中國政法大學傳播法中心研究員、副教授朱巍
DCCI互聯網研究院院長劉興亮
中國社會科學院科學技術和社會研究中心主任段偉文
北京大學法學院教授薛軍
近期,一系列事件引發了公眾對於人臉識別技術濫用的廣泛關注。隨著人工智能技術不斷髮展,人臉識別大規模地應用於安防、支付等日常生活場景中,但這項改變生活的技術當前卻處於爭議中。此前,全國人大常委會法工委發言人嶽仲明在記者會上表示,人臉識別等新技術的應用和發展,給個人信息保護帶來許多新挑戰。全國人大常委會法工委將就有關問題進一步廣泛聽取意見,深入研究論證。就此,新京智庫組織舉辦“人臉識別不能被濫用”專題研討會,邀請多位法律學者與專業人士進行深入的探討。
議題一
新京智庫:根據我們的調查顯示,許多人對人臉識別的使用已經比較警惕,更傾向於選擇輸入密碼或指紋等驗證方式。人臉識別技術為何會出現濫用問題,根本原因是什麼?
“技術崇拜”導致人臉識別氾濫,須建立防火牆機制
人臉識別可能誘發智能化官僚主義
劉興亮:我是一個技術派,人臉識別剛出來的時候感覺還是很酷的。在車站、機場刷臉通過,非常快捷。但現在越來越多的地方和場景都在濫用人臉識別。這是因為人臉識別太方便了,而且準確率越來越高。很多需要核實身份的地方,如小區門禁、上班考勤等都要進行人臉識別。有些是出於管理方便,有些則是商業用途。
人臉識別是個好技術,但是毫無限制地在各種各樣的應用場景中使用,“圖方便、圖省事”,為了效率而不顧背後潛在的隱患。可以說,對技術的盲目崇拜和樂觀導致人臉識別技術的泛濫使用。
段偉文:企業或管理部門出於效率考慮,部署了人臉識別。但這只是表面上的原因,更深層次上,還有其他因素,比如說,人臉識別技術使用起來很方便,但可能誘發某種意義上的官僚主義,可稱之為機械或者智能化的官僚主義。
現在很多城市依賴智能監測技術手段進行城市治理,如果人們越來越多地生活在智能監測環境之中,就意味著需要一種新型的社會契約,但是人們還沒有想清楚。過去講技術治理通常稱之為技術統治論或技治主義,是當作貶義詞在討論,但現在更多的卻是肯定,缺乏必要的反思。
使用人臉識別必須要滿足必要性條件
薛軍:人臉信息和其他一些生物識別信息,都具有終身不可能或者不太可能被更改的特徵。公眾對人臉識別有擔憂,主要原因在於公眾擔心自己的人臉信息在被蒐集、被使用過程中失去控制,特別是很可能在不知不覺中被他人蒐集了相關信息。這是人臉信息和指紋等其他生物識別信息存在比較大的差別之處。
由於人臉識別技術高效、便捷,只要把臉湊過去就可以,因此很容易激勵大家去使用這個技術。但是技術帶來的便利,還要與其存在的隱患、風險進行綜合考量。在很多刷臉的場景中,相關操作單位並沒有建立數據後臺的專業能力,只能連通到其他的存儲網站或第三方公司才能完成刷臉認證。這樣的機構能否確保信息安全,會不會導致洩露出去,這都是大家特別擔心的問題。
所以,如果一定要利用人臉識別進行身份驗證,那麼必須要滿足必要性的條件。比如進入高度機密、特別重要的場合,需要絕對杜絕冒名頂替者時,運用人臉識別具有一定的合理性。但進入自己的小區或者其他營業場所,動用人臉識別的必要性與可能存在的風險就不成比例。從法律上來說,將來可能要規定一個可選擇性機制,讓人可以選擇不採用人臉識別的方法進行身份驗證。
建立採集、處理分離的防火牆很關鍵
朱巍:為什麼人臉識別爭議這麼大,因為人臉是一把鑰匙,後面關聯到我們的身份信息。如果再結合其他的行為軌跡、IP地址等信息,就可以挖掘出很多個人的信息,並應用到許多的商業場景中去。
人臉識別是趨勢,是發展的方向。它能解決很多現在其他方式解決不了的問題。比如網絡遊戲中規定小朋友不能玩,但如果沒有人臉識別,很多小孩就會用家長的賬號密碼登錄使用。
人臉識別重要的是後面的兩個字——識別。這意味著它跟個人的隱私權聯繫在一起。隱私權是絕對的權利。國外有這樣的案例,瑞典的一個高中事先未經學生和家長同意,對學生進行人臉識別,結果遭到了瑞典政府的罰款。
因此我要提出兩個建議。一是要有一個防火牆。採集者是採集者,處理者是處理者,二者要分開。目前,這個機制還沒有建立起來,誰採集了歸誰。
二要讓用戶擁有自我決定權。動物園、兒童樂園等場所做人臉識別,我是贊同的。因為有人臉識別,可以保障這些場所的公共安全。但如果有人不接受人臉識別,那可以用身份證等人工方式辨別。這個決定權應該交給消費者本人。
議題二
新京智庫:《個人信息保護法(草案)》第13條中首次明確了個人信息處理的6項依據。如何才能真正確保對個人信息的處理合理合法?
