详细内容

人脸识别技术运用中的认知误区

无处不在的摄像头,几乎遍布每一个生活场景的人脸识别,其中存在着哪些认知误区?又存在着哪些隐忧?清华大学法学院劳东燕教授带来她的观点分享。

『一』生活在这个社会,我们逐渐习惯了越来越多的摄像头。

很多人可能与我先前一样,会以为这样的摄像头,不过是记录自己在公共场所的行踪,防止诸如交通违规之类的行为,所以并不为意。实际上,遍布的摄像头,正是为了与人脸识别技术相配套,方便这项技术大展威力。

去年以来,由于底层技术实现质的突破,人脸识别的准确率大为提高,其应用场景出现爆炸式的增长。

一如既往地,人们将之视为新技术的拓展,平静甚至是相当愉悦地接纳了它在诸多场景中的应用。有人甚至还开起玩笑,这下整容业要大受影响了。这样的担心有些杞人忧天。即便整容,由于人的双眼瞳孔之间的距离是不变的,所以,根本不用担心识别技术会发挥不了作用。

面对人脸识别技术的迅速推广,人们所表现出的平静与愉悦,大体上是因为,很多人将人脸识别技术理解为单纯的识别与印证,不觉得有什么风险。同时,除了在抓捕罪犯的场景,人们也往往没有将这种技术的应用,与到处遍布的摄像头关联起来,或者是下意识地将自己视为是监控的例外。

从此种意义上来说,人们普遍的并不为意,以及接受这项新技术时的平静与愉悦,多少有些陷于盲目,并不知晓自身所处的真实境况。

将人脸识别技术理解为单纯的识别与印证,是一种重大的误解。实际上,这种技术不仅用来抓取个人的面部生物信息,并与既有数据库中的相应数据相比对。它还能进一步追踪到个人的身份信息、日常的行踪轨迹、人与车的匹配、亲属关系的匹配以及经常接触人员的匹配等。这是它与遍布各处的摄像头相配合的结果。而这一切,只取决于掌控之人想不想使用。

最新的人脸识别技术,不仅能够指示性别与估计年龄,还能够辨别个人的面部表情。由于它属于人工智能与深度学习的范畴,随着技术的进一步发展,经解读与分析而得出关涉隐私的信息,可想而知会越来越多。多到足以为任何个人勾勒准确的用户画像。

如此海量的个人信息,若是全能公正的上帝在收集、保管与使用,自然没必要担心。问题在于,这样的假设并不成立。这是一个无神论的社会。

至于没有什么隐瞒老百姓就无需担心之类的安抚话语,要是真地信了,未免太过天真。抛开频频出现的无罪案件与刑事冤案不论,果真如此的话,监狱里关着那么多的原国家工作人员,算是怎么回事呢?政府哪还需要高调倡导反腐,又怎么可能有层出不穷的保护伞需要打击?

这意味着,人们对人脸识别技术的普遍接受,要么是基于一厢情愿的盲目乐观,要么是选择性地无视或低估风险的结果。总而言之,就是在信息匮乏的情况下,做出了有失偏颇的判断。这也正是人脸识别技术一直未成为公共话题的重要原因。

『二』稍做了解便可发现,现行的人脸识别技术,无论是在收集、保管还是使用的环节,都存在诸多的问题。这些问题关涉国民重大的切身权益,绝不只是要求放弃一些隐私方面的权益那么简单。

首先,从数据收集环节来看,人脸识别具有无意识性与非接触性,可以远距离发挥作用,并能长时间大规模地积累数据而不被用户察觉,具有很强的侵入性。

人脸识别的技术,能够在人们根本没有感知的情况下,远距离地进行抓取与记录相应的数据。根据《中国新闻周刊》的报道(《人脸识别十字路口:脸的恐慌》),有专家称,中国人每天要暴露在各种摄像头下超过500次。所以,不用怀疑,只要开始使用人脸识别技术,就始终有一双眼睛随时紧盯着你我。成为透明人一样的存在,不是出于想象,而就是活生生的现实。

然而,面部的生物数据明显属于个人信息,即便按现在的法律规定,人脸识别的收集环节也涉嫌严重的违法甚至犯罪。因为很多场合对个人面部数据的获取,根本没有征得被收集人的同意,难以认为是依法取得。

