编者按:本文来自界面新闻,作者:周伊雪,36氪经授权发布。
8月中旬的一天,住在北京昌平区回龙观某小区的王轶在业主群中收到了一则来自居委会的通知。
这则通知中写到,随着新冠疫情工作转入常态化,为了加强居家隔离人员管理,有效降低外来输入型病例传播风险,小区计划安装智慧社区门禁系统,需要居民通过手机APP或到居委会现场上传包括手机号码、身份证以及人脸照片等信息,办理新的出入权限。
王轶所在的业主群共有近500人,群内成员包括小区的业主和租户。这个群是在今年年初国内爆发新冠疫情后才由居委会建立的,平时的主要功能是传达疫情相关信息。
看到这则通知后,在互联网公司有过数据分析工作经历的王轶感到有些不安。他发现虽然通知中写到安装智慧社区门禁后可以使用人脸识别(也就是“刷脸”)或者手机APP两种方式来开门,但在办理权限时都必须要录入人脸照片。
他还注意到负责安装人脸识别门禁系统的第三方公司曾经曝出过负面信息,自然开始担忧个人信息尤其是人脸照片被收集后会如何存储和使用,以及是否会存在信息安全问题。
王轶和其他住户在业主群中提出了这些疑问,小区居委会的回应是,新的智慧门禁设备已经在公安备案,并且会与公安联网,试图以此打消居民的顾虑。但却一直未能出示相关文件证明。
除了个人信息安全方面的担忧外,业主们对于在小区安装人脸识别设备的必要性和实际中的可操作性也提出质疑。有住户问到,小区已经有一套刷卡的门禁系统,为什么还有搞人脸识别?并且,这套系统针对居住在该小区的居民,只采集小区居民的信息,那么快递员、外卖员进入小区是否需要刷脸呢?
与王轶的经历类似,12月中旬,在北京东二环嘉诚有树产业园上班的刘欢也被告知由于新冠疫情防控转入常态化,园区要安装新的人脸识别门禁系统。
在一场由设备安装方主办的说明会上,刘欢及其他人被告知,新系统需要采集在该园区上班的人的手机、身份证和人脸信息,系统投入使用后,他们可以且仅可以通过刷脸方式进入办公区。
当刘欢及其他在场的参会者提出,如何对收集的个人信息做保密管理,以及公司是否具备相关资质时。“设备方的人要么答非所问,要么几个人相互确认,说应该取得相应资质了会发过来。但直到现在,我们还没看到资质文件。”刘欢对界面新闻说。
王轶和刘欢的担忧并非少数个例。近年来,以深度学习为核心的人工智能技术飞速发展,其中国内以视觉识别技术最为成熟,应用落地最为广泛。出于商业前景考虑,无论是互联网大公司、传统安防公司以及新兴的人工智能技术公司都在这一领域大举投入。
人脸识别(视觉识别技术的一种应用)在国内的应用大致经历从公共安全领域扩展到商业领域的过程。最初,机场、高铁站以及酒店等场景使用这项技术对个人身份进行验证,随后商业银行也开始采用人脸识别实现远程开户。再之后,刷脸支付、刷脸门禁也相继出现,人脸识别逐渐从少数有限场景渗透到人们的日常生活之中。
人脸识别在国内快速且广泛的应用,背后既有政府部门对于维护公共安全的诉求,也有商业机构应用新技术提效降本的需求,更有人工智能技术公司寻求业务增长的冲动。而今年以来新冠肺炎疫情的流行更是加速了这一过程。
如今,你大概已经对商场、办公楼等场所入口处的测温设备习以为常。通常这类设备融合了人脸检测与红外测温技术,能够实现“非接触式测温”,在疫情防控中被广泛铺开。
很多人开始意识到这项技术正在被不加节制地应用。今年10月份,一项两万人参与的调查显示,有超过六成以上的受访者认为人脸识别技术存在滥用趋势。其中,在交通安检、实名登记、开户销户、支付转账和门禁考勤等场景中存在突出的“强制使用”问题。
