Go back to menu

人脸识别技术——监管竞赛

Facial Recognition Technology – the race to regulate

05 October 2020

人脸识别技术(Facial recognition technology)拥有广泛的应用场景,从解锁个人设备,到协助政府和警察加强公共场所监控等。人脸识别技术已经日渐成为日常生活的一部分。人脸识别技术的好处毋庸赘言,但技术的使用可能同隐私权和人权法相冲突,这一担忧也使该技术饱受争议。

全球政治气候动荡不安,特别是"黑人的命也是命 (Black Lives Matter)"运动,引发对种族定性(Racial Profiling)和侵犯基本人权和自由的担忧,也使多个行业巨头成为关注焦点。关切之一是,由于缺乏对人脸识别技术的监管,技术使用的速度超过立法速度,全球一些最大的科技企业已经宣布,在规范人脸识别技术使用的法律出台前,停止向美国警方提供人脸识别技术。英国上诉法院在2020年8月作出了一项具有里程碑意义的判决,法院判定南威尔士警方使用自动人脸识别技术监控系统侵犯隐私权。这一判决是人权组织"Liberty"提出上诉之后作出的,该组织认为人脸识别技术的使用违反了数据保护法,导致种族歧视。

在欧洲,对人脸识别技术的法律立场也无定论。欧委会一直不愿就人脸识别技术的使用作出有约束力的决定,而是允许成员国自行评估是否应当禁止人脸识别技术在公共场所的使用。

本文中,我们将讨论人脸识别技术的机制,为何需要对人脸识别技术的使用进行进一步(并且及时的)监管,探讨企业在组织内应用人脸识别技术时必须考虑的关键因素。

什么是人脸识别技术?

人脸识别技术通过使用能分析人脸数据的算法和相关硬件,比较人脸之间的相似度,确定识别对象的身份。该技术可以从个人照片或视频中提取面部特征,创建个人脸部“模板”,该“模板”随后可以被系统识别,或与其他模板进行比较。

人脸识别技术系统将捕捉识别对象的面部图像,评估识别对象面部的几何特征,记录如眼睛和嘴的位置以及如鼻子、下巴或耳朵等面部显著器官的相对距离。这种分析将生成一个独特的“面部签名”,转换成算法数据。

英国政府咨询机构数据道德操守和创新中心 (Centre for Data Ethics and Innovation)确定了两类人脸识别技术:

(1)人脸验证技术系统,确定一张人脸图像是否同一个已有的人脸模板匹配(例如,通过机场安检电子门)。

(2)人脸识别技术系统,人脸图像与数据库中存储的特征模板进行搜索匹配,将一张人脸图像与多张人脸图像匹配(例如,社交媒体技术中,通过个人相册中的“标记”推荐朋友),

大多数情况下,个人是在知情的情况下决定使用人脸识别技术,因为该技术被认为是安全、有效的。但是,即便在个人知情的情况下决定使用人脸识别技术,从数据保护和道德角度,仍然存在担忧。例如,由于在识别深色皮肤个人时准确率低,人脸识别技术的使用仍受有争议。美国国家标准与技术研究院的研究人员发现,人脸识别技术算法在识别非裔和亚裔面孔时,其错误率是识别白人时的10到100倍。还有一种前提假设是,个人数据仅用于即时目的,然而,个人数据有可能在当时或将来,在个人不知情的情况下,在后台被用于其他活动。

当人脸识别技术用于监控场景时,它是闭路电视监控的拓展,因为人脸识别技术可以用于回看以及实时监控,它可以将个人图像与图像数据库比对,并可完全自动化操作。当人脸识别技术用于识别目的时,捕获的图像将被转换为灰度图像、裁剪并生成用于面部比较的“模板”。操作人员随后可以搜索图像,并将图像同系统中其他模板比较,以确定人脸是否与数据库中的图像匹配。

从数据隐私的角度,传统闭路电视监控存在许多问题,而且其使用本身也存在争议。但是,虽然闭路电视监控在某些情况下可能会收集敏感个人信息(如个人种族),但一般认为,闭路电视监控可以用于安保目的,只要设置适当(且醒目)的通知,告知存在监控,并且个人能合理的预计闭路电视监控正在运行(如在商场中)。

相较于闭路电视监控,人脸识别技术面临同样问题,而且还更可能侵犯隐私。此外,可能构成公然使用个人生物特征数据,后者在《通用数据保护条例》下属于“特殊类别个人数据”,且可能构成其他数据保护制度项下的敏感信息。因此,权衡合法利益 (涉及数据控制主体所主张的用途,即发现或预防犯罪)和对个人权利和自由的不利影响,变得更加复杂。

