最近有报道说,一家位于美国加利福尼亚的
人工智能公司,用一个特制的3D面具,成功欺骗了包括支付宝和微信在内的诸多
人脸识别支付系统,完成了购物支付程序。这个团队还表示,他们用同样的方式甚至进入了中国的火车站。
看了这个报道,我默默拿出手机,关闭了支付宝上的刷脸功能。
比起支付宝这样可自行关闭的人脸识别商业服务,还有很多“公共服务”,你可能既无法删除,也没有替代选项。
不久前,北京地铁宣布引进人脸识别技术,清华劳东燕教授严词批评,她在微信推文《人脸识别技术运用中的法律隐忧》中指出,全国人大应对人脸识别技术做合法性审查,“对于随意运用人脸识别技术的做法进行法律上的规制”。我的一位技术极客朋友评论此文,“无论于法律还是道德都质疑得有理有据”。
最近出版回忆录《永久证据》的史诺登(Edward Snowden)如此评论人脸识别技术:“人脸识别将是人类社会的最大威胁。”
人脸识别是欧美国家当前的隐私权争议重心。这项技术现在也已悄悄进入我们的生活空间。昨天的温州都市报,报道了温州有一些小区门禁系统升级为“人脸识别”,引起人们对可能泄露隐私的担忧。
人脸识别属于“高度连结个人的敏感资讯”,易得性及扩散性高,一旦滥用的威胁性也更高,如何保障个人隐私不受监控、不受企业利益侵害,将是我们追求技术进步的同时,不得不追问的选择题。
事不宜迟,让我们关注事关每个人的“面子问题”:
一、人脸识别背后藏有哪些风险?
当下,从网络支付到安防、金融等领域都在引入人脸识别,在“刷脸”过程中,用户的姓名、性别、年龄、职业,甚至用户在不同情境状态下的情绪等大量信息都被采集并储存。这些信息如果得不到妥善保管而被泄露,用户个人隐私就处在“裸奔”状态。
正如清华大学劳东燕教授指出:
掌控数据的人有自己的私欲与弱点。他们会如何使用我们的个人数据,会如何操控我们的生活,都不得而知。更不要说,这些数据因保管不善而被泄露或是被黑客侵入,导致为不法分子利用所可能产生的危害结果。
今年以来,关于人脸识别技术的应用及安全和法律问题,引起舆论广泛的讨论和关注。
先是国内一家提供人脸检测与人群分析的科技公司,被发现人脸识别数据库未设密码保护,导致256万用户信息泄露。后是有商家在网络商城售卖人脸数据,数量达17万条,数据详尽程度令人发指:涵盖2000人肖像、人脸106处关键点,如眼睛、耳朵、鼻子、嘴等轮廓信息,甚至标注了性别、情绪、颜值等信息。
事实上,人脸识别带来的安全事件,就发生在我们身边。今年4月媒体报道,宁波有人报警称自己卡里1万多元钱不见了。案子破了,原来是室友趁其熟睡,通过手机人脸识别解锁,将账户中的钱转走。
中国裁判文书网也记录了一个案例:在一起抢劫案中,被害人说不记得密码,但行凶者利用被害人的身份证和具有人脸识别功能的支付软件强行修改了支付密码,取走大笔钱财。
南都个人信息保护研究中心上周四发布的《2019个人信息安全年度报告》指出,大约60-70%的受访者认为,人脸识别技术能使生活变得更安全更舒适,但他们同时也担心个人信息被窃取,并呼吁当局加强对个人信息的保护。
二、舆论漩涡中的人脸识别技术
技术发展一旦超越社会伦理规范,必会带来各种矛盾。最近有几件事,可说明人脸识别的爆炸性矛盾。
一是法国政府原计划在11月推广一项应用,以人脸识别建立国民数据身份,让民众得以享用网路报税等政府服务,借此“提升行政效率”。
此一措施引发在野党及民间团体强烈批评,认为此举违反欧盟GDPR(通用数据保护条例),且有政府监控的潜在威胁。评论说,假如在和平集会时使用人脸识别技术,相当于强制实名登记参与集会的人,这可能产生深远的“寒蝉效应”。
另一争议主角是亚马逊,这家年营收2,300亿美元的电子商务巨头,将人脸识别技术出售给移民和海关执法局(ICE)、边境巡逻队(CBP)等政府机构,强力争取五角大楼代号“绝地武士“的百亿美元肥约。引发数百名员工公开反弹。最极端的批评声音,已经把亚马逊与ICE的合作,和IBM与纳粹合作相提并论。
早在5月间,堪称硅谷发源地的旧金山,市议会就立法禁止公共部门利用人脸识别执法;9月中旬,加州州议会通过法案,3年内,全州警察的随身器材都不准应用脸部监控。
作为一座孵化出一批如雷贯耳互联网品牌的城市,同时也作为自由主义的堡垒,对于技术的破坏性一面,旧金山无疑比世界上其他城市要更早察觉到,而人脸识别技术已经被视为是最恐怖的技术之一。
以维护公共安全之名进行的人脸识别,在英国也遭到大规模抗议。针对今年早些时候,英国伦敦大都会区警察局在伦敦进行的人脸识别锁定犯罪嫌疑份子的试点试验,批评者认为,通过对过去逮捕记录进行预测,可能会加剧算法偏见。
甚至以监督学生名义所进行的人脸识别也被欧洲人视为非法。前不久,瑞典数据保护局(DPA)对Skelleftea市政府开出了20万瑞典克朗的罚单,理由是非法使用学生的敏感生物数据。Skelleftea市政府此前进行了一项实验,目的是监督当地两所高中的22名学生每天进入教室的时间。
简单说,人脸识别是一项尚未完全成熟,但对公民权益有重大影响的技术,却以“便利、安全、效率”之名,草率推广应用,又缺乏法律监管及伦理规范,因而带来滥用危机。
三、政府或企业如果滥用会怎样?
