趋势与观点 | 人脸识别技术的隐私问题

随着大数据和人工智能技术的发展,人脸识别技术(Facial Recognition Technology,简称FRT)被广泛应用于各种领域,正越来越多地融入日常生活,包括手机解锁、门禁系统、支付系统、社交网络、安全监控等。

近年来,FRT的开发和使用呈指数级增长。随着组织出于各种原因使用该技术,包括验证和/或识别个人以允许他们访问在线账户、授权付款、跟踪和监控员工出勤率、针对购物者的特定广告等等,FRT的市场正在迅速增长。事实上,预计到2028年,全球面部识别市场规模将从2021年的50.1亿美元增至126.7亿美元。这一增长还受到全球各地政府和执法机构日益增长的需求的推动,这些机构使用该技术协助刑事调查、监控或从事其他安全相关活动。

但是,与任何技术一样,使用FRT也有潜在的缺点,包括以下几个隐私和安全问题:

未经同意——任何数据隐私法的一个基本原则是,组织必须让用户知道他们正在收集什么生物特征数据,并获得他们的同意。FRT对隐私最重要的影响是在未经用户同意的情况下使用该技术识别人脸。这包括使用实时公共监控或非法构建的数据库聚合等应用程序。

未加密的人脸——从远程捕捉人脸变得越来越容易,收集和存储人脸也越来越便宜。与许多其他形式的数据不同,人脸无法加密。涉及面部识别数据的数据泄露增加了身份盗窃、跟踪和骚扰的可能性,因为与密码和信用卡信息不同,人脸无法轻易更改。

缺乏透明度——在不知情或不同意的情况下使用FRT识别人脸会引发隐私问题,尤其是因为生物识别特征是个人独有的。此外,它还带来了额外的担忧,因为与其他生物识别技术(如指纹)不同,面部扫描可以轻松、远程和秘密地捕获。

技术漏洞——使用FRT,可以通过使用根据受害者图像创建的图片或三维(3D)面具来欺骗系统(即伪装成受害者)。此外,FRT可能容易受到PA攻击或使用物理或数字欺骗,如面具或AI换脸。

不精确——不精确是对FRT的另一种常见批评。捕捉到的面部扫描错误识别某人可能会产生长期后果。此外,准确率因人口统计而异,这可能导致在犯罪情境下的不公正逮捕。

监管环境

世界各地已经通过了各种法律来控制和规范FRT的使用,有些侧重于执法、有些则侧重于对公共部门的监管。在美国,如果是在匹兹堡、费城和弗吉尼亚州,部署FRT需要事先获得立法批准;马萨诸塞州和犹他州要求执法部门在进行面部识别搜索之前向维护数据库的州机构提交书面请求。同样,南澳大利亚州也颁布了《监控设备法》(2016年)。该立法规定未经所有关键方明示或暗示同意,任何人不得在对私人活动进行视觉记录或观察的场所内安装、维护或使用光学监控设备。该法案还禁止知情使用、通信或发布使用光学监控设备产生的信息或材料。

人脸识别技术的隐私原则

各组织正在不断努力简化FRT在其商业应用中的使用,以确保安全、安保、访问、身份验证、存储识别和管理,以及个人身份信息(PII)的可访问性。FRT的隐私原则旨在推动企业和在线平台在商业环境中开发和使用FRT时负责任地使用数据。这些原则包括:

获得同意——企业在将个人纳入使用FRT进行验证或身份识别的项目和/或向不知道该个人身份的第三方识别该个人时,应获得明确、肯定的同意。

合理使用——企业应致力于以符合消费者对数据收集环境的合理期望的方式收集、使用和共享人脸识别数据。

透明度——企业应向消费者提供有意义的通知,说明面部识别软件模板是如何创建的,以及这些数据将如何使用、存储、共享、维护和销毁。

数据安全——企业须要有设计合理全面的数据安全程序,以保护个人信息的安全、隐私、机密性和完整性,使其免受风险(例如,未经授权的访问或使用、意外或不适当的披露),并使用适合信息敏感性的行政手段、技术和物理保护措施。

基于设计的隐私——除了政策、法律和行政措施外,企业还应寻求实施技术控制,以支持或强制遵守这些原则。

完整性和可访问性——企业应采取合理措施,保持人脸识别数据的准确性。为个人提供审查或请求更正不准确身份标签的合理途径,以及要求删除面部识别数据的权利。

问责制——企业应采取合理措施,确保组织与所有第三方服务提供商或业务合作伙伴在使用FRT和数据时遵守这些原则。

结论

人脸识别技术FRT的快速发展已成为一个突出的全球性问题。虽然FRT有许多潜在的好处,但它也带来了重大的隐私问题。在这个蓬勃发展的领域,监管的前进之路似乎将侧重于确保有足够的保障措施来防止滥用FRT和保护隐私,但结果如何就需要时间来验证了。

在一个依赖人脸来识别身份的世界里,无论是面对面还是在视频通话中,了解什么是真的,什么是假的,都是安全和隐私的一个关键方面——即使没有使用FRT。

 

作者:HAFIZ SHEIKH ADNAN AHMED,在信息和通信技术治理、网络安全、数据隐私和保护、风险管理、企业创新以及数字化和战略转型等领域拥有超过17年的经验。