被滥用的人脸识别：便利的同时也在侵犯隐私、泄露信息

让机器靠向人，而不是相反。

作者 | 刘景丰

编辑 | 火柴Q

非常巧合，在过去的半个月里，与“人脸”相关的技术频登热搜，“成功出圈”。

先是11月20日，备受关注的“中国人脸识别第一案”正式宣判，人脸信息收集方败诉。

该案的起因是，去年10月，杭州一家名为“动物世界”的动物园（以下简称“动物世界”）将年卡顾客的入园方式从指纹识别改成了人脸识别，一位对此不满的市民随后对“动物世界”发起了诉讼。杭州富阳法院在一审中，判决“动物世界”对人脸信息的收集不具正当性，要求其删除顾客面部特征信息，并赔偿顾客合同利益损失及交通费1038元。

不过，拿起法律武器、经历漫长的诉讼并不是大多数人的选择，于是我们也看到了以下的魔幻时刻：

有买房者戴着头盔前往售楼处——在济南，一家售楼处部署了人脸识别装置，以记录和区分中介带来的客户和自然到访的客户，针对不同来源的客户，地产商有不同的优惠方案。

男子戴头盔看房的视频截图

也有94岁、已无法站立的老人，被抱着凑到摄像头前“刷脸”——在上周末的一条热点新闻中，湖北广水94岁老人为办理社保卡激活业务， 不得不被亲友抬到银行进行人脸识别。

人脸识别已经被带到大众舆论的聚光下，它不仅是一个新赛道，一个投资机会，也和所有改变人类生活的新技术一样，带来了全新的社会命题——正无处不在的数据采集和分析技术，在带来便利的同时，也带来了隐私侵犯、信息泄露、人群歧视等隐患。

作为最先大规模铺开的数字化利器之一，人脸识别，是否正在被滥用？

1.谁在用？怎么用？

回答人脸识别是否被滥用的问题前，我们先看看是谁在用人脸识别，怎么用的。

目前，人脸识别的使用者主要有以下几类主体。

一是政府机关，其使用场景主要有两个：安防和智慧政务；

安防方面，公安系统会利用人脸识别技术寻找罪犯和失踪人口；智慧政务方面，典型的应用是线上办理政务手续时，用人脸识别核实身份。

第二类是经营、运营一些公共服务场所的企事业单位，包括车站、机场、医院、银行、学校等服务单位。比如，车站用人脸识别核验进站旅客信息，医院用人脸识别帮助患者挂号，银行用人脸识别办理个人业务，学校公寓用人脸识别闸机阻止陌生人进入。

第三类是民营商业公司。比如蚂蚁集团旗下的支付宝，最先在全国推出“刷脸支付”的方式；杭州的“动物世界”，将入园方式改为“刷脸入园”；虹软科技推出智慧商业VIP识别应用，通过人脸识别对客户进行分析，进而提升销售转化率与客户留存率；以及被热议的济南某售楼部，用人脸识别进行差别营销。

从政府机关到企事业单位再到民营商业公司，人脸识别的使用主体多元而广泛。

另一个问题是，人脸识别正在被如何使用？这可能是比使用主体的差异和多元性更影响公众实际感受的部分。

可以说，在一些个别场景，人脸识别被使用的方式确实值得商榷，缺乏合理性。

不合理的第一个表现是不给选择。

比如开头提到的“中国人脸诉讼第一案”中，“动物世界”公园将入园方式限定为“刷脸入园”，让一些对个人信息敏感的游客没得选，引发诉讼；再比如，湖北广水的农业银行将社保卡激活业务验证方式指定为“人脸识别”，导致94岁老人被抱到银行刷脸验证。

不合理的第二个表现是不够节制。

比如2019年被诟病的“人脸识别进课堂”事件，中国药科大学在部分教室用人脸识别进行考勤和管理课堂，学生发呆、打瞌睡都能被记录下来。“人脸识别”的考勤方式，显得学校过于激进。

