谁在滥用你的人脸信息?风口浪尖上的AI隐私之争和监管之路。
有人在大批量购置“黑科技”刷脸机,有人却在拆除人脸识别系统。
就在前几天,南京多家售楼处的人脸识别系统面临拆除,这源于南京住房保障与房产局通过的一则内部文件通知,致力整改当地房地产商收集购房人个人信息的现状。
就在前后脚,天津在12月1日通过《天津市社会信用条例》,传达出当地相关企事业单位、行业协会、商会等被限制采集人脸、指纹、声音等生物识别信息的信号。
近期,我们看到各地纷纷推出关于人脸识别的规范,受到质疑的不仅仅是售楼处,而是各行各业人脸识别被滥用的情况。
当下,AI技术落地的广度和深度在拓展,同时AI技术的阴影面数据隐私问题也暴露出来,令产业不得不担忧。就在过去的一个月,央视《新闻1+1》已经连续三次报道信息泄露和人脸识别滥用相关新闻。人们担忧很直接,最基本的问题是,“为什么你在我完全不知情的情况下,把我的信息采集了?”
作为人工智能领域的落地标杆技术,人脸识别引发了什么样的争议?在民潮涌动、媒体关注、地方纷纷采取规范举措背后,行业面临什么样的考验?在政策、技术层面又有哪些解法?我们来看看这些集中出现事件背后的深层逻辑。
01.
戴头盔看房引争议
售楼部人脸识别系统拆不拆?
一位知名房地产商的市场营销人员告诉我们,公司正打算在售楼部推人脸识别,但现在看来可能要搁置了。
近年来,一些地产售楼部开始试用人脸识别技术来进行客户比对,以防止“飞单”。简单来说,凡是渠道带过来的客户,开发商都会通过人脸识别摄像头进行人脸比对,如果发现这个客户之前主动到访过,则会判定中介带看无效,不付佣金,能很好地防止“飞单”。采用这一技术,有的售楼部每年甚至直接节省千万元佣金。
但这却为一些看房者造成了困扰。11月中旬,济南一人戴头盔看房防人脸信息采集的视频引起舆论的喧然大波,宣称“被售楼处人脸识别拍到,买房要多花30万”。虽然有些行为艺术的意思,但也反映了人们对这样不明不白地人脸信息被采集的行为的不满。
南京对售楼处人脸识别系统拆除的通知,为房地产人脸识别技术应用释放出新的信号。我们得知,南京市房管部门在11月27日启动了对全市安装人脸识别系统的售楼处进行检查,南京本地的部分开发企业在过去两天陆续接到相关部门的通知,要求拆除人脸识别系统。
南京市住房保障与房产局给出了官方回应指出,为加强住房消费者权益和个人信息保护,规范和净化南京市房地产市场环境,对购房人身份识别,收集、使用购房人个人信息应遵循合法、正当、必要的原则,南京市要求商品房销售现场禁止使用人脸识别系统。
地方行业已经开始关注解决人脸识别技术的滥用问题,获得一片叫好。有人大呼“早该下架了”、“支持拆除人脸识别”,同时也有声音指出“正常的安防监控没意见”、“人脸识别系统没问题,希望只用在公检法司”。
02.
人脸识别进入各行各业
人脸信息滥用引担忧
当下,除了房地产商,包括商尝餐馆、美容院、动物园等许多商业机构及学校、养老院、车站等公共服务场所都在探索人脸识别技术的使用。
▲某商场用于智能营销的人脸识别系统页面
以商场营销为例,以人脸为特征的识别已经贯穿到注册、到店、跟踪、管理的会员运营全流程。
▲某人脸识别会员运营系统的主要步骤
人脸识别技术被广泛应用的同时,部分地区、行业对技术的滥用、强制使用也引起了一些群众的不满,诉诸法律。
以“人脸识别第一案”郭兵投诉杭州野生动物园人脸识别一案为例,2019年4月,原告郭兵在购买了野生动物世界年卡后,多次被告知要求激活人脸识别系统,否则将无法正常入园。多次沟通无果后,郭兵将该动物园告上法庭。
2020年11月20日,郭兵与杭州野生动物世界有限公司服务合同纠纷案一审宣判。野生动物世界赔偿郭兵合同利益损失及交通费共计1038元,删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息。许多人对这一案件的审理结果并不满意,当事人也表示自己将继续上诉。
杭州野生动物园这类案件之所以广受关注,一方面体现了人们对知情权、选择权的意识,另一方面则是对人脸信息会去向哪、为谁所用等问题的深刻担忧。
在关于企业使用人脸信息采集的一组街访中,受访者表达了担忧“不能保证开发商安全保护人的人脸信息”、“相比于个人信息安全,不在乎这个便利”。其实民众的诉求很简单,并不是反对人脸识别,只是要把使用的权益讲清楚。
毕竟人脸只有一张,不像手机号、密码那样可以修改,也不像指纹那样需要主动操作,而是本身公开外露,在无感的情况下就能被采集;另外,照片、视频、伪造3D头套等有时都能被识别,也增加了人脸识别应用的不可控性。人脸信息一旦落入不法分子之手,后果不堪设想。
03.
