五位专家大咖纵论:如何防止人脸识别技术滥用|新京智库
人脸识别不能被滥用。
▲图片来源:新京报网
近期,一系列事件引发了公众对于人脸识别技术滥用的广泛关注。随着人工智能技术不断发展,人脸识别大规模地应用于安防、支付等日常生活场景中,但这项改变生活的技术当前却处于争议中。
就此,新京智库近日组织举办了“人脸识别不能被滥用”专题研讨会,邀请中国人民大学一级教授、中国法学会副会长、民法学会会长王利明,北京大学法学院教授薛军,中国社会科学院科学技术和社会研究中心主任段伟文,中国政法大学传播法中心研究员、副教授朱巍,DCCI互联网研究院院长刘兴亮多位法律学者与专业人士进行了深入探讨。
以公共利益为限制标准,防范人脸识别被滥用
王利明:人脸信息属于敏感信息,必须权利人“明确同意”才能进行采集,如果权利人没有明确同意,则必须要基于公共利益的需要才能收集。
现在人脸识别之所以被滥用,是因为有些使用已经明显超出公共利益范畴。虽然公共利益的解释可能会比较宽泛,但还是有特定内涵,比如为了公共安全、保护个人生命财产安全等,都属于公共利益的范围;而出于商业目的或盈利目的,则不属于公共利益范围。在“人脸识别第一案”中,动物园就属于商业机构,其收集很难说是为了公共利益。
>>详情请扫描下方二维码
人脸识别可能诱发智能化官僚主义
刘兴亮:我是一个技术派,人脸识别刚出来的时候感觉还是很酷的。在车站、机场刷脸通过,非常快捷。但现在越来越多的地方和场景都在滥用人脸识别。这是因为人脸识别太方便了,而且准确率越来越高。很多需要核实身份的地方,如小区门禁、上班考勤等都要进行人脸识别。有些是出于管理方便,有些则是商业用途。
段伟文:企业或管理部门出于效率考虑,部署了人脸识别。但这只是表面上的原因,更深层次上,还有其他因素,比如说,人脸识别技术使用起来很方便,但可能诱发某种意义上的官僚主义,可称之为机械或者智能化的官僚主义。
>>详情请扫描下方二维码
使用人脸识别必须要满足必要性条件
王利明:保护人脸信息,首先要认真遵守贯彻好《民法典》对人的信息保护的应用。《民法典》第1035条明确收集信息应当坚持合法、正当、必要原则,坚持最小化原则,能不收集尽量不收集,能少收集尽量少收集。这里自然也涉及人脸信息保护的规范问题。
同时,《民法典》第1038条也明确规定这些信息不得擅自转让、共享;在共享时要再次取得权利人的同意,除非已进行匿名化处理。但即便如此,相关方也要负起安全维护职责。
薛军:如果一定要利用人脸识别进行身份验证,那么必须要满足必要性的条件。比如进入高度机密、特别重要的场合,需要绝对杜绝冒名顶替者时,运用人脸识别具有一定的合理性。但进入自己的小区或者其他营业场所,动用人脸识别的必要性与可能存在的风险就不成比例。从法律上来说,将来可能要规定一个可选择性机制,让人可以选择不采用人脸识别的方法进行身份验证。
朱巍:人脸识别重要的是后面的两个字——识别。这意味着它跟个人的隐私权联系在一起。隐私权是绝对的权利。国外有这样的案例,瑞典的一个高中事先未经学生和家长同意,对学生进行人脸识别,结果遭到了瑞典政府的罚款。
>>详情请扫描下方二维码
人脸信息属于隐私权,应该强调保护而非利用
王利明:从全世界范围来看,法律层面上处理个人信息,都要面对两个问题,一是对个人信息进行保护,二是在保护的同时又要注重对个人信息的利用。可以说,在法律层面上如何平衡好个人信息的保护与利用的关系,是各国个人信息保护法制定时需要考虑的最大问题。
段伟文:目前普通人的权利意识并不是那么强,在这样的信息素养环境下,把个人信息权利或个人数据权利当成“绝对”的权利,体现出一定的逆向制衡的智慧。
还是要更进一步,在认知上把人脸数据当做特殊类型的信息。这就需要更多的研究,并且在概念上有所创新,这些概念可以是对经验的提炼或由场景触发,运用它们可以更好地揭示人脸数据的法律与伦理内涵,促进人们对人脸数据滥用的法律与伦理风险的认知。也就是说,人脸识别的法律规制与伦理治理需要更多具有创造性的实践智慧。
>>详情请扫描下方二维码
同意只是入口,要重视强制性规则设置
薛军:未来能够真正发挥作用的,是对于正当、合理、必要收集个人信息之类的带有强制性的规则。“同意”只是一个入口,不一定能够真正发挥把关的作用。我认为未来的个人信息保护体制应该是以行政为主导的。因为个体太分散,维权意识和能力都比较弱,即使被侵害个人信息权益,也很难证明侵害者以及实际的损失,所以还是要高度重视相关法规中带有强制性特征规则的设置是否合适、充分。
刘兴亮:个人隐私权,包括肖像权,是我们每个人“绝对”的权利。当然,这种权利在某些时候要做一定的让渡,比如在面对突发公共卫生事件时,会有一些措施需要个人做出让步,像疫情期间的健康码就是一种案例。
薛军:“同意”能否保护个人隐私和数据安全?我觉得肯定是能发挥一定的积极作用,至少告知了用户,让用户清晰地了解其个人信息是否被收集了,并且如何被处理了。同时,也便于相关监管部门审查,企业是否存在违规搜集个人信息的问题。
但是,也不宜过分依赖“同意”。因为现在的各种个人信息处理的主体,肯定都会详尽地研究个人信息保护方面的法律法规的要求,并做到形式上的合规。而用户如果真的需要这个服务,他就只能同意,如果不同意就不能享有服务。
>>详情请扫描下方二维码
讨论人脸识别技术伦理的三个前提
段伟文:讨论人脸识别技术伦理、规范的建立,首先要考虑三个层面的问题。第一,人脸识别技术本身存在局限性和由易获得性造成的滥用风险。
第二,对于个人信息的保护和数据治理,公共部门既是数据治理的监管者,又是数据的应用者。虽然政府在很多领域具有更强的权威性,推广起来更高效,但公共使用的边界是什么,技术治理的公共伦理又是什么?