再比如，据报道，福州某些小区打着安防的名义安装人脸识别门禁，要求业主录入人脸信息，引发业主对数据泄露的担忧。而这种情况，在北京、合肥等地的某些小区也曾出现。在信息安全得不到保障的情况下，小区物业推行人脸识别门禁，也显得不够节制。

合肥某小区物业采用人脸识别门禁

个例之外，从涉及面更广的调查数据中，也可一窥公众目前对人脸识别技术的态度和情绪。

今年10月，App专项治理工作组联合南方都市报人工智能伦理课题组发布了一份《人脸识别应用公众调研报告（2020）》。报告显示，六成受访者认为人脸识别技术有滥用趋势，三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。

《报告》总结了六类人脸识别技术应用争议场景，结果显示，受访者最无法接受的场景包括：商城用人脸识别技术收集顾客行为和购买手段，高校用人脸识别技术收集学生的抬头率、微表情、上课的姿态，基于人脸图像分析的换脸、美妆、性格判断等。

《人脸识别应用公众调研报告（2020）》的统计数据

当人脸识别被用于一些非必要场景，也将带来一系列问题。除了对行动不便和对新事物接受缓慢的老年人不友好外，对整容者也存在可能无法识别的情况；此外，人脸还是最容易暴露的密码，因为绝大多数人不会刻意遮挡；最后，人脸这类“人体密码”不像数字密码可以随便更改，一旦人脸密码被盗用，那修改方式只能是整容了。

实际上，人脸数据泄露的问题，已经在发生。今年10月，央视新闻就报道了一则新闻：在某些网络交易平台上，只要花2元钱就能买到上千张人脸照片，而5000多张人脸照片的标价还不到10元，合着5份人脸信息才卖1分钱，单价只有2厘钱。

2.变的是武器，不变的是逐利

至于人脸识别为什么被滥用，则有以下原因。

第一是国内法律法规不完善。

实际上，目前国内针对个人信息的法规并不少。

《民法总则》第111条规定，任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

《网络安全法》第41条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则；第76条规定，个人信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

于今年10月1日实施的《信息安全技术个人信息安全规范》则规定，在收集个人生物识别信息前，应单独向个人信息主体告知并征得个人信息主体的明示同意；该《规范》同时还对收集人脸识别信息的收集、存储、使用等方面作出了明确的规定。但这个《规范》只是推荐性的标准，没有法律强制约束力。

这意味着，现有的法律法规只规范到“个人信息”，但对更细分的“人脸”信息谁能用、如何用没有明确的规定。

备注为“浙江京衡律师事务所高级合伙人李迎春博士律师”的知乎作者对“人脸识别第一案”的结果进行解读时也称，该案的宣判，也是从“合同法”的角度认定“动物世界”违背合同约定的。

第二是市场的逐利性。这不是人脸识别技术本身的问题，而是经济规律使然——变的是武器，不变的是逐利。

在法律不完善的情况下，一旦有商业利益的驱使，人脸识别就很容易滑过隐私侵犯的边界。

比如今年9月人脸识别头部企业旷视科技就曾身陷“交易用户隐私数据”的漩涡。起因是创新工场李开复在一次演讲中称，创新工场曾经帮助旷视从美图、蚂蚁金服（现改为“蚂蚁集团”）拿到大量人脸数据。事后，三方也对这一提法进行回应和澄清，但大众对人脸识别公司为了完善产品或技术而购买、使用隐私数据的关注和担忧却并未停止。

包括前文提到的“人脸识别进课堂”事件中，该人脸识别系统的开发者正是旷视科技。在事件引起大众关注后，旷视发布声明回应称，这是技术场景化概念演示，旷视在教育领域的产品专注于校园安全。

此举背后，不排除有商业压力的推动。彼时旷视已成立7年，落地场景主要集中在安防、金融、物联、零售等行业，但其在商业化上仍面临压力，从财报中仍可见一斑——2019年8月其在港交所提交的招股书中列出过去三年半的经营数据：2016年、2017年、2018年及2019上半年的净亏损分别是3.42亿、7.59亿、33.52亿、52亿[1]。

