人脸识别技术为经济社会发展带来的新机遇
人脸识别技术的研究最早起源于20世纪60年代,到90年代进入了初级应用阶段。近年来,随着计算机视觉技术、大数据、人工智能、机器学习等技术的疾速发展,人脸识别技术在各国出现了爆发式增长,给人们的工作和生活带来了极大便利。
根据全球第二大市场研究机构MarketsandMarkets年中发布的预测,2019年全球人脸识别市场规模预计为32亿美元,五年后将达79亿美元,市场的主要驱动力来自于各国政府、国土安全、金融、零售、医疗保健等服务领域。然而,人脸识别技术在快速发展、深入社会的同时,也给我们带来了诸多安全挑战。个人隐私数据泄漏、技术滥用等造成的信息安全风险问题亟待解决。2019年发生的多起人脸识别安全事件已引起了全球各界人士对人脸识别技术应用规制的深层反思。
人脸识别技术带来的新机遇
目前,从全球人脸识别技术领域的应用场景布局来看,安防、金融、交通是相对布局较为成熟的领域,而在零售、广告、智能设备、教育、医疗、娱乐等领域也均有较多应用场景,为经济社会的发展以及人们日常生活的便捷带来了新机遇。
1.智能安防领域
随着智慧城市、大数据、人工智能等项目开展和技术应用,智能安防领域对于人脸识别技术的需求越来越大。人脸识别作为一种非常重要的身份识别手段,在公安巡检、网上追逃、户籍调查、证件查验等方面得到了广泛应用。同时,人脸识别也可以用作访问控制的一种手段,延伸出了诸如考勤系统、门禁系统等方面的应用,确保只有经过授权的人员才能进入某些区域。
2.金融交易领域
人脸识别在金融交易领域的应用也非常普遍,其应用场景主要包括人脸识别存取款、电子银行远程开户、在线网络支付等方面。早在2013年,芬兰创业公司Uniqul就推出了全球第一款基于脸部识别系统的支付平台。Uniqul的人脸识别系统将用户面部生物数据与数据库中的账户匹配,短时间内即可快速完成身份确认和交易流程。
3.公共交通领域
人脸识别技术在公共交通中的应用主要包含航空、火车、汽车、地铁等公共出行领域。国际民航组织规定,自2010年起,118个成员国家及地区必须使用机读护照,而人脸识别则成了首选模式。人脸识别技术在航空安检中率先得到应用,而后逐渐扩展到部分城市的火车站和地铁站等公共交通安保领域。
4.营销零售领域
目前,人脸识别在营销零售领域的应用正快速扩展。以无人零售为代表的新零售场景大量使用了人脸识别技术,无人售货机遍布各大商场、楼宇、地铁、车站等公共场所,无人便利店自2017年起广泛使用了人脸识别安全系统。此外,人脸识别技术还广泛应用于广告投放和识别客户信息(如客户性别、年龄、表情、肤质、观看广告时长等),并通过分析这些数据有针对性地向客户推送最有吸引力的广告。早在2013年,全球第三大零售巨头Tesco(乐购)就曾宣布,计划在英国450间加油站便利店的广告荧屏上加入一项叫OptimEyes的人脸识别技术。OptimEyes可根据感知到的受众情况智能选择投放广告内容。
5.智能设备解锁
2017年9月,苹果新版手机iPhoneX率先应用了FaceID屏幕解锁功能,随后,各大手机品牌厂商相继应用了人脸识别解锁功能,引发了智能终端设备人脸识别应用的热潮,成了人脸识别产业新的快速增长点。
6.医疗领域
2019年1月,《自然》杂志刊载了人工智能公司FDNA发布的一项最新研究:DeepGestalt是基于深度学习的人脸识别医疗系统,可以通过人脸识别技术辨识基因疾病,从而帮助医生进行诊断。FDNA的研究人员训练了17000多张面部图像,能够以较高的精度从人脸照片中识别出罕见的遗传综合征。目前,经过训练的DeepGestalt大约能从面容上识别200多个综合征,准确率达到91%左右。
7.教育领域
除了在各种重大考试中应用人脸识别技术防止舞弊,人脸识别技术也应用于课堂签到、课堂效果监测等方面。在课堂上运用人脸识别技术,通过对学生面部表情进行识别,根据学生的情绪表现监测分析,从而可以进一步提升教学效果。卡内基梅隆大学(CMU)的研究人员曾展示过一套全面的实时传感系统——“EduSense”。该系统使用两台壁挂式摄像头(一台对着学生,一台对着老师),单个摄像头可以看到教室中的每个人,并自动识别信息,并可以对视频和音频进行分析。
8.寻找失踪人口
人脸识别系统已经成为寻找失踪人口的有效工具之一。将失踪人员照片添加到数据库中,运用人脸识别技术进行信息比对,可及时向执法人员发出警报通知。2019年4月,印度妇女和儿童发展部向高等法院提交的一份文件显示,德里警方通过人脸识别技术,在4天时间里,从45,000生活在儿童之家的儿童中识别出2930失踪儿童,并确认了他们的身份,努力协助他们与家人团聚。
个人隐私和数据保护的隐患
人脸识别技术应用在提升身份认证便捷度和效率的同时,也给个人隐私和数据保护带来了巨大的挑战。仅在2019年,媒体就报道了多起人脸识别技术使用不当的相关事件:
问题场景一——数据泄露隐患:6月6日,微软公司疑似因隐私保护和授权瑕疵方面的原因删除了曾为全球最大的人脸识别数据库MSCeleb。据悉,MSCeleb数据库于2016年发布,拥有超过1000万张图像以及将近10万人的面部信息,用于培训全球科技公司和军事研究人员的面部识别系统。而在微软删除该数据库前,IBM、松下电气、阿里巴巴、辉达、日立、商汤科技、旷视科技等多个商业组织都曾使用过MSCeleb数据库。
