车宁 徐丽捷
作为人类历史上最具效率的经济组织方式,市场经济较之以往游牧经济、农耕经济更能释放生产力的秘诀就在于“物化”乃至“金融化”。曾几何时,物化的对象还主要集中于自然资源和人的劳动,进入数字时代,人本身包括社会关系、行为方式乃至生物特征等都成了物化的对象。数据作为新经济的“原油”,在驱动历史洪流滚滚向前的同时,却也在信息安全、隐私保护方面留下一地鸡毛。
伴随数字经济对传统社会关系渗透改造的加强,对个人信息的关注也西风东渐,在中国引起强烈关注。从媒体对特斯拉“隐私门”的广泛报道到“3·15”晚会对多家知名商店违法安装人脸识别设备的曝光;从全国人大法工委提出“个人信息保护法草案应对人脸识别信息处理作出专门规定”,到全国“两会”期间委员联合提案建议建立人脸识别的网络及信息安全监管体系,无不说明了这一点。
在种种争论、焦虑乃至恐慌中,成为众矢之的的莫过于人脸识别。本来,在种种安全技术中,人脸识别因为在成本、技术、门槛以及体验上的综合优势,不但力压数字密码、电子证书等传统技术,就连系出同门的指纹、声纹等也自叹不如,成为名副其实的“希望之星”。只是春风得意不过数年便遭逢信息安全大潮的“水逆”,展望未来,人脸识别还有多少含“金”量?
在那个“大众创业、万众创新”的镀金时代,一句俏皮话曾经火遍大江南北——站在风口上猪都能飞。很明显,经历了泥沙俱下的时间洗礼,有着硬核实力和真实应用的人脸识别并不是那只会飞的猪。
按照行业一般看法,人脸识别可以简单概括为机器对静态或视频中的人脸图像进行特征提取、分类识别,以达到身份鉴别的目的,其功能归纳起来主要是身份验证和监控。
随着技术本身的快速进步、市场应用需求的日益凸显,以及各路资本的竞相热捧,人脸识别的应用不断升温,在政府机构的公共应用和非政府机构的商业应用与慈善应用的场景和功能与日俱增。
然而在互联网经济退潮之后,人脸识别虽不至于在“裸泳”,但却也暴露出曾掩映在高速发展光环下的种种先天缺陷:
首先,人脸识别主打的无感识别正在走向自己的反面,核心在于人是“被”識别而非主动识别,这还不仅仅是信息安全、隐私保护、人格尊严等的问题,即使在技术层面也暴露出人脸识别的一大短板:一方面,人脸识别固然在验证是否本人方面功效卓著(虽然也会受到自然条件如光线等的影响,以及识别率的调节);但另一方面,被动的人脸识别在行为意愿与否的验证上却需要进化以及其他技术的支持。
其次,人脸识别的安全认证对象是人脸,而作为人体主要生物特征且寄托社会关系和情感因素的人脸,却很难甚至不能更换。一者,人脸不可避免地持续暴露在外,增加了被破解、被利用的几率;二者,更改密码等安全要素、各类密码不能混同等本是基本的安全常识,但人脸却不能满足这些策略;三者,人脸是自然生成,具有随机性,识别也主要是靠一个个元素试错性的积累,这从根本上无法避免“撞脸”的可能。
最后,物化及反物化的撕裂已经并将如影随形地持续影响人脸识别应用。表面上看,人脸识别是将自然生物特征密码化,是从工具到工具,实质上看,由于人脸的社会属性,人脸识别却是将人格权利工具化,是从人到物。特别是在被互联网刺激整合的民粹主义思潮影响下,张扬个性、反对物化的号召到处引起共鸣,再考虑到哲学社会科学以及法律领域对信息权利归属并没有权威解释、规范而莫衷一是,人脸识别的合规压力显然具有长期性和深刻性。
在互联网经济退潮之后,人脸识别虽不至于在“裸泳”,但却也暴露出曾掩映在高速发展光环下的种种先天缺陷。图/IC
除了技术层面的先天缺陷外,人脸识别在应用层面也遇到重重挑战:
挑战首先来自业界自身。从发展历程看来,人脸识别作为前沿的安全技术,其向传统行业的普及始终与作为主要推动力量的互联网相进退。现在,互联网越来越成为一种通用技术、一种基础设施,人们对其应用的需求已经从此前的便捷高效,跨越到安全、合规领域。
尤为重要的是,一方面,业界对人脸识别还缺乏整合,商业机构各行其是,行业没有统一声音,共性问题成为“公地悲剧”,在人性道德陷阱下由于资金缺乏而破题艰难;另一方面,一些曾经失意的竞争对手却卷土重来,比如电子证书解决了便携问题,指纹识别优化了安全功能,它们或者自身进化、或者强强联合,已然成为颇具规模的替代方案。
