王雪情 胡玉晶 黄颖

摘要：人脸识别技术作为人工智能发展的一项创新型应用，给社会发展带来变革的同时也逐渐显露出问题。其在给人们带来娱乐、便利、高效的同时也伴随着信息泄露、信息售卖、信息歧视等一系列信息安全问题。本文在探讨信息安全管理现状的基础上，发现了人脸识别信息保护浅易、发展受限、识别简易等管理障碍并探究信息安全管理的趋势：法律环境规范化、管理原则具体化、个人主导地位强化、区块链助力网络信任化和螺旋式全方位管理。

关键词：人脸识别技术;信息安全问题;管理现状;管理障碍;区块链助力网络信任化;螺旋式全方位管理

中图分类号：TP301 文献标识码：A

文章编号：1009-3044（2020）14-0218-03

1引言

人脸识别是基于人的脸部特征信息进行身份验证的一种生物识别技术，其作为人工智能（AI）的一项重要发展技术，目前已渗入到人们生活的多個方面，如业务办理、门禁系统、刷脸支付、刷脸登录等的身份认证、身份识别;美颜自拍、视频直播等的人脸特效功能;工人工作、学生学习过程中的注意力分析;罪犯侦察、安防监控等的人脸搜索和对比等。人脸识别技术在给人们生活带来更多娱乐、便利、高效的同时，因人脸自身的特殊敏感性也引发了一系列社会问题，尤其是个人信息安全问题。下面本文将以人脸识别技术引发的信息安全问题为中心，对目前信息管理的现状、障碍、趋势进行探讨。

2信息管理安全问题

2.1信息泄露

人脸识别技术通过带有摄像头的终端设备拍摄人的面部图像，进行面部识别对比、匹配，达到身份验证的效果。目前社会已有很多企业、商家参与到人脸识别的应用中，以此作为优化服务、提升竞争力的创新途径。但由于人脸特征信息属于高敏感性信息，且社会上总存在不法人员利用不法手段获取个人信息的不法行为，因而企业商家不当获取人脸信息难免会引发人们不满和恐慌。

近日，“中国人脸识别第一案”在法院的正式受理大规模地引发了人们对信息泄露的恐慌。根据《北京青年报》等媒体报道，杭州野生动物世界在未与消费者进行任何协商和未征得同意的情况下，限制未注册人脸识别的用户人园。由此可见，该企业在对消费者个人信息的保护方面没有给予消费者选择的权利，这显然违反了《消费者权益保护法》的第29条规定，即经营者收集、使用消费者个人信息，应当遵循合法、正当、必要原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。

企业在合法采集人脸信息的同时更要注重对人脸信息进行有效的保护，否则后果难以想象。据相关媒体报道，2019年2月荷兰某安全研究员公开表示中国一家面部识别公司SenseNets（即深网视界）未对内部数据库做密码保护，导致信息泄露。此次信息泄露事件主要涉及超过250万人信息的数据库，其中包含用户身份证数据、照片、工作等基本信息，同时还可动态记录个人位置信息。根据《民法总则》第一百一十一条规定，任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或公开他人个人信息。显然该面部识别公司严重违反了国家规定，并对250多万人造成了难以弥补的损失，导致个人信息数据不受限制地被访问。

在现如今网络发达的大环境下，使用人脸识别就一定会产生特征数据库，储存在计算机内就会转换为代码。而代码则面临着被截获、被重放、被重构等风险，那么用户将面临着信息泄露的风险，一旦信息泄露，其后果将不可挽回。毕竟人脸信息属于生物数据，是不可再生的，具有唯一陛。

2.2信息售卖

据媒体调查发现，网络商城中有商家私下售卖人脸数据照片，其数量高达17万条，8元即可购买3万张人脸照片。这些售卖的“人脸数据”包含多人的肖像，每个人约有50到100张照片，同时还配有一份数据文件，文件中甚至包含人脸的位置信息，人脸的106处关键点以及五官等的外形轮廓信息。部分商家表示，这些售卖的照片大部分并没有取得本人同意。显然，大多数当事人也不知道自己的人脸信息已被不法商家售卖出去。

