11月7日,一位来自北京航空航天大学的教师对记者表示,学校曾在疫情期间大规模引入人脸识别门禁设备,安装在校门和教学楼门口,并要求高校教师进行人脸数据录入、出入刷脸。近期,该校在教学楼设备旁边另外放置了一个本子,规定不愿意刷脸的人可以纸笔登记进入。
这一改变符合《中华人民共和国个人信息保护法》(下称《个人信息保护法》)首次对人脸识别作出的规范。中国人民大学法学院教授张新宝对记者表示,法律要求,企事业单位收集和处理人脸信息必须要有合法依据,目的必须是服务公共安全,同时,还要提供替代措施,比如工作单位考勤,不能强制性要求员工进行人脸图像采集和比对,要对拒绝者提供身份证核对等一些替代措施。张新宝全程参与了《个人信息保护法》的立法工作。
同时,记者从商汤科技、旷世科技处获悉,作为人脸和图像识别技术的新锐企业,两家公司正加紧对人脸识别产品进行安全升级和改造,包括待售的和过往售出的设备。
更多细小的改变表明,《个人信息保护法》的酝酿和施行,正在改变人们“习以为常”的一些行为,如刷脸打卡、刷脸支付、刷脸考勤,这也影响着人脸识别背后的产业。该法首次将人脸归为敏感个人信息,将人脸识别纳入监管范畴,为保护用户权益,对技术的提供方、使用方提出了一系列规范。
拒绝刷脸将有法可依
《个人信息保护法》在国内首次将个人信息分类成敏感和非敏感个人信息,并将人脸归为敏感信息。张新宝表示,法律生效后,原则上数据处理者不能收集这些信息。如需处理需要经本人单独同意,而且只能用于特定目的,用完后不可用到别处或出现泄漏,否则就属于违法行为。
张新宝表示,法律规定,若侵权情况严重,可以提起公益诉讼。针对违法处理个人信息的行为、受害人人数众多,可向三大类机构进行起诉,包括人民检察院、法律规定的消费者组织、由国家网信部门确定的组织,这些机构再针对性地提起个人信息保护公益诉讼。
上述商汤科技和旷世科技两家公司属于技术提供方,北京航空航天大学以及更多采用刷脸设备的高校、银行、机场,都属于技术的使用方,两者均为《个人信息保护法》规定的责任主体,如果被个人起诉,将共同面对监管和惩罚。
一位商汤科技人员对记者表示,团队自今年上半年开始做安全合规工作,任务量非常大,团队高度重视,因为如果客户因隐私安全不合规而被起诉,公司也要共同面临相关索赔或者法律程序。
牵动人脸识别产业
中国信通院云计算与大数据研究所所长何宝宏对记者表示,该法将对人脸识别产业带来全面影响。第一,《个人信息保护法》要求处理敏感个人信息需取得个人单独同意,在公共场合下出于商用目的人脸识别应用需落实“单独同意”制度,但由于条件非受控,用户的“单独同意”将成难题。所以对人脸识别的技术使用方来说,部分应用场景落地会受限,包括智慧园区、智慧零售、智慧校园等,部分人脸识别企业的业务会收缩。
第二,《个人信息保护法》明确要求,处理人脸信息的企业要开展事前个人信息保护影响评估、定期开展审计,这就需要企业配备必要的法务、审计人员,或委托第三方提供服务。可以说,法律将直接增加人脸识别技术使用方、技术提供方的合规成本,尤其对人脸识别的技术提供方,将直接影响部分产品的功能形态。
但另一方面,何宝宏表示,法律也为人脸识别企业健康发展提供了具体实践路径,针对人脸信息处理提出有效的治理体系,有助于人脸识别产业长期健康发展。
何宝宏表示,总之,《个人信息保护法》的颁布实施,给企业带来更加明确、严苛的法律要求,产业界将可能经历“阵痛期”。但长远来看,在合规、可信的“双驱动”下,产业界将持续提升个人信息保护及数据安全的治理能力,逐步实现用户权益保障和产业健康发展的平衡。
治理与发展并重
人脸是所有生物信息中,社交属性较强、较容易采集的一种个人信息,人脸识别作为人工智能应用中的一种,过去几年,率先被安防、金融、安防等行业大规模采用。
在企业和资本的推进下,人脸识别技术正在大面积地、深入地进入社会生活,对维护社会治安起到了重要作用。但是,对人脸识别有意识的“滥用”和“无意识的”误用行为,已经引起社会的担忧。
何宝宏表示,业界当前重点讨论的是,在数据层面,训练数据的来源是否可靠、可追溯,训练数据本身是否全面、准确,以及人脸信息的脱敏和去标识化处理如何做到规范统一且可落地;在算法层面也存在识别安全性的问题,一些面具仿冒、对抗样本攻击等,有可能造成识别失效;从应用上看,人脸识别作为一种身份认证技术,同密码、指纹等传统身份认证技术一样,都存在一定被攻破的概率,现阶段尚不存在百分之百安全的技术。
何宝宏表示,长远来看,人脸识别行业的安全合规,需要政府主管部门、科研机构、法律机构、技术提供方、技术使用方以及用户方构共建一个良性的生态环境,中国信通院云大所发起的“护脸计划”,就是针对人脸识别的安全合规问题、联合社会各界共同组建的一个开放平台,也欢迎各方积极参与,共同提升全行业的安全合规能力,促进产业的健康发展。
中国社科院哲学所科技哲学研究室主任、研究员段伟文表示,在新冠疫情到来之前,一些公共场所部署人脸识别的闸机和门禁,就引发了一些争议,随着疫情出现,这些技术在特殊条件下被大规模采用,过程中也受到法律界的质疑。
段伟文表示,整个社会都对科技活动有一种许可,而这种许可没有具体形式,比如化工厂、垃圾焚烧厂、核电站的建设过程需要许可。而从政府治理的角度,要把技术的风险扼杀在摇篮里,不能等出现恶性事件、公众负面舆论多了之后再来处理。
(文章来源:经济观察网)