编者按:本文来自《财经》杂志,作者 姚佳莹 黄姝静,编辑 鲁伟,36氪经授权发布。
图/Pixabay
2019年11月29日,涉及7人命案、潜逃20年的劳荣枝终于落网。陈年旧案告破,在于警方采取了多种科技手段实施抓捕,该案中,人脸识别大数据发挥的作用被屡屡提及。
这不是人脸识别技术在抓捕案犯中的首次立功。据公安部披露,通过网络技术、视频技术等手段,在为新中国成立70周年大庆部署的打击诈骗、抓捕逃犯的“云剑”行动中,一半以上在逃人员是通过科技手段和大数据研判抓获的。
而同样是使用人脸识别技术,中国药科大学在教室安装人脸识别设备的做法却引发侵犯学生隐私的广泛质疑。
2019年9月,中国药科大学在一些教室安装了人脸识别设备,这种设备据称可以追踪、识别学生听讲、发呆、睡觉等上课状态。“之前有的同学点完名就离开或者请别的同学代(点名),但有了人脸识别就没这个问题了。从学生进教室那一刻起,它就对你进行全程识别。你低头多长时间,是否在玩手机,是否在发呆,是否在看别的书,都能感知到。”中国药科大学图书与信息中心主任许建真称。
如今,案犯抓捕、安全检查、课堂教学、移动支付、手机解锁……人脸识别的应用场景日趋丰富,在带来高效便捷的同时,亦隐藏着被“全程识别”的担忧。
人脸识别技术是基于人的脸部特征信息进行身份识别的一种生物识别技术。这种技术不仅用来抓取个人的面部生物信息,还可以与既有数据库中的数据进行比对。它能进一步追踪到个人的身份信息、日常的行踪轨迹、人与车的匹配、亲属关系的匹配以及经常接触人员的匹配等。
与指纹、虹膜等其他生物信息识别技术相比,人脸识别具有非接触性的特点,这意味着很多人可能是在不知情的情况下,被抓取面部信息。当算法对人作出更多分析之后,成为“透明人”的可能性无疑在增加。
2019年以来,人脸信息泄露并被违法售卖的事件并不鲜见——有的是5000多张人脸,打包只卖10元;有些公开售卖的人脸数据,细致到眼睛、耳朵、鼻子、嘴、眉毛等轮廓信息。
接受《财经》记者采访的多位法学专家中,有人支持人脸识别,认为新技术带来了便利,是大势所趋;有人持审慎态度,担心数据泄露、侵犯隐私权。但一个共识是,在数据保管、使用与转移等方面的法律规制不够完善的情况下,人脸识别应有边界。
目前,中国关于保护个人信息的专门立法尚未出台。尽管《网络安全法》《消费者权益保护法》《刑法》等法律对个人信息收集与使用的规制条款均有所涉及,但在实践中尚缺乏可操作性。
人脸识别的应用越来越广。值得关注的是,基于人脸识别技术,面部信息背后的个人信息库是否已无法由主体本身掌控?随着人脸识别应用越来越广泛,其边界究竟在哪?相关的立法和监管如何平衡个人与公共利益?
近年来,人脸识别技术的应用落地加速,横跨金融支付、公共安检、教育监控等多个领域,接连进入高校、小区、地铁站等多类场所。越来越多的普通民众开始明显感受到这项技术给生活带来的变化。
与指纹识别不同,人脸识别技术具有非接触性的特点,通过与监控摄像头搭配,获取者能在被采集者没有觉察的情况下,长距离抓取其头像。这一特点,意味着在安检和身份信息核验上,人脸识别比指纹识别、证件查验等传统方式更高效。
一个典型的应用场景是机场安检。中国大部分城市的机场普遍采用人脸识别技术。在北京大兴国际机场,通过“人脸识别自助值机系统”,乘客通过“刷脸”便可办理相应的登机手续——无需身份证件,便能看到自己的登机口信息,到达登机口后便可直接登机。据《新京报》报道,若采用刷脸通行,乘客从值机、行李托运至到达登机口,大概只需20分钟。
此外,由于人的双眼瞳孔间距无法改变,即使整容,人脸识别技术也能发挥作用。因具有很强的特定个体指向,在实际应用中,人脸识别技术也被用于核验个人身份。
根据工信部此前颁布的《关于进一步做好电话用户实名登记管理有关工作的通知》,2019年12月1日起,电信企业须在实体渠道全面实施人像比对技术措施,人像比对一致后方可办理入网手续。据悉,此举是为了进一步落实“人”“证”的一致性,保证用户身份的真实性,进而防范包括用户在不知情的情况下“被办卡”等痛点问题。
“推行人脸识别认证,政府其实是想打造基础信息的认证能力,确保个人身份信息的真实性。为何存在冒用身份信息,进行办卡、诈骗等违法犯罪活动,原因就在于目前的认证能力无法准确辨别个人信息,从这一点上来讲,人脸识别技术有助于增强国家的基础信息认证能力,认证能力越强,个人信息安全的系数就越高。”中国人民大学未来法治研究院副院长丁晓东表示。
中国社科院大学互联网法治研究中心执行主任刘晓春亦认为,面部识别确是目前最有效的身份认证方式之一。不过她也表示,人脸识别认证的应用场景往往涉及公众的基本安全,一旦数据被泄露,则面临被冒用的风险,造成的危害将远远超过一般的个人信息泄露。
人脸识别技术基于个人生物信息而具备极强个体指向的能力,在有效核验身份信息的同时,硬币的另一面是,通过人脸解码个人的敏感生物信息,大规模收集人脸信息,是否侵犯了个人的隐私、一旦发生数据泄露可能带来怎样的危害?
