马世顺
(中国人民公安大学,北京 100038)
人脸识别(Face Recognition)是一种基于公众个体的面部特征信息进行身份识别验证的新兴技术,它凭借便捷性、可扩展性和非侵扰性等独特优势,成为人工智能领域最重要的生物识别技术之一,全方位形塑着社会的运行方式和生产生活模式,宣告着“刷脸”时代的来临。根据MarketstandMarkets 发布的全球人脸识别市场相关报告,预计全球人脸识别市场规模在2024 年将达到79 亿美元。在国内方面,根据前瞻产业研究院预计,在未来五年中国人脸识别市场规模将保持23%的平均复合增长速度,到2024 年市场规模将突破100 亿元。[1]巨大的市场规模和高位的增长速度使人脸识别技术在诸多行业领域落地生根,为产业经济的发展做出了重要贡献。截至2021 年12 月,据企查查数据统计,全国共有15223 家企业的名称、产品、经营范围涵盖“人脸识别”,其中2019 年为近年来人脸识别企业登记注册数量的顶峰,全年共计登记注册2332 家。[2]人脸识别技术被广泛应用于诸多领域。
然而,人脸识别技术的井喷式发展在带来诸多红利的同时也陷入了“风险的樊笼”,隐藏在人脸识别技术背后的诸多风险也逐渐引发了公众的关注和隐忧。2019 年2月,提供人脸检测和人群分析服务的中国科技公司SenseNets(深网视界)的人脸识别数据库发生数据泄露,致使约256 万用户的高度敏感个人信息能够不受限制被访问。[3]小鹏汽车销售服务有限公司通过安装具有人脸识别功能的摄像设备在其旗下门店,在2021 年1 月到6 月,共偷拍采集上传人脸照片461623 张。[4]除此之外,在2021年“3·15”晚会中曝光的科勒卫浴、宝马4S 店、MaxMara 等商店安装人脸识别摄像头,收集海量人脸信息[5]以及多地售楼处滥用人脸识别,偷拍人脸照片[6]、众多主流APP 违规采集人脸信息[7]的新闻层出不穷,社会公众对人脸识别技术安全风险的议题愈发关切。同时,现代社会技术风险的耦合性和高度不确定性等特征以及个人面部识别信息所具有的独一无二、难以更改的物理属性使得风险的危害后果一旦出现,将造成巨大的损失。如果放任人脸识别技术在防控真空的状态下快速发展,风险发生的可能性及危害性很可能伴随时间的推移呈现指数式的增长。鉴于此,本文将系统分析人脸识别技术应用风险,以期规范人脸识别技术的应用,缓解新兴技术发展与风险防控工作的矛盾,回应当前防范化解重大风险、建设更高水平平安中国的国家战略。
人脸识别技术作为一项新兴生物识别技术,其本质上仍是服务于人类社会的工具。当前,诸多经济主体在经济利益的驱动下过分追求人脸识别的工具属性,忽视人脸识别所蕴含的价值理性。人脸识别技术在不受规制与约束的情况下将可能形成技术失控和技术僭越,引发社会失序,危及社会治安秩序。因此,人脸识别技术应用所带来的诸多风险亟待重视。归纳起来,人脸识别技术应用风险主要体现在技术风险、侵权风险以及社会治理风险等三个方面。
技术风险主要是技术在发展尚不完善的情况下便应用于实践,因技术所固有的缺陷而带来的一系列风险。
1.精准识别的稳定性欠缺。人脸识别的精确度受到肤色、姿态以及光照三重因素的制约,当上述因素发生变化时,人脸识别的精确度将会受到一定影响,从而产生误识与拒识。首先,就肤色特征而言,受系统肤色偏见、装扮以及光照的影响,导致识别精确度不确定性较大。其次,被识别人的姿态也是影响人脸识别精确度的重要因素,不同面向的姿态拍摄视角会对不同年龄段的人群产生不同的识别准确度,造成人脸识别的精准度降低。最后,在光照的影响下,人脸图像灰度分布会产生相应变化,进而影响被识别人所呈现出来的轮廓样态,引起面部图像变化,易使人脸识别产生错误识别与拒识。在美国公民自由联盟(ACLU)的一次测试中,亚马逊人脸识别产品Rekognition将28 名国会议员判定为此前被逮捕的罪犯,[8]这表明该项技术精准识别的稳定性欠缺。