被動“同意”不能真實反映個人自主意願
需進一步把人臉數據當做特殊類型信息
段偉文:目前普通人的權利意識並不是那麼強,在這樣的信息素養環境下,把個人信息權利或個人數據權利當成“絕對”的權利,體現出一定的逆向制衡的智慧。
對人臉、虹膜、步態等信息的採集和使用實際上都走在了立法的前面。但與之對應的現實卻是缺乏有效保護個人信息權利的機制,個人往往也沒有維護自己信息權利的意識和能力。
而且,人臉數據在採集之後完全可以用於其他目的,比如說做情感分析、心理評估等。這就導致了新的信息和認知的不對稱。所以,人臉識別數據是一種具有開放性社會法律倫理影響的敏感的個人信息,在一定程度上賦予個人對其人臉數據的“絕對權利”,有利於應對未來可能爆發的更大的社會法律倫理風險。
但我覺得,還是要更進一步,在認知上把人臉數據當做特殊類型的信息。這就需要更多的研究,並且在概念上有所創新,這些概念可以是對經驗的提煉或由場景觸發,運用它們可以更好地揭示人臉數據的法律與倫理內涵,促進人們對人臉數據濫用的法律與倫理風險的認知。也就是說,人臉識別的法律規制與倫理治理需要更多具有創造性的實踐智慧。
同意只是入口,要重視強制性規則設置
薛軍:《民法典》規定個人信息是可以基於個人信息主體的同意,授權他人進行處理。這個原則沒有問題。除此之外,在其他情況下合理、合法地處理他人的個人信息,必須明確列舉事由,並且範圍要明確,不能開太大口子。
現在比較大的問題在於“個人的同意”。一是“同意”可能淪為一種純粹的形式,二是“同意”可能帶有某種被迫,不是自由、真實地反映個人自主意思的“同意”。所以,怎麼確保“同意”機制不淪為形式,這值得關注。
我曾經與歐盟國家的數據保護專員討論過這一問題,發現他們也面臨同樣的困惑。雖然“同意”規則可以規定得比較細緻,但是企業在獲得用戶的同意方面,可以很容易地做到形式上的合規。而如果用戶需要利用企業提供的服務,其實就只能同意,否則就沒有辦法獲得服務。
我可以很明確地說,未來能夠真正發揮作用的,是對於正當、合理、必要收集個人信息之類的帶有強制性的規則。“同意”只是一個入口,不一定能夠真正發揮把關的作用。我認為未來的個人信息保護體制應該是以行政為主導的。因為個體太分散,維權意識和能力都比較弱,即使被侵害個人信息權益,也很難證明侵害者以及實際的損失,所以還是要高度重視相關法規中帶有強制性特徵規則的設置是否合適、充分。
個人隱私權多數時候無需讓渡
劉興亮:個人隱私權,包括肖像權,是我們每個人“絕對”的權利。當然,這種權利在某些時候要做一定的讓渡,比如在面對突發公共衛生事件時,會有一些措施需要個人做出讓步,像疫情期間的健康碼就是一種案例。
一些企業和機構可能認為人們應該是不在乎自己的隱私權,或者會為了某些便利而放棄隱私權。這是不對的。個人隱私權一定是在極少數的情況下才做出讓渡。
朱巍:技術的發展不能犧牲個人的權利。“同意”有主動同意和被動同意兩種。《個人信息保護法(草案)》規定的敏感信息處理的“同意”原則是主動同意。被動同意則包括一攬子協議,比如企業彈出的“同意”事項。通常,用戶都沒有仔細看,全部點同意。其實,很多隱私條款是需要單獨同意的。
而且,互聯網技術不斷迭代,在迭代過程中會更改網民協議和隱私條款,但並不會覆蓋此前的協議。這意味著,這些應用或平臺在迭代技術,甚至變更服務的同時,卻不縮減索權,導致它們的索權範圍非常大,有些甚至已經跟現在的服務沒有任何關係。
議題三
新京智庫:人臉識別技術在使用過程中,“同意”是一個重要環節。《個人信息保護法(草案)》第14條對不同情形的“同意”做了細化。此外第24條、第30條,也都涉及相關內容。“同意”權利真的能保護個人隱私和數據安全嗎?
