摄像头无处不在,几乎每个生活场景都会用到人脸识别。他们存在哪些认知误区?又有哪些隐忧?清华大学法学院严老教授带来了她的观点分享。『一』生活在这个社会,我们渐渐习惯了越来越多的相机。很多人可能和我一样认为,这样的摄像头只是为了记录自己在公共场所的行踪,防止交通违章等行为,所以并不在意。其实,遍布各处的摄像头,就是为了配合人脸识别技术,让这项技术发挥威力。去年以来,由于底层技术有了质的突破,人脸识别的准确率有了大幅提升,应用场景也出现了爆发式增长。一如既往,人们将其视为新技术的延伸,冷静甚至相当愉快地接受它在许多场景中的应用。甚至有人开玩笑说,现在整容行业会受到很大的影响。这样的担心有些多余。即使进行整形手术,由于双眼瞳孔间距不变,也不用担心识别技术失效。面对人脸识别技术的快速推广,人们表现出的淡定和喜悦,主要是因为很多人将人脸识别技术理解为简单的身份识别和验证,并不觉得有任何风险。同时,除了抓捕罪犯的场景,人们往往不会将这项技术的应用与随处可见的摄像头联系起来,或者下意识地把自己当成监控的例外。从这个意义上说,人们普遍漠不关心,接受这项新技术时的平静和喜悦多少有些盲目,他们不知道自己所处的真实情况。把人脸识别技术理解为简单是一个重大的误区识别和验证。事实上,这项技术不仅仅用于采集个人面部生物识别信息,并与现有数据库中的相应数据进行比对。还可以进一步追踪个人身份信息、日常行踪、人车匹配、亲属匹配、常联系人员匹配等。这是它与各地的相机配对的结果。而这一切都取决于控制者是否愿意使用它。最新的面部识别技术不仅可以表明性别和估计年龄,还可以识别个人的面部表情。由于属于人工智能和深度学习的范畴,随着技术的进一步发展,可以想象通过解读和分析得到越来越多的隐私相关信息。足以为任何个人创建准确的角色。如此大量的个人信息,如果全能公义的上帝在收集、保管和使用,自然不用担心。问题是这样的假设不成立。这是一个无神论的社会。至于什么瞒不过老百姓,不用担心的安慰话,如果你真信了,那未免太天真了。抛开无辜案件和刑事冤案频发不谈,如果真是这样,监狱里那么多前国家工作人员又是怎么回事?政府怎么需要高调反腐,怎么会有无穷无尽的保护伞?需要严打吗?这意味着,人脸识别技术的普遍接受要么是一厢情愿,要么是选择性忽视或低估风险的结果。总而言之,在缺乏信息的情况下做出了有偏见的判断。这也是人脸识别技术没有成为大众话题的重要原因。[2]稍微了解一下就会发现,目前的人脸识别技术在采集、存储和使用过程中存在很多问题。这些问题涉及人民群众的切身权益,绝非要求放弃部分隐私权益那么简单。首先,从数据采集的角度来看,人脸识别是无意识的、非接触的,可以远距离作用,可以长时间大规模积累数据而不被用户察觉,非常侵入性的。人脸识别技术可以在完全没有人的感知的情况下,远程抓取并记录相应的数据。据《中国新闻周刊》(《人脸识别十字路口:脸的恐慌》)的报道,有专家称,中国人每天接触各种摄像头的次数超过500次。所以,毫无疑问,只要你开始使用人脸识别技术,总会有一双眼睛时刻盯着你我。成为透明人一样的存在,并不是凭空想象,而是活生生的现实。但是,面部的生物数据显然是个人信息。即使按照现行法律规定,采集人脸识别也涉嫌严重违法甚至犯罪。由于多次采集个人面部数据,根本没有征得被采集者的同意,因此很难认定为合法取得。根据现行刑法规定,未经同意非法获取个人信息,或者将合法获取的个人信息出售、提供给第三方,涉嫌构成侵犯公民个人信息罪。一些应用人脸识别的场景似乎是在被采集者知情的情况下进行的,并且似乎已经获得了他们的同意。