作为人类历史上最具效率的经济组织方式,市场经济较之以往游牧经济、农耕经济更能释放生产力的秘诀就在于“物化”乃至“金融化”。曾几何时,物化的对象还主要集中于自然资源和人的劳动,进入数字时代,人本身包括社会关系、行为方式乃至生物特征等都成了物化的对象。数据作为新经济的“原油”,在驱动历史洪流滚滚向前的同时,却也在信息安全、隐私保护方面留下一地鸡毛。
伴随着数字经济对传统社会关系渗透改造的加强,对个人信息的关注也西风东渐,在我国引起强烈关注。从媒体对特斯拉“隐私门”的广泛报道到315晚会对多家知名商店违法安装人脸识别设备的曝光,从全国人大法工委提出“个人信息保护法草案应对人脸识别信息处理作出专门规定”到两会期间委员联合提案建议建立人脸识别的网络及信息安全监管体系,无不说明了这一点。
在种种的争论、焦虑乃至恐慌中,最为众矢之的的莫过于人脸识别。本来,在种种安全技术中,人脸识别因为在成本、技术、门槛以及体验上的综合优势,不但力压数字密码、电子证书等传统技术,就连系出同门的指纹、声纹等也自叹不如,成为名副其实的“希望之星”。只是时也、命也、运也,春风得意不过数年便遭逢信息安全大潮的“水逆”,展望未来,人脸识别还有多少含“金”量?
人脸识别的发展瓶颈
在那个“大众创业”、“万众创新”的镀金时代,一句俏皮话曾经火遍大江南北——站在风口上猪都能飞。很明显,经历了泥沙俱下的时间洗礼,有着硬核实力和真实应用的人脸识别并不是那只会飞的猪。按照行业一般看法,人脸识别可以简单概括为机器对静态或视频中的人脸图像进行特征提取、分类识别,以达到身份鉴别的目的,其功能归纳起来主要是身份验证和监控。
随着技术本身的快速进步、市场应用需求的日益凸显以及各路资本的竞相热捧,人脸识别的应用不断升温,场景和功能与日俱增,在包括金融、司法、军队、公安、边检、航天、电力、工厂、医疗、公用事业在内众多领域的身份验证、安全监控、接入控制、违法/犯罪/欺诈识别、人机交互以及多媒体数据库等方面都有不俗表现。这又可以分为政府机构的公共应用和非政府机构的商业应用与慈善应用等。
然而在互联网经济退潮之后,人脸识别虽不至于也在“裸泳”,但确实暴露出曾掩映在高速发展光环下的种种先天缺陷:
首先,人脸识别主打的无感识别正在走向自己的反面,核心在于人是“被”识别而非主动识别,这还不仅仅是信息安全、隐私保护、人格尊严等的问题,即使在技术层面也暴露出人脸识别的一大短板:一方面,人脸识别固然在验证是否本人方面功效卓著(虽然也会受到自然条件如光线等的影响,以及识别率的调节),然而另一方面,被动的人脸识别在行为意愿与否的验证上却需要进化以及其他技术的支持。
其次,人脸识别的安全认证对象是人脸,而作为人体主要生物特征且寄托社会关系和情感因素的人脸却很难甚至不能更换。一者,人脸不可避免的持续暴露在外,增加了被破解、被利用的机率;二者,更改密码等安全要素、各类密码不能混同等本来都是基本的安全常识,但人脸却不能满足这些策略;三者,人脸是自然生成具有随机性,识别也主要是靠一个个元素试错性的积累,这从根本上无法避免“撞脸”的可能。
最后,物化及反物化的撕裂已经并将如影随形地持续影响人脸识别应用。表面上看,人脸识别是将自然生物特征密码化,是从工具到工具,实质上看,由于人脸的社会属性,人脸识别却是将人格权利工具化,是从人到物。特别是在被互联网刺激整合的民粹主义思潮影响下,张扬个性、反对物化的号召到处引起共鸣,再考虑到哲学社会科学以及法律领域对信息权利归属并没有权威解释、规范而莫衷一是,人脸识别的合规压力显然具有长期性和深刻性。
除了技术层面的先天缺陷外,人脸识别在应用层面也遇到重重挑战:
挑战首先来自业界自身。从发展历程看来,人脸识别作为前沿安全技术,其向传统行业的普及始终与作为主要推动力量的互联网相进退。甚至可以说,人脸识别是月亮而非太阳,其光环更多来自于对互联网这轮红日的反射。
然而时至今日,互联网本身已不再“性感”。现在,互联网越来越成为一种通用技术、一种基础设施,这自然是其成功甚至伟大之处,但伟大之下人们却也不再“仰视”,而是用“平视”甚至“审视”的目光看待。具体到安全领域,快捷、无感已成为明日黄花,安全、合规却正在王者归来。
