一、种族运动迫使美国弃用人脸识别
近两年来,人脸识别技术引发的数据隐私问题一直备受公众讨伐。仅就2019年而言,全球范围内人脸识别技术使用相关的案件便层出不穷:瑞典数据保护机构(DPA)因当地一所高中使用人脸识别技术来记录学生出席情况开出金额20万瑞典克朗(约人民币14.6万元)的罚单;美国四个城市相继禁止政府部门使用人脸识别技术;微软公司疑似因隐私保护和授权瑕疵方面的原因删除了曾为全球最大的人脸识别数据库MS Celeb;Facebook因人脸识别功能或面临着可高达350亿美元的集体索赔;我国AI换脸软件ZAO因涉嫌侵犯隐私被工信部约谈整改...... 而近两个月,由于BLM运动的影响,人脸识别更是被推至风口浪尖,随着这项技术下沉到各个领域遍地开花,最终到达了一个需要法律深度介入的十字路口。
5月25日,非裔美国人乔治·弗洛伊德在明尼苏达州涉嫌使用假钞被捕,并被警察以压颈执法致死。事件引发美国社会以“BLM(Black Lives Matter,黑人的命也是命)”为口号的反种族歧视运动。亚马逊、苹果、微软和谷歌等科技公司也纷纷表态反对警察滥用职权,支持种族平等。随后,6 月 8 日, IBM 宣布将不再提供任何人脸识别和人脸分析软件——这是美国科技巨头第一次旗帜鲜明地放弃人脸识别业务;6 月 10 日,亚马逊宣布将会暂停向美国警方提供人脸识别服务,时间长达一年;微软也针对此表明了自己的立场:在有监管面部识别技术的联邦法律出台之前,该公司不会向警察部门出售这种技术。
在美国,IBM、亚马逊、微软等公司都曾不同程度的向美国执法机构交付过人脸识别工具,并颇让人诟病。早在2015年,就有黑人被谷歌的图像识别算法识别成了大猩猩。后来,针对这个问题,谷歌干脆在分类中删掉了“大猩猩”这个标签。而在2019年美国国家技术标准研究院发布的一份人脸识别算法的检测中,将近200种算法里,亚裔和非裔的人脸识别错误率比白人高10到100倍。而就在前不久,因为“最强马赛克修复AI”PLUSE把各个族裔的马赛克照片都修复的像白人面孔,连出来说明原因的图灵奖得主LeCun都遭受了舆论攻击。
图片源自:新闻“AI最强马赛克修图”
因此,尽管目前尚没有证据表明5月25日当天警察之所以执法过当,跟弗洛伊德曾有的犯罪记录或者警察是否使用了相应的AI工具有什么关联。但眼下Black Lives Matter的示威触发的一系列反应,让各大公司明显已感到名誉“危在旦夕”,或许还希望能够避免诉讼,于是作出“暂停向警方出售人脸识别技术”的决定。
除了科技公司主动宣布暂停人脸识别技术,美国政府也在考虑警察执法过程中运用这项技术的合理合法性。就在IBM宣布停止出售人脸识别技术的同一天,美国民主党人推出了改革警务的重磅法案,包括建立全国档案来记录警察的不当行为、禁止锁喉、强制使用行车记录仪和穿戴式摄像头。法案中还要求,穿戴式摄像头中不应安装任何实时人脸识别技术,但并未完全禁用这项技术。
6月24日,波士顿市议会以13票赞成、0票反对的结果通过了《波士顿禁止人脸监控技术条例》。条例规定,波士顿市的任何市政机关和公务员均不得获取、保留、拥有、使用人脸监控系统及通过此类系统获得的信息,而且不能通过与第三方合作绕过条例。违反条例规定获取的人脸监控数据将被视为违法数据,一经发现会被删除。市政府官员表示,波士顿警察局此前并未使用过该技术,但警局目前使用的一款名为BriefCam的视频分析软件,它的升级版确实有人脸识别功能。波士顿警方在市议会的工作会议上表示,他们不会注册这部分软件更新。此次条例通过,等于从源头掐灭该项技术在波士顿的使用。
目前,在禁用人脸识别的城市里,波士顿城市规模排第二,仅次于旧金山。去年,旧金山宣布禁用人脸识别的原因是出于隐私问题,民众不希望被监控,而这一次加上种族歧视问题,可想而知社会对人脸识别技术的接受度不会太高。
相形之下,国内对于人脸识别技术的发展成鼓励态度,科技企业在应用优先的环境中,人脸识别等一众新技术仍在野蛮生长。另一方面,民众对于个人隐私数据的保护意识,也已经开始觉醒。
二、国内疫情推进人脸识别,无数张“脸”期待整顿乱象
根据美国商务部2018年底的报告,排名全球前四的人脸算法技术均为中国公司持有。中国对这一技术的应用广泛而迅速,其应用规模世界第一,积累数据世界第一。
