识别数据出售

国际教科2019年12月26日星期四责任编辑:李盛明美术编辑:杨震14周刊人脸识别技术的研究最早起源于20世纪60年代,到90年代进入了初级应用阶段.
近年来,随着计算机视觉技术、大数据、人工智能、机器学习等技术的疾速发展,人脸识别技术在各国出现了爆发式增长,给人们的工作和生活带来了极大便利.
根据全球第二大市场研究机构MarketsandMar-kets年中发布的预测,2019年全球人脸识别市场规模预计为32亿美元,五年后将达79亿美元,市场的主要驱动力来自于各国政府、国土安全、金融、零售、医疗保健等服务领域.
然而,人脸识别技术在快速发展、深入社会的同时,也给我们带来了诸多安全挑战.
个人隐私数据泄漏、技术滥用等造成的信息安全风险问题亟待解决.
2019年发生的多起人脸识别安全事件已引起了全球各界人士对人脸识别技术应用规制的深层反思.
人脸识别技术应用的机遇与挑战戴丽娜郑乐锋当前,人脸识别已经应用到地铁安检、动车检票、移动支付等多个日常生活领域,人脸生物信息利用日益普及的同时也存在滥用风险.
例如,网络中大量存在的针对电商平台、特定设备的"过脸"技术解答与技术教程,不断地钻技术漏洞滥用人脸信息;人脸识别企业也发生过相关数据泄露事件,超过250万人的核心数据被获取,容易滋生数据黑灰产交易,进一步扩大安全风险.
人脸识别作为新兴生物信息技术,尚无专门立法规定,也尚未建立严格的准入制度与监管制度.
面对面部信息的收集主体多、安全保障弱的现状,监管有待于进一步探索如何建立分级应对精细化管理机制.
人脸识别等类似大规模隐私技术切身涉及公民基本权利,需要引入"正当程序".
在公共政策的出台过程中,要广泛进行话题辩论,鼓励公众讨论,甚至在争议较大的核心问题上听取公众意见,充分保障民众在公共话题上的参与权与知情权.
美国的人脸识别监管法案美国在联邦层面没有统一的法律规制人脸识别数据的收集和使用,而是各州针对生物特征信息单独立法,其中美国伊利诺伊州与加利福尼亚州颁布的《生物信息隐私法案》最为典型.
伊利诺伊州于2008年颁布了《生物信息隐私法案》,是美国国内第一部旨在规范生物标识符以及信息的收集、使用、处理、存储、保存和销毁的法律.
加利福尼亚州于2017年颁布了《加州生物信息隐私法案》.
综合这两部法案,其对规制人脸识别体现如下特点:一是明确人脸识别数据属于生物信息.
《加州生物信息隐私法案》首先以概括式+列举式的立法技术对"生物信息"内涵予以细化.
其规定任何能够捕获的直接或间接源自视网膜或虹膜扫描、指纹、声纹、手或脸扫描的信息都属于生物信息,但不包括文身或身体描述(例如身高,体重,头发的颜色或眼睛的颜色).
二是确立知情同意原则.
法案要求初次收集面部数据需要符合"知情同意原则",告知生物信息收集的情形、收集目的、信息留存时间,并获得书面同意.
同时在未经当事人同意或者非法律规定的例外情形时,不得将面部识别数据出售于第三方.
三是施加企业法定期限删除义务.
企业需在书面政策中设立生物识别数据保留时间表.
当面部收集数据的目的已达或距信息主体与企业最后一次联络已满三年时,应该销毁相关数据.
四是确立企业审计制度,需要对技术使用相关情况提供报告.
在州法制定之外,美国个别城市也尝试采取禁令方式禁止政府使用人脸识别技术.
旧金山市于2019年5月通过了《停止秘密监视条例》,成为美国第一个禁止政府使用人脸识别系统的城市.
除了由联邦政府控制的机场与港口外,禁止全市53个政府部门包括警察局在内随意使用人脸识别技术.
如果正在使用该技术的,必须向市议会暨郡监督理事会汇报过去的使用情况;而个别有特殊需要、将来准备使用该技术的部门,包括购买该技术所需器材、研究经费等,均必须向议会暨理事会提交详细报告,说明使用目的、场所、范围,并召开公众听证会.
此外,条例也规定了在急需监视技术应对迫在眉睫的死亡危险或严重人身损害时可以使用的若干情形.
例如使用时间要控制在事态发生后的7天内或事件结束后(以较早时间为准);原则上只保留与紧急事件相关的面部数据,销毁无关数据,不得泄露给第三方;在紧急情况发生后的45天内,向监事会提交书面报告等内容.
萨默维尔市与奥克兰市也于今年6、7月分别通过了《人脸识别全面禁止条例》与修正后的《监视及社区安全法案》,对政府使用人脸识别技术进行了规制.
架构合理前沿技术治理体系的国际趋势面对面部识别可能侵犯公民隐私的现状,欧盟先是2019年6月份成立了人工智能高级别专家组(HLEG),考虑面部识别需要何种方式的监管.
专家组此后发布报告,提议欧洲应该禁止AI进行大规模监视和社会信用评分.
报告写道,政府应承诺只部署和采购值得信赖的人工智能系统,其设计宗旨是尊重法律和基本权利,符合伦理原则,保障技术对全社会的向善品质.
在专家组不断评估的同时,立法也不断跟进.
今年8月22日,欧盟委员会拟通过新立法以全面改革面部识别法规,限制公司和公共机构不加选择地使用面部识别技术,以保护公民免受公开监视,甚至为人工智能面部识别设定国际通行的清晰、可预测的标准.
技术进步的大势不可逆转,但是如何趋利避害,在用好新技术的同时防范内险的方法却值得深思.
首先,应完善人脸识别相关立法,尤其对于公共场合大规模应用需要有章可循.
对于公共场合大规模应用,应明确人脸识别信息收集的范围需与提供服务直接相关的必要性,信息使用应将对隐私的不利影响控制在最小范围和限度内,必要场景考虑设立"黑名单"制度.
其次,以伦理准则为起点,建立一套人工智能治理体系,确保科技向善.
企业应发挥伦理准则和行业自律等软法性质的非强制性规则,积极设立人工智能伦理委员会,对人工智能相关争议问题进行伦理审查,确保科技向善.
再次,政府公共部门应严格遵守正当程序,广泛听取民意.
公共机构若要大规模采用人脸识别技术应当遵守严格的程序限制,履行严格的审批.
(作者蔡雄山系腾讯研究院法律研究中心副主任;作者袁俊系腾讯研究院助理研究员)如何应对人脸识别技术的安全隐忧蔡雄山袁俊目前,从全球人脸识别技术领域的应用场景布局来看,安防、金融、交通是相对布局较为成熟的领域,而在零售、广告、智能设备、教育、医疗、娱乐等领域也均有较多应用场景,为经济社会的发展以及人们日常生活的便捷带来了新机遇.
1.
智能安防领域随着智慧城市、大数据、人工智能等项目开展和技术应用,智能安防领域对于人脸识别技术的需求越来越大.
人脸识别作为一种非常重要的身份识别手段,在公安巡检、网上追逃、户籍调查、证件查验等方面得到了广泛应用.
同时,人脸识别也可以用作访问控制的一种手段,延伸出了诸如考勤系统、门禁系统等方面的应用,确保只有经过授权的人员才能进入某些区域.
2.
金融交易领域人脸识别在金融交易领域的应用也非常普遍,其应用场景主要包括人脸识别存取款、电子银行远程开户、在线网络支付等方面.
早在2013年,芬兰创业公司Uniqul就推出了全球第一款基于脸部识别系统的支付平台.
Uniqul的人脸识别系统将用户面部生物数据与数据库中的账户匹配,短时间内即可快速完成身份确认和交易流程.
3.
公共交通领域人脸识别技术在公共交通中的应用主要包含航空、火车、汽车、地铁等公共出行领域.
国际民航组织规定,自2010年起,118个成员国家及地区必须使用机读护照,而人脸识别则成了首选模式.
人脸识别技术在航空安检中率先得到应用,而后逐渐扩展到部分城市的火车站和地铁站等公共交通安保领域.
4.
营销零售领域目前,人脸识别在营销零售领域的应用正快速扩展.
以无人零售为代表的新零售场景大量使用了人脸识别技术,无人售货机遍布各大商场、楼宇、地铁、车站等公共场所,无人便利店自2017年起广泛使用了人脸识别安全系统.
此外,人脸识别技术还广泛应用于广告投放和识别客户信息(如客户性别、年龄、表情、肤质、观看广告时长等),并通过分析这些数据有针对性地向客户推送最有吸引力的广告.
早在2013年,全球第三大零售巨头Tesco(乐购)就曾宣布,计划在英国450间加油站便利店的广告荧屏上加入一项叫Optim-Eyes的人脸识别技术.
OptimEyes可根据感知到的受众情况智能选择投放广告内容.
5.
智能设备解锁2017年9月,苹果新版手机iPhoneX率先应用了FaceID屏幕解锁功能,随后,各大手机品牌厂商相继应用了人脸识别解锁功能,引发了智能终端设备人脸识别应用的热潮,成了人脸识别产业新的快速增长点.
6.
医疗领域2019年1月,《自然》杂志刊载了人工智能公司FDNA发布的一项最新研究:DeepGestalt是基于深度学习的人脸识别医疗系统,可以通过人脸识别技术辨识基因疾病,从而帮助医生进行诊断.
FDNA的研究人员训练了17000多张面部图像,能够以较高的精度从人脸照片中识别出罕见的遗传综合征.
目前,经过训练的DeepGestalt大约能从面容上识别200多个综合征,准确率达到91%左右.
7.
教育领域除了在各种重大考试中应用人脸识别技术防止舞弊,人脸识别技术也应用于课堂签到、课堂效果监测等方面.
在课堂上运用人脸识别技术,通过对学生面部表情进行识别,根据学生的情绪表现监测分析,从而可以进一步提升教学效果.
卡内基梅隆大学(CMU)的研究人员曾展示过一套全面的实时传感系统——"EduSense".
该系统使用两台壁挂式摄像头(一台对着学生,一台对着老师),单个摄像头可以看到教室中的每个人,并自动识别信息,并可以对视频和音频进行分析.
8.
寻找失踪人口人脸识别系统已经成为寻找失踪人口的有效工具之一.
将失踪人员照片添加到数据库中,运用人脸识别技术进行信息比对,可及时向执法人员发出警报通知.
2019年4月,印度妇女和儿童发展部向高等法院提交的一份文件显示,德里警方通过人脸识别技术,在4天时间里,从45,000生活在儿童之家的儿童中识别出2930失踪儿童,并确认了他们的身份,努力协助他们与家人团聚.
人脸识别技术带来的新机遇人脸识别技术本质上是一种基于大规模人脸数据分析的人工智能身份验证应用技术.
因此,合理和合法使用该项技术,还需充分认识人脸数据的意义和价值:一是,人脸数据可被还原成人脸图像,关涉到个体的肖像权,因而相关滥用行为极易侵犯此项权益;二是,在数字经济时代,人脸数据具有一定的经济价值.
一方面,基于人脸数据的人脸识别技术应用给相关企业和行业带来了巨大的经济利润,而用户不仅几乎没有得到任何经济补偿,甚至还可能给自身的权益受到侵害埋下巨大隐患;另一方面,作为身份识别和验证的人脸数据,一旦被窃取、滥用,可能给用户直接带来安全威胁或财产损失,如门禁和支付应用.
有效防范人脸识别技术可能带来的风险需要从完善相关法规政策、加强政府监管、提高行业自律和提升个体素养等层面系统规避人脸识别技术应用带来的风险和挑战.
第一,需尽快完善包括人脸识别在内的人体生物信息使用法律法规.
应划定人脸识别技术使用边界,并建立人脸识别技术应用申报备案和审批制度.
遵循"必要性"原则,防止因商业利益滥用此技术.
例如,对于非封闭式公共场所安装人脸识别设备(如公园验票等)必要性展开充分评估.
第二,采集人脸数据前须告知用途和可能风险,以保障公众知情权与选择权,防止企业过度收集和利用.
尤其是企业或政府机构在公共场合以拍摄、录像、扫描等方式采集可在人脸识别中使用的数据,应公开、明确告知,以便不愿被采集的人可以避开这些区域.
同时,对于一些商业或娱乐性应用,不仅必须履行告知义务,还需为用户提供"退出"选项.
即当用户不想再继续授权使用其面部数据时,应用提供方必须提供"退出"或"删除"路径,以确保被采集方的"选择权"和"被遗忘权".
第三,对人脸数据存储权限做出明确规定,确保数据在采集、传输、使用和存储过程中的安全性.
可通过第三方认证的方式,确认企业是否具有相应技术能力保障人脸数据的安全性.
此外,人脸数据应采取本地存储方式,并禁止跨境流动.
第四,根据数据用途,明确规定人脸数据的存储主体、时限和采集,以最大限度保证数据安全.
人脸识别技术使用过程中通常涉及人脸识别技术产品提供方和采纳方.
其中,采纳方既包括维护公共安全的特殊主体相关政府公共管理部门,同时也包括一般的企事业单位主体.
但无论是哪类主体都需避免滥用职权过度采集人脸数据,并同时承担数据保护的责任.
依据人脸数据的使用目的和需要,可将数据的存储时限分为即时、短期和长期三类,并尽可能选择即时存储方式,即比对后不对扫描到的人脸数据进行保存.
第五,应建立和健全行业组织,建立人脸识别行业自律准则.
在数字时代,技术发展日新月异,法律法规滞后于技术发展已经成为新常态.
因此,完全寄希望于政府治理人脸识别既不可能,也不现实.
因此,建立人脸识别技术企业联盟类组织,确立相应伦理原则和安全标准,有利于人脸识别行业良性发展.
第六,认识人脸数据的价值,增强隐私自我保护意识.
当前,人脸识别技术正处于快速应用之中,个人在面临各种信息采集的同时,必须要增强自我隐私保护意识,认真阅读相关隐私条款,对于信任度有存疑可能的应用,应当明确拒绝其信息收集行为,警惕个人隐私泄漏风险.
(作者戴丽娜系上海社会科学院新闻研究所副所长、副研究员;郑乐锋系上海社会科学院互联网研究中心研究助理)如何防范人脸识别技术的潜在风险人脸识别技术应用在提升身份认证便捷度和效率的同时,也给个人隐私和数据保护带来了巨大的挑战.
仅在2019年,媒体就报道了多起人脸识别技术使用不当的相关事件:问题场景一——数据泄露隐患:6月6日,微软公司疑似因隐私保护和授权瑕疵方面的原因删除了曾为全球最大的人脸识别数据库MSCeleb.
据悉,MSCeleb数据库于2016年发布,拥有超过1000万张图像以及将近10万人的面部信息,用于培训全球科技公司和军事研究人员的面部识别系统.
而在微软删除该数据库前,IBM、松下电气、阿里巴巴、辉达、日立、商汤科技、旷视科技等多个商业组织都曾使用过MSCeleb数据库.
问题场景二——使用必要性存疑:8月21日,瑞典北斯部盖乐夫提市的一所高中因使用面部识别技术来监控学生的出勤情况,被瑞典数据监管机构(TheSwedishDataInspectionAuthority,DPA)处以20万瑞典克朗(人民币14.
8万元)的罚款.
这是欧盟的《通用数据保护条例》(GeneralDa-taProtectionRegulation,简称GDPR)生效以来,瑞典数据监管机构公布的首张罚单.
瑞典数据监管机构认为,该学校使用面部识别技术来监控学生的出勤情况,事先未向瑞典DPA寻求咨询,在日常环境中对学生进行摄像监控等行为侵犯了学生的隐私,违反了GDPR关于处理敏感生物特征数据的规定.