清华大学法学院教授劳东燕便对使用人脸识别技术核验身份持审慎态度。“身份验证有多种方式,在有些根本不涉及公共安全的场景中,为何强迫用户接受人脸识别的认证?”劳东燕认为,身份核验适用人脸识别技术的必要性应被重新评估。
2019年10月28日,杭州野生动物世界因强制游客“刷脸”入园被告上法庭。这宗中国“人脸识别第一案”,是开启人们重新思考人脸识别技术利弊的契机。浙江理工大学副教授郭兵以园方未经其同意强制收集个人生物识别信息、严重违反《消费者权益保护法》等法律相关规定为由,将杭州野生动物世界起诉至杭州市富阳区法院。该案目前已被法院受理。
北京地铁试点人脸识别技术安检面临的争议与之类似,民众的选择权利,对隐私与信息安全的担忧不断被提出。2019年11月29日下午,《财经》记者在北京地铁阜成门站注意到,安检区域已安装具备人脸识别功能的安检门,并加装了人脸识别摄像头和显示屏。
劳东燕指出,将人脸识别技术理解为单纯的识别与印证,是一种误解。人脸识别技术的实质是收集人脸数据,积累信息并作出分析,在此基础上勾勒个人画像,进一步能预测该数据主体的实际行为。换而言之,在这一套技术之下,人脸只是个人敏感信息的一个界面,这扇门后,是对个人身份、行为方式、社会关系的全面锁定。
基于前述技术逻辑,人们对于人脸识别技术应用中隐私保护和个人信息安全的担忧不无道理。毕竟,已经有数起人脸信息泄露并遭违法售卖的事件被曝光。
据中央电视台近日报道,有人脸信息在一款名为“转转”的APP上被公开兜售,5000多张人脸,打包只要10元。在百度一个名为“快眼”的贴吧,亦有人在兜售人脸数据。卖家称,高清证件照5毛钱一张;一类号称“四要素”的商品,除了照片,还包括姓名、身份证照片、银行卡和手机号,4元钱一份。
2019年9月,《北京青年报》亦报道了一起面部信息大规模泄露和违法售卖事件。报道称,有商家在网络商城中公开售卖“人脸数据”,数量达17万条。这些“人脸数据”涵盖2000人的肖像,每个人约有50张到100张照片,每张照片搭配一份数据文件,除了人脸位置的信息外,还有人脸的106处关键点,如眼睛、耳朵、鼻子、嘴、眉毛等的轮廓信息。目前,网络商城运营方已认定涉事商家违规,涉事商品已被下架处理。
北京大学法学院教授张平向《财经》记者强调,面部识别信息是生物信息的一种,几乎是恒定不变的,倘若未来“刷脸”技术全面推广,应用在诸如住宅等重要场景后,此类信息泄露的后果不堪设想。
个人敏感信息泄露的风险,是包括劳东燕在内的学者反对人脸识别被广泛应用的原因之一。
劳东燕指出,人脸识别技术是否能被广泛应用,取决于技术进一步深度学习开发后,相应的风险是否可逆。
2019年年初,深网视界被曝涉嫌大规模数据泄露。该公司被指存在安全漏洞,任何人都可不受限地访问其数据库,导致约256万人包括身份证、地址、行踪轨迹等在内的隐私信息遭到泄露。
“相较人脸识别技术的迅猛发展,中国的立法显得滞后。目前刑法、行政法方面,还未出现人脸识别侵权相关的处罚案例。民法方面,在人脸信息被滥用或者窃取后,行使民事权利很艰难,因为无法得知对方读取了哪些数据,采用了何种读取方式,甚至找不到侵权主体。”劳东燕分析称。
目前,中国针对人脸识别,法律的规制重心主要在信息的获取和收集,而在保管、使用、转移方面相对力度不足,且未把滥用行为放入法律规制范围。
“如果预见风险不可逆,且泄露和滥用后没有太多有效的措施来保护,任其发展肯定有问题。人脸识别技术蕴含的风险实在太大,应该严格限定适用场景。”劳东燕向《财经》记者表示。
对此,丁晓东则认为,人脸信息兼具公共属性和个人属性,因此,这一技术的应用应该区分具体场景进行风险防范,而不是一味禁止。
丁晓东表示,禁用人脸识别不意味着没有风险,相反,由于信息窃取和诈骗手段的不断升级,人脸信息因为相对稳定,关联个体的可能性较大,在解锁个人信息的认证方面比密码等传统方式更安全。