并且雪上加霜的是,一方面,人脸识别业界还缺乏整合,商业机构各行其是,行业没有统一声音,共性问题成为“公地悲剧”,在人性道德陷阱下由于资金缺乏而破题艰难;另一方面,一些曾经失意的竞争对手却卷土重来,比如电子证书解决了便携问题,指纹识别优化了安全功能,他们或者自身进化、或者强强联合,已然成为颇具规模的替代方案。
另外,挑战也来自应用场景。人脸识别经由互联网经济传入金融等传统产业,其本质也可看作是互联网渠道力量的展现。然而“反者道之动”,人脸识别对网络渠道的路径依赖正逐渐成为其应用上的最大掣肘。
以金融领域为例,一者,行业已经经过了渠道线上化而进入经营线上化的时代,这就要求人脸识别不能还只作为登陆、支付等掌上银行交易环节的验证工具,而是向中后台应用延伸,需要支持金融机构风控、信贷等更深层次的核心要求,但现实却是人脸识别的应用纵深并不够,并不能直接、独立提升经营管理效率。
再者,人脸识别及与其相关的人工智能等在一定程度上也可以称为“劳动密集型”产业,需要大规模的人工通过经验主义的方式对AI进行个案辅导以提升识别等能力。但现在由于成本控制的考量,人工还只停留于一般劳动者的简单劳动。
然而行业解决方案需要的却是基于专家经验的技术应用,人脸识别与场景的深度结合不但要有天才的方案设计,更需要脚踏实地的专家经验的辅导与喂养,而这至少在短时间内会使企业遭遇成本上升和业务增长的“两难”,甚至成为部分初创企业的“滑铁卢”。
人脸识别的合规隐患
如果说人脸识别的发展瓶颈主要在于技术,其风险桎梏则主要来自法律。如前所述,在“互联网+”的大背景下,科技与商业的融合愈发紧密,利用科技手段窃取和非法使用群众个人信息的新闻也屡见不鲜;同样,科技进步也推动了普通民众法律知识水平与思想观念的进步,从西方到东方,个人信息保护已成为社会共识。
在上述情况影响下,对人脸识别的法律规范已然在进行,但其风险主要来自三个方面,一是法律、政策乃至发展规划对人脸识别的“层层加码”。人脸识别技术所收集的生物信息在我国是属于法律规定的个人信息的范畴,应该受到个人信息保护的法律、法规等规范性法律文件的约束,另外,由于人脸识别及其相关人工智能在技术发展上的重要性,从中央到地方,从金融到产业,各类规划对其发展进行鼓励的同时也按各自思路施加引导(见附表)。立法领域和层级的复杂性在一定程度上增加了执法司法的不确定性,进而增加了行业企业的合规成本。
二是确权这一基础的法律理论问题并没有真正解决,基本法律框架还处在发育过程中,未来甚至不排除有根本性的转变。一者,信息权利在个人和企业间的归属及为何如此归属的问题还没有很好的诠释,信息权利横跨人格权和财产权两大法域既不利于权利的有针对性保护,也为其“物化”预留了法律空间。
二者,保护框架还在利益平衡和绝对保护两者之间摇摆,前者关注个人和企业之间的利益平衡,强调服务提供与信息让渡的公平交易,将信息保护更多归为商业领域,后者则直接将信息保护视作基本人权,强调其构成人之所以为人的基本要素而绝对保护,对技术发展则进行规范甚至约束。
三者,规范体系仍在持续增加,并且由于其纵向、横向的广泛跨度,专业性也日趋缜密。比如,除附表收集整理的我国关于个人信息保护的相关法律法规外,正在征求意见的《数据安全管理办法》、《个人信息出境安全评估办法》也是专门针对个人数据管理的专门性法规。
此外,我国还出台了与人脸识别技术或识别生物特征信息的相关国家标准规定,比如《信息安全技术个人信息安全规范》《信息技术生物特征识别应用程序接口》系列标准、《公共安全人脸识别应用图像技术要求》等。
即使这样,我国针对人脸识别所涉及个人信息和数据安全等方面的规范体系也还并不健全,比如我国重点限制企业采集信息,但对公权力和域外收集个人信息还少有限制,我国规定正当性采集信息为原则,但未明确具体细节等,同时现有政策法律规定零散、操作性也有待加强。以上种种的叠加,自然而然隐藏着较大的风险隐患。
人脸识别的风险桎梏
