【科普向】人脸识别，你的隐私还在吗？（一）——人脸技术和隐私权篇

引言：

“请大数据记住我”“我敷个面膜手机人脸解锁就不认识我了”......随着大数据时代的到来，人们的生活与手机捆绑得越来越紧密。刷脸支付、人脸登录、进出识别等等应用也让人脸识别这一技术为我们的生活带来了方便。可是，在快捷方便的同时，你是否注意到可能有一双眼睛，掌握着你的隐私信息，在暗处盯着你。

一、人脸识别技术的前世今生

人脸识别技术应用广泛，那么到底是如何操作的呢？为了让大家能够对准脸部位置，让脸部画面保持规定的大小，面部识别APP一般会在拍摄时给画面蒙上一层遮盖，画面上只留一个圆圈或者一个人脸的轮廓，来显示摄像头拍摄到的内容。这就让人误以为，摄像头只捕捉到了这个小小的圆圈当中的内容。

实际上，APP最终传输的认证照片其实是一张在这个距离下完整的自拍照，当然也一定会包括我们的上半身和身后的背景。所以，你在刷脸的时候，另一端可以看到的范围比你想象的大得多。

随着生物特征识别技术的不断发展，人体的生物信息得到了大量的开发以满足大数据时代的信息需求，DNA识别、指纹识别、视网膜识别、虹膜识别、人脸识别等生物特征识别技术高速发展。1964 年，布莱索首创人脸识别技术算法，开启了人脸识别技术研究的大门，随着大数据时代的到来，互联网技术、算法处理技术、生物感应技术等高智能科技的出现，为人脸识别技术的大规模应用提供了成熟的技术基础。

二、隐私权的法律小知识

隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息等。上述规定意味着除法律法规另有规定或当事人同意外，有权要求其他组织或个人不得实施侵扰私人生活安宁的行为，不得窥探私密空间、私密活动、私密信息等。

隐私权这一概念，最早在萨缪尔·D·沃伦和路易斯·D·布兰迪斯的《论隐私权》一文中被定义为个人在通常情况下决定他的思想、观点和情感在多大程度上使别人知悉的权利，每一个人都有决定自己的所有事情不被公之于众、不受他人干涉的权利。英国《牛津法律大辞典》认为，隐私权是不受他人干扰的权利，关于人的私生活不受侵犯或不得将人的私生活非法公开的权利要求。

《民法典》规定自然人享有隐私权。隐私权包括以下四项基本权利：

（1）隐私隐瞒权：隐私隐瞒权是指权利主体对于自己的隐私进行隐瞒，不为人所知的权利。

（2）隐私利用权：隐私利用权是指自然人对于自己的隐私权积极利用，以满足自己精神、物质等方面需要的权利。

（3）隐私支配权：隐私支配权是指公民对自己的隐私有权按照自己的意愿进行支配。

（4）隐私维护权：隐私维护权是指隐私权主体对于自己的隐私享有维护其不受侵犯的权利，在受到非法侵犯时可以寻求公力与私力救济。

在个人信息方面，自然人有三重权益：

1、除自然人或监护人同意、合理处理公开信息或维护公共利益和自然人合法权益的免责事由外，不得处理个人信息；

2、自然人可以依法要求信息处理者提供个人信息查阅、复制、更正、删除的功能或服务；

3、信息处理者不得泄露、篡改自然人的信息，未经同意不得向他人提供，并且还需要采取技术措施，确保个人信息安全，在泄露等事件发生后即时告知自然人和主管部门。

三．人脸识别的风险

去年以来，由于底层技术实现质的突破，人脸识别的准确率大为提高，其应用场景出现爆炸式的增长。一如既往地，人们将之视为新技术的拓展，平静地接纳了它在诸多场景中的应用。人们所表现出的平静，大体上是因为，很多人将人脸识别技术理解为单纯的识别与印证，不觉得有什么风险。

实际上，这种技术不仅用来抓取个人的面部生物信息，并与既有数据库中的相应数据相比对。它还能进一步追踪到个人的身份信息、日常的行踪轨迹、人与车的匹配、亲属关系的匹配以及经常接触人员的匹配等。这是它与遍布各处的摄像头相配合的结果。而这一切，只取决于掌控之人想不想使用。最新的人脸识别技术，不仅能够指示性别与估计年龄，还能够辨别个人的面部表情。由于它属于人工智能与深度学习的范畴，随着技术的进一步发展，经解读与分析而得出关涉隐私的信息，可想而知会越来越多。现行的人脸识别技术，无论是在收集、保管还是使用的环节，都存在诸多的问题。这些问题关涉人们重大的切身权益，绝不只是要求放弃一些隐私方面的权益那么简单。

