上班打卡刷脸、进出公园刷脸、收快递刷脸…人脸识别深陷争议漩涡,技术应用边界在哪?
(原标题:上班打卡刷脸、进出公园刷脸、收快递刷脸…人脸识别深陷争议漩涡,技术应用边界在哪?)
上班打卡刷脸、进出公园刷脸、回到小区刷脸、收取快递刷脸……不知不觉间,人脸识别设备已经侵入人们日常生活的方方面面。
人脸识别技术是基于人的面部特征信息进行身份识别的一种生物技术,主要包括人脸检测、人脸图像预处理、人脸图像特征提取、匹配与识别四部分。目前已被广泛运用于远程开户,机场、火车站及景区的认证核验,人脸手机解锁,线下刷脸支付,公安系统的天眼系统抓捕嫌犯等领域。
但近两年来,人脸识别技术的迅速普及也使得相关实践运用泛滥,引起了部分用户的反感以及监管层面的关注。今年12月1日,天津通过的一项信用条例首次提出禁止相关单位采集个人生物识别信息。多位律师认为,这将对其他地方形成示范性作用。
尤其值得一提的是,人脸识别在金融领域中的应用——刷脸支付,曾经一度成为“网红”,但因各种争议在现实中的推广受到极大局限。“所以现在刷脸支付的推广情况其实不是很好。”有业内人士对证券时报·券商中国记者表示。
步入争议"旋涡"
去年4月,浙江理工大学特聘副教授郭兵得知,自己在杭州野生动物园办理的年卡被“升级为人脸识别入园”,园方以此为由,要求他提供个人面部信息。郭兵对此不解并作出拒绝,在协商未果后将该动物园诉至法庭。
此次上诉被业内称为中国“人脸识别第一案”。今年11月20日,这场备受关注的官司迎来宣判。杭州富阳区人民法院一审判决:野生动物园赔偿郭兵合同利益损失及交通费共计1038元,并删除郭兵办理指纹年卡时提交的包括照片在内的面部特征等个人生物识别信息。
在监管层面,禁止采集人脸信息的首例地方立法也已“破冰”。12月1日,《天津市社会信用条例》通过表决,自2021年1月1日起施行,该条例规定市场信用信息提供单位不得采集包括人脸信息在内的生物识别信息。尽管这一条例的管辖范围仍存在争议,但不少分析人士认为,该条例释放了一定的监管信号,对刷脸支付可谓“敲山震虎”。
“该条例将起到示范性作用,除了信用领域外,未来其他领域的相关条例也会陆续出台。”宁人律师事务所金融与科技委员会副主任马军表示,“我国在立法层面已经对个人信息保护的原则性条款进行了约束,也就是合法、正当、必要性原则,后续每个行业都应该在这些原则的基础上,结合行业特征研究相应的监管规范。”
与此同时,国外多地政府机构对人脸识别技术也在进行狙击。今年9月,美国波特兰市发出禁令,要求在公共空间无论是当地政府还是商店、饭店和旅馆都不能使用人脸识别技术。
在联动效应之下,国内对人脸识别技术的质疑声也愈演愈烈。深度科技研究院院长张孝荣就认为,人脸识别技术在国际上恶名昭彰,一些发达国家已经着手立法禁用或限用,“我国需要与国际接轨,人脸识别技术最多只能用于安防反恐等公共安全领域,其他商业领域应用应该一律禁止”。
追问技术安全性
当前市场对人脸识别技术的普遍疑虑在于:人脸识别技术是否比其他技术更不安全?人脸信息被采集后能否安全保管?信息一旦发生泄漏,是否会被用于在其他设备上进行支付、信贷等操作,进而侵害个人财产权益?
