为什么反感人脸识别?
疫情带来的无接触需求,加速了人脸识别技术的应用进程。
2020年7月1日,家住北京市西城区某小区的范林(化名)突然收到了一则物业发来的消息:小区计划安装人脸识别门禁系统,业主上传人脸照片并根据提示完成操作后就可以刷脸出入小区。范林有些疑惑,刷卡门禁系统并没有出现故障,人脸识别只是省去了刷卡的时间,似乎有点多余。“其实我更担心个人信息泄露、被盗用。”范林曾和几个邻居一起向物业提出质疑,但得到的是人脸“不另作他用”的口头答复。没过几天,人脸识别设备已经出现在小区锈迹斑斑的铁门上。
范林的质疑并非多余。近两年,人脸识别几乎让人无法拒绝:从安防、交通等公共服务领域延伸到支付转账、实名登记、解锁解密等越来越多的商业化场景。新技术带来便利的同时,也让人们在随处可见的摄像头下近乎“裸奔”。规范个人生物信息采集的呼声日渐高涨,将于今年1月1日起施行的《中华人民共和国民法典》(以下简称“《民法典》”)规定,处理生物识别信息等自然人的个人信息,应当遵循合法、正当、必要原则,不得过度处理。
为何反感?
据媒体报道,浙江一小学的“科学小队”在课外科学实验中发现,用一张打印的照片就能轻松“破解”丰巢智能柜的“刷脸取件”系统,取出父母的快件。
人脸识别受到抵制不是个例。在“戴着头盔看房”“公厕刷脸取纸”等事件引发热议前,浙江理工大学法政学院特聘副教授郭兵因不满杭州野生动物世界有限公司将入园方式由指纹识别升级为人脸识别,把后者告上法庭,被称为“人脸识别第一案”。
中国电子技术标准化研究院信安中心测评实验室副主任何延哲认为,强制性是人脸识别在上述案例中的共同特征。“人脸解锁手机屏,用户尚能选择用或不用,必须刷脸才能进动物园、售楼处隐藏拍摄,是对公众知情权、选择权的剥夺,必然引起反感。”
“以前更多是政府权威部门出于提高效率和公共安全的目的使用,现在被低成本复制在各种商业场景下,个人信息泄露、被滥用的几率大大提升。”何延哲解释,人脸是生物信息的一种,既有一般生物信息的唯一性,又具备采集的便捷性。“除此以外的指纹、静脉、虹膜等要在有专业设备的条件下才能把个人信息识别出来,而随处可见的智能抓拍设备能在非接触的瞬间捕获人脸并作出识别。”
事实上,人脸识别受到抵制更多是因为人们不能确定人脸信息的使用目的是否被变更——这个问题在很多时候都是无解的。
记者观察发现,小区的人脸识别设备一般由保安一人看管,居民刷脸出入时显示屏上出现的个人信息也没有被特别保护。“这种现象几乎是通病。”一位不愿具名的业内人士告诉记者,设备安装完在使用上只要没有“硬伤”,一般不会有人关心人脸安不安全,“信息在存储环节是否泄露、泄露后被拿来做了什么,普通人很难知道。但稍微懂点技术的人都可以抓取,放到暗网上打包出售。”
据《人脸识别应用公众调研报告(2020)》显示,有三成受访者已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。此前据央视新闻报道,在某些网络交易平台上,只要花2元钱就能买到上千张人脸照片,而5000多张人脸照片标价不到10元。
何延哲表示,人脸信息被不法分子用来解锁支付软件、注册公司作假账已不鲜见,“不过如果没有和身份信息做关联,被拿来作恶时的链条是不完整的。这个角度来讲,人脸识别也使这些违规行为的门槛变高了。”
行业自律与监管补位
为规范人脸识别线下支付应用创新,防范刷脸支付安全风险,中国支付清算协会组织制定了《人脸识别线下支付行业自律公约(试行)》。
据有关报告显示,我国2018年人脸识别行业市场规模达到25.1亿元,预计未来5年,在23%的平均增长下,有望突破100亿元。从事人脸识别技术开发的企业几乎跑步入场,这不仅要求它们更加自律,也对立法监管提出了更高要求。
今年1月1日起实施的《天津市社会信用条例》是首个规范人脸识别使用的地方立法,规定市场信用信息提供单位不得采集自然人的信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息;《杭州市物业管理条例(修订草案)》则明确,“物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。”如果该条例审议通过,将成为国内首部对小区人脸识别作出规范的法定条文。
除了地方立法,国家立法中不仅有《民法典》,去年10月1日起实施的《信息安全技术个人信息安全规范》也明确提出:收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;《中华人民共和国个人信息保护法(草案)》征求意见稿也强调,只有具有特定的目的和充分的必要性,方可处理敏感的个人信息。
事实上,已经出台或正在酝酿的法规并不排斥使用人脸识别技术,但强调公民的知情权、选择权,以及人脸采集的必要性。也有专家建议把人脸识别应用纳入行政许可范围,何延哲认可这是一种风险控制,但表示直接形成行政清单有难度,“未来两年内,行业可以通过深度学习变更人脸特征值。”
上述业内人士坦言,安全并不难实现,难的是部分企业越过合规边界,致使整个行业背黑锅。何延哲也认为,目前对人脸识别持批评态度的居多。但人们对监管的期待无疑更多。何延哲透露,全国信息安全标准化技术委员会正制定人脸识别国家标准,目前已经摸清楚问题,但在提出措施时会有更多考虑,“不能简单说‘用’或‘不用’,最终的目的是使技术更好为社会服务。”
相较于线下应用,手机APP使用人脸识别技术具备天然优势,且滥用趋势明显。“比如换脸、人脸算命APP,完全脱离了人脸识别用于实人认证的初衷。”何延哲表示,手机有现成的传感器,不像终端开发那么复杂,只要嵌入一个软件就可以实现人脸识别。2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合成立App专项治理工作组,何延哲也参与其中。他表示,下一步工作组将整治人脸识别滥用作为工作重点,在充分调研的基础上加大整改力度。