曹檸

2020年3月，清華大學(xué)法學(xué)院教授勞東燕發(fā)現(xiàn)，她居住的小區(qū)貼出安裝人臉識別門禁系統(tǒng)的公告，要求業(yè)主提供房產(chǎn)證、身份證、人臉識別等信息。物業(yè)對于個人信息的粗暴收集方式和業(yè)主防范意識的淡薄引起了她的不安，令她最擔(dān)心的是數(shù)據(jù)的保存，“物業(yè)有何動力維護(hù)和保護(hù)這個數(shù)據(jù)系統(tǒng)？數(shù)據(jù)由誰保管？怎么保護(hù)？”

借助專業(yè)背景做了一系列研究后，她把搜集到的有關(guān)人臉識別風(fēng)險的報道和法律依據(jù)，發(fā)到兩個各有數(shù)百名業(yè)主的微信群里，一方面是提醒大家，另一方面也是希望得到物業(yè)回應(yīng)。

個體的警覺

人臉識別是近年AI浪潮中的標(biāo)志性技術(shù)，被廣泛應(yīng)用于安防、金融等領(lǐng)域。MarketsandMarkets咨詢公司研究預(yù)計，到2024年，全球面部識別市場規(guī)模達(dá)70億美元。從2015年到2019年，人臉識別、視頻監(jiān)控的專利申請數(shù)量從1000件飆升到3000件，其中四分之三在中國。

中商產(chǎn)業(yè)研究院的《2019年中國人臉識別行業(yè)市場前景研究報告》顯示，據(jù)測算，2018年中國人臉識別行業(yè)市場規(guī)模突破100億元大關(guān)，隨著人臉識別技術(shù)在各行業(yè)應(yīng)用滲透的不斷深入，預(yù)計2019年人臉識別市場規(guī)模在120億元左右。

在支付寶、微信等支付應(yīng)用和各大手機廠商推廣下，人臉識別正在逐步替代傳統(tǒng)的密碼安全系統(tǒng)，在公司、商場、機場、學(xué)校等場景下，人臉識別技術(shù)可以提升管理效率，提升交互體驗。但人臉作為生物識別信息具備唯一性，一旦發(fā)生信息泄露風(fēng)險不可預(yù)估。

支付寶在最新的隱私權(quán)政策中顯示，僅在若干情形下向第三方共享或轉(zhuǎn)讓數(shù)據(jù)：某些服務(wù)可能由第三方提供或由支付寶與第三方共同提供，由此只有共享信息才能提供服務(wù)；事先獲得用戶明確同意等。在另一份用戶規(guī)則中，支付寶還寫道，為了提高驗證準(zhǔn)確性，“用戶同意我們在必要時將您向我們提供的人臉圖像，與法律法規(guī)允許或政府機關(guān)授權(quán)的機構(gòu)所保存的您的人臉圖像進(jìn)行比對核驗”。

盡管每家公司都堅稱會將保護(hù)用戶的數(shù)據(jù)隱私安全放在首位，但現(xiàn)實卻是我們的數(shù)據(jù)并沒有那么安全。2018年7月，浙江紹興一名叫張富的大專畢業(yè)生，利用非法購買的公民個人身份信息，將相關(guān)公民的照片制成3D頭像，通過支付寶人臉識別認(rèn)證。在他被查獲的電腦里，警方發(fā)現(xiàn)了2000萬條公民個人信息。2019年，18歲、初中文化的田某，通過抓取、攔截、保存銀行系統(tǒng)下發(fā)的人臉識別身份信息數(shù)據(jù)包，在一個手機銀行App內(nèi)使用虛假身份信息成功注冊了賬戶。

人臉識別技術(shù)的廣泛應(yīng)用正在引發(fā)越來越多個體的警覺。

2019年5月，英國首宗人臉識別訴訟開庭，英國人布里奇斯將南威爾士警察局告上了法院，認(rèn)為后者在公共區(qū)域掃描分析他的臉部數(shù)據(jù)，未經(jīng)其知情同意，侵犯隱私。但法院認(rèn)為警方從閉路監(jiān)控中抽取人像信息，跟嫌疑人面部信息進(jìn)行對比，如果匹配未成功，數(shù)據(jù)立馬刪除，如果匹配成功了保留24小時，這都在合法范圍內(nèi)。

