近年来,随着人脸识别技术的规模化普及应用,“刷脸”已成为大众生活与工作的日常。但在带给人们便利和快捷的同时,人脸识别从技术到应用,从商业模式到客户体验,从信息安全到隐私保护,都暴露了不少问题。加上部分媒体不恰当的误导,人脸识别似乎真的是危机重重,导致行业忧虑,大众担心,监管部门也面临不小压力。
前有小学生使用家长图片骗开快递柜,行业展会上人脸识别智能门锁屡屡被照片打开;后有智能
监控系统被扰动图片轻易骗过,以及清华团队挑战业内优秀算法使用打印图片开锁多款品牌手机,还有今年315晚会央视对某些人脸识别产品和应用的揭短与鞭挞…… 林林总总,不一而足。大家都深感疑惑:人脸识别究竟怎么了?
遍览海内外媒体,除了部分哗众取宠夸大其词的报道、消费者各种担忧与吐槽之外,也有不少行业人士、专家学者,以及监管部门和机构的各种解读、说明甚至辩解。但细品这些解读,却大多不得其要:或过于笼统细节不详,或老生常谈了无新意,或漫无边际不着重点。貌似高屋建瓴,实则隔靴挠痒、不得其要。
本文对人脸识别技术及应用由表及里进行梳理,定性描述辅以量化分析,以恰当的方法论和逻辑,对问题的广度(影响范围)和深度(严重程度)进行了细分研讨,并对问题的改善和解决提出了相关建议。
一、大众的关注和忧虑
目前大众对人脸识别技术和应用中出现问题的关注和忧虑,我们择其要者概括如下:
1.防伪冒攻击能力不强
诸如使用图片/视频甚至仿真面膜等,成功破解人脸识别门锁、手机开机、网上认证等,大众担忧人脸识别应用的安全保障低下以及可能带来的财产损失。
2.数据泄露或滥用
提供线上服务和交易的商家,因管理不善甚至有意出售其收集的客户数据(包括客户个人信息、交易内容、客户消费习惯及记录等,部分还包括人脸图像),导致客户信息泄露而被滥用或被不法之徒利用。
3.隐私侵犯及知情权
主要是部分商家利用人脸识别非接触采集和认证的特点,私下采集、整理和利用客户信息。比如今年315晚会曝光的一些零售和房地产商家,利用人脸识别高清摄像头,在客户不知情的情况下将客户信息关联利用,以提升交易成功率和商家利益最大化。除了隐私保护问题外,这样的应用必然也会对消费者利益有所损害。
4.可能的经济和财产损失
人脸识别技术支持的线上交易如果因为识别出现错误以及被伪冒攻击破解,从而导致个人经济损失的,如何界定责任?如何赔偿?
5.大数据关联(数据画像)
互联网巨头们以及一些重要的技术和交易平台的数据收集、关联和商业利用,比如大数据杀熟这样的典型利用,是造成此类问题和大众担忧的原因。商家关于个人信息的数据分析和挖掘能力,由于人脸识别技术的引入,确实得到了大幅度提升。公众在不知情下被商业企业及机构收集了太多个人数据,从而轻易完成了对我们的个人画像。就像那句著名的直白:我们(指数据分析系统)比你自己更了解你。
综上所述,大众的不安和忧虑总结起来源自两个方面:其一是对人脸识别技术安全可靠性的担忧,比如门锁、手机或安防系统被图片/视频攻击、对抗性扰动攻击等恶意破解,导致损失;其二是源自人脸识别如何应用的问题。所有技术都存在的“双刃剑”情形,人脸识别技术也一样,其可以带来快捷便利,也有可能被滥用。若论善恶则比较主观,我们姑且按比较客观的准则将这第二类忧虑的源头再细分为二:第一是合乎法律法规要求的正常使用;第二是游走于法律监管边缘和模糊地带、甚至违反法律法规的应用。
显然,在上述情形中,第一类担忧来自单纯的技术问题,它们是可以通过技术手段改进和彻底解决的。而在第二类担忧中,属于合法应用的部分,是大众多虑了。而属于法律监管暂不到位、甚至违法的应用,则是需要法律和监管层面才能解决的问题,它们已经超越了技术层面。按以上梳理厘清问题后,接下来笔者将进一步展开剖析。
二、人脸识别应用领域细分
要分析问题的广度和深度,我们从人脸识别应用领域的细分着手,分析每一细分领域中技术和应用特点以及适应性和局限。
为便于问题的分析和梳理,笔者采用了独创的多因素、问题导向分类法,对人脸识别所有应用类别定义和编码如下:
1.执法部门应用:政府执法部门管理和使用。人脸识别技术使用方式为终端采集,大规模数据库统一管理,后台集中比对(应用类别编码:A00)。
2.
