目前,对于人脸识别等个人信息的归属和保护,还没有权威的解释和系统的政策和法律。人性和道德的陷阱中隐藏着许多隐患。文|宁澈、许立杰作为人类历史上效率最高的经济组织,市场经济比过去的游牧经济和农耕经济更能释放生产力的秘诀在于“物化”,甚至“金融化”。曾几何时,物质化的对象主要是自然资源和人类劳动。在数字时代,人本身,包括社会关系、行为模式甚至生物特征,都成为物化的对象。数据作为新经济的“原油”,驱动着历史的洪流前行,但在信息安全和隐私保护方面也留下了不少羽毛。随着数字经济对传统社会关系的渗透和改造加剧,对个人信息的关注也向西向东蔓延,在国内引起强烈关注。从媒体对特斯拉“隐私门”的广泛报道,到3.15晚会上多家知名门店违规安装人脸识别设备的曝光;专门规定应对”,而在国家“两会”期间,委员们联合提出要建立人脸识别网络与信息安全监管体系,都说明了这一点。争议、焦虑甚至恐慌,没有什么比人脸识别更成为众矢之的了。门槛和经验,还结合了同门的指纹和声纹,不愧是名副其实的“希望之星”,只是春风得意,却遭遇了信息安全大潮的“水逆”再过几年,展望未来,人脸识别还有多少“含金量”?技术与应用瓶脖子在“大众创业”“万众创新”的镀金时代,一句俏皮话曾红遍大江南北——猪乘风破浪。显然,经历了时间的洗礼,具有硬核实力和真正应用的人脸识别非飞猪莫属。按照业界的普遍看法,人脸识别可以简单概括为机器对静态或视频中的人脸图像进行特征提取、分类和识别,以达到身份认证的目的。其功能主要是身份验证和监控。随着技术本身的快速进步,市场应用需求的日益突出,以及各种资本的竞争,人脸识别的应用不断升温。并且功能日益增多。然而,在互联网经济落潮后,人脸识别虽然不是“裸泳”,但也暴露出隐藏在高速发展光环下的各种先天缺陷:一是人脸识别主要是无感识别,动与自身相反,核心在于人是被“认同”的,而不是主动被认同的。这不仅仅是信息安全、隐私保护和个人尊严的问题。即使在技术层面,也暴露出人脸识别的一大短板:一方面,人脸识别当然可以有效验证你是不是本人(虽然也会受到光线等自然条件的影响),以及识别率的调整);但它需要进化和其他技术的支持。其次,人脸识别的安全认证对象是人脸,但人脸作为人体的主要生物特征,依赖于社会关系和情感因素,很难甚至无法替代。一方面,人脸不可避免地不断暴露,增加了被破解利用的机会;另一方面,更改密码等安全要素,不要混用各种密码是基本的安全常识,但人脸不能满足要求。这些策略;三、人脸是自然生成的,具有随机性,识别主要靠逐个试错要素的积累,根本无法避免“撞脸”的可能。最后,物化与非物化的撕裂已经并将继续影响人脸识别应用。从表面上看,人脸识别是对自然生物特征的加密,从工具到工具。从本质上讲,由于人脸的社会属性,人脸识别是人格权的工具化,从人到物。尤其是在互联网激发和融合的民粹思潮影响下,张扬个性、反对物化的呼声更是四处响起。考虑到哲学、社会科学和法律领域对信息权归属尚无权威解释和规定,故未达成一致。人脸识别合规压力显然是长期而深刻的。除了技术层面的先天缺陷,人脸识别在应用层面也遇到了诸多挑战:挑战首先来自于行业本身。从发展历程来看,人脸识别作为一项前沿的安防技术,在向传统行业普及的过程中,一直以互联网为主要推动力进退。现在,互联网越来越成为一种通用的技术和基础设施,人们对其应用的需求也从以往的便捷高效转向安全合规领域。尤为重要的是,一方面,行业对人脸识别还缺乏整合,商业机构各行其是,行业没有统一的声音,共性问题成为“公地悲剧”,在人性和道德的陷阱下,因缺乏资金而难以解决的问题;另一方面,一些曾经受挫的竞争对手卷土重来。