记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

2020小米AIoT安全峰会议题回顾|人脸识别的法律规制框

2020-11-11 22:23

人脸识别的法律规制不需要另起炉灶,而是应该将人脸识别的应用目的进行类型化,然后相应配套不同的法律规制框架。应用目的第一个是计数,第二个是识别,第三个是认证,第四个是监控,第五个是伪造,第六个是窥探,不同的场景就是这六个模块不同的排列组合,洪延青老师沿着这个逻辑和路径跟大家介绍了现有的法律法规安全和隐私方面的要求。

洪延青


个人简介

北京理工大学法学院研究员,App专项治理工作组副组长,主要研究个人信息保护、网络安全法律政策问题。目前担任全国信息安全标准化技术委员会重点标准制定项目《个人信息安全规范》《个人信息安全影响评估指南》的编制组组长,以及《数据出境安全评估指南》编制组副组长。



人脸识别的法律规制框


以下为速记全文:

我们在做规范的同时,无非两种途径,第一就是大家的产品和流程必须要符合法律要求。我不管你产品服务的流程怎么实现,法律要求就定在那,你只能往上贴。第二种路径是我们在做法律法规或者标准的时候,能不能贴近我们技术的一个逻辑,针对每个逻辑中的每个环节,我们去做进一步的规范,这样能够确保我们的法律法规对我们的开发者来说,对我们的技术人员来说是听得懂,能够很好去了解的。所以我试图做这样一个尝试,但是成功与否肯定要留待大家来判断。

人脸识别有各种应用场景,但如果我们把它切分开的话无非是几个模块,或者把人脸识别用于几个不同的目的。我们自己总结了很多场景,无论是金融场景、健康场景,或者小米开发者大会一开始放的视频里AIoT的场景。无非是这几个目的,第一个是技术,第二个是识别,第三个是认证,第四个是监控,第五个是伪造,第六个是窥探,无非就是你拿人脸识别技术干这六件事。

不同的场景就是这六个模块不同的排列组合而已,我今天就沿着这个逻辑和路径跟大家介绍一下现有的法律法规安全和隐私方面的要求,对这六个不同的应用场景来说分别有什么样的规制,或者说提出了什么样的要求。



比如第一个是计数,技术的意思无非就是我要算,比如我们今天要算多少人来到了这个场地,我们原来能够用WiFi探针做这个事,现在比如说WiFi探针不允许,需要我们个人同意的话,有些商家就说我用人脸做这个事,比如说商场里有算人流。但是这个技术不需要识别我是谁,它只是说不同的人来到我这个地方就行了,所以这个叫做计数。目的就是大家看到的,捕捉人流量,计算一个量的问题,所以我们把它叫做计数。

第二个场景就是刷脸在厕所里取纸。商家为了防止大家不断重复取纸的话,无非有几个方式,第一个是手机发短信验证码,因为不同的手机也有不同的次数。但是一般来说,厕所的信号都不太好,所以这不是一个很好的选项。第二,我们可以用指纹,因为人的指纹是不一样的。但问题是上厕所的地方,大家可能都不太愿意用手摸,所以他们想来想去说我就用人脸吧,人脸能明确的区别,脸和脸不一样,只需要说不同的脸就行了,同一张脸24小时不要经常来。

第三个是认证,刚才主持人也说了刷脸支付这些都是要验证的,因为要证明我是我,这个大家很熟悉,无论是进小区的门禁等等,都是这样一个目的。识别就是所谓的一对N,我这个人脸出现在一个场景里头,比如说给大家举一个金融场景,银行特别喜欢干这个事。比如说我们走到银行的一个门店,摄像机马上捕捉到某某大客户来了,所以他就直接发个短信给大堂经理,大堂经理一看手机,VIP客户来了,虽然我可能是第一次上班,但是手机告诉我这是VIP客户来了。所以,比如说朱总来了,他自然就会把你领进VIP专属区,问你今天是存100万还是200万,这就是一对N。再有比如说张学友的演唱会上抓到了逃犯,也是一个一对N的功能。
监控,由于人脸暴露在外面,现在有些技术即使戴口罩也知道我是谁。监控里头分两种,一个是私营部门做监控,一个是公权力部门做监控。比如说私营部门,我印象很深,我去了一个深圳非常高的一个办公场所,他们说洪老师你去到哪一层我都知道,所以我能把你这个大楼里的行动轨迹画出来,这就是监控。我们的新零售也有这个能力,它要记录人在某个货架上盯着某个商品盯了多久。公权力部门大家就会说智慧社区、智慧城市,其实很多时候都是在用公权力做监控这个事,等于说是识别+认证的基础上再加上一个行为跟踪,这就是监控。

还有一个场景是伪造,通过对人脸特征的提取,比如说前段时间特朗普唱的这个《我爱我的中国》,这个就是人脸识别的伪造。


还有一种窥探隐私,可能我人脸的特征能反映我背后的取向,比如外国的研究者就能通过我的眼距、以及眼睛和嘴的距离判断我的性取向是什么,成功率达到了90%。同时在我们的课堂上能够发现人脸识别技术能够用来监控我这个学生是不是走神,可能我眼睛还看着老师,但实际上面部属于一个放松的状态,可能就是我大脑不知道飞到哪里去了。这就是一个窥探,通过人脸再进一步探究你内心的活动,或者说你一些不想被别人知道的事情。

