人脸识别技术的研究最早起源于20世纪60年代,到90年代进入了初级应用阶段。近年来,随着计算机视觉技术、大数据、人工智能、机器学习等技术的疾速发展,人脸识别技术在各国出现了爆发式增长,给人们的工作和生活带来了极大便利。
根据全球第二大市场研究机构Markets and Markets年中发布的预测,2019年全球人脸识别市场规模预计为32亿美元,五年后将达79亿美元,市场的主要驱动力来自于各国政府、国土安全、金融、零售、医疗保健等服务领域。然而,人脸识别技术在快速发展、深入社会的同时,也给我们带来了诸多安全挑战。个人隐私数据泄漏、技术滥用等造成的信息安全风险问题亟待解决。2019年发生的多起人脸识别安全事件已引起了全球各界人士对人脸识别技术应用规制的深层反思。
人脸识别技术带来的新机遇
目前,从全球人脸识别技术领域的应用场景布局来看,安防、金融、交通是相对布局较为成熟的领域,而在零售、广告、智能设备、教育、医疗、娱乐等领域也均有较多应用场景,为经济社会的发展以及人们日常生活的便捷带来了新机遇。
1.智能安防领域随着智慧城市、大数据、人工智能等项目开展和技术应用,智能安防领域对于人脸识别技术的需求越来越大。人脸识别作为一种非常重要的身份识别手段,在公安巡检、网上追逃、户籍调查、证件查验等方面得到了广泛应用。同时,人脸识别也可以用作访问控制的一种手段,延伸出了诸如考勤系统、门禁系统等方面的应用,确保只有经过授权的人员才能进入某些区域。
2.金融交易领域人脸识别在金融交易领域的应用也非常普遍,其应用场景主要包括人脸识别存取款、电子银行远程开户、在线网络支付等方面。早在2013年,芬兰创业公司Uniqul就推出了全球第一款基于脸部识别系统的支付平台。Uniqul的人脸识别系统将用户面部生物数据与数据库中的账户匹配,短时间内即可快速完成身份确认和交易流程。
3.公共交通领域人脸识别技术在公共交通中的应用主要包含航空、火车、汽车、地铁等公共出行领域。国际民航组织规定,自2010年起,118个成员国家及地区必须使用机读护照,而人脸识别则成了首选模式。人脸识别技术在航空安检中率先得到应用,而后逐渐扩展到部分城市的火车站和地铁站等公共交通安保领域。
4.营销零售领域目前,人脸识别在营销零售领域的应用正快速扩展。以无人零售为代表的新零售场景大量使用了人脸识别技术,无人售货机遍布各大商场、楼宇、地铁、车站等公共场所,无人便利店自2017年起广泛使用了人脸识别安全系统。此外,人脸识别技术还广泛应用于广告投放和识别客户信息(如客户性别、年龄、表情、肤质、观看广告时长等),并通过分析这些数据有针对性地向客户推送最有吸引力的广告。早在2013年,全球第三大零售巨头Tesco(乐购)就曾宣布,计划在英国450间加油站便利店的广告荧屏上加入一项叫OptimEyes的人脸识别技术。OptimEyes可根据感知到的受众情况智能选择投放广告内容。
5.智能设备解锁2017年9月,苹果新版手机iPhoneX率先应用了FaceID屏幕解锁功能,随后,各大手机品牌厂商相继应用了人脸识别解锁功能,引发了智能终端设备人脸识别应用的热潮,成了人脸识别产业新的快速增长点。
6.医疗领域2019年1月,《自然》杂志刊载了人工智能公司FDNA发布的一项最新研究:DeepGestalt是基于深度学习的人脸识别医疗系统,可以通过人脸识别技术辨识基因疾病,从而帮助医生进行诊断。FDNA的研究人员训练了17000多张面部图像,能够以较高的精度从人脸照片中识别出罕见的遗传综合征。目前,经过训练的DeepGestalt大约能从面容上识别200多个综合征,准确率达到91%左右。
7.教育领域除了在各种重大考试中应用人脸识别技术防止舞弊,人脸识别技术也应用于课堂签到、课堂效果监测等方面。在课堂上运用人脸识别技术,通过对学生面部表情进行识别,根据学生的情绪表现监测分析,从而可以进一步提升教学效果。卡内基梅隆大学(CMU)的研究人员曾展示过一套全面的实时传感系统——“EduSense”。该系统使用两台壁挂式摄像头(一台对着学生,一台对着老师),单个摄像头可以看到教室中的每个人,并自动识别信息,并可以对视频和音频进行分析。