一位了解人脸识别技术的从业人员向证券时报·券商中国记者假设了一个具体场景:用户在小区门禁录入的人脸信息发生泄露,不法分子要想成功利用这些被泄露的人脸信息通过其他信贷公司的审批环节,取决于信贷公司人脸核验程序逻辑是否存在漏洞,“包括API是否暴露出来、模型特性如何等等”。
据这位技术人士介绍,人脸核验程序由很多环节组成,包括输入人脸程序的API、人脸核验模型等。人脸核验模型就是用户普遍接触到的录入人脸信息,进行比对以及输出结果的过程,安全性取决于模型特性。“例如,有的核验模型能识别出来一张人脸照片里的人脸是真人脸还是对着人脸照片拍出来的,有的核验模型却不能,这就是模型安全性的差距。”上述业内人士解释。
问题是,部分小公司的人脸识别技术能力没有达到可匹配其展业范围的水平,人脸核验程序的反黑客能力较弱,并存在滥用所收集的个人信息数据的可能。“比如小区门禁用的人脸识别设备很多是由一些小运营商提供,而一些不规范的小公司获取数据后,很有可能进行倒卖来换取收益。”马军表示。
此外,人脸识别技术在实践层面还面临安全性与便捷性难以兼顾的问题。据上述从业人员介绍,设置多种核验方式是保障人脸识别安全性的重要手段,“这是由于仅使用人脸信息作为核验要求,安全性极低,尤其是人脸时刻暴露在公共环境中,不法分子随时可能在用户无感的情况下获取”。
多位业内人士更是强调,虽然人脸识别是生物特征识别中的一种,但人脸信息具有唯一性和不变性。与传统的数字密码相比,这样的生物信息一旦丢失,意味着用户没有“重新设定”的机会。因此,该类信息的泄露对用户隐私造成危害性也就更大。
证券时报·券商中国记者了解到,支付宝的“刷脸支付”技术背后,就包含对用户日常轨迹数据的对比,在用户常光顾的小店消费可直接“刷脸”,在首次消费的小店还需结合手机号进行验证。银联“刷脸付”则采用人脸识别结合支付口令输入的方式完成双重验证。
但采用多重核验方式也意味着,作为人脸识别技术最大优势的便捷性必然受到削弱。“所以现在刷脸支付的推广情况其实不是很好。”有业内人士表示。
前述从业人员也表示,从目前推广情况看来,受安全性要求所带来的局限性,人脸识别技术在商业应用方面的畅想空间其实有限,刷脸支付也很难全面实现无感化、便捷性支付的设想,甚至达到取代扫码支付的地步。
看好还是唱衰
“最近一年对刷脸支付的质疑声要远远多过支持。”杭州电子科技大学教授刘大为表示。这一情况不仅与刷脸支付的应用问题有关,也受到国际市场对人脸识别技术极度排斥的影响。
今年以来,欧美多地针对人脸识别技术出台禁令,国内也开始显示出“严监管”信号。除天津最新通过的条例明确相关单位禁止收集人脸信息外,《个人信息保护法(草案)》对公共场所人脸识别设备的铺设作出专门规定,网信办对移动应用程序(App)的信息收集也做出了规范。
对此,刘大为表示,欧美国家禁止刷脸支付是有自身金融背景的。“毕竟信用卡是欧美国家的主流支付手段,推进移动支付也在起步阶段,直接进入刷脸支付的转换成本和潜在风险都很高”。另外,人脸识别需要特殊的生物识别代码,如果有漏洞就很容易被黑客攻击,很可能造成用户巨额的财产损失。“欧美金融机构对用户财产损失的赔付制度与历史习惯也导致他们不敢轻易尝试刷脸支付。”刘大为分析称。
国内市场环境则完全不同,刘大为进一步表示,如果没有政策干预,刷脸支付在国内不会停下来,只会继续发展与完善。在未来一段时间,刷脸支付在移动支付的市场份额会逐步增加,甚至很快会和扫码支付平分天下。
日本支付机构Netstars CTO陈斌也表示,人脸识别技术并非不能用,关键在于怎么用。他认为,未来监管必将对刷脸支付的使用限制在一定范围内。例如,限制于小额支付场景等,而在身份认证方面,随着数字化转型的推进,人脸识别技术或存在巨大价值。
“现在监管对远程开户还很谨慎,主要受限于技术能力,无法判断远程认证的到底是真人还是其他情况。”陈斌举例说明,“未来或许可以进一步通过某些辅助的手段降低远程开户风险,如现在已经出现的结合周边环境因素判断真实度、要求用户眨眼或移动图片等,谁有创造性,谁能发明更好的手段,就有发展机会”。
人脸信息特殊在哪儿
人脸识别是生物特征识别中的一种,与指纹、虹膜等生物特征一样,人脸信息具有唯一性和不变性。与传统的数字密码相比,这样的生物信息一旦丢失,意味着用户再无机会"重新设定"。陈斌向记者表示,"如果账号密码泄露了,用户还可以更改,但是人脸信息如果出现大面积泄露,难道让成百万人上千万人去整容吗?"陈斌如是说。