限制

迄今为止,在英国还没有专门针对人脸识别技术及其相关技术的详细监管机制。在英国,数字图像和输出结果(使用人脸识别技术生成的报告或剪影 (Profile))将被视为《通用数据保护条例》和《2018年数据保护法》(DPA)项下的“个人数据”。从执法的角度,人脸识别技术的使用还受2012年《保护自由法》、《平等法》和1998年《人权法》的规制。批评者认为,目前法律制度支离破碎,无法应对人脸识别技术的复杂性。如果企业计划使用产生自人脸识别技术的生物特征数据,必须遵守适用于人脸识别技术的各种监管规则。而监管规则也在不断演变。例如,2020年3月华盛顿州成为美国首个通过立法规范人脸识别技术使用的州。对于在不同地区开展业务的组织和实体,了解适用的限制和不同规则仍将具有重要意义。

《通用数据保护条例》挑战

《通用数据保护条例》要求受条例管辖的主体满足个人数据保护的若干要求。《通用数据保护条例》规定了处理个人数据时必须遵循的核心原则,包括:

透明度:个人数据必须以合法、公正和透明的方式处理。在监控场景中,可能通过下列方式满足上述要求,例如通过隐私声明和适当标志,向数据主体提供广泛信息,告知正在进行的数据处理。

数据处理的合法性及基础:个人数据的收集必须基于收集数据当时界定的具体、明确且合法的目的。数据主体的同意是数据处理的前提,但有时难以确保以公允方式且经充分告知数据主体后取得其同意。在监控场景中,并不总能取得同意或无法取得数据主体同意,在此情况下企业“合法利益”可能成为个人数据处理的合法依据,为此必须评估合法利益。这就涉及如何在个人数据风险与组织利益之间取得平衡 — 对于更加隐蔽的监控使用方式,风险有时会过高。

数据安全:数据控制者必须确保制定适当的技术、组织层面的安全措施,确保使用人脸识别技术采集的个人数据的安全。即便企业外购(而非自研)人脸识别技术解决方案 — 企业仍须投资安全解决方案,并要求供应商应用安全解决方案,对相关技术提供支持,以充分保护个人数据安全,防止数据的未经授权或非法处理以及数据的意外丢失、损毁或损害。对于大型人脸识别技术项目,这一点涉及的投资巨大,并需要核验供应商的安保措施。

数据收集的最小范围原则:经人脸识别技术采集的个人数据应限于与处理目的相关且必要范围,不得超过数据控制者事先列明的数据处理目的。但大规模监控往往无法符合该项原则,因此在指定人脸识别技术解决方案中,必须遵循“隐私纳入设计”原则 (privacy by design),以解决潜在隐私保护问题。

数据主体的权利:数据控制者必须确保数据主体能够行使数据保护权,包括查阅其个人数据的权利;如个人数据(在特定情况下)不完整、不准确或遭删除,数据主体能予以更正;数据可携权 ("data portability"),以转移其个人数据,以及基于合法权利并基于特殊情形相关的理由反对处理其个人数据(包括数据概要分析)。

敏感 / "特殊类别"个人数据:鉴于敏感/特殊类别数据对数据主体基本权利的特殊风险及影响,对此类数据的处理受到更为严苛的保护。《通用数据保护条例》第4条第14款将“生物特征数据”定义为基于特别技术处理自然人的相关身体、生理或行为特征而生成的个人数据,此类个人数据能够识别或确定自然人的独特标识,例如脸部形象或指纹数据。当生物识别数据用于识别唯一特定个人时,构成“特殊类别数据” (《通用数据保护条例》第9条第1款)。

只有在满足特定有限的基础前提下,处理特殊类别数据才是合法的,不仅需要满足数据处理的一般条件(《通用数据保护条例》第6条),还必须符合《通用数据保护条例》第9条规定的例外情形之一,包括数据主体同意。但是公司不太可能就人脸识别技术的使用取得每个数据主体的明确同意,且基于数据主体的同意,数据主体还必须享有选择退出(不予使用人脸识别技术)的权利 — 而就人脸识别技术而言实现这一点比较困难。