人臉識別使用的必要性,才是“同意”的關鍵
保護個人隱私不宜過分依賴“同意”
薛軍:《個人信息保護法(草案)》有一個很大的亮點,就是對“同意”規則進行了細化。主要的思路是針對不同的場景,對於“同意”要求的強度或者方式,進行差異化設置。這體現出區別對待的立法思路。
同時,可能還考慮了匹配性、比例性的要求。比如,區分敏感個人信息和其他個人信息,相應的,對這些信息進行處理時,在法律層面上所需要的“同意”的方式就是不一樣的。
“同意”能否保護個人隱私和數據安全?我覺得肯定是能發揮一定的積極作用,至少告知了用戶,讓用戶清晰地瞭解其個人信息是否被收集了,並且如何被處理了。同時,也便於相關監管部門審查,企業是否存在違規蒐集個人信息的問題。
但是,也不宜過分依賴“同意”。因為現在的各種個人信息處理的主體,肯定都會詳盡地研究個人信息保護方面的法律法規的要求,並做到形式上的合規。而用戶如果真的需要這個服務,他就只能同意,如果不同意就不能享有服務。
“同意”環節裡最重要的是,它是不是應該放在同意範圍內
段偉文:現在很多所謂的隱私條款,或“同意”條文,都只是為了達到數據合規的要求。但裡面並沒有講清楚,這些採集的數據到底是幹什麼用,有時甚至明確表示,採集的數據如果對用戶造成傷害,企業是不負責任的。
這樣的“同意”條款存在兩個問題,一是形式化,過於冗長,讓人不好理解。二是,有的企業利用這樣的“同意”條款,使得對用戶隱私的侵犯和數據的洩露,變成了合法合規的事。
所以,從原則上說,“同意”的權利當然是需要的,但更重要的是如何能夠真正地保證個人隱私和數據。
這意味著企業必須要有相應的技術措施和手段,如果沒有採取相應的技術措施和手段,這樣的“同意”就是形同虛設,甚至是明面上的欺騙。
“同意”環節裡最重要的一點是,我們同意的是什麼,以及它是不是應該放在同意範圍內。因此,討論“同意”要從必要性的角度切入,讓一些不必要的應用受到制約。
現在這一訴求是非常明確的,就是要禁止一些領域裡不必要的人臉識別,比如公園進行人臉識別就是沒有必要的。
知情權是“同意”的前提,自我決定權是“同意”的核心
朱巍:“同意”不單純是能不能用的問題,這不是問題中最重要的。“同意”的核心,首先是跨場景使用問題。但是,目前這個問題在《個人信息保護法(草案)》和《民法典》中都沒有規定。
比如說用戶在這個場景上“同意”了,但你卻拿這些數據用到其他諸如人臉適配、消費記錄等場景裡,這樣就有問題了。
其次,用戶要有知情權。沒有知情權的“同意”沒有意義。比如,用戶要知道這個人臉識別到底用來做什麼,對接什麼數據庫,數據會保存多久,何人使用、何時會刪除等信息。
第三,用戶要知道對其個人信息、數據進行處理用的是什麼技術。現在有一種成熟的照片活化技術,可以將靜態照片變成動態,從而能夠用於進行人臉支付等場景。
因此,應該在用戶“同意權”裡加更多的分支,包括技術處理的限制,數據告知的限制等。
知情權是“同意”的前提,自我決定權是“同意”的核心。討論“同意”要把握住這兩點。
最後,對於個人的敏感信息還要進行單獨的“同意”。敏感信息在不同的法律規定中的定義都不一樣。如果這個問題得不到解決,那麼“同意”的問題就解決不了。
議題四
新京智庫:人臉識別被濫用的現象也側面反映了科技倫理問題,目前有哪些手段可以緩解技術與風險之間的張力?未來新技術的出現應如何建立相應的倫理,並重獲公眾的信任呢?
