限制人臉識別 新界線在哪?
近幾年,出門辦事兒要刷臉的場景是越來越多,看似人們得到了方便,但是擔心也與日俱增,我的臉我能自己做主嗎?8月8日,國家網(wǎng)信辦發(fā)布《人臉識別技術應用安全管理規(guī)定》的征求意見稿,明確人臉識別只有在具有特定的目的和充分的必要性,并且采取嚴格保護措施的情形下才能使用,這也就意味著擁有了三個限制條件。它一旦開始實施,真的能保護我們的這張臉嗎?它將帶來哪些改變?新聞周刊本周視點關注:限制人臉識別。
本周四,上海市普陀區(qū)人民檢察院帶隊回訪檢查了轄區(qū)內的多家超市,雖然店內都有監(jiān)控,但都沒有使用人臉識別設備,顧客們多了許多自在。此前,該檢察院曾發(fā)現(xiàn)轄區(qū)內有超市在出入口安裝采集消費者人臉信息的攝像頭等設備,還會對消費者的多項數(shù)據(jù)進行分析并予以差異化提示,甚至有人還被打上了“疑似小偷”等標簽,而消費者對此毫不知情。
上海市普陀區(qū)人民檢察院 檢察官 張曉靈:當每一個消費者進門之后,它實時抓拍消費者人臉信息,而且還給人臉信息打上了一些標簽,比如說是男性還是女性,是中年還是青年,具體心情如何等等。通過超市人員介紹,把每個進門的消費者人臉采集到之后,他們可以通過人臉比對,比如說把一些他們認為可疑人員的人臉,添加到他們所謂的人臉庫當中,等到這個可疑人員下次再來的時候,監(jiān)控就會自動報警。
【資料圖】
通過30天的影像資料來看,轄區(qū)內相關設備采集了大約14萬左右張人臉照片,而真正有偷竊行為的嫌疑人,相比這個數(shù)據(jù)而言只是少數(shù)。在經(jīng)過相關部門履行調查,并進行處罰后,現(xiàn)如今此轄區(qū)“購物而被偷拍”亂象已罕見。
中國政法大學數(shù)據(jù)法治研究院教授 張凌寒:非經(jīng)過法庭的審判不能給任何人定罪,打這種標簽本身就是對人身份的一種歧視。第二,如果打上這種標簽之后,可能對這個人的歧視性信息會隨著這套設備和這套數(shù)據(jù)庫的廣泛使用,而在不同的超市不同的場景都會顯示出對他的這種歧視性身份標簽,就會使得這個人的行動處處受限,受到一種不公正的待遇,而他又無從知曉這種待遇從何而來。有一些學者研究,把它叫做一種無形的“算法監(jiān)獄”。
本周二,國家網(wǎng)信辦就《人臉識別技術應用安全管理規(guī)定》公開征求意見。其中就提出,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可使用人臉識別技術處理人臉信息。
中國政法大學數(shù)據(jù)法治研究院教授 張凌寒:換句話說,如果說你除了做身份識別和驗證之外,要通過人臉識別技術去達到其他的目的,這就不符合我們所說的必要目的和特定目的的基本原則。超市安裝這樣的設備,它的主要目的實際上為了防盜,是否必須要通過人臉識別來進行防盜呢?很顯然是沒有這個必要性的。新規(guī)也是希望規(guī)范人臉識別技術可能擴大化使用的現(xiàn)象。
而此次新規(guī)中就還提到,實現(xiàn)相同目的或者達到同等業(yè)務要求,存在其他非生物特征識別技術方案的,應當優(yōu)先選擇非生物特征識別技術方案。此項優(yōu)化適用于更多生活場景,類似于健身房、書店等經(jīng)營性場所,長期以來需要使用人臉識別系統(tǒng)去完成入場、借書,但這些功能可以憑借辦卡等等其它更為簡易的方式去完成,即便智能設備更加便捷,但在此類消費場景里,理應把選擇權交給消費者。
