人脸识别第一案:“要脸”or“要安全”?
文:李晓光 石丹
ID:BMR2004
中国人脸识别第一案来了。
近日,因不愿意使用人脸识别,浙江理工大学特聘副教授郭兵将杭州野生动物世界告上了法庭,杭州市富阳区人民法院已正式受理此案。该案被称为“中国人脸识别第一案”,也让人脸识别技术再次引发关注。
随着人工智能技术的发展,作为子门类的人脸识别技术已经应用到越来越多的场景之中,比如支付、医疗、安防等。据前瞻产业研究院数据显示,2019年人脸识别市场规模为34.5亿元,未来五年人脸识别市场规模将保持20%以上的增长速度,到2024年市场规模达到100亿元左右。
在人脸识别领域也涌现出了一批明星企业,旷视科技、商汤科技、云从科技、依图科技等以计算机视觉业务起家的人工智能企业发展势头迅猛。然而,关于人脸识别的隐私、安全等问题也不断挑战着公众面公众敏感的神经。今年8月,陌陌旗下的AI变脸软件ZAO就因为隐私问题引起轩然大波,最终被工信部约谈。
在人脸识别应用日益普遍的今天,用户的脸正成为新的“通行证”,但安全、隐私、便利三者之间该如何做到平衡呢?
人脸识别,通常也被称作人像识别、面部识别,是基于人的脸部特征信息进行身份识别的一种生物识别技术。具体来讲,是用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部的一系列相关技术。
20世纪90年代末,人脸识别技术已经开始在国内发展应用。但随着近年来公众的隐私意识、个人信息保护意识很大提升,加上人脸信息极具敏感性,一旦泄露后果不堪设想,关于这项技术的争议也进入到大众视野,人脸识别第一案正是在这种背景下诞生的。
根据郭兵的起诉状显示,在2019年4月27日,郭兵购买了杭州野生动物世界的年卡,并一次性支付了年卡卡费1360元。办理该年卡时,杭州野生动物世界的年卡明确承诺在该卡有效期一年内(自2019年4月27日至2020年4月26日)通过同时验证年卡及指纹入园,可在该年度不限次数畅游。然而在10月17日,杭州野生动物世界在未与郭兵进行任何协商亦未征得同意的情况下,通过短信的方式告知原告“园区年卡系统已升级为人脸识别入园,原指纹识别已取消,未注册人脸识别的用户将无法正常入园”。
郭兵亲自确认了这一内容,并被告知若不进行人脸识别注册将无法入园,也无法办理退卡退费手续。
郭兵认为,园区升级后的年卡系统进行人脸识别将收集他的面部特征等个人生物识别信息,该类信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害包括原告在内的消费者人身和财产安全。
河南威鼎律师事务所尹晓柯律师对《商学院》记者表示,该案中杭州野生动物园确实存在强制收集用户信息的问题。
“我国网络安全法规定收集、使用个人信息时应当公开收集、使用规则并经被收集者同意。”网经社电子商务研究中心特约研究员、浙江垦丁律师事务所麻策律师进一步表示。北京志霖律师事务所副主任、中国政法大学知识产权研究中心研究员赵占领在接受《商学院》记者采访时则提到,用户在提供个人信息之前,可以根据自身需要选择是否提供。
“杭州野生动物园事件”并不是人脸识别第一次在国内引起争议,此前陌陌推出的AI变脸软件ZAO就遭遇诸多质疑。归根结底,ZAO涉及的也是人脸识别等敏感个人信息,人脸的肖像及面部识别特征,用户担心的是这些信息存在被泄露的风险。
赵占领表示,收集、使用人脸特征等生物特征信息,涉及到技术与法律的冲突、技术应用的边界,尤其是这种生物特征信息一旦泄露,造成的危害巨大,甚至难以采取有效的弥补措施。在他看来,收集者在收集个人信息之后,如果没有尽到法律规定的安全管理义务,由自身的管理或技术漏洞而导致个人信息外泄,则需要承担民事赔偿责任和行政责任,严重的甚至可能构成拒不履行信息网络安全管理义务罪。
“如果主动将收集的个人信息非法提供给第三方,该行为还可能涉嫌构成侵犯公民个人信息罪。用户可以根据具体情形确定维权的方式。”赵占领表示。
《商学院》记者在某二手交易平台上发现,有不少商家声称可以通过一张照片,在多款APP内进行人脸识别认证,甚至形成了一条完整的产业链。
一位声称专门进行支付宝人脸认证的商家向记者表示,只需要一张照片,他们就可以通过某种软件和技术破解对方的支付宝,成功率在70%左右。