问题场景二——使用必要性存疑:8月21日,瑞典北斯部盖乐夫提市的一所高中因使用面部识别技术来监控学生的出勤情况,被瑞典数据监管机构(TheSwedishDataInspectionAuthority,DPA)处以20万瑞典克朗(人民币14.8万元)的罚款。这是欧盟的《通用数据保护条例》(GeneralDataProtectionRegulation,简称GDPR)生效以来,瑞典数据监管机构公布的首张罚单。瑞典数据监管机构认为,该学校使用面部识别技术来监控学生的出勤情况,事先未向瑞典DPA寻求咨询,在日常环境中对学生进行摄像监控等行为侵犯了学生的隐私,违反了GDPR关于处理敏感生物特征数据的规定。
问题场景三——滥用数据风险:此前,伊利诺伊州的一起集体诉讼案指控脸书公司滥用面部识别数据,并要求赔偿350亿美元,脸书要求美国一家法院驳回此案。10月18日,旧金山第九巡回法院的三名法官组成的小组驳回了脸书的请求。此案涉及700万用户,脸书可能会面临向每个用户赔偿1000至5000美元的罚款,总罚款金额最高可能达到350亿美元。法庭文件说:“脸书的面部识别技术违反了伊利诺伊州的生物特征信息隐私法(BIPA)。违反BIPA的规定实际上损害了用户的隐私,或会对他们的隐私构成实质性的威胁。”
问题场景四——安全隐忧:12月12日,美国人工智能公司Kneron测试团队在荷兰最大的机场史基浦机场用手机屏幕上的一张照片骗过了自助登机终端,再次引起了人们对人脸识别准确性和安全性的关注。此外,该团队还用一个特制的3D面具成功蒙骗了微信和支付宝等人脸识别支付系统。同样引起了人们对人脸识别支付安全性的担忧。
上述事件报道不仅引起了公众的对人脸识别技术应用边界与个人隐私保护的高度关注,也促使业界和监管者对一路高歌猛进的人脸识别应用进行深刻反思。
第一,严重侵犯个人隐私。首先,大部分公共场所在采集人脸信息时并未明确告知,使得被动采集成为常态;其次,在机场、火车站、公园、银行、学校、公司(小区)门禁或考勤等人脸识别的应用中用户几乎完全没有选择权利,只能被动接受;再次,人脸识别技术滥用,隐私安全风险高筑,面相分析、换脸、换装、试妆、测肤质等娱乐小程序,以及刷脸支付售货机等随处可见,毫无边界的人脸识别技术应用,正肆无忌惮地收集着用户的人脸数据及个人隐私。
第二,数据安全保障机制缺失。数据采集、存储与使用等规范缺失,导致数据泄漏风险极高。首先,当前关于人脸识别技术产品生产企业资质、产品的安全标准和市场准入标准,数据的存储资质和时限,以及对已获取数据的使用权限等缺少明确规定。其次,生产企业和提供应用服务的企业在数据存储和使用中缺乏透明度。再次,网络安全生态环境持续恶化,人脸数据库泄漏事件也时有发生。
第三,识别技术有待进一步完善。目前,人脸识别应用还达不到百分之百的准确。尤其是针对不同种族和民族群体识别的错误率差异比较大。例如,麻省理工媒体实验室和微软的一项合作研究曾显示,人脸识别的准确率与肤色高度相关。当被识别的图像中为白人时,正确率超过90%;而对于肤色较深的女性,准确率仅为65%。因此,用于比对的基础数据库不仅需要考虑种族和民族样本平衡性,也需要尽可能确保样本数量的有效性。此外,姿势、装饰(帽子、眼镜、口罩等)和光线等变量均会对识别结果产生影响。
第四,部分不当应用可能导致歧视。现今,人脸识别技术在招聘、交友、婚恋、教育等领域也屡见不鲜。通过对人脸数据的分析,对个体的性格、心理、能力、情商等进行评定,给出相应建议。然而,限于技术水平、原始数据精准度、算法隐含的价值判断,以及数据库样本量的有效性等诸多因素,使得这类应用可能扩大某种偏见,引发歧视。
此外,作为身份验证手段,人脸识别技术存在先天缺陷。相对于指纹、虹膜、声音、声纹、基因等其他用于身份识别的生物信息,人脸暴露度较高,更容易实现被动采集。这也同时意味着人脸信息的数据更容易被窃取,不仅可能侵犯个人隐私,还会带来财产损失,甚至大规模的数据库泄露还会对一个族群或国家带来安全风险。
针对上述问题,有必要对人脸识别技术的无限制推广和扩张及时“刹车”,并尽快采取相应措施防范和规制人脸识别技术的应用。
如何防范人脸识别技术的潜在风险
人脸识别技术本质上是一种基于大规模人脸数据分析的人工智能身份验证应用技术。因此,合理和合法使用该项技术,还需充分认识人脸数据的意义和价值:一是,人脸数据可被还原成人脸图像,关涉到个体的肖像权,因而相关滥用行为极易侵犯此项权益;二是,在数字经济时代,人脸数据具有一定的经济价值。一方面,基于人脸数据的人脸识别技术应用给相关企业和行业带来了巨大的经济利润,而用户不仅几乎没有得到任何经济补偿,甚至还可能给自身的权益受到侵害埋下巨大隐患;另一方面,作为身份识别和验证的人脸数据,一旦被窃取、滥用,可能给用户直接带来安全威胁或财产损失,如门禁和支付应用。
有效防范人脸识别技术可能带来的风险需要从完善相关法规政策、加强政府监管、提高行业自律和提升个体素养等层面系统规避人脸识别技术应用带来的风险和挑战。