第三,从技术的长远发展来讲,其应用怎样才能普惠公众?这可能需要订立新型社会契约。没有契约,任何企业、任何人、任何地方只要存在可能就能够部署人脸识别技术,采集的数据还能够作为其他用途,这其中的风险非常大。
>>详情请扫描下方二维码
约束新技术需要一套新社会规制体系
薛军:高新技术的使用很受关注,需要一些社会规制,包括通过制定标准、法律法规、行业守则等。规制的体系可以很丰富而且多元化。不能把法律当作唯一能够发挥作用的角色,还需要通过更多灵活、多元化的机制。这是因为技术本身发展很快,法律很难及时制定与修改。
朱巍:对相关技术进行立法,并不是拖了技术、社会发展的后腿,而是为了维持社会更好的平衡。不能因为人脸识别技术提供了更高的效率,就把效率当作新的正义观。
>>详情请扫描下方二维码
扫码阅读报告
编辑:柯锐实习生:余丹校对:杨许丽
投稿、合作、联系我们:futurecity@xjbsmartcity.com
军队开进华盛顿“护驾”:美国政治危机的本源是什么
“国会沦陷”与美国政治制度的系统性风险
来新京报电商平台“小鲸铺子”囤年货啦!
人脸识别技术应用的机遇与挑战
作者:戴丽娜(上海社会科学院新闻研究所副所长、副研究员);郑乐锋(上海社会科学院互联网研究中心研究助理)
人脸识别技术的研究最早起源于20世纪60年代,到90年代进入了初级应用阶段。近年来,随着计算机视觉技术、大数据、人工智能、机器学习等技术的疾速发展,人脸识别技术在各国出现了爆发式增长,给人们的工作和生活带来了极大便利。
根据全球第二大市场研究机构Markets and Markets年中发布的预测,2019年全球人脸识别市场规模预计为32亿美元,五年后将达79亿美元,市场的主要驱动力来自于各国政府、国土安全、金融、零售、医疗保健等服务领域。然而,人脸识别技术在快速发展、深入社会的同时,也给我们带来了诸多安全挑战。个人隐私数据泄漏、技术滥用等造成的信息安全风险问题亟待解决。2019年发生的多起人脸识别安全事件已引起了全球各界人士对人脸识别技术应用规制的深层反思。
西北工业大学一名学生在图书馆人脸识别系统终端前登记注册个人信息。新华社发
人脸识别技术带来的新机遇
目前,从全球人脸识别技术领域的应用场景布局来看,安防、金融、交通是相对布局较为成熟的领域,而在零售、广告、智能设备、教育、医疗、娱乐等领域也均有较多应用场景,为经济社会的发展以及人们日常生活的便捷带来了新机遇。
资料图片
1.智能安防领域
随着智慧城市、大数据、人工智能等项目开展和技术应用,智能安防领域对于人脸识别技术的需求越来越大。人脸识别作为一种非常重要的身份识别手段,在公安巡检、网上追逃、户籍调查、证件查验等方面得到了广泛应用。同时,人脸识别也可以用作访问控制的一种手段,延伸出了诸如考勤系统、门禁系统等方面的应用,确保只有经过授权的人员才能进入某些区域。
2.金融交易领域
人脸识别在金融交易领域的应用也非常普遍,其应用场景主要包括人脸识别存取款、电子银行远程开户、在线网络支付等方面。早在2013年,芬兰创业公司Uniqul就推出了全球第一款基于脸部识别系统的支付平台。Uniqul的人脸识别系统将用户面部生物数据与数据库中的账户匹配,短时间内即可快速完成身份确认和交易流程。
3.公共交通领域
人脸识别技术在公共交通中的应用主要包含航空、火车、汽车、地铁等公共出行领域。国际民航组织规定,自2010年起,118个成员国家及地区必须使用机读护照,而人脸识别则成了首选模式。人脸识别技术在航空安检中率先得到应用,而后逐渐扩展到部分城市的火车站和地铁站等公共交通安保领域。
4.营销零售领域
目前,人脸识别在营销零售领域的应用正快速扩展。以无人零售为代表的新零售场景大量使用了人脸识别技术,无人售货机遍布各大商场、楼宇、地铁、车站等公共场所,无人便利店自2017年起广泛使用了人脸识别安全系统。此外,人脸识别技术还广泛应用于广告投放和识别客户信息(如客户性别、年龄、表情、肤质、观看广告时长等),并通过分析这些数据有针对性地向客户推送最有吸引力的广告。早在2013年,全球第三大零售巨头Tesco(乐购)就曾宣布,计划在英国450间加油站便利店的广告荧屏上加入一项叫OptimEyes的人脸识别技术。OptimEyes可根据感知到的受众情况智能选择投放广告内容。
5.智能设备解锁
2017年9月,苹果新版手机iPhoneX率先应用了FaceID屏幕解锁功能,随后,各大手机品牌厂商相继应用了人脸识别解锁功能,引发了智能终端设备人脸识别应用的热潮,成了人脸识别产业新的快速增长点。
6.医疗领域