例如,电子证书解决了便携性问题,指纹识别优化了安全功能。它们要么自行进化,要么联合强者,成为颇具规模的另类。此外,人脸识别对网络通道的路径依赖正逐渐成为其应用的最大制约因素。以金融领域为例。一是行业已经跨过线上渠道时代,进入线上运营时代。这就要求人脸识别不仅要作为手机银行登录、支付等交易的验证工具,还要延伸到中后台应用,需要支持金融机构更深层次的核心需求,如风控和信用,但现实情况是人脸识别的应用深度还不够,无法直接自主提升经营管理效率。此外,人脸识别及其相关的人工智能在一定程度上也可以称为“劳动密集型”产业,需要大规模人工智能通过实证方法对AI进行个案辅导,以提高识别等能力。但现在出于成本控制的考虑,人工仍仅限于普通工人的简单劳动。然而,行业解决方案需要基于专家经验的技术应用。人脸识别与场景的深度融合,不仅需要天才的方案设计,更需要脚踏实地的专家经验的引导和灌输。使企业遭遇成本上升和业务增长的“两难”,甚至成为部分初创企业的“滑铁卢”。三大合规隐患如果说人脸识别的发展瓶颈主要在于技术,那么其风险枷锁则主要来自于法律。如上所述,在“互联网+”的背景下,技术与商业的融合越来越紧密,利用技术窃取、非法使用群众个人信息的新闻也屡见不鲜;同样,技术进步也促进了普通民众的法律知识。随着标准和观念的进步,从西方到东方,个人信息保护已经成为社会共识。在上述形势的影响下,人脸识别的法律规制已经在进行中,但风险主要来自三个方面。一是法律、政策乃至发展规划对人脸识别的“层层递增”。人脸识别技术采集的生物识别信息属于我国法律规定的个人信息范畴,应当受个人信息保护法律、法规等规范性法律文件的约束。此外,由于人脸识别及相关人工智能在技术发展中的重要性,从中央到地方,从金融到产业的各种规划,都鼓励其发展,同时根据自己的思路进行引导(见文末附图))。立法领域和层次的复杂性在一定程度上增加了执法和司法的不确定性,进而增加了行业企业的合规成本。二是确权的基本法律理论尚未真正解决,基本法律框架还在发展过程中,未来甚至不排除出现根本性变化。首先,个人与企业之间的信息权归属及其归属原因尚未得到很好的解释。信息权横跨人格权和财产权两个法律领域,不利于权利的针对性保护,也为其“物化”预留了法律空间。二者,保护框架仍在利益平衡与绝对保护之间摇摆不定。前者注重个人与企业之间的利益平衡,强调服务提供和信息传递中的公平交易,将信息保护更多地归类为商业领域。后者直接将信息保护视为一项基本人权,强调它构成人的基本要素并对之绝对保护,规范甚至制约技术发展。三是规范体系还在不断增加,由于纵横跨度大,专业性也日趋成熟。例如,除了本文末尾附件中收集整理的中国个人信息保护相关法律法规外,目前正在征求意见的《数据安全管理办法》和《个人信息出境安全评估办法》也是针对个人信息保护的专门规定。个人资料的管理。此外,我国也出台了与人脸识别技术或生物识别信息识别相关的国家标准和法规,如《信息安全技术个人信息安全规范》《信息技术生物特征识别应用程序接口》系列标准、《公共安全人脸识别应用图像技术要求》等。即便如此,我国对个人信息和数据的监管体系涉及人脸识别的安全性还不健全。信息收集的合法性是原则,但具体细节并未明确。同时,现有政策法规较为分散,可操作性有待加强。以上种种叠加,自然隐藏着更大的风险和隐患。除了法律法规逐渐细化、确权问题悬而未决、权利意识增强等合规问题外,随着人脸识别越来越深入(涉及越来越多的行业),企业风控的枷锁也越来越复杂。企业运营机制的深度)和广度(应用场景),发挥越来越大的作用)两端的拓展,企业正逐步走向陌生的高风险领域。