人臉識別技術的使用范圍越來越廣,但相關的立法與監(jiān)管并未及時跟上����,如何審慎確定應用邊界并強化個人隱私保護,尚待更多立法與監(jiān)管共識�����。
2019年11月29日���,涉及7人命案�、潛逃20年的勞榮枝終于落網���。陳年舊案告破�,在于警方采取了多種科技手段實施抓捕�����,該案中,人臉識別大數據發(fā)揮的作用被屢屢提及�����。
這不是人臉識別技術在抓捕案犯中的首次立功����。據公安部披露��,通過網絡技術�、視頻技術等手段,在為新中國成立70周年大慶部署的打擊詐騙�、抓捕逃犯的“云劍”行動中,一半以上在逃人員是通過科技手段和大數據研判抓獲的�。
而同樣是使用人臉識別技術,中國藥科大學在教室安裝人臉識別設備的做法卻引發(fā)侵犯學生隱私的廣泛質疑����。
2019年9月,中國藥科大學在一些教室安裝了人臉識別設備�,這種設備據稱可以追蹤、識別學生聽講���、發(fā)呆���、睡覺等上課狀態(tài)���。“之前有的同學點完名就離開或者請別的同學代(點名)�,但有了人臉識別就沒這個問題了。從學生進教室那一刻起���,它就對你進行全程識別���。你低頭多長時間,是否在玩手機�,是否在發(fā)呆,是否在看別的書����,都能感知到?�!敝袊幙拼髮W圖書與信息中心主任許建真稱��。
如今���,案犯抓捕�、安全檢查、課堂教學�����、移動支付����、手機解鎖……人臉識別的應用場景日趨豐富,在帶來高效便捷的同時��,亦隱藏著被“全程識別”的擔憂�����。
人臉識別技術是基于人的臉部特征信息進行身份識別的一種生物識別技術�����。這種技術不僅用來抓取個人的面部生物信息�����,還可以與既有數據庫中的數據進行比對��。它能進一步追蹤到個人的身份信息����、日常的行蹤軌跡、人與車的匹配���、親屬關系的匹配以及經常接觸人員的匹配等����。
與指紋�����、虹膜等其他生物信息識別技術相比����,人臉識別具有非接觸性的特點,這意味著很多人可能是在不知情的情況下��,被抓取面部信息���。當算法對人作出更多分析之后����,成為“透明人”的可能性無疑在增加。
2019年以來����,人臉信息泄露并被違法售賣的事件并不鮮見——有的是5000多張人臉,打包只賣10元;有些公開售賣的人臉數據��,細致到眼睛��、耳朵��、鼻子�����、嘴���、眉毛等輪廓信息。
接受《財經》記者采訪的多位法學專家中��,有人支持人臉識別���,認為新技術帶來了便利�����,是大勢所趨;有人持審慎態(tài)度����,擔心數據泄露、侵犯隱私權�。但一個共識是,在數據保管����、使用與轉移等方面的法律規(guī)制不夠完善的情況下,人臉識別應有邊界���。
目前����,中國關于保護個人信息的專門立法尚未出臺��。盡管《網絡安全法》《消費者權益保護法》《刑法》等法律對個人信息收集與使用的規(guī)制條款均有所涉及�,但在實踐中尚缺乏可操作性。
人臉識別的應用越來越廣�。值得關注的是,基于人臉識別技術��,面部信息背后的個人信息庫是否已無法由主體本身掌控?隨著人臉識別應用越來越廣泛��,其邊界究竟在哪?相關的立法和監(jiān)管如何平衡個人與公共利益?