2019年1月,《自然》杂志刊载了人工智能公司FDNA发布的一项最新研究:DeepGestalt是基于深度学习的人脸识别医疗系统,可以通过人脸识别技术辨识基因疾病,从而帮助医生进行诊断。FDNA的研究人员训练了17000多张面部图像,能够以较高的精度从人脸照片中识别出罕见的遗传综合征。目前,经过训练的DeepGestalt大约能从面容上识别200多个综合征,准确率达到91%左右。
7.教育领域
除了在各种重大考试中应用人脸识别技术防止舞弊,人脸识别技术也应用于课堂签到、课堂效果监测等方面。在课堂上运用人脸识别技术,通过对学生面部表情进行识别,根据学生的情绪表现监测分析,从而可以进一步提升教学效果。卡内基梅隆大学(CMU)的研究人员曾展示过一套全面的实时传感系统——“EduSense”。该系统使用两台壁挂式摄像头(一台对着学生,一台对着老师),单个摄像头可以看到教室中的每个人,并自动识别信息,并可以对视频和音频进行分析。
8.寻找失踪人口
人脸识别系统已经成为寻找失踪人口的有效工具之一。将失踪人员照片添加到数据库中,运用人脸识别技术进行信息比对,可及时向执法人员发出警报通知。2019年4月,印度妇女和儿童发展部向高等法院提交的一份文件显示,德里警方通过人脸识别技术,在4天时间里,从45,000生活在儿童之家的儿童中识别出2930失踪儿童,并确认了他们的身份,努力协助他们与家人团聚。
个人隐私和数据保护的隐患
人脸识别技术应用在提升身份认证便捷度和效率的同时,也给个人隐私和数据保护带来了巨大的挑战。仅在2019年,媒体就报道了多起人脸识别技术使用不当的相关事件:
问题场景一——数据泄露隐患:6月6日,微软公司疑似因隐私保护和授权瑕疵方面的原因删除了曾为全球最大的人脸识别数据库MS Celeb。据悉,MS Celeb数据库于2016年发布,拥有超过1000万张图像以及将近10万人的面部信息,用于培训全球科技公司和军事研究人员的面部识别系统。而在微软删除该数据库前,IBM、松下电气、阿里巴巴、辉达、日立、商汤科技、旷视科技等多个商业组织都曾使用过MS Celeb数据库。
问题场景二——使用必要性存疑:8月21日,瑞典北斯部盖乐夫提市的一所高中因使用面部识别技术来监控学生的出勤情况,被瑞典数据监管机构(The Swedish Data Inspection Authority,DPA)处以20万瑞典克朗(人民币14.8万元)的罚款。这是欧盟的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)生效以来,瑞典数据监管机构公布的首张罚单。瑞典数据监管机构认为,该学校使用面部识别技术来监控学生的出勤情况,事先未向瑞典DPA寻求咨询,在日常环境中对学生进行摄像监控等行为侵犯了学生的隐私,违反了GDPR关于处理敏感生物特征数据的规定。
问题场景三——滥用数据风险:此前,伊利诺伊州的一起集体诉讼案指控脸书公司滥用面部识别数据,并要求赔偿350亿美元,脸书要求美国一家法院驳回此案。10月18日,旧金山第九巡回法院的三名法官组成的小组驳回了脸书的请求。此案涉及700万用户,脸书可能会面临向每个用户赔偿1000至5000美元的罚款,总罚款金额最高可能达到350亿美元。法庭文件说:“脸书的面部识别技术违反了伊利诺伊州的生物特征信息隐私法(BIPA)。违反BIPA的规定实际上损害了用户的隐私,或会对他们的隐私构成实质性的威胁。”
问题场景四——安全隐忧:12月12日,美国人工智能公司Kneron测试团队在荷兰最大的机场史基浦机场用手机屏幕上的一张照片骗过了自助登机终端,再次引起了人们对人脸识别准确性和安全性的关注。此外,该团队还用一个特制的3D面具成功蒙骗了微信和支付宝等人脸识别支付系统。同样引起了人们对人脸识别支付安全性的担忧。
上述事件报道不仅引起了公众的对人脸识别技术应用边界与个人隐私保护的高度关注,也促使业界和监管者对一路高歌猛进的人脸识别应用进行深刻反思。
第一,严重侵犯个人隐私。首先,大部分公共场所在采集人脸信息时并未明确告知,使得被动采集成为常态;其次,在机场、火车站、公园、银行、学校、公司(小区)门禁或考勤等人脸识别的应用中用户几乎完全没有选择权利,只能被动接受;再次,人脸识别技术滥用,隐私安全风险高筑,面相分析、换脸、换装、试妆、测肤质等娱乐小程序,以及刷脸支付售货机等随处可见,毫无边界的人脸识别技术应用,正肆无忌惮地收集着用户的人脸数据及个人隐私。
第二,数据安全保障机制缺失。数据采集、存储与使用等规范缺失,导致数据泄漏风险极高。首先,当前关于人脸识别技术产品生产企业资质、产品的安全标准和市场准入标准,数据的存储资质和时限,以及对已获取数据的使用权限等缺少明确规定。其次,生产企业和提供应用服务的企业在数据存储和使用中缺乏透明度。再次,网络安全生态环境持续恶化,人脸数据库泄漏事件也时有发生。
