近年来,人脸识别技术得到了广泛的应用。但与此同时,安全隐患也随之产生。人脸识别技术滥用问题受到了各界的关注。2021年以来,随着《个人信息保护法》等法律出台以及相应技术标准实施,人脸识别技术的规范使用问题再次引发关注。
过去一年多时间里,人脸识别技术使用有哪些变化?相关法律法规的出台意味着什么?就此,新京智库和中国法学交流基金会新兴产业发展专项基金联合举办“《个人信息保护法》实施后,如何遏制刷脸技术滥用”主题研讨会,来自中国政法大学、北京航空航天大学、中央财经大学、上海交通大学等多所学校和机构的学者参加了本次研讨会,就上述相关问题展开讨论。
人脸识别技术使用存在三种风险
在不同的应用场景,人脸识别技术带来的风险并不一样。上海交通大学数据法律研究中心执行主任何渊表示,人脸识别技术存在三种类型的技术场景。第一种是基于移动终端的单向存储的人脸识别技术。由于单向存储和终端存储,因此泄露的可能性最低。第二种是基于“云端”生物介质的人脸识别技术。相对来说风险会高一些。不过,随着技术进步,云端人脸识别技术的安全性也会变得更高。第三种则是风险性比较大的,就是随机获取的人脸母版和静态人脸识别系统,如将大街上行走的路人人脸数据记录下来作为母版存储起来,存在缺乏个人同意的合法性基础和人脸识别数据流向不清晰等问题及风险,人一旦丢“脸”了,就再也要不回来了。
中央财经大学数字经济融合创新发展中心主任陈端则认为,人脸识别的应用不仅是法理问题,也是伦理问题。我们需要从伦理层面去认识,从法理层面去规范。由于人脸识别技术使用的场景很多、潜力很大,因此需要很精细的制度设计。
针对人脸识别滥用问题,技术维度的规制也受到关注。北京航空航天大学机械工程与自动化学院副教授袁培江认为,当前人脸识别技术还在发展阶段,所以出现的滥用、数据泄露等问题该怎样解决,可能还需要时间去探索解决,这是个渐进式的过程。解决技术问题,可能只能从技术本身发展来解决。
隐私数据保护、人脸识别对抗技术出现新发展
何渊表示,从隐私科技及其产业发展角度来看,目前数据安全和隐私保护领域的技术已然形成了一个庞大的产业。何渊将其称为隐私科技,主要包括隐私计算技术、隐私合规技术、数据分级分类等数据治理技术。“目前国内隐私科技领域已经有了数百家企业,其中头部公司估值已超过100亿元人民币。而根据美国IAPP作的一个报告,全球隐私科技公司已经达到了数千家的规模,隐私计算还被评为2021年最值得期待的十大硬核科技。随着我国《个人信息保护法》《数据安全法》的实施,隐私科技的未来发展将不可限量。”
袁培江指出,近年来人脸识别干扰技术也有新的发展,比如现在已经可以根据个体的面部特征进行有针对性的“打码”,从而干扰机器进行人脸识别。如果一个人将这个码佩带在身上,机器将无法准确识别其身份。但是技术攻防的不断发展,就如同病毒和杀病毒技术的此消彼长,它的存在并不意味着我们就更安全了,甚至有可能会产生更多的隐患。
陈端表示,根据数据安全技术的发展现状,目前完全可以实现数据脱敏处理,即做到数据可用不可见、不可存。这些技术的应用,能够有效减少因为人脸信息和后台个人隐私数据高度关联而形成的负面效应。
对生物识别信息的立法需有前瞻性
何渊认为,对人脸识别等生物信息的规范使用,需要从规制走向合作治理。这不仅仅是政府的事情,平台、个人也要参与到治理过程当中来,走向多元共治、合作治理及企业合规等。在这个过程中,需要特别重视规章、制度、政策这些细则性的、实施性的要素。
生物特征信息的存储、流转、使用,同样值得注意。陈端表示,未来生物信息可以是在多场景下,也可能在被采集方完全无意识的情况下、未经授权就被扫描,并且可能不是针对某一个人,而是针对某一个商业性的大型活动或者某个大型集会。个人的相关生物特征信息被采集之后,这些数据流怎么样存储、流转、使用,也会存在群体性传输和个体权益保护之间的不对称问题。立法需要高度关注技术的正向进步,以及这些技术的发展、变动,可能会给个人信息保护和公共安全带来什么样的潜在隐患。
陈端还提醒,人脸识别方面,未来可能的漏洞会出现在基于人脸识别技术的产业生态中,可能会有一些特别小的点。这些点可能是一些规模相对较小的主体在运营。在这样的领域引入技术专家是非常重要的,可以更好去研判技术上的可能趋势、方向以及相关的风险点。
近年,国内多个地方出台地方性法规,对人脸识别使用进行限制。对此,袁培江判断,未来可能会有更多的地方会对个人隐私信息的商业使用进行限制。
企业在人脸信息的采集范围上或许可以做一些改变。在陈端看来,在采集范围上,把人脸信息的识别可区分成不同的维度。比如仅仅采集面部关键特征信息就可以完成的场景化需求,就不用采集全部面部特征的信息。这其实也可以在更大程度上保护个人的隐私。
应推动多元共治形成合力
对于人脸识别技术应用的监管,中国政法大学区块链金融法治研究中心主任胡继晔认为,一方面我们要在立法和执法上进一步完善,另一方面也可以通过技术手段限制其应用范围。此外,个人也要提高维权意识,在人脸识别可用可不用的应用场景中,勇敢选择不识别,通过更多的人选择保护个人信息来形成社会合力。
何渊则表示,人脸识别技术的合理、合法应用,要通过法律、技术、管理三个层面共同努力来实现。法律做出要求和规定,相应的规则和标准也将细化,企业通过技术应用将法律的要求落到实处。在管理层面上,需要企业主动投入人力、物力、财力来进行隐私管理。上海的一些监管机构已经提出,相关企业8%的净利润要投到网络安全和个人信息保护当中去。在隐私管理方面,相比独角兽或者平台性企业,我国的中小企业做得还不够好,仍待完善。怎样让所有的企业定期进行隐私管理评估,及时向政府报告相关数据,是实现政府、企业和社会多元共治的重点。
除了采取技术手段以外,陈端认为,对于人脸识别技术应用的治理,还可以从行业自律、强化公众防范和维权意识等方面进行:通过建立专项公共维权平台,在特定的时间点强势聚焦有关方面的公共维权,形成对违规违法行为的有力震慑;头部企业通过强化自身的社会主体责任,加强自律,利用其行业生态影响力的外溢来强化行业标准制定与方向引领,推动行业建立完善规范化体系;通过媒体宣传和引导,加强公众对自身的人脸信息安全的防范意识和维权意识。
关键词: