近5年來普及的新技術中,要說因為安全性而導致發展受到局限的,最典型的例子莫過於人臉識別。
人臉識別因技術迅速發展和便捷無感的體驗得到快速推廣,但在普及過程中,這項技術的另一面——收集敏感信息、信息濫用、泄露風險等問題也數次被推至輿論風口浪尖。隨著今年歐美多地出台禁令,國內也開始出現“嚴監管”信號,尚未在便捷性與安全性之間找到平衡的人臉識別技術,一時前路莫測。
見習記者 杜曉彤 李穎超
上班打卡刷臉、進出公園刷臉、回到小區刷臉、收取快遞刷臉……不知不覺間,人臉識別設備已經侵入人們日常生活的方方面面。
但近兩年來,人臉識別技術的迅速普及也使得相關實踐運用泛濫,引起了部分用戶的反感以及監管層面的關注。今年12月1日,天津通過的一項信用條例首次提出禁止相關單位採集個人生物識別信息。多位律師認為,這將對其他地方形成示范性作用。
尤其值得一提的是,人臉識別在金融領域中的應用——刷臉支付,曾經一度成為“網紅”,但因各種爭議在現實中的推廣受到極大局限。“所以現在刷臉支付的推廣情況其實不是很好。”有業內人士對証券時報·券商中國記者表示。
陷入爭議“漩渦”
去年4月,浙江理工大學特聘副教授郭兵得知,自己在杭州野生動物園辦理的年卡被“升級為人臉識別入園”,園方以此為由,要求他提供個人面部信息。郭兵對此不解並作出拒絕,在協商未果后將該動物園訴至法庭。
此次上訴被業內稱為中國“人臉識別第一案”。今年11月20日,這場備受關注的官司迎來宣判。杭州富陽區人民法院一審判決:野生動物園賠償郭兵合同利益損失及交通費共計1038元,並刪除郭兵辦理指紋年卡時提交的包括照片在內的面部特征等個人生物識別信息。
在監管層面,禁止採集人臉信息的首例地方立法也已“破冰”。12月1日,《天津市社會信用條例》通過表決,自2021年1月1日起施行,該條例規定市場信用信息提供單位不得採集包括人臉信息在內的生物識別信息。盡管這一條例的管轄范圍仍存在爭議,但不少分析人士認為,該條例釋放了一定的監管信號,對刷臉支付可謂“敲山震虎”。
“該條例將起到示范性作用,除了信用領域外,未來其他領域的相關條例也會陸續出台。”寧人律師事務所金融與科技委員會副主任馬軍表示,“我國在立法層面已經對個人信息保護的原則性條款進行了約束,也就是合法、正當、必要性原則,后續每個行業都應該在這些原則的基礎上,結合行業特征研究相應的監管規范。”
與此同時,國外多地政府機構對人臉識別技術也在進行狙擊。今年9月,美國波特蘭市發出禁令,要求在公共空間無論是當地政府還是商店、飯店和旅館都不能使用人臉識別技術。
在聯動效應之下,國內對人臉識別技術的質疑聲也愈演愈烈。深度科技研究院院長張孝榮就認為,人臉識別技術在國際上惡名昭彰,一些發達國家已經著手立法禁用或限用,“我國需要與國際接軌,人臉識別技術最多隻能用於安防反恐等公共安全領域,其他商業領域應用應該一律禁止”。
追問技術安全性
當前市場對人臉識別技術的普遍疑慮在於:人臉識別技術是否比其他技術更不安全?人臉信息被採集后能否安全保管?信息一旦發生泄露,是否會被用於在其他設備上進行支付、信貸等操作,進而侵害個人財產權益?