2020年6月15日，浙江杭州富陽區(qū)人民法院，被稱為“中國人臉識別第一案”開庭審理。對簿公堂的是浙江理工大學(xué)副教授郭兵和杭州野生動物世界，因動物園改裝系統(tǒng)，不注冊人臉識別將無法入園，也無法辦理退卡退費，年卡用戶郭兵將園方告上法庭。

郭兵和勞東燕一樣，只是作為普通市民出現(xiàn)在事件中，因為專業(yè)背景的緣故，他們面對強制使用的人臉識別技術(shù)多問了幾個問題，這撬動了輿論的反思意識。郭兵曾在接受采訪時說，除了感到權(quán)益受到侵害，作為一個教授法律的大學(xué)老師，他更希望推動一個具有公益性質(zhì)的訴訟：在個人信息失控的當(dāng)下，促成相關(guān)制度的完善。

北京航空航天大學(xué)法學(xué)院副教授余盛峰甚至認(rèn)為，“當(dāng)代隱私的最大敵人已不是某項技術(shù)，而是數(shù)字社會本身對于數(shù)據(jù)的無限欲望，以及‘連接一切意識形態(tài)所帶來的自由幻覺”。因為狹義的人臉識別只是固態(tài)機器的認(rèn)證，而廣義的人臉識別，則涉及整個生存空間的數(shù)字化和監(jiān)控化。

一項《人臉識別應(yīng)用公眾調(diào)研報告（2020）》顯示，64.39%的受訪者認(rèn)為人臉識別技術(shù)有濫用趨勢，超過三成的受訪者表示已經(jīng)因人臉信息泄露、濫用等遭受損失或隱私被侵犯。

勞東燕、郭兵這些個體的“掙扎”也提醒著人臉識別的利益相關(guān)群體，合法合規(guī)的問題不解決，大規(guī)模商用就存在著巨大隱患。

誰能收集我的臉，爭議不斷

爭議還出現(xiàn)在人臉識別的使用范圍如何界定。

2019年8月，中國藥科大學(xué)在一些教室安裝了人臉識別設(shè)備，除具有考勤功能外，這種設(shè)備據(jù)稱還可以追蹤、識別學(xué)生聽講、發(fā)呆、睡覺等上課狀態(tài)。相較于常見的用于門禁“刷臉”的身份識別能力，識別人的狀態(tài)對技術(shù)提出了更高的要求。

消息一經(jīng)公布，起初的論調(diào)是學(xué)校應(yīng)用了先進(jìn)的AI技術(shù)，但過了不久，輿論開始對教室里無時無刻的監(jiān)控感到擔(dān)憂。教育部科技司司長雷朝滋2019年9月初公開回應(yīng)稱：“包含學(xué)生的個人信息都要非常謹(jǐn)慎，能不采集就不采，能少采集就少采集，尤其涉及個人生物信息的?！?/p>

類似的案例在歐洲就曾遇到重罰。瑞典一所高中因使用了人臉識別系統(tǒng)記錄學(xué)生的出勤率，經(jīng)過調(diào)查后被認(rèn)定學(xué)校對學(xué)生個人信息處理不符合GDPR（《通用數(shù)據(jù)保護(hù)條例》）的規(guī)定，收到了第一張基于GDPR的罰單，金額為20萬瑞典克朗（約合人民幣14.5萬元）。

2018年，被稱為“史上最嚴(yán)”的數(shù)據(jù)保護(hù)法規(guī)——GDPR在歐洲生效。按照規(guī)定，任何機構(gòu)，無論是政府還是企業(yè)，要觸動任何人的隱私權(quán)時，必須得到個人的允許。而違規(guī)收集個人信息（其中包含指紋、人臉識別等）、沒有保障數(shù)據(jù)安全的互聯(lián)網(wǎng)公司，最高可罰款2000萬歐元或全球營業(yè)額的4%。