刷臉時代
近年來,人臉識別技術的應用落地加速�����,橫跨金融支付�����、公共安檢�����、教育監(jiān)控等多個領域���,接連進入高校�����、小區(qū)�����、地鐵站等多類場所。越來越多的普通民眾開始明顯感受到這項技術給生活帶來的變化���。
與指紋識別不同�,人臉識別技術具有非接觸性的特點,通過與監(jiān)控攝像頭搭配����,獲取者能在被采集者沒有覺察的情況下,長距離抓取其頭像�。這一特點,意味著在安檢和身份信息核驗上���,人臉識別比指紋識別�����、證件查驗等傳統(tǒng)方式更高效���。
一個典型的應用場景是機場安檢。中國大部分城市的機場普遍采用人臉識別技術�����。在北京大興國際機場���,通過“人臉識別自助值機系統(tǒng)”��,乘客通過“刷臉”便可辦理相應的登機手續(xù)——無需身份證件�,便能看到自己的登機口信息,到達登機口后便可直接登機�。據《新京報》報道,若采用刷臉通行�,乘客從值機、行李托運至到達登機口�,大概只需20分鐘。
此外�,由于人的雙眼瞳孔間距無法改變,即使整容�,人臉識別技術也能發(fā)揮作用。因具有很強的特定個體指向��,在實際應用中�����,人臉識別技術也被用于核驗個人身份�。
根據工信部此前頒布的《關于進一步做好電話用戶實名登記管理有關工作的通知》,2019年12月1日起�,電信企業(yè)須在實體渠道全面實施人像比對技術措施,人像比對一致后方可辦理入網手續(xù)�。據悉,此舉是為了進一步落實“人”“證”的一致性�,保證用戶身份的真實性,進而防范包括用戶在不知情的情況下“被辦卡”等痛點問題����。
“推行人臉識別認證,政府其實是想打造基礎信息的認證能力��,確保個人身份信息的真實性�。為何存在冒用身份信息,進行辦卡���、詐騙等違法犯罪活動�,原因就在于目前的認證能力無法準確辨別個人信息��,從這一點上來講�,人臉識別技術有助于增強國家的基礎信息認證能力,認證能力越強���,個人信息安全的系數就越高�?�!敝袊嗣翊髮W未來法治研究院副院長丁曉東表示��。
中國社科院大學互聯網法治研究中心執(zhí)行主任劉曉春亦認為,面部識別確是目前最有效的身份認證方式之一��。不過她也表示���,人臉識別認證的應用場景往往涉及公眾的基本安全����,一旦數據被泄露���,則面臨被冒用的風險��,造成的危害將遠遠超過一般的個人信息泄露���。
人臉識別技術基于個人生物信息而具備極強個體指向的能力,在有效核驗身份信息的同時���,硬幣的另一面是���,通過人臉解碼個人的敏感生物信息,大規(guī)模收集人臉信息����,是否侵犯了個人的隱私�、一旦發(fā)生數據泄露可能帶來怎樣的危害?
爭議漸起
清華大學法學院教授勞東燕便對使用人臉識別技術核驗身份持審慎態(tài)度��?��!吧矸蒡炞C有多種方式,在有些根本不涉及公共安全的場景中�,為何強迫用戶接受人臉識別的認證?”勞東燕認為,身份核驗適用人臉識別技術的必要性應被重新評估����。
2019年10月28日,杭州野生動物世界因強制游客“刷臉”入園被告上法庭�����。這宗中國“人臉識別第一案”�����,是開啟人們重新思考人臉識別技術利弊的契機�����。浙江理工大學副教授郭兵以園方未經其同意強制收集個人生物識別信息��、嚴重違反《消費者權益保護法》等法律相關規(guī)定為由,將杭州野生動物世界起訴至杭州市富陽區(qū)法院�。該案目前已被法院受理。
北京地鐵試點人臉識別技術安檢面臨的爭議與之類似��,民眾的選擇權利�,對隱私與信息安全的擔憂不斷被提出。2019年11月29日下午����,《財經》記者在北京地鐵阜成門站注意到,安檢區(qū)域已安裝具備人臉識別功能的安檢門�,并加裝了人臉識別攝像頭和顯示屏。
勞東燕指出���,將人臉識別技術理解為單純的識別與印證�����,是一種誤解���。人臉識別技術的實質是收集人臉數據,積累信息并作出分析��,在此基礎上勾勒個人畫像��,進一步能預測該數據主體的實際行為。換而言之�,在這一套技術之下,人臉只是個人敏感信息的一個界面���,這扇門后�,是對個人身份�����、行為方式���、社會關系的全面鎖定。
