人脸识别技术的验证、辨识功能正在不同场景中发挥越来越显著的作用,但也存在一些潜在的风险和问题。为此,有必要进一步深化人脸识别技术应用的规制模式,通过确立人脸识别技术应用评估制度,建立尊重个人合理预期的便捷式同意模式,加快构建人脸识别技术应用监管体系,助推行业自律规范落地,最终形成兼顾人脸识别信息保护、流动与利用的治理路径。
从技术的本质出发,人脸识别并非针对自然人面部图像的单一识别,而是涉及从采集到比对分析的全流程,包括人脸图像采集及检测、人脸特征提取、人脸图像处理和人脸识别比对等。当前,人脸识别技术逐渐延伸出两大功能:一是人脸验证,将采集的人脸识别信息与存储的特定自然人的人脸识别信息进行比对(1∶1模式),以确认特定自然人是否为其声明的身份,即证明“你是你”。二是人脸辨识,将采集的人脸识别信息与已存储的指定范围内的人脸识别信息进行比对(1∶N模式),以查找和辨认自然人的身份,即证明“你是谁”。
四类风险挑战
人脸识别技术应用在便利人们日常生活、提高社会管理效率的同时,逐步呈现非授权、非必要、低安全、超伦理四类风险挑战。
未经用户授权,摄像头“主动”“无感”抓拍、识别人脸信息。一些非配合式的人脸识别设备较为隐蔽,侵犯公民的个人隐私、冲击社会信任。如房地产公司为区分售房渠道、识别客户是否属于首次到访等,安装具有人脸识别功能的摄像头,在顾客不知情的情况下抓取人脸信息进行人脸识别,给中介利润分成;再如,“3·15”晚会报道,卫浴门店安装具有人脸识别功能的摄像头,在客户毫不知情的情况下抓取人脸信息,分析顾客访问记录,实现精准营销。
非必要滥用呈现出“遍地开花”的趋势,但用户无法自主选择。在开放场景下,从上班打卡到酒店入住、从医院挂号到进入小区,人脸识别技术未经充分质证必要性就应用于生活的方方面面,用户为使用服务只能被动“同意”。如,许多大中型城市的物业公司运用人脸识别技术到其服务的社区中,将人脸识别作为居民进入小区或是居民楼的门禁密码,以取代保安人力、门禁卡及密码等,清华大学教授劳东燕曾公开反对在小区安装人脸识别门禁;再如,浙江理工大学副教授郭兵向法院起诉杭州野生动物世界强制游客刷脸进园。
安全保障不足,在不同场景下难以有效保障技术的安全性。人脸识别作为“密码登录”“身份核验”的关键组件,被黑灰产持续攻击,人脸识别应用的安全问题持续受到社会的高度关注和担忧。如,清华大学的研究团队利用对抗样本攻击技术成功破解了19款国内主流手机的人脸识别系统。再如,中国交通银行人脸识别系统被绕过,导致受害人资金被窃取。此外,人脸识别算法准确率受传感器、对象群体、环境因素影响,识别准确率大打折扣,易被“以假乱真”的人脸照片、3D模型破解。
存在伦理问题,部分应用场景引发大众对道德伦理的担忧。人脸识别技术与其他人工智能分析技术相结合,有可能会涉及道德伦理问题。如,部分学校运用人脸识别技术收集学生的抬头率、微表情、上课的姿态等,统计分析得出学习效果指数、专注度等数据,并告知老师和家长,对学生人格尊严造成伤害。
平衡创新应用和风险规制
构建人脸识别技术应用治理体系应走创新应用和风险规制的平衡路径,既要全盘考虑、统筹部署,也要突出重点、高效推进。人脸识别技术应用应秉持三大原则,倡导负责任地使用。一是良性发展原则,人脸识别技术应在大众充分知情的情况下应用。二是权责一致原则,明确个人信息处理者在人脸识别技术应用过程中承担的责任。三是安全保障原则,人脸识别技术应用应设立安全保障机制,具备与安全风险相匹配的安全能力。
确立人脸识别技术应用评估制度。人脸识别技术在应用前,应当通过监管机构或个人信息处理者组织的第三方评估。一是对人脸识别技术应用的必要性进行评估。评估制度需要针对处理目的及应用必要性进行评估,并充分考量个人的合理预期,保证处理活动符合技术应用的最初目的。二是围绕技术的安全性和合规性展开评估。在安全层面,通过检验人脸识别技术防御黑灰产攻击的能力,以及针对业务应用场景的安全保证策略来衡量人脸识别的安全性。在合规层面,围绕人脸识别信息处理环节,评估处理活动是否满足个人信息保护等合规性要求。
建立尊重个人预期的便捷式同意模式。从人脸识别技术应用是否需要获得个人同意来看,可分为两种情形:一是为实现重大利益所需的情形,例如公共安全、公共健康所需等,无需经过个人同意;二是需要获得个人单独同意授权的情形。在人脸识别信息处理中,应甄别现有同意模式,在同意要求方面,应适度放松其形式要求,避免同意要求不断“升级加码”,在保护个人信息权益的基础上,不过度影响人脸识别技术应用的便捷性。
加快构建人脸识别技术应用监管体系。鉴于人脸识别技术应用风险较大,应当构建全流程、动态化的监管体系。持续优化监管队伍,提高监管人员技术素养,对监管措施进行规制影响分析,完善人脸识别信息安全事件处理机制,建立针对人脸识别信息纠纷的申诉管理机制,对风险较大的个人信息处理者进行定期执法检查。采用试点、沙箱等监管方式指导督促相关个人信息处理者落实自身安全管理责任,围绕人脸识别技术应用全链条进行风险评估,不断提高监管效率和灵活性。
形成行业自律规范以建立内生机制。一是依托行业组织,广泛吸收产业界优秀实践经验,严格落实《个人信息保护法》各项要求,发布人脸识别技术应用相关实践指南,为个人信息处理者处理人脸识别信息提供实践指引。二是深入研究人脸识别技术安全应用范式,鼓励研究机构进行技术交流,共同探索具有隐私保护能力的人脸识别技术应用场景。三是建立人脸识别技术应用的安全动态共享机制,借助产业力量持续监测线上的攻击行为,长期追踪黑灰产攻击动态,及时向行业同步相关情况,提供安全防护建议措施。(作者单位:中国信息通信研究院)
