一、種族運動迫使美國棄用人臉識別

近兩年來，人臉識別技術引發的數據隱私問題一直備受公眾討伐。僅就2019年而言，全球范圍內人臉識別技術使用相關的案件便層出不窮：瑞典數據保護機構（DPA）因當地一所高中使用人臉識別技術來記錄學生出席情況開出金額20萬瑞典克朗（約人民幣14.6萬元）的罰單；美國四個城市相繼禁止政府部門使用人臉識別技術；微軟公司疑似因隱私保護和授權瑕疵方面的原因刪除了曾為全球最大的人臉識別數據庫MS Celeb；Facebook因人臉識別功能或面臨著可高達350億美元的集體索賠；我國AI換臉軟件ZAO因涉嫌侵犯隱私被工信部約談整改。..。.. 而近兩個月，由于BLM運動的影響，人臉識別更是被推至風口浪尖，隨著這項技術下沉到各個領域遍地開花，最終到達了一個需要法律深度介入的十字路口。

5月25日，非裔美國人喬治·弗洛伊德在明尼蘇達州涉嫌使用假鈔被捕，并被警察以壓頸執法致死。事件引發美國社會以“BLM（Black Lives Matter，黑人的命也是命）”為口號的反種族歧視運動。亞馬遜、蘋果、微軟和谷歌等科技公司也紛紛表態反對警察濫用職權，支持種族平等。隨后，6 月 8 日， IBM 宣布將不再提供任何人臉識別和人臉分析軟件——這是美國科技巨頭第一次旗幟鮮明地放棄人臉識別業務；6 月 10 日，亞馬遜宣布將會暫停向美國警方提供人臉識別服務，時間長達一年；微軟也針對此表明了自己的立場：在有監管面部識別技術的聯邦法律出臺之前，該公司不會向警察部門出售這種技術。

在美國，IBM、亞馬遜、微軟等公司都曾不同程度的向美國執法機構交付過人臉識別工具，并頗讓人詬病。早在2015年，就有黑人被谷歌的圖像識別算法識別成了大猩猩。后來，針對這個問題，谷歌干脆在分類中刪掉了“大猩猩”這個標簽。而在2019年美國國家技術標準研究院發布的一份人臉識別算法的檢測中，將近200種算法里，亞裔和非裔的人臉識別錯誤率比白人高10到100倍。而就在前不久，因為“最強馬賽克修復AI”PLUSE把各個族裔的馬賽克照片都修復的像白人面孔，連出來說明原因的圖靈獎得主LeCun都遭受了輿論攻擊。

因此，盡管目前尚沒有證據表明5月25日當天警察之所以執法過當，跟弗洛伊德曾有的犯罪記錄或者警察是否使用了相應的AI工具有什么關聯。但眼下Black Lives Matter的示威觸發的一系列反應，讓各大公司明顯已感到名譽“危在旦夕”，或許還希望能夠避免訴訟，于是作出“暫停向警方出售人臉識別技術”的決定。

除了科技公司主動宣布暫停人臉識別技術，美國政府也在考慮警察執法過程中運用這項技術的合理合法性。就在IBM宣布停止出售人臉識別技術的同一天，美國民主黨人推出了改革警務的重磅法案，包括建立全國檔案來記錄警察的不當行為、禁止鎖喉、強制使用行車記錄儀和穿戴式攝像頭。法案中還要求，穿戴式攝像頭中不應安裝任何實時人臉識別技術，但并未完全禁用這項技術。

6月24日，波士頓市議會以13票贊成、0票反對的結果通過了《波士頓禁止人臉監控技術條例》。條例規定，波士頓市的任何市政機關和公務員均不得獲取、保留、擁有、使用人臉監控系統及通過此類系統獲得的信息，而且不能通過與第三方合作繞過條例。違反條例規定獲取的人臉監控數據將被視為違法數據，一經發現會被刪除。市政府官員表示，波士頓警察局此前并未使用過該技術，但警局目前使用的一款名為BriefCam的視頻分析軟件，它的升級版確實有人臉識別功能。波士頓警方在市議會的工作會議上表示，他們不會注冊這部分軟件更新。此次條例通過，等于從源頭掐滅該項技術在波士頓的使用。

目前，在禁用人臉識別的城市里，波士頓城市規模排第二，僅次于舊金山。去年，舊金山宣布禁用人臉識別的原因是出于隱私問題，民眾不希望被監控，而這一次加上種族歧視問題，可想而知社會對人臉識別技術的接受度不會太高。

相形之下，國內對于人臉識別技術的發展成鼓勵態度，科技企業在應用優先的環境中，人臉識別等一眾新技術仍在野蠻生長。另一方面，民眾對于個人隱私數據的保護意識，也已經開始覺醒。