事实上,由于信息披露不充分,包括收集主体、收集数据的范围、使用目的和范围、保护措施及相应的风险等,法律上无法事实上认定被收集人。未经有效同意,收集仍然是非法的。其次,从数据存储的角度来看,一旦采集主体未能做好保护,将导致大规模泄露;即使采取了合理的存储措施,仍然面临着被黑客入侵和泄露的危险。由于个人生物数据的稳定性,一旦泄露,相应的风险和危害不可逆转,也无法得到有效补偿。今年有很多新闻报道涉及人脸数据泄露问题。先是国内一家提供人脸检测和人群分析的科技公司被发现其人脸识别数据库没有密码保护,一直对外开放,导致256万用户信息泄露。近日,媒体发现,部分网络商城商户公开贩卖人脸数据,数量高达17万。我们不知道这些泄露的人脸数据会被用于什么样的人群、什么场合,是否会导致财产损失或其他个人权益受到侵害。可以肯定的是,人脸数据泄露带来的安全隐患远比手机号和账号信息泄露严重。今年推出的一款人工智能换脸软件,只需一张正面照片就可以将视频中的人脸换掉。换脸技术的出现,让诈骗和制造社会恐慌变得越来越容易。想想近几年来猖獗的电信诈骗,就可以推断出人脸数据的大规模泄露会给社会带来多大的恐慌,多少普通老百姓将蒙受重大损失。更何况,人脸识别技术本身也存在诸多技术漏洞。《中国新闻周刊》的前述报道中提到,在一场安全极客大赛中,毕业于浙江大学计算机专业的90后女选手仅用两分半钟就破解了人脸识别门禁系统,将人脸存入待用。更换。人脸识别的应用场景经历了爆发式增长,但如何保护相关数据并没有强制性规定,完全取决于采集者的意愿。可想而知,数据泄露带来的风险根本难以评估。就像一个火药桶,只要有火花,就足以引发爆炸性的社会事件。最后,从数据使用的角度来看,由于没有任何限制,随着人脸识别技术应用场景的迅速扩大,滥用和歧视现象将不可避免。目前常见的应用场景,除了安防、门禁、支付和身份验证等,人脸识别技术还广泛应用于商场人流量统计、社区管理、养老金征收、税务认证、物品寄存、景区门禁等领域。演出场地签到等,甚至进一步推广到教学过程中,对学生在课堂上的行为进行监控和管理。此外,他们也开始出现在地铁的安检中。抛开采集和存储问题不谈,从上述众多应用场景来看,目前人脸识别技术的使用明显存在被滥用的倾向。这种滥用可能导致大规模的操纵,监视变得无处不在。所揭示的滥用风险无疑只是巨大冰山一角。面部识别技术也可能引发歧视问题。研究表明,人脸可以揭示性取向,预测大多是正确的。因此,同性取向的人很可能成为歧视的对象。自然,歧视的范畴远不止于此,还包括种族、性别、民族、地域、职业等方面的歧视。“三”可以想象,单靠技术上的突破并不能解释人脸识别技术在应用中的快速推广。其目前的激进扩张是由两个驱动力驱动的,一个是权力,另一个是资本。从权力的角度来看,政府终于找到了一个方便的技术工具,以安全的名义来防控全社会。在资金方面,从事研发和推广的企业几乎在疯狂地扩张业务,以期尽快提升市场估值和利润。不得不说,正是在权力与资本的密切配合下,人脸识别技术的跑马圈地势如破竹,势不可挡。由于现行法律没有对数据如何收集、存储、传输、使用和处理,是否允许出售或提供给第三方,是否可以放在网上等进行任何干预,这使得可以扩展应用场景。出现的风险也成倍增加。这不仅仅是仔细想想,简直就是无法想象。对于这种权力与资本的合作,或许可以提出两个问题:第一,抓捕罪犯是我们社会的首要任务吗?第二,资本追逐利润,难道我们不需要顾及基本的社会责任吗?很多人错误地认为,使用人脸识别技术只是为了出卖一点个人隐私。为了效率和安全,牺牲一些也无妨。这仍然是一项值得的业务。