人臉,承載了重要的個人身份信息。技術的發(fā)展,則讓人臉成為了辨別個人身份的“重要數(shù)據(jù)”。各大手機廠商推出的新一代手機中,刷臉解鎖已經(jīng)替代了指紋解鎖,一些支付系統(tǒng)也都紛紛采用了人臉識別技術。目前,人臉識別無疑是人工智能浪潮中最火熱的、被廣泛應用的技術之一,為生活出行、社會治安等提供了便利。
刷臉是否安全
“刷臉”進門,“靠臉”吃飯。。.。。.在人臉識別技術日漸成熟的今天,這些曾經(jīng)的想象已經(jīng)無限接近于現(xiàn)實。根據(jù)前瞻行業(yè)研究院的預測,未來五年中國人臉識別整體市場將快速成長,實現(xiàn)多行業(yè)應用,預計到2021年中國人臉識別市場規(guī)模將突破50億元。
除了對隱私的擔憂,公眾對人臉識別技術另一方向的憂慮來自于技術本身的安全。此前,浙江小學生發(fā)現(xiàn)打印照片就能代替“刷臉”,騙過小區(qū)里的豐巢快遞柜的新聞,似乎正是其“不靠譜”的寫照。
與對隱私的擔憂相比,對“刷臉”技術本身安全性的憂慮卻有恐慌之嫌。實際上快遞柜能被照片蒙騙,主要是因為其中并未加入活體檢測技術,“如今連活體檢測都不用就敢‘放出來’的人臉識別技術應用相當罕見”。
從技術本身來看,目前人臉識別分為2D和3D兩種技術方案,以支付寶和微信的“刷臉支付”為例,兩者使用的都是3D人臉識別技術,會通過軟硬件結(jié)合的方法開展檢測,來判斷采集到的人臉是否為活體,可有效防范視頻、紙片等冒充。
不同場景,不同邊界
商業(yè)化場景:在滿足個人信息主體“知情同意”情形下,鑒于人臉信息蘊含著更高的信息安全風險以及潛在的更廣泛的信息內(nèi)涵,企業(yè)應當謹慎評估使用行為是否遵循“合法、正當、必要”原則,避免被質(zhì)疑“殺雞焉用宰牛刀”。
基于公共利益的應用場景:與傳統(tǒng)法學上對于肖像權的限制觀點相類似,基于社會公共利益所需的情形下,自然人就其人臉信息所享有的權利也得以在一定程度內(nèi)被限制。然而考慮到過度使用人臉識別技術可能對種族平等、言論自由可能帶來的威脅,一般認為在公共場所使用這一技術時,建議注意遵守授權原則、法律保留原則、比例原則等。
人臉識別技術應用的合規(guī)問題
①含人臉圖像的照片的性質(zhì)認定
《信息安全技術 個人信息安全規(guī)范》中,面部識別特征與個人基因、指紋、聲紋、掌紋、耳廓、虹膜等一并構成個人敏感信息下的“個人生物識別信息”,保護程度和相關的合規(guī)要求均較一般個人信息更高。今年6月,全國信息安全標準化技術委員會發(fā)布了《信息技術 安全技術 生物特征識別信息的保護要求(征求意見稿)》,其中對于生物特征識別數(shù)據(jù)的定義為“生物特征樣本、生物特征、生物特征模型、生物性質(zhì)、原始描述數(shù)據(jù)的生物識別特征,或上述數(shù)據(jù)的聚合”,而“人臉”被列為可據(jù)以對個體進行識別的生理特征之一。然而,對于承載人臉圖像的照片是否會被認定為個人敏感信息,我國目前尚未予以明確。
包含人臉圖像的照片在性質(zhì)上并非當然構成受到更高保護程度的生物識別信息/個人敏感信息,而是當經(jīng)由特定技術處理后能夠使其具有可識別個人身份的屬性時,才會受制于更高的合規(guī)要求。
②人臉識別技術的商業(yè)化使用
《網(wǎng)安法》要求網(wǎng)絡運營者收集、使用個人信息,應明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。將監(jiān)控設備基于安監(jiān)目的所收集的人臉圖像、影像信息進一步應用于商業(yè)化的精準廣告營銷,超出了消費者對于其個人信息使用的正常預期。
因此,企業(yè)因安全監(jiān)控等目的所獲知的人臉圖像、影像,如后續(xù)被用于其他商業(yè)目的,則需保障個人信息主體的知情、同意要求。此外,企業(yè)還需采取合理措施防止對該述信息的未經(jīng)授權訪問或獲取,并遵循保存時限合理必要的最小化要求。
