我們的“臉”,如何保護?

近幾年，出門辦事需要刷臉的場景越來越多，人們在得到方便的同時，擔心也與日俱增：“我的臉我能自己做主嗎？”

8月8日，國家網信辦發布《人臉識別技術應用安全管理規定》征求意見稿，明確了使用人臉識別的三個限制條件——具有特定的目的和充分的必要性，并且采取嚴格保護措施。

(資料圖片)

該規定一旦開始實施，真的能保護我們的臉嗎？它將帶來哪些改變？

01 “過度標簽化”

人臉識別邊界在何處？

日前，上海市普陀區人民檢察院發現，該轄區內有超市在出入口安裝采集消費者人臉信息的攝像頭等設備，還會對消費者的多項數據進行分析并予以差異化提示，甚至有人還被打上“疑似小偷”等標簽，而消費者對此毫不知情。

檢察官張曉靈介紹說，這些標簽包括性別、年齡，甚至具體心情等，“超市通過人臉比對，可以把一些他們認為可疑人員的人臉添加到所謂的人臉庫當中，等到這個可疑人員下次再來的時候，監控就會自動報警?！?/p>

通過30天的影像資料來看，轄區內相關設備采集了大約14萬張人臉照片，而真正有偷竊行為的嫌疑人，相比這個數據而言只是少數。在經過相關部門履行調查并進行處罰后，如今此轄區“購物而被偷拍”亂象已罕見。

對于此類將消費者“定罪”的現象，中國政法大學數據法治研究院教授張凌寒表示，非經過法庭的審判不能給任何人定罪，打這種標簽本身就是對人身份的一種歧視。

張凌寒：打上這種標簽后，對個人的歧視性信息可能會隨著這套設備和數據庫的廣泛使用在不同場景出現，會使得個人的行動處處受限，受到不公正的待遇，而他本人又無從知曉這種待遇從何而來。一些學者把它叫作一種無形的“算法監獄”。

此外，“過度標簽化”對消費者進行不恰當分類也成為一些人牟利的工具——線下的大數據殺熟。

2021年“3·15”晚會曝光了多家知名企業的線下門店，他們通過安裝一款名為“萬店掌”的攝像頭，非法抓取客戶人臉信息進行標記?？腿艘坏┤チ薃店，再光顧B店，就絕對不會得到比A店低的價格。

在張家港市場監督管理局的通報中，“萬店掌”攝像頭同樣出現在了轄區中的一家連鎖商店中。執法人員檢查時在店長的手機中發現，一款連著該攝像頭的人臉識別App正在運行，里面清晰地寫著進店顧客的性別、年齡段，并將顧客打上“新顧客”“熟客，第11次到店”等標簽。

張凌寒：以前我們說大數據殺熟，僅僅是基于在平臺上的行蹤軌跡、行為偏好和消費記錄，對消費能力和消費偏好進行識別。但是有了人臉識別之后，就可以實現線下的大數據殺熟。

02 “最小必要原則”

人臉識別必須在制度框架內進行

8月8日，國家網信辦就《人臉識別技術應用安全管理規定》公開征求意見。其中就提出，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉信息。

張凌寒解釋，如果除了做身份識別和驗證之外，要通過人臉識別技術去達到其他的目的，就不符合“必要目的和特定目的”的基本原則?！俺邪惭b攝像頭等設備，主要目的是為了防盜。但是否必須要通過人臉識別來防盜呢？很顯然是沒有必要性的?！?/p>

此外，新規中還提到，實現相同目的或者達到同等業務要求，存在其他非生物特征識別技術方案的，應當優先選擇非生物特征識別技術方案。

此項優化適用于更多生活場景，如健身房、書店等經營性場所，可以憑借辦卡等其他更為簡易的方式去完成，即便智能設備更加便捷，但在此類消費場景里，理應把選擇權交給消費者。

張凌寒：新規要求要以明確的方式、顯著的方式告知個人，并且同時提供非生物性的身份驗證方式和方法。這樣就能使人臉識別的知情同意是真正有效的，因為還有其他身份識別的方法可以選擇。

03 多一種選擇

物業領域如何使用人臉識別？

上海一小區因臨近地鐵站，有很多外來人員穿越小區，居民一直希望加強對外來人員的進出管理。于是在升級門禁系統時，該小區采用了人臉識別門禁。

2400多戶居民對門禁方式的選擇上持不同意見，該小區業委會在征集意見后，最終選定三種門禁方式供居民使用，即物業公司發放的IC卡、App二維碼遠程開門和人臉識別。

本周發布的征求意見稿中也明確指出，人臉識別不得作為進出物業管理區的唯一方式，物業應提供其他合理、便捷的方式，供不愿使用人臉識別的個人選擇。

盡管物業拿出三種選擇，但仍有不少居民持觀望態度，一方面想選擇更便捷的方式，另一方面也對人臉信息是否會被泄露心存疑慮，作為門禁系統的選購、安裝和運營方，物業是否值得信賴決定著居民的選擇。

張凌寒：物業公司委托第三方提供人臉識別的系統和服務，雙方實際上要共同承擔個人信息處理者的法律責任。上馬項目之前，需要明確知道個人信息處理行為會有什么風險，以及設置個人信息保護的相關責任人。當出現個人信息被泄露時，要有相應的應對機制。

04 “安全”是核心

人臉數據怎么保護？

今年夏天，“人、證、臉”三合一的強實名制已經成為熱門歌手演唱會的標配。一位在合肥體育中心看完演唱會的觀眾告訴記者，演出當天，她在這臺類似高鐵站進站口閘機的設備上被要求刷身份證。不到一秒鐘，屏幕顯示人臉和身份證匹配，可以通過。

對此，張凌寒表示，根據新規的規定，完成人臉識別的特定目的后，收集到的人臉照片應該及時刪除和銷毀，防止在個體不知情的情況下，把收集的照片再進行交易和流轉，甚至泄露給第三方進行人工智能模型的訓練。

在征求意見稿中，“安全”是絕對的關鍵詞。除了做人臉識別時拍攝的照片不能保存，儲存樣本照片的數據庫也應確保不被入侵，發生泄露。新規明確，面向社會公眾提供人臉識別技術服務的，相關技術系統要符合網絡安全保護第三級以上的保護要求。

張凌寒：我國的網絡安全等保系統分為五級，第三級是除了金融機構之外，可以用到的最高等級，會要求配備相應的技術手段。同時，管理機制、訪問權、復制記錄等都相應有比較細致的要求。

按照相關法律規定，網絡安全保護第三級的系統，必須每年進行一次保護測評，檢驗其是否能抵御黑客攻擊，防止數據泄露、竊取等。測評由公安部認證的，有專業資質的企業完成。

有很多人認為自己不是名人，沒有被識別的必要，也不擔心別人認出自己。對此，張凌寒表示，人臉信息的泄露已經成為電信詐騙重要的信息和數據來源。通過深度合成技術，電信詐騙可以直接和人臉信息所有者的親人朋友進行視頻和音頻對話，可能使受害人更容易上當受騙。

張凌寒：實際上，我們經常說要增強公眾的數字素養，既包括對于個人信息保護重要性的意識，也包括注意防范個人信息的侵權行為意識，增強自己處理個人信息的敏感度，這也是人臉識別新規的重要意義所在。

標簽：