用户对个人信息售卖不知情一方面是因为不法人员利用不法手段，剥夺个人的选择权和知情权，据现行刑法规定：不经同意而非法获取，或者将合法取得的个人信息出售给第三方，此类行为均涉嫌构成侵犯公民个人信息罪;另一方面是因为用户自身的不注重，不关注各项应用使用前的“授权同意条款”，现如今直接点击同意已成为社会常态。

2.3信息歧视

歧视意为不平等看待，信息歧视即为对收集的信息进行不同等级的分类，并对此贴上相应的标签。针对人脸识别技术，信息判定方法大多都是相对而言的，没有绝对的标准。

信息歧视不仅出现在教育方面，也存在于求职、交友、工作等方面。在教育方面，各学校前赴后继地在教室安装摄像头，瑞典一学校甚至对某班级试点使用人脸识别技术，收集学生课堂面部特征，以此进行学生学习行为分析、班级课堂专注度偏离分析、课堂互动和教学行为分析、课堂出勤记录等。在求职方面，美国伊利诺伊州在2020年1月1日将正式推行人工智能视频面试法案（Artificial Intelligence Video Interview Act），雇主在应聘者知情且同意的条件下，可基于强大的数据分析处理技术，对应聘者人脸图像进行实时分析，进而评价应聘者的性格、情绪、心理状态、能力，以协助雇主做出“标准化”决策。

这种方式一定程度上可以帮助使用者做出判断，但在一定程度上也侵犯了公民的个人隐私，且同一面部特征表达的意思不是绝对的固定，而人脸识别技术算法设计是固定的，导致其存在一定的数据偏差和算法歧视，加速社会现有不平等现象的产生。

3管理现状

人脸识别作为AI发展中一项创新的技术，主要作用为人脸识别和身份验证，广泛出现在社会多个领域的应用场景中，其发展实质为简化业务步骤、丰富人们娱乐生活、加强隐私安全保障。但任何事物的发展均有两面性，人脸识别技术亦如此，在发展过程中出现了信息泄露、信息售卖、信息歧视等问题。针对这些问题的管理现状，本文将从国家、社会、个人三个层面进行探讨。

3.1国家层面的法律规范

在信息安全管理上，国家制定相关法律法规以保障用户的权益。2019年，国家互联网信息办公室发布了《数据安全管理办法（征求意见稿）》，向社会公开征求意见，明确了个人信息和重要数据的收集、处理、使用和安全监督管理的相关标准和规范。在此基础上，进一步制定了专门的数据安全法、个人信息保护法。目前我国已出台相关法律以规范人脸识别技术的使用。

此外，其他国家针对人脸识别也出台相关法律条例，如欧盟地区出台数据保护法《通用数据保护条例》（‘GDPR），其规定面部图像构成特殊类型个人数据下的“生物识别数据”，相较于一般个人数据应受制于更高的保护要求。美国华盛顿州发布的众议院1493号法案（H.B.1493）对出于商业目的获取个人生物识别数据的行为确立了通知和同意规则。

在2019年，全球范围内因人脸识别技术涉及法律的案件就有多起：我国AI换脸软件ZAO因涉嫌侵犯用户隐私被工信部约谈整改;Facebook因人脸识别功能面临着高达350亿美元的集体索赔;瑞典数据保护机构对当地一所学校使用人脸识别技术分析学生上课情况开出20万瑞典克朗（约人民币14.6万元）的罚单等。

3.2社会层面的伦理道德

自人脸识别技术逐渐暴露出问题，社会才开始注意到信息保护的重要性。人脸信息相较于密码具有不可复制性和唯一性，是一种生物数据，因而信息一旦被泄露、售卖将会给用户带来无法挽回的损失。目前社会大部分企业、商家在应用人脸识别技术之前都会遵循“告知与选择”的原则，即用户在被企业收集个人信息时享有告知权和选择权。企业向用户告知产品服务及相关隐私政策，用户选择是否使用该产品或服务。同时信息采集和使用普遍遵循“合法、正当、必要”的原则，即在遵守国家信息安全相关法律的基础上，以正当的方式收集所需的信息以实现企业产品的功能，在保护个人隐私的同时维护数据安全。