8.寻找失踪人口人脸识别系统已经成为寻找失踪人口的有效工具之一。将失踪人员照片添加到数据库中,运用人脸识别技术进行信息比对,可及时向执法人员发出警报通知。2019年4月,印度妇女和儿童发展部向高等法院提交的一份文件显示,德里警方通过人脸识别技术,在4天时间里,从45,000生活在儿童之家的儿童中识别出2930失踪儿童,并确认了他们的身份,努力协助他们与家人团聚。
个人隐私和数据保护的隐患
人脸识别技术应用在提升身份认证便捷度和效率的同时,也给个人隐私和数据保护带来了巨大的挑战。仅在2019年,媒体就报道了多起人脸识别技术使用不当的相关事件:
问题场景一——数据泄露隐患:6月6日,微软公司疑似因隐私保护和授权瑕疵方面的原因删除了曾为全球最大的人脸识别数据库MS Celeb。据悉,MS Celeb数据库于2016年发布,拥有超过1000万张图像以及将近10万人的面部信息,用于培训全球科技公司和军事研究人员的面部识别系统。而在微软删除该数据库前,IBM、松下电气、阿里巴巴、辉达、日立、商汤科技、旷视科技等多个商业组织都曾使用过MS Celeb数据库。
问题场景二——使用必要性存疑:8月21日,瑞典北斯部盖乐夫提市的一所高中因使用面部识别技术来监控学生的出勤情况,被瑞典数据监管机构(The Swedish Data Inspection Authority,DPA)处以20万瑞典克朗(人民币14.8万元)的罚款。这是欧盟的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)生效以来,瑞典数据监管机构公布的首张罚单。瑞典数据监管机构认为,该学校使用面部识别技术来监控学生的出勤情况,事先未向瑞典DPA寻求咨询,在日常环境中对学生进行摄像监控等行为侵犯了学生的隐私,违反了GDPR关于处理敏感生物特征数据的规定。
问题场景三——滥用数据风险:此前,伊利诺伊州的一起集体诉讼案指控脸书公司滥用面部识别数据,并要求赔偿350亿美元,脸书要求美国一家法院驳回此案。10月18日,旧金山第九巡回法院的三名法官组成的小组驳回了脸书的请求。此案涉及700万用户,脸书可能会面临向每个用户赔偿1000至5000美元的罚款,总罚款金额最高可能达到350亿美元。法庭文件说:“脸书的面部识别技术违反了伊利诺伊州的生物特征信息隐私法(BIPA)。违反BIPA的规定实际上损害了用户的隐私,或会对他们的隐私构成实质性的威胁。”
问题场景四——安全隐忧:12月12日,美国人工智能公司Kneron测试团队在荷兰最大的机场史基浦机场用手机屏幕上的一张照片骗过了自助登机终端,再次引起了人们对人脸识别准确性和安全性的关注。此外,该团队还用一个特制的3D面具成功蒙骗了微信和支付宝等人脸识别支付系统。同样引起了人们对人脸识别支付安全性的担忧。上述事件报道不仅引起了公众的对人脸识别技术应用边界与个人隐私保护的高度关注,也促使业界和监管者对一路高歌猛进的人脸识别应用进行深刻反思。
第一,严重侵犯个人隐私。首先,大部分公共场所在采集人脸信息时并未明确告知,使得被动采集成为常态;其次,在机场、火车站、公园、银行、学校、公司(小区)门禁或考勤等人脸识别的应用中用户几乎完全没有选择权利,只能被动接受;再次,人脸识别技术滥用,隐私安全风险高筑,面相分析、换脸、换装、试妆、测肤质等娱乐小程序,以及刷脸支付售货机等随处可见,毫无边界的人脸识别技术应用,正肆无忌惮地收集着用户的人脸数据及个人隐私。
第二,数据安全保障机制缺失。数据采集、存储与使用等规范缺失,导致数据泄漏风险极高。首先,当前关于人脸识别技术产品生产企业资质、产品的安全标准和市场准入标准,数据的存储资质和时限,以及对已获取数据的使用权限等缺少明确规定。其次,生产企业和提供应用服务的企业在数据存储和使用中缺乏透明度。再次,网络安全生态环境持续恶化,人脸数据库泄漏事件也时有发生。
第三,识别技术有待进一步完善。目前,人脸识别应用还达不到百分之百的准确。尤其是针对不同种族和民族群体识别的错误率差异比较大。例如,麻省理工媒体实验室和微软的一项合作研究曾显示,人脸识别的准确率与肤色高度相关。当被识别的图像中为白人时,正确率超过90%;而对于肤色较深的女性,准确率仅为65%。因此,用于比对的基础数据库不仅需要考虑种族和民族样本平衡性,也需要尽可能确保样本数量的有效性。此外,姿势、装饰(帽子、眼镜、口罩等)和光线等变量均会对识别结果产生影响。
