來源:券商中國
上班打卡刷臉、進出公園刷臉、回到小區刷臉、收取快遞刷臉……不知不覺間,人臉識別設備已經侵入人們日常生活的方方面面。
人臉識別技術是基於人的面部特徵信息進行身份識別的一種生物技術,主要包括人臉檢測、人臉圖像預處理、人臉圖像特徵提取、匹配與識別四部分。目前已被廣泛運用於遠程開戶,機場、火車站及景區的認證核驗,人臉手機解鎖,線下刷臉支付,公安系統的天眼系統抓捕嫌犯等領域。
但近兩年來,人臉識別技術的迅速普及也使得相關實踐運用泛濫,引起了部分用戶的反感以及監管層面的關注。今年12月1日,天津通過的一項信用條例首次提出禁止相關單位採集個人生物識別信息。多位律師認為,這將對其他地方形成示範性作用。
尤其值得一提的是,人臉識別在金融領域中的應用——刷臉支付,曾經一度成為「網紅」,但因各種爭議在現實中的推廣受到極大局限。「所以現在刷臉支付的推廣情況其實不是很好。」有業內人士對證券時報·券商中國記者表示。
步入爭議「旋渦」
去年4月,浙江理工大學特聘副教授郭兵得知,自己在杭州野生動物園辦理的年卡被「升級為人臉識別入園」,園方以此為由,要求他提供個人面部信息。郭兵對此不解並作出拒絕,在協商未果後將該動物園訴至法庭。
此次上訴被業內稱為中國「人臉識別第一案」。今年11月20日,這場備受關注的官司迎來宣判。杭州富陽(港股00352)區人民法院一審判決:野生動物園賠償郭兵合同利益損失及交通費共計1038元,並刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特徵等個人生物識別信息。
在監管層面,禁止採集人臉信息的首例地方立法也已「破冰」。12月1日,《天津市社會信用條例》通過表決,自2021年1月1日起施行,該條例規定市場信用信息提供單位不得採集包括人臉信息在內的生物識別信息。儘管這一條例的管轄範圍仍存在爭議,但不少分析人士認為,該條例釋放了一定的監管信號,對刷臉支付可謂「敲山震虎」。
「該條例將起到示範性作用,除了信用領域外,未來其他領域的相關條例也會陸續出臺。」寧人律師事務所金融與科技委員會副主任馬軍表示,「我國在立法層面已經對個人信息保護的原則性條款進行了約束,也就是合法、正當、必要性原則,後續每個行業都應該在這些原則的基礎上,結合行業特徵研究相應的監管規範。」
與此同時,國外多地政府機構對人臉識別技術也在進行狙擊。今年9月,美國波特蘭市發出禁令,要求在公共空間無論是當地政府還是商店、飯店和旅館都不能使用人臉識別技術。
在聯動效應之下,國內對人臉識別技術的質疑聲也愈演愈烈。深度科技研究院院長張孝榮就認為,人臉識別技術在國際上惡名昭彰,一些發達國家已經著手立法禁用或限用,「我國需要與國際接軌,人臉識別技術最多只能用於安防反恐等公共安全領域,其他商業領域應用應該一律禁止」。
追問技術安全性
當前市場對人臉識別技術的普遍疑慮在於:人臉識別技術是否比其他技術更不安全?人臉信息被採集後能否安全保管?信息一旦發生洩漏,是否會被用於在其他設備上進行支付、信貸等操作,進而侵害個人財產權益?
