滥用人脸识别:方便也是侵犯隐私 泄露信息
让机器向人倾斜,而不是相反。
作者|刘景峰
编辑|匹配问题
巧合的是,在过去的半个月里,与“脸”相关的技术被频繁搜索,“成功出圈”。
一、11月20日,备受关注的“中国首例人脸识别案”正式宣判,人脸信息收集者败诉。
本案的理由是,去年10月,杭州一家名为“动物世界”(以下简称“动物世界”)的动物园将入园方式由指纹识别改为人脸识别,一名对此不满的市民对“动物世界”提起诉讼。一审杭州富阳法院裁定“动物世界”采集面部信息不成立,要求其删除客户面部特征信息,并赔偿客户合同利益损失和运输费用1038元。
但是,拿起法律武器,经历漫长的诉讼,并不是大多数人的选择,所以我们也看到了以下神奇的时刻:
有些买家带着头盔去售楼处——。济南某售楼处部署了人脸识别装置,记录并区分中介带来的客户和自然拜访的客户。对于不同来源的客户,房地产开发商有不同的优惠方案。
一名男子戴着头盔看房的视频截图
还有94岁的人受不了,被捧在镜头前“刷脸”。上周末的一则热点新闻中,湖北广水一位94岁老人为了办理社保卡激活业务,不得不被亲戚朋友抬到银行进行人脸识别。
人脸识别已经成为公众舆论的焦点。这不仅是一个新的轨道,也是一个投资机会。像所有改变人类生活的新技术一样,它带来了新的社会命题——无处不在的数据采集分析技术,在带来便利的同时,也带来了侵犯隐私、信息泄露、人群歧视等隐患。
人脸识别作为第一个大规模传播的数字工具之一,是否正在被滥用?
1.谁在用?怎么用?
在回答人脸识别是否被滥用的问题之前,先来看看是谁在使用人脸识别,如何使用。
目前人脸识别用户主要有以下几类主体。
首先,政府机构有两种主要的使用场景:安全和智能政务;
安全方面,公安系统会利用人脸识别技术寻找罪犯和失踪人员;在智能政务方面,典型的应用是在网上办理政务时使用人脸识别来验证身份。
第二类是经营一些公共服务场所的企事业单位,包括车站、机场、医院、银行、学校等服务单位。例如,车站使用人脸识别来验证入境乘客信息,医院使用人脸识别来帮助患者注册,银行使用人脸识别来处理个人业务,学校公寓使用人脸识别门来防止陌生人进入。
第三类是民营商业公司。比如蚂蚁集团的子公司支付宝,在全国率先推出“刷脸支付”方式;杭州“动物世界”将入园方式改为“刷脸入园”;ArcSoft Technology推出智能商务VIP识别应用,通过人脸识别分析客户,从而提高销售转化率和客户留存率;而济南一个被热议的营业部,用人脸识别进行差异化营销。
从政府机构到企事业单位再到民营商业公司,人脸识别的用户是多样而广泛的。
另一个问题是,人脸识别是如何被使用的?这可能是比用户的差异性和多样性更能影响大众实际感受的部分。
可以说,在一些个别场景中,人脸识别的使用方式确实存在争议,缺乏合理性。
非理性的第一个表现就是不给选择。
比如,在开头提到的“华人面子诉讼第一案”中,“动物世界”公园将入园方式限定为“刷脸入园”,让一些对个人信息敏感的游客别无选择,引发诉讼;再比如湖北广水农业银行将社保卡激活业务的验证方式指定为“人脸识别”,导致94岁老人被带到银行刷脸验证。
非理性的第二种表现是缺乏节制。
比如2019年,人脸识别进入教室,中国药科大学就在部分教室使用人脸识别进行考勤和教室管理,学生们目瞪口呆,打起瞌睡来。“人脸识别”的考勤方式在学校似乎太激进了。
再比如,有报道称福州部分小区以安全为名安装人脸识别门禁,要求业主输入人脸信息,导致业主担心数据泄露。然而,这种情况在北京、合肥等地的一些社区已经出现。在信息安全得不到保障的情况下,在住宅物业中进行人脸识别访问控制是不够的。