并且由于这些领域技术应用的交叉性,这里并没有成功的经验可循,包括业务发展、法律规范、权益保护等,都需要不断探索,不断面对不确定性的挑战.也可以说现在人脸识别的风险比较集中,连企业本身(更不用说其他)都不具备相应的风险管控能力。业内人士表示,人脸识别作为采集生物信息的技术手段,需要满足真实性、保密性和实用性的要求。但由于人脸识别技术尚在发展过程中,实际应用尚不完善,其识别准确率受算法、光照甚至手势等因素的影响,尤其是动态识别领域关键技术的缺乏一些企业,使其在实际应用中,效果会比理想大打折扣。在信息安全方面,现在的互联网公司掌握着大量的公民信息。一旦黑客利用技术侵入甚至窃取相关公司存储的用户信息,极易造成安全隐患。根据《南方都市报》人工智能伦理研究组和App专项治理工作组发布的《人脸识别应用公众调研报告(2020)》,超过90%的受访者使用过人脸识别,60%的受访者认为人脸识别技术有可能对被滥用,另有30%的受访者表示曾因人脸信息泄露和滥用而遭受隐私或财产损失。并且由于面部信息的生物学和社会独特性,它不像其他信息。人脸信息一旦丢失,就无法挂失,等于公开了自己的“密码”。鉴于此,如何防范和堵住黑客窃取公民信息的技术漏洞,应该成为互联网企业提升安全防护技术的重中之重。在技??术操作上,人脸识别受外界因素影响较大,具有使用不稳定、复杂度不够等特点,容易造成识别错误和混淆。此外,由于地区间资源不均衡、信息流通不畅等问题,也容易造成身份识别信息的混乱。同时,由于采集到的大量生物信息集中存储在企业相关系统中,数据量呈指数级快速增长,如果同时运行或输出各种数据,系统程序运行频繁多次,可能造成输出数据错位和内部信息混乱,给信息数据存储和运行带来安全隐患。相关企业当前的数据存储技术和架构能否承受如此巨大的需求,还需要实践检验。但是,信息权与其他权利不同。如果数据管理系统缺乏相应的安全机制,再补救就来不及了。二是监管失灵的风险。即使有多种法律规范,但由于人脸识别及相关技术的复杂性和广泛应用,不同领域的法律制度和监管政策存在缺陷,实际需求滞后。风险。例如,随意收集社区、校园等公共场所的公民信息,或者消费者以自己的信息作为接受服务的对价。这些现象主要是由于我国没有针对特定场景对信息采集设定相应的、详细的门槛要求。但在利益驱使下,一些企业不惜冒险,通过“掠过边际”的方式胡乱收集公民信息。在强制采集方面,曾经流行的“面部测试”、“掌纹算命”、在线基因检测、ZAO软件等,都是在未经用户同意的情况下采用欺骗手段或强制采集用户生物信息。此前,中消协发布了对涉及收集个人信息的APP的抽查评价,也显示我国存在大量程序不当、收集用户信息不当的APP。由于缺乏有效的市场约束,违法成本相对较低,部分领域的企业强制收集用户信息甚至成为常态。相当多的软件要求用户不同意收集信息,禁止用户享受App服务,即“不授权不服务”。信息。在信息滥用方面,正如多位专家所指出的,人脸识别面临的最重要问题不是如何保护,而是治理滥用。人脸识别技术的滥用之所以会引起恐慌,是因为它结合了无感性、被动性、唯一性和关联性等特点,而原本的威胁也因为未知而产生了“事半功倍的效果”。前面提到,人脸识别技术在人脸检测、人脸属性验证、身份验证等无身体接触环节,可以远程识别无身体接触的自然人。区别于虹膜信息和指纹信息的最大“优势”。当然,也正是凭借这一特性,为大规模隐蔽监控、多人同时识别、避免物理残留干扰等提供了技术可能。最后,存在保护不足的风险。尽管公众的维权意识有了很大提高,但与人脸识别技术和风险相比,其意识仍然不足。