基于前述技術邏輯�����,人們對于人臉識別技術應用中隱私保護和個人信息安全的擔憂不無道理�����。畢竟�,已經有數起人臉信息泄露并遭違法售賣的事件被曝光。
據中央電視臺近日報道��,有人臉信息在一款名為“轉轉”的APP上被公開兜售,5000多張人臉���,打包只要10元��。在百度一個名為“快眼”的貼吧�,亦有人在兜售人臉數據�����。賣家稱��,高清證件照5毛錢一張;一類號稱“四要素”的商品�,除了照片,還包括姓名�����、身份證照片�、銀行卡和手機號,4元錢一份���。
2019年9月�,《北京青年報》亦報道了一起面部信息大規(guī)模泄露和違法售賣事件�。報道稱��,有商家在網絡商城中公開售賣“人臉數據”���,數量達17萬條。這些“人臉數據”涵蓋2000人的肖像���,每個人約有50張到100張照片�,每張照片搭配一份數據文件���,除了人臉位置的信息外�,還有人臉的106處關鍵點�����,如眼睛����、耳朵�����、鼻子�、嘴�、眉毛等的輪廓信息�����。目前��,網絡商城運營方已認定涉事商家違規(guī)����,涉事商品已被下架處理。
北京大學法學院教授張平向《財經》記者強調���,面部識別信息是生物信息的一種���,幾乎是恒定不變的,倘若未來“刷臉”技術全面推廣����,應用在諸如住宅等重要場景后,此類信息泄露的后果不堪設想��。
風險之憂
個人敏感信息泄露的風險��,是包括勞東燕在內的學者反對人臉識別被廣泛應用的原因之一。
勞東燕指出����,人臉識別技術是否能被廣泛應用,取決于技術進一步深度學習開發(fā)后���,相應的風險是否可逆���。
2019年年初,深網視界被曝涉嫌大規(guī)模數據泄露�。該公司被指存在安全漏洞,任何人都可不受限地訪問其數據庫���,導致約256萬人包括身份證��、地址�����、行蹤軌跡等在內的隱私信息遭到泄露。
“相較人臉識別技術的迅猛發(fā)展��,中國的立法顯得滯后�。目前刑法、行政法方面,還未出現人臉識別侵權相關的處罰案例�。民法方面,在人臉信息被濫用或者竊取后��,行使民事權利很艱難�����,因為無法得知對方讀取了哪些數據����,采用了何種讀取方式,甚至找不到侵權主體����。”勞東燕分析稱��。
目前��,中國針對人臉識別��,法律的規(guī)制重心主要在信息的獲取和收集�,而在保管、使用�����、轉移方面相對力度不足,且未把濫用行為放入法律規(guī)制范圍����。
“如果預見風險不可逆,且泄露和濫用后沒有太多有效的措施來保護���,任其發(fā)展肯定有問題�。人臉識別技術蘊含的風險實在太大��,應該嚴格限定適用場景�����?���!眲跂|燕向《財經》記者表示。
對此�����,丁曉東則認為��,人臉信息兼具公共屬性和個人屬性�,因此,這一技術的應用應該區(qū)分具體場景進行風險防范����,而不是一味禁止。
丁曉東表示�����,禁用人臉識別不意味著沒有風險�,相反,由于信息竊取和詐騙手段的不斷升級��,人臉信息因為相對穩(wěn)定��,關聯個體的可能性較大�����,在解鎖個人信息的認證方面比密碼等傳統(tǒng)方式更安全�����。
“對于風險問題�����,不能采取靜態(tài)的觀點。比如核電��、核泄漏擁有極大的破壞力���,但禁止核電不意味著沒有風險����,用火力發(fā)電會造成更多污染����,更高的人口平均死亡率。人臉識別技術的應用也同理����。“丁曉東向《財經》記者表示���,實行人臉識別技術后���,風險同樣存在,但風險防范是一個不斷攻防的動態(tài)過程�。
然而��,丁曉東亦指出,由于人臉識別技術本身會帶來新的風險�,且相關反人臉識別技術也會發(fā)展,就此而言不能盲目使用人臉識別技術��,特別是不能將其適用在安全保障需求不高的場景����。
在丁曉東看來,人臉識別本身帶來的風險其實在于數據后續(xù)的使用環(huán)節(jié)�。目前,人臉信息采集一方獲準采集人臉信息的主要依據為《民法》的知情同意原則���,然而�����,“信息被收集者瞬間的同意不能確保后續(xù)的信息使用符合其利益���。”這意味著�����,即使存在知情同意原則,后續(xù)環(huán)節(jié)的個人信息流向��、數據將被如何利用等也可能不受信息被收集者控制�,需要法律加以規(guī)制。