另外,人脸识别对网络渠道的路径依赖正逐渐成为其应用上的最大掣肘。
以金融领域为例,一者,行业已经过了渠道线上化而进入经营线上化的时代,这就要求人脸识别不能还只作为登录、支付等掌上银行交易环节的验证工具,而是向中后台应用延伸,需要支持金融机构风控、信贷等更深层次的核心要求,但现实却是人脸识别的应用纵深并不够,并不能直接、独立提升经营管理效率。
再者,人脸识别及与其相关的人工智能等在一定程度上也可以称为“劳动密集型”产业,需要大规模的人工通过经验主义的方式对AI进行个案辅导以提升识别等能力。但现在由于成本控制的考量,人工还只停留于一般劳动者的简单劳动。
然而行业解决方案需要的却是基于专家经验的技术应用,人脸识别与场景的深度结合不但要有天才的方案设计,更需要脚踏实地的专家经验的辅导与喂养,而这至少在短时间内会使企业遭遇成本上升和业务增长的“两难”,甚至成为部分初创企业的“滑铁卢”。
如果说人脸识别的发展瓶颈主要在于技术,其风险桎梏则主要来自法律。如前所述,在“互联网+”的大背景下,科技与商业的融合愈发紧密,利用科技手段窃取和非法使用群众个人信息的新闻也屡见不鲜;同样,科技进步也推动了普通民众法律知识水平与思想观念的进步,从西方到东方,个人信息保护已成为社会共识。
在上述情况影响下,对人脸识别的法律规范已然在进行,但其风险主要来自三个方面,一是法律、政策乃至发展规划对人脸识别的“层层加码”。人脸识别技术所收集的生物信息在中国是属于法律规定的个人信息的范畴,应该受到个人信息保护的法律、法规等规范性法律文件的约束。另外,由于人脸识别及其相关人工智能在技术发展上的重要性,从中央到地方,从金融到产业,各类规划对其发展进行鼓励的同时也按各自思路施加引导(见图)。立法领域和层级的复杂性在一定程度上增加了执法司法的不确定性,进而增加了行业企业的合规成本。
二是确权这一基础的法律理论问题并没有真正解决,基本法律框架还处在发育过程中,未来甚至不排除有根本性的转变。一者,信息权利在个人和企业间的归属及为何如此归属的问题还没有很好的诠释,信息权利横跨人格权和财产权两大法域,既不利于权利的针对性保护,也为其“物化”预留了法律空间。
二者,保护框架还在利益平衡和绝对保护两者之间摇摆,前者关注个人和企业之间的利益平衡,强调服务提供与信息让渡的公平交易,将信息保护更多归为商业领域,后者则直接将信息保护视作基本人权,强调其构成人之所以为人的基本要素而絕对保护,对技术发展则进行规范甚至约束。
三者,规范体系仍在持续增加,并且由于其纵向、横向的广泛跨度,专业性也日趋缜密。比如,除文末附图中收集整理的中国关于个人信息保护的相关法律法规外,正在征求意见的《数据安全管理办法》、《个人信息出境安全评估办法》也是专门针对个人数据管理的专门性法规。
此外,中国还出台了与人脸识别技术或识别生物特征信息的相关国家标准规定,比如《信息安全技术个人信息安全规范》《信息技术生物特征识别应用程序接口》系列标准、《公共安全人脸识别应用图像技术要求》等。
即便如此,中国针对人脸识别所涉及个人信息和数据安全等方面的规范体系也还并不健全,比如中国重点限制企业采集信息,但对公权力和域外收集个人信息还少有限制,中国规定正当性采集信息为原则,但未明确具体细节等,同时现有政策法律规定零散、操作性也有待加强。以上种种的叠加,自然而然隐藏着较大的风险隐患。
除了法律规范逐渐细致、确权问题尚未解决、权利意识日益高涨等合规问题外,随着人脸识别在深度(越来越多地介入企业经营机制纵深)、广度(应用场景、作用发挥越来越多)两端的扩展,企业逐渐走向原来并不熟悉的高风险领域。并且由于这些领域技术应用的交叉性,此间也没有成功经验可循,包括业务发展以及法律规范、权利保护等都需要持续摸索,持续面临不确定性的挑战。也可以说,人脸识别的风险现在集中表现为,即使是企业自身(更遑论其他)也并不具备相应的风险管控能力,择其要者具体如下:
首先是技术应用风险。按照行业通说,人脸识别作为收集生物信息技术手段,需满足真实性、保密性及实用性等要求。但因现在人脸识别技术还处于发展过程之中,实际应用未臻完美,其识别精准度受算法、光照甚至姿态等因素的影响,尤其是部分企业在动态识别领域关键技术的缺失,使得其在实际应用中的效果会较理想大打折扣。
