誰擁有你的臉

張田勘

駐德班總領事費明星在南非《水星報》發表署名文章，其中提到，冬奧會各賽區均利用科技進行閉環管理，連滑翔中心和高山滑雪中心這樣的大型場地，也只需一次刷臉，即可快速完成體溫檢測和注冊。

刷臉，即人臉識別。這不是一項新鮮的技術，全球范圍內，基于人工智能（AI）的人臉識別已經應用得非常廣泛。但有趣的是，從刷臉目前的發展來看，我們可以看到兩個背道而馳的趨勢，一方面是人臉識別技術的不斷提升，另一方面則是生物信息的愈發嚴控。

刷臉能分清雙胞胎嗎

5年前，國內的刷臉技術剛剛大規模投入使用，主要應用方向是身份認證。例如社保領域和征信領域，刷臉都被用來認證公民身份信息。當時，刷臉在金融領域只有小規模的應用，銀行正在考察和調研人臉識別遠程開戶實現可能存在的問題，業內探討的主流是：刷臉的識別能力夠強嗎？

2018年，支付寶、微信推出蜻蜓、青蛙等智能刷臉設備，網友向刷臉技術提出了多個安全疑問：人皮面膜（3D）會蒙混過關嗎，妝前、妝后能否識別，整容和毀容后咋辦，偷拍的視頻是否可以識別，臉上長了很多痘痘還能識別嗎，雙胞胎會搞混或互刷嗎？

在當年，這些問題其實就已經在一定程度上得到了解決。阿里巴巴曾找來8位韓國女孩，在韓國江陵奧林匹克公園的冬奧展館挑戰人臉識別技術，其中就有一對雙胞胎姐妹。所有的姑娘都一一被分辨了出來。

人臉識別結合了海量數據挖掘、神經網絡等技術。到了現在，根據美國國家標準與技術研究院（NIST）的數據，世界上最好的人臉識別技術可以做到千萬分之一誤差，人臉識別的準確率接近99%。

安保方面，刷臉技術的精度正在不斷迭代更新。仍以北京冬奧為例，冬奧場館的人臉識別通道閘機終端，擁有3D結構光攝像頭，具備活體檢測能力，可以抵御照片、視頻和3D面具的盜刷攻擊。這些人臉識別通道閘機終端也會加入測溫功能，可以在一秒之內同時完成人臉識別身份識別和測溫核驗。與此同時，為了執行一些特殊任務，場館內的許多機器人都搭載著人臉識別系統。

除了安保，刷臉在金融領域的應用也已經很普遍，很多銀行已經能在手機App中進行開戶操作。業內極力推廣刷臉支付的一個理由是，便捷和節省成本。英國《衛報》曾報道，江西省人民醫院推出40臺刷臉支付機后，收銀結算速度提高了50%；在卜蜂蓮花超市，顧客結賬10件商品平均需要56秒，刷臉支付則只需28秒，由此算來，一年可以節省高達2820萬元的成本。

基于這些好處，刷臉支付就可以暢通無阻、高枕無憂了嗎？

獨一無二的密碼

2018年10月，刷臉技術落地不久的時候，國內一項覆蓋6000多人的調查結果顯示，近80%的受訪者擔心刷臉導致個人信息泄露。

直至現在，技術的完善也不能打消這種顧慮，尤其是在金融領域——把人臉識別用于支付，并不能完全解決安全問題，因為刷臉甚至可能比密碼更不安全。

臉是個人的生物密碼，但是這個密碼是永久性的，無法修改。一旦有人成功冒充了第三者的臉，第三者幾乎沒有任何辦法阻止別人盜用面部信息來進行支付操作。刷臉支付和一般的用戶名、密碼系統是有本質區別的——如果銀行卡密碼泄露了，可以通過修改密碼來阻止別人盜刷卡；但如果別人盜了臉，就無法改正——哪怕刷臉支付只有0.0001%的錯誤率，一旦信息出現流失，就永遠無法挽回。

另一方面，面部是一種用于個體識別的生物技術，現在用于支付，已經偏離了生物識別應用的主體方向。最大的隱患是個體隱私的泄露。迄今，人臉識別技術標準參差不齊，實際應用也各自為陣，沒有統一的行業標準，這就造成大量的人臉數據被存儲在各應用運營方或是技術提供方的中心化數據庫中。這些數據是否脫敏、哪些用于算法訓練、哪些會被合作方分享、哪些會被政府和企業采用……人臉的提供者一概不知。更嚴重的是，一旦服務器被入侵，高度敏感的人臉數據就會大范圍泄露。