二、國內疫情推進人臉識別，無數張“臉”期待整頓亂象

根據美國商務部2018年底的報告，排名全球前四的人臉算法技術均為中國公司持有。中國對這一技術的應用廣泛而迅速，其應用規模世界第一，積累數據世界第一。

國內主要人臉識別技術提供商目前，我國的人臉識別應用主要集中在安防和金融領域。根據國際調研機構Gen Market Insights 發布的數據顯示，2018年全球人臉識別技術行業市場規模為 23.91 億美元，到2025年底將達到71.7億美元，在2018年至2025年期間將以平均26.8%的速度增長。中國人臉識別市場規模約占全球市場的15%左右。預計未來五年市場規模將保持 23% 的平均復合增長速度，到 2024 年市場規模將突破 100 億元。隨著人臉識別技術的普及，其在物流、零售、智慧城市、教育、地產等領域的應用也在逐漸擴大。

當前，人臉識別技術應用已經“飛入尋常百姓家”，為生活帶來了不少便利，比如身份驗證、刷臉支付等。此外，在失蹤搜救、安保、偵破、反恐等領域也發揮了積極作用。如張學友的演唱會成了逃犯的夢魘、北大弒母案嫌犯在重慶江北機場被抓以及最新的勞榮枝案等，這其中都有人臉識別技術的功勞。包括最近被刷屏的冒名頂替上大學事件，山東省日前召開發布會介紹2020夏季高考工作情況表示，過去由于技術落后讓不法分子鉆了漏洞，今后為保障考生報名的真實性，會對入場考生實行人臉比對核驗。

不過，盡管人臉識別技術具有多方面積極意義，但和美國一樣，這項技術在運用過程中同樣存在不少問題。比如據媒體報道，當前網絡上存在著利用人臉識別技術漏洞牟利的灰色產業。一套人臉和身份證照片打包價2.5元，還有人在線傳授照片刷臉技巧，經過操作，可以騙過部分手機App的活體認證環節，相關人臉認證涉及58同城、陌陌、世紀佳緣等多個應用。正因如此，公眾對于人臉識別侵犯隱私、泄露個人信息，甚至威脅資金安全等表示擔憂。一項研究發現，超七成民眾對網絡運營者的安全保障能力存有疑問，擔心人臉信息遭泄露。

去年，一款名為“ZAO”的AI換臉軟件在朋友圈刷屏。該APP的用戶們用這個軟件，輕松過了一把“當演員明星”的癮。但很快，爭議和質疑接踵而來。不少人表示，該軟件涉嫌過度攫取用戶授權，侵害用戶個人隱私。此外，曠世科技的人臉識別技術進入課堂，監控學生上課狀態也引發了不小爭議。而最轟動的當屬“國內人臉識別第一案”，消費者以不愿使用人臉識別入園為由，將杭州野生動物世界告上法庭，引起了大眾對于個人隱私權的重視，也引起了人們對于相關技術法律監管的思考。

不過，到了2020年，公共衛生危機事件的爆發提高了人們對人臉識別技術的接受程度，許多原本應該進行的討論戛然而止，人臉識別技術被當做“防疫利器”大力度推廣。

除了機場火車站、景區、商場等需要進行非接觸式管理的公共場所，甚至很多不必要的地方都開始“刷臉”。青島市設立三座“AI智能化垃圾分類設備”，小區住戶在分類垃圾投放之前，必須“刷臉”才能打開垃圾柜門；昆明市一家酒店推出“刷臉入住”系統，入住、選房、離店，皆可“刷臉”完成；鄂州市民政局啟用人臉識別系統，可“刷臉”完成結婚登記；兩會期間有全國委員建議，通過人臉識別技術實行未成年人登入網游時段、時長分級，防止青少年沉迷網絡游戲……

人臉識別仿佛一把鑰匙，可以開啟我們通往無障礙時代的大門，但是如今一旦被迫用成習慣，很多人都忽視了這項技術曾經派生出的各種隱私問題。上個月，“國內人臉識別第一案”開庭再次刷屏了網絡。目前盡管庭審結果暫未公布，但很多人認為，這個“國內第一案”終究來得太晚了，畢竟在各大APP推出“刷臉功能”、機場火車站“刷臉入站”、便利店推出“刷臉支付”的當下，我們所謂的“臉權”早已不由自己掌控。因此，在一方面用戶面臨對是否“刷臉”無從選擇、另一方面數據隱私保護問題取決于企業道德水平的行業潛規則下，是時候倒逼政府出臺相關法律并加強監管了。