中國政法大學數(shù)據(jù)法治研究院教授 張凌寒:實際上個人信息的知情和同意原則,在學界也一直受到質疑,我是不是真正的同意,我如果不同意可能就沒有辦法享受相關的服務,所以我們這次新規(guī)當中也要求要以明確的方式、顯著的方式去告知個人,并且同時提供一些非生物性的身份驗證方式和方法。這樣就能夠使得我們人臉識別的知情同意是真正有效的,因為你還有其他身份識別的方法可以選擇。
由此可見,人臉識別的應用,并非怎么方便就怎么來。能不能使用、如何使用,都必須在制度的框架內進行。這看似嚴苛,但不過是遵循個人信息收集的最基本原則——“最小必要”。也即,最大程度避免濫用,防止煽起不良的“蝴蝶效應”。眼下五花八門的人臉識別應用已經(jīng)非常普遍,相關政策制度的完善,將對已出現(xiàn)的亂象作出更有力的規(guī)制和糾偏。而這,也同樣依賴于每一個個體和經(jīng)營者的自覺。
上海市普陀區(qū)人民檢察院檢察員 尹波:按照咱們最新的管理規(guī)定,人臉識別設備使用的商業(yè)場景,包括能夠進行相應數(shù)據(jù)處理的這樣一些主體,都是要嚴格按照國家的規(guī)定進行相應的備案和數(shù)據(jù)管理的,因為相應的信息涉及到敏感個人信息,那么一旦數(shù)據(jù)泄露發(fā)生的話,數(shù)據(jù)安全泄露就會引發(fā)更多的連鎖反應。所以從監(jiān)管角度和法本身的價值來理解,應該是更加做好事先的預防和防范,所以對于人臉設備的使用,將會有越來越多嚴格的限制。
上海市某小區(qū)業(yè)主:我們小區(qū)安裝人臉識別系統(tǒng)要把業(yè)主的臉拍照,拍好以后要上傳。接下來輸入姓名、家庭住址、手機號碼。信息如果泄露出去的話,對他來說是一種災難。所以我是不贊同小區(qū)搞人臉識別系統(tǒng)。
由于所住小區(qū)即將加裝人臉識別門禁,這名持反對意見的業(yè)主,曾向當?shù)孛襟w表達了不滿,本周正值國家網(wǎng)信辦就《人臉識別技術應用安全管理規(guī)定》公開征求意見,該小區(qū)的門禁改造也因此受到了關注。
該小區(qū)業(yè)主委員會副主任 劉楊:以前我們用的刷卡門禁,這個卡是可以無限復制的。我們小區(qū)因為臨近地鐵站,有很多外來人員,可能圖方便,穿越我們小區(qū),所以很多業(yè)主就提出了這方面的訴求,對大門的門禁進行升級換代。
業(yè)委會表示,該小區(qū)居民過去一直希望加強對外來人員的進出管理,恰逢物業(yè)公司重新招標,于是今年六月,新中標的物業(yè)公司正式進駐后,首要工作便是升級門禁系統(tǒng),當下被廣泛應用的人臉識別門禁,也借此契機引入了該小區(qū)。
該小區(qū)有2400多戶居民,各家各戶對于門禁方式的選擇上持不同意見,該小區(qū)業(yè)委會在征集意見后,最終選定了三種門禁方式供居民使用。
小區(qū)業(yè)主委員會副主任 劉楊:第一種方式是IC卡,物業(yè)公司所發(fā)放的IC卡第一是進行加密的,第二點這個IC卡是不可復制的。第二種可能就是遠程開門,比如說家人如果在外面的話,有朋友或者有親戚要進小區(qū),就產(chǎn)生了一個App二維碼遠程開門之類的功能。第三種是人臉識別,比如說有業(yè)主晚上跑步,他身上什么東西都不帶,手機也不帶,他也能夠做到進出自由。
本周發(fā)布的征求意見稿中就明確指出,人臉識別不得作為進出物業(yè)管理區(qū)的唯一方式,物業(yè)也應當提供其他合理、便捷的方式,供不愿使用人臉識別的個人選擇。
處在新舊門禁系統(tǒng)更替期的該小區(qū),還有不少居民持觀望態(tài)度,一方面想選擇更便捷的方式,但另一方面也對人臉信息被泄露的風險存疑,作為門禁系統(tǒng)的選購、安裝和運營方,物業(yè)是否值得信賴,決定著居民的選擇。