如出于安保或监控目的而使用人脸识别技术,组织可能以“实质性公共利益”为由,证明其采用人脸识别技术的合法性。企业必须满足英国《数据保护法》(DPA)附件1规定的其他条件和保障措施。企业必须持有适当政策文件,使用人脸识别技术是 “预防或发现非法行为”的必要条件为前提。企业还必须证明其对该等数据的处理是(i)“出于实质性公共利益之目的所必需的”;且(ii)必须在未经数据主体同意情况下进行,以免妨碍上述目的的实现。因此,考虑到特殊类别数据的固有风险,仅凭模棱两可或一般公共利益为由不足以证明处理特殊类别数据的合法性。现实中,这些政策文件需要提出具体规定,以解决企业面临的合规风险。要想证明人脸识别技术使用的必要性亦非易事 — 证明标准很高,需要有力理据 (考虑到人脸识别技术对个人隐私构成重大风险)。

如果使用人脸识别技术可能对个人隐私构成较高风险,必须进行数据保护影响评估并且,这也是最佳实践。企业可以借此机会梳理相关风险,考虑如何降低风险。如果无法调整人脸识别技术数据处理以尽可能减少风险,计划采用人脸识别技术的组织可能需要在开始处理相关数据前咨询监管机构 — 因此,及早进行数据保护影响评估对于企业而言非常重要。

人脸识别技术的前景

全球范围内,员工已经开始新冠疫情爆发后的复产复工。企业纷纷利用高科技手段,限制人际接触,遏制感染传播,以应对员工返工。为实现这一目标,一些企业将热成像技术与人脸识别技术系统结合,调查和追踪潜在感染者,防止感染者进入大楼。在新加坡,Ramco Innovation Lab研发的人脸识别技术能够帮助公司识别并跟踪体温过高的员工和访客。意大利政府向博立信(北京)科技有限公司采购了人脸识别技术工具包,用于在公共场所监控人群。该系统可存储多达65,000张面部影像,并集成了门禁和访问协定。

人脸识别技术在全球使用的技术系统中扮演着起着重要作用。但是,要想兼顾技术有效实施和用户隐私保护,政府必须确保已落实全面的法律框架,规管人脸识别技术使用。如果没有适当监管,使用人脸识别技术将可能侵犯个人隐私,还可能因数据不准确而固化偏差(特别是当系统针对不同人口群体的准确率不同的情况下)。另一方面,科技公司也可能会陆续表现出不愿向公司和政府提供人脸识别技术软件的情况,因为科技公司担心因为其所提供的技术软件给公司和政府提供了不适当调查人口的权利,从而协助实施大规模监控,侵犯用户权利。例如,在示威和抗议活动中采用人脸识别技术(例如 南威尔士警方一案判决)可能防止人们参加此类活动,妨碍人们言论自由和结社自由的权利。

英国资讯专员办公室(ICO)呼吁制定新的具有约束力的业务守则,对于哪些场景被认定必须部署人脸识别技术提供更明确的指导,包括关于目标监察名单和位置的指导。此外,2020年7月,ICO和澳大利亚资讯专员办公室(OAIC)宣布开始对Clearview AI Inc的数据处理业务开展联合调查,调查涉及该公司对个人数据和个人生物特征的使用。调查重点为Clearview使用的人脸识别技术应用程序,该程序据称包含超过30亿张从社交媒体平台和其他网站上“采集”的人脸图像(有关更多信息,请参考Talking Tech Article: "Caught in a scrape: new investigation reveals risks of facial recognition AI"). ")。这一联合调查树立了具全球影响力的先例,即要求数据保护机构必须执行和维护数据保护权,从事跨境个人数据传输业务的公司所负的数据保护责任也可能加重。

2020年6月,美国参议院宣布出台《面部识别和生物识别技术暂停法案》(Facial Recognition and Biometric Technology Moratorium Act),该法禁止联邦机构在未经国会批准的情况下使用人脸识别技术。该法还禁止将联邦资金用于生物识别监控系统。

欧盟委员会的《人工智能白皮书》(2020年2月发布)提出支持暂停实施在欧盟范围内公共空间内自动识别个人特征的部署,以便允许(i)就妥为采用人脸识别技术开展知情、民主辩论;且(ii)欧盟成员国实施适当保障措施,包括全面立法框架,确保针对特定用例的相应技术和系统的合理性和比例性。欧盟委员会的下一轮咨询将于2020年9月结束,可能将于2021年第一季度出台新规定。

就美国参议院和欧盟委员会提出的各项措施,其实施效果尚待观察 — 而对于如何就人脸识别技术建立共生关系,确保人脸识别技术的任何使用受制于明确指导(即哪些情形是部署人脸识别技术的绝对必要条件)以及保护数据主体权益及自由,仍有大量的问题亟待解决。

Uche Eseonu, Trainee Solicitor, contributed to the writing of this article