③公共場所使用人臉識別技術的限制
一方面,政府基于建設智慧城市如在地鐵等公共交通樞紐場地安裝人臉識別裝置或基于行政執(zhí)法目的收集、使用人臉信息,是對公共安全的保障甚至能夠推動公共出行的便捷。另一方面,在日益增多的公共場所監(jiān)控場景中,個人無法拒絕對于人臉識別信息的獲取,也同時增加了個人信息被濫用的風險。
雖然上述為公權力使用場景,但其中所體現(xiàn)出的利益權衡對于在公共場所部署監(jiān)控設備的企業(yè)而言依然有一定的借鑒意義。企業(yè)在處理人臉識別信息時應當考慮行為的正當性和必要性,應積極制定并遵從敏感信息處理政策,以明示告知信息主體并取得信息主體的妥當授權,確保收集和處理該信息僅應以其業(yè)務目的之必要為限度,并在上線監(jiān)控技術之前對其可能對個人隱私造成的影響予以評估。
④人臉識別技術下的歧視問題
隨著我國對于個人信息處理的合法性、透明性要求日漸增強,企業(yè)在完全依靠自動化算法處理人臉識別信息并作出顯著影響個人信息主體權益的決定時,為了避免可能的算法歧視對自然人造成的影響,建議應:
(1)全面告知人臉識別信息的使用用途;
(2)AI自動算法的工作原理以及AI將使用何種特征來評估數(shù)據(jù)主體;
(3)就收集人臉識別信息以及后續(xù)的AI處理行為獲取數(shù)據(jù)主體同意;
(4)向個人信息主體提供申訴方法,以保障受影響的主體質(zhì)疑自動化決策所做結(jié)論的權利。
受限于技術發(fā)展現(xiàn)狀、原始數(shù)據(jù)的偏差、算法設計者自身的偏見,使用人臉識別算法通過標簽化的判斷方式增加了作出歧視性決策的風險,而這些風險絕大程度上將由本身已處于相對劣勢地位的人群承擔。在缺乏監(jiān)管、有效保障措施、透明度和問責機制的情形下,人臉識別算法的運用將加速現(xiàn)有的不平等現(xiàn)象。而令人擔憂的是,通過借助復雜晦澀的算法,歧視往往以一種不易察覺的方式進行。
我國法律對面部識別特征進行較為嚴格的保護
人臉識別帶來的便利不可忽視,然而技術的發(fā)展沒有邊界,但技術的使用必須有邊界,可這個邊界是模糊的。哪些場景可以應用,哪些領域可以擴展,均無明顯規(guī)范。因此,當其逾越了邊界,自然就產(chǎn)生了諸多爭議。
我國關于人像采集的法律法規(guī)主要集中于出入境管理、身份證辦理、刑事偵查、道路交通安全管理等法律法規(guī),公安機關等相關政府部門有權力強制采集數(shù)據(jù)主體的人像、指紋等生物識別信息。比如,《身份證法》第三條規(guī)定居民身份證登記的項目包括本人相片、指紋信息等。
除了法律對人像采集有強制性規(guī)定的場合之外,人臉識別正在被廣泛運用到火車站/飛機場的“刷臉進站”、學校的課堂監(jiān)控、企事業(yè)單位的“真人打卡”等公共管理領域,以及銀行等金融機構的身份驗證、支付寶等第三方支付的身份驗證、在線美顏和P圖等商業(yè)領域。上述行為是否符合《網(wǎng)絡安全法》及相關信息保護法律規(guī)范的要求值得思考。
其實,從人臉識別的技術來看,除了首次在數(shù)據(jù)庫中存儲的面部識別特征,在此后的面部識別中采集的面部特征可以僅用于校對,而不進行存儲。不收集或減少收集不必要的個人敏感信息也符合《網(wǎng)絡安全法》關于數(shù)據(jù)收集的“必要”原則,同時也可以減少數(shù)據(jù)泄露的安全風險。
結(jié)尾:
人臉信息,作為人體重要的生物信息,在技術發(fā)展的推動下,已經(jīng)應用到支付、娛樂、安防、教育等各個生活領域。技術是一把雙刃劍,人臉識別作為一項高新技術,人們在體驗其為生活帶來便利的同時,也不能忽視其帶來的信息安全、隱私泄露等問題,更不能對其帶來的法律風險視而不見。