人脸识别技术滥用问题及治理对策
2021-11-06浙江公安科技研究所朱晓瑜赵静岚
■文/浙江公安科技研究所 朱晓瑜 赵静岚
关键字:人脸识别技术 技术滥用 治理
1 引言
随着人工智能的快速发展和计算机视觉技术的不断突破,人脸识别技术已完成商业化落地,应用场景渗透到安防、金融、消费、生活、教育等各个领域,在给人们提供了高效的生活工作方式和便捷使用体验的同时,人脸识别技术也给个人隐私保护带来巨大挑战。据《人脸识别应用公众调研报告(2020)》显示,六成受访者认为人脸识别技术有被滥用的趋势。当前,公安机关及有关部门需要彻底厘清人脸识别技术的滥用风险,梳理相关法律法规,引导规范使用人脸识别技术,建立相应治理机制。
2 人脸识别技术应用优势
人脸识别技术作为主流身份识别技术,具有以下的特点和优势:一是无接触、无感知。用户只需出现在摄像可视范围内就能应用,杜绝了使用接触感应设备带来的风险和麻烦,譬如疫情期间大量使用的无接触式人脸识别配合热成像自动测温设备,为疫情的精准防控发挥了重要作用。同时,很多人脸识别设备与普通摄像机外形相似,多数用户以为其是普通摄像机,习以为常,因此也具有隐蔽性。二是算法先进、速度快。近年来,99%以上人脸识别系统的误报率只有千万分之一,不断升级的人脸识别技术在蒙面、光源昏暗、面部多角度变化等复杂场景下,识别精度也可以远超人的肉眼水平。在一帧图像中同时采集多张人脸进行比对具有更高的识别速率,可以缩短采集时间,实现多人快速认证。三是高度开放共享。开放共享可以促进人脸识别技术的快速发展。大量研究人员、企业提供了人脸识别算法和系统深度学习框架的开源代码和软件,技术的共享、算法的开放加速了成果的转化,带动越来越多的中小企业加入到人脸识别的应用行业中,构建了多元合作的人脸识别技术生态体系。四是需求旺、应用广。市场对身份认证技术的需求旺盛,各行各业对安全、可靠、方便的身份认证技术的需求不断扩大,大量应用场景涉及身份认证,为身份认证提供了更多便利和多样化需求,特别是在复杂场景下身份的认证应用,推动了人脸识别技术大规模普及应用。
目前,人脸识别技术在我国大量应用场景已落地应用,从金融、安防领域拓展至消费、生活、医疗、交通、学校、社区、企业等多个领域。常见的应用包括:在警务工作方面,人脸识别技术在服务人口管理、案件侦破等公安实战应用方面提供了打击防范违法犯罪的新手段和核查身份的新模式;在智能门禁方面,通过在出入口、闸机处部署人脸识别认证系统,实现自动通行、无人值守,可以提高检查核验的通行效率和准确性;在金融应用方面,通过使用人脸识别技术,可以确定客户身份,提升业务办结效率,减轻银行运营负担,有效防控风险;在移动支付方面,通过开通支付软件的刷脸功能,可在不输入密码、不携带设备,仅凭刷脸方式验证即可实现付款,使用户获得良好消费体验,提升交易效率;在医疗服务行业,通过人脸识别对“票贩子”等进行“黑名单”预警,有效打击了医院“黄牛”,缓解了就医难问题。
3 人脸识别技术滥用情况
人脸数据作为身份信息具有不可更改的特点,一旦泄露后,不法分子可借助深度伪造技术实现个人身份篡改、个人信息伪造、人脸画面自动生成,伪造的视频真假难辨。当前,基于人脸的身份认证可以通过人脸伪造技术被绕过,视频及图片中的人脸也可以由人脸伪造技术形成,对人身、财产安全以及社会生活带来严重的风险隐患,同时对视频举证、新闻传播的真实性带来一定的挑战。当前,人脸识别技术滥用情况,可以归纳为以下四类:
