往期专题
2019年 第69期 总第497期

“看”脸时代,个人信息保护难落实

编者按

  当人脸识别站上风口,争议也未曾间断。如今,人们刷脸支付、刷脸安检、刷脸入住酒店……纵然人脸识别技术已经被应用于多层面,但目前仍旧有技术困局。与此同时,狂飙突进之际,反思的声音逐渐多了起来:人脸识别,边界在哪?在隐私、安全和便利三者的平衡上,应当恪守怎样的“游戏规则”?

责任编辑:吴晓婧
人脸识别的争议
人脸识别的争议
  焦点1 人脸识别技术有何利弊?
 
  人脸识别属于生物识别的一种,公安破案、换脸软件,都属于人脸识别技术的应用案例,该技术最大的优点就是方便,所以普及得比较快。
 
  不过,现在也有一些通过对抗网络进行攻击以及破解人脸识别机制的现象存在,而且人脸作为生物识别的一种,具备唯一性,一旦发生信息泄露风险很大,所以要从制度层面来保证信息的流转安全,从法律和制度上去约束人脸数据的收集,防止信息泄露。
 
  总之,人脸识别本身是方便我们生活的,可以免去我们输密码的麻烦,而它最大的风险在于信息泄露,对此我们需要不断改进算法,完善法律和制度。
 
  目前,人脸识别技术已经被广泛运用于智能门锁、移动支付、手机解锁等,在窃密、造假、冒用、顶替等方面,提升了安全系数。在公司、商场、机场、学校等场景下,人脸识别技术可以提升管理效率,提升交互体验。
 
  此外,在刑侦及公共领域,人脸识别技术可以协助抓获潜逃多年的犯罪嫌疑人以及帮助失散多年的家庭团圆,使得执法效率和社会公共安全得以大幅提高。
 
  但相应的,人脸识别技术作为生物识别的一种,存在容易被欺骗(破解)的安全隐患。
 
  焦点2 “刷脸”普及,隐患也会越大?
 
  丁晓东:我比较反对在人脸识别上出了一件事,就觉得人脸识别技术敏感,碰不得。很多情况下人脸是公开数据,我们每天走在街上都能被人看到,不能说人脸就不能给别人看了。实际上,我们的人脸信息早就已经相互流通和流动了,所以我认为不能因为ZAO事件就对这一技术采取禁止的态度,而是要在具体的场景中进行风险的防范,这可能是更为重要的,也是更需要保持的一个态度。
 
  就争议来说,重点不是换脸本身会不会存在问题,而是民众能不能对这一技术形成可靠的辨识,比如我们看漫画时,知道是假的。如果一些技术的使用,使得民众或一般人在短时间里难以辨识,就可能存在风险,例如对新闻联播主播进行换脸,然后制造假新闻。
 
  人脸识别在有的领域可能会产生很大风险,包括新闻领域,通过深度伪造技术使得伪造的新闻图片传播。
 
  技术是中立的,但使用技术的人是有立场的。人脸识别技术的安全问题不在于该项技术本身,而是应用的问题。危险在于利用这项技术达到了不该达到的目的,实施了不该实施的行为。
 
  人脸识别技术一旦被普及,它可以定位某人而该人却毫不知悉。该项技术用于侦查犯罪就是助力公共安全;当用于跟踪他人,就可能侵犯隐私,干涉他人自由;假如应用于冒充他人,就是在实施犯罪。因此,人脸识别技术是否有害关键在于如何使用。
 
  焦点3 人脸识别技术的安全性能不能保证?
 
