首頁>人物·生活>集·言論集·言論
蔡雄山:如何應(yīng)對人臉識別技術(shù)的安全隱憂
作者:蔡雄山(騰訊研究院法律研究中心副主任);作者:袁?。v訊研究院助理研究員)
當(dāng)前,人臉識別已經(jīng)應(yīng)用到地鐵安檢、動車檢票、移動支付等多個日常生活領(lǐng)域,人臉生物信息利用日益普及的同時也存在濫用風(fēng)險。例如,網(wǎng)絡(luò)中大量存在的針對電商平臺、特定設(shè)備的“過臉”技術(shù)解答與技術(shù)教程,不斷地鉆技術(shù)漏洞濫用人臉信息;人臉識別企業(yè)也發(fā)生過相關(guān)數(shù)據(jù)泄露事件,超過250萬人的核心數(shù)據(jù)被獲取,容易滋生數(shù)據(jù)黑灰產(chǎn)交易,進一步擴大安全風(fēng)險。
人臉識別作為新興生物信息技術(shù),尚無專門立法規(guī)定,也尚未建立嚴(yán)格的準(zhǔn)入制度與監(jiān)管制度。面對面部信息的收集主體多、安全保障弱的現(xiàn)狀,監(jiān)管有待于進一步探索如何建立分級應(yīng)對精細(xì)化管理機制。
人臉識別等類似大規(guī)模隱私技術(shù)切身涉及公民基本權(quán)利,需要引入“正當(dāng)程序”。在公共政策的出臺過程中,要廣泛進行話題辯論,鼓勵公眾討論,甚至在爭議較大的核心問題上聽取公眾意見,充分保障民眾在公共話題上的參與權(quán)與知情權(quán)。
美國的人臉識別監(jiān)管法案
美國在聯(lián)邦層面沒有統(tǒng)一的法律規(guī)制人臉識別數(shù)據(jù)的收集和使用,而是各州針對生物特征信息單獨立法,其中美國伊利諾伊州與加利福尼亞州頒布的《生物信息隱私法案》最為典型。
伊利諾伊州于2008年頒布了《生物信息隱私法案》,是美國國內(nèi)第一部旨在規(guī)范生物標(biāo)識符以及信息的收集、使用、處理、存儲、保存和銷毀的法律。加利福尼亞州于2017年頒布了《加州生物信息隱私法案》。綜合這兩部法案,其對規(guī)制人臉識別體現(xiàn)如下特點:一是明確人臉識別數(shù)據(jù)屬于生物信息?!都又萆镄畔㈦[私法案》首先以概括式+列舉式的立法技術(shù)對“生物信息”內(nèi)涵予以細(xì)化。其規(guī)定任何能夠捕獲的直接或間接源自視網(wǎng)膜或虹膜掃描、指紋、聲紋、手或臉掃描的信息都屬于生物信息,但不包括文身或身體描述(例如身高,體重,頭發(fā)的顏色或眼睛的顏色)。二是確立知情同意原則。法案要求初次收集面部數(shù)據(jù)需要符合“知情同意原則”,告知生物信息收集的情形、收集目的、信息留存時間,并獲得書面同意。同時在未經(jīng)當(dāng)事人同意或者非法律規(guī)定的例外情形時,不得將面部識別數(shù)據(jù)出售于第三方。三是施加企業(yè)法定期限刪除義務(wù)。企業(yè)需在書面政策中設(shè)立生物識別數(shù)據(jù)保留時間表。當(dāng)面部收集數(shù)據(jù)的目的已達(dá)或距信息主體與企業(yè)最后一次聯(lián)絡(luò)已滿三年時,應(yīng)該銷毀相關(guān)數(shù)據(jù)。四是確立企業(yè)審計制度,需要對技術(shù)使用相關(guān)情況提供報告。