一位了解人臉識別技術的從業人員向証券時報·券商中國記者假設了一個具體場景:用戶在小區門禁錄入的人臉信息發生泄露,不法分子要想成功利用這些被泄露的人臉信息通過其他信貸公司的審批環節,取決於信貸公司人臉核驗程序邏輯是否存在漏洞,“包括API是否暴露出來、模型特性如何等等”。
據這位技術人士介紹,人臉核驗程序由很多環節組成,包括輸入人臉程序的API、人臉核驗模型等。人臉核驗模型就是用戶普遍接觸到的錄入人臉信息,進行比對以及輸出結果的過程,安全性取決於模型特性。“例如,有的核驗模型能識別出來一張人臉照片裡的人臉是真人臉還是對著人臉照片拍出來的,有的核驗模型卻不能,這就是模型安全性的差距。”上述業內人士解釋。
問題是,部分小公司的人臉識別技術能力沒有達到可匹配其展業范圍的水平,人臉核驗程序的反黑客能力較弱,並存在濫用所收集的個人信息數據的可能。“比如小區門禁用的人臉識別設備很多是由一些小運營商提供,而一些不規范的小公司獲取數據后,很有可能進行倒賣來換取收益。”馬軍表示。
此外,人臉識別技術在實踐層面還面臨安全性與便捷性難以兼顧的問題。據上述從業人員介紹,設置多種核驗方式是保障人臉識別安全性的重要手段,“這是由於僅使用人臉信息作為核驗要求,安全性極低,尤其是人臉時刻暴露在公共環境中,不法分子隨時可能在用戶無感的情況下獲取”。
多位業內人士更是強調,雖然人臉識別是生物特征識別中的一種,但人臉信息具有唯一性和不變性。與傳統的數字密碼相比,這樣的生物信息一旦丟失,意味著用戶沒有“重新設定”的機會。因此,該類信息的泄露對用戶隱私造成危害性也就更大。
証券時報·券商中國記者了解到,支付寶的“刷臉支付”技術背后,就包含對用戶日常軌跡數據的對比,在用戶常光顧的小店消費可直接“刷臉”,在首次消費的小店還需結合手機號進行驗証。銀聯“刷臉付”則採用人臉識別結合支付口令輸入的方式完成雙重驗証。
但採用多重核驗方式也意味著,作為人臉識別技術最大優勢的便捷性必然受到削弱。“所以現在刷臉支付的推廣情況其實不是很好。”有業內人士表示。
看好還是唱衰?
“最近一年對刷臉支付的質疑聲要遠遠多過支持。”杭州電子科技大學教授劉大為表示。這一情況不僅與刷臉支付的應用問題有關,也受到國際市場對人臉識別技術極度排斥的影響。
今年以來,歐美多地針對人臉識別技術出台禁令,國內也開始顯示出“嚴監管”信號。除天津最新通過的條例明確相關單位禁止收集人臉信息外,《個人信息保護法(草案)》對公共場所人臉識別設備的鋪設作出專門規定,網信辦對移動應用程序(APP)的信息收集也做出了規范。
對此,劉大為表示,歐美國家禁止刷臉支付是有自身金融背景的。“畢竟信用卡是歐美國家的主流支付手段,推進移動支付也在起步階段,直接進入刷臉支付的轉換成本和潛在風險都很高”。另外,人臉識別需要特殊的生物識別代碼,如果有漏洞就很容易被黑客攻擊,很可能造成用戶巨額的財產損失。“歐美金融機構對用戶財產損失的賠付制度與歷史習慣也導致他們不敢輕易嘗試刷臉支付。”劉大為分析稱。
國內市場環境則完全不同,劉大為進一步表示,如果沒有政策干預,刷臉支付在國內不會停下來,隻會繼續發展與完善。在未來一段時間,刷臉支付在移動支付的市場份額會逐步增加,甚至很快會和掃碼支付平分天下。
日本支付機構Netstars的CTO陳斌也表示,人臉識別技術並非不能用,關鍵在於怎麼用。陳斌認為,未來監管必將對刷臉支付的使用限制在一定范圍內。例如,限制於小額支付場景等,而在身份認証方面,隨著數字化轉型的推進,人臉識別技術或存在巨大價值。
“現在監管對遠程開戶還很謹慎,主要受限於技術能力,無法判斷遠程認証的到底是真人還是其他情況。”陳斌舉例說明,“未來或許可以進一步通過某些輔助的手段降低遠程開戶風險,如現在已經出現的結合周邊環境因素判斷真實度、要求用戶眨眼或移動圖片等,誰有創造性,誰能發明更好的手段,就有發展機會”。
