人脸识别的边界:哪种程度的信息采集才适用

Ai芯天下

    前言:
    人脸,承载了重要的个人身份信息。技术的发展,则让人脸成为了辨别个人身份的“重要数据”。各大手机厂商推出的新一代手机中,刷脸解锁已经替代了指纹解锁,一些支付系统也都纷纷采用了人脸识别技术。目前,人脸识别无疑是人工智能浪潮中最火热的、被广泛应用的技术之一,为生活出行、社会治安等提供了便利。
    
    刷脸是否安全
    “刷脸”进门,“靠脸”吃饭......在人脸识别技术日渐成熟的今天,这些曾经的想象已经无限接近于现实。根据前瞻行业研究院的预测,未来五年中国人脸识别整体市场将快速成长,实现多行业应用,预计到2021年中国人脸识别市场规模将突破50亿元。
    除了对隐私的担忧,公众对人脸识别技术另一方向的忧虑来自于技术本身的安全。此前,浙江小学生发现打印照片就能代替“刷脸”,骗过小区里的丰巢快递柜的新闻,似乎正是其“不靠谱”的写照。
    与对隐私的担忧相比,对“刷脸”技术本身安全性的忧虑却有恐慌之嫌。实际上快递柜能被照片蒙骗,主要是因为其中并未加入活体检测技术,“如今连活体检测都不用就敢‘放出来’的人脸识别技术应用相当罕见”。
    从技术本身来看,目前人脸识别分为2D和3D两种技术方案,以支付宝和微信的“刷脸支付”为例,两者使用的都是3D人脸识别技术,会通过软硬件结合的方法开展检测,来判断采集到的人脸是否为活体,可有效防范视频、纸片等冒充。
    
    不同场景,不同边界
    商业化场景:在满足个人信息主体“知情同意”情形下,鉴于人脸信息蕴含着更高的信息安全风险以及潜在的更广泛的信息内涵,企业应当谨慎评估使用行为是否遵循“合法、正当、必要”原则,避免被质疑“杀鸡焉用宰牛刀”。
    基于公共利益的应用场景:与传统法学上对于肖像权的限制观点相类似,基于社会公共利益所需的情形下,自然人就其人脸信息所享有的权利也得以在一定程度内被限制。然而考虑到过度使用人脸识别技术可能对种族平等、言论自由可能带来的威胁,一般认为在公共场所使用这一技术时,建议注意遵守授权原则、法律保留原则、比例原则等。
    