第三,识别技术有待进一步完善。目前,人脸识别应用还达不到百分之百的准确。尤其是针对不同种族和民族群体识别的错误率差异比较大。例如,麻省理工媒体实验室和微软的一项合作研究曾显示,人脸识别的准确率与肤色高度相关。当被识别的图像中为白人时,正确率超过90%;而对于肤色较深的女性,准确率仅为65%。因此,用于比对的基础数据库不仅需要考虑种族和民族样本平衡性,也需要尽可能确保样本数量的有效性。此外,姿势、装饰(帽子、眼镜、口罩等)和光线等变量均会对识别结果产生影响。
第四,部分不当应用可能导致歧视。现今,人脸识别技术在招聘、交友、婚恋、教育等领域也屡见不鲜。通过对人脸数据的分析,对个体的性格、心理、能力、情商等进行评定,给出相应建议。然而,限于技术水平、原始数据精准度、算法隐含的价值判断,以及数据库样本量的有效性等诸多因素,使得这类应用可能扩大某种偏见,引发歧视。
此外,作为身份验证手段,人脸识别技术存在先天缺陷。相对于指纹、虹膜、声音、声纹、基因等其他用于身份识别的生物信息,人脸暴露度较高,更容易实现被动采集。这也同时意味着人脸信息的数据更容易被窃取,不仅可能侵犯个人隐私,还会带来财产损失,甚至大规模的数据库泄露还会对一个族群或国家带来安全风险。
针对上述问题,有必要对人脸识别技术的无限制推广和扩张及时“刹车”,并尽快采取相应措施防范和规制人脸识别技术的应用。
如何防范人脸识别技术的潜在风险
人脸识别技术本质上是一种基于大规模人脸数据分析的人工智能身份验证应用技术。因此,合理和合法使用该项技术,还需充分认识人脸数据的意义和价值:一是,人脸数据可被还原成人脸图像,关涉到个体的肖像权,因而相关滥用行为极易侵犯此项权益;二是,在数字经济时代,人脸数据具有一定的经济价值。一方面,基于人脸数据的人脸识别技术应用给相关企业和行业带来了巨大的经济利润,而用户不仅几乎没有得到任何经济补偿,甚至还可能给自身的权益受到侵害埋下巨大隐患;另一方面,作为身份识别和验证的人脸数据,一旦被窃取、滥用,可能给用户直接带来安全威胁或财产损失,如门禁和支付应用。
有效防范人脸识别技术可能带来的风险需要从完善相关法规政策、加强政府监管、提高行业自律和提升个体素养等层面系统规避人脸识别技术应用带来的风险和挑战。
第一,需尽快完善包括人脸识别在内的人体生物信息使用法律法规。应划定人脸识别技术使用边界,并建立人脸识别技术应用申报备案和审批制度。遵循“必要性”原则,防止因商业利益滥用此技术。例如,对于非封闭式公共场所安装人脸识别设备(如公园验票等)必要性展开充分评估。
第二,采集人脸数据前须告知用途和可能风险,以保障公众知情权与选择权,防止企业过度收集和利用。尤其是企业或政府机构在公共场合以拍摄、录像、扫描等方式采集可在人脸识别中使用的数据,应公开、明确告知,以便不愿被采集的人可以避开这些区域。同时,对于一些商业或娱乐性应用,不仅必须履行告知义务,还需为用户提供“退出”选项。即当用户不想再继续授权使用其面部数据时,应用提供方必须提供“退出”或“删除”路径,以确保被采集方的“选择权”和“被遗忘权”。
第三,对人脸数据存储权限做出明确规定,确保数据在采集、传输、使用和存储过程中的安全性。可通过第三方认证的方式,确认企业是否具有相应技术能力保障人脸数据的安全性。此外,人脸数据应采取本地存储方式,并禁止跨境流动。
第四,根据数据用途,明确规定人脸数据的存储主体、时限和采集,以最大限度保证数据安全。人脸识别技术使用过程中通常涉及人脸识别技术产品提供方和采纳方。其中,采纳方既包括维护公共安全的特殊主体相关政府公共管理部门,同时也包括一般的企事业单位主体。但无论是哪类主体都需避免滥用职权过度采集人脸数据,并同时承担数据保护的责任。依据人脸数据的使用目的和需要,可将数据的存储时限分为即时、短期和长期三类,并尽可能选择即时存储方式,即比对后不对扫描到的人脸数据进行保存。
第五,应建立和健全行业组织,建立人脸识别行业自律准则。在数字时代,技术发展日新月异,法律法规滞后于技术发展已经成为新常态。因此,完全寄希望于政府治理人脸识别既不可能,也不现实。因此,建立人脸识别技术企业联盟类组织,确立相应伦理原则和安全标准,有利于人脸识别行业良性发展。
第六,认识人脸数据的价值,增强隐私自我保护意识。当前,人脸识别技术正处于快速应用之中,个人在面临各种信息采集的同时,必须要增强自我隐私保护意识,认真阅读相关隐私条款,对于信任度有存疑可能的应用,应当明确拒绝其信息收集行为,警惕个人隐私泄漏风险。
《光明日报》(2019年12月26日 14版)
[责编:曾震宇]关于“人脸识别”的滥用和隐患 你需要知道的都在这里!
人脸识别技术已被大规模应用于机场。图片来源:WikimediaCommons
初期探索之后,技术在1980和1990年代有了突破。通过新技术,人们可以从图像中定位人脸,并提取其面部特征,不再需要手动测量、录入数据,自动识别人脸成为可能。
接着是技术的迅速扩张。从60年前只有10张人脸的数据库起步,如今人脸识别已经得到了广泛应用。从机场、海关甚至居住小区的身份验证,到匹配了人脸识别摄像头的“智能灯柱”,从设计软件中的照片标记功能,到智能手机、支付程序。一些国家已经将人脸信息纳入电子公民身份体系,比如印度的Adahaah计划、新加坡的SinPass。
新加坡国立大学计算机学院副教授沈茂祯(TerenceSim)在接受澎湃新闻专访时表示,研究的最初人们更多聚焦在技术本身,学界开始讨论隐私问题比较晚,大约在2005至2006年左右。目前人脸识别技术有被滥用的趋势,而相关法律保护仍待健全。
人脸信息滥用
到底会带来什么样的隐患?
对于人脸识别的担忧,大多源于面部信息泄漏的安全隐患。
据专家介绍,人脸识别是生物识别技术的一种,即利用人体的生理特征,通过计算机进行个人身份鉴定。如果说同为生物识别的指纹识别需要主动“画押”,人脸识别则可以在悄无声息中完成。一旦人脸及其相关信息“落入贼手”,民众的合法权益极易遭受侵害。
今年7月,有不法分子在电商平台贩卖人脸信息。以五毛钱一份的低价打包出售后,被盗的人脸信息被用于虚假注册、电信网络诈骗等违法犯罪活动。近年来,杭州、深圳等地警方破获的盗用公民个人信息案中,犯罪嫌疑人均使用了“AI换脸技术”。在非法获取公民照片后,通过“照片活化”的方式生成动态视频,成功骗过人脸核验机制,进而为犯罪团伙提供黑产服务。
图片来自视觉中国
中国电子技术标准化研究院信安中心测评实验室副主任何延哲说,目前网络黑市中售卖的人脸信息,很多并非单纯的“人脸照片”,而是包含了身份证号、银行卡号、手机号等公民个人身份信息。如果人脸信息同其他身份信息或行踪信息相匹配,就有可能被不法分子用于从事犯罪活动。
人脸信息泄漏的隐患主要在存储环节。专家介绍,目前人脸数据一般存储于人脸识别应用的运营方或技术提供方的数据库中。无论是在本地服务器还是在云端,一些企业缺乏有效的安防措施。一旦服务器遭到入侵,人脸数据就面临着泄露风险。
事实上,对人脸识别的争议已在全球多国出现,处于风口浪尖的科技巨头首当其冲。此前,IBM主动放弃人脸识别业务,宣布将不再提供、开发或研究任何人脸识别和人脸分析软件;微软则在去年删除了其最大的公开人脸识别数据库。
加强法律监管
国内多地相继出台相关政策
人脸识别涉及身份信息采集识别与个人隐私保护等话题,离不开法律的保驾护航。近年来,在法律层面,中国针对生物特征信息采集和储存做了具体规定,为人脸等生物特征信息的搜集使用划定了边界。
正在征求意见的个人信息保护法草案明确提出,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。
即将于明年1月1日起施行的民法典在“人格权编”中提出,处理人脸在内的个人信息,应当遵循合法、正当、必要原则。
而在人脸生物识别信息的存储方面,最新版的《信息安全技术个人信息安全规范》明确了个人生物特征信息属于敏感信息,要求个人生物识别信息与个人身份信息分开存储;原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于仅存储摘要信息等。
中国政法大学传播法研究中心副主任朱巍表示,对收集个人生物信息的管理,核心在于对获取方的管理。应当遵循“能不采集个人生物信息就不采集”的原则。同时应通过立法,进一步明确具备采集资格的主体范围。
图片来自视觉中国
目前,针对人脸识别技术被滥用的问题,包括天津、南京、杭州在内的多地已经陆续出台了相关的政策。
【天津】
12月1日,《天津市社会信用条例》表决通过,并将自2021年1月1日起施行。
《条例》第十六条规定,市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。
据此,企事业单位、行业协会、商会等被禁止采集人脸、指纹、声音等生物识别信息。
【南京】
针对“戴头盔逛售楼处”一事,南京市率先向楼盘的人脸识别系统出手。日前,南京市住房保障和房产局紧急通知,要求楼盘售楼处未经别人同意,不得拍摄来访人员的面部信息。
【徐州】
与此同时,有开发商透露,继南京之后,徐州市住房和城乡建设局也向部分新开楼盘和续销楼盘项目发出口头通知,要求售楼处不得使用“人脸识别”系统。
【杭州】
10月被提请审议的《杭州市物业管理条例(修订草案)》规定,物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。
资料显示,除杭州市修订草案外,安徽省、兰州市、北京市等地的《物业管理条例》,也就业主个人信息保护进行了明文规定。但这些条例中没有明确提到指纹、人脸数据等生物信息,也没有涉及强制收集问题。如果修订草案通过,《杭州市物业管理条例》将成为国内首部对小区人脸识别作出规范的正式立法。
封面新闻张琴综合央视新闻、澎湃新闻、科技日报、人民日报、新华网等
