人脸识别下的隐私裸奔：“人脸”是怎么丢掉的?

人脸识别的滥用遭到了315晚会的曝光。315晚会中,关于“谁在‘偷’我的脸?”的一组新闻里,多个商家被曝光了一系列未经顾客授权的行为,包括利用监控设备采集人脸信息、识别顾客身份、储存信息等。

在人脸识别滥用的背后,则是一整条完成的产业链,从人脸识别技术、摄像头、系统到提供专业的人脸互动营销解决方案。可以说,在非法人脸信息采集链条上,人的信息逐渐被“透明化”。

当前,人脸识别的“双刃剑”效应尽显。正如所有新兴的数字技术一样,人脸识别在提高社会效率、增加便利性的同时,在隐私、安全、公平等方面引发的诸多争议已经不可忽视。人脸识别的应用展现出“无节制”之势,数据泄露的可能性急剧上升。

我们的脸究竟是如何丢掉的?又该怎样规范失序的人脸识别?

“人脸”是怎么丢掉的?

人脸识别作为基于人的脸部特征信息进行身份识别的一种生物识别技术,早已广为人知。

人脸识别借由计算机来实现可以追溯到20世纪60年代。1964年,Woodrow Bledsoe首次尝试以计算形式进行人脸识别任务。最初,Bledsoe用计算出的人脸特征之间的距离矢量来对每个人进行编码。尽管成功实现人脸配对,但也面临计算成本大、效率低的技术局限,因为Bledsoe每小时只能处理大约40张图片。

人脸识别技术的开发受到了市场的认可。20世纪90年代,政府官员已经承认并接受了这样一个事实:人脸是一种非侵入性的生物特征,可以用于跟踪和识别个人,而不需要他们的主动参与。

因此,1996年美国国防部和NIST提供了650万美元的资金,创建了FERET数据集,为研究人员提供在该领域取得进展所需的数据。人脸识别技术(FERET)数据库是首个用于学术和商业研究的大规模人脸数据集,也是人脸识别技术发展的第一个转折点。

到了2000年,鉴于FERET数据库成功激发了人脸识别领域的研究兴趣,特别是该技术开始迈出商业化步伐,并推动了NIST发布人脸识别算法测试(FVRT,the Facial Recognition Vendor Test)以评估新兴的商业系统。当然,早期方法在实际的应用中也存在某些弊端,比如无法在各种环境中很好兼容,而且算法的准确率和算力仍需要提升。

2007年LFW 数据集的开发让人脸识别技术迎来第二个关键性的转折点。LFW 数据集包含 1680 个人的超过 13000 张图片,其中涵盖了姿势(poses)、照明条件(illumination conditions)和表情(expressions)的无限组合,满足了研究人员获取更自然定位和更多样化数据的愿望。

由此,LFW 激发了一波用于人脸识别模型训练和基准测试的网络人脸数据集的热潮——包括许多未经在线平台同意而获取图像的数据集,比如谷歌图像搜索(Google Image search)、雅虎资讯(Yahoo News)。

于 2014 年开发 的DeepFace 数据集,则是第一个在人脸验证任务上击败人类表现的人脸识别模型,主要使用目前主流的深度学习技术进行训练。深度学习技术对人脸识别的影响无疑是巨大的,DeepFace 模型在 LFW 测试集上取得了 97．35% 的准确率,相较于之前的前沿技术方法,在误差率上降低了 27%。

这一快速进展也引发了巨大的商业利益,是当前广泛发展的人脸识别基础。当下,人脸识别技术已经嵌入到人们生产生活的各个方面。从全球人脸识别技术领域的应用场景布局来看,安防、金融、交通是相对布局较为成熟的领域,而在零售、广告、智能设备、教育、医疗、娱乐等领域也均有较多应用场景。

从2015年到2019年,人脸识别、视频监控的专利申请数量从1000件飙升到3000件,其中四分之三在中国。Marketsand Markets咨询公司研究预计,到2024年,全球人脸识别市场规模达70亿美元。

然而,在巨大的利益驱使下,人脸识别技术也开始被包装为各种各样的“解决方案”,打包出售给商业客户。对于资本以及各级管理部门来说,身份的精准识别,乃至收集、使用数据以获益,显然比保护隐私更加重要。于是,强大的推动力,让技术开发越走越远,且越来越向经营者、管理者,而不是实际用户倾斜。

技术的开发偏好和使用倾斜,让人们在人脸识别这个技术应用场景里,发出的声音是有限的,甚至是无力的。资本的强力加上信息的不透明,让人们越来越生活在一个无处不有的摄像头的世界。人们在数据世界裸奔着,知之而无力为之。

人脸识别下的隐私裸奔

尽管人脸识别的商业价值得到了各行业的公认,但人脸识别的滥用,从“中国人脸识别第一案”到售楼处人脸识别“杀熟”,一系列强制使用、暗中使用也让争议频发,民意滔滔。

2019年,Ada Lovelace研究所(Ada Lovelace Institute)的一份调查发现,55%的受访者希望政府限制警方使用该技术。受访者对其商业用途也感到不安,只有17%的受访者希望看到人脸识别技术用于超市的年龄验证,7%的人赞成将其用于追踪顾客,仅4%的人认为将其用于筛选求职者是适当的。

人脸识别的滥用最直接地暴露出触目惊心的隐私失序。尽管在法律层面上,在采集或使用人脸识别信息上,早已有相关明文规定。国家市场监管总局发布的《个人信息安全规范》明确规定,人脸信息属于生物识别信息,也属于个人敏感信息,收集个人信息时应获得个人信息主体的授权同意。

