查看原文
其他

当“人脸识别”站上风口 争议未曾间断 | 法宝关注

11月初,国内“人脸识别第一案”引发了舆论关于人脸识别技术与安全的讨论。而不久前,“ZAO”APP的兴起也让AI换脸走入了普通民众的视野,值得注意的是,AI换脸技术目前已被应用于影视、娱乐等各方面,甚至是淫秽视频。这引发了社会对人脸数据是否可能被滥用的争议。


在人脸识别技术狂飙突进之际,反思的声音逐渐多了起来:人脸识别,边界在哪?在隐私、安全和便利三者的平衡上,应当恪守怎样的“游戏规则”?安恒信息安全研究院院长吴卓群表示,新技术总会有安全问题,人脸识别本身为生活提供了便利,而它最大的风险在于信息泄露。联合国网络安全与网络犯罪问题高级顾问吴沈括则表示,人脸识别技术一旦被普及,可以定位某人而该人却毫不知悉。不过,其安全问题不在于技术本身,而是应用的问题。


1


人脸识别技术有何利弊?
安恒信息安全研究院院长吴卓群表示,人脸识别属于生物识别的一种,公安破案、换脸软件,都属于人脸识别技术的应用案例,该技术最大的优点就是方便,所以普及得比较快。


不过,现在也有一些通过对抗网络进行攻击以及破解人脸识别机制的现象存在,而且人脸作为生物识别的一种,具备唯一性,一旦发生信息泄露风险很大,所以要从制度层面来保证信息的流转安全,从法律和制度上去约束人脸数据的收集,防止信息泄露。


总之,人脸识别本身是方便我们生活的,可以免去我们输密码的麻烦,而它最大的风险在于信息泄露,对此我们需要不断改进算法,完善法律和制度。


百度安全总经理马杰表示,目前,人脸识别技术已经被广泛运用于智能门锁、移动支付、手机解锁等,在窃密、造假、冒用、顶替等方面,提升了安全系数。在公司、商场、机场、学校等场景下,人脸识别技术可以提升管理效率,提升交互体验。


此外,在刑侦及公共领域,人脸识别技术可以协助抓获潜逃多年的犯罪嫌疑人以及帮助失散多年的家庭团圆,使得执法效率和社会公共安全得以大幅提高。


但相应的,人脸识别技术作为生物识别的一种,存在容易被欺骗(破解)的安全隐患。


2


“刷脸”普及,隐患也会越大?


中国人民大学法学院副教授丁晓东说:“我比较反对在人脸识别上出了一件事,就觉得人脸识别技术敏感,碰不得。很多情况下人脸是公开数据,我们每天走在街上都能被人看到,不能说人脸就不能给别人看了。实际上,我们的人脸信息早就已经相互流通和流动了,所以我认为不能因为ZAO事件就对这一技术采取禁止的态度,而是要在具体的场景中进行风险的防范,这可能是更为重要的,也是更需要保持的一个态度。”


就争议来说,重点不是换脸本身会不会存在问题,而是民众能不能对这一技术形成可靠的辨识,比如我们看漫画时,知道是假的。如果一些技术的使用,使得民众或一般人在短时间里难以辨识,就可能存在风险,例如对新闻联播主播进行换脸,然后制造假新闻。


人脸识别在有的领域可能会产生很大风险,包括新闻领域,通过深度伪造技术使得伪造的新闻图片传播。


技术是中立的,但使用技术的人是有立场的。人脸识别技术的安全问题不在于该项技术本身,而是应用的问题。危险在于利用这项技术达到了不该达到的目的,实施了不该实施的行为。


人脸识别技术一旦被普及,它可以定位某人而该人却毫不知悉。该项技术用于侦查犯罪就是助力公共安全;当用于跟踪他人,就可能侵犯隐私,干涉他人自由;假如应用于冒充他人,就是在实施犯罪。因此,人脸识别技术是否有害关键在于如何使用。


3


人脸识别技术的安全性能不能保证?
网络安全专家张百川认为,人脸数据被广泛应用肯定会存在风险,网络黑产也是没有办法避免的。人脸识别刚出现时,拍张照片打印出来就可能破解,现在你可能会注意到,有些软件会要求你眨一下眼,点一下头,但其实也可能被破解。但我还想说,其实指纹识别一样有风险,曾经也有过指纹数据泄露的案例。


所谓“破解生物识别”,是个“欺骗传感器”的过程。如今越来越多的智能设备都采用了生物特征识别技术,但是我们深入研究后发现,其实这些生物特征识别技术大都存在“传感器容易被欺骗”的安全隐患。百度安全研究表明,虽然生物识别已经越来越主流,但是从安全的角度考虑,并非万无一失。


但大家也不用过分担心,此前曾经发现的漏洞基本都找到了相应的解决方案。我们投入大量精力研究生物识别安全性的目的,一方面是呼吁设备厂商在考虑产品体验的同时多兼顾安全性,另一方面和厂商共同来探讨如何解决这些问题,共同推进生物识别技术的进步。


