人脸识别的雷池之界
在数字化社会,人脸信息一旦被搜集就可能被永远保存。随着时间流逝和信息控制者更迭,这些人脸信息被泄露、滥用的风险不可避免。
最近,被称为国内“人脸识别第一案”的杭州郭兵诉杭州野生动物世界有限公司一案开庭。郭兵是野生动物世界的年卡会员,2019年10月,他收到短信通知:“园区年卡系统已升级为人脸识别入园,原指纹识别已取消,即日起,未注册人脸识别的用户将无法正常入园。”郭兵认为,面部信息系个人敏感信息,野生动物世界单方面违法修改服务条款,要求退还年卡费用。在协商无果后,郭兵一纸诉状将野生动物世界诉至法院。事实上,这绝非孤例。从北京地铁刷脸安检到监测记录学生课堂动态,在过去一年人脸识别频频引发争议。而在民意滔滔的另一端是人脸识别的迅猛发展。从2015年到2019年,人脸识别、视频监控的专利申请数量从1000件飙升到3000件,其中四分之三在中国。MarketsandMarkets咨询公司研究预计,到2024年,全球面部识别市场规模达70亿美元。产业、技术和舆论的背离给我们提出了一个严峻的问题:人脸识别的正当性边界何在?
当我们谈论人脸识别,究竟在担心什么?
人脸并不是每个人秘而不宣的隐私,事实上,我们的容貌在社会关系和人格发展中扮演着举足轻重的角色。正因如此,在中国,蒙面往往和不可信任、危险人物等负面印象密切相关,而德国、意大利、法国、纽约、香港特区相继出台在公共场所或公众集会中禁止蒙面的法律,也彰显出公共空间中人脸的公共性。既然如此,我们为何会对人脸识别忧心忡忡呢?
首先可以想到的,人脸识别可能危及现代社会重要的馈赠——“陌生感”以及其背后的“匿名性”。如果说传统社会每个人都生活在一个鸡犬之声相闻的熟人群体之中,那么现代社会则是一个由无数原子化个体构成的“陌生人国家”。美国法学家弗里德曼这样刻画这种陌生性:“当我们走在大街上,陌生人保护我们,如警察;或威胁我们,如犯罪。陌生人扑灭我们的火灾,陌生人教育我们的孩子,建筑我们的房子,用我们的钱投资。陌生人在收音机、电视或报纸上告诉我们世界上的新闻。当我们乘坐公共汽车、火车或飞机旅行,我们的生命便掌握在陌生人手中。如果我们得病进医院,陌生人切开我们的身体、清洗我们、护理我们、杀死我们或治愈我们。如果我们死了,陌生人将我们埋葬”。在陌生人社会中,个体事实上“隐身”了,尽管他对自己的面貌、行踪、言论毫无隐藏,但他依然认为他人理应对其视而不见、听而不闻。在地铁中、饭店里、街道上、电梯间等公共空间,人与人之间的“礼貌性不关注”(civil inattention)早已成为社会基本规范。
这种陌生感,往小了说,它使个体享有不被干涉的“消极自由”,从而展现和发展出自己的独特人格;往大了说,它保证了社会的包容和多元,让外表与众不同(如少数民族、外国人、残障人)或行为离经叛道者免受歧视。甚至,如德国社会学家亚明•纳塞西所言,社会由此才可以承受因社会转型带来的不平等和不公正,“因为它依赖隐形性,而不是可见性;依赖陌生感,而不是亲密性;依赖距离,而不是亲近”,就此而言,“社会团结建立在陌生感之上”。
陌生感依靠的是个体隐身。如果秩序丧失,匿名身份公开,现代社会就岌岌可危。在美国,对陌生感和匿名性的法律保护可以追溯到美国最高法院大法官William Rehnquist在1972年的论述,他雄辩地指出:“假设当地警察为了调查某个案件而把警车停在一家生意很好的酒吧停车场门口,每天停留的时间为晚上五点半到七点半。在这段时间里,警察记录下每一辆进出该停车场的车辆号码……假如某些人只是恰好在这个时间段进出停车场但没有光顾酒吧,如果这当中有公民认为自己的名字已经被警察记录下来并且可能用于将来案件调查的参考,那么我相信,这些公民绝对有理由担忧……政府执法人员根本就不应该采取任何监视行动。”的确,公民到酒吧的行为不是一个隐秘的行为,但他依然不希望被监视和识别。在后续的发展中,这种在公共场所“匿名的权利”逐渐被纳入隐私权之中,并受到美国宪法第四修正案的保护。
显而易见,日益增多的摄像头和经由算法、大数据驱动的人脸识别使得人们从“匿名”走向“显名”,陌生感消失了,但熟人社会的亲密感和安全感却并未回归。恰恰相反,威胁感甚至会增加。我们可以设想,一个没有警察的社区当然可能是危险的,但处处都是警察的社区,可能更加危险。
