记者|周艺雪8月中旬的一天,家住北京市昌平区回龙观某小区的王艺在业主中接到了居委会的通知。通知称,随着新冠疫情工作趋于常态化,为加强居家隔离人员管理,有效降低输入性病例传播风险,小区拟安装智慧小区门禁系统,要求居民使用手机APP或到居委会网站上传手机号码、身份证、人脸照片等信息,申请新的门禁权限。王怡所在的业主群有近500人,群里的成员包括小区的业主和租户。这个小组是今年年初中国爆发新冠疫情后,居委会成立的。它的主要功能是传递有关疫情的信息。看到这条通知后,曾在互联网公司从事数据分析工作的王毅心里有些不安。他发现,虽然通知上写明安装智慧小区门禁后,可以使用人脸识别(即“刷脸”)或手机APP开门,但申请权限时必须输入人脸照片。他还注意到,负责安装人脸识别门禁系统的第三方公司曝光了负面信息,自然开始担心个人信息尤其是人脸照片被收集后将如何存储和使用,是否会受到影响。成为信息安全问题。王毅等居民在业主群里提出了这些问题。居委会回应称,新型智能门禁设备已向警方备案,将接入公安网络,试图打消居民顾虑。但相关文件尚未出示。除了对个人信息安全的担忧,业主们还质疑在小区安装人脸识别设备的必要性和实际可操作性。有居民问,小区已经有了刷卡门禁系统,为什么还有人脸识别?而且这个系统只收集居住在小区的居民的信息,所以快递员和外卖员进小区需要刷脸吗?与王毅的遭遇相似,12月中旬,在北京东二环嘉城优树产业园工作的刘欢也被告知,由于新冠疫情防控常态化,园区将安装全新的人脸识别门禁系统。在设备安装商主持的说明会上,刘欢等人被告知,新系统需要采集园区工作人员的手机、身份证和人脸信息。系统投入使用后,他们可以,也只能刷脸进入办公区。当刘欢等与会人员询问收集到的个人信息如何保密、企业是否具备相关资质时。“装备那边的人要么答错了问题,要么几人互相确认,应该已经拿到了相应的资质,会派人过去。不过,到现在为止,我们都没有看到资质文件。”刘欢告诉界面新闻。“谁控制了你的脸,谁就控制了你的身份。”王毅和刘欢的担忧并不少见。近年来,以深度学习为核心的人工智能技术发展迅速。其中,视觉识别技术在国内最为成熟,应用最为广泛。为了商业前景,无论是大型互联网公司、传统安全公司还是新兴的人工智能科技公司都在大力投资这一领域。人脸识别(视觉识别技术的一种应用)在我国的应用大致经历了从公共安全领域向商业领域拓展的过程。最初,机场、高铁站、酒店等场景都使用这种技术来验证个人身份,随后商业银行也开始使用人脸识别远程开户。之后,人脸识别支付、人脸识别门禁也相继出现,人脸识别逐渐从少数有限的场景渗透到人们的日常生活中。人脸识别在中国迅速广泛应用的背后,既是政府部门维护公共安全的诉求,也是商业机构应用新技术提高效率、降低成本的需求,也是人工智能科技企业的冲动寻求业务增长。今年的新冠肺炎疫情加速了这一进程。现在,你可能已经习惯了商场、写字楼等场所入口处的测温设备。通常这类设备结合人脸检测和红外测温技术,可实现“非接触式测温”,在疫情防控中得到广泛推广。许多人开始意识到这项技术正在被滥用。今年10月,一项对2万人参与的调查显示,超过60%的受访者认为存在滥用人脸识别技术的趋势。其中,交通安检、实名登记、开户注销、支付转账、门禁考勤等场景“强制使用”问题突出。同时,受访者最关心的一些问题——如原始人脸信息是否会被采集者保留以及如何处理,数据采集者将采取哪些技术和管理措施来保证人脸信息的安全等。收集到的人脸信息,以及人脸信息目前在哪些场景下使用,是否改变了使用目的——大部分时候是不透明的,目前也没有相关的法律法规来规范。与其他个人信息不同,人脸信息属于生物识别信息,具有唯一性。“它不像密码,一旦泄露就无法修复。未来,一旦人脸成为网络世界的入口,那么从某种程度上说,谁有你的脸,谁就有你的身份。”北京安理律师事务所高级合伙人王新瑞告诉界面新闻。他认为,很多场合都过分强调了这项技术的便利性,但对人脸数据泄露可能带来的后果考虑不够。“如果有人问你银行卡密码,你一定很警惕吧?但如果你问人脸信息,很多人似乎觉得没什么,但实际上在很多情况下两者并没有什么区别。”今年2月,根据浙江省衢州市中级人民法院发布的裁定书,自2018年7月起,浙江省绍兴市某??高校毕业生张富通过非法渠道购买2000万条公民身份信息,然后用软件把照片做成了3D头像。事发时,至少有547个通过人脸识别的实名支付宝账户成功注册。值得一提的是,并不是所有使用人脸识别技术的设备都会采集人脸的原始照片。一些技术更先进的公司会提取人脸特征值来代替原来的照片。