1000倍。故,虹膜无疑是个人信息的快速识别名片,亦当仁不让的属于敏感信息。同时,虹膜写真在国外亦有成熟的产业链,甚至与艺术产业搭配,如Iris Galerie, Iris Art Photography 等著名网站。那么这种虹膜写真到底是基于怎样原理,其与专业的虹膜识别存在什么区别?又是否会对个人信息与隐私保护产生威胁呢?
来源:ksim psonphotography官网
一、只有活体才能够使用虹膜识别
虹膜识别是一项基于人眼虹膜独特性进行身份认证的生物识别技术,其发展历史可以追溯到19世纪晚期。尽管当时的摄影技术还不够成熟,无法制作出今天商业虹膜照片的精度,但一些研究者已经开始尝试将虹膜用于识别目的。1886年,法国警官兼研究员阿尔方斯·贝尔蒂龙提出利用虹膜来抓获惯犯的设想。1987年,两位眼科医生申请了第一个虹膜识别系统的专利。随着技术的进步,现代红外摄像机能够捕捉虹膜图案的细节,将虹膜图像作为独一无二的生物识别标志存储在计算机或服务器中。如今,虹膜识别技术已广泛应用于访问银行账户、开锁或通过机场安检等场景,成为隐私保护领域的重要技术之一。
虹膜识别技术利用专用光学图像采集设备获取人眼虹膜图像,并通过数字图像处理、模式识别和人工智能技术实现身份认证。整个过程通常分为四个步骤:虹膜图像获取、图像预处理、特征提取和特征匹配。
01
图像获取
采集到的眼部图像中包含许多多余信息,比如眼睑、睫毛等,同时图像清晰度可能无法完全满足识别需求。因此,需要通过图像预处理技术对图像进行平滑、边缘检测和图像分离操作,以提取出虹膜区域,并为后续的特征提取做好准备。
02
特征获取
虹膜图像预处理后,会通过特定算法从中提取出独特的特征点,并对这些特征进行编码。一个虹膜通常拥有约266个量化特征点,而传统生物识别技术的特征点数量一般仅为13到60个。实践中,虹膜识别算法可以在眼部特征允许的情况下,获得173个二进制自由度的独立特征点。这些特征点的高密度和独特性为虹膜识别提供了极高的准确性。
03
特征匹配
最后一步是将提取出的虹膜特征编码与数据库中存储的虹膜特征进行比对。如果匹配成功,即可完成身份验证。这种高精确度的匹配过程使虹膜识别成为目前最可靠的生物识别技术之一。
虹膜识别技术的独特性还体现在其对活体的要求上。当人死亡后,瞳孔会自然放大,虹膜纹理逐渐消失,因此只有活体虹膜才能通过识别。此外,由于虹膜具有规律性震颤和随光强变化的缩放特性,能够有效区分真实虹膜和伪造图像。正因如此,虹膜识别在防伪性和可靠性上具有极大优势,是目前最安全的生物识别技术之一。
二、虹膜写真 vs 虹膜识别
虹膜写真和虹膜识别在图像获取环节存在显著相似性,但由于使用目的和技术处理的不同,二者在隐私保护层面反映出不同的风险。
从相似性来看,二者都需要通过设备捕捉人眼虹膜的图像信息。虹膜识别利用专用仪器(如红外摄像机)获取高精度虹膜图像,并确保图像能够用于后续的特征提取和匹配;而虹膜写真则通过摄影设备(如高清摄像机或微距镜头)捕捉虹膜图像,目的是以艺术化方式展示图像。但由于现代摄影设备的分辨率逐渐提高,虹膜写真在图像获取环节可能达到与专业虹膜识别设备相当的精度,初始图像甚至可以直接用于虹膜识别,这使得虹膜写真在某种程度上可能成为“隐性虹膜识别”的入口。
然而,二者在使用目的和技术处理上有显著区别。虹膜识别通过算法提取虹膜特征点,将其转化为数学编码用于身份验证,原始图像仅作为分析工具,不会直接存储或展示。而虹膜写真则主要用于艺术化展示,通常会对虹膜图像进行色彩调整、光影渲染等处理,降低图像的精确度,使其无法直接用于生物识别。
但即便经过艺术渲染,虹膜写真保存的底片仍然存有原始虹膜图像信息。如果这些底片被恶意使用或泄露,依然可能造成隐私威胁。因此,凡是具备虹膜特征提取和识别可能性的照片,或者能够与其他个人信息结合用于身份识别的虹膜图像,均应被视为敏感个人信息。
三、潜在的隐私威胁
虹膜写真对个人隐私的威胁,主要体现在以下几个方面:
01
设备的“隐性识别”能力
虽然大多数虹膜写真使用的设备并非专业虹膜采集仪器,但随着技术的进步,这一界限正在变得模糊。例如:一些高端智能手机(如三星Note8)已经可以通过红外摄像头完成虹膜识别全流程,包括图像获取、预处理、特征提取和匹配。如果商家在拍摄虹膜写真时使用了搭载虹膜识别功能的设备,则可能在用户不知情的情况下获取高精度虹膜信息,并将其存储在数据库中。