除了法律规范逐渐细致、确权问题尚未解决、权利意识日益高涨等合规问题外,随着人脸识别在深(越来越多地介入企业经验机制纵深)、广(应用场景、作用发挥越来越多)两端的扩展,企业逐渐走向原来并不熟悉的高风险领域。并且由于这些领域技术应用的交叉性,此间也没有成功经验可循,包括业务发展以及法律规范、权利保护等都需要持续摸索,持续面临不确定性的挑战。也可以说,人脸识别的风险现在就集中表现为即使是企业自身(更遑论其他)也并不具备相应的风险管控能力,择其要者具体如下:
首先是技术应用风险。按照行业通说,人脸识别作为收集生物信息技术手段,需满足真实性、保密性及实用性等要求。但因现在人脸识别技术还处于发展过程之中,实际应用未臻完美,其识别精准度受算法、光照甚至姿态等因素的影响,尤其是部分企业在动态识别领域关键技术的缺失,使得其在实际应用中的效果会较理想大打折扣。
在信息安全方面,如今互联网公司掌握公民大量的信息,一旦黑客利用技术入侵乃至盗取相关企业储存的用户信息,极易造成安全隐患。根据南方都市报人工智能伦理课题组和App专项治理工作组发布的《人脸识别应用公众调研报告(2020)》显示,有九成以上的受访者使用过人脸识别,其中六成受访者认为人脸识别技术有滥用趋势,另有三成受访者表示,已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。并且由于人脸信息在生物性和社会性上的唯一性使得其不像其他信息,人脸信息一旦丢失就无法进行挂失,无异于将自己的“密码”公之于众。
当不法分子掌握公民人脸信息和个人隐私数据后,借助黑产技术加持可以远程实现窃取公民信息并进行衍生侵权和犯罪行为,侵害公民财产权和人格权。有鉴于此,如何防止和堵塞黑客盗取公民信息的技术漏洞应是互联网企业提升安全防范技术的重中之重。
在技术运行方面,人脸识别受外界因素影响较大,具有使用不稳定、复杂性不够的特点,可能会造成识别错误、识别混同等情形。另外,由于地区之间资源不平衡、信息流通不畅等问题,也容易导致识别信息混乱。
同时,由于采集来的大量生物信息集中储存在企业相关系统内,且数据量呈指数倍极快增长,如果同时运行或输出各种不同的数据,系统程序多次频繁运行,有可能造成输出数据错位和内部信息错乱,为信息数据储存和运行带来安全风险。相关企业当前的数据储存技术和架构能否承担庞大的需求还需要实践的检验,信息权利不同其他,若其数据管理系统缺乏相应的安全机制,即使亡羊补牢也为时晚矣。
其次是规范纰漏风险。即使是有了各种各样的法律规范,但由于人脸识别及相关技术的复杂性和应用的广泛性,不同领域也都在不同程度上存在法律制度、监管政策制定瑕疵和落后需要的风险。如小区、校园等公共场所公民信息被随意收集,或消费者以自身信息作为接受服务的对价,这些现象的出现主要是因为我国对于信息收集并没有针对具体场景应用设置相应的、细致的门槛要求,部分企业在利润驱动下铤而走险,以“打擦边球”的方式来肆意收集公民信息。
在强制采集方面,曾经风靡一时的“面相测试”、“掌纹算命”、网上基因检测以及ZAO软件都是未经用户同意以欺骗手段或强制采集用户生物信息。而在此前中国消费者协会公布的对于涉及采集个人信息的APP抽查测评也显示我国存在大量App等程序不正当、不适度收集用户信息的情况。因为缺乏市场有效约束和违法成本相对较低,部分领域企业强制采集用户信息甚至成为常态。相当多的软件要求用户不同意信息采集则被禁止享有App服务,即“不授权无服务”,即使屡遭治理,仍有部分企业依然我行我素,凭借专业及信息优势欺瞒监管和公众,过量采集相关信息。
在信息滥用方面,正如不少专家所指出的,目前人脸识别所面临的最重要问题还不是如何保护,而是治理滥用,而滥用人脸识别技术之所以引起恐慌,是因为其综合了无感性、被动性、唯一性以及关联性等特性,原本的威胁也因未知而具有了“乘数效应”。
如前所述,人脸识别技术可以在肢体非接触的情形下,在人脸检测、核验人脸属性、身份验证等环节远程识别出自然人而无需物理性接触,这也曾是人脸识别信息区别于虹膜信息、指纹信息的最大“优势”。当然也是凭借该特征,为大规模隐秘监控、多人同时识别以及避免物理性残余干扰提供了技术上的可能。
最后是保护不足风险。即使公众的权利保护意识较之先前有了较大提高,但与人脸识别技术及风险相比,其认识程度仍显不足。由于人脸识别技术具有前述的非接触性等特点,从而使其读取或收集个人信息更具隐蔽性,甚至是在被收集人不知情的情况下就可以进行信息采集,悄然无息之间,人脸识别就会侵犯公民隐私、自由甚至人身安全。