2.算法偏见。“价值观和欲望会影响我们的选择,而模型(算法)正是利用数字工具包装出来的各种主要观点。”[9]人脸识别算法遵循技术治理的逻辑自治,其自然受到社会价值观念的诸多影响。在人脸识别技术的研发、面部数据库的建立以及分析参数、模型系统的调试过程中,研发者与调试人员不可避免地会将自己的意志嵌入其中,技术的背后是研发人员所呈现出的价值观念。美国国家标准与技术研究院(NIST)研究显示,世界上许多顶尖的面部识别算法都存在年龄、种族和民族偏见,在某些情况下,亚裔和非裔美国人被错误识别的概率是白人的100 倍。[10]因此,人脸识别应用由于使用的算法复杂性高、算法存在偏见等原因,均可能造成严重的识别错误,引发相关风险。
人脸面部信息属于生物识别信息的子类,根据《个人信息保护法》第28 条之规定,针对人脸面部信息的处理应适用敏感个人信息的处理规则。目前,具备人脸识别功能的拍照与摄影设备具有远程捕获人脸面部信息的能力且被广泛应用,但公民个人却经常无从知晓何时何地被收集了人脸信息,敏感个人信息处理的知情同意规则常被架空。人脸识别技术以大数据分析作为其基础,而大数据对隐私等权益的侵犯与生俱来,人脸面部信息极有可能面临泄露的风险,使公民的个人信息权益遭受侵害。2019 年8月,生物科技公司Suprema 的数据库发生泄露,其中储存了超100 万人的面部和指纹信息。[11]
同时,由于人脸特征的唯一不变性,人们很容易根据面部信息准确地定位到某一个人,这在某些特殊情况下将导致该个人的社会评价降低,人格权益被侵犯。2019 年9月,我国一款人脸识别应用“ZAO”风靡一时,“AI 换脸”开始被越来越多人所熟知。其实早在2017 年国外的AI 换脸应用FakeApp 就已经出现,此种“深度伪造”(Deepfakes)技术被应用于色情视频换脸以及恶意欺诈视频制作等领域,对个人人格权益造成极大威胁。
此外,人脸信息泄露所涉及的不仅限于面部信息。人脸信息作为社会交往的识别符,具有身份认证的功能,其背后囊括了个人的一系列信息,其中包括许多个人隐私。如果人脸信息被泄露,不法分子通过人脸信息关联个体其他信息,将使个人隐私安全岌岌可危。
人脸识别技术作为一项技术工具,其非法运用易引发社会治理风险。人脸数据、人脸信息作为敏感个人数据、信息,与个人的人身和财产安全休戚相关。人脸数据信息的高价值催生出一系列非法产业,人脸数据的非法流通日趋严重。“新华视点”记者调查发现,一些网络黑产从业者利用网络交易平台,批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程并公开售价人脸数据0.5元一份、教程工具35 元一套。[12]而上述人脸信息极有可能被不法分子用于虚假注册、电信网络诈骗等违法犯罪活动。
除此之外,随着人脸数据的非法流通日益严重,黑色产业“过脸”应运而生。所谓“过脸”是指以数据黑灰产业从业者为主的不法分子,帮助无法完成账号实名认证的人群完成实名认证以获得利益。近年来,诸多网络服务商受相关法规的影响或基于业务上的需要纷纷推出账号强制实名认证,并将人脸认证环节放入到软件实名认证中。此种强制实名认证为需要大量实名账号完成黑灰色业务的人群带来不便,也为“过脸”产业提供了商机。
“过脸”产业需要大量人脸信息,因而“过脸”产业从业者需要向贩卖人脸信息的人购买大量的人脸信息以维持生意,由此便形成了一个人脸数据非法交易的恶性循环,为社会治安治理工作带来诸多隐患风险。
面对人脸识别技术应用过程中所产生的诸多风险,如何进行规制以平衡风险防控与技术发展之间的矛盾是当前亟待解决的新问题。风险防控的目的是既要保护人脸识别产业的创新活力,又要规范人脸识别技术不被滥用,以确保治安秩序稳定。