  人脸数据被广泛应用肯定会存在风险,网络黑产也是没有办法避免的。人脸识别刚出现时,拍张照片打印出来就可能破解,现在你可能会注意到,有些软件会要求你眨一下眼,点一下头,但其实也可能被破解。但我还想说,其实指纹识别一样有风险,曾经也有过指纹数据泄露的案例。
 
  所谓“破解生物识别”,是个“欺骗传感器”的过程。如今越来越多的智能设备都采用了生物特征识别技术,但是我们深入研究后发现,其实这些生物特征识别技术大都存在“传感器容易被欺骗”的安全隐患。百度安全研究表明,虽然生物识别已经越来越主流,但是从安全的角度考虑,并非万无一失。
 
  但大家也不用过分担心,此前曾经发现的漏洞基本都找到了相应的解决方案。我们投入大量精力研究生物识别安全性的目的,一方面是呼吁设备厂商在考虑产品体验的同时多兼顾安全性,另一方面和厂商共同来探讨如何解决这些问题,共同推进生物识别技术的进步。
 
  人脸识别技术本是用来验证“你是否真的是你所说的你”,在远程控制交易或者身份确认的情形下,确认一个行为是由本人亲自实施的。它是解决电子支付、网络交易、网络申请公共服务等身份安全问题,至今最有效的技术措施。但是,一旦人脸信息这种易获取的“生物密码”丢失或者被人随意更换,那么利用人脸识别技术验证真实身份,也成了无稽之谈。
 
  焦点4 大众如何才能保护隐私?
 
  大众应当提高自我防范意识,认真阅读隐私政策,发现可疑条款或者隐私条款过于模糊不清、晦涩难懂的情况以及对APP或者其背后公司信任度不够时,应当拒绝使用该APP。此外,在个人信息侵权事件发生后,应当及时向法院起诉、向政府有关部门举报。
 
  由于人脸识别的方式是先收集人脸数据,然后来匹配验证的,所以人脸识别机构其实已经搜集了很多面部特征、原始图片以及照片,这些都会保留在其服务器上,因此普通的民众很难去规避人脸识别的风险。大众能注意的是不要给特别小的人脸识别机构提供照片。
 
  目前来看,人脸识别被曝光滥用的案例是比较少的,但是换脸等攻击方式已经比较普遍了。对于人脸识别,事实上每一家公司的算法都是有一些区别的,采用不同算法通过不同传感器传回来的人脸数据每一家也都不一样。因此,同一张照片在一家能识别成功,在另一家就不一定能识别成功。
中国人脸识别第一案
中国人脸识别第一案
  
  希望这起带有“第一案”光环的案件,能用司法力量划定人脸识别技术的应用边界。
 
  近日,发生在杭州的“中国人脸识别第一案”,引发关注。据报道,前不久,浙江理工大学特聘副教授郭兵收到来自杭州野生动物世界的短信,提示其动物园年卡如不进行人脸识别将无法正常使用。郭兵不同意接受人脸识别,与对方协商未果后,于10月28日向杭州市富阳区人民法院提起诉讼。当地法院已决定正式受理此案。
 
  或许在很多人看来,这不过是一起违约之诉,但考虑到此事牵涉到人脸识别技术应用的权界问题,这起诉讼的真实意义远超于此。
 
  复盘此事,当事人郭兵在购买杭州野生动物世界年卡时,对方明确承诺在该卡有效期一年内,他同时验证年卡及指纹入园,即可不限次数畅游。可涉事动物园却在履行合同过程中,突然增加人脸识别技术的限制性条件,单方面变更合同内容,明显有违反合同约定、不守契约精神之嫌。但郭兵提起的却是侵权之诉,即园区进行人脸识别,收集个人生物识别信息,侵犯了公民个人信息,违反了《消费者权益保护法》之规定。
 
  也就是说,富阳区法庭的一记法槌,决定的将不仅是一张年卡的效力或某种经营行为的性质,更将划定人脸识别技术应用的边界,而这也将影响这项新技术的发展。尽管这起民事诉讼目前仅为基层法院受理,但作为已知的国内首例人脸识别之诉,法律层面如何裁断,难免备受关注。
 
  之前,西方部分国家已有相关诉讼,并对现实生活形成冲击。如今,该案中身处第一线的裁判者,也将历史性地“触碰”人脸识别技术,将具体技术应用场景拉到法律框架下去审视,研究、探讨、判定其应用对行为人法定权益的真实影响。由此形成的案例,也可以为其他各级法院所参考和借鉴。
 