3.1 非授权滥用
随着人脸识别技术和大数据技术应用的普及,在用户不知情的情况下全量收集人脸数据比对处理,满足商业应用。据2021年央视“3.15”晚会报道,某卫浴门店安装的具有人脸识别功能的摄像头,可以在客户毫不知情的情况下抓取人脸数据,用于分析客户的访问记录从而实现精准营销。又如前段时间曝光的房产公司为了区分售房渠道,识别客户是否属于首次到访享受优惠等目的,对到访客户进行人脸识别,实现给中介利润分成和销售优惠等措施。这些人脸识别都是在客户未知及非授权情况下实施的,属于非法获取个人信息数据,侵害了他人隐私权。
3.2 低安全滥用
从数据全生命周期角度而言,人脸识别技术应用包含人脸采集、传输、存储、使用、销毁多个环节,每个环节都有可能出现数据泄露。由于应用人脸识别技术的企业安全防范能力参差不齐,部分企业数据保护意识不强,无法做到人脸数据全生命周期的安全防护。例如,在“智慧安防小区”建设中,由于建设主体复杂,有些物业公司为节约成本,直接将人脸数据保存在互联网服务器上,而且缺乏安全管理和安全防护措施,黑客可以轻易获取人脸数据。还有内部管理混乱的问题,管理者可以轻易将掌握的人脸识别全量数据导出后拿到社会上交易。
3.3 超伦理滥用
人脸识别技术与其他人工智能分析技术相结合,有可能会涉及道德伦理问题。例如,人脸识别技术与体态识别技术、面部表情识别技术相结合后可以识别并监测发呆、打瞌睡、玩手机等行为,个别学校通过该技术收集分析学生的诸如微表情、抬头率、行为姿态等,最后经统计分析得到学习效果指数、专注度指数、行为数据等,并将分析数据提交给老师和家长,对学生的人格尊严造成伤害。甚至有些人脸识别技术可以分析个人性取向,严重侵犯了个人隐私。
3.4 非必要滥用
为了博取眼球,有些单位在非必要场景应用人脸识别技术,存在着“杀鸡用牛刀”的情况。例如,一些地方推出“刷脸”垃圾桶、“刷脸”卫生纸设备,将采集的敏感数据应用于这样的场景,极易引起普通用户的不满。
4 人脸识别技术滥用原因分析
造成人脸识别技术滥用存在多方面原因,主要有以下几点:
4.1 法律体系不完善
我国现已颁布的《民法典》《网络安全法》《刑法》《数据安全法》等法律文件中的个人信息保护条款已经初步构建了具有我国特色、与我国信息化发展相适应的个人信息保护制度体系,但可操作性不强。新版国家标准《个人信息安全规范》对生物识别信息的收集、使用、存储等作了针对性的要求和建议,但其仅为推荐性国家标准,不具有强制效力。当前,我国暂时没有专门的法律来规范人脸数据的收集和使用,《个人信息保护法(草案)》已对人脸数据的处理和保护做出了较为完整的考虑,但尚未正式颁布。
4.2 信息安全保护职责不明确
虽然国家已有信息安全保护法律法规及标准体系,特别是安全等级保护体系,但缺少统一的实施管理机构,如工信部、网信办、公安部、国家工商总局、商务部、中国人民银行等部门,都承担着对组织和个人信息安全的监管职责,但却没有专门的执法部门进行统一管理。由于信息安全保护职责不明确,各个部门管理的范围不同、实施的标准不同,容易产生监管内容重叠、监管死角、追责投诉困难等,导致人脸识别技术滥用问题难以遏制,个人信息安全问题依然突出,法律法规难以发挥作用。
4.3 个人信息保护意识淡薄