第一,需尽快完善包括人脸识别在内的人体生物信息使用法律法规。应划定人脸识别技术使用边界,并建立人脸识别技术应用申报备案和审批制度。遵循“必要性”原则,防止因商业利益滥用此技术。例如,对于非封闭式公共场所安装人脸识别设备(如公园验票等)必要性展开充分评估。
第二,采集人脸数据前须告知用途和可能风险,以保障公众知情权与选择权,防止企业过度收集和利用。尤其是企业或政府机构在公共场合以拍摄、录像、扫描等方式采集可在人脸识别中使用的数据,应公开、明确告知,以便不愿被采集的人可以避开这些区域。同时,对于一些商业或娱乐性应用,不仅必须履行告知义务,还需为用户提供“退出”选项。即当用户不想再继续授权使用其面部数据时,应用提供方必须提供“退出”或“删除”路径,以确保被采集方的“选择权”和“被遗忘权”。
第三,对人脸数据存储权限做出明确规定,确保数据在采集、传输、使用和存储过程中的安全性。可通过第三方认证的方式,确认企业是否具有相应技术能力保障人脸数据的安全性。此外,人脸数据应采取本地存储方式,并禁止跨境流动。
第四,根据数据用途,明确规定人脸数据的存储主体、时限和采集,以最大限度保证数据安全。人脸识别技术使用过程中通常涉及人脸识别技术产品提供方和采纳方。其中,采纳方既包括维护公共安全的特殊主体相关政府公共管理部门,同时也包括一般的企事业单位主体。但无论是哪类主体都需避免滥用职权过度采集人脸数据,并同时承担数据保护的责任。依据人脸数据的使用目的和需要,可将数据的存储时限分为即时、短期和长期三类,并尽可能选择即时存储方式,即比对后不对扫描到的人脸数据进行保存。
第五,应建立和健全行业组织,建立人脸识别行业自律准则。在数字时代,技术发展日新月异,法律法规滞后于技术发展已经成为新常态。因此,完全寄希望于政府治理人脸识别既不可能,也不现实。因此,建立人脸识别技术企业联盟类组织,确立相应伦理原则和安全标准,有利于人脸识别行业良性发展。
第六,认识人脸数据的价值,增强隐私自我保护意识。当前,人脸识别技术正处于快速应用之中,个人在面临各种信息采集的同时,必须要增强自我隐私保护意识,认真阅读相关隐私条款,对于信任度有存疑可能的应用,应当明确拒绝其信息收集行为,警惕个人隐私泄漏风险。 责任编辑:tzh
余圣琪:人脸识别技术的风险与法律规制
原创余圣琪上海市法学会东方法学收录于话题#法学261#核心期刊258#原创首发390#上海法学研究175
余圣琪华东政法大学博士研究生。
内容摘要
在数字时代,人脸识别技术的运用不仅给人们的生活以及社会治理等领域带来了便利,但也给隐私权保护、财产权益和人权保护带来了法律风险。域外人脸识别技术的法律规制呈现出强监管的态度。美国联邦层面虽没有制定统一的法律法规,但部分州及地方政府已在规制人脸识别技术的使用;欧盟并没有制定专门的人脸识别应用的法律,目前主要是通过欧盟的通用数据保护条例(GDPR)进行规制。我国需要建构统一的法律规范体系、建立政府主导的多重治理机制、塑造“数字人权”的正义观等规制方式,在保护公民权益的同时促进新技术的运用和发展。
关键词:人脸识别数字人权敏感数据人格尊严
随着数字时代的到来,人脸识别技术的发展取得了重大的进步。人脸识别技术现已成为一种流行,被广泛运用于多个领域。特别是在新冠肺炎疫情防控期间,人脸识别进入了小区、校园、办公楼,前段时间甚至进入了东莞星级公厕引发了公众热议。人脸识别技术在给人们生活带来便利的同时,也给个人隐私权、财产安全、公共安全带来风险和威胁。2020年11月20日,杭州市富阳区人民法院对我国人脸识别第一案进行了宣判。2019年瑞典GDPR第一案因瑞典学校使用面部识别技术登记学生出勤率而被罚款。Facebook因人脸识别技术引发了其在伊利诺伊州的集体诉讼而赔偿6.5亿美元。加拿大商场在没有获得授权的情况下使用人脸识别技术,采集了超过五百万人脸信息。美国公开禁止人脸识别技术的城市已经包括旧金山、波特兰市、萨默维尔市等八个城市。欧盟发布的《欧盟人工智能白皮书》提出将在公共场所禁用人脸识别技术3到5年。
一、人脸识别技术应用的风险
随着人工智能、大数据的发展,人脸识别技术成为热门的AI技术。人们最常使用的AI应用有“刷脸”解锁“刷脸”支付“刷脸”签到等。美国商会认为面部识别技术有巨大的潜力,可以在交通、零售、酒店和金融服务等众多领域中进行创新。人脸识别技术不同于其他的生物识别技术,具有不可复制性、非接触性、可扩展性和快速性等特点。人脸识别技术在应用中对于个人隐私权保护、财产权益及公民权利具有法律风险。
(一)人脸信息的收集侵犯隐私权保护
人脸识别技术日益完善,在街头的各处都布有摄像头,收集个人面部生物信息更加便捷。人脸识别技术在抓取个人的面部信息后,与数据库的既有数据进行比对。通过个人图像与一个广泛已知的图像数据库进行比对,确定一个未知人的身份是一种侵入个人领域的表现。虽然不属于隐私,但由于个人面部生物信息具有唯一性,且能通过信息比对知晓个人的基本信息、出行轨迹、密切接触人员等相关信息,人脸信息的收集挑战对于隐私权的保护。
一方面,人脸信息收集的方式挑战“信息隐私权”。隐私权是自然人所享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。到底何为隐私?隐私既可以视为物理的私人空间不被打扰的权利,也可以包括在数字、虚拟世界中不受干扰的权利。隐私权理论起源于美国,是在自由主义思想影响下的产物。美国的隐私权理论从基于“独处权”的隐私权理论,随着信息技术的发展,延伸出了信息隐私权理论以适应高速发展的信息社会。