与此同时,一些受访者最为关注的问题——比如人脸原始信息是否会被收集方保留以及会被如何处理,数据收集方采取何种技术和管理措施来保证收集的人脸信息安全,以及人脸信息目前被应用在什么场景,是否变更了使用目的——在绝大多数时候都是不透明的,目前尚无相关的法律法规进行规范。
与其他个人信息不同,人脸信息属于生物识别信息,具备唯一性。“它不像密码,一旦泄露无法修复。未来一旦人脸成为进入互联网世界的入口,那么某种程度上谁掌握了你的脸,谁就掌握了你的身份标识。”北京安理律师事务所高级合伙人王新锐对界面新闻说。
他认为,现在很多场合过分强调这项技术的便利性,却对人脸数据泄露可能产生的后果考虑不足。“有人问你要银行卡密码,你肯定特别警觉,对不对?但如果要人脸信息,好像很多人就觉得没什么,但实际上这两者很多情况下是没区别的。”
今年2月份,浙江省衢州市中级人民法院公布的一份裁决书显示,自2018年7月开始,浙江绍兴一名叫做张富的大专毕业生通过非法渠道购买到2000万条公民身份信息,其后使用软件将照片制成3D头像,在案发时,注册成功至少547个通过人脸识别的实名支付宝账户。
值得一提的是,并非所有使用人脸识别技术的设备都会收集人脸原始照片。一些技术较为领先的公司会提取面部的特征值来替代原始照片,这些特征值是匿名性数据,经过加密处理后即使被泄露也无法重新定位至某个具体的人。采用这种方式能够在一定程度上实现对于个人信息的保护。
但现实情况是,当大公司们将深度学习算法框架开源之后,人脸识别技术的门槛已经大大降低。很多技术实力一般的公司通过开源平台拥有了算法能力,但在数据的收集和存储环节却无法保证同样的安全性。这些公司的做法往往是直接收集和存储原始的面部信息。
一位从事旅游行业数字化的人士告诉界面新闻,新冠疫情发生后,行业内提倡非接触式入园,很多旅游景点都安装了人脸识别设备,当游客在景区入口录入人脸信息后,可以实现在不同景点刷脸进入。游客的人脸信息就存储在本地服务器中,而这种服务器的安全性是极低的。
“已经曝出的人脸数据泄露事件,有的是因为存储照片的数据库被攻击,这是技术层面的原因。但其实在非技术层面也会有,比如有不法分子能够接触到数据库,可能会将信息拷出去贩卖获利等等。”北京瑞莱智慧科技有限公司副总裁唐家渝说。瑞莱智慧是一家主打安全特色的人工智能技术公司。
唐家渝告诉界面新闻,现在的人脸识别算法由于先天原因存在漏洞,在与工信和公安等部门合作进行的多个测试中,瑞莱智慧可以凭借一张照片就“攻破”手机、闸机和考勤机等门禁。“基于深度学习算法的模型是黑盒,先天存在脆弱性,攻击者总能找到漏洞。”
除了对个人信息安全层面的担忧外,人脸识别技术在某些场景的应用也被质疑有侵犯个人隐私之嫌。去年,中国药科大学(江苏南京)引入人脸识别系统,可以识别出学生是否翘课、玩手机、打瞌睡等行为,一时引发了对于人脸识别技术使用边界的讨论。
在上述调查中,受访者最不能够接受的人脸识别使用场景包括:“商城运用人脸识别技术,收集顾客的行为和购买手段”、“高校运用人脸识别技术收集学生的抬头率、微表情、上课的姿态”等,相对而言,公众对公共安全场景下人脸识别技术较为接受。
有人正在对随处泛滥的人脸识别做出抵抗,其中最受关注的是浙江理工大学特聘副教授郭兵起诉杭州野生动物园的“人脸识别第一案”。
去年4月份,郭兵在杭州野生动物园办了一张年卡,凭年卡和指纹可一年内不限次游园。但随后,他收到动物园发来的一则短信,要求他注册人脸信息,且被告知“未在规定日期前注册人脸识别信息的用户将无法正常入园。”