个人对人脸数据的自我保护意识不强,知道被侵犯了,不知道去找谁维权或懒得维权。大量个人手机信息已被不良中介买卖了很多遍,导致每天都会接到各种推销贷款、房产的骚扰电话。另外,人脸数据采集方和用户地位不对等,用户在第一次安装某个APP时,往往不会认真阅读有关个人信息采集使用的“隐私授权协议”,但不点“同意”则无法继续安装也不能使用APP,导致用户“被迫同意”,变成“鱼肉”任人宰割。某些公司及相关经营者法律意识淡薄,以为数据在自己手上可以随意处置,想怎么使用就怎么使用,想卖给谁就卖给谁,进而造成了信息数据被滥用的乱象。
4.4 人脸识别技术低门槛
为促进人脸识别技术的发展,打破技术壁垒,大量企业提供了人脸识别算法、开源代码和软件接口,大大降低了技术应用的门槛和成本。开源代码的发布,虽然促使了人脸识别技术应用的创新和繁荣,但也意味着当前人脸识别软件的质量参差不齐,安全性存在巨大隐患。同时,一些企业由于受资金和人力限制,在安全方面投入较少,导致普遍缺乏与人脸识别能力相匹配的数据传输及数据存储的保护能力。
5 防范人脸识别技术滥用的对策
人脸数据的保护和对人脸识别技术监管已成为全球性问题,发达国家已制定许多规制措施。目前,最有代表性的应对策略有两类:一是禁止使用策略。比如美国旧金山、波士顿等城市,在尚未找到有效保护人脸数据绝对安全方法前,采取保守策略,禁止执法机构和其他政府部门使用人脸识别技术,美国波特兰市禁止企业在公共场所使用该技术,美国纽约州暂时禁止学校使用该技术。二是严格限制使用的策略。例如,美国联邦参议院提出的《商业面部识别隐私法案》、华盛顿州《人脸识别服务法》等,均要求按照合理使用信息原则对该技术使用的场景和方式进行限制。又如欧盟的《通用数据保护条例》(简称GDPR)规定,生物数据的处理应遵循“原则禁止,特殊例外”的原则,即除一些特殊情况外,诸如数据主体的同意,或者为了公共利益、科学研究、统计目的等,原则上禁止使用人脸识别技术。GDPR通过高额的罚单、严格的条款来保护用户人脸数据的收集和使用,从而实现对人脸识别技术的规制。
区别于欧美国家的严格限制或禁止策略,我们应该把握以下原则:一方面要积极鼓励人脸识别技术应用;另一方面也有严格限制人脸识别技术的滥用。按照“积极审慎应用,严格保护隐私”原则,促使人脸识别技术积极推动数字化改革,最大程度保护人脸数据安全,找到应用和保护这两者的平衡点,提出如下对策:
5.1 完善人脸数据保护的法律政策
扼制滥用风险的关键是完善相关监管制度和法律法规。首先,应从立法层面对人脸识别技术的使用加以规制,通过出台《个人信息保护法》《数据安全法》,明确人脸数据采集处理应当遵循的原则、个人在其过程中享有的权利、对滥用行为的制裁和惩罚、承担人脸数据保护职能的执法机构、人脸数据共享和流通的相关规则。同时,还必须给新技术的发展和数据的流动共享留有空间。其次,执法层应设立专门的监管机构,结合政府数字化转型的契机,对政府及非政府机构使用人脸数据在采集、传输、存储、使用和销毁进行全生命周期监督和管理,融入数字化改革大局。监管机构需广泛收集人脸识别滥用存在的问题,响应群众对违规收集个人信息的诉求,及时处理技术滥用的典型案例和突出问题。
5.2 不断发挥公安机关对滥用行为的监管职责
