作者丨谢璇
编辑丨房煜
题图丨图虫
“人脸数据滥用”成为了今年3·15晚会曝光的第一弹。
报道中指出,包括无锡宝马汽车4S店、港汇恒隆Max Mara专卖店以及科勒卫浴全国上千家门店在内,均安装了具有人脸识别功能的摄像头。而其对这些信息的采集和使用过程,正游走在违法的边缘地带。
而作为提供人脸识别系统服务的企业,苏州万店掌网络科技有限公司的相关工作人员声称,其平台现已拥有过亿的人脸数据量。并且可以根据数据进行反复比对,识别出哪些客户多次进店,客户的性别年龄,是否佩戴眼镜,面部表情如何。甚至还可以将同行、职业打假人、记者等人的面部信息打上标签,可以让商户及时得知这些人员的动向。
3·15晚会上播出的暗访视频
而在这些数据的采集过程中,消费者是毫无感知的。
早在2017年12月29日,全国信息安全标准化技术委员会就已发布了《信息安全技术个人信息安全规范》等23项国家标准正式发布。
在信息收集方面,该规范就个人信息控制者的义务提出了以下几点要旨:
合法性,要求个人信息控制者在法律法规规定的范围内采用合法的手段和获取信息的渠道,在征得个人信息主体同意的前提下收集个人信息或要求信息主体提供个人信息。
最小化,要求个人信息的收集类型、频率和数量应在必要性的最小要求之内,即符合最少够用原则。在能达到所需目的条件下,只处理最少的个人信息类型和数量。
授权同意,要求个人信息控制者处理个人信息时的目的、方式、范围以及相关规则,均要经过个人信息主体的授权同意。
显然,在被曝光的人脸信息收集过程中,以上的任何一条要旨都没有得到遵守。
在大数据概念逐渐泛滥的时代,这样隐秘的数据收集、分析、贩卖链条,一直存在,而且备受追捧。关键是,在这样一个完整而隐秘的链条下,处于弱势地位的个人消费者权益被忽视了。
100亿规模的“人脸识别”企业
上市公司,腾讯投资,朱啸虎站台
据《2020年人脸识别行业研究报告》显示,截至2020年10月份,全国共有10443家企业的名称、产品、品牌、经营范围涵盖“人脸识别”。报告预计,国内未来五年人脸识别市场规模将保持23%的平均复合增长速度,到2024年市场规模将突破100亿元。
这是一个颇具想象力的百亿级市场,也是个缺少监管、充满着灰色地带的监管缺位之地——
2019年2月,深网视界的数据库漏洞事件中,超过250万条数据可以被提取,包括人脸信息、身份证信息等等敏感数据。
2019年10月,一群小学生用一张等比例照片刷开了丰巢智能柜,取出了父母们的货件。随后,丰巢下线了刷脸取件业务。
2020年6月,“中国人脸识别第一案”在杭州开庭。一审结果被告杭州野生动物世界被判违约,除了相应的赔偿外,还要删除原告郭兵办理指纹年卡时提交的包括照片在内的面部特征信息。
2021年2月,公安部召开新闻发布会,数据显示,在2020年全国公安机关破获窃取、贩卖人脸数据案件22起,抓获犯罪嫌疑人60名。
人脸识别信息的滥用,早就渗入了我们生活的方方面面。也正是因为巨大的想象空间和广泛的应用场景,人脸识别技术受到了市场和投资人的追捧。
在此次被3·15晚会曝光的人脸识别技术服务公司中,“万店掌”和上海悠络客电子科技有限公司均拥有着颇为耀眼的投融资背景。
据天眼查信息显示,“万店掌”于2020年5月宣布完成8000万元B轮融资,德同资本领投,远海明华、江苏高新投、苏高新创投集团跟投;其A轮1500万元融资,则由金沙江创投投资。而作为金沙江创投的董事总经理,曾投资过滴滴、饿了么等明星企业,被业内成为独角兽捕手的知名投资人朱啸虎为“万店掌”的董事长之一,持股比例为0.0362%。
公开信息显示,“万店掌”的创始人周圣强曾在上市公司苏州科达任职20年,一直扎根于视频智能分析领域,从事图像智能及市场应用开发。该公司的官网显示,除了科勒、MaxMara外,包括老百姓大药房、良品铺子、喜茶、水星家纺、九芝堂、晨光文具、好孩子等品牌,均为万掌店客户;而华润、海信等知名企业,则为万掌店的核心合作伙伴。
万店掌网站截图
另一家涉事企业上海悠络客电子科技有限公司,则于2016年在新三板挂牌,2017年完成招商局领投的C轮融资,2018年完成新三板定增,同时腾讯参与了其C+轮融资。
此外,根据瑞为科技官网显示,公司成立于2012年,先后获得英特尔、绿地控股、中信证券、赛富基金、深投控、南方基金等机构战略投资。合作客户包括大兴机场、首都机场、宝安机场、京东方、阿里巴巴、华为、中航信等。
