日前在上海舉行的GeekPwn2019國際安全極客大賽上,兩位選手在參加人臉識別攻擊模擬賽。 新華社記者 陳建力攝
屬于計算機視覺的人臉識別,幾年來取得了突破性進展,成為人工智能最熱門的風口之一——刷臉支付、刷臉取快遞、刷臉安檢、刷臉入住酒店……“靠臉走遍天下”正在成為新技術(shù)帶給人們生活和工作的“新常態(tài)”,一個個新的應用場景被開發(fā)出來。
因為不滿動物園強制入園“刷臉”,浙江理工大學特聘副教授郭兵將杭州野生動物世界告上了法庭,理由是“保護隱私”。圍繞這起“人臉識別第一案”,人們展開了對人臉識別技術(shù)邊界的大討論。
如今,我們的臉成了鑰匙、公交卡、身份證……來自國金證券行業(yè)研報顯示:全球40%的人工智能企業(yè)都涉及計算機視覺。另有市場咨詢公司預測,2019年全球人臉識別市場的規(guī)模預計為32億美元,到2024年該市場規(guī)模將達到79億美元,復合年增長率高達16.6%。
但是,花海之下亦有荊棘。今年8月,人工智能換臉應用“ZAO”因違規(guī)收集人臉信息引發(fā)風險爭議;今年9月,曠視科技因為幾張演示教學監(jiān)控人臉識別應用的PPT被罵上了微博熱搜。全球范圍內(nèi),爭議同樣存在,亞馬遜的人臉識別門鈴專利因涉嫌侵犯隱私遭到強烈抗議,微軟則索性刪除了自己最大的人臉識別數(shù)據(jù)庫。
在隱私、安全和便利三者的平衡上,人臉識別技術(shù)到底應當恪守怎樣的“游戲規(guī)則”?
“不知不覺”的“識別”
杭州野生動物世界對郭兵的回復頗有意思,動物園稱,之前郭兵辦理年卡時已經(jīng)登記了真實姓名、電話、住址和身份證信息,甚至采集了指紋,“為什么只有人臉識別算作侵犯隱私呢?”
這實際上說出了公眾對人臉識別的擔憂之一。盡管都是生物識別手段,但指紋識別必須當事人主動配合,而人臉識別卻可以“悄無聲息”完成。一旦人臉信息被泄露或者濫用,就意味著個人合法權(quán)益有可能不知不覺地遭受侵害。
一系列對人臉識別的爭議正來自這個“不知不覺”。比如人臉識別在教育領(lǐng)域中的應用,此前,中國藥科大學表示要試點在教室安裝攝像頭刷臉考勤,并對學生課堂聽課情況全面監(jiān)控。“這些應用的做法很類似,就是每隔一段時間用攝像頭掃描一次學生的臉,采集和分析他們的姿勢、表情,并以此作為判斷的依據(jù)。”教育部科學技術(shù)司司長雷朝滋隨后回應稱,要對人臉識別或者肢體識別的教育應用加以限制和規(guī)范,并希望“學校慎重使用”。
那么,從法律上講,人臉信息到底如何定義?中國政法大學傳播法研究中心副主任朱巍對此解釋說,根據(jù)《網(wǎng)絡安全法》相關(guān)規(guī)定,人臉識別信息屬于“直接可識別”到個人身份的信息。所以,“人臉識別信息的性質(zhì)并非知識產(chǎn)權(quán)的大數(shù)據(jù),而是被依法納入到隱私法范疇的個人敏感信息”。
在保護個人隱私方面,使用人臉識別信息的大原則也正是與“不知不覺”相對應的“知情同意”。中國法學會消費者權(quán)益保護法研究會副秘書長陳音江表示:“經(jīng)營者必須要在確保信息安全的前提下,事先經(jīng)過消費者同意并告知其使用方式和使用范圍后,才能采集人臉信息。”朱巍則補充說:“用戶應充分知情,并保障自己的選擇權(quán)和退出權(quán)。此外,用戶應享有刪除權(quán)、更正權(quán)、控制權(quán)和注銷權(quán),這些基本權(quán)利是個人信息合理使用的前提。”
“刷臉”是否安全
除了對隱私的擔憂,公眾對人臉識別技術(shù)另一方向的憂慮來自于技術(shù)本身的安全。此前,浙江小學生發(fā)現(xiàn)打印照片就能代替“刷臉”,騙過小區(qū)里的豐巢快遞柜的新聞,似乎正是其“不靠譜”的寫照。