在信息安全方面,如今互联网公司掌握公民大量的信息,一旦黑客利用技术入侵乃至盗取相关企业储存的用户信息,极易造成安全隐患。根据《南方都市报》人工智能伦理课题组和App专项治理工作组发布的《人脸识别应用公众调研报告(2020)》显示,有九成以上的受访者使用过人脸识别,其中六成受访者认为人脸识别技术有滥用趋势,另有三成受访者表示,已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。并且由于人脸信息在生物性和社会性上的唯一性,使得其不像其他信息。人脸信息一旦丢失就无法进行挂失,无异于将自己的“密码”公之于众。有鉴于此,如何防止和堵塞黑客盗取公民信息的技术漏洞,应是互联网企业提升安全防范技术的重中之重。
在技术运行方面,人脸识别受外界因素影响较大,具有使用不稳定、复杂性不够的特点,可能会造成识别错误、识别混同等情形。另外,由于地区之间资源不平衡、信息流通不畅等问题,也容易导致识别信息混乱。
同时,由于采集来的大量生物信息集中储存在企业相关系统内,且数据量呈指数倍极快增长,如果同时运行或输出各种不同的数据,系统程序多次频繁运行,有可能造成输出数据错位和内部信息错乱,为信息数据储存和运行带来安全风险。相关企业当前的数据储存技术和架构能否承担庞大的需求还需要实践的检验。而信息权利不同其他,若其数据管理系统缺乏相应的安全机制,即使亡羊补牢也为时晚矣。
其次是规范纰漏风险。即使是有了各种各样的法律规范,但由于人脸识别及相关技术的复杂性和应用的广泛性,不同领域也都在不同程度上存在法律制度、监管政策制定瑕疵和落后实际需要的风险。
如小区、校园等公共场所公民信息被随意收集,或消费者以自身信息作为接受服务的对价,这些现象的出现主要是因为中国对于信息收集并没有针对具体场景应用设置相应的、细致的门槛要求,部分企业在利润驱动下铤而走险,以“打擦边球”方式来肆意收集公民信息。
在强制采集方面,曾经风靡一时的“面相测试”、“掌纹算命”、网上基因检测以及ZAO软件都是未经用户同意以欺骗手段或强制采集用户生物信息。而在此前中国消费者协会公布的对于涉及采集个人信息的App抽查测评也显示中国存在大量App等程序不正当、不适度收集用户信息的情况。因为缺乏市场有效约束和违法成本相对较低,部分领域企业强制采集用户信息甚至成为常态。相当多的软件要求用户不同意信息采集则被禁止享有App服务,即“不授权无服务”,即使屡遭治理,仍有部分企业依然我行我素,凭借专业及信息优势欺瞒监管和公众,过量采集相关信息。
在信息滥用方面,正如不少专家所指出的,目前人脸识别所面临的最重要问题还不是如何保护,而是治理滥用。滥用人脸识别技术之所以引起恐慌,是因为其综合了无感性、被动性、唯一性以及关联性等特性,原本的威胁也因未知而具有了“乘数效应”。
如前所述,人脸识别技术可以在肢体非接触的情形下,在人脸检测、核验人脸属性、身份验证等环节远程识别出自然人而无需物理性接触,这也曾是人脸识别信息区别于虹膜信息、指纹信息的最大“优势”。当然也是凭借该特征,为大规模隐秘监控、多人同时识别及避免物理性残余干扰提供了技术上的可能。
最后是保护不足风险。即使公众的权利保护意识较之先前有了较大提高,但与人脸识别技术及风险相比,其认识程度仍显不足。由于人脸识别技术具有前述的非接触性等特点,从而使其读取或收集个人信息更具隐蔽性,甚至是在被收集人不知情的情况下就可以进行信息采集,悄然无息之间,人脸识别就会侵犯公民隐私、自由甚至人身安全。
在知情权方面,作为法律规定公民所享有的保护其个人信息的基本权利,知情权的存在决定了任何应用访问个人信息必须获得用户许可。如中国《网络安全法》第四十四条就规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”但是由于专业性壁垒和信息不对称,民众往往对于在无感的情况下个人信息不合理或过度采集缺乏保护意识。所以,如何保护公民信息采集時的知情权,以及企业乃至政府使用个人信息时如何合法授权,应是业界思考的重要问题。