国内主要人脸识别技术提供商
目前,我国的人脸识别应用主要集中在安防和金融领域。根据国际调研机构Gen Market Insights 发布的数据显示,2018年全球人脸识别技术行业市场规模为 23.91 亿美元,到2025年底将达到71.7亿美元,在2018年至2025年期间将以平均26.8%的速度增长。中国人脸识别市场规模约占全球市场的15%左右。预计未来五年市场规模将保持 23% 的平均复合增长速度,到 2024 年市场规模将突破 100 亿元。随着人脸识别技术的普及,其在物流、零售、智慧城市、教育、地产等领域的应用也在逐渐扩大。
当前,人脸识别技术应用已经“飞入寻常百姓家”,为生活带来了不少便利,比如身份验证、刷脸支付等。此外,在失踪搜救、安保、侦破、反恐等领域也发挥了积极作用。如张学友的演唱会成了逃犯的梦魇、北大弑母案嫌犯在重庆江北机场被抓以及最新的劳荣枝案等,这其中都有人脸识别技术的功劳。包括最近被刷屏的冒名顶替上大学事件,山东省日前召开发布会介绍2020夏季高考工作情况表示,过去由于技术落后让不法分子钻了漏洞,今后为保障考生报名的真实性,会对入场考生实行人脸比对核验。
不过,尽管人脸识别技术具有多方面积极意义,但和美国一样,这项技术在运用过程中同样存在不少问题。比如据媒体报道,当前网络上存在着利用人脸识别技术漏洞牟利的灰色产业。一套人脸和身份证照片打包价2.5元,还有人在线传授照片刷脸技巧,经过操作,可以骗过部分手机App的活体认证环节,相关人脸认证涉及58同城、陌陌、世纪佳缘等多个应用。正因如此,公众对于人脸识别侵犯隐私、泄露个人信息,甚至威胁资金安全等表示担忧。一项研究发现,超七成民众对网络运营者的安全保障能力存有疑问,担心人脸信息遭泄露。
去年,一款名为“ZAO”的AI换脸软件在朋友圈刷屏。该APP的用户们用这个软件,轻松过了一把“当演员明星”的瘾。但很快,争议和质疑接踵而来。不少人表示,该软件涉嫌过度攫取用户授权,侵害用户个人隐私。此外,旷世科技的人脸识别技术进入课堂,监控学生上课状态也引发了不小争议。而最轰动的当属“国内人脸识别第一案”,消费者以不愿使用人脸识别入园为由,将杭州野生动物世界告上法庭,引起了大众对于个人隐私权的重视,也引起了人们对于相关技术法律监管的思考。
不过,到了2020年,公共卫生危机事件的爆发提高了人们对人脸识别技术的接受程度,许多原本应该进行的讨论戛然而止,人脸识别技术被当做“防疫利器”大力度推广。
除了机场火车站、景区、商场等需要进行非接触式管理的公共场所,甚至很多不必要的地方都开始“刷脸”。青岛市设立三座“AI智能化垃圾分类设备”,小区住户在分类垃圾投放之前,必须“刷脸”才能打开垃圾柜门;昆明市一家酒店推出“刷脸入住”系统,入住、选房、离店,皆可“刷脸”完成;鄂州市民政局启用人脸识别系统,可“刷脸”完成结婚登记;两会期间有全国委员建议,通过人脸识别技术实行未成年人登入网游时段、时长分级,防止青少年沉迷网络游戏……
人脸识别仿佛一把钥匙,可以开启我们通往无障碍时代的大门,但是如今一旦被迫用成习惯,很多人都忽视了这项技术曾经派生出的各种隐私问题。上个月,“国内人脸识别第一案”开庭再次刷屏了网络。目前尽管庭审结果暂未公布,但很多人认为,这个“国内第一案”终究来得太晚了,毕竟在各大APP推出“刷脸功能”、机场火车站“刷脸入站”、便利店推出“刷脸支付”的当下,我们所谓的“脸权”早已不由自己掌控。因此,在一方面用户面临对是否“刷脸”无从选择、另一方面数据隐私保护问题取决于企业道德水平的行业潜规则下,是时候倒逼政府出台相关法律并加强监管了。
身处大数据时代,我们深知个人信息早已超出了姓名、年龄、职业等基本内容的传统范畴,人的脸部特征作为重要的数据信息,一定是会被广泛应用的。这是趋势,谁也阻挡不了。那么,在大数据AI潮流之下,相关部门有责任和义务作出行动让个人免于信息泄露的恐惧。一方面,个人信息保护的相关法律要尽快完善,确保数据采集相关机构坚持包括面部特征在内的个人信息“收集要授权、使用有界限、存储应保护”的基本原则。另一方面,推广使用包括面部识别的技术时,一定要科学论证它的“必要性”和“唯一性”,要尊重个人选择的权利,确保“刷脸”技术不被滥用。
三、我国人脸识别立法该走向何方?