1967年,威斯汀在《隐私与自由》一书中提出了“信息性隐私权”。“所谓隐私权,指自然人所享有的决定何时、何种方式以及何种程度将其个人信息向别人公开的权利。”从威斯汀对“信息性隐私权”的界定中可以看出,在信息时代,隐私权更多体现的是一种决定权。决定何时、以何种方式以及何种程度的信息公开的权利。威斯汀的信息隐私权理论在司法实践中得到了联邦最高法院的认可,在具体个案中法院对于信息隐私权理论进行了系统的阐释。信息隐私理论的核心是“控制权”,信息隐私权指自然人所享有的对其个人信息以及能够被识别的个人信息获取、披露和使用予以“控制”的权利。人脸信息的收集目前多采取在生活场景中放置摄像头拍摄和识别的方式,如售楼处对看房者使用人脸识别系统进行抓拍。这样的无接触性收集方式侵害了被收集者的“信息隐私权”,被收集者无从知晓于何时何地被收集了人脸信息,更无法对人脸信息行使控制权。
另一方面,人脸信息的比对识别损害“人格尊严”。隐私权保护自然人的安宁状态及个人的人格尊严。信息主体的人格尊严和自由价值需要进行保护已经成为共识。“人格尊严”表征着人是主体、目的,而非手段、工具,拥有不可侵犯与不可剥夺的尊严。人们对自身价值有着本能和微妙的感觉,对自身价值的贬损不亚于对身体和财物的损害。人格尊严是一项根本的、终极性的价值,它需要通过具体权利来实现,隐私权是人格尊严在私法领域的体现,是人格尊严的必要条件。在数字时代,人格尊严体现为能够为自己所独立自主支配的私人空间,并且能在私人空间中不受打扰地展示自己。人脸识别技术中心的“识别”已经不再只是个人对世界的识别,逐渐演化为社会机器对个人的识别。与此同时,隐私理论也从古典时期的空间范式向信息时代的控制范式进行转变。
个人“信息自决权”最早是由德国的施泰姆勒在70年代个人信息保护法的草案中提出。个人“信息自决权”强调的是信息主体对于个人信息的自我决定的权利。从“个人信息权”的角度出发,个人行使自决权的前提是充分知情,即个人需要充分了解风险,同时要求个人全程参与个人信息流动的过程。人脸识别技术进行无感抓拍、实行非接触性的收集,在这种情况下个人无法控制甚至无法意识到自己的面部生物信息正在被收集和使用。人脸识别信息如果被泄露或者滥用,将会对个人隐私造成巨大损害与此同时也将严重的侵犯人格尊严。正如瑞典在2019年对一所学校使用面部识别技术来登记学生的出勤率,瑞典数据监管局认为这种行为严重侵犯了学生的个人隐私,对该校处于瑞典历史上第一个GDPR处罚。人脸识别信息属于典型的敏感个人信息,我国《公共及商用服务信息系统个人信息保护指南》和《个人信息安全规范》规定对于敏感信息的收集需要获得信息主体的明示同意授权。学校收集、处理和使用面部信息需要获得学生的同意和授权
(二)人脸信息的非法使用侵害财产权益
中国的人脸识别技术在安防、交通、金融、教育等各个领域已开始广泛运用。通过摄像头可以轻松获取面部生物信息。与此同时,人脸信息易于被破解,破解厦门银行APP人脸识别技术的“黑客”是仅有初中文化的00后。人脸识别技术给人们的生活带来了便利、使得管理变得高效有序,但是如果人脸信息被泄露和滥用将会对信息主体、信息控制者、信息使用者造成财产权益的损害。
其一,人脸信息的泄露侵害信息主体财产权益。人脸信息属于生物识别信息,我国《信息安全技术个人信息安全规范》将生物识别信息归属于敏感数据。我国《公共及商用服务信息系统个人信息保护指南》和《个人信息安全规范》将一般信息和个人敏感信息作出了区分,并规定对于敏感信息的收集需要获得信息主体的明示同意授权。即在收集人脸信息时,建立在信息主体知情同意的基础上;人脸信息在使用时,应该在确保安全的前提下公开使用规则、使用目的、方式和范围。随着人脸识别技术的发展,信息泄露造成信息主体财产权益损害的案件频频发生。正如多家售楼处使用人脸识别系统区分不同的客户以进行不同的优惠。决定购房优惠力度的关键是购房者是否曾经被人脸识别系统拍到,而这个人脸识别系统,购房者即使戴着口罩也可以进行识别。为了保护个人信息,避免财产权益的损失,出现了购房者戴着头盔去看房的新闻。
其二,人脸信息的滥用冲击企业商业利益和国家公共利益。人脸信息是复合权益的体现。一方面,个人面部生物信息不仅承载着“人格要素”,同时也承载着“财产利益”。之前在网络商城,有商家公开出售“人脸数据”,数量达到17万条之多,而且当事人对此事毫不知情。另一方面,个人面部生物信息具有多重利益主体。人脸信息对于数据主体而言具有个人价值、对于企业而言具有商业价值、对于社会而言具有公共价值。人脸信息的滥用导致企业的商业利益和国家的公共利益都受到损害。正如我国人脸信息刑事第一案,犯罪嫌疑人通过滥用人脸信息进行头像伪造,损害了企业的财产权益。在“净网2020”行动中,龙岗警方在广东、河南、山东等地抓获犯罪嫌疑人13名,不法分子利用人脸信息提供虚假注册、刷脸支付等数据黑产服务。
(三)人脸信息的识别误差损害人权保护
