2019年10月,杭州一位消费者因当地野生动物园要求消费者刷脸入园,将动物园告上法庭,被称为“中国人脸识别第一案”。
近日,南都个人信息保护研究中心发布了《人脸识别落地场景观察报告》,揭开目前我国人脸识别应用背后的“盲区”。
“刷照片”也能开门
2019年10月,南都个人信息保护研究中心人工智能伦理课题组成员来到位于北京朝阳区和丰台区两个公租房小区,对该小区的人脸识别系统进行实地测试。
当课题组成员尝试拍摄小区居民照片后,把手机照片对准居民楼下的人脸识别机器时,机器里传出了一声清脆的“门锁已开、您请进”。随之而来的是楼道门打开,课题组成员轻而易举地走了进去。
因价格便宜,公租房长期存在违规转租转借现象,这一直是管理者头疼的问题。2019年1月,北京市住建委发布《关于进一步加强公共租赁住房转租转借行为监督管理工作的通知》,提出纳入北京市保障房建设计划的公租房项目应全面采用人脸识别、智能门锁等技术,强化人脸识别等技术措施与门禁相结合,实现非承租家庭成员不得随意进入楼栋单元门。
课题组成员挑选了几个公租房小区进行测试。他们发现,有的小区人脸识别安全技术不过关。“我们使用的其实并不是高清照片。”课题组成员冯群星表示。目前,人脸识别技术可以大致分为2D和3D识别技术,前者通过2D摄像头成像,后者通过3D摄像头立体成像。
一般而言,3D技术的安全性高,但成本也高。有专家表示,用照片能够刷开的基本是2D人脸识别设备和普通摄像头,这种情况可通过更换成红外双目摄像头、加入改良算法等方式来避免虚假照片的攻击。
除了安全问题,冯群星和同事还发现,有的小区的人脸识别技术设备对残障人士“不友好”。在一些小区大门口,人脸识别闸机的摄像头高度约为1.2~1.6米,一般人可正常通行,但坐轮椅的残障人士就很难达到摄像头的高度,“这些问题也跟北京市公租房相关管理部门反映了,他们非常重视,目前在查实和整改这些问题了”。
走出社区,课题组成员还走进了校园、商场、公共厕所等场所,体验人脸识别设备的便利性和安全性。
在北京,课题组成员发现,人脸识别进校园虽然没有被广泛宣传,但普及程度并不低。一些学校把人脸识别系统用于门禁、课堂考勤以及监测课程质量。有学生表示,目前自己所在的学校课堂的人脸识别系统能检测出学生的抬头率和前排就坐率,从而监测老师的课程质量。但也有学生担忧,这样的技术涉嫌侵犯自己的隐私。
课题组成员发现,在教育领域,目前一些教育机构在宣传资料中声称可通过人脸识别掌握学生情绪。课题组成员以家长身份暗访时,一家教育机构的一位老师发来视频,在视频中,后台系统可随时检测学生的情绪,并向老师发出“孩子似乎不高兴”等提醒。
课题组成员还实地走访了应用人脸识别技术的北京两家商城。其中一家商城通过人脸识别记录顾客的消费轨迹,如果导游带来的顾客有消费,则导游可获得返利。然而,这些并未征得顾客的同意,多位顾客告诉研究员,并不知道自己被刷脸、行踪被记录。
位于西单的一家商场利用入口处的人脸识别摄像头来统计客流量。相关工作人员称该系统只统计数据,不储存顾客照片。课题组成员认为,目前人脸识别在商场场景下的主要问题是,没有向顾客做到充分告知并征得知情同意。
近八成受访者担心个人数据被泄露
除了实地调研,课题组还进行了线上问卷,主要调查了公众对于人脸识别的态度,包括用到人脸识别以后是否更方便、更安全,收回有效样本6154份。
问卷数据显示,半数以上受访者遇到过人脸识别不出的问题,其中,公租房、交通、校园、商场和其他场景下的比例分别为59.33%、59.86%、63.28%、58.87%和60.33%。
有受访者反馈,帽子、眼镜、化妆、光线、角度等因素都会影响人脸识别的准确率。还有受访者表示,人脸识别显示屏上没有提示,不知道该把脸放在哪个位置,掌握不好距离摄像头的远近。
在公租房、商场、校园等多个场景下,均有六成以上的受访者认为有人脸识别更安全,不过,也有不少受访者表示担心人脸识别数据泄露。其中,79.31%的受访者担心把人脸数据交给运营者之后,运营者没有足够能力保证数据不泄露。65.17%的受访者担心换脸视频等网络虚假信息增多,49.57%的受访者担心不法分子利用伪造信息实施诈骗或盗刷。
在透明度上,近半数受访者表示没有签署隐私政策或不确定是否签署了隐私政策,四成以上的受访者表示不知道自己的人脸数据怎样被储存。当被问及是否希望可以查看到自己被存储信息的情况并有删除的渠道时,83.37的受访者选择的是“是”,呈现压倒性占比。
网络安全法明确网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
课题组成员认为,人脸识别技术落地速度快,场景多,但刷脸应用是否正当必要值得考虑。在技术应用过程中,需要充分采纳公众意见,论证应用的正当性和必要性。在系统设计中,应引入更多人性化的考量。“人脸识别是一种新技术,人脸识别由趋势变成基础设施的时候,应该考虑到社会的弱势群体,而不是造成新的社会不公平。”
报告建议,政府部门加强相关立法,规定人脸识别的准入场景、准入条件,明确企业的资质,明确一旦违规应该接受何种处罚。
2019年伊始,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,并于2019年在全国范围组织开展App违法违规收集使用个人信息专项治理,拉开了个人信息收集与使用的强监管序幕。
对于人脸识别技术的监管,App专项治理工作组副组长洪延青认为,还是要先区分技术的不同用途,再考虑用不同的法律框架去规范。在工作中,洪延青发现,目前人脸识别技术至少有六种用途,计数、识别、认证、监控、伪造和窥探。在计数上,企业用人脸识别技术通常是为了计算使用某个产品的使用数量,不涉及到认证功能,对于这种用途,是否需要人脸特征才能达到计数的目的,洪延青觉得,很有必要进一步探究,“杀鸡要不要用牛刀?”
在识别和认证用途上,人脸识别技术一般识别一个人是谁,然后通过认证,甚至是与数据库进行匹配来推送一些信息给商家。洪延青认为,在这种情况下可以采用个人信息保护框架来进行规制。对视频变脸、伪造这类行为,可以依据肖像权的相关法规进行规范,对于窥探这类行为,应该放在人格权、隐私权的相关范畴,进行规范。