但是在无感摄像头(即不需要用户主动同意便可采集人脸信息)的使用下,在人们周围,私自获取涉及人们隐私、财产安全的人脸识别摄像头数量依然惊人。甚至这些最核心的生物识别信息,已经被和人们毫无关系的第三方公司所掌握。

比如,大部分公共场所在采集人脸信息时并未明确告知,使得被动采集成为常态。在机场、火车站、公园、银行、学校、公司(小区)门禁或考勤等人脸识别的应用中用户几乎完全没有选择权利,只能被动接受。

显然,存储人们面部信息的组织本质上依旧是具体的人在运作,也就是说,大量身份指向性极强的人脸信息是由一部分人掌控的,这部分人将如何使用我们的个人数据,会不会因为一己私欲而违规操作,都无从得知。

隐私的失序将进一步提高风险发生的可能性。人脸识别要通过特定的代码进行翻译、筛选对象,这种代码的操作自然有被黑客入侵的可能性。而随着人脸伪造技术的发展和反实名制产业链条的日趋成熟,破译人脸信息,用“假人脸”顶替“真人脸”已成为可能。

于是,有了人脸照片和系统识别的人脸特征,就可以捕捉相关的人脸特征信息进行针对性的训练,复制人脸图像,包括来回转动或者眨眼等,从而通过使用他人的面部信息开启对应的服务。

显然,人脸识别生物信息具有唯一性、永久性,且终身无法修改,一旦泄露即是终身泄露。随着海量的人脸数据被收集,人脸数据或将与电话、身份证号一样成为不法分子牟利的新工具。比如,此前就有媒体曝出,南宁有不法中介通过欺骗业主“刷脸”将10多套房成功过户,私自抵押套取资金1000多万元。

此外,人脸识别技术的应用还可能形成对特定群体的歧视。比如,一些具有特殊面部特征的群体或者通过面部信息识别出其他特殊信息的群体就可能成为重点关注的对象。这是因为,无论基于何种算法的人脸识别,都依赖于大数据,而大数据并非中立。它们从真实社会中抽取,必然带有社会固有的不平等、排斥性和歧视的痕迹。

已有研究表明,在人脸识别中存在种族偏见。在机场、火车站等人脸识别应用情景中,部分群体的面部信息可能由于系统的算法偏见无法被正常识别,从而不得不接受工作人员的审问和例行检查。除了在对个体面部扫描时存在偏见与误判外,在面部识别后所享有的服务中也可能存在歧视。

于是,人脸背后的人格因素及其所承载的信任与尊严等价值被稀释,被技术俘获并遮蔽。计算机技术和新型的测量手段,成功地将一个具有独立人格的人,变成一系列的数字和符码。此时,识别的是人脸,得到的是数据,贬损的是信任,而这正是人脸识别将震动世界的现实危机。

拯救人脸识别信任危机

从开发到使用,技术从来都不是中立的。技术一旦投入社会,就不再仅仅作为“工具”而存在了。

一个技术的使用,数据与数据构建的身份,为人与人、人与企业之间的关系定下了基调,也为这些“数据”赋予了社会含义。人脸识别和监控技术的滥用,无疑扭曲了人与人、人与商业的关系,公平与信任也因而受到质疑。追问技术存在的理由,追问技术与人的关系,是拯救信任危机的第一步。

事实上,当下科技逐渐显示的副作用,其背后的逻辑正是社会解释系统的发展已经远远滞后于科技的发展。技术由人创造,为人服务,这也将使我们的价值观变得更加重要。

这意味着,在考虑人脸识别技术时,我们不仅应该辩论什么是合法的,还应该辩论什么是道德的。当下,人脸识别已经给社会治理带来严峻的挑战。其在应用时涉及到重要的个人信息已经和影响到数字人权的实现,都提示我们应真正找到人脸识别的正当性边界并且审慎适用。

首先,需尽快完善包括人脸识别在内的人体生物信息使用法律法规。应划定人脸识别技术使用边界,建立人脸识别技术应用申报备案和审批制度。遵循“必要性”原则,防止因商业利益滥用此技术。比如,个人身份核验准确性不会影响到个人重大利益或社会公共利益的情形可不优先考虑使用人脸识别技术。

其次,要保障用户的选择权,不应将人脸识别技术设置为唯一的身份核验的手段,不应强制要求或频繁推荐用户开通基于人脸识别的相关功能。确保授权同意后采集,未经用户同意或法律法规授权,不能通过高清摄像头等私自采集人脸信息,不得使用人脸信息追踪个人行为。

同时,对于一些商业或娱乐性应用,不仅必须履行告知义务,还需为用户提供“退出”选项。即当用户不想再继续授权使用其面部数据时,应用提供方必须提供“退出”或“删除”路径,以确保被采集方的“选择权”和“被遗忘权”。

最后,还应持续提升准确度和安全性。现阶段,数据采集、存储与使用等规范缺失,导致数据泄漏风险极高。一方面,当前关于人脸识别技术产品生产企业资质、产品的安全标准和市场准入标准,数据的存储资质和时限,以及对已获取数据的使用权限等缺少明确规定。另一方面,生产企业和提供应用服务的企业在数据存储和使用中缺乏透明度。

加强人脸识别技术、相关信息系统和终端设备的安全性的检测与认证,推动人脸识别技术成熟度不断提升刻不容缓。只有防止人脸信息的伪造、冒用、泄露和丢失,才能进一步保障人脸识别的安全,从而建立人们对其的信任度。

当前,产业、技术和民意的背离已经把人脸识别推向争议的风口,技术的底线始终是一个安全、可信任的社会。这也提示我们在不同场景下细致辨析人脸识别的风险所在,真正地控制它、驯化它,以使其不离科技为人的正道。