随后,郭兵将动物园告上法庭,请求法院判定动物园删除其在办理年卡时提交的面部信息并且确认动物园短信中告知的内容无效。今年11月,杭州富阳法院对该案做出一审判决,责令动物园赔偿郭兵由于变更合同造成的经济损失、删除其个人面部信息,同时驳回了郭兵的其他诉讼请求。郭兵对此提出了上诉。
“我认为杭州野生动物世界无论是将指纹识别还是人脸识别,通过格式条款的方式确定为唯一的入园方式,都是不公平不合理的,这是我最核心的诉讼请求,也是上诉中要求法院进一步认定的诉讼请求。”郭兵对界面新闻解释上诉原因时说。
今年以来,地方立法层面开始关注或已经对人脸识别的应用场景作出一定限制。
不久前天津人大表决通过《天津市社会信用条例》,其中第十六条规定,市场信用信息提供单位不得采集自然人的生物识别信息。近期,杭州公开《杭州市物业管理条例(修订草案)》,其中规定物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。该草案目前已提请杭州市人大常委会审议。
“这些条例并不是专门规范人脸识别技术应用的,但表明地方立法已经意识到生物识别信息需要加以特别保护。”郭兵说。
信通院互联网法律研究中心研究员杨婕告诉界面新闻,我国目前虽然没有出台专门针对人脸识别技术的法律规范,但是采用国际通行做法,将人脸数据划入敏感个人信息进行从严监管。
正在审议中的《个人信息保护法(草案)》(以下简称《草案》)是我国首部针对个人信息保护的专门立法。《草案》中规定,要有特定的目的和充分的必要性,方可处理敏感个人信息;收集敏感个人信息要经过个人单独同意,向个人告知处理敏感个人信息的必要性以及对个人的影响。
王新锐认为,《草案》中对敏感个人信息(包括人脸在内的生物识别信息)规定很严,需要单独同意且进行事前评估,这意味着收集个人生物识别信息的门槛非常之高,可能大部分企业就会知难而退。
《草案》中与人脸识别技术相关的第27条规定,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必须……所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供……”
“这条规定的是公共安全领域的图像采集,并不是针对商业化运行的人脸识别。”郭兵对界面新闻说。他建议将收集脸部特征信息的人脸识别相关技术纳入行政许可范围,“只有获得相应许可,才能从事或者提供相应的技术,这对刷脸场景的滥用能有一定的遏制作用。”
杨婕认为下一步,一方面,法律要明确人脸识别技术的安全与责任底线;另一方面也要解决人脸识别在不同场景应用下的差异性问题。比如,各行业主管部门需要根据使用场景出台应用人脸识别技术的实施细则,包括明确不同场景下应用人脸识别技术的必要性、安全水平要求等具体问题。
在业主们表达反对意见之后,嘉诚有树产业园的运营方在“刷脸”之外新增了手机扫码入园的方案,这种方式只需要录入基本信息,不需要录入人脸信息。刘欢告诉界面新闻,现在他们还在争取增加采集个人信息更少的刷IC卡入园的方案。
(应受访者要求,王轶、刘欢为化名)
相关推荐
人脸识别泛滥,谁有权拿走你的人脸数据?
谁在滥用人脸识别?
危险的人脸识别
5000张人脸照片10元兜售:人脸识别背后的数据泄露危机
5000张人脸照片10元兜售,人脸识别背后的数据泄露危机
著名分析师 Benedict Evans:人脸识别与AI伦理(二)
“人脸识别”,我们还能承受多少风险?
人脸识别十字路口:脸的恐慌
“超256万人脸识别数据泄露”,其实是媒体误读?
关于人脸识别滥用的十个可能的应对方案
网址: 人脸识别泛滥,谁有权拿走你的人脸数据? http://m.xishuta.com/newsview36293.html