約束人臉識別技術,需要訂立新型社會契約
討論人臉識別技術倫理的三個前提
段偉文:討論人臉識別技術倫理、規範的建立,首先要考慮三個層面的問題。第一,人臉識別技術本身存在侷限性和由易獲得性造成的濫用風險。只要不是百分百精準,就意味著技術本身存在風險;同時,人臉識別技術也是非常容易獲得的,但技術水準參差不齊,人臉識別技術因門檻低易濫用而具有很大的風險性。
第二,對於個人信息的保護和數據治理,公共部門既是數據治理的監管者,又是數據的應用者。雖然政府在很多領域具有更強的權威性,推廣起來更高效,但公共使用的邊界是什麼,技術治理的公共倫理又是什麼?
第三,從技術的長遠發展來講,其應用怎樣才能普惠公眾?這可能需要訂立新型社會契約。沒有契約,任何企業、任何人、任何地方只要存在可能就能夠部署人臉識別技術,採集的數據還能夠作為其他用途,這其中的風險非常大。
考慮這三點後,我們可以從三方面著手。一是相關技術的部署方和相關企業的利益相關方、受益人的責任,並且這種責任是要面向不確定性的開放後果的責任,要通過哲學上、倫理上的考量,一定程度上體現在法律裡面。
二是要通過設計來保護一般使用對象、被監測對象的權利。比如對人臉數據的加密技術或者遮蔽技術。
現在,人臉識別技術已經開始打破皮膚表面和表面下的環節,通過熱敏識別,在戴口罩的情況下也可以進行人臉識別,這意味著在技術上已經能夠越過體表識別體內的血液循環,包括靜脈曲張甚至甲亢都有可能識別。因此,需要加入相關的加密技術來保密數據;如果沒有,又沒有相關的法律和倫理規範,技術就不能“跑”這麼快。
第三,我們不要忘記非技術性解決方案。在依靠大量技術手段時,同時要看到更多的人,包括老年人、少年兒童等需要特殊保護和關照的群體,應該提供一些技術手段之外的非技術手段來滿足這些人的需要。
約束新技術需要一套新社會規制體系
薛軍:高新技術的使用很受關注,需要一些社會規制,包括通過制定標準、法律法規、行業守則等。規制的體系可以很豐富而且多元化。不能把法律當作唯一能夠發揮作用的角色,還需要通過更多靈活、多元化的機制。這是因為技術本身發展很快,法律很難及時制定與修改。
所以,我們一定要發展出適應高科技時代的新社會規制體系。技術準則、安全評估準則或者技術規範等,都是很有效的規制手段,都能夠發揮一定的作用。具體到人臉識別技術,目前雖然有一些規制手段,但是還是欠缺。
比如小區能否使用人臉識別技術,至少得有一個相對比較權威的指導性技術準則來說明,在什麼情況下,有技術保障能力、具備防範風險要求的時候可以使用,而其他情況則不能使用。如果有這樣的科技準則就可以獲得很好的指導,並且標準可以隨著時間的演變不斷髮展。
同時,技術問題可能還是要回歸到技術層面解決。比如像虛擬號碼技術以及條碼化就解決了網約車、快遞件上個人信息洩露的風險;比如在進行算法模型訓練時,模型動而數據不動等方式,也有利於確保不產生數據合併、轉移等風險。
朱巍:對相關技術進行立法,並不是拖了技術、社會發展的後腿,而是為了維持社會更好的平衡。不能因為人臉識別技術提供了更高的效率,就把效率當作新的正義觀。效率任何時候都不可能成為正義觀,除非有一定的背景制度。這個背景制度就是我們今天討論的,人臉識別技術需要一定的約束。只有在具備約束的背景下,技術產生的效率,才能被認為符合正義觀。
現在很多企業強調科技向善、強調算法倫理等問題,不是在拉效率的後腿,而是要讓整個社會的福祉和個體權益的正義回到很高的位置上。人永遠都是目的,而不是手段。(訪談員 鄭偉彬 柯銳 王春蕊)
轉載請超鏈接註明:頭條資訊 » “人臉識別”成打開隱私“萬能鑰匙” 專家建議:禁止一些領域裡不必要的人臉識別
免責聲明
:非本網註明原創的信息,皆為程序自動獲取互聯網,目的在於傳遞更多信息,並不代表本網贊同其觀點和對其真實性負責;如此頁面有侵犯到您的權益,請給站長發送郵件,並提供相關證明(版權證明、身份證正反面、侵權鏈接),站長將在收到郵件24小時內刪除。