面部识别技术主要是通过公共场所中摄像头拍摄到的人脸信息与数据库中的图像进行对比识别,使用面部识别技术对人权的侵犯主要源于人脸识别技术的核心算法设计。美国国家标准与技术研究院的一份研究表明,不同开发者的算法精确度不同。研究评估了软件算法后发现,在一对一的匹配中,亚洲与非洲裔美国人比白种人的人脸图像取伪错误率更高;在一对多的匹配中,非洲裔美国女性的取伪错率较高。
一是人脸信息掌握的不对称。随着数字时代的到来,由传统社会走向了信息社会,由单一的物理空间向物理/电子(现实/虚拟)的双重空间转换。信息时代有三个变化:“双重空间”“人机协同”“双重属性”。“历史已经向我们表明重大的技术变迁会导致社会和经济的范式转换”,人脸识别技术的应用将引起数字时代人权的重塑和变革。“所有的数据都由我们自身产生,但所有权却并不归属于我们”。正如各种街头、商户、银行、学校等的摄像头,无感实时的抓拍由我们自身产生的具有唯一性且不可更改的人脸信息,但我们却无法控制和使用这些信息,甚至我们根本无从知晓何时何地被收集了人脸信息。由于没有经过用户的同意非法收集和存储了数百万用户的生物特征数据,2015年Facebook被美国伊利诺伊州的用户提起集体诉讼,Facebook同意将赔偿金额由5.5亿美元增加至6.5亿美元,目前诉讼双方已达成和解。由于信息掌握的不对称性,人脸信息的被收集者常常无法知道信息被收集,没有经过当事人同意收集、使用人脸识别,会侵犯其个人的人权。
二是人脸数据的鸿沟。由于技术或者经济等相关方面的原因如没有互联网设备、缺少互联网知识等造成的数据鸿沟,数据鸿沟对一些社会群体进行赋权,而对另一些社会群体则没有。由于数据鸿沟的关系,知识储备和技术掌握的不同,人们对于人脸识别技术所持有的观点也不同。有人认为人脸识别技术是科技的进步,为我们的生活带来便利,顺其自然的享受便利即可;也有人认为人脸识别技术的泄露和滥用有侵犯人权的风险;还有人认为在享受人脸识别技术便利的同时需要对人脸识别技术的使用进行规定和限制。人脸识别技术的算法由于数据的鸿沟不易被人们所了解,算法的识别误差侵犯公民的基本权利。例如北京地铁站为了提高安检效率准备对乘客进行分类安检,对于不同类别的乘客采取不同的安检方式。这样的分类标准是一种算法的体现,由于数据鸿沟的存在算法不易被人理解、接受,这样的分类行为将侵犯公民的人权。
二、域外人脸识别技术的法律规制
由于政治、经济、社会和文化的不同,欧美对于人脸识别技术的法律规制方式和路径也不相同。美国采取的是分散的管理模式,美国各州在联邦政府之前已经开始对人脸识别技术的使用进行规制。目前已经有八个州公开禁止使用人脸识别技术;欧盟采取的是统一禁止的态度,强调对于“基本权利”的保护。
(一)美国人脸识别应用的法律规制
美国对数据隐私和数据安全领域进行分别立法,并且美国联邦层面没有制定统一的数据保护基本法典,而是对数据进行分行业式的分散立法,制定专门的数据保护法律,进行分类管理。美国各州则形成了具有各州特色的数据保护法律框架。关于人脸识别技术的运用,目前美国联邦层面没有统一的法律法规,但部分州已经在联邦之前对人脸识别技术进行限制。
由于历史传统文化及立法驱动力的不同,美国在保护个人数据主体权利的基础上,侧重于促进数据共享流动与数据的商业利用价值。关于人脸识别的数据保护,美国对于政府等公权力部门和商业私营机构采取了不同的规制态度。通过抑制政府部门权力,利用美国各个行业之间的严格自律来实现人脸数据隐私保护的目的。由于面部生物信息具有易获取性、唯一性、不可更改性、难以救济性等特征,《2019年商业面部识别隐私》提出禁止商业上的面部信息的使用,足以可见面部生物信息保护的特殊性和重要性。2020年2月,美国两位民主党参议员提出了人脸识别道德使用法案,主要包括三个方面:其一成立国会委员会,专门制定在美国使用人脸识别技术的准则;其二在委员会颁布人脸识别技术使用指南前,限制政府机构使用人脸识别技术;其三是关于救济渠道和限制联邦基金使用的相关执行规定。美国科技业代表公司对于公权力机关使用人脸识别技术相继表态,IBMCEO克里希纳宣布不再提供通用人脸识别软件,亚马逊、微软都声明将暂停向警方提供人脸识别技术,并提议国家相关法律的出台。
目前,已经有八个州对人脸识别技术的应用作出相关规定。美国旧金山市、奥克兰、萨默维尔、麦迪逊等市都对人脸识别技术出台了禁令。2019年5月,美国旧金山出台了停止秘密监控法令,禁止将人脸识别技术用于公共部门,成为美国第一个禁止使用人脸识别技术的城市。伊利诺伊州制定了生物识别数据相关的专门法案,生物信息隐私法案于2008年颁布,是美国境内第一部规范“生物标识符和信息”的法律。伊利诺伊州拥有全美关于生物特征隐私保护最全面的法律,基于此Facebook同意赔偿6.5亿美金与伊利诺伊州集体诉讼的用户和解。2020年3月华盛顿州通过人脸识别服务法,该法强调州和地方政府机构应以有益于社会、保护公民自由的方式使用人脸识别技术。首先,州或地方政府机构在开发、使用、获取人脸识别服务时需要向立法机关提交问责报告;其次,在运营状态下对人脸识别服务进行合法、独立、合理的测试,确保准确性。最后,从事人脸识别服务的技术人员需要定期进行培训。由此可见,华盛顿州对政府使用人脸识别技术进行严格限制。加州也在2020年制定专门的人脸识别法,该法授予个人关于人脸识别信息的确认权、删除权、撤回权以及纠正或质疑的权利;与此同时,加州人脸识别法规定了强制令处罚,对违法行为处以不超过2500美元的民事处罚或对故意违法行为处以7500美元的罚款。