一位了解人臉識別技術的從業人員向證券時報·券商中國記者假設了一個具體場景:用戶在小區門禁錄入的人臉信息發生洩露,不法分子要想成功利用這些被洩露的人臉信息通過其他信貸公司的審批環節,取決於信貸公司人臉核驗程序邏輯是否存在漏洞,「包括API是否暴露出來、模型特性如何等等」。
據這位技術人士介紹,人臉核驗程序由很多環節組成,包括輸入人臉程序的API、人臉核驗模型等。人臉核驗模型就是用戶普遍接觸到的錄入人臉信息,進行比對以及輸出結果的過程,安全性取決於模型特性。「例如,有的核驗模型能識別出來一張人臉照片裡的人臉是真人臉還是對著人臉照片拍出來的,有的核驗模型卻不能,這就是模型安全性的差距。」上述業內人士解釋。
問題是,部分小公司的人臉識別技術能力沒有達到可匹配其展業範圍的水平,人臉核驗程序的反黑客能力較弱,並存在濫用所收集的個人信息數據的可能。「比如小區門禁用的人臉識別設備很多是由一些小運營商提供,而一些不規範的小公司獲取數據後,很有可能進行倒賣來換取收益。」馬軍表示。
此外,人臉識別技術在實踐層面還面臨安全性與便捷性難以兼顧的問題。據上述從業人員介紹,設置多種核驗方式是保障人臉識別安全性的重要手段,「這是由於僅使用人臉信息作為核驗要求,安全性極低,尤其是人臉時刻暴露在公共環境中,不法分子隨時可能在用戶無感的情況下獲取」。
多位業內人士更是強調,雖然人臉識別是生物特徵識別中的一種,但人臉信息具有唯一性和不變性。與傳統的數字密碼相比,這樣的生物信息一旦丟失,意味著用戶沒有「重新設定」的機會。因此,該類信息的洩露對用戶隱私造成危害性也就更大。
證券時報·券商中國記者了解到,支付寶的「刷臉支付」技術背後,就包含對用戶日常軌跡數據的對比,在用戶常光顧的小店消費可直接「刷臉」,在首次消費的小店還需結合手機號進行驗證。銀聯「刷臉付」則採用人臉識別結合支付口令輸入的方式完成雙重驗證。
但採用多重核驗方式也意味著,作為人臉識別技術最大優勢的便捷性必然受到削弱。「所以現在刷臉支付的推廣情況其實不是很好。」有業內人士表示。
前述從業人員也表示,從目前推廣情況看來,受安全性要求所帶來的局限性,人臉識別技術在商業應用方面的暢想空間其實有限,刷臉支付也很難全面實現無感化、便捷性支付的設想,甚至達到取代掃碼支付的地步。
看好還是唱衰
「最近一年對刷臉支付的質疑聲要遠遠多過支持。」杭州電子科技大學教授劉大為表示。這一情況不僅與刷臉支付的應用問題有關,也受到國際市場對人臉識別技術極度排斥的影響。
今年以來,歐美多地針對人臉識別技術出臺禁令,國內也開始顯示出「嚴監管」信號。除天津最新通過的條例明確相關單位禁止收集人臉信息外,《個人信息保護法(草案)》對公共場所人臉識別設備的鋪設作出專門規定,網信辦對行動應用程式(APP)的信息收集也做出了規範。
對此,劉大為表示,歐美國家禁止刷臉支付是有自身金融背景的。「畢竟信用卡是歐美國家的主流支付手段,推進行動支付也在起步階段,直接進入刷臉支付的轉換成本和潛在風險都很高」。另外,人臉識別需要特殊的生物識別代碼,如果有漏洞就很容易被黑客攻擊,很可能造成用戶巨額的財產損失。「歐美金融機構對用戶財產損失的賠付制度與歷史習慣也導致他們不敢輕易嘗試刷臉支付。」劉大為分析稱。
國內市場環境則完全不同,劉大為進一步表示,如果沒有政策幹預,刷臉支付在國內不會停下來,只會繼續發展與完善。在未來一段時間,刷臉支付在行動支付的市場份額會逐步增加,甚至很快會和掃碼支付平分天下。
日本支付機構Netstars CTO陳斌也表示,人臉識別技術並非不能用,關鍵在於怎麼用。他認為,未來監管必將對刷臉支付的使用限制在一定範圍內。例如,限制於小額支付場景等,而在身份認證方面,隨著數位化轉型的推進,人臉識別技術或存在巨大價值。
「現在監管對遠程開戶還很謹慎,主要受限於技術能力,無法判斷遠程認證的到底是真人還是其他情況。」陳斌舉例說明,「未來或許可以進一步通過某些輔助的手段降低遠程開戶風險,如現在已經出現的結合周邊環境因素判斷真實度、要求用戶眨眼或移動圖片等,誰有創造性,誰能發明更好的手段,就有發展機會」。
人臉信息特殊在哪兒
人臉識別是生物特徵識別中的一種,與指紋、虹膜等生物特徵一樣,人臉信息具有唯一性和不變性。與傳統的數字密碼相比,這樣的生物信息一旦丟失,意味著用戶再無機會「重新設定」。陳斌向記者表示,「如果帳號密碼洩露了,用戶還可以更改,但是人臉信息如果出現大面積洩露,難道讓成百萬人上千萬人去整容嗎?」陳斌如是說。