在隐私权方面,当下,人脸识别探头几乎遍布公共场所每一角落,其对外宣传的目的当然是诸如维护治安,保护居民等等。然而用户的信息却被各类企业大量采集,如若收集的公民信息使用不当就会侵犯公民的隐私权。事实上,在崇尚效率的今天,大多数民众并不排斥人脸识别带来的便捷实用,但是隐私泄露这一高悬的“达摩克利斯之剑”也让大家心生恐惧。生物信息会不会被过度地采集?一些企业有没有合理使用信息的自律性、自觉性?一旦这些信息被盗取,普通民众的隐私将无所遁形。
当然,除了上述风险外,法律领域部分专家还对人脸识别持更加批判的态度,认为其还可能引发诸如成为“透明人”、行为“被操控”甚至权利无法救济等问题,这在业界看来则有些“匪夷所思”。然而上述声音也并非孤例,相反,如果行业不未雨绸缪,这些“过虑”的观点会持续发酵,直至成为社会共识,最终对人脸识别发展造成重大影响。
随着技术及应用的发展,人们对于人脸识别“两面性”的认识逐渐加深,在规范与发展这组“两面性”上,首先,规范的目的是通过调整和规范公共机构与公众的活动,实现既定的公共政策目标,在此之下需要平衡数据产业发展与个人信息保护之间的矛盾,实现规范技术应用和促进技术发展的目标。
在技术属性和社会属性这组“两面性”上,最为关键的还是作为技术的人脸识别需要充分认识到其社会成本和外部性,并予以有效约束和补偿(当然最好是自律和自偿,否则将面临严峻的外部规范),目标则是从根本上缓释、控制乃至解决人格权利的“物化”问题,真正回到服务消费者的初心,将其作为主体而非对象,服务而非消费。
在法律规范领域,除了按照社会共识加强对收集与使用数据方面的合规约束,明确个人数据和信息保护的责任归属,根据类型与场景进行不同程度的保护,以及重点打击对个人数据的滥用等外,关键还在于形成体现数字时代精神,寓发展于规范,架构内容合理的多重规范体系。这体现了国家治理能力和社会治理体系现代化的规范体系既要综合运用直接治理和间接调控等多种手段,也要吸纳各方基于专业性的积极参与。
在具体落实方面,政府应当加强对“人脸识别技术”应用的监管,刚柔并济,促成与相关行业之间的公私良性互动、共同合作规制。行业组织、专业机构应当加强安全管理,着重保障用户的隐私和数据的安全,加紧推动自律规范、行标团标等“软法”的形成,既为法律实施提供保障,也为规范完善打造基础。
相关企业在使用人脸的过程中,应当重视隐私合规要求,依法尽到告知义务,同时高度重视人脸数据的使用和存储安全,进行充分的技术投入和管理措施用于保护人脸识别的安全性,避免因自身防护不当导致的用户敏感信息泄露和账户资金损失,及其产生的法律、舆情风险。
展望未来,人脸识别的技术发展与社会公众的权利保护并不冲突,破题关键在于企业要勇于冲出(现在也不得不冲出)低水平、低成本运营的“舒适区”,使技术深度融入产业链、创新链,更具有“高级感”。
(编辑:袁满)
2013年10月
全国人大常委会《消费者权益保护法》
经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
2016年11月
全国人大《网络安全法》
将个人生物识别信息的管理进一步细化,范围进一步明确。《网络安全法》的公布和施行不仅保障广大群众的切身利益,还有利于高新技术的应用,进而激发互联网的巨大潜力。
2018年4月
全国人大《中华人民共和国反恐主义法》(2018 年修正)
公安机关调查恐怖活动嫌疑,可以依照有关法律规定对嫌疑人员进行盘问、检查、传唤,可以提取或者采集肖像、指纹、虹膜图像等人体生物识别信息和血液、尿液、脱落细胞等生物样本,并留存其签名。
2020年5月
全国人大《中华人民共和国民法典》
专章对个人信息保护进行规定,对个人信息的概念、适用情形、免责情形以及法律责任等进行相关规定。对于个人信息的保护又零散分布于各章。
自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。
2020年7月
全国人大《数据安全法》
明确数据活动的红线,将来在“数据主权、数据经营、数据交易”等方面,通过法律条文的形式,推动数据时代的快速发展。
2020年10月
全国人大常委会《中华人民共和国出口管制法》
国家出口管制管理部门依法履行职责,国务院有关部门、地方人民政府及其有关部门应当予以协助。