门禁/通道管理:指安装于企业、机构、站场、出入境及其他敏感场所的
门禁系统及通道控制系统。此类系统有的是独立分布运行,大部分是分散布局但集中管理。其用户是确定的内部或已登记人员。本类应用也包含人脸识别考勤系统。此类系统根据现场是否有监督而细分为两类,即有监督的(现场有管控人员或摄像监控)门禁/通道管理(应用类别编码为:B01);无现场监督的独立运行之门禁/通道管理系统(应用类别编码为:B02)。
3.线上认证应用:包括互联网金融/电商/政府及公营机构线上公共服务等场景的人脸识别身份认证,其应用特点是现场无人监督,靠操作者自行根据系统提示完成身份认证。根据系统运管主体,将此类应用细分为政府类线上认证服务(应用类别编码为:C01);企业应用类线上认证服务(应用类别编码为:C02)。
4.线下认证应用:指政府及公营机构服务中心/机场车站/银行/酒店/出入境等场景的人脸识别身份认证,根据是否有人现场管控而细分为两类:有人值守(如服务中心、银行、酒店等现场服务柜机)(应用类别编码为:D01);无人值守(如机场车站出入境自助通道、银行自助网点)(应用类别编码为:D02)。
5.智能监控系统:指具备人脸识别功能,在终端或云端进行自动识别的系统。根据应用系统运管主体的不同,细分为两类:交管/政府工程(平安、雪亮等)/交通等政府部门应用(应用类别编码为:E01);企业/机构/家庭等非政府应用(应用类别编码为:E02)。
6.商业服务应用:指商家通过人脸识别系统提升客户关系管理、招聘管理、广告管理等效果,以及更广泛深入的数据挖掘利用等,(应用分类编码:F00)。
7.
智能锁:指家庭、机构使用的人脸识别门锁/柜锁等,(应用分类编码:G00)。
8.手机及个人智能设备应用:人脸识别用于手机及其他个人智能设备开机及锁屏,以及部分APP身份认证,(应用分类编码:H00)。
为突出问题及其解决,上述分类及下文分析论述中都只考虑人脸识别技术的单独使用场景,未考虑那些采用了多种识别和认证技术的产品及系统。
上述12类应用覆盖了目前几乎所有的人脸识别应用,以下表1简单汇总了它们的基本要点。
三、问题的广度和深度分析
将上述第一章节所述主要问题纳入第二章节的应用分类中,逐个分析问题可能出现的范围及其严重性。基于问题种类和大众的主要忧虑,我们采用如下因素来构建评价体系:
1.防伪/防假冒能力;
2.数据采集及使用之范围;
3.关键数据传输和存储安全性管控;
4.数据关联性及隐私保护;
5.系统集中度和管控力度。
本评估体系为每一类应用的安全性做出综合评分,明确问题范围及严重性,并辅以市场份额的测算,以综合体现问题的影响烈度。
主要的问题出在什么细分应用领域?比例、严重程度如何?根据表1、表2的分析数据,整理如表3所示。
四、问题的解决思路和结论
接续上一章节的分析,针对这些主要问题我们提出相应改善方法或途径如下:
1.技术改善。包括硬件技术和算法的改进,比如引入3D人脸图像采集、判断和3D人脸识别;人脸识别与其他技术的融合使用,比如目前已经成熟的人脸+虹膜识别。此外,精心设计应用系统,完善数据采集、存储和传送过程的安全控制和加密机制也是技术改善的重要内容。不过目前技术完善常遇到两大市场难题:其一是劣币驱逐良币,低质低性能但廉价的产品和系统往往获得市场,使一些在技术上已经解决的问题在市场上仍然频现;其二是系统成本的局限,技术改善方案需要额外增加预算,这常常导致在竞争市场中被客户否决。安全与成本的正相关,并非人人皆认可。
2.改变系统管控主体。某些应用如C02和E02,如果数据管控主体可以转为经政府授权或背书的第三方专业机构,其隐私保护、数据安全性等问题和大众担忧将迎刃而解。
3.增加现场值守或监控。若条件许可,将无人现场值守和监督的系统如B02和D02,改为有人值守监督,其安全问题将立刻解决。
4.提升企业管理水平。在法律法规约束及监管部门监督下,诸如C02、E02及F00等应用的管控主体(非政府机构及企业),若能真正完善内控,数据泄露和滥用问题也将解决。
5.完善法律法规及严格执法。这是彻底解决绝大多数问题的关键,也是接下来需要行业、政府、公众等各方密切合作互动完善的最大工作。
将相关问题及解决之道对应归纳如下表4所示。
抽丝剥茧,我们可以结论如下:
1.大众的抵触和忧虑主要来自两个方面:其一是对人脸识别技术可靠性担忧及其可能带来的财产损失;其二是对人脸识别技术的滥用(比如人脸图像及其他个人敏感信息在不知情情况下被商家采集存储和非法利用)。
