在今年的两会上,全国政协委员、民建会员、佳都科技集团董事长刘伟提交了六份提案,其中之一就是关于“规范人脸识别应用”的,佳都科技的主要业务就是提供人脸识别、大数据技术与服务等。
作为人工智能领域的“业内人士”,刘伟表示,早在2016年,人脸识别技术就从静态识别和动态识别两个方面得到了很大提升,广泛应用起步于2017年,人脸识别技术也正是从那时候开始逐步成熟的。“我感觉身边比较明显的变化就是乘坐飞机、高铁的时候很多自助通道都采用了人脸识别身份比对技术。还是比较方便、快捷的。”
疫情当下,人脸识别被广泛使用,但其安全性却屡屡引发关注和热议。刘伟认为,人脸数据的违规采集与数据泄露、非法交易与使用等问题,是人脸识别技术应用面临的主要风险,一旦人脸数据被不法领域使用,极可能引发科技伦理、公共安全和法律等众多方面的风险,危及公众人身与财产安全,“人脸数据或将与电话号码、身份证号一样成为不法分子违法犯罪的新手段。”
因此,刘伟建议,应该加强人脸识别技术的监管,规范人脸识别应用,防范伦理与法律风险,以促进人工智能产业健康发展,“如果解决了活体识别和唯一性识别两大难题,人脸识别的安全性就能够得到大大的提高。”
或将成为违法犯罪新手段
北青报:人脸识别的行业现状如何?
刘伟:伴随着人脸识别技术的广泛使用,海量人脸识别生物信息数据在各个场景被采集,在相关法律法规相对滞后的情况下,一旦人脸数据被不法领域使用,极可能引发科技伦理、公共安全和法律等众多方面的风险,危及公众人身与财产安全,人脸数据或将与电话号码、身份证号一样成为不法分子违法犯罪的新手段。
具体表现在,为了满足实名制要求,大多数应用在使用过程中要求用户上传身份证信息资料和照片,有些甚至要求用户提交手持身份证的照片等。另外,不少网民喜欢在朋友圈晒各类生活信息,包括本人、好友以及家人的照片,以上均成为人脸数据违规采集与数据泄露的主要途径,人脸识别生物信息具有唯一性、永久性与不可替换行,终身无法修改,一旦泄露即终身泄露,即便维权成功也难以恢复原状。
人脸识别系统可以对摄像头采集的人脸图像进行辨认,却无法识别采集的人脸图像是来自真人还是一张照片,人脸照片、视频及伪造3D头套等均有可能被机器识别,因此,人脸识别系统容易受到各类蓄意的仿冒攻击,常见手段包括盗用合法用户人脸照片、盗用合法用户人脸视频及盗用三维人脸面具等。
由于法规与管理约束不足,相关开发和应用单位在信息收集与使用等方面缺少主动性与责任感,导致数据被泄露与滥用的可能性急剧上升,一旦出现重大侵害公众隐私或公共安全事故势必将会导致严重社会与经济后果,极大伤害公众安全感。
北青报:人脸识别主要应用的领域是什么?人脸识别的优势是什么?
刘伟:人脸识别首先还是应用到法律需要强制实名身份认证的领域,比如入住酒店、机场安检、海关身份查验、银行开户、政务服务大厅业务办理等,相比人工身份识别,人脸识别技术的准确性和可靠性更高。
刷脸购物、刷脸进出已屡见不鲜,在公共安全领域,利用人脸识别技术实现高效地刑侦追逃与罪犯识别已成为公安干警的好助手,在城市轨道交通领域,国内已有多个城市试点人脸识别购票乘车。
而在智慧金融、智慧医疗、智慧教育等领域人脸识别也均已有了大规模的应用场景落地,随着人脸识别技术的持续发展以及商业化程度的不断加深,人脸识别的应用规模仍将持续快速增长。
人脸识别的优势明显,比如可以为个人信息提供保障,特别是在需要实名身份认证的场景,人脸技术有着不可比拟的优势和便利性;人脸识别效率高于人工的3-5倍,在一些身份检验以及出入口安检等场景,节省了人力也提高了效率;人脸识别采用的无接触识别技术,人员通过人脸识别设备无感通行,可以解放双手,在特殊时期可以降低人们的接触;为人民创造出了更加安全便捷的生活方式。人脸识别技术普及下,我们去哪里都可以刷脸,实现一脸走天下。
北青报:相对于其他个人信息来说,人脸信息的特别之处是什么?目前针对人脸识别信息安全与隐私保护的问题,主要的风险点在哪里?