由于上述人脸识别技术的非接触特性,读取或收集个人信息更加隐蔽,甚至可以在被收集人不知情的情况下收集信息,面部识别将侵犯公民的隐私、自由甚至人身安全。在知情权方面,作为法律规定的公民保护个人信息的基本权利,知情权的存在决定了任何访问个人信息的应用都必须获得用户的许可。例如,我国的《网络安全法》第44条规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者向他人非法提供个人信息。”然而,由于职业壁垒和信息不对称,公众往往对不合理或过度收集个人信息而感觉不到,缺乏保护意识。因此,如何保障公民在收集信息时的知情权,如何合法授权企业乃至政府使用个人信息,应该是业界需要考虑的重要问题。在隐私方面,目前,人脸识别探头几乎遍布公共场所的每一个角落,其宣传的目的当然是维护治安、保护居民等等。然而,大量的用户信息被各个公司收集。收集到的公民信息如果使用不当,将侵犯公民隐私权。事实上,在崇尚效率的今天,大多数人并不排斥人脸识别带来的便捷和实用,但隐私泄露这把高悬的“达摩克利斯之剑”也让大家心有余悸。生物信息会被过度收集吗?有的企业是否有合理利用信息的自律和自觉?一旦这些信息被窃取,普通人的隐私将无所遁形。当然,除了上述风险之外,部分法律界专家对人脸识别也持更为批判的态度,认为其还可能引发成为“透明人”、“操纵”行为等问题,甚至无力维权。有点“难以置信”。不过,上述声音并非孤例。相反,如果业界不加防范,这些“铺天盖地”的观点会不断发酵,直至成为社会共识,最终会对人脸识别的发展产生重大影响。未来监管之路随着技术和应用的发展,人们对人脸识别“两面性”的认识逐渐加深。关于调控与发展的“双面性”,首先,调控的目的在于调整和规范事业单位和公众。为实现既定的公共政策目标,需要平衡数据产业发展与个人信息保护之间的矛盾,达到规范技术应用、促进技术发展的目的。就技术属性和社会属性的“双面性”而言,最关键的是,人脸识别作为一项技术需要充分认识其社会成本和外部性,并进行有效的约束和补偿(当然最好是自律和自我补偿,否则将面临严厉的外部规范),目标是从根本上减缓、控制甚至解决人格权的“物化”,真正回归为消费者服务的初衷,以他们是主体而不是客体,服务而不是消费。在法律规范领域,除了按照社会共识加强对数据收集和使用的合规约束,明确个人数据和信息保护责任,分类型、分场景实施分级保护,重点打击个人数据滥用等。此外,关键是要形成体现数字时代精神、在规范上融合发展、结构和内容合理的多标准体系。这表明,国家治理能力和社会治理体系现代化的规范体系,既要综合运用直接治理和间接监管等多种手段,又要以专业性为基础,吸纳各方积极参与。在具体实施上,政府要加强对“人脸识别技术”应用的监管,刚柔相济,促进公私良性互动,与相关行业联合合作规范。行业组织和专业机构要加强安全管理,着力保护用户隐私和数据安全,加紧形成自律规范和行业标准、团体标准等“软法”,不仅为执法提供保障,同时也为标准化和改进创造了基础。相关企业在人脸使用过程中,应注重隐私合规要求,依法履行告知义务,同时高度重视人脸数据的使用和存储安全,进行充分的技术投入以及人脸识别保护的管理措施。安全性,避免因自我保护不当导致用户敏感信息泄露和账户资金损失,以及法律和舆论风险。展望未来,人脸识别技术的发展与公众权益的保障并不冲突。解决问题的关键在于勇于走出低水平、低成本运营的“舒适区”,让技术深入融入产业链和创新链,拥有更“高端感”。(作者车宁为中国政法大学法治与可持续发展研究中心副主任,徐立杰为北京前沿金融监管技术研究院研究助理;编辑:袁满)
