在河北邯郸市滏东美食林超市,一名消费者正展示“刷脸支付”后打印出的购物小票。 (新华社发)
日前在上海举行的GeekPwn2019国际安全极客大赛上,两位选手在参加人脸识别攻击模拟赛。 新华社记者 陈建力摄
属于计算机视觉的人脸识别,几年来取得了突破性进展,成为人工智能最热门的风口之一――刷脸支付、刷脸取快递、刷脸安检、刷脸入住酒店……“靠脸走遍天下”正在成为新技术带给人们生活和工作的“新常态”,一个个新的应用场景被开发出来。
因为不满动物园强制入园“刷脸”,浙江理工大学特聘副教授郭兵将杭州野生动物世界告上了法庭,理由是“保护隐私”。围绕这起“人脸识别第一案”,人们展开了对人脸识别技术边界的大讨论。
如今,我们的脸成了钥匙、公交卡、身份证……来自国金证券行业研报显示:全球40%的人工智能企业都涉及计算机视觉。另有市场咨询公司预测,2019年全球人脸识别市场的规模预计为32亿美元,到2024年该市场规模将达到79亿美元,复合年增长率高达16.6%。
但是,花海之下亦有荆棘。今年8月,人工智能换脸应用“ZAO”因违规收集人脸信息引发风险争议;今年9月,旷视科技因为几张演示教学监控人脸识别应用的PPT被骂上了微博热搜。全球范围内,争议同样存在,亚马逊的人脸识别门铃专利因涉嫌侵犯隐私遭到强烈抗议,微软则索性删除了自己最大的人脸识别数据库。
在隐私、安全和便利三者的平衡上,人脸识别技术到底应当恪守怎样的“游戏规则”?
“不知不觉”的“识别”
杭州野生动物世界对郭兵的回复颇有意思,动物园称,之前郭兵办理年卡时已经登记了真实姓名、电话、住址和身份证信息,甚至采集了指纹,“为什么只有人脸识别算作侵犯隐私呢?”
这实际上说出了公众对人脸识别的担忧之一。尽管都是生物识别手段,但指纹识别必须当事人主动配合,而人脸识别却可以“悄无声息”完成。一旦人脸信息被泄露或者滥用,就意味着个人合法权益有可能不知不觉地遭受侵害。
一系列对人脸识别的争议正来自这个“不知不觉”。比如人脸识别在教育领域中的应用,此前,中国药科大学表示要试点在教室安装摄像头刷脸考勤,并对学生课堂听课情况全面监控。“这些应用的做法很类似,就是每隔一段时间用摄像头扫描一次学生的脸,采集和分析他们的姿势、表情,并以此作为判断的依据。”教育部科学技术司司长雷朝滋随后回应称,要对人脸识别或者肢体识别的教育应用加以限制和规范,并希望“学校慎重使用”。
那么,从法律上讲,人脸信息到底如何定义?中国政法大学传播法研究中心副主任朱巍对此解释说,根据《网络安全法》相关规定,人脸识别信息属于“直接可识别”到个人身份的信息。所以,“人脸识别信息的性质并非知识产权的大数据,而是被依法纳入到隐私法范畴的个人敏感信息”。
在保护个人隐私方面,使用人脸识别信息的大原则也正是与“不知不觉”相对应的“知情同意”。中国法学会消费者权益保护法研究会副秘书长陈音江表示:“经营者必须要在确保信息安全的前提下,事先经过消费者同意并告知其使用方式和使用范围后,才能采集人脸信息。”朱巍则补充说:“用户应充分知情,并保障自己的选择权和退出权。此外,用户应享有删除权、更正权、控制权和注销权,这些基本权利是个人信息合理使用的前提。”
“刷脸”是否安全
除了对隐私的担忧,公众对人脸识别技术另一方向的忧虑来自于技术本身的安全。此前,浙江小学生发现打印照片就能代替“刷脸”,骗过小区里的丰巢快递柜的新闻,似乎正是其“不靠谱”的写照。
但果真如此吗?与对隐私的担忧相比,对“刷脸”技术本身安全性的忧虑却有恐慌之嫌。有人脸识别专家告诉经济日报记者,实际上快递柜能被照片蒙骗,主要是因为其中并未加入活体检测技术,“如今连活体检测都不用就敢‘放出来’的人脸识别技术应用相当罕见”。
从技术本身来看,目前人脸识别分为2D和3D两种技术方案,以支付宝和微信的“刷脸支付”为例,两者使用的都是3D人脸识别技术,会通过软硬件结合的方法开展检测,来判断采集到的人脸是否为活体,可有效防范视频、纸片等冒充。
银行卡检测中心金融科技研究室主任李博文表示,拿支付场景来说,人脸识别必须包括活体检测、终端安全、辨识算法和信息保护几项技术,“按照《人脸识别线下支付安全应用技术规范(试行)》,在万分之一误识率下的识别通过率为98.3%,十万分之一误识率下的识别通过率为98%”。这就意味着,机器识别的准确性超过人工。
“人脸识别服务商还通过诸如绑定设备,有人值守应用场景和多维校验方式增强人脸识别安全性。”奇安信网络安全研究中心主任裴智勇表示。
然而,人脸识别技术本身的安全与数据安全又不是一回事。人脸识别技术供应商瑞为科技首席技术官何一凡表示,安全问题可能并不与人脸识别这样的生物识别技术直接相关,而是在线上服务和交易系统中对敏感数据采集、存储、使用以及共享等环节出现的问题,“这就和所有的信息泄露一样,属于系统安全问题”。
答案并非“三选一”
既然如此,为了保护隐私和安全,不“刷脸”不就行了吗?
然而,《关于防止未成年人沉迷网络游戏的通知》刚刚下发,其中规定“每日22时到次日8时不得为未成年人提供游戏服务”,如何真正令行禁止,依然要靠人脸识别。多家游戏厂商已表示,在原有身份证认证的基础上引入人脸识别技术,以加强关于网络游戏账号实名注册的监管。
在深圳,去年有超过一万名退休老人通过“刷脸”领取养老金。“百姓少跑腿,数据多跑路”,“刷脸”在多项“互联网+政务”服务中完成着其他技术难以取代的重要工作。在新技术快速推广和使用的过程中,隐私、安全和效率“三选一”,答案并非真能如此简单粗暴,真正有效的方式是找到三者之间平衡的那个点,画下一条“红线”。
这条线当然来自企业自律。腾讯方面曾表示,在支付场景的人脸特征采集,要坚持“用户授权、最小够用”原则,提前告知信息使用的目的和方式,明确获得用户授权同意,避免采集与需求无关的特征,同时坚持“表达意愿、严格确权”原则。
这条线更应该来自监管。目前,各国都在尝试用法律为人脸识别技术的应用指引方向。在我国,《个人信息保护法》也已被纳入十三届全国人大常委会立法规划。西南政法大学副教授蔡斐表示,在法律框架下,对人脸识别技术的大规模使用可以提出“必要性原则”“比例原则”“正当程序原则”,甚至在某些特殊场景下考虑设立禁用“黑名单”制度,用制度的刚性来确保“科技向善”。
中国警察法学研究会反恐与网络安全治理专委会常委副主任秦安则表示,在应用场景之外,对人脸识别服务商的技术安全,同样应该有硬性规定来确保相关安全制度的建立。