地方、中央法律法规在路上
随着人脸识别技术的滥用受到关注,我们也看到各地不约而同地采取措施。除了前面提到的南京房管部门通知拆除人脸识别系统的通知,还有多地正在制定法律法规。
最近进入人们视野的是12月1日,天津市推出的《天津市社会信用条例》。这一条例并不是数据隐私方面的专门法规,却传出了关于生物识别信息隐私的重要信号。条例第十六条规定,市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。
也就是说,相关的企事业单位、行业协会、商会等在未经本人同意并约定权益的情况下,禁止采集人脸、指纹、声音等生物识别信息,这样的意识引起许多民众的认同。
其实除了南京、天津,其它许多城市在近期也采取了类似措施。比如继南京之后,徐州市住房和城乡建设局也向部分新开楼盘和续销楼盘项目发出口头通知,要求售楼处不得使用“人脸识别”系统;审议中的《杭州市物业管理条例(修订草案)》规定,物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备……
追溯我国法律法规对人脸识别技术的规范,在2020年5 月十三届全国人大三次会议表决通过的,将在2020年1月1日正式施行的《中华人民共和国民法典》(简称《民法典》)就已经定调。
《民法典》第一千零三十五条规定,处理生物识别信息等自然人的个人信息,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
除了《民法典》,2020年10月1日开始实施的《信息安全技术个人信息安全规范》也明确提出:收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
2020年10月21日,《中华人民共和国个人信息保护法(草案)》征求意见稿发布,强调只有具有特定的目的和充分的必要性,方可处理敏感个人信息。
可以看到,中央其实此前就在法律层面对个人生物识别信息的处理进行了指示,尤其是新中国唯一被冠以“法典”名称的社会基本法《民法典》对此早已做出明确规定。但法律普及是一个过程,还有很多企业、公民、地方机关对于生物识别信息安全的意识并不充分。
而当下随着人脸识别技术滥用被推上风口浪尖,各地推出的规范措施更多是对已有法律原则的强调和落实。也就是说,许多困扰人们的人脸识别技术应用的难题已经有解答。
举个例子,许多商家在自己在店铺中立一个牌子,写到“本店在使用人脸识别”就可以放心大胆地采集人脸信息了。对此,中国电子技术标准化研究院信安中心测评实验室副主任何延哲指出,这是敷衍了事的典型做法,并不合法合规。
何延哲解释到:“以为告知就合法,不仅有告知还有选择权、删除权,你的人脸被收走之后,我不买这个楼房,信息怎么处理?什么时候删除?他以为那个牌子可以,反而证明做法已经合规了,因为这个牌子没有把很多的权利讲清楚,只讲了有摄像头这个事。”
04.
保护人脸隐私安全,技术能做什么?
法律法规是人脸信息的一道保险锁,数据安全技术是另一道保险杠。
即使企业在尊重公民知情权、选择权的情况下合法合规采集人脸特征,就定能保证人脸信息安全吗?答案是否定的。
令人们担忧的还有,企业刷脸系统技术过不过关。具体来说,即使企业承诺妥善处理用户人脸数据,但企业的人脸识别系统技术是否足够安全?2020年2月27日,美国拥有超30亿人脸数据的创企Clearview AI被黑使整个客户名单被盗的事件仍令人毛骨悚然,而这一信息泄露情况在全球范围内并不少见。(《》)
慧盾安全研发负责人吕明说,类似人脸信息泄露的安全事故已经比较普遍。“应用为先”的思路由来已久,但生物信息是难以改变的,一旦泄露,引起的隐患远大于过去的身份证号、手机号,因此需要从技术层面加强安全保护,做到“应用、安全并重”。
那么如何从技术层面保障人脸信息的安全?
吕明告诉我们说,这和具体的系统组成有关。从云管端的逻辑来说,如果人脸比对数据在闸机、小区入口等终端,就需要围绕分散的防护点把数据保护起来,使业主、使用单位等各方即使将数据导出也没法使用。如果人脸比对数据放在云端,则比较方便做数据的集中保护,但数据的流动性更大,更易受到内外黑客入侵攻击和合法人员非法使用。
总的来说,就是需要围绕关注的数据流动过程的各个薄弱环节做防护。
但值得一提的是,目前房地产、零售商等企业天然加固安全措施的意愿并不强,也是客观存在的事实。
一位业内人士称,企业用户需要方案满足安全的同时易用性高、性价比高,但放眼看来这样的方案还很少看到。不过,一些前沿的网络安全企业已经在关注企业级市场,另一方面,相关部门也在与行业联合制定相关行业标准,规范人脸识别技术市常
05.
结语:AI落地潮中,人脸隐私推到风口浪尖
作为人工智能领域机器视觉技术落地的主要载体,人脸识别技术的应用潮已经涌向了人们生产生活的众多领域。在这种背景下,人们对人脸等生物识别特征的隐私安全意识也越来越强。
不论是民众的个体反应、媒体关注还是地方政府的措施,都让我们感到人脸隐私已经被推到风口浪尖。这些社会的现象和反馈并不是孤立存在的,而代表了人工智能技术发展到一定阶段必然面临的三要素之一数据从哪来、到哪去的核心问题。
针对这一关键问题,我们从国家机关此前推出的相关法律条文看到,相关法制法规已经早有准备,而在技术层面也已有完备的生物识别信息安全技术。下一步,则需要相关部门、企业、民众共同加强生物识别信息保护意识,在把握底线的条件下促进人工智能行业稳健成长。