人臉識別安全問題不在於技術本身,而是應用的問題。
現在,臉的用途越來越廣泛了。人們刷臉支付、刷臉安檢、刷臉入住酒店……幾乎時時處處都要把臉推到前臺,但是頻繁刷臉背後是否存在安全隱患,我們的“臉”有沒有被盜用或濫用,到底應該如何在享受便利的同時保護自己的“臉”。凡此種種,都成為生活在人臉識別時代的我們需要關注的問題。
“新技術總會有安全問題,人臉識別本身為生活提供了便利,而它最大的風險在於資訊洩露。”在新京報記者所做的X•15刷臉變形記調查訪談中,有專家如是表示。同時,還有專家指出,人臉識別安全問題不在於技術本身,而是應用的問題。
那麼,人臉識別時代,我們該如何保護自己的隱私?在新京報記者的採訪中,多位專家告訴我們,有幾個問題是我們必須要注意的,與此同時我們必須要了解某些機構濫用人臉識別有何法律風險,同時明確人臉資訊採集的法律邊界究竟在哪,這樣就能在必要的時候採取法律的手段保護自己。
怎麼辨別人臉識別技術有害?
關鍵在於如何使用
人臉技術一“出生”就帶有原罪嗎?答案恐怕是否定的。
“我比較反對在人臉識別上出了一件事,就覺得人臉識別技術敏感,碰不得。很多情況下人臉是公開資料,我們每天走在街上都能被人看到,不能說人臉就不能給別人看了。”中國人民大學法學院副教授丁曉東說。
在他看來,實際上,我們的人臉資訊早就已經相互流通和流動了,“所以我認為不能因為ZAO事件就對這一技術採取禁止的態度,而是要在具體的場景中進行風險的防範,這可能是更為重要的,也是更需要保持的一個態度。”
丁曉東認為,就爭議來說,重點不是換臉本身會不會存在問題,而是民眾能不能對這一技術形成可靠的辨識,比如我們看漫畫時,知道是假的。如果一些技術的使用,使得民眾或一般人在短時間裡難以辨識,就可能存在風險,例如對新聞聯播主播進行換臉,然後製造假新聞。“人臉識別在有的領域可能會產生很大風險,包括新聞領域,通過深度偽造技術使得偽造的新聞圖片傳播。“
聯合國網路安全與網路犯罪問題高階顧問吳沈括則表示,技術是中立的,但使用技術的人是有立場的。人臉識別技術的安全問題不在於該項技術本身,而是應用的問題。危險在於利用這項技術達到了不該達到的目的,實施了不該實施的行為。
令吳沈括擔憂的是,人臉識別技術一旦被普及,它可以定位某人而該人卻毫不知悉。該項技術用於偵查犯罪就是助力公共安全;當用於跟蹤他人,就可能侵犯隱私,干涉他人自由;假如應用於冒充他人,就是在實施犯罪。因此,人臉識別技術是否有害關鍵在於如何使用。
濫用人臉識別有何法律風險?
嚴重者可能涉嫌刑事犯罪
雖然某些APP及其背後運營機構獲取福斯的“臉”越來越方便了,但是它們若想濫用也是要注意風險的,所以這在一定程度上阻止了人臉被濫用。
“以換臉視訊為例,若有人用其謀利,則涉嫌侵犯他人肖像權。同時,可能涉嫌侵犯相關影視作品的製片方的著作權。”中聞律師事務所合夥人趙虎舉例稱。
趙虎詳細解釋換臉視訊背後可能面臨的風險,根據中國著作權法的規定,電影和類電作品的著作權由其製片者享有,製片者對作品享有保護作品完整權,即保護作品不受歪曲、篡改的權利。不僅如此,換臉視訊還涉嫌侵犯相關人物的名譽權問題;嚴重者也可能涉嫌刑事犯罪。
北京志霖律師事務所副主任趙佔領指出,有關人臉資料的濫用,存在五種違規或犯罪的可能。一是未經使用者同意的情況下收集使用者個人資訊;二是違反法律規定的必要原則,超範圍收集使用者個人資訊;三是收集使用者個人資訊之後未按照事先約定的用途、方式使用或轉讓;四是未盡到網路安全管理義務,由於管理漏洞或技術漏洞導致使用者的個人資訊被洩露;五是經營者或其員工將使用者的個人資訊非法轉讓或倒賣給他人,這也是涉嫌刑事犯罪的行為。
陳立彤告訴新京報記者,最高人民法院、最高人民檢察院在今年6月1日正式實施的《關於辦理侵害公民個人資訊刑事案件適用法律若干問題的解釋》中明確了侵害公民隱私犯罪行為的具體標準和型別,將公民個人資訊保安置於法律保護的最高位階,在刑事法律上對侵害公民資料權的行為標清了底線。
不過,陳立彤也指出,兩高司法解釋的重點在於打擊侵害公民個人資訊的“明偷”“明搶”,對於濫用格式條款非法“獲取”使用者授權,侵害公民隱私權的“暗偷”“暗搶”行為影響卻不大。
陳立彤解釋道,這是因為,隱私權作為民事權利,使用者也有自我處分的權利,一旦網站搬出已經獲得使用者授權的“隱私條款”作為抗辯理由,刑事法律就很難認定其為犯罪行為。
人臉資訊採集的法律邊界何在?