这些特征值是匿名数据,即使加密后泄露,也无法重新定位到特定的人。这样,可以在一定程度上实现对个人信息的保护。但现实是,当大公司开源深度学习算法框架后,人脸识别技术的门槛已经大大降低。很多技术实力一般的公司通过开源平台拥有了算法能力,但在数据采集和存储上却无法保证同等的安全性。这些公司的做法往往是直接采集并存储原始人脸信息。一位从事旅游行业数字化的人士告诉界面新闻,新冠疫情发生后,行业提倡无接触入场,不少旅游景区都安装了人脸识别设备。游客在景区入口输入人脸信息,即可实现刷脸进入不同景点。游客的人脸信息存储在本地服务器,该服务器的安全性极低。“已经曝光的一些人脸数据泄露事件是因为存储照片的数据库遭到攻击,这是技术原因,但其实也有非技术原因,复制出来卖钱,ETC。”北京瑞来智能科技有限公司副总裁唐家宇表示,瑞来智慧是一家专注于安全特征的人工智能科技公司。与工信和公安部门合作测试,瑞来智慧可以通过一张照片“破解”手机、闸机、考勤机等门禁,攻击者总能找到漏洞。”除了对个人信息安全的担忧,人脸识别技术在某些场景的应用也被质疑侵犯个人信息,涉嫌隐私。去年,中国药科大学(江苏南京))引入了人脸识别系统,可以识别学生是否是skippi上课、玩手机、打瞌睡等,引发了人们对人脸识别技术使用边界的讨论。在上述调查中,受访者最不能接受的人脸识别使用场景包括:“商场使用人脸识别技术收集顾客行为和购买方式”、“高校使用人脸识别技术收集相对来说,大众是人脸识别技术在公安场景中的接受度越来越高,安全底线和责任底线要清晰浙江理工大学特聘副教授郭兵控诉杭州野生动物园去年4月,郭兵在杭州野生动物园办理年卡,凭年卡和指纹,可在1年内无限次进园。但随后,他收到了动物园发来的短信,要求他注册人脸信息,并被告知“没有注册的用户规定日期前登记的人脸识别信息将无法正常入园。动物园的短信无效。今年11月,杭州富阳法院对该案作出一审判决,判令动物园赔偿郭兵因变更合同造成的经济损失,删除其个人面部信息,驳回郭兵的其他诉讼请求。郭兵不服,提出上诉。“我认为,杭州野生动物世界通过格式条款确定指纹识别或人脸识别是否为唯一入园方式,不公平、不合理,请求法院进一步认定。”郭兵在向界面新闻解释申诉原因时说。今年以来,地方立法开始重视或对人脸识别的应用场景进行了一定的限制。不久前,天津市人大表决通过《天津市社会信用条例》,其中第16条规定市场信用信息提供者不得采集自然人生物识别信息。近日,杭州市公示《杭州市物业管理条例(修订草案)》,规定物业服务提供者不得强制业主使用指纹、人脸识别等生物识别信息使用共享设施设备。草案已提请杭州市人大常委会审议。“这些规定并未具体规范人脸识别技术的应用,但表明地方立法已经意识到生物识别信息需要特殊保护。”郭兵说。信息通信研究院互联网法律研究中心研究员杨杰告诉界面新闻,虽然我国目前还没有专门针对人脸识别技术的法律法规,但采用国际惯例将人脸数据列为个人敏感信息严格监管信息。本次审议的《个人信息保护法(草案)》(以下简称《草案》)是我国第一部个人信息保护专项立法。《草案》规定只有在特定目的和充分必要的情况下才能处理敏感的个人信息;个人敏感信息的收集需要个人同意,并告知个人处理敏感个人信息的必要性和对个人的影响。王新瑞认为,《草案》对个人敏感信息(包括人脸在内的生物识别信息)有非常严格的规定,需要单独征得同意和事先评估,这意味着收集个人生物识别信息的门槛非常高,可能大多数企业会退避三舍面对困难。《草案》涉及人脸识别技术的第27条规定,“公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,不得向他人公开或者提供……”“这一规定是针对公安领域的图像采集,不是针对商业运营的人脸识别。”郭兵告诉界面新闻,他建议将采集人脸特征信息的人脸识别相关技术纳入行政许可范围。“只有取得相应的许可,才能从事或提供相应的技术。这将对人脸识别场景的滥用起到一定的遏制作用。”杨杰下一步,一方面,法律要明确人脸识别技术的安全和责任底线;另一方面,必须还解决了人脸识别在不同场景下的应用存在差异的问题,比如各行业主管部门需要根据使用场景出台人脸识别技术应用的具体实施细则,具体问题包括:人脸识别技术在不同场景应用的必要性,以及安全等级要求,在业主表示反对后,嘉城优树产业园经营者在“刷脸”之外,增加了手机扫码入园。需要输入基本信息,不需要输入人脸信息。刘欢告诉界面新闻,他们我们还在尝试增加一个使用收集较少个人信息的IC卡入园的计划。(应受访者要求,王毅、刘欢为化名)