3.3自身层面的意识领悟

人脸识别技术在不同领域创新应用于产品与服务。人们作为这些产品和服务的用户，根据企业告知的相关隐私政策，有权利做出是否同意企业收集和使用个人信息的选择。在自身权益受到损害时，小部分“强者”有能力有想法去保护自己，依据国家相关法律法规获得相应的补偿。正如11月发生的“中国人脸识别第一案”，浙江理工大学特聘副教授郭兵起诉杭州野生动物世界违反《消费者权益保护法》的第29条规定。然而社会上大多数人面对这种情况要么沉默、要么无视，自身信息安全意识十分薄弱。上述案件在被法院正式受理的同时引起了社会的广大关注，促使更多人领悟到信息安全保护的重要性，尤其是人脸这一极为特殊敏感的信息。

4管理障碍

4.1信息保护浅易

首先是国家层面目前制定的法律法规较为浅显，已出台的法律基本是针对数据安全、消费者权益保护以及网络安全等方面，还未制定出与人脸信息安全管理配套的法律法规。且人脸识别技术属于创新型科技应用，尚处于发展上升期，因而导致目前人脸信息安全保護界限不明确，使用边界准则制定不规范。

其次是社会各企业商家制定的信息保护准则较为浅显，大部分服务和产品的使用建立在人脸识别的应用上，仅为推广人脸识别技术、吸引用户和提升行业竞争能力，却未能尊重用户自身的选择，在进行信息采集和使用时也未遵循最小必要原则和风险评估原则。

最后是自身层面的安全意识较为浅显，社会上像“中国人脸识别第一案”中的浙江理工大学特聘副教授郭兵这样熟知法律和懂得维权的“强者”仅占小部分，大部分是“弱者”和“无知者”，他们对自身信息受到损害没有能力也没有想法去做任何抵抗，甚至对信息受损处于不知情的状态。

4.2发展受限

人脸识别受限于技术的发展现状、原始数据的偏差、大众自身的偏见等因素。目前人脸识别技术包括人体面部图像采集、人体面部特征提取、主成分分析、面部三维建模及模型对比。其在提取面部特征的过程中易受人脸的角度、光照、表情、年龄、化妆、遮挡、图片质量等变化的影响，因而同一个人在不同的状态识别出的人脸图像具有很大差异，进而无法与原始采集信息保持一致性，造成前后数据的偏差。其次，人脸识别技术是基于大量人脸信息的统计归类进行标签化处理，从而依据识别的人脸信息做出“大众化”的判断。即人脸识别后的结果相对符合大部分人的行为信息，并非绝对符合。其标签化的判断方式在一定程度上增加了歧视性决策的风险，加速社会的不平等。

4.3人脸识别简易

人脸信息相较于指纹、掌纹、虹膜、静脉、视网膜等生物信息获取更简易，它是唯一在用户未察觉的情况下就可以采集到的信息，其他生物信息均需要用户的主动配合。因而随着摄像技术的提升，人脸信息在远处即可轻易获取并识别，同时伴随“刷脸支付”的广泛应用，人脸作为“行走的密码”给不法分子提供了捷径，或将进一步助长不法分子财产盗窃和信息售卖等不良行为。

5管理趋势

5.1法律环境规范化

由于人脸信息的特殊唯一性，国家更应制定出严格的法律标准以保护人脸信息的安全。正如欧盟地区出台的数据保护法《通用数据保护条例》（‘GDPR）中规定面部图像构成特殊类型个人数据下的“生物识别数据”，相较于一般个人数据应受制于更高的保护要求。人脸识别技术作为人工智能发展中的一项创新型技术，在我国目前正处于发展上升阶段，因而我国更应创造出规范化、公开透明化的法律环境、建立健全信息监管机制以便人脸识别技术的良好发展，从而打造更好的服务型、便利型、移动型社会。