  对公民而言,这一判决也将至关重要。尽管已有相关法律就保护公民个人信息作出规范,但随着网络信息技术的飞速发展,总有些“灰色地带”出现。而美国旧金山等地立法禁止人脸识别技术,就是因为该技术被控威胁个人隐私信息安全,还有种族歧视之嫌。
 
  因此,以司法的力量定分止争,划定人脸识别技术的应用边界,将更好地保护技术洪流中的亿万民众。
 
  虽然当事人诉诸法律,诉求在于个人权利保障与个体维权,但我们更希望,这起带有“第一案”光环的案件,能用司法力量划定人脸识别技术的应用边界—— 一边是公民的信息安全权利,另一边则是合法的技术研发应用空间,如何拿捏好二者的平衡,需要该案“打个样”。
专家分析技术利弊
专家分析技术利弊
  薛军(北京大学法学院副院长)
 
  人脸识别与指纹等个体生物信息具有终身不变的特点,一旦泄漏,风险极高。现在一些企业为了方便计算而收集人脸信息,但是一旦发生信息泄露,或是内部人员勾结买卖信息,就会造成不可预测的损害,而且无法挽救。因此,应该受到严格的限制。
 
  一般来说,未经国家有关部门明确授权许可的,原则上都应该禁止收集人脸信息。“民法典人格权编审议对此有所涉及,民法总则也有规定,但是具体的落地规则不是很多,因此要完善相关立法。”
 
  在上述案件中,动物园的行为还不涉及侵权,因为它征求了游客许可,但是由于人脸信息高度敏感,如果动物园不具备风险防控措施,容易发生发生泄漏。从这个角度讲,不提供人脸信息就不让游客入园属于违约行为。游客可以主张解除合同。另外,未经许可搜集游客的人脸信息或许还违反了行政法有关条款,需要进一步界定。
 
  目前的个人信息保护法正在积极推进,现阶段的立法思路是,要对搜集敏感个人信息的行为进行严格的限制。学界普遍认为,应该对个人信息进行分类管理,一般个人信息和敏感个人信息应该采用不同的保护机制,对于特殊的敏感信息,更应该由国家来进行更强的管控,搜集者也要有更强的资格。
 
  “技术进步是必要的,但是应该尊重公民的人格尊严,保护人的基本核心权益。”

  吴卓群(安恒信息安全研究院院长)
 
  人脸识别属于生物识别的一种,公安破案、换脸软件,都属于人脸识别技术的应用案例,该技术最大的优点就是方便,所以普及得比较快。
 
  不过,现在也有一些通过对抗网络进行攻击以及破解人脸识别机制的现象存在,而且人脸作为生物识别的一种,具备唯一性,一旦发生信息泄露风险很大,所以要从制度层面来保证信息的流转安全,从法律和制度上去约束人脸数据的收集,防止信息泄露。
 
  总之,人脸识别本身是方便我们生活的,可以免去我们输密码的麻烦,而它最大的风险在于信息泄露,对此我们需要不断改进算法,完善法律和制度。
 
  马杰(百度安全总经理)
 
  目前,人脸识别技术已经被广泛运用于智能门锁、移动支付、手机解锁等,在窃密、造假、冒用、顶替等方面,提升了安全系数。在公司、商场、机场、学校等场景下,人脸识别技术可以提升管理效率,提升交互体验。
 
  此外,在刑侦及公共领域,人脸识别技术可以协助抓获潜逃多年的犯罪嫌疑人以及帮助失散多年的家庭团圆,使得执法效率和社会公共安全得以大幅提高。但相应的,人脸识别技术作为生物识别的一种,存在容易被欺骗(破解)的安全隐患。
 
  所谓“破解生物识别”,是个“欺骗传感器”的过程。如今越来越多的智能设备都采用了生物特征识别技术,但是我们深入研究后发现,其实这些生物特征识别技术大都存在“传感器容易被欺骗”的安全隐患。百度安全研究表明,虽然生物识别已经越来越主流,但是从安全的角度考虑,并非万无一失。
 