对此,支付宝方面对《商学院》记者回应称,支付宝已经在蜻蜓等刷脸支付设备上配备了最新3D结构光摄像头,也会通过软硬件结合的方法进行检测,来判断采集到的人脸是否是照片、视频或者软件模拟生成的,能有效避免各种人脸伪造带来的身份冒用情况。同时,支付宝还会通过各种安全风控策略多重验证来确保账户的安全。
此外,支付宝方面还表示,用户的账户被盗用和冒用是极小概率事件,即便这种极小概率事件出现,支付宝也会通过保险公司进行全额赔付。
在该二手交易平台上,一位来自东北的商家向记者透露,出售用图片进行人脸识别认教程软件只是这条产业链中的一环。在他的下游是“料商”,他们手中掌握用户的身份证信息。在购买对方的教程软件之后,可以将买家对接给“料商”。
“料商”以每条2元的价格出售其他人的身份信息,包括姓名、身份证号、照片,买家在拿到信息之后,可以去部分APP进行注册,包括币帮、趣步等15个平台。
该商家表示,在平台领取并完成任务之后,可获得最低15元,最高25元的奖励。“对方给到的用户信息肯定是之前没有在该平台注册过的。”对方进一步说到。
360IoT创新产品部业务负责人孙浩在接受《商学院》记者采访时表示,用图片进行人脸识别的技术难度并不高,主要原因在于一些平台使用的是单目摄像机,获取息的维度有限。“如果设备允许,就增加传感器维度,通过结构光或者双目相机的方式获取深度信息,这样就可以解决使用照片去破解的问题;如果设备不允许,就要有一些额外的交互需求,如眨眼、摇头等,用户需要按照指示操作,也能增加一定的安全性。”孙浩说。
今年9月,网络上出现一段课堂行为分析视频——画面上的学生们正身处教室,而教室里的人工智能系统可以监测他们睡觉、举手、趴桌子和阅读次数。
这一视频引发网友热议,称有侵犯学生的隐私和尊严之嫌,而这一系统也将AI独角兽公司旷视科技推到了风口浪尖上。
彼时,旷视科技在官微发布声明,称网传课堂分析图片为技术场景化概念演示,并称旷视的智慧学校解决方案可协助学校管理人员提升效率并保障学生安全,主要用于智能校门、教室门及宿舍的出入。旷视在声明中也承诺,在人工智能技术的各种场景中,旷视科技会坚持正当性、数据隐私保护等核心原则。
旷视科技在采集和使用信息时会有哪些规范和要求,又是如何保证信息安全呢,旷视科技以正处于静默期为由拒绝了《商学院》记者的采访。
商汤科技则告诉记者称,来源于用户的数据均在用户授权情况下合法获取,并且所有数据仅供算法训练、迭代和技术提升,不被用做任何业务用途,不会透露给第三方。
尽管如此,很多人依然怀有这样的疑问:人脸识别技术到底应该恪守怎样的“游戏规则”,才能真正做到安全、隐私、便利之间的平衡呢?
众所周知,一个好的技术、好的产品,需要受到法律、人类伦理等社会规则的约束,因为技术和产品最终是为人类服务的。
赵占领向记者表示,目前我国还没有专门针对人脸识别技术相关的法律法规,但是个人信息保护方面有很多的法律,人的脸部特征这种生物信息也属于个人信息的范围,也是需要遵守网络安全法等相关法律法规的规定。
在他看来,收集、使用个人信息需要符合正当、合法、必要的原则,需要公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
对于必要原则,他进一步解释称,一般包括三个方面:
一是所收集的信息与所提供的产品或服务本身有直接的关联,比如社交软件需要读取手机通讯录、导航软件需要收集地理位置信息。
二是法律本身的要求,必须根据网络安全法等法律法规,对于需要实施实名制的领域,经营者要求用户提供身份证相关信息即属于此类;
三是为了改进产品或服务的用户体验,比如地铁、图书馆、景区等场所的经营者为了改进检查效率而引入人脸识别技术收集人脸特征信息。
“有些公权力机构为了维护公共安全、预防和打击犯罪,也使用人脸识别技术,这种也符合必要原则。”他一步说到。
互联网分析师丁道师则向《商学院》记者表示,人脸识别技术的技术应用时大势所趋,虽然存在安全和隐私泄露的隐患,但如果能够“有理有利有节”地利用,还是利大于弊的。
在他的逻辑中,“有理有利有节”是指不能因为近年频繁的数据安全问题而因噎废食,放弃了对数据和创新技术的应用,也不能因为单纯地看到技术应用带来的前景,而无节制地对数据和技术进行滥用也会带来数据危机。
互联网分析师葛甲则认为,要在三者之间找到平衡点不能单纯依靠企业,更为重要的是需要有法律条文作为支撑,明确企业采集、使用人脸信息等的规范和流程。
(来源:《商学院》杂志)