（1）从数据收集环节来看，人脸识别具有无意识性与非接触性，可以远距离发挥作用，并能长时间大规模地积累数据而不被用户察觉，具有很强的侵入性。人脸识别的技术，能够在人们根本没有感知的情况下，远距离地抓取与记录相应的数据。很多场合对个人面部数据的获取，根本没有征得被收集人的同意，难以认为是依法取得。根据现行的刑法规定，不经同意而非法获取，或者将合法取得的个人信息出售或提供给第三方，此类行为均涉嫌构成侵犯公民个人信息罪。某些应用人脸识别的场景，表面看来是在被收集人同意的情况下进行，实际上，由于包括收集的主体、数据范围、使用目的、保护措施与相应风险等信息不明确的前提下，被收集人认可在法律上并不成立有效的同意，故收集行为仍属违法。

（2）从数据保管环节来看，由于个人的生物学数据具有稳定不变性，一旦泄露，相应的风险及危害即不可逆转，也无法有效弥补。今年有多起新闻报道涉及人脸数据泄密的问题。先是国内提供人脸检测与人群分析的一家科技公司，被发现其人脸识别数据库未设密码保护，一直对外开放，导致256万用户信息被泄露。在网络商城中甚至有商家公开售卖人脸数据，数量达17万条。这些泄露后的人脸数据，究竟会被谁使用，如何使用，我们都一无所知。换脸技术的出现，让诈骗行为与制造社会恐慌等，都变得更为简单易行。想想近些年电信诈骗的猖獗程度，就可推知，人脸数据的大规模泄露，会给社会带来多大的不确定性。在如何保护相关数据的问题上，没有做任何的强制性规定，而完全取决于收集方的意思。数据泄露引发的风险犹如一个火药桶，只要有一丝火星，便足以引发爆炸性的社会事件。

（3）从数据使用环节来看，由于未作任何限定，随着人脸识别技术应用场景的大肆扩张，滥用与歧视的现象必将不可避免。当下常见的应用场景，除了安保、门禁、支付与认证等之外，人脸识别技术也被广泛用于商场流量统计、社区管理、养老金领取、办税认证、物品保存、景区出入与演出场所的检票等。它甚至还进一步被推广用于教学过程，以监控与管理学生的课堂行为。对人脸识别信息的不合理使用，使得大规模的潜在操纵成为可能，而监控变得无所不在。人脸识别技术还可能引发歧视的问题。研究表明，人脸可以显示性倾向，且预测结果大部分正确。所以，同性倾向的人很可能会成为歧视对象。自然，歧视的领域远不只此，还包括种族、性别、民族、地域与职业等方面的歧视。由于对如何收集、保存、传输、使用与处理数据，以及是否允许出售或提供给第三方，能否放在网上等，现行法律并未做任何的介入，这就使得应用场景的大肆扩张可能引发的风险，也呈几何倍数地增长。

四、人脸识别的争议所在（一）既然指纹识别能推广，为什么人脸识别就不行？

1.法律授权。对公权力机构而言，在申领身份证时采集指纹，至少有《居民身份证法》的授权；而对个人面部信息的采集，却并无任何的法律授权。从各国的情况来看，强制采集国民的指纹，仍是较为少见的现象。虽然对外国人采集指纹的做法变得普遍，但在法治国家，往往以侵犯个人自治甚至违宪的理由，禁止政府采集普通国民的指纹。

2.风险程度。采集指纹不具有直接的可视性，与行踪轨迹等其他信息之间的关联性较小，监控性也弱风险要小得多。相反，人脸识别与无处不在的摄像头相结合，会形成高度的监控性。同时，在泄露与滥用的风险方面，人脸识别也比指纹识别要可怕得多。

3.应用场景。指纹识别的应用场景有限，个人对此一般都有认知，且大多用于个人的手机或单位内部，而人脸识别强制应用的场景过多过滥；而使用人脸识别时，我们在录入人脸后，就可能在不知情的情况下，无数次被人脸识别。

（二）在商业性的场景中，对人脸识别技术的运用，应符合什么要求呢？

（1）信息在法律层面上充分告知。收集方必须就相关信息与风险做明确而充分的告知，并事先征得被收集人的同意，且遵循法律程序进行。未经被收集人的明示同意，不得将个人数据以任何形式提供给第三方（包括政府部门），或者让第三方使用相应的数据。在涉及犯罪侦查或国家安全的场合，可例外地予以允许，但需要严格限定适用条件与程序。