2019年5月，美國舊金山議會通過了《禁止秘密監(jiān)控條例》，明文禁止舊金山執(zhí)法部門使用人臉識別技術(shù)。這是史上第一次政府被法律明文禁止使用人臉識別類的監(jiān)控技術(shù)。

在美國，對人臉識別的抗議還在于“算法歧視”，由于數(shù)據(jù)量不足，識別算法更容易在深色皮膚、兒童等人群中出錯，這些技術(shù)上難以排除小概率問題，使大型科技公司屢遭指責(zé)。美國大型非營利組織公民自由聯(lián)盟（ACLU）的律師卡格爾稱，國會和立法機關(guān)必須迅速停止在執(zhí)法中使用人臉識別，企業(yè)也應(yīng)該停止推動人臉識別警用的合法化。他援引了一項政府研究稱，非洲裔和亞裔人群被算法錯誤識別的概率，要比白人高出100倍，“任一差池就可能引發(fā)不當(dāng)逮捕、長時間的審問，乃至致命事件”。

“技術(shù)可以提高透明度、幫助警察保護(hù)社區(qū)，但絕不能放大歧視與種族不平等?！?020年6月8日，IBM CEO 克里希納（Arvind Krishna）向美國國會議員發(fā)出公開信，宣布不再提供通用人臉識別軟件，提議制定負(fù)責(zé)任的技術(shù)政策；隨后，另有兩家互聯(lián)網(wǎng)巨頭亞馬遜和微軟也宣布放緩步調(diào)，亞馬遜暫停向警方提供人臉識別技術(shù)一年時間；微軟則停止向警方銷售人臉識別軟件，直到有相關(guān)國家法律出臺。

就在2020年10月26日，《杭州市物業(yè)管理條例（修訂草案）》被提請至杭州市第十三屆人大常委會審議。這是國內(nèi)首部對小區(qū)人臉識別作出規(guī)范的正式立法，草案規(guī)定，物業(yè)服務(wù)人不得強制業(yè)主通過指紋、人臉識別等生物信息方式使用共用設(shè)施設(shè)備。

立法聽證會后，“修訂草案”第四十四條企業(yè)義務(wù)條款中新增了一款規(guī)定，即“不得強制業(yè)主通過指紋、人臉識別等生物信息方式使用共用設(shè)施設(shè)備，保障業(yè)主對共用設(shè)施設(shè)備的正常使用權(quán)”。

市場擴張與隱私保護(hù)的賽場

相比于歐美社會的審慎，國內(nèi)則更像是“野蠻生長”，技術(shù)應(yīng)用廣泛和風(fēng)險意識淡薄并存。賽道的兩旁，一方是日益發(fā)展的技術(shù)條件和規(guī)模誘人的市場需求，另一方則是模糊疏松的監(jiān)管和逐漸加重的憂慮。

2018年3月26日，百度董事長兼首席執(zhí)行官李彥宏在中國發(fā)展高層論壇上表達(dá)了“中國人愿用隱私交換便利”的觀點，隱私保護(hù)絕對是互聯(lián)網(wǎng)行業(yè)的政治正確，此言雖然刺耳，卻是句大實話。

因為李彥宏還有后半句話，“如果這個數(shù)據(jù)能讓用戶受益，他們又愿意給我們用，我們就會去使用它。這就是我們能做什么和不能做什么的基本標(biāo)準(zhǔn)”。

這類觀點的邏輯是出讓一部分隱私權(quán)換取經(jīng)濟價值是無可厚非的，關(guān)鍵是甄別這一決策過程是不是自愿做出的，以及經(jīng)濟價值是否真實地反饋到用戶身上。

經(jīng)濟學(xué)家、長江商學(xué)院教授許成鋼認(rèn)為，隱私權(quán)并不能完全覆蓋個人信息的范疇，個人信息權(quán)不只是人權(quán)，而且是產(chǎn)權(quán)，具有經(jīng)濟價值。多數(shù)情況下，用戶愿意出讓一部分隱私權(quán)來獲得更多便利和利益。

“在市場交換界定清楚產(chǎn)權(quán)的時候，每個人可以自主決定，在多大程度上愿意放棄某一部分的隱私來獲得什么樣的收益，這個收益可以是有價值地歸個人所有，也可以自愿為社會作貢獻(xiàn)?！痹S成鋼說。