(二)欧盟人脸识别技术的法律规制
欧盟目前并没有对于人脸识别技术的应用制定专门的法律法规,主要是通过通用数据保护条例(以下简称GDPR)进行法律规制。欧盟制定的GDPR以人权高度及天价罚款树立起保护个人数据权利的最高标准。GDPR第1章是关于基本条款的规定,第2章谈论的是数据保护的基本原则,第3章对数据权利保护进行了专章的规定,由此可以看出GDPR对于数据权利的重视。
欧盟对于人脸识别技术的规制不同于美国,采取统一禁止的管理模式。欧盟不仅仅限制公权力收集人脸信息同时也严格限制私企业采集人脸数据。具体到欧洲各国,对于人脸识别技术的规制持有不同的态度。瑞典GDPR第一案以及法国数据保护法都表明出对人脸识别数据的强监管态度。但英国却表现出不同的态度,认可警察使用人脸识别技术的合法性。2019年5月,英国公民里奇斯认为南威尔士警方在没有获得其本人同意的情况下,使用人脸识别技术获取了其面部生物数据的行为侵犯了其隐私权。原告认为警方使用人脸识别技术“AFRLocate”违反了《欧洲人权公约》,违背英国数据保护法的相关规定,未尽公共部门平等职责。
法院认为:第一,警方使用“AFRLocate”有职权依据,警察的普遍法权力使得警方可以使用该人脸识别设备,警察为了预防、侦查犯罪有权合理使用个人的照片。第二,警方使用“AFRLocate”符合正当性原则。警方在部署人脸识别设备时对公众进行了告知;使用该技术有时限限制且覆盖范围有限;对于原告权利的限制仅限于对其面部数据的比对,如果比对成功最多保留24小时,如果未比对成功将会自动删除,并不涉及对原告信息的披露和存储。
三、完善我国人脸识别技术的法律规制
随着万物互联时代的到来,数据成为一种财富,成为驱动商业的一种重要模式。运用人脸识别技术收集的面部生物信息,对于个人而言使得生活更加便捷、智能;对于企业而言人脸数据具有高额的变现价值;对于政府而言利用人脸识别技术有利于社会的治理。由于信息革命的推动,引发了包括价值观念、生产方式、生活方式、社会关系、社会秩序等在内的全方位的变革。我国在运用人脸识别技术推动智慧社会建设的同时,也要注意人脸识别技术运用带来的法律风险,完善我国人脸识别技术的法律规制。
(一)建构统一的法律规范体系
对于个人信息保护,我国多部法律、行政法规、部门规章、地方性法规、地方规章及司法解释都作出了相关规定。目前我国采用的是安全防范为主兼顾数字经济发展的个人信息保护模式。我国制定了很多与安全相关的规范,如国家安全法、网络安全法、个人信息安全规范、网络安全审查办法、数据安全法草案、个人信息保护法草案等,法律规范体系都是从安全风险防范的逻辑体系构建的,与此同时,我国高度重视数字经济的发展。总体而言,由于我国个人信息保护的法律规范体系不完整,呈现出“碎片化”“散乱化”“板块化”的特点。
我国需要制定统一的个人信息保护法。具体到人脸识别规制上,我国目前并没有对人脸数据的规制进行专门立法,多以地方性法规和部门规章的形式予以规制。《信息安全技术个人信息安全规范》对个人敏感信息进行了界定,并将一般信息和个人敏感信息作出了区分,规定对于指纹、虹膜、面部信息等敏感信息的收集需要获得信息主体的明示授权同意。《信息安全技术个人信息安全规范》是国家标准,法律效力较低,对于生物识别信息的法律属性、功能没有具体的规定,缺乏系统、统一的法律规制机制。因此需要制定统一的个人信息保护法。
(二)建立政府主导的多重治理机制
随着互联网、人工智能、大数据的发展,人类进入了数字时代。在大数据时代,人脸识别技术的应用对于企业而言具有变现价值。在使用人脸识别技术时,人脸数据的保护应该强调政府和社会共同参与、合作,鼓励互联网企业、行业协会等单位依法收集、处理、使用人脸数据,在保护数据权利的前提下才能更好地促进人脸识别技术的使用和发展。
各大互联网企业是数据权利保护重要的主体,加强企业的自律机制也是数据权利保护的重要环节。正如美国对于数据立法采用的是自由式市场为导向,以强监管为基础的治理模式。为了促进数据的流动,CCPA采用的是选择退出(opt-out)的模式,对于数据收集采取的是通知告知原则。CCPA的管辖范围设置了三个门槛:第一个是年收入门槛,即年度总收入超过2500万美元;第二个门槛是数量门槛,即5万条及以上数量的个人信息;第三个门槛是收入比例门槛,即年收入的50%及以上来自出售消费者个人信息。只有当企业达到上述一个或多个门槛时,并且“以商业目的处理加州居民个人信息”时,才属于CCPA管辖的实体。由于美国对于数据的价值取向更加鼓励数据的自由流动,所以美国鼓励企业实行自律管理,但当企业无法自我规制,美国联邦贸易委员会(FTC)有强监管权。欧盟GDPR采用的是选择进入(opt-in)的模式,GDPR重视对于人权的保护,在使用数据之前需要获得数据主体的同意,才能选择进入。我国对于人脸数据应该采用“opt-in”为主、“opt-out”为辅的模式,因为人脸数据等生物识别数据属于敏感信息,需要建立在主体数据明示同意授权的基础上才能进入,在选择进入后应该给予企业风险评估等数据处理的空间和权利。
