据媒体报道,日前,在最新一期的“蓟门决策论坛”上,清华大学法学院教授劳东燕分享了其对小区门禁人脸识别系统“稍微挣扎了一下”的维权经历:针对所在小区的门禁改造工程,劳东燕向物业公司和居委会发出法律函,力陈小区门禁安装人脸识别的非必要性与法律风险,在小区提供包括人脸识别在内的三种可选门禁方式给居民选择后,改造工程最终“不知何故被搁置”……她表示,“人脸数据具有不可更换性,一旦泄露就是终身泄露”。
无独有偶。前不久,创新工场董事长兼CEO李开复在公开演讲时的一句“口误”——“曾帮助旷视科技公司找了美图和蚂蚁金服等合作伙伴,让他们拿到了大量的人脸数据”引发热议。这句看似成功商业案例的话,不仅将自己送上热搜,也让两家涉事公司紧急回应,更是把互联网公司共享人脸数据的“内幕”推到风口浪尖。
北京阜成门地铁站人脸识别过安检(中宏网记者康书源 摄)
近年来,人工智能带动人脸识别技术取得了飞速发展,并被广泛使用于身份认证等实际应用中——它既可以用于手机解锁、刷脸支付,也可以用于安防准入等场景,在越来越多的场所,人脸识别技术日益普及。
报告显示,2010-2018年,我国人脸识别行业市场规模年均复合增长率达30.7%,2018年,我国人脸识别行业市场规模为25.1亿元,预计到2024年市场规模将突破100亿元。另据报告显示,预计到2022年,全球面部识别市场将达到96亿美元,年均复合增长率达21.3%。
可以肯定的是,人脸识别技术在防止贩卖人口、追踪逃犯等间接降低犯罪率,以及在平安城市、智慧城市建设和城市管理问题上起到非常重要的作用。然而,技术是一把双刃剑。人脸识别技术快速发展、深入社会,让人们在畅享技术带来便利的同时,也面临着个人隐私泄露的风险。
面部、指纹、虹膜、声音等信息均属于生物识别信息的范畴,具有唯一性和不可更改性等特点,一旦泄露就意味着终身泄露。当这些生物信息泄露后,用户在使用生物信息作为身份认证的场合,可能被“李鬼”冒名顶替,身份安全形同裸奔。
这些泄露后的人脸数据,究竟会被什么样的人使用,用于怎样的场合,是否可能导致财产的损失与其他人身权益的侵犯,对此,我们都一无所知。但可以确定的是,人脸数据的泄露,所带来的潜在的安全风险,远比手机号与账户信息的泄露更为严重。
近几年来,涉及数据隐私安全的负面消息接连不断。根据此前报道,有商家曾在网上公开兜售17万条“人脸数据”,这些数据不仅包括人脸的位置信息,还展示了眼睛、耳朵、鼻子等的轮廓信息。更可怕的是,这些“人脸数据”的当事人在被采访时表示自己不仅对数据被出售不知情,连个人信息是什么时候被采集都不清楚。
去年10月,杭州小学生实验发现某品牌快递柜用照片就能替代刷脸取件,再度引发舆论对人脸识别技术导致的个人信息安全隐患,以及部分商家过度采集或滥用人脸信息的担忧。
“人脸识别的推广运用,本身就会给公众的人身财产安全带来无法估量的风险”。劳东燕教授表示,“其间的问题在于,我们可能既不再享有任何隐私,也因此丧失绝大部分的安全。人脸数据具有不可更换性,因为我们无法换脸。一旦泄露就是终身泄露,即便采取法律手段维权成功,也难以恢复原状。”
作为社会人,在享受数据带来便利的同时,也必然把自己的一部分信息和隐私暴露出来,所以自愿牺牲一部分隐私达到社交的目的也是必要的。但这个红线在于,是否是自愿,是否能保障个人信息的安全。
2019年,因不愿意使用人脸识别技术,浙江理工大学特聘副教授郭兵将杭州野生动物园告上法庭,理由是园方强制收集用户脸部数据,侵犯了消费者的合法权益。他认为,动物园强制要求游客必须进行人脸识别违反了《消费者权益保护法》,也不符合《网络安全法》,更不符合目前正在制定的《个人信息保护法》。该案被认为是“中国人脸识别第一案”。
该案并非个例。在很多场合,人脸数据被采集者都缺乏选择权和知情权。某些企业在推广人脸识别技术应用场景时,往往忽视用户对风险的知情权,使人脸数据的采集“正当化”“平常化”。
事实上,对人脸识别技术滥用的警惕已经在包括国家立法、社会舆论以及具体受众层面具备了相当的共识。包括《民法典》《网络安全法》在内的多部法律,都明确要求具有收集用户信息功能的网络产品和服务,“应当向用户明示并取得同意”。这些言辞意味着立法对此的强制态度,包括人脸识别在内诸多人体生物信息采集和运用,在越来越生活化的场景中都不能突破知情同意和可选择这两个最基本底线。
技术创新的初衷是改变生活方式,服务于消费者。任何新技术的普及都应该站在伦理道德之上,要保护消费者隐私,而不是把隐私当成谋利的工具。
发展新技术的同时,监管和规则的制定也要与时俱进,从而引导其在合法合理的范畴内安全使用。针对人脸识别技术,必须通过制定法律法规和国家标准,明确企业从业资质与行为规范,比如,哪些公司可以采集、什么用途、保存多久、谁可以看、要不要加密、什么样的清晰度。另外,从人脸信息的采集、储存、传播到再利用,中间哪些环节该为信息泄露负责?这些都需要必要的法律规范和清晰的法律界定,从而最大程度地防范人脸识别技术的滥用。
此外,还有观点指出,新技术发展日新月异,法律法规滞后于技术发展已经成为新常态。完全寄希望于政府治理人脸识别既不可能,也不现实。因此,建立人脸识别技术企业联盟类组织,确立相应伦理原则和安全标准,有利于人脸识别行业良性发展。
既能保证数据隐私安全,又能让用户获得各种便利,这应是一项新技术发展的底线。只有坚守底线,才能回归服务于消费者的初衷。