但是,如果认清了人脸识别技术的本质,了解了数据收集、保护和使用中存在的诸多问题,恐怕只能说这是一场与魔鬼的交易。个人需要放弃的绝不仅仅是部分隐私,而是大部分,甚至全部隐私。更重要的是,人们不可能获得他们想象中的安全感。是的,人脸识别技术在安防方面的推广,确实可以多抓几个不法分子。但你真的确定这么小的收获足以抵消个人生物信息被泄露和滥用的风险吗?仔细想想普通人在日常生活中成为犯罪受害者的概率。在人脸识别技术实施之前,我们是否终日面对犯罪的威胁?一个号称安全的社会,怎么会有这么多罪犯?一方面,号称这个社会特别安全,常以此为荣;另一方面,它认为普通人无时无刻不在受到不法分子的威胁,因此有必要利用天网技术来对付无处不在的不法分子。你不觉得你有人格分裂吗?我认为这样的人要么是装腔作势的骗子,要么是愚蠢到无可救药的地步。不难发现,这样随意估计风险是极其盲目的。这可能是被权力和资本洗脑的产物。问题是,权力和资本明显在联合算计你我,以薄利勾引你。为对方着想岂不是极其可悲和愚蠢?【四】为了一点效率,我们需要放弃的远不止个人隐私和基本安全。我们真的确定这样的放弃是值得的吗?在这里,有必要回应三种常见的怀疑观点。第一,指纹识别既然可以普及,人脸识别为什么不能普及?这种观点缺乏基本逻辑。至少有四个反驳理由。首先,对于公共机关来说,至少有《居民身份证法》的授权,可以在申请身份证的时候采集指纹;但是,收集个人面部信息并没有法律授权。从各国的情况来看,强制采集国家指纹还是比较少见的现象。虽然采集外国人指纹的做法已经很普遍,但在法治国家,政府往往会以侵犯个人自主权甚至违宪为由,禁止采集普通公民的指纹。其次,指纹采集的侵入性明显低于人脸识别,风险也小得多。毕竟指纹没有直接可见性,与行踪等其他信息关联性小,监控性弱。相反,人脸识别与无处不在的摄像头结合,将形成高度监控。同时,人脸识别在泄露和滥用的风险上比指纹识别要可怕得多。第三,指纹识别的应用场景有限,大部分用于个人手机或内部单位,而人脸识别的强制应用场景太多。当使用指纹识别时,个人通常会意识到这一点;当使用面部识别时,个人通常不会。我们每天在不知不觉中被人脸识别数百次。反之,有多少人能接受一天上百次的指纹识别?最后,仅仅因为指纹识别已经在使用,可以推断推广人脸识别是可以的,这在推理逻辑上也存在问题。质疑者的逻辑是,既然政府已经获得了采集指纹的权利,为什么不能进一步放弃人脸数据的权利呢?问题是,法律没有明文授权,个人为什么要转让自己的合法权利。按照这个逻辑推理,下一步,个人的身体数据,甚至是基因数据,是不是可以彻底放弃,交给某个组织?二、为什么机场可以使用人脸识别,而地铁等公共领域只能使用人脸识别?不能使用?这种看法是似是而非的。拒绝的原因有以下三个。首先,这一挑战以未经证实的前提为前提。面部识别并不是机场安检的必备要求,但也是近两年才开始应用的。请问,以前不是没有有效的机场安检吗?从我这两年在德国、法国、英国和日本的旅行经历来看,相应的机场都没有使用人脸识别技术。有机场安检吗?其次,即使在机场必须使用人脸识别,也不代表可以在地铁等公共场所推广。机场的安检本来就代表着最高级别,不分场合实行同级安检只能呈现治理思路的混乱。不仅其必要性存疑,而且严重阻碍了人们的出行。最后,即使人们在机场安检时接受了人脸识别,也不代表相应的人脸信息可以用于机场安检以外的目的和场景。人们同意在机场安检时进行人脸识别,相应的数据只能用于机场安检目的,并不代表可以随意用于其他场合。否则,非法收集、使用个人面部生物识别信息的行为超出用户同意的范围。