根据现行的刑法规定,不经同意而非法获取,或者将合法取得的个人信息出售或提供给第三方,此类行为均涉嫌构成侵犯公民个人信息罪。

某些应用人脸识别的场景,表面看来是在被收集人有认知的情况下进行,似乎已征得其同意。实际上,由于信息告知不充分,包括收集的主体、收集的数据范围、使用目的及范围、保护措施与相应风险等均未予明示的前提下,被收集人事实上的认可,在法律上并不成立有效的同意,故收集行为仍属违法。

其次,从数据保管环节来看,一旦收集主体未能善加保护,就会导致大规模泄露的情况;即便其采取合理的保管措施,也仍然面临被黑客侵入而泄露的危险。由于个人的生物学数据具有稳定不变性,一旦泄露,相应的风险及危害即不可逆转,也无法有效进行弥补。

今年有多起新闻报道涉及人脸数据泄密的问题。先是国内提供人脸检测与人群分析的一家科技公司,被发现其人脸识别数据库未设密码保护,一直对外开放,导致256万用户信息被泄露。近期又有媒体发现,在网络商城中有商家公开售卖人脸数据,数量达17万条。

这些泄露后的人脸数据,究竟会被什么样的人使用,用于怎样的场合,是否可能导致财产的损失与其他人身权益的侵犯,对此,我们都一无所知。可以确定的是,人脸数据的泄露,所带来的潜在的安全风险,远比手机号与账户信息的泄露更为严重。

今年推出的一款AI换脸软件,只需要一张正脸照,就可以将视频中人物的脸进行替换。换脸技术的出现,让诈骗行为与制造社会恐慌等,都变得更为简单易行。想想近些年电信诈骗的猖獗程度,就可推知,人脸数据的大规模泄露,会给社会带来多大的恐慌,会让多少普通人遭受重大的损失。

更何况,人脸识别技术本身就存在诸多的技术漏洞。《中国新闻周刊》的前述报道提到,在一次安全极客的赛事上,毕业于浙大计算机专业的一位90后女选手,仅用两分半钟就破解了人脸识别门禁系统,将设备中存储的人脸予以更换。

人脸识别的应用场景经历了爆炸式的增长,但是,在如何保护相关数据的问题上,却没有做任何的强制性规定,而完全取决于收集方的意思。可想而知,因数据泄露而引发的风险根本难以评估。犹如一个火药桶,只要有一丝火星,就足以引发爆炸性的社会事件。

最后,从数据使用环节来看,由于未作任何限定,随着人脸识别技术应用场景的大肆扩张,滥用与歧视的现象必将不可避免。

当下常见的应用场景,除了安保、门禁、支付与认证等之外,人脸识别技术也被广泛用于商场流量统计、社区管理、养老金领取、办税认证、物品保存、景区出入与演出场所的检票等。它甚至还进一步被推广用于教学过程,以监控与管理学生的课堂行为。还有,就是开始出现于地铁的安检之中。

抛开收集与保管环节的问题不论,从前述诸多的应用场景来看,当前对人脸识别技术的运用,显然存在滥用的倾向。这样的滥用,使得大规模的潜在操纵成为可能,而监控变得无所不在。有关滥用的风险,当前所揭示出来的一些情况,无疑只是巨大冰山的一角。

人脸识别技术还可能引发歧视的问题。

其二,为什么机场可以用人脸识别,而地铁与其他的公共领域就不能用?

这种观点似是而非。否定的理由有三点。

首先,这种质疑预设了未经证明的前提。人脸识别并非机场安检的必备要件,而是近两年方予应用。试问,此前难道就不存在有效的机场安检了吗?从我这两年到德国、法国、英国与日本的旅行经历来看,相应的机场均未见使用人脸识别技术,难道人家就不进行机场安检了吗?

其次,即便机场例外地有必要运用人脸识别,也不代表在地铁或其他的公共领域可予推广。机场的安检原本就代表最高级别,不分场合实行同级别的安检,呈现的只能是治理思路的混乱。不仅在必要性上存疑,也给民众的出行造成严重的妨碍。

最后,即便人们在机场安检时接受人脸识别,也不意味着相应的面部信息就可用于机场安保之外的目的与场景。人们同意在机场安检时进行人脸识别,相应的数据自然也只能用于机场安检的目的,不代表可以随意移用于其他场合。不然,就是超越用户同意的范围,而非法收集与使用个人的面部生物信息。

其三,在地铁中运用人脸识别,可以让大家自愿来选择,为什么不给这样的选择机会?