盡管有人提出，從技術上進行分層授權、分布式存儲的數據脫敏和加密方式，可以避免人臉數據泄露。但由于人性的弱點，任何管理者和可以接觸到人臉數據的人，都可以盜用、泄露和買賣人臉數據。

這并非危言聳聽，此前有媒體調查發現，在某些網絡交易平臺上，只要花2元錢就能買到上千張人臉照片，5000多張人臉照片的標價還不到10元。顯然，這是個人隱私領域的極大隱患，也可能造成嚴重危害。

基于這些原因，世界上一些頂級的信息技術公司，已經在收集和利用人臉識別信息方面，收手退卻了。

刪除10億張臉

2021年11月2日，全球科技巨頭、大量采用人臉識別的元宇宙（Meta，原臉書）公司宣布：關閉人臉識別軟件，并刪除此前該公司采集的超過10億人的個人面部識別數據，因為這個軟件可以自動識別發布在社交媒體上的照片和視頻中人的面部。出于安全考慮，公司將不再使用該軟件。

元宇宙公司的人工智能副總裁杰羅姆·佩森蒂指出，目前人們對人臉識別技術有許多擔憂，監管機構尚未提供明確的監管條例來規范這項技術的使用。直到現在，還沒有通行標準來應對這些問題。在這種不確定性下，合適的做法是不再使用這項技術，以限制人臉識別技術對數據信息等的采集。

佩森蒂的說法是一方面，另一方面，國際上對于人工智能的倫理規范和管理的要求，正在日益增加。聯合國已經達成了初步共識，就是全面保護個人信息。

2021年11月24日，聯合國教科文組織的193個會員國正式通過了首份有關人工智能倫理的全球框架協議——《人工智能倫理問題建議書》（下稱《建議書》）?！督ㄗh書》提出，既要增進人工智能給社會帶來的積極效果，但同時也要預防人工智能的潛在風險。對于預防人工智能的風險，在科技公司和政府已采取的措施之外，還需要采取更多行動，通過確保透明度、行動力和對個人數據的控制來保證個體得到更多保護。

《建議書》明確禁止使用人工智能系統進行社會評分和大規模監控，因為此類技術極具侵入性，大范圍侵犯人權和基本自由。

此外，隱私權對于保護人的尊嚴、自主權和能動性不可或缺，在人工智能系統的整個生命周期內必須予以尊重、保護和促進。人工智能系統所用數據的收集、使用、共享、歸檔和刪除方式，必須符合《國際法》，同時遵守相關的國家、地區和國際法律框架。

抵制生物信息濫用

《建議書》提出的問題，也是很多中國公眾擔心的問題。一些被迫使用刷臉支付的人感到，刷臉會讓他們感到不舒服，并且擔心個人數據被采集方泄露。南都個人信息保護研究中心的一份數據表明，有57%的受訪者擔心被追蹤。

在國外，這樣的擔憂曾產生了大量反對人臉識別的運動。2019年9月，美國一群音樂人在推特上發起號召，反對在一些音樂節上實施人臉識別技術——人們在看表演的時候應當感到安全、被尊重，不應當被監視、騷擾、驅逐或逮捕。人臉識別的應用會讓未注冊、有色人種、跨性別、有犯罪記錄的粉絲遭受特別待遇，他們會被不公正地騷擾，甚至被誤判。

正是對人工智能發展方向的擔憂，讓聯合國出臺了《建議書》。但是，《建議書》的發布只是一個原則性意見和框架，正如其中指出，人工智能帶來了前所未有的新挑戰，包括性別、種族偏見的增加，對隱私、尊嚴和行動力的重大威脅，大規模監控的風險，以及在執法中越來越多地使用不成熟的人工智能技術等。凡此種種，都需要各國政府制定相當的規定和法律，以保護個人信息。

現在，中國已于2021年11月施行《個人信息保護法》，歐盟也有《通用數據保護條例》，但是，任何國家都還沒有針對人臉識別技術應用的統一標準，以及詳盡的人臉識別應用的法規。

如冬奧會、刑事鑒識這種基于業內頂尖技術、小范圍樣本數、國家公信力保障數據安全的短期刷臉應用，是效率和科技的體現。但在個人隱私大于商業應用的原則下，即便有巨大好處，刷臉仍不宜擴大到生活之中，尤其不適合諸如購物、出入小區等既非必要、可代替方法又很多的場景。