  但大家也不用过分担心,此前曾经发现的漏洞基本都找到了相应的解决方案。我们投入大量精力研究生物识别安全性的目的,一方面是呼吁设备厂商在考虑产品体验的同时多兼顾安全性,另一方面和厂商共同来探讨如何解决这些问题,共同推进生物识别技术的进步。
 
  丁晓东(中国人民大学法学院副教授)
 
  我比较反对在人脸识别上出了一件事,就觉得人脸识别技术敏感,碰不得。很多情况下人脸是公开数据,我们每天走在街上都能被人看到,不能说人脸就不能给别人看了。实际上,我们的人脸信息早就已经相互流通和流动了,所以我认为不能因为ZAO事件就对这一技术采取禁止的态度,而是要在具体的场景中进行风险的防范,这可能是更为重要的,也是更需要保持的一个态度。
 
  就争议来说,重点不是换脸本身会不会存在问题,而是民众能不能对这一技术形成可靠的辨识,比如我们看漫画时,知道是假的。如果一些技术的使用,使得民众或一般人在短时间里难以辨识,就可能存在风险,例如对新闻联播主播进行换脸,然后制造假新闻。
 
  人脸识别在有的领域可能会产生很大风险,包括新闻领域,通过深度伪造技术使得伪造的新闻图片传播。
 
  吴沈括(联合国网络安全与网络犯罪问题高级顾问)
 
  技术是中立的,但使用技术的人是有立场的。人脸识别技术的安全问题不在于该项技术本身,而是应用的问题。危险在于利用这项技术达到了不该达到的目的,实施了不该实施的行为。
 
  人脸识别技术一旦被普及,它可以定位某人而该人却毫不知悉。该项技术用于侦查犯罪就是助力公共安全;当用于跟踪他人,就可能侵犯隐私,干涉他人自由;假如应用于冒充他人,就是在实施犯罪。因此,人脸识别技术是否有害关键在于如何使用。
 
  张百川(网络安全专家)
 
  人脸数据被广泛应用肯定会存在风险,网络黑产也是没有办法避免的。人脸识别刚出现时,拍张照片打印出来就可能破解,现在你可能会注意到,有些软件会要求你眨一下眼,点一下头,但其实也可能被破解。但我还想说,其实指纹识别一样有风险,曾经也有过指纹数据泄露的案例。
 
  陈立彤(大成律师事务所高级合伙人)
 
  人脸识别技术本是用来验证“你是否真的是你所说的你”,在远程控制交易或者身份确认的情形下,确认一个行为是由本人亲自实施的。它是解决电子支付、网络交易、网络申请公共服务等身份安全问题,至今最有效的技术措施。但是,一旦人脸信息这种易获取的“生物密码”丢失或者被人随意更换,那么利用人脸识别技术验证真实身份,也成了无稽之谈。
 
  大众应当提高自我防范意识,认真阅读隐私政策,发现可疑条款或者隐私条款过于模糊不清、晦涩难懂的情况以及对APP或者其背后公司信任度不够时,应当拒绝使用该APP。此外,在个人信息侵权事件发生后,应当及时向法院起诉、向政府有关部门举报。
结束语

在法律的框架下,我们应该对人脸识别技术的大规模使用提出“必要性原则”“比例原则”“正当程序原则”,甚至在某些特殊场景下考虑设立禁用“黑名单”制度,用制度的刚性来确保“科技向善”。未来,可以考虑在这些大的原则之下,细化相关法律规定,彻底将人脸识别滥用的口子堵上。目前看来,一切才刚刚开始。

北大法律信息网
www.chinalawinfo.com
法律动态
网站简介
合作意向
网站地图
资源导航
版权声明
北大法宝
www.pkulaw.com
法宝动态
法宝优势
经典客户
免费试用
产品服务
专业定制
购买指南
邮件订阅
法律会刊
北大英华
www.pkulaw.net
英华简介
主要业务
产品列表
英华网站
联系我们
用户反馈
返回顶部
二维码