澎湃新闻记者 吴怡

近日,关于一名中年男子与一名年轻女子在公开场合拥抱亲吻的照片在社交媒体上流传,有网友自称通过搜狗的人脸搜索匹配功能,识别出这名男子疑为一大学学院领导冯某,并将两者图片进行对比和传播。然而,当事人冯某否认,并向派出所报案。

事件背后,互联网平台的人脸搜索匹配服务引发关注。日前,财经网在微博上发起一项“如何看待平台提供人脸识别匹配功能”的小调查,结果显示近七千人参与了问卷调查,其中35%的人担忧会不会导致人脸识别滥用,另外34%的人认为平台需要出台相关规定规避滥用风险,还有20%的人认为技术中立,关键在于用户如何使用,9%的人认为或许可以帮助寻找丢失人口。

人脸互动营销(精准营销噱头层出不穷)(1)

财经网在微博发起“如何看待平台提供人脸识别匹配功能”调查。微博截图

普通大众对于互联网平台的人脸搜索匹配并不算熟悉,这项服务究竟是如何操作的,人脸信息库如何建立,信息抓取、搜集、处理等环节是否存在违规操作或信息安全漏洞,相关责任方应该如何规范管理、规避滥用风险?带着这些疑问,澎湃新闻(www.thepaper.cn)采访了“人脸识别第一案”当事人、人工智能研究专家以及互联网行业研究者。

你的人脸信息被追踪了吗?

此次风波涉及到的搜狗图片人脸搜索功能,操作流程并不复杂,当用户上传一张人脸图片时,就可以搜到外貌外观相似的图片,图片来源于公开的网页。另外,搜狗AI开放平台还有人脸搜索的合作服务,即输入一张照片,对比人脸库中N张人脸,进行1:N检索,找出每个人脸最相似的一张或多张人脸,并返回相似度分数。

澎湃新闻注意到,除了搜狗,不少互联网平台都推出了人脸搜索识别匹配的业务,如阿里云、百度大脑、女神搜、华为云、旷视、腾讯云、Face360等,官网介绍该项服务主要应用于安防监控、门禁闸机和人脸考勤、支付、登录等应用场景,甚至推出了相应的付费服务。有的搜索结果是基于公开的网络渠道;有的则是基于新创建的人脸数据库,流程是先向人脸库添加人脸,再在人脸库中进行人脸搜索。

例如,阿里云人脸搜索服务显示,可以根据输入图片,在数据库中搜索并返回相似的人脸图片数据。单次搜索的人脸总数最多20万张,单次搜索可支持最多20个人脸数据库的同时搜索(跨库搜索)。

值得注意的是,阿里云、腾讯云、旷视和Face360等平台还可以提供VIP客户识别服务,主要是通过对VIP客户的人脸信息进行存储和识别,系统识别到VIP会员后,向会员提供更加周到细致的服务。阿里云强调这项服务是在VIP会员授权前提下进行的。

人脸互动营销(精准营销噱头层出不穷)(2)

阿里云人脸搜索介绍。阿里云官网 截图

而在现实的操作中,顾客的人脸信息却被商家悄悄窃取。今年中央广播电视总台“3·15”晚会曝光,多家知名品牌门店使用“无感式”人脸识别技术擅自采集消费者人脸信息,以此对客户分类,进而采取不同营销策略。央视财经记者在全国多地先后调查了20多家装有人脸识别系统的商户,所到之处,人脸识别信息均被偷偷获取,没有一个商家明确告知,征得同意更是无从谈起。

互联网平台除了1:N检索人脸信息,还可以M:N搜索。例如百度大脑的人脸搜索服务显示,如果一张图片中存在 M 张人脸,支持一次性在人脸库中搜索全部人脸,并返回每个人脸对应的用户和相似度。

Face360也声称可以进行大规模人脸搜索比对,通过动态人脸识别自动预警系统,对接入系统的监控摄像机所监视区域内的人员进行准确的人脸捕捉,获得其人脸正面图像,同时与重点监控人员库内的人脸图像进行比对,从而起到识别、预警和防范的作用。

有的平台还推出私人定制的人脸追踪服务。女神搜网站自称是“最先进的人脸跟踪器”,可以利用人工智能和大数据进行全网人脸搜索,检索超过5000万个网站,包括获取成人网站数据。它介绍,这项功能主要是为了帮助客户及时检测自己的肖像是否被盗用或偷拍并非法公布于互联网,并强调“不会保存客户的搜索图像”。

人脸互动营销(精准营销噱头层出不穷)(3)

女神搜付费会员套餐。女神搜官网 截图

用户想要获取搜索结果,必须付费购买套餐,会员套餐定价从29.66元到99.66元不等。女神搜声称网络数据库拥有完善的管理,搜索结果只需要在几秒内就准备好,并且找到它们在各种网站上的出现情况。更进一步的是,它还能够提供订阅服务,也就是使用基于人工智能的自动人脸跟踪器,定期向客户报告需要搜索的人在互联网上出现的情况,一旦发现立即向客户发送消息通知。

处理人脸信息的界限在哪?