第四,部分不当应用可能导致歧视。现今,人脸识别技术在招聘、交友、婚恋、教育等领域也屡见不鲜。通过对人脸数据的分析,对个体的性格、心理、能力、情商等进行评定,给出相应建议。然而,限于技术水平、原始数据精准度、算法隐含的价值判断,以及数据库样本量的有效性等诸多因素,使得这类应用可能扩大某种偏见,引发歧视。此外,作为身份验证手段,人脸识别技术存在先天缺陷。相对于指纹、虹膜、声音、声纹、基因等其他用于身份识别的生物信息,人脸暴露度较高,更容易实现被动采集。这也同时意味着人脸信息的数据更容易被窃取,不仅可能侵犯个人隐私,还会带来财产损失,甚至大规模的数据库泄露还会对一个族群或国家带来安全风险。
针对上述问题,有必要对人脸识别技术的无限制推广和扩张及时“刹车”,并尽快采取相应措施防范和规制人脸识别技术的应用。
如何防范人脸识别技术的潜在风险
人脸识别技术本质上是一种基于大规模人脸数据分析的人工智能身份验证应用技术。因此,合理和合法使用该项技术,还需充分认识人脸数据的意义和价值:一是,人脸数据可被还原成人脸图像,关涉到个体的肖像权,因而相关滥用行为极易侵犯此项权益;二是,在数字经济时代,人脸数据具有一定的经济价值。一方面,基于人脸数据的人脸识别技术应用给相关企业和行业带来了巨大的经济利润,而用户不仅几乎没有得到任何经济补偿,甚至还可能给自身的权益受到侵害埋下巨大隐患;另一方面,作为身份识别和验证的人脸数据,一旦被窃取、滥用,可能给用户直接带来安全威胁或财产损失,如门禁和支付应用。有效防范人脸识别技术可能带来的风险需要从完善相关法规政策、加强政府监管、提高行业自律和提升个体素养等层面系统规避人脸识别技术应用带来的风险和挑战。
第一,需尽快完善包括人脸识别在内的人体生物信息使用法律法规。应划定人脸识别技术使用边界,并建立人脸识别技术应用申报备案和审批制度。遵循“必要性”原则,防止因商业利益滥用此技术。例如,对于非封闭式公共场所安装人脸识别设备(如公园验票等)必要性展开充分评估。
第二,采集人脸数据前须告知用途和可能风险,以保障公众知情权与选择权,防止企业过度收集和利用。尤其是企业或政府机构在公共场合以拍摄、录像、扫描等方式采集可在人脸识别中使用的数据,应公开、明确告知,以便不愿被采集的人可以避开这些区域。同时,对于一些商业或娱乐性应用,不仅必须履行告知义务,还需为用户提供“退出”选项。即当用户不想再继续授权使用其面部数据时,应用提供方必须提供“退出”或“删除”路径,以确保被采集方的“选择权”和“被遗忘权”。
第三,对人脸数据存储权限做出明确规定,确保数据在采集、传输、使用和存储过程中的安全性。可通过第三方认证的方式,确认企业是否具有相应技术能力保障人脸数据的安全性。此外,人脸数据应采取本地存储方式,并禁止跨境流动。
第四,根据数据用途,明确规定人脸数据的存储主体、时限和采集,以最大限度保证数据安全。人脸识别技术使用过程中通常涉及人脸识别技术产品提供方和采纳方。其中,采纳方既包括维护公共安全的特殊主体相关政府公共管理部门,同时也包括一般的企事业单位主体。但无论是哪类主体都需避免滥用职权过度采集人脸数据,并同时承担数据保护的责任。依据人脸数据的使用目的和需要,可将数据的存储时限分为即时、短期和长期三类,并尽可能选择即时存储方式,即比对后不对扫描到的人脸数据进行保存。
第五,应建立和健全行业组织,建立人脸识别行业自律准则。在数字时代,技术发展日新月异,法律法规滞后于技术发展已经成为新常态。因此,完全寄希望于政府治理人脸识别既不可能,也不现实。因此,建立人脸识别技术企业联盟类组织,确立相应伦理原则和安全标准,有利于人脸识别行业良性发展。
第六,认识人脸数据的价值,增强隐私自我保护意识。当前,人脸识别技术正处于快速应用之中,个人在面临各种信息采集的同时,必须要增强自我隐私保护意识,认真阅读相关隐私条款,对于信任度有存疑可能的应用,应当明确拒绝其信息收集行为,警惕个人隐私泄漏风险。