聂阳欣

2019年8月31日，上海世界人工智能大会现场的人脸识别系统

2020年11月20日，国内第一起人脸识别商业化应用民事纠纷在杭州富阳区人民法院公开开庭宣判，原告浙江理工大学特聘副教授郭兵胜诉。

法院判决被告杭州野生动物世界赔偿郭兵合同利益损失及交通费共计1038元，删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息。

案子胜诉了，但郭兵表示不服。2019年10月，杭州野生动物世界强制将年卡用户的入园方式由指纹验证改为人脸识别，郭兵反对无效，也无法退卡，于是将杭州野生动物世界告上法庭。

除了维护自己的权益，他也想对动物园未经同意要求用户使用人脸识别的方式提出抗议。但法院驳回了他提出的“确认野生动物世界店堂告示、短信通知中相关内容无效”的诉讼请求。

过去几年，人脸识别技术往往以这样不容拒绝的姿态进驻我们的生活。

无需借助外物来证明“我是我”，超越人工的便捷，人脸识别应用让人清晰感知到身体主权，看到科幻照进现实的炫光。但如果将视线从浮光中移开，我们也必定看到阴影中的担忧，甚至恐慌。

担忧来自于两方面。人脸识别数据的传输、比对、存储发生在虚拟空间中，普通人见不到，也无力探究，怎样确保自己的信息数据是安全而保密的？其次，人脸识别在安防和监管的需要中发展起来，传达着“人被视为问题的来源，技术却被看作解决方法”的危险信号，技术与伦理，人和其他人的边界在哪里？

技术的浪潮汹涌而来，有人在被“淹没”前还想挣扎一下。除了郭兵，清华大学法学院教授劳东燕也在努力拒绝一些人脸识别装置。

行業内部的规范意识也在增强。2020年11月，由公安部第一研究所牵头，十余家单位共同参与编制的国家标准《信息安全技术 远程人脸识别系统技术要求》（下称《要求》）正式实施，对远程人脸识别系统中的前端可信环境、活体检测、服务端人脸库安全等关键环节制定了参考标准，标准主要起草人、公安部安全与警用电子产品质量检测中心副主任郑征表示：“《要求》仅仅是推荐性标准，还需要配套的标准规范，甚至相关法律法规的出台。”

当行业内外的人都在呼唤法律的时候，意味着人们已经强烈地感觉到人脸识别技术对隐私和安全的威胁，因为法律源于人的自卫本能。

我同意了吗？

郭兵在2019年10月17日收到杭州市野生动物园的短信：“园区年卡系统已升级为人脸识别入园，原指纹识别已取消，即日起，未注册人脸识别的用户将无法正常入园。”

郭兵感到莫名其妙，“怎么一点法律意识都没有？”他正好在研究《网络安全法》和《个人信息安全规范》，其中都提到用户个人信息的收集应当明示并取得同意、应当遵循“合法、正当、必要”的原则。他认为动物园强制让用户提交信息，注册人脸识别系统，既不正当，又非必要。

10月26日，郭兵前往动物园确认情况，工作人员再三告诉他只能使用人脸识别入园，他又询问动物园的人脸识别设备由哪一家公司提供，是否为政府旅游主管部门所要求的，对方答非所问，并表示相关情况涉及“商业机密”。杭州市野生动物园为国家4A级景区，接待来自全国的客人，客流量大，郭兵交涉时，看到门检员工直接拿着手机给游客“刷脸”，而不是用专门的设备，他对此更加抱有疑虑了。

几天后，北京市地铁和轨道交通指挥中心宣布，未来北京将建立地铁“白名单”及快速安检通道制度，并应用人脸识别技术，实现乘客分类安检。

“人脸识别”和“分类安检”这一组合立即引起了劳东燕的警惕，“地铁作为日常的、提供便利的交通工具，有很多其他的方式可以安检，为什么非要‘刷脸进行识别？分类安检的合理性与合法性也存疑，采取什么标准？哪些人会被划入敏感人群？有犯罪记录的、征信黑名单上的？如果被划入特殊对待的类型，该以什么方式来进行权利救济？”

2019年1月16日，在浙江省温州市鹿城区五马商业街，购物的市民通过“刷脸”完成支付

劳东燕认为地铁安检与高铁、航空或酒店住宿时的身份认证不同，“涉及的不只是身份认证的问题，还有对乘客人为进行分类的问题。尤其是，地铁这样的场景中，安全虽然是考虑的因素，但基于地铁的日常性与人流量的考虑，完全可以采取更为缓和但同样有效的安检措施。眼下一些城市的地铁，采用人物同检的做法完全能够达到要求。”她在个人公众号文章里写道，地铁要推行人脸识别前应征求公众意见，收集公民的生物特征识别数据，更要获得被收集人的明示同意。