不得不承認(rèn)，中國人臉識別技術(shù)和產(chǎn)業(yè)的發(fā)展，得益于互聯(lián)網(wǎng)上大量的數(shù)據(jù)，比如網(wǎng)民很樂于在各種AI換臉應(yīng)用上分享自己的照片。而這些應(yīng)用往往操作門檻很低，用戶在通過人臉識別完成肖像權(quán)驗證之后，就可以通過拍攝或上傳人臉照片來合成視頻。用戶在體驗新技術(shù)帶來的樂趣的同時，多少都忽略了收集人臉等個人生物識別信息未獲用戶明示同意、個人信息處理規(guī)則不清晰、數(shù)據(jù)泄露或濫用等潛在風(fēng)險。

而李開復(fù)的發(fā)言則是“細(xì)思恐極”的表達(dá)不清。2020年9月12日，創(chuàng)新工場董事長李開復(fù)在HICOOL全球創(chuàng)業(yè)者峰會上，介紹自己如何幫助投資項目曠視時稱，“我們早期幫助他們（曠視）尋找了合作伙伴，包括美圖、螞蟻金服，讓他們拿到了大量的人臉數(shù)據(jù)”。

用戶的人臉數(shù)據(jù)正在被共享使用？李開復(fù)這一句話捅了馬蜂窩，引得被提及的公司不得不當(dāng)晚就出面否認(rèn)。螞蟻和美圖聲明，從未提供任何人臉數(shù)據(jù)給曠視科技，雙方過往合作僅限曠視科技授權(quán)其圖像識別算法能力給螞蟻單獨部署和使用，不涉及任何數(shù)據(jù)的共享和傳輸。曠視也聲明，不掌握也不會主動收集終端用戶的任何個人信息。

國內(nèi)科技行業(yè)對此不感冒的也大有人在?，F(xiàn)實的一大困境是沒有應(yīng)用就沒有數(shù)據(jù)，AI就無法迭代進(jìn)化。多位科技界的人士都曾公開表示，并不看好歐美規(guī)則先行的辦法，認(rèn)為這只是緩兵之計，不適用于AI時代。對于中國快速增長的市場規(guī)模來說，這很好理解，如果不先推應(yīng)用，整個國家的AI技術(shù)發(fā)展很可能會落后一大截。如果完全追隨美國和歐洲對數(shù)據(jù)和隱私的保護(hù)，對人臉識別發(fā)展會產(chǎn)生很大的阻礙。

李開復(fù)就曾在德國講演時說，“如果隱私保護(hù)走向極端，商業(yè)變現(xiàn)、價值創(chuàng)造也會停下來?！彼徽J(rèn)為隱私保護(hù)完全是一個非白即黑的問題。人工智能是一項中心化技術(shù)，受益于收集起來的數(shù)據(jù)。如果強制數(shù)據(jù)分散在各處，價值就會降低。

他表示，很多歐洲的政策制定者相信放慢速度是聰明的做法。但他建議，在制定下一版本GDPR的時候，能讓技術(shù)專家參與其中，確保決策者明白每一項監(jiān)管可能帶來的結(jié)果。他相信，中國和美國會占據(jù)全球多數(shù)的AI市場。

中國人民大學(xué)法學(xué)院副教授丁曉東也比較反對過度渲染人臉識別的風(fēng)險，他表示“不能因為風(fēng)險事件就對這一技術(shù)采取禁止的態(tài)度，而是要在具體的場景中進(jìn)行風(fēng)險的防范”。

被寄予厚望的個人信息保護(hù)法

2020年10月13日至17日召開的十三屆全國人大常委會第二十二次會議，初次審議了備受關(guān)注的《個人信息保護(hù)法（草案）》。針對個人信息的收集、處理，草案確立了以“告知—同意”為核心的個人信息處理系列規(guī)則。草案規(guī)定，處理個人信息的同意，應(yīng)當(dāng)由個人在充分知情的前提下，自愿、明確作出意思表示，個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意。此外，基于個人同意而進(jìn)行的個人信息處理活動，個人有權(quán)撤回其同意。