(三)塑造“数字人权”的正义观
随着大数据、人工智能的发展,人脸识别技术也在走进人们的日常生活。人脸识别技术在给人们的生活带来便利的同时也存在着侵犯公民人权的风险。2011年联合国宣布互联网接入权是基础性人权,2016年联合国认为互联网相关的权利是人权的重要组成部分,2018年联合国社会发展研究机构(UNRISD)在报告中讨论了新技术对于传统三代人权的变革和颠覆。
卡雷尔·瓦萨克提出的“三代人权”理论被大众所知悉并接受,“第一代人权”主张公民政治权利,“第二代人权”强调经济、社会和文化权利,“第三代人权”主张的是民族自决权和生存发展权。自主性、福利和自由构成了最高层次的人权的一个三元组合。三代人权的理念都建立在传统的工商业时代基础上,涉及的是物理时空中的生产生活关系。如今数字时代,传统的人权理念已经无法保护数字时代遭遇的线上线下双重空间的人权挑战,如算法霸权、算法歧视、数字鸿沟等。数字人权是以数据和信息为载体,展现着智慧社会中人的数字化生存样态和发展需求的基本权利,其目标在于反技术霸权、反数据信息控制,努力消解和应对信息鸿沟、侵犯隐私、算法歧视、监控扩张等人权难题。“数字人权”的意义在于,以人权的力量和权威强化对数字科技开发及其运用的伦理约束和法律规制。虽然“数字人权”理念目前只是处在学界讨论的阶段,并没有相关的法律法规或制度上予以确立。但伴随着数字科技的发展,社会已经进入到智能时代,“数字人权”是更加适合数字时代的人权观念。“无数字,不人权”。数字时代带来的社会全方位的变革使得“数字人权”的探讨和研究急迫且重要。
结语
郭兵诉杭州野生动物世界有限公司案被称为中国“人脸识别第一案”,2020年11月20日法院进行了判决,引起了学界的关注和讨论。人脸识别技术目前被广泛地运用于各个领域。“人脸识别”技术在便利生活、发挥技术潜力的同时也存在着法律风险,如人脸信息的收集侵犯隐私权保护、人脸信息的非法使用侵害财产权益、人脸信息的识别误差损害人权保护。域外对于人脸识别技术的法律规制也不相同,欧盟采取的是统一禁止的态度;美国目前已经有八个州公开禁止使用人脸识别技术。我国目前并没有制定专门规制“人脸识别”技术的法律法规,为了防范“人脸识别”运用带来的法律风险,需要建构统一的法律规范体系、建立政府主导的多重治理机制、塑造“数字人权”的正义观等规制方式,在保护公民隐私权、财产权益、人权的同时促进“人脸识别”技术合法、合理的使用。
原标题:《余圣琪:人脸识别技术的风险与法律规制》
阅读原文
科技周刊第三期:人脸识别技术给我们带来的便利和风险
这里记录过去一周值得分享的东西,每周四发布。
通知:1、本分享系列更名为「科技周刊」;2、发布时间更改为每周四晚上9点发布;3、若遇到节假日,提前发布;4、本周刊系列高清图片和视频放置于公众号,如果需要,在公众号后台回复「第x期图片」,例如,第三期图片。
封面图
美国西部加利福尼亚州的优胜美地国家公园一个3,000英尺的垂直岩层,被认为是世界上攀岩难度最大的岩石之一。(出处)
本周话题:人脸识别给我们带来的便利和风险
我对人脸识别技术一直是持保守态度。
不错,人脸识别技术的发展,某些程度上讲,是极大地促进了社会的发展与进步。小到手机APP的安全性验证,大到机关、司法、刑侦对案件的侦破,都有着不可小觑的作用。
但是,却被部分机构或者企业滥用,导致公民的隐私安全得不到保障,或者过度滥用,导致一些让人无法理解的闹剧。
例如,今年上半年中国一家名为“深网视界”的人脸识别公司“发生数据泄露事件,超过250万人的核心数据可被获取,680万条记录泄露,其中包括身份证信息,人脸识别图像及GPS位置记录等,这些信息落到歹徒手中,其危害性无法预料。
例如,之前闹得沸沸扬扬的课堂用人脸识别监控学生的学习状态。我想问,这种方式是否真的能提高学生的积极性?所谓的智慧课堂,是否等于监视学生的一举一动,甚至每一个表情?
上半年我们小区接到通知,需要全小区每个人去录人脸识别,作为门禁,理由是方便管理,也防止外来人进入小区。但是,我想,我们的门禁卡不就是这样的一个作用吗?门禁卡不就是来识别外来人和内部业主吗?为什么还要多此一举?是否我们几点出发、几点回家、出去了多久,都要受到监视?
为了方便管理,就这事情的出发点不做评价。但是可以明确的是,业主的隐私却难以得到保障。人们密码泄漏了都可能造成无法挽回的损失,何况密码泄露了可以修改。而一个人的人脸数据几乎是不可能有大的变化,一旦泄露,后果可想而知。
另外一方面,人们在一个开发商那里看过房,只是留了一个手机号,后来就可能接到几百个甚至几千个卖房、装修的骚扰电话(我是亲身经历过),背后的产业链,想想都后怕。上个月在网上闹得火热的戴着头盔看房的闹剧,无非也是这个原因罢了。
我觉得,不管是任何技术,都是一把双刃剑,不仅要用得好,还要用得适可而止,不然,该技术一定会是给社会带来相反的作用。
1、波士顿动力机器人家庭舞蹈
原视频在公众号「追梦1819」后台回复"第三期视频"。
美国波士顿动力公司最近公布了一段视频,该公司的所有机器人一起跳起了炫酷的舞蹈,其身体、动作的协调一致性,让人难以置信。像不像是科幻电影里面的画面?