人脸识别技术近年来在中国获得了越来越广泛的应用。住宅小区、大学校园、宾馆酒店、公司企业、甚至健身房都使用人脸识别技术来控制人员出入。我居住的小区,今年6月份也开始采用人脸识别门禁。
人脸识别也日渐成为商业交易的一部分,越来越多的人在商店和超市用此技术付款。今年1月份,温州五马街成为全国首条
刷脸支付商业街。10月份,温州快速公交BRT一号线启用“刷脸支付”功能。
上海街头的“智慧信号灯”,会在行人闯红灯时,即时显示违规者的照片等个人信息;在一些中小学校,人脸识别技术正在自动判别学生在课堂上是否集中注意力,随时监控学生坐姿、举手、打哈欠等上课动态,借此评估学习成果;这类应用引发了非常大的争议,一些学校在巨大的社会压力之下暂停了试点;吊诡的是,学生家长却是教室人脸识别系统的最主要支持者。
越来越多的服务机构都要求消费者、被服务对象“交出人脸信息”,引发不少人的担忧:到处留下人脸信息,谁知道哪一天会不会被不轨之人偷去,行不轨之事?
不久前,杭州野生动物世界将年卡用户的入园方式,从指纹验证升级为"刷脸入园",被浙江理工大学法学副教授郭兵告上法庭。郭兵认为,面部生物特征属于个人敏感信息,一旦泄露或遭滥用,消费者的人身和财产安全将受威胁,动物园的单方面做法是在强制收集消费者的个人敏感信息。
此案被媒体称之为"人脸识别中国第一案"。身为法学副教授的郭兵,如果以违反合同为由提告动物园,将会有十足的胜算;但是,郭兵选择从个人信息保护角度入手,这将大大增加质证的难度,显示出了他借此打一场公益诉讼的目的。
新华社赞扬郭兵,"不惜时间和精力,对一个不合理的规定说不,无论结果如何,这都是个人信息保护领域的标志性事件,代表普通公民捍卫个人信息的决心;更宝贵的是,借由这场诉讼,机构组织收集个人信息的权限可以进一步厘清,为类似场景下人脸识别技术的应用划定边界,既是限制,也是保护。"
郭兵在接受《钱江晚报》采访时也表示,他一直对人脸识别技术的应用持保守态度,"公安等政府部门出于一定的公共利益考虑采集人脸信息我还可以接受,但是一家动物娱乐游乐场也能采集人脸信息,安全性、隐私性我都表示怀疑,万一信息泄露谁能负责?"
12月1日起实施的一项新法规,却似乎并没有引起人们的关注。这项新规要求,所有申办手机及网路的用户,必须提供人脸识别资料,与实名制相结合。未来,民众上网及打电话的资料都在运营商掌控中,手机信号加上现场监控影像,我们每一个人都将成为透明人。
我们为什么要对人脸资料的泄露和滥用心存警惕?因为,人脸识别不像其他隐私信息,可以藉由密码、匿名性、隐私选项、加密技术层层保护,脸部特征形同一种公开资料,当你走在街头、走进车站或学校、进出社区或饭店,就可能被记录,被储存,被分析比对,被资料拥有者私下交换。
史诺登形容,“一台装载AI 的智慧监控镜头,绝不是单纯的录影机,更像是一个机器警察。”
四、有没有办法兼顾便利性与隐私安全性?
隐私人权观念相对成熟的欧洲或美国,正警觉人脸识别的威胁性,并积极讨论如何监管规范,联合国人权组织也持续探讨。目前看来,至少有三个原则,可以降低人脸识别的风险,避免藏在便利性背后的伤害。
第一,底线原则。人脸识别技术应用的底线是,除了特定部门的执法活动之外,任何机构、企业和个人都无权通过人脸识别调查和追踪个人的私人生活。只有确定这一底线,才能从根本上消除普通人的疑惑,才能让人们安心于智能化生活。
第二,合规原则。无论政府或企业,必须让“搜集脸部资料”一事,受到充分规范与监管。欧盟GDPR已将人脸识别资料列入个人隐私保护,当务之急,我们 需要确立人脸识别技术应用的法律门槛,对人脸识别的具体应用制定详细、严格的法律规范和伦理规约,以确保人脸识别技术在全生命周期中得到安全和负责任的运用。强化搜集人脸信息过程的透明与问责,避免政府或民间滥用。
第三,知情原则。除了街道等不特定人进出的公共空间,任何特定场合(包括网路服务)搜集人脸识别资料,必须事先告知并取得同意。重要的是,必须让参与者理解脸部资料的重要性与风险性,知情权包括“谁拥有资料、如何应用资料、谁可能接触资料”;脸书擅自扫描并存取用户的人脸识别资料,遭美国裁罚50亿美元就是一例。
很难否认,人脸识别技术提供极大便利性,也有无穷应用潜力,然而,个人解锁手机是一回事,政府或企业大规模搜集脸部资料是另一回事。
当下,人脸识别技术及其数据使用还没有法律规范,使用方式也缺乏透明度。下次,当你遇到人脸识别的场景,不管是手机滤镜、超市、车站还是银行,也许是时候想一想,问一问:这些属于我的数据去了哪里,又将被如何使用?