国家出口管制管理部门单独或者会同有关部门依法开展监督检查和调查工作,有关组织和个人应当予以配合,不得拒绝、阻碍。
有关国家机关及其工作人员对调查中知悉的国家秘密、商业秘密、个人隐私和个人信息依法负有保密义务。
2020年10月
全国人大《个人信息保护法(草案)》
规定了个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;规定了个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动的要求。
2020年12月
全国人大中华人民共和国刑法(2020 修正)
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
2017年1月
国务院《国务院关于印发“十三五”市场监管规划的通知》
提出加强对消费者个人信息的保护,加大对违法出售、提供、获取消费者个人信息的处罚力度。
2017年7月
国务院《新一代人工智能发展规划》
指出建设安全便捷的只能社会,围绕行政管理、司法管理、城市管理、环境保护等社会治理的热点难点问题,促进人工智能技术应用,推动社会治理现代化。同时,围绕社会综合治理、新型犯罪侦查、反恐等迫切需求,题出研发视频图像信息分析识别技术、生物特征识别技术的智能安防与警用产品,建立智能化监测平台的要求。
2021年3月
国务院国务院关于落实《政府工作报告》
重点工作分工的意见意见中提及要加强网络安全、数据安全和个人信息保护。
2019年4月
公安部《互聯网个人信息安全保护指南》
个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息。
2019年9月
中国人民银行《金融科技(FinTech)发展规划(2019-2021年)》
明确提出构建适应互联网时代的移动终端可信环境,充分利用可信计算、安全多方计算、密码算法、生物识别等信心技术,建立健全兼顾安全与便捷的多元化身份认证体系,不断丰富金融交易验证手段,保障移动互联环境下金融交易安全,提升金融服务的可得性、满意度与安全水平。同时,提出强化需求引领作用,主动适应数字经济环境下市场需求的快速变化,在保障客户信息安全的前提下,利用大数据、物联网等技术分析客户金融需求,借助机器学习、生物识别、自然语言处理等新一代人工智能技术,提升金融多媒体数据处理与理解能力,打造“看懂文字”、“听懂语言”的智能金融产品与服务。
2019年9月
工业和信息化部《关于促进网络安全产业发展的指导意见(征求意见稿)》
支持构建基于商用密码、指纹识别、人脸识别等技术的网络身份认证体系。
2020年3月
交通运输部交通运输部办公厅关于加快推广应用道路运输电子证照提升数字化服务与监管能力的通知
严格按照《中华人民共和国网络安全法》和国家网络安全等级保护制度要求,加强部级电子证照系统运行网络和信息安全管理,严格保护个人隐私和个人信息安全,个人信息采集过程中应遵循“最少够用”原则,防止采集的个人信息以任何形式泄露、损毁、丢失或用于其他用途。
2020年5月
国家互联网信息办公室,工业和信息化部,公安部,国家市场监督管理总局、国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅关于印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知
四部委联合印发个人信息保护的相关规定,对常见类型移动互联网应用程序必要个人信息范围进行了较为详细的规定。
2021年3月
十三届全国人大四次会议《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》
聚焦新一代信息技术、生物技术、新能源、新材料、高端装备、新能源汽车、绿色环保以及航空航天、海洋装备等战略性新兴产业,加快关键核心技术创新应用,增强要素保障能力,培育壮大产业发展新动能。坚持专群结合、群防群治,提高社会治安立体化、法治化专业化、智能化水平,形成问题联治、工作联动、平安联创的工作机制,健全社会治安防控体系。