物業(yè)公司技術負責人 李川:我們在人臉識別設備選型的時候,肯定選頭部企業(yè),我們后面結合了一些線下的評估,我們跟供應商之間也有合作協(xié)議,在合作協(xié)議里面也約定了相應的責任跟義務。假設真的出現(xiàn)了泄露問題,物業(yè)一定是承擔相應責任,我們也會跟相關的合作方去追責。
該物業(yè)公司表示,物業(yè)并不存儲人臉信息,業(yè)主所錄入的信息會直接上傳到門禁系統(tǒng)供應商的平臺,物業(yè)在事前對供應商進行把關。征求意見稿也指出,事前需要對個人信息保護影響作出評估。
中國政法大學數(shù)據(jù)法治研究院教授 張凌寒:物業(yè)公司可能會委托第三方提供人臉識別的系統(tǒng)和服務,可以說雙方實際上要共同承擔個人信息處理者的法律責任的,就是讓個人信息的處理者在上馬這個項目之前,就明確知道自己的個人信息處理行為,可能會有什么樣的風險,以及要求他們去設置個人信息保護的相關責任人,還有相關的運行機制。當出現(xiàn)個人信息被泄露,自己有什么樣的應對機制。
與此同時,不使用人臉識別門禁的業(yè)主發(fā)現(xiàn),經(jīng)過門禁系統(tǒng)時,仍然會被人臉識別系統(tǒng)實時捕捉,也擔心此類未經(jīng)過知情同意的人臉捕捉泄露了隱私。物業(yè)公司對此表示,被捕捉到的人臉信息一般只用于可以錄入系統(tǒng)的人臉進行比對,并不進行存貯。但隨著新規(guī)的完善,物業(yè)領域愈發(fā)被廣泛應用的人臉識別,也需要進一步走向規(guī)范。
中國政法大學數(shù)據(jù)法治研究院教授 張凌寒:我如果走到那個地方,我并沒有打算去進行身份的識別和驗證你就把我的臉拍走了,同時轉化成數(shù)據(jù),并且進行后續(xù)的存儲和處理等等。在這次新規(guī)當中我們強調,對于這種無感的高清的人臉識別,實際上你要格外經(jīng)過個體知情同意的。小區(qū)物業(yè)進行身份識別,可能在三五米之內對于人臉進行識別,有一個識別的精度就足夠了?,F(xiàn)在可能有一些小區(qū)物業(yè)的人臉識別系統(tǒng),采用了非常高清的攝像頭,還可以自動捕捉和識別人臉,這個很顯然是不符合我們這次新規(guī)的相關規(guī)定。
今年夏天,“人、證、臉”三合一的強實名制,已經(jīng)成為熱門歌手演唱會的標配。一位剛剛在合肥體育中心看完演唱會的觀眾告訴我們,演出當天,她在這臺類似高鐵站進站口閘機的設備上,被要求刷身份證。不到一秒鐘,屏幕顯示人臉和身份證匹配,可以通過。
中國政法大學數(shù)據(jù)法治研究院教授 張凌寒:根據(jù)新規(guī)的規(guī)定,如果完成了人臉識別應用的特定目的之后,對于在識別過程中收集到的人臉照片,是應該及時刪除和銷毀的。防止在個體不知情的情況下,把收集的照片再進行交易和流轉,甚至給第三方去進行一些比如說像人工智能模型的訓練,甚至被泄露給第三方。
在征求意見稿中,“安全”是絕對的關鍵詞。不單做人臉識別時拍攝的照片不能保存,儲存樣本照片的數(shù)據(jù)庫也應確保不被入侵,發(fā)生泄露。新規(guī)明確,面向社會公眾提供人臉識別技術服務的,相關技術系統(tǒng)要符合網(wǎng)絡安全保護第三級以上的保護要求。
中國政法大學數(shù)據(jù)法治研究院教授 張凌寒:我們國家的網(wǎng)絡安全等保系統(tǒng)分為五級,可以說第三級是除了金融機構之外,可以用到的最高等級了,會要求你配備相應的技術手段。同時我們說的管理機制、訪問權、復制的記錄等等,我們都相應有比較細致的要求。此前可能一些企業(yè),或者說一些場所去使用人臉識別的亂象就是只使用不保護,或者說只使用不管理。