2.从上述表4可知:A00、B01、D01、E01等4类应用(合计市场份额61%)现阶段不存在问题;而B02、C01、D02、G00等4类应用(合计市场份额为26%),则只需进行技术改善(适当增加预算)即可完全解决。这8类应用合计市场份额87%,代表了市场应用的主流。
3.其余C02、E02、F00、H00等4类应用,合计市场份额仅13%。其中的技术及管控问题可通过技术改善、改变系统管控主体或增加现场值守等方法解决。剩余的非人脸识别技术问题,事关个人权益保护、敏感信息保护、数据安全、商业平台数据挖掘利用等,这些问题由来已久,人脸识别技术及应用并非这些问题的根源,对大数据利用的依法管制才是解决之道。只因关联了人脸识别而时常被媒体猎奇式曝光,是这些非技术问题引发公众抵触和忧虑的主要原因。
4.进而推知,目前社会上所有与人脸识别技术及应用相关问题,要么从技术上可以完善解决;要么根本就不是人脸识别技术和应用所导致的,且只能通过立法执法监管等措施来解决。
5.最后结论如下:只要适当增加系统预算(选择优良产品、或进行技术改善),人脸识别技术及其应用本身并没有问题、也无需担忧。
对大众、行业参与者以及政府监管部门,我们的建议分别如下:
1.对消费者和人脸识别技术和产品的普通客户,首先请坚持理性选择与合理预算,明白安全和成本的正相关性。当下的人脸识别技术以及与其他技术的组合,完全可以解决大家的安全担忧。其次,个人隐私、个人信息保护等担忧,请理解人脸识别不是问题的原因,充其量是增加了问题的严重性。解决之道是寻求法律和监管的支持与帮助。我们也希望能积极参与政府的相关立法咨询,履行公民义务。
2.对行业来说,众所周知所有的
生物识别技术都有各自的局限,但是当前都各有其改善之术,多模态结合与融合更是技术发展趋势,也是解决当前应用问题的主要手段。同时,在系统实施过程中,充分考虑运营场景及其安全管控风险,尽可能向客户提供完善系统管理的保险建议,可以极大减少使用问题。我们不用自吹自擂,但也无需妄自菲薄、心怀忐忑。最后,我们应积极向政府主管部门建言献策,促进相关法律法规的早日完善和补充,以及彻底解决公众忧虑,这些都绝对有赖于行业的专业意见和建议。
3.对立法和监管者,如何统一定义个人隐私、敏感信息等基本概念;如何规范与个人相关的大数据之收集、存储和利用;如何更详尽规定监管执行主体、监管途径和方式,以及惩罚力度等,还需要尽快研讨出台补充和完善法律法规及配套措施。
与上述问题有关的基本概念诸如个人信息、敏感个人信息、自然人隐私、个人私密信息等概念,目前法律界定并不明晰,在相关法律如《民法典》《个人信息安全规范》《个人信息保护法(草案)》以及《网络安全法》等之中,叫法不一,各自解释。其定义有交叉但又不完全等同,甚至有相互矛盾的覆盖范畴。
对个人信息的保护,目前主要的法律依据是《消费者权益保护法》。其主要保护方向有二:一是经营者收集信息的过程、目的、使用方式和范围等不得违反法律法规,并需要得到消费者同意。其二是经营者及其员工对收集的消费者个人信息必须严格保密,不得泄露、出售或非法向他人提供。但相关执法和对违法行为的惩罚,并不理想、威慑力不强。
关于个人数据(包括敏感信息)的收集分析和利用,也是在几乎没有监管的前提下进行的。目前与之相关的法律,只有《网络安全法》,其规定也只是要求用户知情权及同意。对数据的深度利用如何监管保护等则未涉及。
此外,人脸识别系统涉及的公民信息保护、个人肖像权、隐私权,它们在《刑法修正案》《民法典》《未成年保护法》《消费者权益保护法》等法律中都有相应规定,但似乎又都不能提供足够的保护依据。还有某些执法部门对相关问题的执法,目前常引用的是GB/T 35273-2020《个人信息安全规范》,但它只属于推荐性国家标准,不属于国家强制性标准,并不具备法律层面的意义和约束力,其实是不适合用于执法依据的。
概念定义不清楚、不统一,适用法律法规不确定,这是目前的主要困境。
法律法规的完善,执法力度的加强,我们确实还有很多工作要做,未雨绸缪早已错失,现在已是亡羊补牢,希望可以快马加鞭。
注:1.本文分析中出现的各种数据,均参考了MarketsandMarkets、 Yole Development、前瞻产业研究院等国内外市场研究机构的统计与预测,并综合了笔者及其团队的调研数据。特此说明并鸣谢。
2.本文末段关于隐私、个人信息保护等适用法律的描述,参考了王克文章《该不该限制人脸识别技术应用》,致谢。