在州法制定之外,美國個別城市也嘗試采取禁令方式禁止政府使用人臉識別技術(shù)。舊金山市于2019年5月通過了《停止秘密監(jiān)視條例》,成為美國第一個禁止政府使用人臉識別系統(tǒng)的城市。除了由聯(lián)邦政府控制的機場與港口外,禁止全市53個政府部門包括警察局在內(nèi)隨意使用人臉識別技術(shù)。如果正在使用該技術(shù)的,必須向市議會暨郡監(jiān)督理事會匯報過去的使用情況;而個別有特殊需要、將來準(zhǔn)備使用該技術(shù)的部門,包括購買該技術(shù)所需器材、研究經(jīng)費等,均必須向議會暨理事會提交詳細(xì)報告,說明使用目的、場所、范圍,并召開公眾聽證會。此外,條例也規(guī)定了在急需監(jiān)視技術(shù)應(yīng)對迫在眉睫的死亡危險或嚴(yán)重人身損害時可以使用的若干情形。例如使用時間要控制在事態(tài)發(fā)生后的7天內(nèi)或事件結(jié)束后(以較早時間為準(zhǔn));原則上只保留與緊急事件相關(guān)的面部數(shù)據(jù),銷毀無關(guān)數(shù)據(jù),不得泄露給第三方;在緊急情況發(fā)生后的45天內(nèi),向監(jiān)事會提交書面報告等內(nèi)容。
薩默維爾市與奧克蘭市也于今年6、7月分別通過了《人臉識別全面禁止條例》與修正后的《監(jiān)視及社區(qū)安全法案》,對政府使用人臉識別技術(shù)進行了規(guī)制。
架構(gòu)合理前沿技術(shù)治理體系的國際趨勢
面對面部識別可能侵犯公民隱私的現(xiàn)狀,歐盟先是2019年6月份成立了人工智能高級別專家組(HLEG),考慮面部識別需要何種方式的監(jiān)管。專家組此后發(fā)布報告,提議歐洲應(yīng)該禁止AI進行大規(guī)模監(jiān)視和社會信用評分。報告寫道,政府應(yīng)承諾只部署和采購值得信賴的人工智能系統(tǒng),其設(shè)計宗旨是尊重法律和基本權(quán)利,符合倫理原則,保障技術(shù)對全社會的向善品質(zhì)。
在專家組不斷評估的同時,立法也不斷跟進。今年8月22日,歐盟委員會擬通過新立法以全面改革面部識別法規(guī),限制公司和公共機構(gòu)不加選擇地使用面部識別技術(shù),以保護公民免受公開監(jiān)視,甚至為人工智能面部識別設(shè)定國際通行的清晰、可預(yù)測的標(biāo)準(zhǔn)。
技術(shù)進步的大勢不可逆轉(zhuǎn),但是如何趨利避害,在用好新技術(shù)的同時防范內(nèi)險的方法卻值得深思。
首先,應(yīng)完善人臉識別相關(guān)立法,尤其對于公共場合大規(guī)模應(yīng)用需要有章可循。對于公共場合大規(guī)模應(yīng)用,應(yīng)明確人臉識別信息收集的范圍需與提供服務(wù)直接相關(guān)的必要性,信息使用應(yīng)將對隱私的不利影響控制在最小范圍和限度內(nèi),必要場景考慮設(shè)立“黑名單”制度。
其次,以倫理準(zhǔn)則為起點,建立一套人工智能治理體系,確保科技向善。企業(yè)應(yīng)發(fā)揮倫理準(zhǔn)則和行業(yè)自律等軟法性質(zhì)的非強制性規(guī)則,積極設(shè)立人工智能倫理委員會,對人工智能相關(guān)爭議問題進行倫理審查,確??萍枷蛏?。
再次,政府公共部門應(yīng)嚴(yán)格遵守正當(dāng)程序,廣泛聽取民意。公共機構(gòu)若要大規(guī)模采用人臉識別技術(shù)應(yīng)當(dāng)遵守嚴(yán)格的程序限制,履行嚴(yán)格的審批。
《光明日報》( 2019年12月26日 14版)
編輯:董雨吉
關(guān)鍵詞:識別 技術(shù) 信息 數(shù)據(jù)