人脸识别的危险不限于此。传统社会中,人们对陌生人面容的记忆往往“阅后即焚”,而在数字化生存的当代,难以改变的人脸信息一旦被搜集就可能被永远保存。随着时间流逝和信息控制者更迭,这些人脸信息被泄露、滥用的风险不可避免。与此同时,人脸识别的应用场景不断拓展,从线下支付到公共出行,从电子商务到智慧园区,人脸信息已成为数字身份和虚拟人格的一部分,因身份盗窃(Identity Theft)、欺诈、伪造引发的财产、人身或机会的损失风险亦与日俱增。
两种人脸识别,两种药方
人脸识别对个体“匿名性”威胁和对个体“数字身份”可能的侵害对应着两种相关但不同的场景。前者主要存在于公共场所的“人脸监控”中:政府为维护公共安全和社会公益的需要,在车站、街口、体育场使用人脸识别追踪犯罪分子或寻找失踪人员;私人机构追踪入店行窃者,拉斯维加斯赌场使用“空中之眼”阻止列入黑名单的老千便是典型一例。后者主要存在于访问系统的“人脸验证”中,其涵盖了用人脸取代门票、作为密码、解锁设备、酒店入住等各种身份认证。用一种形象化的表达,“人脸监控”的目的是“知道你是谁”,“人脸验证”的目的是“知道你是你”。
症状不同,药方自然有异。
“人脸监控”一经使用,便对现代社会的匿名性产生负面影响,公共场所的空间特征和不特定人群的对象特征,使得个体就人脸监控的事前同意注定不可能,由此侵害公民匿名权。正因如此,各国对公共空间的人脸监控均慎之又慎。2019年12月,欧盟《人工智能白皮书(草案)》曾表示在公共场所使用人脸识别技术将被禁止3至5年的时间,尽管欧盟委员会最终删除了该人脸识别技术禁令,但对使用人脸监控等远程生物识别系统提出了严格限制。在美国,2019年5月,旧金山成为首个禁止警察和其他政府机构使用面部监控的城市,随后,马萨诸塞州的萨默维尔、加州奥克兰和圣地亚哥亦积极效仿。今年6月,在明尼阿波利斯警方杀害乔治•弗洛伊德(George Floyd)引发全国抗议的背景下,IBM、亚马逊、微软相继宣布暂停用于监控的人脸识别技术。亚马逊的暂停期为一年,而微软表示,在法律出台之前,其暂停期是无限期的。
职是之故,人脸监控的正当性边界应当尽量缩限。除了进一步明确法律事前授权和“非必要不监控”的比例原则外,还应从操作层面增强人脸识别技术的透明性。例如,明确标识所有监控设备的位置,以简短文字说明设立机关和联系方式,并辅以二维码与隐私政策链接,帮助公众随时获得详尽信息,便利后续监督和救济。
与“人脸监控”自带威胁不同,“人脸验证”往往是中性的。它不但经过了用户授权,而且改善了服务,甚至本身就是服务的一部分,如人脸娱乐或面向盲人的医疗服务。另一个现实的例子是,针对“子女冒用家长身份信息绕过监管”问题,腾讯游戏使用人脸验证,对疑似未成年人的用户进行甄别。不过,人脸验证依然面临着保护人脸信息——这一敏感个人信息的挑战。在此,我们不妨用“知情同意、自由选择、安全保障”三根支柱筑起它的正当结界。
这里的“知情同意”要求将人脸信息的收集目的、使用方式、保存期限等事项,单独、明确地告知用户,并取得明示而非默示的同意;“自由选择”则要求相关机构提供人脸验证的备选方案,用户有权根据其意愿选择和变更身份验证方式,在一些特殊场合,如针对防范子女冒用家长身份或者事关用户重大权益的服务,可以要求用户使用指纹等其他难以仿冒的生物信息作为替代方案。最后,“安全保障”一方面要求在事前对人脸验证系统开展全面的风险评估,包括对隐私的影响、潜在的错误、不公正歧视的易感性、受黑客攻击和网络攻击的风险,并证明选择人脸验证技术的合理性。就此而言,这种风险评估如同一道门槛,必须收益大于成本,人脸验证才能“登堂入室”。还是以腾讯防范子女冒用家长身份玩游戏为例,并非所有的用户访问均需验证,只有被判定为高度疑似未成年游戏行为的成年人账号才有条件地引入人脸验证,从而体现出对人脸验证双刃剑效果的审慎态度。另一方面,在事中和事后,相关机构应遵循“经由设计的隐私原则”,将个人信息保护内嵌到操作流程之中,并应部署一个人为参与的后备系统,以解决异常和数据安全问题。
人们对陌生的科技永远心怀恐惧。但要战胜魔鬼,必须要了解魔鬼。而在了解它之后,才明白魔鬼皆在细节中,人脸识别亦是如此。只有在不同场景下细致辨析其风险所在,才能更好地控制它、驯化它,使之始终不离科技为人的正道。
更多文章
1 | |
2 | |
3 |