侠客岛:谁“偷”了我们的脸
最近岛妹出差在外,入住酒店时,前台要我对着机器做验证:当我的脸与身份证上那个家伙对应成功时,我便可以入住了。
这场景如此熟悉,我心里一激灵。几天前去银行办业务,柜员让我对着机器“眨眨眼”“摇摇头”。每日进办公楼,门禁系统会将我的脸和职位信息映在屏幕上。
我的手机也具备刷脸开机功能(虽然已经关掉了),但有一次我腾不开手却要用手机时,朋友朗声对我说“你把脸伸过来”。
脸日日暴露在外,早已成为被采集、被识别的对象。若止步于此,倒也不至于心惊。但关键是,从一张脸能挖掘出来的信息实在太多了,身份证号码、购物习惯、金融贷款、家庭住址、甚至性取向……
这些信息一旦泄露,岛友们,你们敢想象会发生什么事吗?
一
岛妹今天为什么要拎出人脸识别大谈特谈呢?当然不是出差之余一时兴起。
今年以来,人脸数据泄密事件屡见报端。先是国内一家提供人脸检测与人群分析的科技公司,被发现人脸识别数据库未设密码保护,导致256万用户信息泄露。
后是经记者披露,有商家在网络商城售卖人脸数据,数量达17万条。
这17万条数据的详尽程度令人发指:涵盖2000人肖像,每人约有50到100张照片;每张照片搭配一份数据,包括人脸的106处关键点,如眼睛、耳朵、鼻子、嘴等轮廓信息,甚至标注了性别、情绪、颜值等信息。
2000人肖像数据包
这些信息是怎么泄露的?小区门禁,银行信息比对,酒店入住验证,逛商场、过马路……在许多不经意的瞬间里,我们的脸被“刷”走了。
这真不是耸人听闻。
2019年9月,上海市某小区在电梯里安装投影设备,看上去是广告,其实是人脸识别设备。
几乎同一时间,位于南京的中国药科大学在教室中安装了人脸识别设备,据称可以追踪、识别学生听讲、发呆、睡觉等上课状态。
在一些商场超市,顾客从踏入大门那刻起,就在不知情的情况下被捕捉了人脸信息,甚至能显示其情绪状况。
为什么刷脸能刷出这么多信息?原因很简单,人脸识别不只是检测、识别而已,还能将人脸信息与多方信息相关联,计算得出更多深层信息。
要是这些信息保管不善或被恶意盗取,结果会怎样?不少刷脸支付的人第一反应恐怕是:坏了!金库安全不保。
中国裁判文书网就记录了一个案例:在一起抢劫案中,被害人说不记得密码,但行凶者利用被害人的身份证和具有人脸识别功能的支付软件强行修改了支付密码,取走大笔钱财。
财务受损已是人间惨剧,如果还要为他人恶行“背锅”,各位会是什么心情?
8月初,一个关注3D打印的微信公众号发布了测试视频——技术人员用3D打印制作的蜡像人头骗过了支付宝人脸识别系统,成功买到火车票。
这件事,细想一下还挺恐怖的。假如有人得到我们的面孔信息、做成3D打印头像,假借我们的身份行违法乱纪之事。追责时我们却百口莫辩,你说冤不冤?要是我们因此蒙受物质、精神损失,该向谁讨公道呢?
更要命的是,这些伤害未必是一次性的,极有可能困扰我们一生。道理很简单,人脸信息是独特而难以改变的生物信息,一旦泄露、覆水难收,造成的伤害也会因信息的持续扩散而难以完全抚平。
二
人脸识别已经造成了一些麻烦,但它也被广泛运用到了生活中,尤其是安防和社会管理领域。
台湾桃园机场自2013年起,就接入了人脸识别过海关的系统,大大提高了安检效率;深圳机场也从2014年开始,利用人脸识别技术拦截水客,抓住潜逃罪犯。从这个角度讲,人脸识别技术还是应当论功行赏的。
不过,它也并非百发百中,偶尔也有“错杀”。有一年,“董明珠”闯红灯、被路口大屏当街“示众”的新闻刷了屏。不过这纯属误会,,因为大屏上展示的根本不是真正的董明珠,而是印在公交车身上的格力广告。
别以为人脸识别技术只在国内“翻了车”,亚马逊在2016年推出的图像识别AI系统Rekognition,也曾将28名美国国会议员认成了罪犯。
28名被误认的美国国会议员
令人哭笑不得吧?不过,配上下面这条新闻来读,就不一定笑得出来了。
今年10月29日,北京市轨道交通指挥中心主任战明辉在城市轨道交通运营发展论坛上透露,北京将应用人脸识别技术实现乘客分类安检。
怎么分类安检?研究建立人员分类标准,形成对应的人脸库,依托人脸识别系统对乘客进行判别,并将信息推送给安检人员,安检人员据此对应采取不同的安检措施。
这会造成什么问题?一旦系统误判,我们却已经被不明不白分了类,难保不会造成新型的社会不公。如今征信系统渐渐将乘车、过马路等多种信息纳入在案,若我们的脸被误识别,影响了个人信用,损失该由谁来兜底?
三
人脸识别技术已然或可能造成的烦心事,到这儿讲得差不多了。
既然如此,这个技术还要不要继续发展使用?它的存在究竟使得效率提升还是隐私被扰?对这门技术到底该持什么态度?
回顾人脸识别技术迄今为止的使用,它可以辅助追踪大毒枭、人贩子,也可能沦为盗用人脸信息、实施不法行为的帮凶。
大家有没有注意到:技术还是那个技术,但应用目的和场景大不相同,最后技术带出的影响也有天壤之别。所以,怎样让人脸识别技术“只造福”“不闯祸”,合规使用是关键。
只是合规二字,说来容易,做到却难。
要想合规,首先要有规可依。然而,目前中国个人生物信息保护的相关法律法规散见于民法总则、网络安全法、消费者权益保护法以及最高法、最高检和国务院颁布的相关司法解释和规定中,远未形成完整体系。
另外,当今社会也的确存在滥用人脸识别技术的风气。正如一位资深行业人士所言,不管是互联网巨头还是人工智能独角兽,都热衷于跑马圈地做大业务,对数据安全的投入少之又少。
从这个角度看,对个人生物信息权的立法规划和研究,是时候提上日程了。
我们不妨做个展望,如果立法,该涵盖哪些内容呢?
首先,信息采集要在我们充分知情的情况下完成,我们要知道是谁抓拍了我们的脸,能否妥善保管,我们能否拒绝被刷脸,或者中途反悔了能不能要求删除我们已经被刷走的人脸信息。
其次,刷脸者要拿这些数据做什么用,我们可能会面临什么风险,我们在用自己的哪些信息换取到了什么服务。
最后,如果有人或机构不按规矩“霸王硬刷脸”、滥用我们的信息,该如何惩治他、如何得补偿?这都是值得思考的问题。
曾有人说,中国人对隐私不那么在意,愿意拿隐私换便利。但是,如果每个人真知道,这样做将置自己于何种风险之中,又能换来什么便利服务,有多少人会漫不经心看着自己的信息被收割呢?