在知情权方面,作为法律规定公民所享有的保护其个人信息的基本权利,知情权的存在决定了任何应用访问个人信息必须获得用户许可。如我国《网络安全法》第四十四条就规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”但是由于专业性壁垒和信息不对称,民众往往对于在无感的情况下个人信息不合理或过度采集缺乏保护意识。所以,如何保护公民信息采集时的知情权,以及企业乃至政府使用个人信息时如何合法授权应是业界思考的重要问题。
在隐私权方面,当下,人脸识别探头几乎遍布公共场所每一角落,其对外宣传的目的当然是诸如维护治安,保护居民等等。然而用户的信息却被各类企业大量采集,如若收集的公民信息使用不当就会侵犯公民的隐私权。事实上,在崇尚效率的今天,大多数民众并不排斥人脸识别带来的便捷实用,但是隐私泄露这一高悬的“达摩克利斯之剑”也让大家心生恐惧。生物信息会不会被过度地采集?一些企业有没有合理使用信息的自律性、自觉性?一旦这些信息被盗取,普通民众的隐私将无所遁形。
当然,除了上述风险外,法律领域部分专家还对人脸识别持更加批判的态度,认为其还可能引发诸如成为“透明人”、行为“被操控”甚至权利无法救济等问题,这在业界看来则有些“匪夷所思”。然而上述声音也并非孤例,相反,如果行业不未雨绸缪,这些“过虑”的观点会持续发酵,直至成为社会共识而对人脸识别发展造成重大影响。
人脸识别的未来之路
随着技术及应用的发展,人们对于人脸识别“两面性”的认识逐渐加深,在规范与发展这组“两面性”上,首先,规范的目的是通过调整和规范公共机构与公众的活动,实现既定的公共政策目标,在此之下需要平衡数据产业发展与个人信息保护之间的矛盾,实现规范技术应用和促进技术发展的目标。
在技术属性和社会属性这组“两面性”上,最为关键的还是作为技术的人脸识别需要充分认识到其社会成本和外部性,并予以有效约束和补偿(当然最好是自律和自偿,否则将面临严峻的外部规范),目标则是从根本上缓释、控制乃至解决人格权利的“物化”问题,真正回到服务消费者的初心,将其作为主体而非对象,服务而非消费。
在法律规范领域,除了按照社会共识加强对收集与使用数据方面的合规约束,明确个人数据和信息保护的责任归属,根据类型与场景进行不同程度的保护,以及重点打击对个人数据的滥用等外,关键还在于形成体现数字时代精神,寓发展于规范,架构内容合理的多重规范体系。这种体现了国家治理能力和社会治理体系现代化的规范体系既要综合运用直接治理和简介调控等多种手段,也要吸纳各方基于专业性的积极参与。
在具体落实方面,政府应当加强对“人脸识别技术”应用的监管,刚柔并济,促成与相关行业之间的公私良性互动、共同合作规制。行业组织、专业机构应当加强安全管理,着重保障用户的隐私和数据的安全,加紧推动自律规范、行标团标等“软法”的形成,既为法律实施提供保障,也为规范完善打造基础。
相关企业在使用人脸的过程中,应当重视隐私合规要求,依法尽到告知义务,同时高度重视人脸数据的使用和存储安全,进行充分的技术投入和管理措施用于保护人脸识别的安全性,避免因自身防护不当导致的用户敏感信息泄露和账户资金损失及其产生的法律及舆情风险。
展望未来,人脸识别的技术发展与社会公众的权利保护并不冲突,破题关键在于企业要勇于冲出(现在也不得不冲出)低水平、低成本运营的“舒适区”,使技术深度融入产业链、创新链,更具有“高级感”。
在积极遵守法律、拥抱监管的前提下,企业还需要以发展解决发展中的问题,一方面需要在芯片、外接设备(如摄像头)、数据存储等硬件技术上取得突破,技术做精做细就可以一改先前粗放式的信息收集方式,也就有效收缩了合规风险敞口,缓解公众信息泄露、滥用焦虑。
另一方面需要变革商业模式,由通用型(万金油)走向专业型,深入挖潜,与业务场景深度融合,与服务对象生产经营深度融合,与专家经验深度融合。事实上,数字化潮流以及制造业、服务业转型趋势依旧未改,人脸识别技术及应用也都不缺乏含金量,只要用对方式方法,是金子总会发光。