《网络安全法》赋予了公安机关网络安全保护和监督管理的职责。公安机关应针对相关企业网络安全意识淡薄,人脸数据过度采集,未按照网络安全等保标准建设人脸应用系统等现象,不断探索具体的实施细则,定期开展清理整治工作,指导督促企业加强信息安全管理,落实网络安全等保制度,对人脸设备厂商、人脸识别技术企业、“智慧安防小区”建设厂商等重点单位深入开展集中整治,聚焦人脸采集、数据存储、企业安全管理制度等关键环节,依法查处建设应用中存在的违法情形,规范人脸数据采集行为,增强数据安全防护能力,切实维护个人信息安全。此外,公安机关在“智慧安防小区”建设与应用中应注重保护人脸数据等个人敏感信息,按照数据分级分类管理模式严控人脸等涉及隐私数据的分析应用,完善平台信息查询权限配置和信息资料使用登记制度,加强日常信息安全、网络安全、传输安全、边界接入防护管理,定期开展等级保护工作,实现数据安全可控,数据流向可知,数据泄露可追溯。
5.3 提升行业自律和个人信息保护意识
一是掌握人脸识别技术的相关企业要慎重向购买者销售相关技术或产品。对有明确交互要求的人脸识别产品(如人脸门禁、支付识别等),一般被采集者都会知晓,会履行同意程序,风险相对较低。但对无需交互的人脸采集摄像机,不良商家往往不会履行告知同意程序,因此应该严格限制销售无需交互的人脸识别产品。二是不断加强公民个人信息保护意识的宣传。提醒引导用户在涉及到人脸数据提供时,应详细了解人脸采集的目的,收集处理者采用的数据安全保护技术、数据处理方法、数据存储时间等,在遇到个人权益被侵害时,应收集证据并向监管方求助,运用法律武器进行自我保护。三是建立相应的行业自律组织。实行行业自律监管机制,制定相关标准,推动相关行业建立和完善制度、规范和体系,建立统一的安全和责任底线,明确采集目的,遵守严格的知情同意原则,规范人脸数据传输、储存的加密方式和数据保存期限,使行业自律机制成为约束企业自身的人脸信息收集和使用行为的常态化监督管理手段。
5.4 不断创新数据安全保护技术
防止人脸识别技术的滥用,不仅需要加强法律手段监管,也需要技术上的创新。一是利用多方计算、同态加密和联邦计算等安全方式实现人脸数据完全加密,构建智能化的人脸识别应用框架,实现不提供人脸原始数据,只提供模型、摘要数据或结构化数据,使人脸数据可用、不可见、不可存,从而确保数据使用价值的同时实现人权独立,保护个人隐私,保证人脸数据安全。二是利用数字水印、区块链等数字内容溯源技术,构建人脸数据安全保护的可信体系,有力保障人脸数据内容真实、来源安全,防止人脸篡改和深度伪造技术不断发展对国家安全、个人安全带来的危害。三是从保护用户对个人信息的所有权、增强用户对个人信息的控制权角度出发,借助基于区块链的数据确权和共享解决方案,制定有关收集、存储和分发人脸数据的规则并写入智能合约,对数据产生、使用和销毁进行全生命周期跟踪管理,把人脸数据的所有权和控制权归还用户,降低个人信息的泄露风险、改变数据流通和共享方式。四是利用人脸信息匿名化技术,在非身份认证场合下应用人脸时对人脸数据实行去身份处理,匿名后的人脸保留了脸部属性、不可还原,平衡了隐私和人脸数据的可用性,对人脸数据进行有效分析的同时,又保证人脸对应的个人身份信息的安全。
6 结语
人脸识别技术是一把“双刃剑”,如何规范使用人脸识别技术,是大数据时代个人信息保护和数据安全的新课题。需要不断更新完善法律体系、不断研发信息保护技术,而法律法规和信息保护技术的更新常常落后于新技术的发展,因此,为让新技术继续造福社会、服务社会,需要多方面共同发力,加强个人信息保护的宣传工作,强化行业自律,制定自律公约,不断提高政府、行业的责任意识、规范意识,提高个人的信息保护意识,严密全生命周期的人脸数据保护工作,筑牢人脸识别技术滥用的防线。