我國之前采取分散立法的模式進(jìn)行個人信息保護(hù)，個人信息保護(hù)的相關(guān)規(guī)定分布在全國人大常委會出臺的《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》，刑法修正案（九）整合規(guī)定的侵犯公民個人信息罪，以及《網(wǎng)絡(luò)安全法》和《民法典》等各種法律法規(guī)中。

但尷尬的現(xiàn)實是，以《民法典》為代表的私法救濟路徑，目前不足以拯救海量的個人信息泄露。而以《刑法》為代表的公法打擊路徑，目前也抓不完非法使用、泄露信息的犯罪活動。而根據(jù)相關(guān)司法解釋，非法出售、提供、獲取特定（敏感）個人信息50條即可構(gòu)成犯罪。在每日產(chǎn)生海量個人數(shù)據(jù)的今天，不能一網(wǎng)打盡某種程度就意味著法不責(zé)眾。況且，在規(guī)則尚不明確的灰色地帶頻繁觸動刑法不僅代價高昂，同時也會帶來罪刑不均衡的問題。

北京和昶律師事務(wù)所律師王亮亮認(rèn)為這是“法律組合拳”出錯了力。個體無力維權(quán)，群體也面臨著集體訴訟的諸多難題，成本收益嚴(yán)重不平衡的情況下，指望公民通過民事訴訟維權(quán)的方法無法形成有效制約。

目前看來最有效的監(jiān)管手段是行政處罰。通過經(jīng)濟手段，政府執(zhí)法機構(gòu)與企業(yè)形成“巨額罰款—監(jiān)督整改—形成規(guī)則”的公平信息實踐，這樣不僅可以有效保護(hù)個人信息，也不至于抑制產(chǎn)業(yè)發(fā)展。但相比于歐美各國政府對互聯(lián)網(wǎng)巨頭的密切監(jiān)控和時常開出的天價罰單，我國對個人信息違法行為的行政處罰的力度還很弱，罰款幾乎低于違法收益。以《網(wǎng)絡(luò)安全法》第六十四條為例，侵犯公民個人信息，有違法所得的沒收，處違法所得一倍以上十倍以下罰款；沒有違法所得的，處一百萬元以下罰款。

“行政執(zhí)法位于柔和的民法救濟與劇烈的刑法打擊之間，具有輾轉(zhuǎn)騰挪的余地，執(zhí)法方式多樣，包括約談、通報批評、限期改正，罰款等措施都能在不同層次上發(fā)揮效果。”王亮亮表示。

值得注意的是，討論的另一現(xiàn)實語境是疫情，于是需要受到監(jiān)管的不只是企業(yè)，還有公共部門。

雖然大量敏感性數(shù)據(jù)管理機構(gòu)自身有嚴(yán)格管理，如地方政府如果想要調(diào)取公民的手機定位記錄，要么公民自身進(jìn)行單次授權(quán)，要么需中央、地方多層級多單位的依次審批。要調(diào)取銀行交易數(shù)據(jù)，只有司法機關(guān)有權(quán)限。

但在疫情管控的強需求下，大到公安、交通、電信運營商，小到社區(qū)、商場、超市，物業(yè)人手不夠，又要對付查證、測溫和登記等多道流程，恰有機器換人的需求，數(shù)據(jù)也隨之生成，一下子掃碼填身份證號無處不在，人臉識別更是常有。勞東燕的遭遇正是在這種背景下發(fā)生的。

華南師范大學(xué)法學(xué)院副研究員馬顏昕在調(diào)研中就發(fā)現(xiàn)，防疫中大量疫情信息并不是從專門數(shù)據(jù)管理部門流出，而是由社區(qū)、衛(wèi)健委等基層工作人員流出，說明基層沒有建立起嚴(yán)格的數(shù)據(jù)使用審查框架。

趙鵬表示，在疫情期間，公共危機下可以擴充政府的權(quán)力，但這些做法不應(yīng)常態(tài)化。

（摘自《南風(fēng)窗》2020年第23期。作者為該刊記者）