與此同時,相對於其他生物特徵,人臉信息還具有易於獲取、獲取過程無感化、與個人身份關聯緊密等特性。一家國際網際網路數據公司技術人士表示,「人臉信息與個人身份之間的關係可謂『一目了然』,一旦建立其關聯信息,風險較大。」
亦有業內人士向證券時報·券商中國記者表示,人臉信息洩露還存在兩方面風險:一是人臉信息屬於個人隱私,一旦洩露可能被濫用、亂用;二是人臉信息通常暴露在公共環境中,很容易實現無感知採集,用戶無法知道是否有企業存在惡意識別人臉的行徑,從而用來做一些對個人不利的事情。
陳斌對人臉識別技術在金融領域的應用充滿警惕。據陳斌介紹,在數據安全領域主要關注兩類,一類是個人身份數據(PII),另一類則是支付卡數據(PCI),前者背後代表了個人生命安全,後者背後代表了個人財產安全。
「如果把人臉識別技術不加限制地用於金融認證,就相當於每張臉的背後都綁定了一個資金帳戶。」陳斌提醒,這一做法將人身安全與財產安全緊密關聯起來,有可能在損害個人財產安全的同時威脅人身安全,因此,可能將用戶推向一種危險的境地。
探索中的監管之道
央視新聞曾在今年8月份報導稱,2010年至2018年間,我國人臉識別行業市場規模年均複合增長率達到30.7%,預計到2024年我國人臉識別市場規模將突破100億元。
「我們已經走到了人臉識別技術應用的『無人區』,在全世界範圍內,中國都是走在最前面的,但這也意味著我們正在面臨全世界任何一個國家都不曾遇到的問題。」全聯併購公會信用管理專業委員常務副主任劉新海向記者坦言,一個監管的空白區,自然會在發展中存在許多問題,無論是應用還是監管,都還走在不斷探索的路上。
今年11月份公開的《個人信息保護法(草案)》提及,在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需。網信辦等四部門12月1日印發的《常見類型移動網際網路應用程式(App)必要個人信息範圍(徵求意見稿)》中也規定,3種金融類App必要個人信息不包含人臉信息等生物識別信息,App運營商不得強制收集並將其作為提供服務的必要條件。
這些政策等同於掐住了人臉識別模型研發的命脈。前述業內人士透露,人臉核驗模型需要大量人臉數據進行訓練,相關政策的落地或對人臉識別技術的研發有較大影響,「沒有訓練數據,就是『巧婦難為無米之炊』」。
但從監管發布的指導文件來看,人臉識別技術不會被「一棒子打死」,不過,對參與者的準入門檻或將抬高,甚至收縮到持牌金融機構範圍內。去年8月份,央行印發的《金融科技(FinTech)發展規劃(2019-2021年)》中就提到,要探索人臉識別線下支付安全應用,利用專用口令、「無感」活體檢測等實現交易驗證,由持牌金融機構構建以人臉特徵為路由標識的轉接清算模式,實現支付工具安全與便捷的統一。
「『一刀切』顯然不是良策,政府應該會積極監管,但也要平衡人臉識別技術帶來的商業價值、社會價值和對個人信息的保護。」前述從業人員表示,「國內大型網際網路科技公司和數字經濟之所以能發展起來並走在世界前列,正是得益於寬容的監管環境,人臉識別技術與其他推動經濟發展的技術一樣,都需要監管的包容。」
也有部分業內人士表示,當務之急是要對人臉識別技術的應用提高準入門檻,並推出行業規範。
自下而上的期待
儘管人臉識別技術在監管層面和行業內均引起關注,亦有學者吹響人臉信息保衛戰的號角,但在更廣泛的普通民眾層面,個人對於自身人臉等生物識別信息的保護意識仍然十分薄弱。
有消費者向記者表示,網際網路時代中,自己的個人信息幾乎早已透明,在當前街頭巷尾都有刷臉支付設備的情況下,為了生活支付更加方便,自身對於的該方面隱私保護也並不十分在意,持有無所謂的態度,「保護不保護都一個樣,該洩露的也早都洩露完了」。
但從實踐情況來看,信息洩露後的維權難上加難,從採集環節做好個人信息的保護顯得尤為重要。勞東豔在文章中直言,「尋查洩露數據者在實踐上存在極大困難,在這種情況下,民事訴訟等同於畫餅」。
馬軍提醒,消費者應積極發出自己的聲音,讓監管層聽到。「對於個人信息被亂收集,大部分民眾是沒有警惕意識的,也不向網信辦等有關部門舉報。」他表示,「只有當事人積極舉報,監管才能對問題管得起來,根據問題對企業採取處罰措施,進而促使企業也提高信息保護意識,這也需要自下而上推動整個社會環境作出改變」。