刷脸时代，人工智能技术不断完善 拿什么保护公民生物信息安全

当人工智能技术不断完善，人脸识别逐渐成为较为广泛的应用领域。几个月前，有关AI换脸软件“ZAO”曾引发了一轮伦理、隐私争议。尤其在国外有人将其应用于色情视频，导致多位公众人物成为受害者，随后掀起了“反AI换脸”行动。

最近，公共场所人脸识别场景再次引发隐私话题的争议。比如，不少培训机构和学校利用人脸识别、人体识别等技术，监测学生、教师的上课情况，进行情绪识别和行为分析等。对此，不少网民和业界人士担心，认为这些识别场景将面临公共数据采集与个人隐私保护、使用目的的正当性、数据泄露风险等争议。

今年以来，北京部分高校陆续“试水”人脸识别系统，用于日常考勤和课堂纪律管理，课堂上学生发呆、打瞌睡、玩手机等动作都可能被识别出来;另外，还有学校在校园入口、部分宿舍楼配备人脸识别门禁，用于针对进出人员的检测核验。

记者走访北京天坛公园、日坛公园、奥林匹克森林公园等地发现，为了限制同一个人的取纸数量，部分公共场所厕所内安装了人脸识别厕纸机，但多数处于损毁和维修状态。

上周，由南方都市报大数据研究院举办的“2019啄木鸟数据治理论坛”上，一份《人脸识别落地场景观察报告》引发关注。文中显示，许多场景下人脸识别设备没有提供隐私政策或用户协议，公众无法在用户知情、同意的前提下使用。以公共场所的厕纸机为例，用户进入摄像头范围后就被“刷脸”，关于人脸数据怎样存储、是否能被删除等问题，机器并没有进行任何说明;而在一些设置了人脸识别摄像头的商场内，消费者甚至不知道自己会被拍摄。

报告还公布了这样一组数据：在公租房、交通、校园、商场等场景下，各有半数以上的受访者表示没有签署隐私政策或不清楚是否签订隐私政策。也就是说，一旦发生信息泄露，用户将难以要求网络运营者提供合理的处置或救济措施。另外，还有四成以上的受访者表示，不知道自己人脸的数据怎样被储存。

八成受访者希望设置渠道删除个人数据

从之前拍照“剪刀手”泄露指纹信息，到AI换脸软件“ZAO”引发伦理隐私争议。“生物识别本身是非常安全的，其唯一性保证了验证上的可靠，是安保方面非常安全可靠的手段;但生物识别的唯一性也导致其一旦丢失，后果不堪设想。”志翔科技创始人蒋天仪说。

《人脸识别落地场景观察报告》中提到，有3000多位受访者列举了担心的理由，包括人脸信息公开无法加密、人脸信息绑定了与金钱有关的账户、不确定数据管理者是否能合法收集使用、担心系统技术不完善被黑产盗用等。在有关安全隐患中，79.31%的受访者担心系统运营者安全能力欠缺导致人脸信息泄露，65.17%的人担心换脸视频等网络虚假信息增多，49.57%的人担心不法分子利用伪造信息实施诈骗或盗刷。

另外，透明度不足问题也较为突出。研究人员发现，许多场景下的人脸识别设备都没有提供隐私政策或用户协议，公众无法在充分知情并在同意的前提下使用人脸识别;然而，超过八成的受访者希望自己能够得到查看和删除人脸数据的渠道。

技术尚未成熟，人脸识别应用“噱头”居多

虽然AI技术不断发展，各类人脸识别场景不断落地，但在业界看来，面部情绪识别技术尚未成熟。中国电子技术标准化研究院信息安全研究中心数据安全部胡影列举了这样一则案例：公交车上有董明珠的照片，当时公交车闯红灯时被识别为董明珠闯红灯……

“人工智能技术可以模仿人脸，因此换脸攻击非常容易。虽然换脸过程中也有很多检测手段，比如在支付时有多重风控保障，但如今在合成照片尤其在视频流中替换人脸技术发展迅速的情况下，无疑会造成灰色地带的出现。”胡影说。

另外，从应用层面来说，面部情绪识别更多的是“噱头”。深圳大学计算机视觉研究所所长沈琳琳坦言，目前通过人脸识别来判断情绪的技术尚不成熟，准确率也不高;而通过人体行为识别来分析抬头率、坐姿和视线集中等准确率比较高，但如果这些数据用来衡量学生的成绩和表现，将学生看做是流水线上的产品，可能会影响学生的个性化、创新性。

APP专项治理工作组副组长洪延青提到了“人脸识别技术的规制框架”，并将人脸识别的应用场景分为计数、识别、认证、监控、伪造、窥探等六个大类。他认为，使用人脸识别计数是为了区分不同人，比如在刷脸领厕纸场景中，人脸识别是为了让用户不能重复领用，对于计数场景下建议企业摒弃人脸识别技术的运用;对于认证、识别场景，可适用个人信息保护中“知情—同意”和个人敏感信息的框架予以规制。

“监控场景本质上是‘识别+追踪’，比如在新零售场景中，用户可用‘知情—同意’框架来拒绝或者对抗;伪造场景中的人脸识别技术不需要用个人信息保护框架来规范，可以更多地适用肖像权的法律框架;在窥探场景中可使用民法现有的人格权、隐私权来解决。”洪延青说。

“黑白名单”及行业问责制有待完善

对于用户人脸画像收集现象，浙江垦丁律师事务所律师麻策认为，我国《网络安全法》规定，收集、使用个人信息时应当公开收集、使用规则并经被收集者同意。朋友圈一再出现上传照片生成匹配画像的模式，很多只是让用户直接上传照片，却没有向用户事先说明收集照片的业务合法性，甚至该工具会直接调用用户微信昵称、姓名、头像等，从而生成比对照片。

“这些不事先公开收集规则并获用户同意的营销方式，违反了个人信息保护的相关规定，也无法保护用户日后对于该类照片信息的删除、撤回等权利。”麻策认为，很多互联网公司为了吸粉，采取互动游戏、个性分析、H5页面等方式，掘取用户个人信息，但没有对用户提示个人信息已被收集以及日后数据使用规则，而普通用户却只认为好玩而不理解提供信息的后果。

在政策法规方面，蒋天仪认为，政府要有完善的规范和标准，对于有权采集和使用用户生物识别信息的机构、企业等须设置较高门槛和监管制度，让可信并具备足够安全能力的机构和企业才有资质和权限采集使用信息，并对信息的使用、存储等在顶层制度设计上更有保障，通过严格的制度规范，保证信息安全和合理合规使用。

《人脸识别落地场景观察报告》中也建议，政府部门针对不同人脸识别的应用场景进行利益衡量后，确定人脸识别应用的使用必要性和使用范围。一方面须通过制定法律法规和国家标准，明确企业的从业资质与行为规范，包括“黑名单”“白名单”“推荐名单”;另一方面要制定完善的问责制度，明确处罚构成要件、处罚标准，从而最大程度地防范人脸识别技术的滥用。

关键词： 刷脸时代 信息安全