总结起来,就是这六个场景。这六个场景现阶段其实都是有特定的法律框架要求它的。大家想想,我们说的设想将人脸识别用于不同的业务,无非都是这六个目的中的某几个或者某一个进行排列组合而已。计数、识别、认证、监控、伪造、窥探,我们就把它当成我们要设计对人脸识别整体技术规范的模块。不同的应用场景,比如说在座的开发者把人脸识别用于某些场景的话,无非都是这六个模块当中的排列组合而已。

现阶段对这六个模块我们都有法律上的要求,但有些不是很明确。第二个识别认证是经典的个人信息保护、隐私保护这方面的一个内容。因为无非就是说原来我用密码和钥匙,只不过现在用人脸。识别的话,原来这个员工去对,比如说这个人进来,我要问一下你是来办什么业务的,你在我们银行有没有高额的存款等等,你是不是我们的VIP客户,只不过现在用人脸技术做这个事,但是你要给人一个知情同意的权利,对于你收集来的信息要当做敏感信息进行保护,这是很经典的个人隐私信息保护内容,在我们正在公开征求意见的个人信息保护法草案里面大家也能找到这样的内容。

监控,这是一个比较新的东西,国外对人脸识别在监控方面的立法全都集中在公权力部门监控。因为他觉得咱们私营部门监控,大不了我不去私底下新零售的店。但是如果说公权力部门做这个全市范围,或者全社区范围之内的监控的话,很明显的就有一个问题来了,我不愿意接受监控我就搬到别的城市去,这个成本太高了。所以要考虑到公权力部门进行监控的正当性和比例性的问题。在这方面,美国或者欧洲有很多讨论,由于这个是不可逃避或者说不可避免的情况,所以公权力部门如果说要在某一个地方做这么一个监控的话,就是需要更多的宪法层面的保护,他就不再只是一个个人信息保护的问题了,还要加上一个合比例性的讨论。美国很多的州和市已经完全禁掉了,华盛顿也就是微软的所在地相对温和一点,他们说要建立一个委员会,讨论在这个区域里头公权力部门用监控的话,到底是不是有合理性的,对少数裔的面孔会不会造成一定的歧视。

第五个目的,伪造。伪造原来的法律框架也能用,无非是通过这个特征编造了一个我没有说过的话,或者做了一个我从来没有录过的视频,原来所谓的肖像权和人格尊严的权利都可以套用。如果你伪造的是一个公共人物,比如说特朗普、拜登最近在大选打得特别火热,这时候有些人就可以伪造他们来宣布一些事,然后在推特或者Facebook上大量的传播,但是这种传播的速度很多时候平台是难以控制的。所以这个情况下也存在一个新的立法意图,就是说对于公众人物的伪造,我们传播的平台可能要承担起识别的工作。对于伪造,我们必须有一个新的法律层面的要求。

最后一个是窥探。窥探无非就是你通过人脸再进一步探究我个人的一些隐私,无论是我们的民法典1月1号生效,还是个人信息保护法里头,都会明确的禁止你通过人脸去做这么一个窥探工作。虽然我的脸暴露在公共场合,但是你为什么要通过我的脸分析我的性取向呢?这没有任何理由或者法律上的支持。


所以说通过对技术比较友好的方式,我们可以通过这六个模块设计相应的法律规则。其实我们的开发者很容易,你只要设想在我的场景和业务里头运用这个人脸识别的话,无非就是这六个模块中你选哪几块而已。比如说我只是识别和验证,我就去看个人信息保护法就可以了,如果还要考虑监控,可能还要加一个合比例性。比如说在小米园区里,假设都有人脸识别的东西,可能我们是不是还要问一下我们的员工,我们愿不愿意这样,这就是一个合比例性、正当性的问题。

如果说你的人脸识别造这个软件在前段时间被监管部门盯上,无非就是你的肖像权有没有保护好,当你设想的人脸识别有这个功能时,你可能还要考虑我有新闻传播的属性,除了侵犯肖像权之外,我还要考虑新闻传播的属性。

如果说有些开发人员用的技术是在课堂监控学生的心理状态的话,可能就要涉及到最后的窥探隐私权,如果是对未成年人,我需要得到他监护人的同意,或者说哪怕是未成年人,为了他的人格发展的话,你也需要了解未成年人对此的感受。同时你在做产品调试的时候,可能还要考虑这样一个监控行为,老师利用这样一个技术跟学生之间互动的话,是不是跟原来的教学课堂发生了任何的异化,我们的小孩愿不愿意在那样一个场景和状态中生活,可能我们作为开发者或者业务人员就要考虑这个事。

这就是我分享的内容,对于人脸识别,这只是第一个场景方面的规制,中间还有技术层面的规制,在底层是当人脸通过技术变成了数据的话,这是数据层面的规制。后两层由于时间的关系就不作介绍了,我们希望能够用业务听得懂的模块去设计法律法规,哪怕我们不是法律专家,不需要读那些很绕口的法律方面的语言,但是我也大概知道我需要遵守哪几套行为规范。我这个场景用到四个模块,无非就是后续的法律要求或者标准要求几个套件,再去一步一步考虑这些不同的组件上的安全要求和隐私方面的要求。

注意:关注小米安全中心,本次峰会的议题ppt将经讲师同意后陆续放出,请大家持续关注!


点击 “阅读原文” 获取ppt


知识来源: https://mp.weixin.qq.com/s?__biz=MzI2NzI2OTExNA==&mid=2247495524&idx=1&sn=959f1b661e4a6ea6986b679ee0b718b7

阅读:146901 | 评论:0 | 标签:AI 安全 人脸

想收藏或者和大家分享这篇好文章→复制链接地址

“2020小米AIoT安全峰会议题回顾|人脸识别的法律规制框”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