为实现对人脸识别技术应用风险的防控,面对当前防控规范缺乏针对性与体系性的难题,应结合人脸识别技术的发展,探索更为有效的法律规制路径,为人脸识别技术应用监管提供依据。
1.发挥中央框架立法的指导功能。人脸识别技术应用风险的宏观规制应当交由中央层面。人脸识别技术应用风险的监管关涉技术研发主体、应用主体以及监管主体等多方主体的利益,涉及个人利益、行业利益以及公共利益之间的博弈,其背后更隐藏着国家层面对人脸识别技术产业的政策态度,因此应交予中央层面进行总体把握。此外,从立法权限来看,对人脸识别技术应用风险的监管涉及法人、公民权利以及行政处罚等监管措施,上述事项原则上应当由中央层面进行规定。最后,当前人脸识别技术产业正在快速发展,在未来的发展过程中可能会相继暴露诸多问题,具有不确定性和复杂性,进行详尽法律规制的条件并不成熟,因此宜发挥中央层面框架立法的指导功能,比如设定风险防控的基本目的、基本原则、相关程序性规定等。
2.支持地方立法进行自主创新。当前人脸识别技术产业的研发与应用在全国各地尚不均衡,对人脸识别技术应用风险防控的回应能力存在差别。相较于中央层面的宏观性规制,局部规制更能结合本地方实际,规制效果更为直接明显。其次,各地方通过地方性法规等规范性文件对人脸识别技术应用风险进行防控,有助于各地方之间相互借鉴学习,并且能够通过各地方的制度试错为全国统一规制立法提供经验。因此,各地方宜在中央框架性规制下结合本地方实际进行自主创新。
3.鼓励企业制定内部标准规范。人脸识别技术研发企业、应用企业作为直接使用人脸识别技术的主体,在风险感知、风险防控方面具有不可替代的作用。因此,各企业宜在相关法律规定下制定更加严格的企业内部标准规范,发挥风险预防第一道防线的作用。
人脸识别技术应用风险的防控,除了建立高效的政府监管机构进行执法威慑之外,如果能从结构上构筑技术开发、应用主体积极作为的组织体系,实现多元主体协同共治的风险防控局面,无疑会事倍功半。
1.发挥公安机关在风险防控中的核心作用。人脸识别技术滥用与人脸信息违法处置关涉公共安全和国家安全,必须发挥公安机关在人脸识别技术应用风险防控中的核心作用。根据《公共安全视频图像信息系统管理条例》(征求意见稿)第四条之规定,公安部门负责公共安全视频图像信息系统建设、使用的监督管理工作。因此,公安机关应对公共场所人脸识别设备及应用情况进行调查摸底,发现隐患及时责令整改。此外,应开展常态化人脸识别技术滥用执法,对违法行为形成高压震慑。最后,对滥用人脸识别技术、违法使用人脸数据信息的相关人员应当依法处理,构成犯罪的应当及时处置。
2.发挥行业协会的桥梁纽带作用。鼓励人脸识别技术产业建立行业协会,制定行业标准。由于人脸识别技术具有高度专业性的特点,在公安机关等国家公权部门中缺少相应专业人才,对人脸识别技术的把握不及该行业的专业人员。因此,应鼓励建立行业协会,发挥行业协会的桥梁纽带作用。
3.激励技术研发主体与使用主体建立内部治理结构。风险治理是一个各种功能相互协调配合的新型治理场域,借助技术研发主体与使用主体的独特优势,实现多方主体协同共治,有助于强化人脸识别技术风险防控效能。为推动技术研发主体与使用主体建立内部治理结构,笔者认为可以探索尝试以下方式:一是激励诱导模式。例如,对内部治理结构完善的企业可以通过降低检查频率,给与政策支持等方式予以鼓励。二是委托模式。例如,通过行政委托等方式将生物识别设备与系统定期检测评估委托给内部治理结构完善的企业。
人脸识别技术快速发展,产品和服务迭代迅速,应用风险也将呈现出新的样态。国家安全和公共安全要求技术发展必须“向善”,只要监管部门始终保持审慎态度,积极探求风险防范新路径,将工作做在前面,就一定能够实现动态风险防控,防止风险异化为现实危害。