“知情-同意”是基礎,保護難以落實
既然人臉識別技術越來越普及了,那麼某些APP及其背後的運營機構是不是就可以大肆採集使用者的“臉”了?當然,這個答案一定是否定的。有些資訊可以採集,有些則不能,我們普通人也有必要知道如下的資訊。
依據《資訊保安技術個人資訊保安規範》,個人資訊是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人身份或者反映特定自然人活動情況的各種資訊,如姓名、出生日期、身份證件號碼、個人生物識別資訊等。陳立彤提醒大家,“採集個人資訊需取得個人資訊主體的同意,未經同意,不得轉讓、共享、加工其個人資訊。”
吳沈括則舉了一些國外“抵制”人臉識別的例子。2019年5月,舊金山成美國首個禁止面部識別監控的城市。2019年6月,美國在國會聽證會上討論了對執法部門使用面部識別軟體所帶來的擔憂。2019年7月,薩默維爾市通過了禁止在公共場所使用面部識別軟體的法令,成為繼舊金山之後全美第二個禁止面部識別技術的城市。同時,瑞典資料保護局(DPA)曾表示面部識別技術違反了歐盟隱私法規“通用資料保護條例”(GDPR)的若干條款,因此會對非法收集資料的校方處以罰款。
吳沈括進一步告訴記者,圍繞面部特徵等個人資訊的收集、利用,各國法律大多是以使用者的“知情-同意”作為合法的基礎。沒有人否認個人資訊資料應該受保護,但如何去保護卻難以落實。部分企業會因為法律為資料保護設定的“過高”要求叫苦不迭,認為增加了合規成本。
吳沈括說,目前中國需要進一步推進法治化程序,建立相關法律法規,做到有法可依。這是確保技術不被濫用、限制技術的負面影響、真正發揮其促進社會發展作用的關鍵所在。
應該如何防範刷臉洩露隱私?
弄懂APP的條款
現在要求識別人臉的APP越來越多了,我們是否要為了保護自己的“臉”而放棄使用它們呢?這樣可能會在生活中遭遇一些不方便吧。那麼,我們到底應該如何做呢?
“福斯應當提高自我防範意識,認真閱讀隱私政策,發現可疑條款或者隱私條款過於模糊不清、晦澀難懂的情況以及對APP或者其背後公司信任度不夠時,應當拒絕使用該APP。此外,在個人資訊侵權事件發生後,應當及時向法院起訴、向政府有關部門舉報。”大成律師事務所高階合夥人陳立彤建議。
“福斯能注意的是不要給特別小的人臉識別機構提供照片。”
安恆資訊保安研究院院長吳卓群表示,由於人臉識別的方式是先收集人臉資料,然後來匹配驗證的,所以人臉識別機構其實已經蒐集了很多面部特徵、原始圖片以及照片,這些都會保留在其伺服器上,因此普通的民眾很難去規避人臉識別的風險。
不過,吳卓群也提示目前不必太過擔憂,畢竟從目前來看,人臉識別被曝光濫用的案例是比較少的。但是,他指出,換臉等攻擊方式已經比較普遍了。
不過,吳卓群也表示,對於人臉識別,事實上每一家公司的演算法都是有一些區別的,採用不同演算法通過不同感測器傳回來的人臉資料每一家也都不一樣。因此,同一張照片在一家能識別成功,在另一家就不一定能識別成功。
編輯 王進雨 趙澤 王宇 校對 柳寶慶