    人脸识别技术应用的合规问题
    ①含人脸图像的照片的性质认定
    《信息安全技术 个人信息安全规范》中,面部识别特征与个人基因、指纹、声纹、掌纹、耳廓、虹膜等一并构成个人敏感信息下的“个人生物识别信息”,保护程度和相关的合规要求均较一般个人信息更高。今年6月,全国信息安全标准化技术委员会发布了《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》,其中对于生物特征识别数据的定义为“生物特征样本、生物特征、生物特征模型、生物性质、原始描述数据的生物识别特征,或上述数据的聚合”,而“人脸”被列为可据以对个体进行识别的生理特征之一。然而,对于承载人脸图像的照片是否会被认定为个人敏感信息,我国目前尚未予以明确。
    包含人脸图像的照片在性质上并非当然构成受到更高保护程度的生物识别信息/个人敏感信息,而是当经由特定技术处理后能够使其具有可识别个人身份的属性时,才会受制于更高的合规要求。
    ②人脸识别技术的商业化使用
    《网安法》要求网络运营者收集、使用个人信息,应明示收集、使用信息的目的、方式和范围,并经被收集者同意。将监控设备基于安监目的所收集的人脸图像、影像信息进一步应用于商业化的精准广告营销,超出了消费者对于其个人信息使用的正常预期。
    因此,企业因安全监控等目的所获知的人脸图像、影像,如后续被用于其他商业目的,则需保障个人信息主体的知情、同意要求。此外,企业还需采取合理措施防止对该述信息的未经授权访问或获取,并遵循保存时限合理必要的最小化要求。
    ③公共场所使用人脸识别技术的限制
    一方面,政府基于建设智慧城市如在地铁等公共交通枢纽场地安装人脸识别装置或基于行政执法目的收集、使用人脸信息,是对公共安全的保障甚至能够推动公共出行的便捷。另一方面,在日益增多的公共场所监控场景中,个人无法拒绝对于人脸识别信息的获取,也同时增加了个人信息被滥用的风险。
    虽然上述为公权力使用场景,但其中所体现出的利益权衡对于在公共场所部署监控设备的企业而言依然有一定的借鉴意义。企业在处理人脸识别信息时应当考虑行为的正当性和必要性,应积极制定并遵从敏感信息处理政策,以明示告知信息主体并取得信息主体的妥当授权,确保收集和处理该信息仅应以其业务目的之必要为限度,并在上线监控技术之前对其可能对个人隐私造成的影响予以评估。
    ④人脸识别技术下的歧视问题
    随着我国对于个人信息处理的合法性、透明性要求日渐增强,企业在完全依靠自动化算法处理人脸识别信息并作出显著影响个人信息主体权益的决定时,为了避免可能的算法歧视对自然人造成的影响,建议应:
    (1)全面告知人脸识别信息的使用用途;
    (2)AI自动算法的工作原理以及AI将使用何种特征来评估数据主体;
    (3)就收集人脸识别信息以及后续的AI处理行为获取数据主体同意;
    (4)向个人信息主体提供申诉方法,以保障受影响的主体质疑自动化决策所做结论的权利。
    受限于技术发展现状、原始数据的偏差、算法设计者自身的偏见,使用人脸识别算法通过标签化的判断方式增加了作出歧视性决策的风险,而这些风险绝大程度上将由本身已处于相对劣势地位的人群承担。在缺乏监管、有效保障措施、透明度和问责机制的情形下,人脸识别算法的运用将加速现有的不平等现象。而令人担忧的是,通过借助复杂晦涩的算法,歧视往往以一种不易察觉的方式进行。
    
    我国法律对面部识别特征进行较为严格的保护
    人脸识别带来的便利不可忽视,然而技术的发展没有边界,但技术的使用必须有边界,可这个边界是模糊的。哪些场景可以应用,哪些领域可以扩展,均无明显规范。因此,当其逾越了边界,自然就产生了诸多争议。
    我国关于人像采集的法律法规主要集中于出入境管理、身份证办理、刑事侦查、道路交通安全管理等法律法规,公安机关等相关政府部门有权力强制采集数据主体的人像、指纹等生物识别信息。比如,《身份证法》第三条规定居民身份证登记的项目包括本人相片、指纹信息等。
    除了法律对人像采集有强制性规定的场合之外,人脸识别正在被广泛运用到火车站/飞机场的“刷脸进站”、学校的课堂监控、企事业单位的“真人打卡”等公共管理领域,以及银行等金融机构的身份验证、支付宝等第三方支付的身份验证、在线美颜和P图等商业领域。上述行为是否符合《网络安全法》及相关信息保护法律规范的要求值得思考。
    其实,从人脸识别的技术来看,除了首次在数据库中存储的面部识别特征,在此后的面部识别中采集的面部特征可以仅用于校对,而不进行存储。不收集或减少收集不必要的个人敏感信息也符合《网络安全法》关于数据收集的“必要”原则,同时也可以减少数据泄露的安全风险。
    
    结尾:
    人脸信息,作为人体重要的生物信息,在技术发展的推动下,已经应用到支付、娱乐、安防、教育等各个生活领域。技术是一把双刃剑,人脸识别作为一项高新技术,人们在体验其为生活带来便利的同时,也不能忽视其带来的信息安全、隐私泄露等问题,更不能对其带来的法律风险视而不见。