“对于风险问题,不能采取静态的观点。比如核电,核泄漏拥有极大的破坏力,但禁止核电不意味着没有风险,用火力发电会造成更多污染,更高的人口平均死亡率。人脸识别技术的应用也同理。“丁晓东向《财经》记者表示,实行人脸识别技术后,风险同样存在,但风险防范是一个不断攻防的动态过程。
然而,丁晓东亦指出,由于人脸识别技术本身会带来新的风险,且相关反人脸识别技术也会发展,就此而言不能盲目使用人脸识别技术,特别是不能将其适用在安全保障需求不高的场景。
在丁晓东看来,人脸识别本身带来的风险其实在于数据后续的使用环节。目前,人脸信息采集一方获准采集人脸信息的主要依据为《民法》的知情同意原则,然而,“信息被收集者瞬间的同意不能确保后续的信息使用符合其利益。”这意味着,即使存在知情同意原则,后续环节的个人信息流向、数据将被如何利用等也可能不受信息被收集者控制,需要法律加以规制。
事实上,在法学学者们担忧人脸识别数据发生泄露与被滥用的同时,一些相关企业在数据保护与信息获取范围限定方面多有举措。
一家涉足人脸识别的科技企业给《财经》记者的回复中提到,其旗下平台产品FaceID只获取为核实客户平台上注册用户身份确有必要获取的信息;另一平台产品Face++,除客户自愿提供的图像或视频信息,以及为提供服务而需从相关图像或视频信息中提取出的人脸或身体特征外,不会获取如终端用户身份证号码、护照号码、地址、电话号码或银行账号等其他个人信息。
在数据保护方面,上述企业表示,会匿名化处理获取的终端用户个人信息,采取软硬件加密,防止数据被解密或以逆向工程方式重新识别特定个人。在其招股书中亦有“不会出售、分享或以其他方式提供向任何第三方提供解决方案时收集的任何个人信息,也不会将这些信息用于算法训练”的表述。
边界之争
“其实我并不担忧人脸识别在商业场景的应用,规制相关采集、保管、使用环节之后是可以接受的。但在中国,公权力有权将任何机构或企业收集的数据汇集到自己手中。”劳东燕表示,公权力对个人权利可能的侵犯,是广泛收集人脸数据的一大隐患。
世界首例起诉公权力应用人脸识别技术的案例发生在英国。2017年,英国南威尔士(South Wales)警方开始试点使用自动人脸识别技术,其中一种使用方式是:对摄像头抓取的人脸进行实时处理,提取面部生物识别信息,并将该信息与监视名单上的人物面部生物识别信息进行比对,若匹配不成功,提取的面部生物识别数据和相关人员的照片不会被保存。
当事人埃德·布里奇斯(ED Bridges)声称自己至少被扫描了两次,2019年5月,埃德·布里奇斯以众筹的方式提起诉讼,起诉南威尔士警方侵犯个人隐私、违反《欧洲人权公约》。
埃德·布里奇斯并不是小题大做。维护个人隐私,防止公权力侵犯个人边界,是西方国家不少地区限制公共部门使用人脸识别技术的主要原因。
2019年5月,美国加州旧金山市监事会通过法令,禁止政府部门获取、保存、访问、使用“人脸识别技术”和“使用人脸识别技术获取的信息”。该法令认为,“人脸识别技术危及公民权利和公民自由的可能性远远超出其声称的利益。”
2019年6月,美国马萨诸塞州萨默维尔市议会通过法令,禁止萨默维尔市政府部门和官员获取、保存、访问、使用“人脸监控系统”和“人脸监控系统获得的信息”。
2019年10月,美国加利福尼亚州州长签署法令,在未来三年内全州范围禁止执法机构使用面部识别技术。该法令将于2020年1月1日生效。
“在人脸识别应用的场景下,关于个人隐私的讨论不能只停留在民法意义上的个人隐私权,以英国为例,‘隐私’(privacy)的概念更多是在宪法层面讨论。人脸背后是个人信息库,其实涉及的是人的根本权利。”北京安理律师事务所高级合伙人王新锐表示。
假想中的庞大数据库,拉响了人脸识别应用的预警。北京大学法学院教授王锡锌总结出使用人脸识别技术的三大原则。一是数据采集的合法性,即在法律上规定人脸识别技术的一整套适用场景,在这些场景中,为具体的采集主体赋权;二是数据应用的必要性。“应遵循最小够用原则。如果人脸识别涉及的信息相对指纹更加敏感,是否考虑将其作为最后的实现管理目的的手段?”三是个人权利最大化和公共福祉最大化间的平衡与妥协。