按照相關法律規(guī)定,網(wǎng)絡安全保護第三級的系統(tǒng),必須每年進行一次保護測評,檢驗其是否能抵御黑客攻擊,防止數(shù)據(jù)泄露、竊取等。測評由公安部認證的,有專業(yè)資質的企業(yè)完成。除了人臉圖像泄露外,對人臉的分析和濫用,也是個人信息安全的重大威脅。
2021年的“3·15”晚會,曝光了多家知名企業(yè)的線下門店,通過安裝一款名為“萬店掌”的攝像頭,非法抓取客戶人臉信息進行標記。客人一旦去了A店,再光顧B店,就絕對不會得到比A店低的價格。在張家港市場監(jiān)督管理局的通報中,“萬店掌”攝像頭同樣出現(xiàn)在了轄區(qū)中的一家連鎖商店中。為躲避檢查,該店用膠帶纏住了攝像頭的品牌。執(zhí)法人員檢查時,在店長的手機中發(fā)現(xiàn),一款連著該攝像頭的人臉識別App正在運行,里面清晰地寫著進店顧客的性別、年輕段,并將顧客打上“新顧客”“熟客,第11次到店”等標簽。
中國政法大學數(shù)據(jù)法治研究院教授 張凌寒:以前我們說大數(shù)據(jù)殺熟,僅僅是基于你在平臺上行蹤軌跡、行為偏好和消費記錄,去對你的消費能力和消費偏好進行識別??赡苷f消費越多,你的支付能力越強,你得到推薦的價格就越高。但是有了人臉識別之后就可以實現(xiàn)線下的大數(shù)據(jù)殺熟,我不是通過你線上的賬戶去識別你是不是一個有消費意愿的客戶,而通過線下的人臉我就能跟你以往的消費記錄關聯(lián)起來。
針對此類現(xiàn)象,此次的征求意見稿中,就明確細化:任何組織或者個人,都不得利用人臉識別技術分析個人包括種族、民族、宗教信仰、健康狀況、社會階層等的敏感個人信息。在公共場所使用人臉識別技術,或存儲超過1萬人人臉信息的,需在30個工作日內向所屬地市級以上網(wǎng)信部門備案。網(wǎng)信、電信、公安、市場監(jiān)管等部門,應按照各自職責范圍加強對人臉識別技術使用的監(jiān)督檢查,及時發(fā)現(xiàn)隱患,督促整改。
中國政法大學數(shù)據(jù)法治研究院教授 張凌寒:征求意見稿不光能夠為使用人臉識別技術的社會企業(yè)、主體去提供明確的行為指引,同樣也給了監(jiān)管部門明確的執(zhí)法依據(jù)去進行定期的監(jiān)督檢查,這些個人信息的處理者有沒有對我們敏感的人臉數(shù)據(jù)進行違規(guī)的收集、處理、存儲,甚至是流轉的活動。
中國政法大學數(shù)據(jù)法治研究院教授 張凌寒:同樣對于可能遭受到相關侵權的個體,也提供了明確的救濟依據(jù)。大家可能覺得自己的人臉,我也不是名人,我也沒有被識別的必要,我也不擔心別人認出我來。但實際上,現(xiàn)在人臉信息的泄露,可以說已經(jīng)成為電信詐騙非常重要的信息來源、數(shù)據(jù)來源。很多場景無處不在的探頭,把你這一天以來在一個城市的行蹤軌跡,和你做過什么,幾點幾分出現(xiàn)在哪里匯總在一起,那么在對你進行電信詐騙的時候也可能使受害人更容易上當受騙。通過深度合成技術,電信詐騙可以直接和你的親人朋友進行視頻和音頻的對話,你的臉部信息可能就來源于之前被泄露的人臉。實際上我們經(jīng)常說要增強公眾的數(shù)字素養(yǎng),既包括對于個人信息保護重要性的這種意識,也包括注意防范個人信息的一些侵權行為的意識,增強自己處理個人信息的敏感度,這可能也是人臉識別新規(guī)的重要意義所在。
標簽: