人臉識別已經成為人們生產生活中習以為常的人工智能應用方式,刷臉進門、刷臉支付、刷臉打卡等應用悄無聲息地改變了人們的生活習慣,提升了人們的生產效率。但人臉識別技術應用中也暴露出很多觸目驚心的隱私安全問題,引起社會關注。當前,全球已掀起人臉識別的治理熱潮,我國人臉識別綜合治理體系也已漸趨完善,但人臉識別技術應用過程中仍存在抵抗攻擊能力差、合規要求不落地等問題,需要政產學研通力合作,破解企業技術應用難題,提升行業安全合規能力。
全球掀起人臉識別治理新熱潮
新技術打開行業新市場。人臉識別應用領域遍地開花,產業增速迅猛。在深度學習技術加持下,人臉識別技術準確率躍升,全面開啟了商業化進程。尤其是近兩年,人臉識別在安防、金融、交通、電信等領域的應用種類和用戶規模呈現爆發式增長,已經成為人們習以為常的人工智能應用,極大提升了身份認證、支付轉賬、人流統計和特定任務甄別等諸多任務效率。據數據統計公司Statista測算,2021年全球人臉識別市場規模約50.1億美元,預計2027年翻一番,達129.2億美元。
新應用誘發安全新風險。人臉識別技術在高效率采集人臉信息的過程中,暴露出數據安全和隱私保護雙重風險。人臉信息敏感度高,具有唯一性和不可篡改性,一旦泄露將對個人人身安全、財產安全帶來極大的危害,全球范圍內人臉識別技術使用相關案例層出不窮。一是安全防護漏洞增大數據泄露風險。智能快遞柜曾被曝光一張打印照片即可輕松突破人臉識別;銀行APP人臉識別被攻破,不法分子實施電信網絡詐騙,轉走巨額存款。二是應用濫采濫用侵犯個人信息權利。“3·15晚會”曝光房地產公司在用戶無感知、未授權情形下處理人臉信息;Mate因濫用人臉識別功能向160萬用戶賠償共計6.5億美元。
新挑戰引發治理新熱潮。全球加快個人信息保護工作,人臉識別作為治理的重點抓手。目前,多個國家和地區意識到包括人臉信息在內的生物特征識別信息保護的重要性和緊迫性,著手推進相關治理工作,其中以美國和歐盟的保護路徑為代表。美國秉持審慎監管以鼓勵創新。美國聯邦層面尚未制定專門的法律規制人臉識別技術使用,地方政府積極出臺立法進行規范。伊利諾伊州2008年頒布首部生物識別信息保護法案,要求主體在獲取生物信息前獲得信息主體的書面同意,并禁止售賣此類信息獲利。紐約市2021年頒布《生物識別信息隱私法案》對數據安全、知情告知及私人訴權等做出了較為翔實的規定。歐盟制定統一法案實施強監管路徑。歐盟2018年實施的《通用數據保護條例》明確原則上禁止處理生物識別數據,除非具備合法基礎,或者得到數據主體自由、特定且明確的同意確認。歐盟2021年4月出臺的《人工智能法》草案進一步加強了對生物特征識別技術的管控,原則上禁止執法部門在公共場所使用實時遠程生物特征識別系統。歐盟2022年通過的《執法領域面部識別技術使用指南》重申了禁止使用人臉識別技術的情況,并對能夠使用的場景規定了非常嚴苛的條件。
我國人臉識別治理日趨完善
我國人臉識別相關法律體系和標準規范持續完善,人臉信息保護路徑更加清晰。《網絡安全法》《數據安全法》《個人信息保護法》的陸續出臺為人臉數據的安全流通和信息保護保駕護航。其中,《個人信息保護法》以及最高人民法院出臺的人臉識別司法解釋針對人臉信息的處理做出了更嚴格、更精細化的規定。此外,人臉識別技術相關標準體系已初步形成,范圍覆蓋基礎技術、信息保護和行業應用。但是,人臉識別在落地應用過程中仍然存在安全與合規兩大問題需要破解。
一是人臉識別安全問題:抵抗攻擊能力水平低。
人臉識別安全方面,抵抗攻擊能力較低,防御易被突破。主要原因在于準入機制欠缺以及精細化管理不夠:第一,研發企業技術水平參差不齊,存在劣幣驅逐良幣的現象。隨著人臉識別技術研發門檻的不斷降低,市場上技術研發企業魚龍混雜,技術產品的安全防護能力參差不齊。當前,我國仍然缺乏人臉識別技術的準入機制,事前安全監督存在不足。第二,應用單位的安全防范能力良莠不齊,一些便民服務、小區物業、個別中小金融機構等存在安全風險。大量應用單位多是采買、集成第三方技術服務,過度依賴生物特征識別技術,缺乏系統性的風險管控能力,安全防護能力較弱,存在一定安全隱患。
二是人臉識別合規問題:應用合規要求落實差。
人臉識別合規方面,存在技術濫用和應用單位管理不完善等問題。隨著《個人信息保護法》的出臺和實施,作為敏感個人信息的人臉信息在收集、存儲等各個環節提出了嚴格的要求。在實踐中還存在兩個方面問題。第一,人臉特征識別技術濫用現象依然嚴重。應用單位存在“未充分授權”及“捆綁式”“強制式”收集人臉信息的違法行為;部分人臉識別應用場景也不滿足最小必要原則;此外,一些非配合式的人臉識別設備較為隱蔽,侵犯公民個人隱私、沖擊社會信任。第二,應用單位的管理不到位,存在數據泄露風險。在校園、小區、寫字樓等場景下使用的人臉識別門禁存在應用不規范的情形,包括未將人臉信息與身份信息分類存儲,極易關聯個人隱私;未設立嚴格、合理的數據權限,物業普通員工可以隨意接觸人臉信息,加大了人臉數據泄露的風險。
人臉識別治理需要多方共治
健全事前事中事后全鏈條監管。在事前,引導企業在人臉識別相關應用、業務上線前,主動開展影響評估,積極履行合規義務,構建安全管理制度、應急響應管理制度。在事中,對開展人臉識別應用的企業,特別是政務、金融等關鍵領域,定期開展安全評估、合規審計等。在事后,落實追責制度,并建立投訴舉報機制加大監管力度,積極查處濫用人臉識別的企業或個人等。
建立分級分類的人臉識別技術安全管理體系。一是推動行業組織構建人臉識別安全、合規技術標準,提高整個行業的安全水平,對涉及范圍大、影響程度深的應用行業建立備案準入機制。二是按照不同行業需求以及潛在危害程度,對人臉識別應用劃分為不同的等級,結合業務特點,分別制定涉及人臉數據處理的要求,確保應用有據可依。
鼓勵政產學研多層次、多方面加強溝通。一是依托行業組織,廣泛吸收產業界優秀實踐經驗,嚴格落實《個人信息保護法》各項要求,發布人臉識別技術和應用相關實踐指南,為企業處理生物特征提供實踐層面的指引。二是鼓勵研究機構進行技術交流,共同探索具有隱私保護能力的人臉識別技術。
