歐美限制人臉識別技術對我國的啟示

呂堯，周千荷

（賽迪研究院網絡安全研究所，北京100846）

1 引言

2020年初在抗擊新型冠狀病毒肺炎疫情期間，人臉識別技術在人口流動管理、體溫檢測等方面發揮了重要作用。然而同期，人臉識別技術卻在歐美等國家和地區遭到越來越多的質疑和限制。歐盟考慮5年內禁止在公共場所使用人臉識別技術，美國40家社會組織聯名致信隱私和公民自由監督委員會，并呼吁美國政府暫停應用該技術。當前，人臉識別技術的發展趨勢已不可阻擋，如何平衡個人隱私與人臉識別商業化普及、政府廣泛征用之間的沖突是當前的核心問題。

2 歐洲和美國有條件限制人臉識別技術應用

美聯邦政府層面，已有聲音提出立法建議，限制人臉識別技術的使用。2019年，有參議員提出聯邦法案《2019年商業面部識別隱私法》，建議禁止在商業上使用面部識別技術來跟蹤和收集與消費者有關的數據。2020年2月12日，兩名民主黨參議員提出《人臉識別道德使用法案》，要求暫時禁止政府機構使用人臉識別，直到委員會形成政府使用準則和限制條件，以防止人臉識別技術侵犯公民隱私權和影響公民自由。美國部分州及地方政府在聯邦政府之前，已經開始規范人臉識別技術和軟件的使用。俄勒岡州、新罕布什爾州、猶他州及部分城市已開始限制人臉識別技術的使用；舊金山、奧克蘭、薩默維爾等市，已將禁止該技術用于城市政府官員以及執法部門；華盛頓州也正在考慮制定立法，以規范私人和企業在公共場所部署的人臉識別應用程序。

歐盟計劃執行更嚴格的監管政策。歐盟希望成為道德AI的領導者，其在2019就發布了人工智能相關技術的道德準則，提出可信賴技術概念及其判定的基本原則。2020年初，歐盟發布了《歐盟人工智能白皮書》，對人工智能開發者提出具有法律約束力的新要求，以確保現代科技的開發和使用符合道德規范，其中明確提出在3～5年內禁止人臉識別技術應用于公共場所，以評估該技術風險，并保留在未來進一步加強該技術監管的可能性。歐盟希望成員國可以任命相關部門監督人工智能政策規則的執行情況。歐盟成員國根據各國實際情況，已開始有限度地限制人臉識別技術的應用。英國脫歐前，其國防部因人臉識別技術存在的未知風險過多，而建議政府在發展人臉識別技術時“放慢腳步”。2019年8月，瑞典數據保護局決定禁止在學校使用人臉識別技術，并對當地的一所高中處以罰款。2019年11月，法國發布《人臉識別指南》，提出了人臉識別技術存在的風險，并對該技術的使用進行了規范，明確了政府、企業等各相關方的責任。

社會組織呼吁限制或謹慎使用人臉識別技術。2020年，美國隱私保護組織、美國電子隱私信息中心等4 0家社會組織，就審慎應用人臉識別技術聯名致信隱私和公民自由監督委員會，同時呼吁美國政府在“充分審查人臉識別技術風險”之前暫停應用該技術。互聯網巨頭積極采取措施，降低人臉識別可能帶來的風險。Facebook向人工智能創業公司Clearview AI發送了停止和終止函，要求其停止因執法目的而利用人臉數據識別用戶身份。微軟也刪除了全球最大的公開人臉識別數據庫MS Celeb。谷歌也表示在能夠阻止人臉識別技術被濫用的政策出臺之前，會暫停對外出售相關技術及產品。此外，針對歐盟計劃在未來3～5年禁止公共場所使用人臉識別技術的政策，微軟、谷歌等均表示支持。

3 歐洲和美國限制人臉識別技術應用的原因

3.1 在用戶不知情的情況下采集人臉數據

隨著攝像頭、智能設備及無線傳輸技術的發展，再配合模式識別算法的迭代升級，人臉數據收集、分析的難度大幅降低，一些不法分子或企業利用這些先進技術在用戶不知情的情況下收集人臉數據，并進行分析、倒賣以牟取利益。這種不顧及用戶個人意愿，擅自采集調用臉部特征信息的行為，嚴重侵害了數據主體的知情權。同時，給使用人臉識別進行身份認證的應用程序（如網銀、第三方支付等），帶來嚴重安全威脅。

3.2 在非必要的場景濫用人臉識別技術

人臉識別技術未必適合所有應用場景，但因其涉及人工智能和大數據等新興熱門概念，所以很多企業為蹭熱度、賺眼球，強行在其產品或服務中使用人臉識別技術，并以此為噱頭進行宣傳炒作，導致人臉識別應用泛濫，不僅給該技術的聲望造成影響，也給個人隱私保護埋下隱患。

3.3 網絡安全問題嚴重

人臉識別技術仍處在發展完善階段，從技術底層代碼開發到實際應用需經過多個環節，任何環節出現問題，都可能導致整個人臉識別技術被破解。美國人工智能公司Kneron近期就聲稱攻破了人臉識別系統，通用特制3D面具成功地欺騙了知名支付軟件的人臉識別系統，同時還能騙過荷蘭機場自助登機終端。當前，一些開發人員在運用人臉識別技術時，并未考慮到其是否滿足應用安全需求，使得現階段一些重要應用的信息系統僅采用人臉識別這一項單一驗證技術，并未結合短信、驗證碼、手機尾號等傳統輔助驗證手段一并使用，致使系統或程序處于高風險狀態，極易被攻破，給系統造成巨大危害。