更进一步，在没有法律约束和商业压力下，如果人脸识别被不法商业机构随意使用、买卖，其后果将是个人安全受到极大威胁，随之带来一连串的社会隐患。

实际上，这种情况是新技术出现时的普遍现象，因为法律很难对新技术的应用做事前的规定。而在不加规范、没有监管的情况下，新技术越自由竞争，越容易被滥用。

3.技术需要枷锁

一个越来越被广泛接受的共识是，新技术需要被合理地规范使用。

在上文提到的App专项治理工作组的调研报告中，相对而言，受访者更能接受基于安防场景的人脸识别应用，比如公共安全摄像头、闯红灯记录系统。

这意味着，大众更愿意为公共安全和特定场景下的便利性而让渡部分隐私，而对商业服务和学习中侵犯隐私的行为容忍度低。

不能因噎废食、一棒子打死，也不能放任不管、任由问题滋生，关键是如何平衡管与放。

首先需要完善法律法规、行业规范。

先看国外的做法。2019年5月，美国旧金山城市监管委员会投票通过“禁止使用面部识别”的决定，成为美国也是全球第一个禁用人脸识别的城市。随后，一些科技巨头如亚马逊、微软也开始叫停人脸识别。

但这种“一刀切”的方式，并不是主流做法。

事实上，新加坡是一个较早推行人脸识别的国家。作为“智慧城市”及“智慧国家”的推动者，新加坡不断推广着新技术的应用，并在今年将人脸信息纳入电子国民身份证SingPass。但这一方式并没有受到民众的太多反对，原因之一就是2012年政府就颁布了《个人资料保护法例》（PDPA），以保护个人数据安全。

2019年，欧洲也开始考虑对人脸识别等AI技术进行立法规范。比如瑞典一所高中用人脸识别系统记录学生出勤率，瑞典数据监管机构对该学校开出20万瑞典克朗(约合人民币14.8万元)的罚单，原因是学校对学生个人信息的处理不符合欧盟《通用数据保护条例》的规定。

该条例第6条规定，除公共安全需要的情形外，个人数据须征得本人明确同意才能使用。

在完善法规的同时，也要同步建立行业标准和行业自律，一些可行的准则可能包括：给出更多可选方案以及积极探索其他商业识别和数字化验证的技术方案。

所谓给出更多选择，就是兼容新旧不同使用习惯。

比如如银行办理业务核对个人信息，除了用人脸识别，也可以用密码、身份证、指纹等方式；比如公园景区为了核对年卡游客信息，可以选择刷带照片的年卡，也可以刷身份证或指纹。说到底，就是让客户选择自己更适合的验证方式。

此外，如无必要，应减少对人脸这种高敏感信息的采集和使用，积极使用替代方案。

比如，毫米波雷达也是一种避免隐私泄露的探测方式。因为雷达的数据信息是完全匿名的。其工作原理是把无线电波(雷达波)发出去，然后接收回波，根据收发之间的时间差测得目标的位置数据。它可以用于开放领域的安防，办公和居家场所的人员探测等。

甚至，出于合规需求的考虑，未来还有可能诞生更多新的商业机会：

一是在数据采集端，可能会出现一些新式传感器或对不涉及隐私信息的传感器的更多应用；

二是在数据的存储、传输、分析、交换等多个环节，对信息安全、隐私安全的需求都将提升，安全市场规模将进一步扩大，去年至今年受资本关注的“隐私计算”就是一个例子；

三是政策导向带来的合规性机会。

技术需要驱动力，同时也需要“枷锁”。

当94岁的老人被抱起凑向摄像头，新技术在这一刻违背了它被发明时的初衷，它并没有让生活变得更简单、美好，机器没有迁就人，而是人在迁就机器。

但我们需要的正是机器向人靠近，而不是相反。