与此同时,相对于其他生物特征,人脸信息还具有易于获取、获取过程无感化、与个人身份关联紧密等特性。一家国际互联网数据公司技术人士表示,"人脸信息与个人身份之间的关系可谓'一目了然',一旦建立其关联信息,风险较大。”
亦有业内人士向证券时报·券商中国记者表示,人脸信息泄露还存在两方面风险:一是人脸信息属于个人隐私,一旦泄露可能被滥用、乱用;二是人脸信息通常暴露在公共环境中,很容易实现无感知采集,用户无法知道是否有企业存在恶意识别人脸的行径,从而用来做一些对个人不利的事情。
陈斌对人脸识别技术在金融领域的应用充满警惕。据陈斌介绍,在数据安全领域主要关注两类,一类是个人身份数据(PII),另一类则是支付卡数据(PCI),前者背后代表了个人生命安全,后者背后代表了个人财产安全。
"如果把人脸识别技术不加限制地用于金融认证,就相当于每张脸的背后都绑定了一个资金账户。"陈斌提醒,这一做法将人身安全与财产安全紧密关联起来,有可能在损害个人财产安全的同时威胁人身安全,因此,可能将用户推向一种危险的境地。
探索中的监管之道
央视新闻曾在今年8月份报道称,2010年至2018年间,我国人脸识别行业市场规模年均复合增长率达到30.7%,预计到2024年我国人脸识别市场规模将突破100亿元。
"我们已经走到了人脸识别技术应用的'无人区',在全世界范围内,中国都是走在最前面的,但这也意味着我们正在面临全世界任何一个国家都不曾遇到的问题。"全联并购公会信用管理专业委员常务副主任刘新海向记者坦言,一个监管的空白区,自然会在发展中存在许多问题,无论是应用还是监管,都还走在不断探索的路上。
今年11月份公开的《个人信息保护法(草案)》提及,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。网信办等四部门12月1日印发的《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》中也规定,3种金融类App必要个人信息不包含人脸信息等生物识别信息,App运营商不得强制收集并将其作为提供服务的必要条件。
这些政策等同于掐住了人脸识别模型研发的命脉。前述业内人士透露,人脸核验模型需要大量人脸数据进行训练,相关政策的落地或对人脸识别技术的研发有较大影响,"没有训练数据,就是'巧妇难为无米之炊'"。
但从监管发布的指导文件来看,人脸识别技术不会被"一棒子打死",不过,对参与者的准入门槛或将抬高,甚至收缩到持牌金融机构范围内。去年8月份,央行印发的《金融科技(FinTech)发展规划(2019-2021年)》中就提到,要探索人脸识别线下支付安全应用,利用专用口令、"无感"活体检测等实现交易验证,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。
"'一刀切'显然不是良策,政府应该会积极监管,但也要平衡人脸识别技术带来的商业价值、社会价值和对个人信息的保护。"前述从业人员表示,"国内大型互联网科技公司和数字经济之所以能发展起来并走在世界前列,正是得益于宽容的监管环境,人脸识别技术与其他推动经济发展的技术一样,都需要监管的包容。"
也有部分业内人士表示,当务之急是要对人脸识别技术的应用提高准入门槛,并推出行业规范。
自下而上的期待
尽管人脸识别技术在监管层面和行业内均引起关注,亦有学者吹响人脸信息保卫战的号角,但在更广泛的普通民众层面,个人对于自身人脸等生物识别信息的保护意识仍然十分薄弱。
有消费者向记者表示,互联网时代中,自己的个人信息几乎早已透明,在当前街头巷尾都有刷脸支付设备的情况下,为了生活支付更加方便,自身对于的该方面隐私保护也并不十分在意,持有无所谓的态度,“保护不保护都一个样,该泄露的也早都泄露完了”。
但从实践情况来看,信息泄露后的维权难上加难,从采集环节做好个人信息的保护显得尤为重要。劳东艳在文章中直言,“寻查泄露数据者在实践上存在极大困难,在这种情况下,民事诉讼等同于画饼”。
马军提醒,消费者应积极发出自己的声音,让监管层听到。“对于个人信息被乱收集,大部分民众是没有警惕意识的,也不向网信办等有关部门举报。”他表示,“只有当事人积极举报,监管才能对问题管得起来,根据问题对企业采取处罚措施,进而促使企业也提高信息保护意识,这也需要自下而上推动整个社会环境作出改变”。