【如果您有新闻线索,欢迎向我们报料,一经采纳有费用酬谢。报料微信关注:ihxdsb,报料QQ:3386405712】返回搜狐,查看更多
人脸识别技术滥用问题及治理对策
文/朱晓瑜赵静岚来源:公安部检测中心
摘要:人脸识别技术在大量应用场景已落地应用,为人们提供了高效便捷的生活和工作方式,但有些应用场景超出了合理使用范围,侵犯到了个人隐私。针对当前人脸识别技术存在的滥用问题,本文阐述了人脸识别技术的优势,概括了人脸识别技术滥用的现象,分析探讨了滥用现象产生的深层原因,最后提出了防范人脸识别技术滥用的对策和保护人脸数据安全的技术措施,以期为个人信息安全保护和人脸数据安全提供参考。
1、引言
随着人工智能的快速发展和计算机视觉技术的不断突破,人脸识别技术已完成商业化落地,应用场景渗透到安防、金融、消费、生活、教育等各个领域,在给人们提供了高效的生活工作方式和便捷使用体验的同时,人脸识别技术也给个人隐私保护带来巨大挑战。据《人脸识别应用公众调研报告(2020)》显示,六成受访者认为人脸识别技术有被滥用的趋势。当前,公安机关及有关部门需要彻底厘清人脸识别技术的滥用风险,梳理相关法律法规,引导规范使用人脸识别技术,建立相应治理机制。
2、人脸识别技术应用优势
人脸识别技术作为主流身份识别技术,具有以下的特点和优势:
一是无接触、无感知。用户只需出现在摄像可视范围内就能应用,杜绝了使用接触感应设备带来的风险和麻烦,譬如疫情期间大量使用的无接触式人脸识别配合热成像自动测温设备,为疫情的精准防控发挥了重要作用。同时,很多人脸识别设备与普通摄像机外形相似,多数用户以为其是普通摄像机,习以为常,因此也具有隐蔽性。
二是算法先进、速度快。近年来,99%以上人脸识别系统的误报率只有千万分之一,不断升级的人脸识别技术在蒙面、光源昏暗、面部多角度变化等复杂场景下,识别精度也可以远超人的肉眼水平。在一帧图像中同时采集多张人脸进行比对具有更高的识别速率,可以缩短采集时间,实现多人快速认证。
三是高度开放共享。开放共享可以促进人脸识别技术的快速发展。大量研究人员、企业提供了人脸识别算法和系统深度学习框架的开源代码和软件,技术的共享、算法的开放加速了成果的转化,带动越来越多的中小企业加入到人脸识别的应用行业中,构建了多元合作的人脸识别技术生态体系。
四是需求旺、应用广。市场对身份认证技术的需求旺盛,各行各业对安全、可靠、方便的身份认证技术的需求不断扩大,大量应用场景涉及身份认证,为身份认证提供了更多便利和多样化需求,特别是在复杂场景下身份的认证应用,推动了人脸识别技术大规模普及应用。
目前,人脸识别技术在我国大量应用场景已落地应用,从金融、安防领域拓展至消费、生活、医疗、交通、学校、社区、企业等多个领域。常见的应用包括:在警务工作方面,人脸识别技术在服务人口管理、案件侦破等公安实战应用方面提供了打击防范违法犯罪的新手段和核查身份的新模式;在智能门禁方面,通过在出入口、闸机处部署人脸识别认证系统,实现自动通行、无人值守,可以提高检查核验的通行效率和准确性;在金融应用方面,通过使用人脸识别技术,可以确定客户身份,提升业务办结效率,减轻银行运营负担,有效防控风险;在移动支付方面,通过开通支付软件的刷脸功能,可在不输入密码、不携带设备,仅凭刷脸方式验证即可实现付款,使用户获得良好消费体验,提升交易效率;在医疗服务行业,通过人脸识别对“票贩子”等进行“黑名单”预警,有效打击了医院“黄牛”,缓解了就医难问题。
3、人脸识别技术滥用情况
人脸数据作为身份信息具有不可更改的特点,一旦泄露后,不法分子可借助深度伪造技术实现个人身份篡改、个人信息伪造、人脸画面自动生成,伪造的视频真假难辨。当前,基于人脸的身份认证可以通过人脸伪造技术被绕过,视频及图片中的人脸也可以由人脸伪造技术形成,对人身、财产安全以及社会生活带来严重的风险隐患,同时对视频举证、新闻传播的真实性带来一定的挑战。当前,人脸识别技术滥用情况,可以归纳为以下四类:
3.1非授权滥用
随着人脸识别技术和大数据技术应用的普及,在用户不知情的情况下全量收集人脸数据比对处理,满足商业应用。据2021年央视“3.15”晚会报道,某卫浴门店安装的具有人脸识别功能的摄像头,可以在客户毫不知情的情况下抓取人脸数据,用于分析客户的访问记录从而实现精准营销。又如前段时间曝光的房产公司为了区分售房渠道,识别客户是否属于首次到访享受优惠等目的,对到访客户进行人脸识别,实现给中介利润分成和销售优惠等措施。这些人脸识别都是在客户未知及非授权情况下实施的,属于非法获取个人信息数据,侵害了他人隐私权。
3.2低安全滥用
从数据全生命周期角度而言,人脸识别技术应用包含人脸采集、传输、存储、使用、销毁多个环节,每个环节都有可能出现数据泄露。由于应用人脸识别技术的企业安全防范能力参差不齐,部分企业数据保护意识不强,无法做到人脸数据全生命周期的安全防护。例如,在“智慧安防小区”建设中,由于建设主体复杂,有些物业公司为节约成本,直接将人脸数据保存在互联网服务器上,而且缺乏安全管理和安全防护措施,黑客可以轻易获取人脸数据。还有内部管理混乱的问题,管理者可以轻易将掌握的人脸识别全量数据导出后拿到社会上交易。
3.3超伦理滥用