（2）收集程序公开且在合理范围内应用。收集方不允许超范围地收集个人的面部数据，收集的范围应当符合相应适用场景的目的，并以合理与必要为原则。收集方在特定场景中所收集的数据，原则上不允许运用于其他的场景，除非该场景是在合理的预见范围之内。如果擅自扩大或者改变数据的应用场景，收集方应当承担相应的法律责任。

（3）收集方应尽保管义务。收集方应尽合理的努力，对所收集的数据妥善保管；违反保管义务，应当承担相应的法律责任。同时，如果被收集人撤回同意，或者明确要求删除自己的数据，收集方应当对相应数据予以删除。

五、加强保护的措施（一）技术层面保护

(1)数据失真技术。即在原始数据里加入适量“噪声”数据，让敏感数据不易被识别或者难以被攻击者还原出真实数据，由此保护用户的原始数据。

(2)数据溯源技术。即通过追踪数据的来演、重现数据的传输记录，用以帮助用户缩短辨别信息真伪的时间，确定数据运算以及检验结果是否正确等，其中使用最多的就是多位标记法。

(3)匿名发布技术。即通过匿名发布信息、有选择地发布原始数据、不发布敏感数据等方法，来躲避不法分子的攻击行为，以此来保护大数据信息安全与个人隐私。目前，这一技术还尚未成熟，需要不断地发展与完善，以提高大数据的安全性。

(4)角色挖掘技术。即通过整合、分配用户角色的方式，实现用户相关权限的科学管理，为用户全文 提供个性化服务并监控某些用户行为，进而使大数据信息与个人隐私更安全。

(5)身份认证技术。即通过采集、分析用户的行为以及设备运行的参数等，总结用户的行为特征，并基于此对用户身份进行验证，以此尽量避免骇客盗取个人信息的行为，进而保护信息安全和个人隐私。

(6)存储完整性审计技术。即确保重要信息(如个人隐私数据)在存入大数据服务器后，如何完整地取出且不消耗大量带宽。该技术也正在研究中，一种可行的方法就是利用群组有效用户的方法对大数据进行完整性审计，以提高重要信息安全与隐私保护的审计效率。

（二）管理层面的保护

实现大数据时代的信息安全与隐私保护，要从以下几方面同时发力：

(1)法律法规。一是完善现有的信息安全法律，二是制定专门的个人隐私保护法。这样不但可以为依法科学、合理地收集大数据提供依据，也能避免个人隐私泄露或数据被用作其他非法目的。

(2)行业自律。建立信息安全与隐私保护机构，引导企业合理利用隐私数据，在业内通过完善自律公约、启用第三方认证机制、加强审计监督等机制来保护大数据信息安全与个人隐私。

(3)全面监管。生物信息应用平台“准入制度”，对App、“互联网+政务”及商业机构等各类平台采集生物信息行为实行立体式、全方位监测，打击过度采集生物信息，严惩非法滥用采集信息的行为。建立符合我国国情的生物信息采集应用平台准入制度，严格审核应用平台的信息安全保护能力

(4)个人素质。人们要深刻认识到大数据时代来临带来的变革，提高自己的大数据素养和安全意识，切忌随意将自己的个人身份信息等公布在网上或随意泄露给陌生人，从源头切断不法分子的隐私来源，同时也要学会运用法律手段来维护自己的隐私权。

写在后面

值得指出的是，与一般的个人信息相比，面部生物数据的敏感特性，使得现有法律尚不足以提供充分的保护。个体的生物信息，包括人脸、基因、指纹、虹膜与步态等，均具有不可更改性。所以，一旦泄露，相应的风险完全不可逆，根本不可能恢复到泄露之前的状态。这意味着大数据 隐私，在没有对收集、保管与使用的环节做严格的法律规制之前，人脸识别技术的肆意推广，打开的就是潘多拉的盒子。我们付出的，绝不只是隐私的代价，还有我们时刻牵挂的安全。因此，围绕人脸识别技术的公共争论，既牵扯隐私，也涉及安全。无隐私即无自由。在人脸识别技术如何运用的问题上，只有拨开安全与效率的迷雾，我们才有可能做出理性的选择。

如果你觉得这个系列还不错，希望你可以点一个赞，关注我，或者转发让更多人看到，你们的支持是我们更新的最大动力！

（编辑：武汉站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!