例如扩大信息监管范围，将人脸信息依法纳入隐私法范畴的个人敏感信息，国家应对各企业信息管理系统进行监控，加大信息监管力度以保护个人信息。同时用户还应享有个人信息的删除权、更正权、控制权和注销权，人脸识别技术使用的选择权和退出权。

5.2管理原则具体化

针对社会上日益显著的信息安全管理问题，企业与商家在推广人脸识别技术应用时，更应加强社会责任感，合法采集、使用人脸信息以保障用户信息安全。其主要应奉行三大原则：告知与选择原则、最小必要原则、风险评估原则。告知与选择原则是最基本的原则，即企业应告知相关产品服务涉及的个人隐私情况，且企业提供的选择为平等关系下的选择，用户选择与否都不会影响产品服务的正常使用。最小必要原则即为在满足产品服务功能可正常体现的条件下采集用户信息频率最小化，确实保障用户信息安全。风险评估原则是最重要的原则，在信息的采集和使用方面企业应制定出相应的隐私政策，为用户的信息“买上保险”和制定解决方案。

5.3个人主导地位强化

“你永远也叫不醒一个装睡的人”，这句话同样可应用于自身防范意识的程度上。当我们拥有了法律这个锋利的“武器”和社会这个坚固的“铠甲”，是不是就不会面临信息泄露、信息售卖、信息歧视等风险？答案显然是否，人的主动性始终占领主导地位。唯有自身防范意识加强，强化自身主导地位才可能成为“中国人脸识别第一案”中郭兵教授这样的“强者”，懂得拿起“武器”去抵抗风险、维护自身权益。

5.4区块链助力网络信任化

区块链技术去中心化的特点可以用来保护用户隐私、安全，增加系统安全性。在传统中心化网络系统中，黑客对一个中心节点进行攻击便能够摧毁整个网络，从而窃取用户信息。而在去中心化的区块链网络中，无中心节点可攻击。因而将区块链技术应用在监管科技领域可有助于降低信息泄露、售卖等的风险，推进网络信任化机制的构建、打造网络可信身份生态环境，为“弱者”织起可信任化的“外衣”。

5.5螺旋式全方位管理

人臉识别技术的创新应用在给社会发展带来变革的同时暴露出信息安全方面的问题。针对此，边发展边治理的螺旋式管理思路符合创新规律和人类社会发展需要。即在人脸识别技术发展的同时，国家适时制定相应的法规进行精细化管理以规范社会发展环境;企业适时更新隐私保护准则弱化风险;个人适时关注自身权益是否受损并及时维护。总而言之，国家、社会、个人不断调整管理信息措施，并根据发展趋势进行更新完善。

6总结与展望

在互联网、大数据、人工智能快速发展的条件下，信息愈加公开透明化、共享即时化，因而导致人脸识别更易面临信息泄露、售卖、伪造和歧视的风险，迫使人们在网络这个大环境下“裸奔”。针对这些问题，国家、企业、个人更应采取相符合的措施来保障信息安全，国家在制定法律法规规范企业人脸信息采集和使用、保障个人信息不被滥用的基础上，严管信息安全问题、加大执法力度、为“裸奔”在大环境下的“弱者”铸造武器;企业遵循合法、正当、必要的原则应用人脸识别技术，在保障个人信息安全的前提下提高企业服务能力和竞争能力，为用户打造坚固的“铠甲”、修筑信息安全防护线;个人加强法律维权意识，懂得有法可循、有理可依，争做人工智能发展新时代的“强者”。

斯蒂芬·霍金教授曾警告说，人工智能将被证明“要么是发生在人类身上的最好事情，要么就是最糟糕的事情。”㈣人脸识别技术即是如此，随着科技的发展，人脸的使用价值将进一步开发、应用领域将进一步拓展，国家、企业、个人应采取边发展边治理的螺旋式治理方式，紧跟科技时代发展脚步，将人脸识别技术发展为应用在人类身上的最好技术之一。