第三,在地铁中使用人脸识别,可以让大家自愿选择。为什么不给这样的选择呢?这种观点表面上看起来很有道理,但实际上完全行不通。首先,自愿选择的前提是明确、充分的风险提示。如果充分了解人脸识别技术的本质和采集、存储、使用过程中的巨大风险,我严重怀疑有多少人会愿意为了一点效率而完全放弃隐私和安全。其次,地铁对人员同时安检的安检措施的必要性存疑。伦敦、巴黎、东京等城市的地铁都曾经历过恐怖袭击,但都没有选择实施同样的人员检查。原因显然不是他们缺乏保障资金,而是经过理性的考虑,不适合在地铁这样的地方对人进行同样的检查。最后,考虑到我国地铁的拥堵程度,设置两条安检通道的做法缺乏基本的可行性。因为这意味着在地铁安全方面,我们要进一步加大投入。除了浪费国家税收外,我实在看不出这样做有什么意义。财政收入是固定的,政府选择将大量预算用于地铁安检,必然会减少对民生的投入。综上所述,以上三种质疑观点要么逻辑混乱、似是而非,要么不成立,都不能成立。[5]我不是技术保守派,也不想完全反对人脸识别技术的应用。但是,在没有得到法律的明确授权之前,我反对公共当局收集普通公民的面部生物识别信息,因为这种收集缺乏基本的合法性。对于人脸识别技术的商业应用,由于涉及个人信息的收集,收集者必须严格遵守个人信息保护的法律法规。不仅要保证数据采集和存储的标准化,还要严格限制人脸识别技术的应用场景。在商业场景中,人脸识别技术的应用至少要满足四个要求。首先,采集者必须明确、充分告知相关信息和风险,并事先征得被采集人的同意。未经被收集人明示同意,不得以任何形式向第三方(包括政府部门)提供个人数据,否则第三方可以使用相应数据。涉及刑事侦查、国家安全等案件,可以例外,但要严格限制适用条件和程序。二是公开收集程序,确保收集数据的范围符合应用场景的目的,不超出合理范围。采集者不得超出范围采集个人人脸数据,采集范围应符合相应适用场景的目的,并以合理、必要为原则。第三,采集个人面部生物识别数据后,采集者应当履行留存义务。收集者应尽合理努力妥善保存收集到的数据;违反保管义务的,应当承担相应的法律责任。同时,如果被采集人撤回同意,或明确要求删除自己的数据,采集者应当删除相应的数据。第四,人脸识别技术的应用场景必须合法合理,避免过度侵入的措施。采集器在特定场景下采集的数据原则上不允许用于其他场景,除非该场景在合理可预见的范围内。擅自扩展、变更数据应用场景的,采集者应当承担相应的法律责任。值得指出的是,与一般个人信息相比,面部生物识别数据的敏感性使得现有法律不足以提供足够的保护。尤其是基于同意的法律保护机制已经完全捉襟见肘,以应对科技发展对个人信息保护带来的挑战。基于此,法律界有必要进行专题研究,努力寻找有效、合理的监管路径和保护措施。个人的生物信息,包括人脸、基因、指纹、虹膜和步态等,是不可改变的。因此,一旦泄密后果不堪设想,很难通过包括法律在内的多种手段提供有效救济。相应的风险是完全不可逆的,不可能恢复到泄密前的基本状态。这意味着,在对收集、存储和使用没有严格的法律规定之前,肆意推广人脸识别技术将打开潘多拉魔盒。我们付出的不仅仅是隐私的代价,还有我们所追求的安全。因此,围绕面部识别技术的公开辩论根本不是隐私和安全辩论。它会损害隐私和安全。没有隐私就没有自由。长此以往,等待我们的将是一个既不自由又不安全的社会。如果结局是这样,人们还会愿意贪图一时的便利,让权力和资本推动人脸识别技术的应用吗?在人脸识别技术如何使用的问题上,只有不被权力和资本绑架,才能拨开安全和效率的迷雾,才能做出理性的选择。