问题场景三——滥用数据风险:此前,伊利诺伊州的一起集体诉讼案指控脸书公司滥用面部识别数据,并要求赔偿350亿美元,脸书要求美国一家法院驳回此案.
10月18日,旧金山第九巡回法院的三名法官组成的小组驳回了脸书的请求.
此案涉及700万用户,脸书可能会面临向每个用户赔偿1000至5000美元的罚款,总罚款金额最高可能达到350亿美元.
法庭文件说:"脸书的面部识别技术违反了伊利诺伊州的生物特征信息隐私法(BI-PA).
违反BIPA的规定实际上损害了用户的隐私,或会对他们的隐私构成实质性的威胁.
"问题场景四——安全隐忧:12月12日,美国人工智能公司Kneron测试团队在荷兰最大的机场史基浦机场用手机屏幕上的一张照片骗过了自助登机终端,再次引起了人们对人脸识别准确性和安全性的关注.
此外,该团队还用一个特制的3D面具成功蒙骗了微信和支付宝等人脸识别支付系统.
同样引起了人们对人脸识别支付安全性的担忧.
上述事件报道不仅引起了公众的对人脸识别技术应用边界与个人隐私保护的高度关注,也促使业界和监管者对一路高歌猛进的人脸识别应用进行深刻反思.
第一,严重侵犯个人隐私.
首先,大部分公共场所在采集人脸信息时并未明确告知,使得被动采集成为常态;其次,在机场、火车站、公园、银行、学校、公司(小区)门禁或考勤等人脸识别的应用中用户几乎完全没有选择权利,只能被动接受;再次,人脸识别技术滥用,隐私安全风险高筑,面相分析、换脸、换装、试妆、测肤质等娱乐小程序,以及刷脸支付售货机等随处可见,毫无边界的人脸识别技术应用,正肆无忌惮地收集着用户的人脸数据及个人隐私.
第二,数据安全保障机制缺失.
数据采集、存储与使用等规范缺失,导致数据泄漏风险极高.
首先,当前关于人脸识别技术产品生产企业资质、产品的安全标准和市场准入标准,数据的存储资质和时限,以及对已获取数据的使用权限等缺少明确规定.
其次,生产企业和提供应用服务的企业在数据存储和使用中缺乏透明度.
再次,网络安全生态环境持续恶化,人脸数据库泄漏事件也时有发生.
第三,识别技术有待进一步完善.
目前,人脸识别应用还达不到百分之百的准确.
尤其是针对不同种族和民族群体识别的错误率差异比较大.
例如,麻省理工媒体实验室和微软的一项合作研究曾显示,人脸识别的准确率与肤色高度相关.
当被识别的图像中为白人时,正确率超过90%;而对于肤色较深的女性,准确率仅为65%.
因此,用于比对的基础数据库不仅需要考虑种族和民族样本平衡性,也需要尽可能确保样本数量的有效性.
此外,姿势、装饰(帽子、眼镜、口罩等)和光线等变量均会对识别结果产生影响.
第四,部分不当应用可能导致歧视.
现今,人脸识别技术在招聘、交友、婚恋、教育等领域也屡见不鲜.
通过对人脸数据的分析,对个体的性格、心理、能力、情商等进行评定,给出相应建议.
然而,限于技术水平、原始数据精准度、算法隐含的价值判断,以及数据库样本量的有效性等诸多因素,使得这类应用可能扩大某种偏见,引发歧视.
此外,作为身份验证手段,人脸识别技术存在先天缺陷.
相对于指纹、虹膜、声音、声纹、基因等其他用于身份识别的生物信息,人脸暴露度较高,更容易实现被动采集.
这也同时意味着人脸信息的数据更容易被窃取,不仅可能侵犯个人隐私,还会带来财产损失,甚至大规模的数据库泄露还会对一个族群或国家带来安全风险.
针对上述问题,有必要对人脸识别技术的无限制推广和扩张及时"刹车",并尽快采取相应措施防范和规制人脸识别技术的应用.
个人隐私和数据保护的隐患西北工业大学一名学生在图书馆人脸识别系统终端前登记注册个人信息.
新华社发资料图片