2020年3月，在小区升级门禁系统，要求业主录入人脸信息时，劳东燕向物业和居委会写了一份法律意见，指出“不经同意收集人脸信息，属于非法获取公民个人信息的行为”。街道办联合居委会和物业试图劝服劳东燕同意，给出“便捷”“安全”等理由，劳东燕一一反驳，最后，大家达成妥协，在人脸识别以外，还可以用门禁卡等方式进入小区。

在一些没有强力反对者的小区和大学校园中，人脸识别的推行几乎是默认所有人都同意的，没有征求意见，没有问询，直接单方面通知录入人脸信息的方式和时间，如果不录入，则无法进入小区或宿舍楼。

2019年8月29日，上海世界人工智能大会，屏幕上展示的人脸识别技术

法度之眼

即使操作层面上还不规范，但人脸识別越来越多地出现在日常生活中，用于银行转账、手机解锁，甚至在自动贩卖机前买一瓶饮料。

雷震是中国科学院自动化所研究员，2005年开始研究人脸识别技术。他感觉到最近两年这项技术确实有被滥用的嫌疑。有一次，他在西安咸阳国际机场惊讶地发现，机场有一个“刷脸查航班”的装置，人站在电子屏前，屏幕上就会显示出查询者的航班信息，而这一装置就挂在机场航班信息屏幕旁边，过往的人都能知道自己乘坐哪一班飞机、目的地是哪里、几点起飞。

“初衷肯定是好的，更便捷了，但建设的时候得考虑大家希不希望自己的信息暴露在别人面前。”雷震称。

中科院自动化所自主研发的人脸识别系统在2005年开始投入使用，最早用于深圳罗湖口岸通关查验，2008年又出现在北京奥运会的安检系统中，这是国内最早两个运用人脸识别技术的实例。

但当时算法的识别率还不太理想。据雷震介绍，太阳光、灯光、摄像头架设的位置，都会对人脸识别的性能造成影响，中科院自动化所采用了近红外技术，在摄像头旁边加装近红外的发光二极管和可见光滤片，来解决光线对识别影响的问题。

2012年左右，深度学习（一种以人工神经网络为架构、对数据进行表征学习的算法）运用在计算机视觉之后，人脸识别技术得到跨越式发展，同年，“大数据时代”来临，用来训练算法的人脸图像易于收集，算法迭代快。经过深度学习后，用二代身份证与现场照片比对，算法的识别率达到百分之90至95。“身份证里的照片最初是用来鉴别身份证真伪的，没想过可以做这样人证合一的查验。”雷震说。

这之后人脸识别技术开始广泛运用于机场、高铁站、边境口岸，用于人证比对，另一个为人所熟知的用途是配合公安部门的“天眼系统”识别逃犯，例如去年引起较大关注的“北大弑母案”凶手吴谢宇与逃亡20年的杀人犯劳荣枝，均因此落网。这两类涉及公共安全，为公安部门主导，民众接受度高。

随着人脸识别技术触角的延伸，一些使用场景也引起了争议，2018年3月，浙江省杭州第11中学引入“智慧课堂行为管理系统”，用来检查学生的出勤率，对学生阅读、听讲、趴桌子等上课行为进行统计分析。2019年，杭州某小区用人脸识别技术破获一起高空抛物事件。上海实行垃圾分类后，出现智能垃圾房，能自动识别居民身份，奖惩积分。

2019年12月1日，北京同仁医院利用人脸识别系统发现院内有一名曾活跃在北京天坛医院的“号贩子”，工作人员前去驱逐时，发现他的确是来看病的，于是全程陪同，防止他贩卖号源。

在人脸识别技术的全程监控下，学生上课纪律变得更好，居民们垃圾分类做得更标准，医院号源倒卖的乱象得到有效整治，但人们不禁发出质疑：被时刻监管的童年会幸福吗？扔个垃圾而已有必要“刷脸”吗？“号贩子”看病的权利是不是被无形中限制了？

芝麻与西瓜

劳东燕不想向人脸识别技术带来的便捷妥协，并且认为这项技术根本无法带来它所许诺的安全：“要看你怎么选择，你随时生活在监控之下，所有的活动都被记录，这也会让人不安，说到底，人脸识别技术带来的好处是芝麻，而你失去的是西瓜。”

摆在面前的现实忧虑还有人脸数据泄露带来的风险。劳东燕介绍，人脸数据、基因、指纹、虹膜这些生物信息是不可更改的，“一旦泄露就是终身泄露”。其中，指纹、虹膜需要专门的设备读取，而人脸图像具有可视性，带来的后果不堪设想。