人脸识别技术与其他人工智能分析技术相结合,有可能会涉及道德伦理问题。例如,人脸识别技术与体态识别技术、面部表情识别技术相结合后可以识别并监测发呆、打瞌睡、玩手机等行为,个别学校通过该技术收集分析学生的诸如微表情、抬头率、行为姿态等,最后经统计分析得到学习效果指数、专注度指数、行为数据等,并将分析数据提交给老师和家长,对学生的人格尊严造成伤害。甚至有些人脸识别技术可以分析个人性取向,严重侵犯了个人隐私。
3.4非必要滥用
为了博取眼球,有些单位在非必要场景应用人脸识别技术,存在着“杀鸡用牛刀”的情况。例如,一些地方推出“刷脸”垃圾桶、“刷脸”卫生纸设备,将采集的敏感数据应用于这样的场景,极易引起普通用户的不满。
4、人脸识别技术滥用原因分析
造成人脸识别技术滥用存在多方面原因,主要有以下几点:
4.1法律体系不完善
我国现已颁布的《民法典》《网络安全法》《刑法》《数据安全法》等法律文件中的个人信息保护条款已经初步构建了具有我国特色、与我国信息化发展相适应的个人信息保护制度体系,但可操作性不强。新版国家标准《个人信息安全规范》对生物识别信息的收集、使用、存储等作了针对性的要求和建议,但其仅为推荐性国家标准,不具有强制效力。当前,我国暂时没有专门的法律来规范人脸数据的收集和使用,《个人信息保护法(草案)》已对人脸数据的处理和保护做出了较为完整的考虑,但尚未正式颁布。
4.2信息安全保护职责不明确
虽然国家已有信息安全保护法律法规及标准体系,特别是安全等级保护体系,但缺少统一的实施管理机构,如工信部、网信办、公安部、国家工商总局、商务部、中国人民银行等部门,都承担着对组织和个人信息安全的监管职责,但却没有专门的执法部门进行统一管理。由于信息安全保护职责不明确,各个部门管理的范围不同、实施的标准不同,容易产生监管内容重叠、监管死角、追责投诉困难等,导致人脸识别技术滥用问题难以遏制,个人信息安全问题依然突出,法律法规难以发挥作用。
4.3个人信息保护意识淡薄
个人对人脸数据的自我保护意识不强,知道被侵犯了,不知道去找谁维权或懒得维权。大量个人手机信息已被不良中介买卖了很多遍,导致每天都会接到各种推销贷款、房产的骚扰电话。另外,人脸数据采集方和用户地位不对等,用户在第一次安装某个APP时,往往不会认真阅读有关个人信息采集使用的“隐私授权协议”,但不点“同意”则无法继续安装也不能使用APP,导致用户“被迫同意”,变成“鱼肉”任人宰割。某些公司及相关经营者法律意识淡薄,以为数据在自己手上可以随意处置,想怎么使用就怎么使用,想卖给谁就卖给谁,进而造成了信息数据被滥用的乱象。
4.4人脸识别技术低门槛
为促进人脸识别技术的发展,打破技术壁垒,大量企业提供了人脸识别算法、开源代码和软件接口,大大降低了技术应用的门槛和成本。开源代码的发布,虽然促使了人脸识别技术应用的创新和繁荣,但也意味着当前人脸识别软件的质量参差不齐,安全性存在巨大隐患。同时,一些企业由于受资金和人力限制,在安全方面投入较少,导致普遍缺乏与人脸识别能力相匹配的数据传输及数据存储的保护能力。
5、防范人脸识别技术滥用的对策
人脸数据的保护和对人脸识别技术监管已成为全球性问题,发达国家已制定许多规制措施。
目前,最有代表性的应对策略有两类:
一是禁止使用策略。比如美国旧金山、波士顿等城市,在尚未找到有效保护人脸数据绝对安全方法前,采取保守策略,禁止执法机构和其他政府部门使用人脸识别技术,美国波特兰市禁止企业在公共场所使用该技术,美国纽约州暂时禁止学校使用该技术。
二是严格限制使用的策略。例如,美国联邦参议院提出的《商业面部识别隐私法案》、华盛顿州《人脸识别服务法》等,均要求按照合理使用信息原则对该技术使用的场景和方式进行限制。又如欧盟的《通用数据保护条例》(简称GDPR)规定,生物数据的处理应遵循“原则禁止,特殊例外”的原则,即除一些特殊情况外,诸如数据主体的同意,或者为了公共利益、科学研究、统计目的等,原则上禁止使用人脸识别技术。GDPR通过高额的罚单、严格的条款来保护用户人脸数据的收集和使用,从而实现对人脸识别技术的规制。
区别于欧美国家的严格限制或禁止策略,我们应该把握以下原则:一方面要积极鼓励人脸识别技术应用;另一方面也有严格限制人脸识别技术的滥用。
按照“积极审慎应用,严格保护隐私”原则,促使人脸识别技术积极推动数字化改革,最大程度保护人脸数据安全,找到应用和保护这两者的平衡点,提出如下对策:
5.1完善人脸数据保护的法律政策
扼制滥用风险的关键是完善相关监管制度和法律法规。首先,应从立法层面对人脸识别技术的使用加以规制,通过出台《个人信息保护法》《数据安全法》,明确人脸数据采集处理应当遵循的原则、个人在其过程中享有的权利、对滥用行为的制裁和惩罚、承担人脸数据保护职能的执法机构、人脸数据共享和流通的相关规则。同时,还必须给新技术的发展和数据的流动共享留有空间。其次,执法层应设立专门的监管机构,结合政府数字化转型的契机,对政府及非政府机构使用人脸数据在采集、传输、存储、使用和销毁进行全生命周期监督和管理,融入数字化改革大局。监管机构需广泛收集人脸识别滥用存在的问题,响应群众对违规收集个人信息的诉求,及时处理技术滥用的典型案例和突出问题。
5.2不断发挥公安机关对滥用行为的监管职责