合肥某小区采用人脸识别门禁
除了个案之外,我们还可以从覆盖范围更广的调查数据中窥见公众对人脸识别技术的态度和情绪。
今年10月,App专项治理工作组和南方都市报人工智能伦理研究组发布了一条《人脸识别应用公众调研报告(2020)》。报告显示,60%的受访者认为人脸识别技术有滥用倾向,30%的受访者表示因人脸信息的泄露和滥用而遭受隐私或财产损失。
《报告》总结了人脸识别技术应用的六个有争议的场景。结果显示,最让回答者无法接受的场景包括:商场使用人脸识别技术采集顾客行为和购买方式,高校使用人脸识别技术采集学生抬头率、微表情、上课姿势、变脸、美妆以及基于人脸图像分析的性格判断等。
《人脸识别应用公众调研报告(2020)》的统计数据
当人脸识别用于一些不必要的场景时,也会带来一系列的问题。除了对行动不便、接受新事物慢的老人不友好外,还有可能让整容医生认不出来的情况;另外,脸还是最容易暴露的密码,因为大多数人不会刻意屏蔽;最后,与数字密码不同,人脸等“人体密码”可以随便更改。一旦面部密码被盗,修改方法只能是整容。
其实人脸数据泄露的问题早就出现了。今年10月,央视新闻报道了一则新闻:在一些网上交易平台上,花2元钱就能买到上千张人脸照片,而5000多张人脸照片的价格还不到10元,5张人脸信息的价格只有1美分,单价只有2%。
2.改变的是武器,不变的是逐利
至于为什么人脸识别会被滥用,原因有以下几点。
第一,国内法律法规不完善。
事实上,目前中国有很多关于个人信息的法律法规。
《民法总则》第111条规定,任何组织或者个人需要获取他人个人信息的,应当依法获取并保障信息安全,不得非法收集、使用、处理或者传输他人个人信息,不得非法买卖、提供或者泄露他人个人信息。
《网络安全法》第41条规定,网络经营者收集和使用个人信息应当遵循合法、正当、必要的原则;第七十六条规定,个人信息包括但不限于自然人的姓名、出生日期、身份证号码、个人生物特征信息、地址、电话号码等。
《信息安全技术个人信息安全规范》,今年10月1日实施,规定在采集个人生物特征信息前,应当单独告知个人信息主体,并取得个人信息主体的明示同意;《规范》还明确规定了采集的人脸识别信息的采集、存储和使用。然而,这个《规范》只是一个推荐的标准,我
这意味着现有的法律法规只对“个人信息”进行了规范,对于更细分的“面子”信息,谁可以使用、如何使用并没有明确的规定。
在评论“人脸识别第一案”的结果时,笔者“浙江京衡律师事务所高级合伙人李迎春律师博士”之虎也表示,本案的判决也从“合同法”的角度认定“动物世界”违反了合同约定。
第二是市场的逐利性。这不是人脸识别技术本身的问题,而是经济法让——成为武器,不变的是逐利。
在法律不完善的情况下,一旦受到商业利益的驱使,人脸识别很容易越过侵犯隐私的边界。
比如今年9月,人脸识别头企业Defiance Technology就陷入了“交易用户隐私数据”的漩涡。原因是创新工场的李开复在一次演讲中说,创新工场曾经帮助忽略了从美图和蚂蚁金服(现更名为蚂蚁集团)获得的大量人脸数据。事后三方也回应并澄清了这一提法,但公众对人脸识别公司为改进产品或技术而购买和使用私人数据的关注和担忧并没有停止。
包括前面提到的“人脸识别进教室”事件,人脸识别系统的开发者就是蔑视技术。事件引起公众关注后,鄙视者发表声明回应,称是技术场景概念演示,忽略了教育领域的产品以校园安全为重点。