劳东燕担心：“拿到你的人脸图像，可以替换进淫秽视频里，或者用来开设账户，用于违法犯罪，造成的影响是不可挽回的。如果是淫秽视频，你的名誉权已经受损，怎么恢复？如果是违法事件，最后即使案件侦破，你可能也因此深陷刑事诉讼当中了，甚至你无法证明不是你犯的罪。”

更让她担忧的是，数据泄露的危害很大，但相应的保护措施却并不严格，也几乎没有企业或机构在收集人脸信息时，明确告诉被收集者，数据会存储在哪里、如何保护，而个人是否有权利以及可以通过什么方式删除自己的数据。

在与小区物业交流时，她询问人脸信息会如何保存，工作人员告诉她可以存放在物业的局域网，交给便民服务中心，或者交由公安部门保管——此时已有一些居民上传了人脸信息，但存储方式还未有定论。

“数据保护需要不断地升级、更新系统，需要成本，小区物业有什么动力去做呢？”劳东燕说，“物业管理人员或相关保卫部的人员都能接触到数据的话，很容易产生违法的个人数据买卖，这个传播链条会去到哪里，我们难以想象。”

技术人员对于安全性的问题看得更清楚。雷震所在的小区最近也安装了人脸识别门禁系统，但他还是选择用门禁卡，一是因为不知道小区会把人脸数据存储在哪里，二是担心小区会将人脸图像与其他信息相关联。

雷震解释：“如果只是泄露一张照片，相当于自己在社交场合，比如在QQ空间，微信朋友圈上，晒一晒自己的自拍照，问题不大。要命的是和身份证、手机号、家庭住址、银行卡号这些数据关联在一起，有可能你正好用到一个活体检测性能不是太好的人脸识别系统，其他人拿着打印下来的照片就通过了。”

雷震所担忧的安全性涉及到信息安全保护和活体检测两方面，活体检测即系统能否判断它面对的是真人，而不是照片、面具、视频等等。一些事例已经证明部分系统的活体检测不那么靠谱。2019年，杭州一群小学生用父母的照片成功从小区里的丰巢智能柜取出快递。

一些系统为了提高活体检测的准确性，会让检测主体做出“点头、摇头、眨眼、张嘴”等动作，但随即又产生了“照片活化”技术，只要有一张照片，就能生成包含这些动作的动态视频。在今年“净网2020”行动中，警方已破获两起通过这种方式骗过人脸识别装置实施犯罪的案件。

没有完美的技术

从技术层面来讲，活体检测技术和信息安全保护很早就得到了重视，也一直在升级。雷震所在团队于2009年参加了欧盟人脸防伪技术的项目，2015年，他们研发的活体检测方法在产品实验阶段成功抵御了六十多种攻击方式。

雷震介绍，攻击方式有很多，仅打印的照片就分喷墨打印、激光打印、A4纸打印、相片纸打印，成本更高的有塑料面具、3D面具等等，这些手段层出不穷，防范手段需要“魔高一尺，道高一丈”地改进。“這就好像病毒和杀毒软件的关系，杀毒软件再好，总有新的病毒出来，就得不断更新杀毒软件。”

2020年8月28日，福建福州，市民刷脸通过地铁闸机

2020年7日7日，山西太原一高考考点，考务人员运用“人脸识别”技术核验考生身份

这样的攻击与防范什么时候才有尽头呢？雷震的理解是：只有当假体攻击获得不了什么利益的时候，或者假体攻击越来越难、制作假体的成本变得很高时，才不会有人再想这些攻击手段了。“比如做一个假体可能要成千上万块钱，但做成之后只能骗过麦当劳的自助点餐机，没人会去干这样的事情。”

因此，雷震建议，在一些重要场景下，要把人脸识别作为一个辅助的而不是唯一的安全手段。例如在金融行业里，人脸识别往往配合密码使用。

公安部检测中心从2005年开始研究人脸识别产品的评测指标和方法，最初评测时没有成熟的技术标准和测试数据，主要针对人脸算法进行性能测试，一个产品识别率是多少，误识率是多少，给相关部门提供技术参考。

2015年，算法不断优化后，人脸识别被视为一种有效的核验身份的手段。国内众多人脸识别算法厂商开始在安防、通信、互联网金融、移动互联网等行业展开人脸识别应用的尝试。同年，中国人民银行发布通知，指出银行在提供个人银行开立服务时，有条件的可探索生物特征识别技术和其他有效的技术手段作为核验。