刘伟:在生物特征识别领域,相比指纹、虹膜、掌纹,人脸识别的特别之处就是不需要人的配合即可完成。现状来看,人脸识别在数据收集、保管和使用环节都存在诸多问题,这些问题关涉我们的重大切身权益。
从数据收集环节来看,即使个人不配合还是有可能采集到清晰的人脸照片,人脸识别具有无意识性与非接触性,并可能长时间大规模地积累数据而不被用户察觉,具有很强的侵入性。
从数据保管环节来看,一旦收集主体未能善加保护,也会导致大规模泄露的情况;即便其采取合理的保管措施,也仍然面临被黑客侵入而泄露的危险。由于个人的生物学数据具有稳定不变性,一旦泄露,相应的风险及危害即不可逆转,也无法弥补。
从数据使用环节来看,由于未作任何限定,随着人脸识别技术应用场景的大肆扩张,滥用与歧视的现象必将不可避免。
源头不保存可避免泄露
北青报:我们都知道现在不仅购物支付、手机解锁要用到人脸识别,就连进出小区,甚至是去公共卫生间取纸都要“刷脸”,那么这是否意味着人脸识别技术有被滥用的现象存在?什么样的情况下其实完全没必要使用人脸识别呢?
刘伟:在便民服务应用这一块,大家的接受度还是比较高的,像手机解锁、手机刷脸支付、人脸门禁,确实比较方便,但前提是必须做好隐私保护和信息安全。人脸识别被滥用可能会存在一些监管比较薄弱的环节,因为人脸识别具有较强的隐蔽性,普通的人无法分辨一个监控摄像机是否能够采集人脸,举例来说一个小型的杂货店安装一部人脸识别摄像机就能够采集顾客的人脸信息,可能因为安全措施不到位人脸的照片库可能会被盗用、滥用。
或者说有人在公开场所临时架设一部人脸识别摄像机也有可能采集到大量的人脸信息,这些泄漏相对来说危害性还小一些。对于一些手机APP要求注册、认证、支付环节需要人脸实名认证,则会保存大量的具有隐私属性的人脸照片(比如包含姓名、年龄等信息),一旦被非法使用,确实存在容易造成滥用的可能性。
我觉得像客流统计、普通安保、常规视频监控、周界防护、越线告警等确实没必要使用人脸识别,我们只要知道一个人的大体影像即可。
北青报:对于人脸识别可能被滥用,您怎么看?
刘伟:滥用人脸识别应是个别存在,大部分的应用比较规范。前面说过,人脸识别处于培育期,会出现一些以前没有遇到过的问题。我个人建议加大立法力度,确实有效保护用户隐私,从根本上杜绝人脸被滥用的可能性,严格安装人脸识别设备的条件,设定采集的边界,采集后的人脸照片要脱敏脱密处理方可使用,对于采集到的人脸照片尽可能本地化处理,仅保存特征向量值,系统比对仅反馈“是”或“否”这样的结果,而不是一些隐私信息,要最大限度地保护使用者的隐私。
北青报:如果要想改变人脸识别被滥用的状况,您认为应该从哪些方面来规范?人脸信息识别如果发生泄露,应该由谁来承担责任?
