11月7日,一位來自北京航空航天大學的教師對記者表示,學校曾在疫情期間大規(guī)模引入人臉識別
門禁設備,安裝在校門和教學樓門口,并要求高校教師進行人臉數(shù)據(jù)錄入、出入刷臉。近期,該校在教學樓設備旁邊另外放置了一個本子,規(guī)定不愿意刷臉的人可以紙筆登記進入。
這一改變符合《中華人民共和國個人信息保護法》(下稱《個人信息保護法》)首次對人臉識別作出的規(guī)范。中國人民大學法學院教授張新寶對記者表示,法律要求,企事業(yè)單位收集和處理人臉信息必須要有合法依據(jù),目的必須是服務公共安全,同時,還要提供替代措施,比如工作單位考勤,不能強制性要求員工進行人臉圖像采集和比對,要對拒絕者提供身份證核對等一些替代措施。張新寶全程參與了《個人信息保護法》的立法工作。
同時,記者從商湯科技、曠世科技處獲悉,作為人臉和圖像識別技術的新銳企業(yè),兩家公司正加緊對人臉識別產(chǎn)品進行安全升級和改造,包括待售的和過往售出的設備。
更多細小的改變表明,《個人信息保護法》的醞釀和施行,正在改變?nèi)藗儭傲曇詾槌!钡囊恍┬袨?,如刷臉打卡、刷臉支付、刷臉考勤,這也影響著人臉識別背后的產(chǎn)業(yè)。該法首次將人臉歸為敏感個人信息,將人臉識別納入監(jiān)管范疇,為保護用戶權益,對技術的提供方、使用方提出了一系列規(guī)范。
拒絕刷臉將有法可依
《個人信息保護法》在國內(nèi)首次將個人信息分類成敏感和非敏感個人信息,并將人臉歸為敏感信息。張新寶表示,法律生效后,原則上數(shù)據(jù)處理者不能收集這些信息。如需處理需要經(jīng)本人單獨同意,而且只能用于特定目的,用完后不可用到別處或出現(xiàn)泄漏,否則就屬于違法行為。
張新寶表示,法律規(guī)定,若侵權情況嚴重,可以提起公益訴訟。針對違法處理個人信息的行為、受害人人數(shù)眾多,可向三大類機構進行起訴,包括人民檢察院、法律規(guī)定的消費者組織、由國家網(wǎng)信部門確定的組織,這些機構再針對性地提起個人信息保護公益訴訟。
上述商湯科技和曠世科技兩家公司屬于技術提供方,北京航空航天大學以及更多采用刷臉設備的高校、銀行、機場,都屬于技術的使用方,兩者均為《個人信息保護法》規(guī)定的責任主體,如果被個人起訴,將共同面對監(jiān)管和懲罰。
一位商湯科技人員對記者表示,團隊自今年上半年開始做安全合規(guī)工作,任務量非常大,團隊高度重視,因為如果客戶因隱私安全不合規(guī)而被起訴,公司也要共同面臨相關索賠或者法律程序。
牽動人臉識別產(chǎn)業(yè)
中國信通院云計算與大數(shù)據(jù)研究所所長何寶宏對記者表示,該法將對人臉識別產(chǎn)業(yè)帶來全面影響。第一,《個人信息保護法》要求處理敏感個人信息需取得個人單獨同意,在公共場合下出于商用目的人臉識別應用需落實“單獨同意”制度,但由于條件非受控,用戶的“單獨同意”將成難題。所以對人臉識別的技術使用方來說,部分應用場景落地會受限,包括智慧園區(qū)、智慧零售、智慧校園等,部分人臉識別企業(yè)的業(yè)務會收縮。
第二,《個人信息保護法》明確要求,處理人臉信息的企業(yè)要開展事前個人信息保護影響評估、定期開展審計,這就需要企業(yè)配備必要的法務、審計人員,或委托第三方提供服務??梢哉f,法律將直接增加人臉識別技術使用方、技術提供方的合規(guī)成本,尤其對人臉識別的技術提供方,將直接影響部分產(chǎn)品的功能形態(tài)。
但另一方面,何寶宏表示,法律也為人臉識別企業(yè)健康發(fā)展提供了具體實踐路徑,針對人臉信息處理提出有效的治理體系,有助于人臉識別產(chǎn)業(yè)長期健康發(fā)展。
何寶宏表示,總之,《個人信息保護法》的頒布實施,給企業(yè)帶來更加明確、嚴苛的法律要求,產(chǎn)業(yè)界將可能經(jīng)歷“陣痛期”。但長遠來看,在合規(guī)、可信的“雙驅動”下,產(chǎn)業(yè)界將持續(xù)提升個人信息保護及數(shù)據(jù)安全的治理能力,逐步實現(xiàn)用戶權益保障和產(chǎn)業(yè)健康發(fā)展的平衡。
治理與發(fā)展并重
人臉是所有生物信息中,社交屬性較強、較容易采集的一種個人信息,人臉識別作為人工智能應用中的一種,過去幾年,率先被安防、金融、安防等行業(yè)大規(guī)模采用。
在企業(yè)和資本的推進下,人臉識別技術正在大面積地、深入地進入社會生活,對維護社會治安起到了重要作用。但是,對人臉識別有意識的“濫用”和“無意識的”誤用行為,已經(jīng)引起社會的擔憂。
何寶宏表示,業(yè)界當前重點討論的是,在數(shù)據(jù)層面,訓練數(shù)據(jù)的來源是否可靠、可追溯,訓練數(shù)據(jù)本身是否全面、準確,以及人臉信息的脫敏和去標識化處理如何做到規(guī)范統(tǒng)一且可落地;在算法層面也存在識別安全性的問題,一些面具仿冒、對抗樣本攻擊等,有可能造成識別失效;從應用上看,人臉識別作為一種身份認證技術,同密碼、指紋等傳統(tǒng)身份認證技術一樣,都存在一定被攻破的概率,現(xiàn)階段尚不存在百分之百安全的技術。
何寶宏表示,長遠來看,人臉識別行業(yè)的安全合規(guī),需要政府主管部門、科研機構、法律機構、技術提供方、技術使用方以及用戶方構共建一個良性的生態(tài)環(huán)境,中國信通院云大所發(fā)起的“護臉計劃”,就是針對人臉識別的安全合規(guī)問題、聯(lián)合社會各界共同組建的一個開放平臺,也歡迎各方積極參與,共同提升全行業(yè)的安全合規(guī)能力,促進產(chǎn)業(yè)的健康發(fā)展。
中國社科院哲學所科技哲學研究室主任、研究員段偉文表示,在新冠疫情到來之前,一些公共場所部署人臉識別的閘機和門禁,就引發(fā)了一些爭議,隨著疫情出現(xiàn),這些技術在特殊條件下被大規(guī)模采用,過程中也受到法律界的質疑。
段偉文表示,整個社會都對科技活動有一種許可,而這種許可沒有具體形式,比如化工廠、垃圾焚燒廠、核電站的建設過程需要許可。而從政府治理的角度,要把技術的風險扼殺在搖籃里,不能等出現(xiàn)惡性事件、公眾負面輿論多了之后再來處理。