相较于欧盟保护人脸识别数据的核心法律《通用数据保护法规》(General Data Protection Regulation, 简称“GDPR”),以及美国各州市的独立立法,目前我国没有在人脸识别领域进行专门性的立法,只有极少数法律条文适用公民的个人信息的保护:
1、《网络安全法》第四十一条
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
2、《民法典》(2021年1月1日正式施行)第一千零三十五条
收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,并应当符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(二)公开收集、处理信息的规则;(三)明示收集、处理信息的目的、方式和范围;(四)不违反法律、行政法规的规定和双方的约定。
除此之外,《网络安全法》明确将个人生物识别信息纳入个人信息范围,《个人信息安全规范》则规定,收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得个人信息主体的明示同意。同时在企业个人信息保护政策中,对这类敏感信息应当着重突出显示,提醒用户注意。
不过,这些法律条文缺乏对信息的使用、存储、运输、管理的进一步细化。很多人就此呼吁,相关部门应组织专家学者,对人脸识别技术在现实运用中的安全隐患、隐私风险等予以评估,建立行业标准和国家标准;探讨相应监管制度甚至立法,规范人脸识别的信息采集与运用程序、隐私边界。比如,哪些领域可运用人脸识别、哪些不能运用,该如何保障公众的知情权、选择权、同意权与信息安全,若有信息泄露如何惩处与应对。
参考国外立法,在未来,我国大概率会选择如下立法模式:1、允许商用和执法适用,明确知情权、同意权和消除权等权利;2、只允许政府在管理中使用,不允许商业性使用人脸识别;3、除特殊情形,常规政府管理和商用场景均禁止使用人脸识别技术。
上述三种立法模式,技术企业的商业空间逐渐递减。这在国外的诸多立法中均可以看到。美国旧金山、奥克兰、萨默维尔等市,开始禁止城市政府官员以及执法部门使用人脸识别技术。2020年初,欧盟发布了《欧盟人工智能白皮书》,其中也明确提出在3-5年内禁止人脸识别技术应用于公共场所,以评估该技术风险。
很多人表示,如此严格的立法会阻碍科技和商业发展。诚然,在欧美国家,立法对商业模式的影响还将长期存在。美国伊利诺伊州的《生物信息隐私法》一直困扰着那些推销语音助手、门铃摄像头、照片标签等技术公司;至于欧盟,《通用数据保护条例》也让一些互联网巨头们急剧增加了数据合规成本。同样,我国不断健全的公民个人信息立法,也将开始重塑未来的全新商业模式。
今年两会期间,全国人大常委会工作报告在下一步主要工作安排中指出,今年将围绕国家安全和社会治理,制定个人信息保护法。消息一出,引发广泛热议。很多人认为,在人脸识别技术可能导致数据泄漏、制造黑色产业链的巨大隐患下,个人信息保护法顺应了老百姓对信息安全需求的呼声。
《个人信息保护法》将是我国第一部对于公民个人信息问题的专门立法,体现了我国对公民个人隐私保护的重视。该法律出台能够使个人隐私的保护真正落脚实处,使公民在维护个人隐私时有法可依。同时,该法律应当对当前社会各应用场景中面临的问题尽可能做出具体回应,例如人脸识别问题,小程序授权获取信息问题等,并给出相应的处理措施。
除了法律层面的完善,有专家建议,或许可以通过技术手段,让包括人脸识别数据在内的个人信息流转得到清晰可靠的追溯。比如强制要求个人信息的采集单位,将相关数据通过新型基础设施完成报备,包括信息的采集、加工、处理、流转、使用等等各个环节,以实现个人信息流程溯源和责任追踪。
搭载新基建的同时,在立法、执法层面,应完善对滥用人脸识别技术、导致人脸等个人信息泄露行为的惩罚规范并加大惩处力度,三方面共同作用,消除人脸识别技术误用、滥用的隐患,保护公民个人隐私、保障社会安全。相信到那个时候,我们每个人都将有权利,对所有并非以维护公共安全为目的的人脸识别应用说“不”。
编辑:文婧
校对:林亦霖