2、我买了一座鬼城
作者在加州废弃的采矿村买了一座"鬼城",这里没有电,没有水,甚至充满了火灾、墙壁坍塌、地雷等危险。不过作者克服各种艰难险阻将其恢复。他在instagram发布了在改造过程中的照片。
3、57000岁的狼崽
2016年,一名矿工在育空地区道森市附近的克朗代克金矿区的一个矿工中发现了一只名为Zhùr的狼幼崽的完整遗体。该动物估计约有57,000岁,是该时代最完整的木乃伊曾经发现。这具遗体具有重要的科学和文化意义。
4、KostniceSedlec人骨教堂
捷克共和国库特纳霍拉(KutnáHora)的Sedlec人骨教堂装饰着超过40,000人的骨骼。1278年的sedlec地区修道院长Henry亨利,衔波希米亚国王OTAKAR奥克塔文二世之命,前往圣地耶路撒冷,所带回来的一把泥土就撒在教堂周围的墓园里,认为埋骨于圣土就可上天堂的信念,后来的黑死病、胡斯战争造成了大量的死亡,墓园的规模也因此扩大。1369年,一次瘟疫使3万人丧生,尸骨遍地,因此教堂当局决定用未葬的尸骨装饰教堂。
5、世界上最大的树(组图)
美国红木(Redwood)是世界上最大、最高的树,可高达100米。红木被列为濒临灭绝物种。以上是红木产生的“穿树车道”、“树屋”等。
6、来自冰箱中的灵感(组图)
格拉斯哥艺术家擅长微距拍摄小物体。这组图是他通过人物模型和冰箱中的食物拍摄的微缩场景。
7、没有指纹的家庭
孟加拉国有一个特殊的家族,特殊之处在于,该家族中的男人都没有指纹。这是该家族男人遗传了一个突变基因。
过去,没有指纹可能影响不算特别大。但是随着社会发展与科技进步,没有指纹可能会影响生活的方方面面,比如手机指纹识别、护照和驾照(他们自己国家)等。
8、首个面向大众的无人驾驶汽车送货服务
美国加利福尼亚州批准首个无人驾驶送货服务。该服务所用的无人驾驶汽车是初创公司Nuro研发的。汽车无方向盘、踏板或者后视镜,通过雷达、热成像和360度摄像头定位、行驶。
9、耗时最长的实验
沥青降落实验开始于1927年,为了证明某些看起来是固体的物质实际上是非常高的粘性流体。该实验使用用焦油沥青或沥青作为材料,第一滴降落用了8年,第二滴用了9年,2014年4月滴落了第9滴。
10、日本展示来自小行星「龙宫」的岩石
日本"隼鸟2号"航天器成功送回了两组小行星"龙宫"的岩石样品,一组是约1厘米的岩石,一组是较小的黑色沙粒。这两组样品是在该小行星上的两个地点收集起来的,并穿越了1.9亿英里返回地球。今日研发机构JAXA展示了该两组样品。
11、韩国「人造太阳」创纪录的在1亿摄氏度下运行了20秒
韩国超导托卡马克高级研究(KSTAR)创造了新的世界纪录,超导聚变设备也被称为韩国人造太阳,其离子在超过1亿度(摄氏温度)下维持了20秒钟。尽管20秒并不长,但与研究人员团队在2019年记录的8秒等离子操作相比,这是一个重大进步。
12、人工智能运营的农场
旧金山的一家农业科技初创公司Plenty正在使用无人机和机器人来改善农作物的维护,包括720英亩的平地农场和2英亩的垂直农场。该公司的CEO认为未来农场一定是垂直的以及在室内的,因为这样可以控制植物生长的环境(温度、湿度、光照等)、节约95%以上的用水、方便管理等诸多优点。目前该公司已经为几百家商店提供了农产品。
13、电动送货汽车(组图)
美国初创公司Canoo自2019年开始,开发出了多代电动汽车,主要是用来服务于物流行业和公共事业。这些汽车是不是很具有未来感?像科幻片中的汽车。
14、欧洲航天局将在2025年向太空发射巨爪以收集太空垃圾
瑞士初创公司ClearSpace制造了巨大的爪子。该设备将用四臂爪抓住一块洗衣机大小的空间碎片,并将其护送到较低的轨道,进入大气层时,它们会全部燃烧掉。
15、实验室种植的肉
由美国初创公司EatJust开发的一种用实验室培养的养殖鸡准备的菜。这种方式是,科学家从动物身上取下一些细胞,然后通过适合的营养物进行刺激,使其进行生长。新加坡食品监管机构最近批准了这家美国初创公司的产品销售。
16、日本开发木制卫星以削减太空垃圾
一家日本公司与京都大学共同努力,开发出他们希望到2023年成为世界上第一颗用木头制成的人造卫星。随着越来越多的卫星发射到太空中,太空垃圾正成为一个日益严重的问题。木制卫星坠落回地球后,会燃烧而不会向大气释放有害物质,也不会在地面上撒下雨水。
17、咖啡渣制成的夹克
台湾外套品牌COOR与Singtex(一家用过的咖啡渣生产高科技纱线的公司)合作生产了世界上第一款“咖啡”夹克-称为HELIXMulti-Climate3-in-1Jacket。Singtex从星巴克(Starbucks)收集用过的咖啡渣,制成具有高性能的耐用织物。通过将其转变为有用且理想的产品,该过程可避免大量咖啡废物进入垃圾填埋场。HELIX夹克被设计为户外旅行的理想选择,它透气,防风,防水,防紫外线和防异味。
言论1、网络把隐私从道德领域转移到了市场领域——隐私成了一种商品。
--《失控》凯文·凯利
2、机器,正在生物化;而生物,正在工程化。
--《失控》凯文·凯利
3、忠厚老实人的恶毒,像饭里的砂砾或者出骨鱼片里未净的刺,会给人一种不期待的伤痛。
--《围城》钱锺书
4、新事物,新科技给我们带来了新的欲望,新的向往,新的需求,也在我们的思绪里挖出了难以填满的新沟壑。
--《必然》凯文·凯利
5、4G改变生活,5G改变社会。
--《上帝是个数学家》唐加文
【完】
回顾
科技周刊第二期:人工智能对未来工作的影响
科技周刊第一期:科技周刊第一期
本周刊实时同步至微信公众号,微信搜索【追梦1819】公众号或者扫描二维码,即可订阅。