这种观点表面看来言之成理,实际上完全不可行。

首先,自愿选择的前提是明确而充分的风险告知。如果将人脸识别技术的实质,以及在收集、保管与使用的环节中存在巨大风险进行充分的告知,我严重怀疑,会有多少人愿意为些许的效率,而全然放弃自身的隐私与安全。

其次,地铁实行人物同检的安检措施,必要性本身就存在疑问。伦敦、巴黎与东京等城市的地铁,均经历过恐怖袭击,但都并未选择实行人物同检。理由显然不是人家缺乏安保经费,而是经过理性考量,不适宜在地铁这样的场所推行人物同检。

最后,考虑我国地铁的拥挤程度,设立两种安检通道的做法,缺乏基本的可行性。因为这意味着,在地铁安保方面,还要进一步加大投入。除了浪费国民的税收,实在看不出这样做的意义。财政收入是固定的,政府选择将很多预算用到地铁的安检,势必要减少民生方面的投入。

综上,前述三种质疑观点,要么逻辑混乱,要么似是而非,要么不具可行性,均无法成立。

『五』我不是技术的保守主义者,也不是要全盘反对人脸识别技术的应用。但是,在未获得法律的明确授权之前,我反对公权力机构收集普通国民的面部生物信息,因为这样的收集缺乏基本的合法性。

至于人脸识别技术的商业性运用,由于涉及个人信息的收集,收集方必须严格遵守有关个人信息保护方面的法律规定。不仅要确保对数据的收集与保管的规范化,而且要对人脸识别技术的应用场景做严格的限定。

在商业性的场景中,对人脸识别技术的运用,至少应当符合四方面的要求。

第一,收集方必须就相关信息与风险做明确而充分的告知,并事先征得被收集人的同意。未经被收集人的明示同意,不得将个人数据以任何形式提供给第三方(包括政府部门),或者让第三方使用相应的数据。在涉及犯罪侦查或国家安全的场合,可例外地予以允许,但需要严格限定适用条件与程序。

第二,收集程序应当公开,并确保所收集的数据范围合乎应用场景的目的,未超出合理的范围。收集方不允许超范围地收集个人的面部数据,收集的范围应当符合相应适用场景的目的,并以合理与必要为原则。

第三,收集方在收集个人的面部生物数据之后,应当尽好保管义务。收集方应尽合理的努力,对所收集的数据妥善保管;违反保管义务,应当承担相应的法律责任。同时,如果被收集人撤回同意,或者明确要求删除自己的数据,收集方应当对相应数据予以删除。

第四,对人脸识别技术的应用场景,必须确保合法与合理,并避免侵入性过强的举措。收集方在特定场景中所收集的数据,原则上不允许运用于其他的场景,除非该场景是在合理的预见范围之内。如果擅自扩大或者改变数据的应用场景,收集方应当承担相应的法律责任。

值得指出的是,与一般的个人信息相比,面部生物数据的敏感特性,使得现有法律根本不足以提供充分的保护。尤其是,以同意为基础的法律保护机制,在应对科技发展给个人信息的保护所带来的挑战时,已经完全显得捉襟见肘。基于此,法律界有必要做专门的调研,尝试探寻有效而合理的规制路径与保护措施。

个体的生物信息,包括人脸、基因、指纹、虹膜与步态等,均具有不可更改性。所以,一旦泄露后果不堪设想,包括法律在内的诸多手段,都难以提供有效的救济。相应的风险完全不可逆,根本不可能恢复到泄露之前的基本状态。

这意味着,在没有对收集、保管与使用的环节做严格的法律规制之前,人脸识别技术的肆意推广,打开的就是潘多拉的盒子。我们付出的,绝不只是隐私的代价,还有孜孜以求的安全。

因此,围绕人脸识别技术的公共争论,根本就不是隐私与安全之争。它既危及隐私,也威胁安全。无隐私即无自由。长此以往,等待我们的,将是一个既无自由也无安全的社会。若结局如此,人们还会愿意贪图眼下的一时便利,而放手让权力与资本大肆推广人脸识别技术的应用吗?

在人脸识别技术如何运用的问题上,只有拨开安全与效率的迷雾,不为权力与资本所绑架,才有可能做出理性的选择。


产品中

关于我

新闻中

联系我们

杭州市余杭区西南山北路159号汉方园A栋

4楼

公司服务热线:

0571-89777238

COPYRIGHT 2020    ALL RIGHTS RESERVED

扫码关注