《网络安全法》赋予了公安机关网络安全保护和监督管理的职责。公安机关应针对相关企业网络安全意识淡薄,人脸数据过度采集,未按照网络安全等保标准建设人脸应用系统等现象,不断探索具体的实施细则,定期开展清理整治工作,指导督促企业加强信息安全管理,落实网络安全等保制度,对人脸设备厂商、人脸识别技术企业、“智慧安防小区”建设厂商等重点单位深入开展集中整治,聚焦人脸采集、数据存储、企业安全管理制度等关键环节,依法查处建设应用中存在的违法情形,规范人脸数据采集行为,增强数据安全防护能力,切实维护个人信息安全。此外,公安机关在“智慧安防小区”建设与应用中应注重保护人脸数据等个人敏感信息,按照数据分级分类管理模式严控人脸等涉及隐私数据的分析应用,完善平台信息查询权限配置和信息资料使用登记制度,加强日常信息安全、网络安全、传输安全、边界接入防护管理,定期开展等级保护工作,实现数据安全可控,数据流向可知,数据泄露可追溯。
5.3提升行业自律和个人信息保护意识
一是掌握人脸识别技术的相关企业要慎重向购买者销售相关技术或产品。对有明确交互要求的人脸识别产品(如人脸门禁、支付识别等),一般被采集者都会知晓,会履行同意程序,风险相对较低。但对无需交互的人脸采集摄像机,不良商家往往不会履行告知同意程序,因此应该严格限制销售无需交互的人脸识别产品。
二是不断加强公民个人信息保护意识的宣传。提醒引导用户在涉及到人脸数据提供时,应详细了解人脸采集的目的,收集处理者采用的数据安全保护技术、数据处理方法、数据存储时间等,在遇到个人权益被侵害时,应收集证据并向监管方求助,运用法律武器进行自我保护。
三是建立相应的行业自律组织。实行行业自律监管机制,制定相关标准,推动相关行业建立和完善制度、规范和体系,建立统一的安全和责任底线,明确采集目的,遵守严格的知情同意原则,规范人脸数据传输、储存的加密方式和数据保存期限,使行业自律机制成为约束企业自身的人脸信息收集和使用行为的常态化监督管理手段。
5.4不断创新数据安全保护技术
防止人脸识别技术的滥用,不仅需要加强法律手段监管,也需要技术上的创新。
一是利用多方计算、同态加密和联邦计算等安全方式实现人脸数据完全加密,构建智能化的人脸识别应用框架,实现不提供人脸原始数据,只提供模型、摘要数据或结构化数据,使人脸数据可用、不可见、不可存,从而确保数据使用价值的同时实现人权独立,保护个人隐私,保证人脸数据安全。
二是利用数字水印、区块链等数字内容溯源技术,构建人脸数据安全保护的可信体系,有力保障人脸数据内容真实、来源安全,防止人脸篡改和深度伪造技术不断发展对国家安全、个人安全带来的危害。
三是从保护用户对个人信息的所有权、增强用户对个人信息的控制权角度出发,借助基于区块链的数据确权和共享解决方案,制定有关收集、存储和分发人脸数据的规则并写入智能合约,对数据产生、使用和销毁进行全生命周期跟踪管理,把人脸数据的所有权和控制权归还用户,降低个人信息的泄露风险、改变数据流通和共享方式。
四是利用人脸信息匿名化技术,在非身份认证场合下应用人脸时对人脸数据实行去身份处理,匿名后的人脸保留了脸部属性、不可还原,平衡了隐私和人脸数据的可用性,对人脸数据进行有效分析的同时,又保证人脸对应的个人身份信息的安全。
6、结语
人脸识别技术是一把“双刃剑”,如何规范使用人脸识别技术,是大数据时代个人信息保护和数据安全的新课题。需要不断更新完善法律体系、不断研发信息保护技术,而法律法规和信息保护技术的更新常常落后于新技术的发展,因此,为让新技术继续造福社会、服务社会,需要多方面共同发力,加强个人信息保护的宣传工作,强化行业自律,制定自律公约,不断提高政府、行业的责任意识、规范意识,提高个人的信息保护意识,严密全生命周期的人脸数据保护工作,筑牢人脸识别技术滥用的防线。
参考文献
[1]南方都市报人工智能伦理课题组和App专项治理工作组.人脸识别应用公众调研报告(2020).[2]李旭嵘,纪守领等.深度伪造与检测技术综述[J].软件学报,2021,2.[3]郭爽.人脸识别进课堂,背离教育的初衷[J].甘肃教育,2019.18.[4]GB/T35273-2020.信息安全技术个人信息安全规范[S].北京:中国标准出版社,2020.[5]张彤,论民法典编纂视角下的个人信息保护立法[J].行政管理改革,2020,(02).[6]吕尧,周千荷.欧美限制人脸识别技术对我国的启示[J].网络空间安全.2020,11(02).[7]袁俊.人脸识别国际监管经验及规制建议[J].网络空间安全.2020,11(07).[8]T/ZJAF5-2020.安全防范人脸数据安全管理规范.[9]唐鹏,黄征,邱卫东.深度学习中的隐私保护技术综述[J].信息安全与通信保密,2019,(06).[10]梁瑞刚,吕培卓等.视听觉深度伪造检测技术研究综述[J].信息安全学报,2020,5(02).[11]祝烈煌,高峰等.区块链隐私保护研究综述[J].计算机研究与发展.2017,54(10).[12]郭思雨.基于匿名化技术的人脸图像隐私保护方法研究[D].北京交通大学,2018.
本文转自:公安部检测中心,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。