但果真如此嗎?與對隱私的擔憂相比,對“刷臉”技術(shù)本身安全性的憂慮卻有恐慌之嫌。有人臉識別專家告訴經(jīng)濟日報記者,實際上快遞柜能被照片蒙騙,主要是因為其中并未加入活體檢測技術(shù),“如今連活體檢測都不用就敢‘放出來’的人臉識別技術(shù)應用相當罕見”。
從技術(shù)本身來看,目前人臉識別分為2D和3D兩種技術(shù)方案,以支付寶和微信的“刷臉支付”為例,兩者使用的都是3D人臉識別技術(shù),會通過軟硬件結(jié)合的方法開展檢測,來判斷采集到的人臉是否為活體,可有效防范視頻、紙片等冒充。
銀行卡檢測中心金融科技研究室主任李博文表示,拿支付場景來說,人臉識別必須包括活體檢測、終端安全、辨識算法和信息保護幾項技術(shù),“按照《人臉識別線下支付安全應用技術(shù)規(guī)范(試行)》,在萬分之一誤識率下的識別通過率為98.3%,十萬分之一誤識率下的識別通過率為98%”。這就意味著,機器識別的準確性超過人工。
“人臉識別服務商還通過諸如綁定設備,有人值守應用場景和多維校驗方式增強人臉識別安全性。”奇安信網(wǎng)絡安全研究中心主任裴智勇表示。
然而,人臉識別技術(shù)本身的安全與數(shù)據(jù)安全又不是一回事。人臉識別技術(shù)供應商瑞為科技首席技術(shù)官何一凡表示,安全問題可能并不與人臉識別這樣的生物識別技術(shù)直接相關(guān),而是在線上服務和交易系統(tǒng)中對敏感數(shù)據(jù)采集、存儲、使用以及共享等環(huán)節(jié)出現(xiàn)的問題,“這就和所有的信息泄露一樣,屬于系統(tǒng)安全問題”。
答案并非“三選一”
既然如此,為了保護隱私和安全,不“刷臉”不就行了嗎?
然而,《關(guān)于防止未成年人沉迷網(wǎng)絡游戲的通知》剛剛下發(fā),其中規(guī)定“每日22時到次日8時不得為未成年人提供游戲服務”,如何真正令行禁止,依然要靠人臉識別。多家游戲廠商已表示,在原有身份證認證的基礎(chǔ)上引入人臉識別技術(shù),以加強關(guān)于網(wǎng)絡游戲賬號實名注冊的監(jiān)管。
在深圳,去年有超過一萬名退休老人通過“刷臉”領(lǐng)取養(yǎng)老金。“百姓少跑腿,數(shù)據(jù)多跑路”,“刷臉”在多項“互聯(lián)網(wǎng)+政務”服務中完成著其他技術(shù)難以取代的重要工作。在新技術(shù)快速推廣和使用的過程中,隱私、安全和效率“三選一”,答案并非真能如此簡單粗暴,真正有效的方式是找到三者之間平衡的那個點,畫下一條“紅線”。
這條線當然來自企業(yè)自律。騰訊方面曾表示,在支付場景的人臉特征采集,要堅持“用戶授權(quán)、最小夠用”原則,提前告知信息使用的目的和方式,明確獲得用戶授權(quán)同意,避免采集與需求無關(guān)的特征,同時堅持“表達意愿、嚴格確權(quán)”原則。
這條線更應該來自監(jiān)管。目前,各國都在嘗試用法律為人臉識別技術(shù)的應用指引方向。在我國,《個人信息保護法》也已被納入十三屆全國人大常委會立法規(guī)劃。西南政法大學副教授蔡斐表示,在法律框架下,對人臉識別技術(shù)的大規(guī)模使用可以提出“必要性原則”“比例原則”“正當程序原則”,甚至在某些特殊場景下考慮設立禁用“黑名單”制度,用制度的剛性來確保“科技向善”。
中國警察法學研究會反恐與網(wǎng)絡安全治理專委會常委副主任秦安則表示,在應用場景之外,對人臉識別服務商的技術(shù)安全,同樣應該有硬性規(guī)定來確保相關(guān)安全制度的建立。