身處大數據時代，我們深知個人信息早已超出了姓名、年齡、職業等基本內容的傳統范疇，人的臉部特征作為重要的數據信息，一定是會被廣泛應用的。這是趨勢，誰也阻擋不了。那么，在大數據AI潮流之下，相關部門有責任和義務作出行動讓個人免于信息泄露的恐懼。一方面，個人信息保護的相關法律要盡快完善，確保數據采集相關機構堅持包括面部特征在內的個人信息“收集要授權、使用有界限、存儲應保護”的基本原則。另一方面，推廣使用包括面部識別的技術時，一定要科學論證它的“必要性”和“唯一性”，要尊重個人選擇的權利，確保“刷臉”技術不被濫用。

三、我國人臉識別立法該走向何方？

相較于歐盟保護人臉識別數據的核心法律《通用數據保護法規》（General Data Protection Regulation， 簡稱“GDPR”），以及美國各州市的獨立立法，目前我國沒有在人臉識別領域進行專門性的立法，只有極少數法律條文適用公民的個人信息的保護：

1、《網絡安全法》第四十一條

網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

2、《民法典》（2021年1月1日正式施行）第一千零三十五條

收集、處理自然人個人信息的，應當遵循合法、正當、必要原則，并應當符合下列條件：（一）征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；（二）公開收集、處理信息的規則；（三）明示收集、處理信息的目的、方式和范圍；（四）不違反法律、行政法規的規定和雙方的約定。

除此之外，《網絡安全法》明確將個人生物識別信息納入個人信息范圍，《個人信息安全規范》則規定，收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規則，并征得個人信息主體的明示同意。同時在企業個人信息保護政策中，對這類敏感信息應當著重突出顯示，提醒用戶注意。

不過，這些法律條文缺乏對信息的使用、存儲、運輸、管理的進一步細化。很多人就此呼吁，相關部門應組織專家學者，對人臉識別技術在現實運用中的安全隱患、隱私風險等予以評估，建立行業標準和國家標準；探討相應監管制度甚至立法，規范人臉識別的信息采集與運用程序、隱私邊界。比如，哪些領域可運用人臉識別、哪些不能運用，該如何保障公眾的知情權、選擇權、同意權與信息安全，若有信息泄露如何懲處與應對。

參考國外立法，在未來，我國大概率會選擇如下立法模式：1、允許商用和執法適用，明確知情權、同意權和消除權等權利；2、只允許政府在管理中使用，不允許商業性使用人臉識別；3、除特殊情形，常規政府管理和商用場景均禁止使用人臉識別技術。

上述三種立法模式，技術企業的商業空間逐漸遞減。這在國外的諸多立法中均可以看到。美國舊金山、奧克蘭、薩默維爾等市，開始禁止城市政府官員以及執法部門使用人臉識別技術。2020年初，歐盟發布了《歐盟人工智能白皮書》，其中也明確提出在3-5年內禁止人臉識別技術應用于公共場所，以評估該技術風險。

很多人表示，如此嚴格的立法會阻礙科技和商業發展。誠然，在歐美國家，立法對商業模式的影響還將長期存在。美國伊利諾伊州的《生物信息隱私法》一直困擾著那些推銷語音助手、門鈴攝像頭、照片標簽等技術公司；至于歐盟，《通用數據保護條例》也讓一些互聯網巨頭們急劇增加了數據合規成本。同樣，我國不斷健全的公民個人信息立法，也將開始重塑未來的全新商業模式。

今年兩會期間，全國人大常委會工作報告在下一步主要工作安排中指出，今年將圍繞國家安全和社會治理，制定個人信息保護法。消息一出，引發廣泛熱議。很多人認為，在人臉識別技術可能導致數據泄漏、制造黑色產業鏈的巨大隱患下，個人信息保護法順應了老百姓對信息安全需求的呼聲。

《個人信息保護法》將是我國第一部對于公民個人信息問題的專門立法，體現了我國對公民個人隱私保護的重視。該法律出臺能夠使個人隱私的保護真正落腳實處，使公民在維護個人隱私時有法可依。同時，該法律應當對當前社會各應用場景中面臨的問題盡可能做出具體回應，例如人臉識別問題，小程序授權獲取信息問題等，并給出相應的處理措施。

除了法律層面的完善，有專家建議，或許可以通過技術手段，讓包括人臉識別數據在內的個人信息流轉得到清晰可靠的追溯。比如強制要求個人信息的采集單位，將相關數據通過新型基礎設施完成報備，包括信息的采集、加工、處理、流轉、使用等等各個環節，以實現個人信息流程溯源和責任追蹤。

搭載新基建的同時，在立法、執法層面，應完善對濫用人臉識別技術、導致人臉等個人信息泄露行為的懲罰規范并加大懲處力度，三方面共同作用，消除人臉識別技術誤用、濫用的隱患，保護公民個人隱私、保障社會安全。相信到那個時候，我們每個人都將有權利，對所有并非以維護公共安全為目的的人臉識別應用說“不”。
編輯：hfy