这一举动背后,不排除商业压力。当时鄙视成立7年,落地场景主要集中在安全、金融、IOT、零售等行业,但在商业化方面仍然面临压力。从2019年8月在香港交易所提交的财务报告中仍然可以看出。招股说明书中列出了过去三年半的运营数据:2016年、2017年、2018年和2019年上半年的净亏损分别为3.42亿英镑和750万英镑。
再者,在没有法律约束和商业压力的情况下,如果人脸识别被非法商业组织随意使用和买卖,后果将是对人身安全的极大威胁,会带来一系列的社会隐患。
这种情况其实是新技术出现时的普遍现象,因为法律很难规定新技术的应用才能做事。没有监管,竞争越自由,就越容易滥用新技术。
3.技术需要枷锁
一个越来越被广泛接受的共识是,新技术需要合理的标准化。
在App专项治理工作组的上述研究报告中,相对而言,受访者更能接受基于安全场景的人脸识别应用,如公安摄像头、红灯记录系统等。
这意味着公众在特定场景下,为了公共安全和便利,更愿意放弃自己的一部分隐私,而在商业服务和学习中对隐私侵犯的容忍度较低。
不能被食物噎死,也不能让问题滋长。关键是如何平衡管理和发布。
首先,要完善法律法规和行业规范。
先看看国外的做法。2019年5月,旧金山市监督委员会投票禁止使用人脸识别,成为美国和世界上第一个禁止人脸识别的城市。随后,亚马逊、微软等一些科技巨头开始停止人脸识别。
但是这种“一刀切”的方法不是主流方法。
新加坡其实是较早实施人脸识别的国家。新加坡作为“智慧城市”和“智慧国家”的推动者,不断推动新技术的应用,今年将人脸信息纳入电子国民身份证SingPass。然而,这种方法并没有受到公众的太多反对。原因之一是,2012年,政府颁布了《个人资料保护法例》 (PDPA)来保护个人数据安全。
2019年,欧洲也开始考虑对人脸识别等AI技术进行立法和标准化。比如瑞典某高中使用人脸识别系统记录学生的出勤率,瑞典数据监管机构因学校对学生个人信息的处理不符合欧盟《通用数据保护条例》规定,向学校发出20万瑞典克朗(约合14.8万元人民币)的罚款。
该条例第6条规定,除了公共安全的情况外,个人资料只能在个人明确同意的情况下使用。
在完善法律法规的同时,还要建立行业标准和行业自律。一些可行的指导方针可能包括:提供更多的替代方案,并积极探索其他商业识别和数字验证技术方案。
给予更多的选择意味着兼容新旧使用习惯。
比如银行办理业务查个人信息,除了人脸识别,还可以使用密码、身份证、指纹等。比如为了查看年卡的游客信息,公园景区可以选择用照片刷年卡,或者刷身份证或者指纹。说到底就是让客户自己选择更合适的认证方式。
此外,如果没有必要,应减少人脸等高度敏感信息的收集和使用,积极使用替代方案。
比如毫米波雷达也是一种避免隐私泄露的检测手段。因为雷达数据信息是完全匿名的。它的工作原理是发出无线电波(雷达波),然后接收回波,根据收发时差测量目标的位置数据。可用于野外安全、办公室和家庭场所的人员检测等。
甚至,由于法规遵从性需求,未来可能会出现更多新的业务机会:
第一,在数据采集端,对于不涉及隐私信息的传感器,可能会有一些新的传感器或者更多的应用;
第二,在数据的存储、传输、分析和交换方面,对信息安全和隐私安全的需求会增加,安全市场的规模会进一步扩大。从去年到今年受到资本关注的“隐私计算”就是一个例子;
三是政策导向带来的合规机遇。
技术既需要动力,也需要“枷锁”。
当这位94岁的老人被抱起来,向摄像机倾斜时,这项新技术违背了它被发明时的初衷。并没有让生活变得更简单更美好。机器不容纳人,人容纳机器。
但我们需要的是机器靠近人,而不是反过来。