出于提高人脸识别系统安全性和规避潜在风险的考虑，公安部安全与警用电子产品质量检测中心牵头了《要求》的编制，从信息采集、存储、传输、防范假体攻击等角度，对系统安全性提出要求。中心副主任郑征谈到初衷时说：“我们想在技术发展的同时，让安全保护的工作跟上，如果没有标准去规范技术，一定会影响技术的使用，但如果一开始就禁止，后面的工作也没办法推动。标准一方面要保护人脸数据，一方面要促进人脸识别技术的应用。”

标准制定期间正是行业飞速发展的几年，草案前前后后改了十几版。“行业发展速度快，成员单位的意见很分散，一些企业会主动提出标准对于目前技术发展来说低了，一些企业认为达到标准的成本太高了，我们每年也会组织行业专家评审会，不同的专家对标准提出了不少意见，甚至质疑，这些都需要编制团队逐一响应。标准定得低了，起不到规范作用，但如果定太高了，大家都达不到，所以我们会有一个平衡。”

采用分级思想也是平衡的方式之一，标准依据使用场景的重要程度和对安全的需求程度，划分了基本级和增强级。基本级适用于有人值守的环境，快捷安全地提供人脸识别服务的情况，增强级适用于无人值守，安全准确地提供人脸识别服务的情况。

2020年11月1日，标准正式实施，但是作为一个推荐性标准而不是强制性标准。郑征向《南方人物周刊》称：“我们的标准是一个导向，企业从自身经济利益出发，可以选择符合，也可以选择不符合。但是对于个人信息的保护，仅有技术规范远远不够。如果数据存储方被动泄露人脸数据，不良企业违规共享甚至倒卖人脸数据，对个人产生重大影响，仅靠标准是解决不了的，必须有完善的标准体系，出台相关法律法规。”

以法律作为安全阀

用法律条款来规范人脸识别技术已成为很多国家的共识。2018年5月，欧盟出台《通用数据保护条例》，规定除公共安全需要的情形外，个人数据须征得本人明确同意才能使用。依据该条例，瑞典一所高中因使用人脸识别来监控学生出勤情况，被处以20万瑞典克朗（约合人民币14.8万元）的罚款。2019年5月，美国旧金山通过了全面禁止市政府使用面部识别技术的禁令。2020年6月，IBM、亚马逊、微软公司先后发表声明称，不会向警察部门出售人脸识别服务，除非美国未来出台相关法律能够有效管控和约束这项技术。

郭兵案件原本在2020年9月判决，法院以疑难复杂案件为由，延长了审理期限。案件的复杂之处在于，他起诉所依据的《消费者权益保护法》和《网络安全法》虽涉及个人信息保护，但没有针对指纹、人脸图像等生物识别信息作出明确规定，而郭兵在民事起诉状中引用的《信息安全技术 个人信息安全规范》，属于国家推荐性标准，而非强制性标准。

郭兵清楚，个人在这种情况下很难维权。他坚持起诉，是希望能够引起有关部门的重视，在立法中提高对生物识别信息的保护门槛，同时，明确这类案件可以由检察机关提起公益诉讼。

2020年10月21日，全国人大公布的《中华人民共和国个人信息保护法（草案）》（以下简称“草案”）在立法层面做出突破，将个人生物特征信息归为敏感个人信息，并规定了比普通的个人信息更为严格的处理规则，草案目前还在征求社会公众意见的环节。

劳东燕认为草案在保护个人信息安全方面取得诸多进步，但仍有可完善之处。例如，草案第65条规定“因个人信息处理活动侵害个人信息权益的，按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任”，劳东燕认为按照这一规定，个人将难以对侵权行为提起民事诉讼。

“首先我需要证明对方的违规行为对我造成了损失，如果没有损失，就等于我的法律权利被侵犯本身不会带来什么法律后果。其次，我得证明损失就是对方造成的，违规行为与损失之间有因果关系，如果证明不了，对方就不需要承担相应的法律责任。可是个人怎么有能力对科技公司进行取证？如果我的人脸数据给了足够多的企业，在各种场景下都使用，一旦泄露，我根本分不清是谁给我造成的损害，更难以证明我的损害与对方违规行为之间的因果关系。”劳东燕说。

草案第27条规定“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需”，劳东燕建议应当施加更为严格的限制，不能只要是满足目的正当的要求，就可以随意适用侵入性强的人脸识别技术，小区、学校、商场这类公共场所是否也能以“公共安全”为名，不经同意地收集个人信息呢？

她用核电站泄漏类比人脸信息的泄漏，二者带来的后果都是不可控制或难以恢复原状的，“不能等到出事之后再来保护或补救，得在前端进行严格把控才行。”