事實上���,在法學學者們擔憂人臉識別數據發(fā)生泄露與被濫用的同時��,一些相關企業(yè)在數據保護與信息獲取范圍限定方面多有舉措���。
一家涉足人臉識別的科技企業(yè)給《財經》記者的回復中提到,其旗下平臺產品FaceID只獲取為核實客戶平臺上注冊用戶身份確有必要獲取的信息;另一平臺產品Face++��,除客戶自愿提供的圖像或視頻信息���,以及為提供服務而需從相關圖像或視頻信息中提取出的人臉或身體特征外��,不會獲取如終端用戶身份證號碼�����、護照號碼��、地址�����、電話號碼或銀行賬號等其他個人信息����。
在數據保護方面�,上述企業(yè)表示,會匿名化處理獲取的終端用戶個人信息��,采取軟硬件加密���,防止數據被解密或以逆向工程方式重新識別特定個人��。在其招股書中亦有“不會出售��、分享或以其他方式提供向任何第三方提供解決方案時收集的任何個人信息�,也不會將這些信息用于算法訓練”的表述��。
邊界之爭
“其實我并不擔憂人臉識別在商業(yè)場景的應用�����,規(guī)制相關采集���、保管�����、使用環(huán)節(jié)之后是可以接受的�。但在中國,公權力有權將任何機構或企業(yè)收集的數據匯集到自己手中�。”勞東燕表示�,公權力對個人權利可能的侵犯,是廣泛收集人臉數據的一大隱患����。
世界首例起訴公權力應用人臉識別技術的案例發(fā)生在英國。2017年����,英國南威爾士(South
Wales)警方開始試點使用自動人臉識別技術,其中一種使用方式是:對攝像頭抓取的人臉進行實時處理��,提取面部生物識別信息�,并將該信息與監(jiān)視名單上的人物面部生物識別信息進行比對,若匹配不成功��,提取的面部生物識別數據和相關人員的照片不會被保存。
當事人埃德·布里奇斯(ED
Bridges)聲稱自己至少被掃描了兩次����,2019年5月,埃德·布里奇斯以眾籌的方式提起訴訟�����,起訴南威爾士警方侵犯個人隱私����、違反《歐洲人權公約》�����。
埃德·布里奇斯并不是小題大做���。維護個人隱私�����,防止公權力侵犯個人邊界�����,是西方國家不少地區(qū)限制公共部門使用人臉識別技術的主要原因����。
2019年5月,美國加州舊金山市監(jiān)事會通過法令�����,禁止政府部門獲取�、保存、訪問���、使用“人臉識別技術”和“使用人臉識別技術獲取的信息”����。該法令認為���,“人臉識別技術危及公民權利和公民自由的可能性遠遠超出其聲稱的利益���。”
2019年6月���,美國馬薩諸塞州薩默維爾市議會通過法令�����,禁止薩默維爾市政府部門和官員獲取����、保存、訪問����、使用“人臉監(jiān)控系統(tǒng)”和“人臉監(jiān)控系統(tǒng)獲得的信息”。
2019年10月�����,美國加利福尼亞州州長簽署法令���,在未來三年內全州范圍禁止執(zhí)法機構使用面部識別技術。該法令將于2020年1月1日生效���。
“在人臉識別應用的場景下�,關于個人隱私的討論不能只停留在民法意義上的個人隱私權��,以英國為例��,‘隱私’(privacy)的概念更多是在憲法層面討論。人臉背后是個人信息庫����,其實涉及的是人的根本權利?����!北本┌怖砺蓭熓聞账呒壓匣锶送跣落J表示����。
假想中的龐大數據庫,拉響了人臉識別應用的預警���。北京大學法學院教授王錫鋅總結出使用人臉識別技術的三大原則�。
一是數據采集的合法性���,即在法律上規(guī)定人臉識別技術的一整套適用場景����,在這些場景中���,為具體的采集主體賦權;二是數據應用的必要性����。“應遵循最小夠用原則��。如果人臉識別涉及的信息相對指紋更加敏感�����,是否考慮將其作為最后的實現管理目的的手段?”三是個人權利最大化和公共福祉最大化間的平衡與妥協��。
