昨天,欧洲议会投票通过一项决议,要求全面禁止基于人工智能生物识别技术的大规模监控。该决议要求全面禁止在公共场所进行自动面部识别,并严格限制警察使用人工智能进行预测性警务。欧洲议会以377票赞成、248票反对、62票弃权通过了该决议。该决议还呼吁禁止使用私人面部识别数据库,并表示基于行为数据的预测性警务也应被取缔。此外,该决议还希望禁止试图根据公民的行为或个性来评估公民信用度的社会评分系统。关于用于远程生物识别监控的人工智能技术,委员会的报告呼吁:“……通过立法和非立法手段,以及必要时的侵权诉讼,禁止出于执法目的处理生物识别数据,包括通过面部图像识别,在公共场所进行大规模监视。”欧洲议会议员维塔诺夫在决议通过后发表声明说:“人类的基本权利是无条件的。我们有史以来第一次呼吁暂停为执法部门部署面部识别系统,因为该技术已被证明是无效的,并且经常导致歧视性结果。这份报告是所有欧洲公民的巨大胜利。”从分类到全面禁止,欧盟的“紧缩咒语”越来越紧。事实上,早在今年4月,欧盟就提出了预防和监管高压的草案-人工智能技术的风险应用,称为《人工智能产业规范草案》,其中包括“原则上禁止”在公共场所使用远程生物识别监控技术。这份草案实际上是引入了一个全面的人工智能监管框架。措施是禁止在公共场所使用远程生物特征识别(如面部识别),除非用于应对重大犯罪,包括恐怖主义和绑架。该案将人工智能应用场景分为四个风险等级:“低、有限、高、且不可接受。”级别越高,对应用场景的限制越严格。人工智能最具争议的细分领域——face识别,所有远距离生物识别系统被识别为高风险,执法机构禁止在公共场合使用该技术,除非遇到儿童失踪、恐怖袭击、筛查罪犯等情况,以上情况还需要得到司法部门的授权。聊天机器人等应用程序的风险有限。这些应用程序需要让用户知道他们正在与一台机器进行交互,并有权决定是继续还是退出该过程。基于人工智能的视频游戏和垃圾邮件识别属于低风险应用,低风险应用占欧盟人工智能应用的绝大部分。对上述应用程序没有任何限制。早在2016年,欧盟的《通用数据保护条例》(GDPR)就对此进行了限制。GDPR对生物数据的处理遵循“原则禁止和特殊例外”的原则。数据控制者可以援引“数据主体的同意”作为处理个人生物数据的例外情况,但同意必须是“自愿给予的、明确的、具体的和明确的”。短短几年时间,欧盟对人工智能技术尤其是大规模人脸识别技术的应用,经历了从明确分级,到严格限制,再到全面禁止的过程。近日通过的决议无疑表明,针对人工智能技术,尤其是人脸识别技术,建立了更加严格的监管框架。无论AI提出什么建议,最终还是要由人类来做决定。该决议还强调人类对人工智能算法的监督,以防止人工智能产生歧视——尤其是在执法和边境检查等应用中。欧洲议会同意,无论人工智能辅助系统的建议如何,最终决定必须始终由人做出,并表示由人工智能系统监控的对象必须能够获得补救。欧洲议会议员指出,此类系统已被证明会错误识别少数民族、LGBT人群、老年人和妇女。算法应该是透明的、可追溯的和有据可查的。公共部门尽可能使用开源软件来提高透明度。欧洲议会议员还针对一个有争议的欧盟资助研究项目iBorderCtrl,这是一种基于面部表情分析的“智能测谎仪”,以前用于自动化边境管理系统,应该停止。该决议还呼吁禁止人工智能辅助司法决策,这可能会巩固和扩大刑事司法系统中的系统性偏见。如何管理人脸识别?国内外都难其实,人脸识别技术被禁并不是第一次。2019年,美国九个州颁布了禁止人脸识别技术的法律,严禁警察、政府部门在公共场所使用人脸识别技术。旧金山已成为美国第一个禁止警察和其他政府官员使用面部识别的主要城市。在接下来的几个月里,奥克兰和伯克利等地也通过了类似的法律。许多科技公司,如IBM、亚马逊、谷歌等,此前都暂停或放弃了人脸识别相关业务。国内也存在类似问题。今年央视315晚会透露,科勒卫浴等厂商在旗下卫浴门店安装人脸识别摄像头,人脸数据采集出现问题。严重侵犯个人隐私的行为对个人数据安全构成重大威胁。国家市场监督管理总局发布的《个人信息安全规范》明确规定,人脸信息属于生物识别信息,也是个人敏感信息,收集个人信息应当征得个人信息主体的授权同意。今年1月1日正式实施的规定,个人信息的处理应当征得自然人或其监护人的同意。4月23日,国家标准化管理委员会发布征求意见稿《信息安全技术人脸识别数据安全要求》,对人脸识别技术应用场景、安全要求、数据采集处理等方面制定了标准化规范,弥补了相关法规标准的缺失。面对人工智能技术的日新月异,未来如何充分利用人脸识别技术,同时保证数据安全和个人隐私,还有待探索。