大成律师事务所高级合伙人陈立彤则表示,人脸识别技术本是用来验证“你是否真的是你所说的你”,在远程控制交易或者身份确认的情形下,确认一个行为是由本人亲自实施的。它是解决电子支付、网络交易、网络申请公共服务等身份安全问题,至今最有效的技术措施。但是,一旦人脸信息这种易获取的“生物密码”丢失或者被人随意更换,那么利用人脸识别技术验证真实身份,也成了无稽之谈。


4


大众如何才能保护隐私?
大众应当提高自我防范意识,认真阅读隐私政策,发现可疑条款或者隐私条款过于模糊不清、晦涩难懂的情况以及对APP或者其背后公司信任度不够时,应当拒绝使用该APP。此外,在个人信息侵权事件发生后,应当及时向法院起诉、向政府有关部门举报。


由于人脸识别的方式是先收集人脸数据,然后来匹配验证的,所以人脸识别机构其实已经搜集了很多面部特征、原始图片以及照片,这些都会保留在其服务器上,因此普通的民众很难去规避人脸识别的风险。大众能注意的是不要给特别小的人脸识别机构提供照片。


目前来看,人脸识别被曝光滥用的案例是比较少的,但是换脸等攻击方式已经比较普遍了。对于人脸识别,事实上每一家公司的算法都是有一些区别的,采用不同算法通过不同传感器传回来的人脸数据每一家也都不一样。因此,同一张照片在一家能识别成功,在另一家就不一定能识别成功。



北京大学法学院教授薛军表示,有必要对人脸识别设置门槛,“人脸信息伴随着人的终身,一旦发生泄露风险就特别大,所以要进行最严格的保护,首先必须得到用户明示同意才能收集,我个人认为有时得到个人同意也不行,需要国家授权才能收集敏感的生物识别信息。”

在此背景下,新京报记者邀请联合国网络安全与网络犯罪问题高级顾问吴沈括北京志霖律师事务所副主任赵占领大成律师事务所高级合伙人陈立彤中闻律师事务所合伙人赵虎等,围绕人脸识别技术在应用中带来的争论、法律风险等问题展开讨论。

               
    
1
人脸识别应用的争议有哪些?

吴沈括联合国网络安全与网络犯罪问题高级顾问最近一两年,随着人工智能的爆发,人脸识别技术以其不可复制性、非接触性、可扩展性和快速性等特点在多种生物识别技术中脱颖而出。人脸识别带来的便利不可忽视,然而,技术的发展没有边界,但技术的使用必须有边界,可这个边界是模糊的。哪些场景可以应用,哪些领域可以扩展,均无明显规范。因此,当其逾越了边界,自然就产生了诸多争议。

赵占领

北京志霖律师事务所副主任

近年来社会公众的隐私意识、个人信息保护意识有了很大提升,加之近年来个人信息保护相关立法不断出现,政府部门也屡屡有监管措施,这使得个人信息保护一直是一个各界高度关注的话题。


人脸识别、人工智能是新技术,通过该技术收集、使用人脸特征等生物特征信息,涉及技术与法律的冲突、技术应用的边界,尤其是这种生物特征信息一旦泄露,造成的危害巨大,甚至难以采取有效的弥补措施。


2


滥用人脸识别有何法律风险?
赵虎中闻律师事务所合伙人以换脸视频为例,若有人用其谋利,则涉嫌侵犯他人肖像权。同时,可能涉嫌侵犯相关影视作品的制片方的著作权。
根据我国著作权法的规定,电影和类电作品的著作权由其制片者享有,制片者对作品享有保护作品完整权,即保护作品不受歪曲、篡改的权利。不仅如此,换脸视频还涉嫌侵犯相关人物的名誉权问题;严重者也可能涉嫌刑事犯罪。

赵占领

北京志霖律师事务所副主任

有关人脸数据的滥用,存在五种违规或犯罪的可能。一是未经用户同意的情况下收集用户个人信息;二是违反法律规定的必要原则,超范围收集用户个人信息;三是收集用户个人信息之后未按照事先约定的用途、方式使用或转让;四是未尽到网络安全管理义务,由于管理漏洞或技术漏洞导致用户的个人信息被泄露;五是经营者或其员工将用户的个人信息非法转让或倒卖给他人,这也是涉嫌刑事犯罪的行为。


陈立彤大成律师事务所高级合伙人最高人民法院、最高人民检察院在今年6月1日正式实施的《关于办理侵害公民个人信息刑事案件适用法律若干问题的解释》中明确了侵害公民隐私犯罪行为的具体标准和类型,将公民个人信息安全置于法律保护的最高位阶,在刑事法律上对侵害公民数据权的行为标清了底线。不过,两高司法解释的重点在于打击侵害公民个人信息的“明偷”“明抢”,对于滥用格式条款非法“获取”用户授权,侵害公民隐私权的“暗偷”“暗抢”行为影响却不大。
这是因为,隐私权作为民事权利,用户也有自我处分的权利,一旦网站搬出已经获得用户授权的“隐私条款”作为抗辩理由,刑事法律就很难认定其为犯罪行为。
3