“以往要掌握一个人的行踪,可能会请私家侦探,但现在互联网日益渗透我们日常生活,不需要私家侦探也能对某个人的行踪有所了解。”日前,浙江理工大学法政学院特聘副教授、杭州长三角大数据研究院副院长郭兵接受澎湃新闻采访时表示。

郭兵作为“人脸识别第一案”的当事人,状告杭州野生动物世界强制收集使用人脸信息,最终胜诉。这起具有标志性的个案判决,也为公民个人信息保护敲响了警钟。

多位受访专家认为,人脸信息属于个人独有的生物识别信息,一旦泄露,将严重威胁用户的财产安全、隐私安全等。人脸搜索识别匹配服务的数据获取和处理环节可能存在安全漏洞。

国家市场监管总局发布的《个人信息安全规范》明确规定,收集人脸信息时应获得个人信息主体的授权同意。

郭兵指出,除了征得当事人同意而建立的人脸数据库外,互联网平台使用的图像搜索匹配结果也必须是来自于完全公开的链接。平台不能使用如微信朋友圈等社交媒体上带有半公开私密空间性质的图像资料。其次,如果人脸信息不是当事人自行公开的,或非合法公开的,例如个人被偷拍发到网络上,或微信朋友圈照片被盗用上传到网络,则也不符合个人信息处理的同意豁免规则,存在侵害隐私风险。

根据将于2021年11月1日起施行的《中华人民共和国个人信息保护法》第十三条,符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

郭兵指出,从法规来看,个人信息的处理必须建立在合理的范围内,并且有一个重要条件——当事人自愿公开。互联网平台基于大范围海量的人脸信息来进行信息处理,可能超出了合理的范围。

“如果不在合理范围内,需要征得当事人同意,否则容易对他人的名誉权造成严重损害。”郭兵强调,人脸识别在某种程度上给管理方和用户带来便利,提高了效率,但同时它又带有风险,人脸信息容易被不当利用甚至被盗取用来从事违法犯罪活动。

在人脸信息收集方面,数据库来源是否正当,也是值得关注的焦点。360人工智能研究院院长邓亚峰接受澎湃新闻采访时介绍,一般而言,这些被用来匹配的人脸照片库,绝大多数都是通过网络爬虫在互联网上爬取公开网页得到的。这些照片本身就存在于互联网上,可以被公开访问,只是被爬虫获取并集中在一起,用来做查询和搜索。

“但爬虫一般需要遵守一定的协议。”邓亚峰说,考虑到人脸信息的特殊性,要进一步考虑这些网站是否允许信息被爬取以及用作人脸搜索。还有,这些信息是否是真实用户个人上传,用户是否允许照片被公开访问以及用作人脸搜索,都是需要进一步确认的问题。所以,对于每一个特殊的应用,需要综合考察其是否遵守了爬虫协议,以及网站是否侵犯了用户的权利。网站利用人脸精确匹配功能收费,应该是不被法律允许的行为。

如何向滥用人脸信息说“不”?

“很多互联网巨头公司都在研发人脸审核验证,这个技术能力并不能做到万无一失,即使人眼有时候也不能百分百确定。”DCCI互联网研究院院长刘兴亮向澎湃新闻表示。

刘兴亮介绍,人脸搜索识别匹配功能最早起源于图片匹配的业务需求,包括用户搜索花草、电商产品、新闻图等进行辨别,增长知识。后来人脸搜索匹配逐步应用于身份比对和商业用途,例如上班打卡、刷脸支付等,甚至应用于社会治理,例如几十名逃犯陆续在张学友演唱会的安检通道被人像识别系统“揪出来”而落网。

不可否认,人脸搜索识别对社会的作用不容小觑,然而过度使用和不正当使用容易侵犯公民隐私,规范化管理才能规避滥用风险。

“人脸识别是非常敏感和应该受限使用的技术。”邓亚峰称,首先,应该限制人脸识别图片、视频被采集和使用的范围,比如监控场合的视频应该严格限制包括时间、接触到的人以及应用范畴;比如互联网上的人脸照片,应该严格限制非公众人物的照片被滥用,关于公众人物的照片使用也应该有一定限度,包括提供个人申请删除这样的功能。其次,应该严格限制人脸搜索应用的边界,包括涉及到的人(需要是公众人物),仅能提供偏娱乐的功能,尤其不能绝对说这就是某人,还应该提供个人申请删除这样的保护功能等。

“只有在法律上做了规范,在应用层面才能彻底断绝被滥用的风险。除了法律,还需要在伦理道德层面做一些倡导和约束。”邓亚峰说道。

郭兵也注意到,近几年,我国在信息安全方面的监管力度加大,不法商家的违法成本也大幅提高。同样地,他认为,一方面企业平台需要自律,普通用户也要有风险意识,尽量不要在网络上公布敏感和隐私信息,有关部门也需要继续加大对违规使用个人信息的监管。

落实到具体措施上,刘兴亮认为,应该细化对于人脸信息的管理,包括很多场合的通行不应强行刷人脸,而是提供更多选择;另外,公共场所的商业用途摄像头应在醒目位置标明,否则属于偷拍行为。

另外,刘兴亮提出,政府主管部门和商业平台需要出台更加详细严格的规范以限定技术的边界,哪些数据需要脱敏或可结构化处理,完善信息分析管理制度。同时,个人用户需要注意保护好隐私,非必要不采用人脸识别。

“自己永远是最后一道防线。‘人脸识别第一案’强化了个人信息的保护意识,我们需要更多这样的案例。”刘兴亮说道。

责任编辑:蒋晨锐

,