随着人工智能、图像处理和计算机视觉技术的飞速发展,“刷脸”技术不断突破创新,身份核验的速度和准确性显著提升。然而,随着“刷脸”技术的广泛应用,一些诸如商家未经同意安装人脸识别摄像头收集人脸信息、部分场所进出强制“刷脸”、人脸识别系统可以被3D打印的人脸模型所欺骗等事件的发生,公众开始对“刷脸”技术使用产生信任危机。在“刷脸”使用风险不断升级的基础上,亟须完善“刷脸”技术的具体规则,规范“刷脸”应用,保护个人信息权益及其人身和财产权益,维护社会秩序和公共安全。
“刷脸”技术滥用的新形态及主要危害
“刷脸”技术应用主要指利用人脸识别技术处理人脸信息,为人们提供人脸识别技术产品或者服务。随着生成式人工智能技术和图像处理技术的发展,“刷脸”技术愈加成熟,滥用问题却愈发凸显。
第一,“刷脸”技术应用场景扩大,个人信息泄露风险提高。除了传统的公共安全、金融支付、交通出行等领域,“刷脸”技术正在向更多细分领域渗透,强制“刷脸”认证情况屡见不鲜。例如,有的景点的进出、医院挂号、企业招投标都需要人脸识别,人脸信息被索取的频率提高。随着“刷脸”应用场景的扩大和细化,有些机构通过将“刷脸”与其服务捆绑的方式来采集和存储海量的人脸信息,一旦泄露将会对个人造成较大损失。
第二,关联分析能力加强,个人隐私更易被全面掌握。“刷脸”技术的常见用途包括基于人脸信息的特定对象身份验证、特定对象状态判断、人流量检测、生物识别等。随着多功能集成智能系统的出现,可以通过深层次的人脸识别技术快速锁定个人身份并全面掌握个人的信息,从而增加个人隐私泄露的风险。
第三,“深度伪造”技术发展,威胁“刷脸”技术可靠性。随着近年来生成式人工智能的突破性发展,“深度伪造”技术日益成熟,已经在影视剧制作、网络直播等领域广泛应用。“刷脸”技术所收集的人脸信息也会成为“深度伪造”技术进一步训练优化的养料,有助于生成高度逼真的虚假人脸图像或视频,使“刷脸”应用更加难以辨别真实面部和高质量伪造面部,导致“刷脸”技术的可靠性和准确性降低,增加身份冒用和欺诈等行为发生的可能性,从而危及公民的人身和财产安全,甚至影响社会公共秩序。
使用“刷脸”技术的应然边界
“刷脸”技术滥用风险涌现,影响包括“刷脸”在内生物识别技术的健康发展和合理应用。使用“刷脸”技术应合法、合理、安全,实现技术发展与权利保护的平衡。
第一,“刷脸”技术合法使用是基本前提和底线要求。“刷脸”属于收集个人敏感信息的行为,“刷脸”技术提供者以及人脸信息处理者应遵守个人信息保护法及相关法律法规的要求,遵守个人信息处理的各项法定义务,尊重个人主体对人脸信息处理的知情权和决定权,禁止一般情形下强制索取人脸信息,确保“刷脸”技术的使用过程始终在法律框架内进行,防止人脸信息被非法获取、非法利用。
第二,“刷脸”技术在具体场景下的使用应遵循最小必要原则。“刷脸”技术提供者以及人脸信息处理者应将技术应用以及相应数据处理活动限制在实现目的所需的最小范围内。在实现同等目标时,如存在其他可行的非生物特征识别技术方案,应优先考虑替代方案,防止“刷脸”技术的泛滥和异化,确保“刷脸”技术真正服务于提升社会生产效率和便利公众生活质量的目标。
第三,防控使用“刷脸”技术带来的安全风险。“刷脸”技术提供者以及人脸信息处理者应在人脸信息的收集、传输、存储和使用的全过程中采取严格的安全措施,建立完善的数据保护机制。此外,相关主体还应积极应对“深度伪造”技术带来的挑战,主动开发或采用先进的图像真实性验证技术,提高“刷脸”技术对伪造面部的识别能力,降低身份伪造的可能性,最大限度地保护人脸信息安全,从而维护“刷脸”技术的可靠性和公信力。
“刷脸”技术规制思路
近年来,人脸识别等生物特征识别技术迭代升级,在便捷性和经济性方面具备显著优势,已经成为推动社会数字化发展的重要支点。如何在享受“刷脸”技术便利的同时,有效防范其风险,是社会各界共同面对的重大课题。
第一,推动现有制度设计的不断完善。2023年8月发布的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》对规范“刷脸”技术应用作出了具有建设性的规则建设,包括要求应用人脸识别技术应当具有合法、正当目的,遵循充分必要原则;明确禁止使用、有限使用人脸识别技术的具体场景及规范要求;要求人脸识别技术使用者事前进行个人信息保护影响评估;禁止将所处理的人脸信息与身份信息以外的其他个人信息相关联分析;等等。考虑“刷脸”技术滥用的新形势,相应制度设计可考虑在提高人脸识别技术应用的透明度和可解释性、完善个人权利救济渠道、明确可使用人脸识别技术远距离无感式辨识特定自然人的具体场景等方面进一步完善,为“刷脸”技术的规范应用提供系统性的制度规范指引。
第二,保障法律规则的有效实施。个人信息保护法及相关法律法规已对禁止强制获得个人信息、保护个人知情权和决定权、禁止违法关联分析做出了原则性规定,《人脸识别技术应用安全管理规定(试行)(征求意见稿)》针对“刷脸”技术应用提出了专门规则。为保障对“刷脸”技术法律规制的具体实现,监管部门应在强化执法力度和平衡各方利益的基础上,提高关于“刷脸”技术的备案、评估机制的可执行性和规范性,鼓励行业协会出台符合行业发展要求的细化标准,畅通公众对“刷脸”技术滥用的投诉举报机制,督促相应企业完善其合规体系。只有加强行业、企业和公众的参与度和融合度,推动在政府主导下的多元协同共治,才能有效保障相应制度设计落在实处。
第三,强化技术治理水平。提高“刷脸”技术使用的标准化和规范化。参考人脸识别系统测试、人脸识别数据处理等方面的安全技术标准,提高人脸识别系统的安全性和可靠性。针对“深度伪造”等新型手段,组织研发先进的图像真实性验证技术,完善多模态活体检测方法,提高系统抵御伪造照片、视频等欺骗手段的能力。推进开发标准化的API接口以及采用安全的数据交换协议,实现与国家人口基础信息库和国家网络身份认证公共服务的有效对接,确保数据传输过程的完整性和保密性。在“刷脸”场景下不断优化去标识化和匿名化的技术实现方法,降低人脸信息被重新或关联识别的风险,让“刷脸”技术真正作用于解放和发展生产力。
(责编:赵珊)