收集人脸信息有无相应的法律门槛?
赵占领北京志霖律师事务所副主任人脸这种生物信息属于个人信息的范围,需要遵守《网络安全法》等相关法律法规的规定。收集、使用个人信息需要符合正当、合法、必要的原则。目前我国还没有专门针对人脸识别技术相关的法律法规,但是在个人信息保护方面有很多的法律。
其中关于必要原则,一是所收集的信息与所提供的产品或服务本身有直接的关联,比如社交软件需要读取手机通讯录、导航软件需要收集地理位置信息;二是法律本身的要求,必须根据《网络安全法》等法律法规进行操作,例如对于需要实施实名制的领域,经营者要求用户提供身份证相关信息的情形;三是为了改进产品或服务的用户体验,比如地铁、图书馆、景区等场所的经营者为了改进检查效率而引入人脸识别技术收集人脸特征信息;另外有些公权力机构为了维护公共安全、预防和打击犯罪,也使用人脸识别技术,这种也符合必要原则。

吴沈括

联合国网络安全与网络犯罪问题高级顾问

围绕面部特征等个人信息的收集、利用,各国法律大多是以用户的“知情-同意”作为合法的基础。在“知情-同意”的背后,是用户对厂商的授权。授权厂商根据用户“同意”的内容收集、使用个人信息。
但不可忽视的是,一方面“同意”形同虚设,少有用户会去关注自己到底“同意”了什么;另一方面,在一些场景下,“授权同意”几乎是不可能完成的任务,例如公共场合使用人脸识别技术对人脸影像进行商业性的收集、分析,这样几乎没有获取用户同意的可能。在更多情况下,用户所面临的是如果拒绝提供个人信息,厂商会拒绝提供服务。

更有甚者,有的时候,用户既不知情,也没法不同意。厂商通过“隐私政策”“用户协议”向用户告知数据利用的范围与方式,用户点击同意,但问题在于“隐私政策”“用户协议”大多佶屈聱牙,难以理解,这样一份重要的协议几乎无人阅读。可以说,各国的“隐私政策”与“用户协议”都更像是一份为了应付监管,而非构建与用户之间法律关系的文件。


陈立彤大成律师事务所高级合伙人人脸识别技术可用于人员出入管理和城市安防,包括公安抓捕逃犯、小区门禁启用刷脸系统,以及一些商家的VIP管理、大学课堂上“刷脸签到”、当事人身份验证等法律实施和判决执行领域。
从实践角度讲,互联网时代的数据权相比隐私权而言,更加突出用户对自己数据的“控制权”。除了用户知情权等伦理性权利之外,我国《网络安全法》还特别明确了用户对自己数据的“自我决定权”。该法第43条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。


4


人脸信息采集的法律边界究竟在哪?


陈立彤大成律师事务所高级合伙人依据《信息安全技术个人信息安全规范》,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息等。采集个人信息需取得个人信息主体的同意,未经同意,不得转让、共享、加工其个人信息。

吴沈括

联合国网络安全与网络犯罪问题高级顾问

2019年5月,旧金山成美国首个禁止面部识别监控的城市。2019年6月,美国在国会听证会上讨论了对执法部门使用面部识别软件所带来的担忧。2019年7月,萨默维尔市通过了禁止在公共场所使用面部识别软件的法令,成为继旧金山之后全美第二个禁止面部识别技术的城市。同时,瑞典数据保护局(DPA)曾表示面部识别技术违反了欧盟隐私法规“通用数据保护条例”(GDPR)的若干条款,因此会对非法收集数据的校方处以罚款。
围绕面部特征等个人信息的收集、利用,各国法律大多是以用户的“知情-同意”作为合法的基础。没有人否认个人信息数据应该受保护,但如何去保护却难以落实。部分企业会因为法律为数据保护设定的“过高”要求叫苦不迭,认为增加了合规成本。目前我国需要进一步推进法治化进程,建立相关法律法规,做到有法可依。这是确保技术不被滥用、限制技术的负面影响、真正发挥其促进社会发展作用的关键所在。


责任编辑:李泽鹏
审核人员:张文硕
来源:新京报
往期精彩回顾
百万法律人都在用的北大法宝详细介绍!
你“ZAO”了吗?换脸APP被约谈!| 法宝关注
张新宝 葛鑫 :《个人信息保护法(专家建议稿)》
李立丰 | 本土化语境下的“被遗忘权”:个人信息权的程序性建构
高富平:论个人信息保护的目的—— 以个人信息保护法益区分为核心


客服 | 法小宝

微信 | pkulaw-kefu

微博 | @北大法宝


点击相应图片识别二维码

获取更多信息

北大法宝

北大法律信息网

法宝学堂

法宝智能

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存