刘伟:人脸识别要取之有道,用之有度。加大立法、加大隐私保护、加大信息数据安全。人脸识别的应用要做到有法可循,有据可依。如果真的发生大规模人脸泄露,建议遵循“谁受益、谁承担”的原则由受益者承担责任,同时要发动群众力量进行监督。比如之前就发生过几起引起公众关注的人脸泄露事件,在舆论监督下都得到了妥善的处理,违法者受到了该有的惩罚。
另外应该从采集的阶段入手,谁能够采集人脸,如何采集都应严格遵守国家标准和行业规范,妥善保存人脸照片,建议“非必要不采集、非必要不保存、非必要不共享”的三非原则。如果从源头上能够做到不保存人脸照片就能够避免大规模的泄露。
解决“活体”和“唯一性”识别 能够提高安全性
北青报:从技术层面来讲,您认为目前人脸识别存在的问题有哪些?应该如何解决?
刘伟:我们目前尚处于最底层的人脸识别技术领域,和欧美发达国家相比,差距很大,现在应用比较广泛的开源软件框架都是美国或欧洲的。我建议加大基础技术的研发力度,尽可能地拥抱开源、拥抱变化,融入到世界技术的发展潮流当中。
从技术角度讲,人脸识别还面临着活体检测和唯一性识别问题。早期的人脸识别主要是静态图像的识别,比如我通过照片就能够识别出一个人,前段时间就出现小学生用父母照片去快递柜取快递的现象,这就是活体检测的问题,有的应用要求我们必须识别这个人是“活体”是“本人”,而不是纸质照片、电子照片或视频等,这主要是因为大部分人脸识别是2D识别而不是3D识别,现在最新的解决活体识别的解决方案就是3D识别,图像有深度,具体的技术包括双目、结构光、飞行时间计算法等技术手段。
唯一性的问题确实比较难以解决,比如说有100万人同时乘坐地铁,在不配合的情况下要实现人脸支付,就必须保证从这100万人中准确匹配每一位乘客,目前我们就通过3D识别结合2D识别的复杂算法来实现,保证最大成功率的唯一性识别,但要做到100%唯一性识别还存在一定难度。
如果解决了活体识别和唯一性识别两大难题,安全性就能够得到大大的提高。
北青报:从企业的角度来说,人脸识别的安全性应该如何保证?
刘伟:不管是人脸识别技术的提供方还是应用方,都应该遵守法律、规章和制度,规范化的应用人脸识别,增强软件系统和应用系统的安全性和等级。
北青报:目前《民法典》将生物识别列为个人信息,《个人信息保护法(草案)》也从图像采集、个人生物信息等角度做出了相关规定,但总体而言,现行的法律法规对人脸识别技术并没有具体的法律规定,因此有不少专家学者呼吁给人脸识别立法,您觉得立法更应该明确的是什么?在当下人工智能的时代,应该如何保护我们的“脸”?
刘伟:“刷脸”不可任性,人脸识别要有温度更要守法度。立法规范是关键。应该组织专项立法,完善相关法律法规。明确界定设备及数据主管部门职责、技术标准、数据使用、管理权限、资质要求等。规范数据权属、使用、交易、共享机制,明确数据所有、使用与收益权限。
健全相应组织体系和工作机制,建议由公安部门统一承担人脸识别应用的审批与监管职能,设立相应审批标准及程序,加强资源统筹、部门协作、信息共享。切实维护个人信息主体权益,建立必要性审查。对于如小区管理等特定人群人脸识别应用,须以自愿为原则由个人信息主体进行必要性审查。对于如商场等非特定人群的经审批的人脸识别应用,须以显著标识告知相对人。
集中整治不规范的采集与使用。对不合规安装、使用人脸识别技术的要求定期整改,依法打击非法滥用。制定集中整治计划,开展自查、主管核查、公安检查和市民举报等专项整治。同时清理电子政务平台人脸识别认证安全漏洞,不给不法分子以可乘之机。引导人工智能行业自律,完善相关标准和伦理规范。
文/北京青年报记者 张蕊
编辑/赵红信
校对/李鑫