3.4 個人隱私數據泄露風險高

通過人臉識別技術采集的人臉數據，還存在因后端管理不當而帶來的隱私泄露問題。2020年初，為美國聯邦調查局等600家執法機構提供人臉識別系統的Clearview AI公司遭遇重大數據泄露，30億張人臉數據被泄露，引發全美社會巨大擔憂。人臉數據作為高敏感生物信息，具有不可變更性，一旦泄露，終身可被利用。目前，對于人臉識別技術，企業更關注于其商業落地后帶來的經濟利益，而忽視對人臉數據的安全保護。企業只憑借職業道德來確保其使用、存儲數據的安全性，缺乏數據保護的剛性要求，個人隱私保護仍存在極大的風險。

3.5 人臉數據被過度、惡意利用隱患大

人臉數據具有較強的關聯性，通過數據采集和機器學習來對用戶進行“畫像”，是人臉數據被過度挖掘的一個典型例子。斯坦福大學的研究人員曾證明，當展示一名同性戀男和一名異性戀男的照片時，算法能夠辨別出他們的性傾向，準確率高達81%。被過度挖掘的人臉數據不僅能用來判斷用戶的特征、偏好，還能關聯出用戶的生活習性、人際關系、工作單位等隱私信息。如果不對人臉數據的使用進行合理的規范與監管，將會對公眾的基本生活帶來巨大影響。

4 對我國發展人臉識別技術的啟示

4.1 提高認識及戰略定位，有條件地支持人臉識別技術的發展

提升對人臉識別技術的重視程度，制定包含人臉識別技術的人工智能國家戰略及頂層設計，明確人臉識別技術使用的基本原則，指導引領該技術及其相關技術的研究發展方向，確立技術應用領域的基本思想，統籌考慮技術使用的管理原則，建立“必須、可選、禁止”不同場景的分類、分級管理思路，為開展立法、出臺政策、實施監管、促進發展等工作指明方向。

4.2 制定上位法統籌管理，加速出臺相關法律

制定關鍵技術上位法，通過立法規范包含人臉識別的人工智能等關鍵技術的科學研究、開發利用、產業政策以及監督管理等內容，以保障重大關鍵技術應用的安全性和健康持續發展。圍繞人臉識別技術反映出的個人隱私保護問題，盡快研究出臺個人隱私保護法、數權法等相關法律，統籌考慮隱私保護、人權、倫理道德等多方面因素，限定人臉識別技術的使用范圍，明確數據保護要求及責任，賦予數據采集對象知情權和追償權，從法律層面保障個人隱私權、肖像權、數據所有權等相關權利。

4.3 細化管理規定，提升監管能力

針對人臉識別這類涉及個人隱私技術的管理，可考慮在四個方面落實法律要求、細化具體規定。第一，在必要場景中，必須確保用戶的知情權，包括明確告知用戶所使用的技術、所采集的數據類型以及數據的使用目的；第二，在非必要場景中，盡量避免使用人臉識別等涉及個人隱私的技術方案，如若使用則需提供并行方案供用戶選擇；第三，對于采集到涉及個人隱私的數據，應綜合運用數字簽名、區塊鏈等技術對數據進行標識，實現數據在流轉中的可追溯；第四，對于數據存儲超過一定規模的企業，應通過備案等形式納入監管。在監管方面，應當提升智能化監管手段，提高執法監管人員基本能力，培養專業化支撐隊伍，支持鼓勵第三方檢測、評測機構發展。對于技術、數據非法濫用行為，嚴格依法懲處，對于影響國家安全、威脅社會穩定等重大違法行為，由公安機關從重處理。

4.4 加強行業自律，建立長效監督機制

支持人臉識別技術研發及應用單位建立行業組織，研究制定人臉識別技術運用、人臉數據使用方面的行業公約或企業內部制度。就如何在人臉識別領域有效保護個人隱私，可打造行業標桿、樹立典范企業、宣傳實際案例、推廣具體方案，以維護公眾對人臉識別技術和行業的信心。建立行業組織內外長效監督機制，擴大監督網絡，創設社會監督舉報渠道。同時，與國家信用評價體系結合，制定人臉識別技術相關企業信用評價標準及評價程序，由政府或社會第三方組織對相關企業開展評價，將濫用技術和人臉數據的企業納入信用黑名單，并通過國家信用信息公示系統向全社會予以公示。

4.5 強化公眾對人臉識別領域個人隱私的保護意識，為公眾提供援助維權途徑

在人臉識別領域，加大對個人隱私保護及相關法律規范的宣傳，鼓勵企業在人臉識別應用中，面向用戶添加對個人隱私安全的風險提示。同時，針對不同年齡段人群，制定不同形式的宣傳科普音視頻，通過傳統媒體以及各種自媒體平臺進行傳播與教育，提高公眾對各類涉及人臉識別技術的應用或小程序的警惕性。打造個人隱私保護公共服務體系，建立個人隱私保護維權援助機制，在人臉識別領域搭建高效、便捷、低成本的投訴維權渠道，降低個人隱私保護維權難度，切實維護用戶利益，營造個人隱私保護維權社會共治理念。

5 結束語

雖然人臉識別技術存在個人隱私泄露、數據過度挖掘等諸多問題，歐美通過立法、處罰等方式，逐步對人臉識別在部分領域應用進行了限制，但是該技術帶來的好處也是顯而易見的，不能因為技術存在漏洞或被濫用，就限制其應用。目前，人臉識別技術發展的趨勢已經形成，該如何規范、應用好該技術才是關鍵。本文通過對歐美做法的分析，提出了相關對策建議，為國內技術或行業主管部門規范人臉識別技術提供了參考。