这种情况下,即便用户只是出于艺术拍摄目的提供虹膜照片,也可能无意间泄露了生物特征信息。
02
底片的存储与滥用风险
即使虹膜写真经过艺术化处理,底片仍然保留完整的虹膜图像细节。如果商家未妥善存储底片,或者底片被非法获取,可能会导致身份冒用、数据泄露的风险。不法分子可以利用高清底片复制用户的虹膜模型,欺骗虹膜识别系统,获取用户的身份认证权限。而虹膜信息的不可更改性意味着一旦泄露,用户将无法通过修改或更换来避免风险。
03
用户对隐私保护的被动性
在拍摄虹膜写真时,大多数用户并不会意识到商家可能具备采集虹膜信息的能力。一般情况下,用户仅关注拍摄过程和成品效果,而不会主动询问或了解商家所使用设备的技术能力或数据处理方式。同时,在现实场景中,商家也很少会主动向用户详细解释其设备是否搭载虹膜识别功能、底片如何存储、是否加密或未来是否会用于其他用途。因此,用户通常处于信息不对称的弱势地位,无法有效评估自身隐私面临的风险,也无法主动采取措施防止生物特征信息的泄露。这种被动性使得虹膜写真在无形中成为潜在的隐私威胁来源。
四、消费者和商家需要注意什么?
由于虹膜写真是一种客单价较低的产品,要求商家全面落实高标准隐私保护措施可能难以实现,因此应在实践中通过简单、低成本的方式来降低隐私风险。消费者在选择拍摄服务时,应主动了解商家的设备信息,选择信誉较好的商家,并尽量避免提供姓名、身份证号等额外的身份信息,以减少隐私绑定的风险。同时,应避免在社交媒体上公开分享未经处理的虹膜照片,防止其被不法分子利用。
商家则应以透明为核心原则,在拍摄前明确告知消费者设备的用途和底片的处理方式,例如说明底片是否会长期存储或销毁,以降低用户的隐私担忧。此外,商家可以通过限制底片存储时间、定期清理数据、避免底片与消费者身份信息关联等方式,降低隐私泄露的可能性。这些措施成本低且易于实施,能够在不显著增加运营负担的同时,提升用户对服务的信任感。
虹膜作为生物识别特征之一,其法律属性和合规要求在隐私保护体系中具有特殊地位。无论是在国内的《个人信息保护法》(PIPL),还是国际上的《通用数据保护条例》(GDPR),虹膜数据均被明确归类为敏感个人信息或特殊类别个人数据,受到更严格的收集、处理和存储要求。这部分内容涉及较为复杂的法律分析,我们将在后续的文章中分地区进行专门探讨,敬请关注。
参考材料:
A Look at Iris Photography,Author: Aubrey Minshew, Museum Specialist, Truhlsen - Marmor Museum of the Eye
谈谈「虹膜识别技术」,它会取代指纹识别技术吗?
虹膜写真风靡年轻人:小心泄露敏感个人信息
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了14年+科技型公司实务经验,具备中外律所从业背景。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
欧洲(欧盟、英国、俄罗斯)、北美洲(美国、加拿大)、日本、韩国、印度、东南亚多国(新加坡、泰国、马来西亚、印尼、越南、菲律宾等多国)、中东(沙特、阿联酋、阿曼、埃及等)、南美洲(巴西、阿根廷等)、非洲多国、以及中国(港澳台地区)等超过30+国家与地区。
职业资格:
是广东数据资产登记合规委员会评审专家、持有CIPP/E(国际信息隐私专家认证/欧盟)、CIPM(注册信息隐私管理专家)、区块链应用操作员资格证书、数据安全师数据合规官等资格证书。
推荐阅读:
感谢有你!请查收垦丁王捷律师团队2024年度报告总结,助力2025企业出海!
帮你总结好了 | 2024年全球各国数据合规核心议题,含六大区域及十二国,助力出海2025
年终报告季丨更新至7.0版本!个人信息保护数据合规法律法规汇编(截止2024年12月27日)
美国司法部发布数据跨境传输最终规定,以应对外部获取美国敏感的个人和政府相关数据所带来的紧迫国家安全风险
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