瑞为科技官网截图
随着事件的发酵,牵涉其中的品牌纷纷宣称,该摄像头仅用于统计访问店内人数,或安防影像采集,绝不会非法收集消费者的人脸数据。
但是,在法律人士看来,购买了相关信息收集服务的商家,同样难辞其咎。据北京市中伦文德律师事务所律师、知名法律博主@法度君介绍,除了负责提供信息收集服务的企业之外,商场、线下门店等购买相关服务的商家,也同样面临着法律风险。
人脸信息作为具有个人高度识别性的个人信息,受到《消费者权益保护法》及相关个人信息保护法律法规的约束,除非经过公民个人授权或同意,或者全部信息经过特殊处理,成为无法进行自然人身份识别的数据信息,方可在合法合理的范围内进行使用。
经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
其实,早在去年9月,就曾引发过一场关于人脸识别数据隐私泄露的讨论。
创新工场董事长兼 CEO 李开复在公开演讲中提到,曾在旷视科技成立初期帮助其找到了美图、蚂蚁金服等合作伙伴,拿到了大量的人脸数据。
随后,舆论开始发酵,李开复随即为其口误道歉,蚂蚁集团和旷视科技也先后澄清其对数据安全和隐私泄露问题的重视。但关于这一问题的讨论并未就此停止。
“肯定是有漏洞的。因为那时候正是技术野蛮发展的阶段,保护个人信息的意识跟不上。”通信行业观察家项立刚曾对媒体表示,根据他的判断,在人工智能技术早期阶段,很多技术公司在这个问题上的处理方式,与其他个人信息不同,生物识别信息(人脸、虹膜和指纹等)对绝大多数人而言具有唯一性和不可复制性。在此种情况下,生物识别信息一旦泄露,其后果比其他可更改的个人信息如手机号、家庭住址等更加严重。
一旦掌握了一张人脸,在没有严格防护措施的情况下,很有可能“撬开”该自然人用人脸锁住的所有关卡。
2021年全国“两会”期间,仅仅关于规范人脸识别应用的相关提案,就不下5份。
人脸识别的信息安全规范,迫在眉睫。
美国人的眼中钉
图源:摄图网
这样涉及隐私和安全的业务,不仅仅在国内极为敏感,甚至也成为了美国人的眼中钉。
当地时间3月12日,美国联邦通信委员会(FCC)公共安全部和国土安全局(HHS)以会给美国国家安全和公民安全带来“不可接受的风险”为由,将包括杭州海康威视数字技术有限公司、大华科技有限公司在内的5家公司,纳入了不可信供应商名单。
作为国内人脸识别、安防监控的头部企业,海康威视和大华科技早就不是第一次被美国点名了。
2019年10月7日,美国商务部宣布将8家中国企业列入美国贸易管制黑名单,禁止与美国企业合作。这 8 家中国企业均涉及人工智能、人脸识别及安防监控等业务,大华股份与海康威视赫然在列。
2018年8月1日,美国国会正式通过了《2019 国防授权法案》,该法案要求联邦政府机构不得采购或获取任何使用“受控的通信设备或服务”、“作为系统关键或实质性的一部分,或作为系统的任意一部分关键的技术”的设备、系统或服务。其中,“受控的通信设备或服务”涉及海康威视生产的视频监控和通信设备,华大科技也在制裁名单之上。
据市场研究机构IHS Markit发布于2018年7月的《2018全球视频监控信息服务报告》,海康威视位列全球视频监控设备市场第一位,市场份额高达37.94%,连续七年蝉联全球市场份额第一名;浙江大华则名列第二,市场份额达到17.02%。
相比较早已上市、发展多年的海威康视和大华股份,美国禁令则对旷视科技的上市进程产生了深远影响。
在禁令发布的2个月前,旷视科技于2019年8月向港交所递交了招股书。
据路透社报道,在美国禁令名单发布后,旷视上市联席保荐人之一的高盛随即表示,将会审视情况,决定是否继续参与旷视的承销工作。高盛表示,“有鉴于近期发展”,正评估旷视的保荐工作。高盛在出任旷视保荐人前已有进行全面评估,并且进行尽职调查过程。
据旷视科技的初步招股文件显示,其联席保荐人包括高盛、摩根大通及花旗银行,总部位于美国。
从2019年11月起,关于旷视科技未通过港交所聆讯、中止港股上市进程的消息,不绝于耳,但均遭到了旷视科技的否认。
直至2021年3月12日,旷视科技才给出了正面回应,承认其申请了科创板上市,并确认放弃了港股上市的计划。
此时,距离旷视科技首次递交招股书,已经过去了将近1年半的时间。
政策威慑之下,监管落地依旧艰难
随着技术的深入,人脸识别技术已经实现了大规模的普及。
特别是在公共安全和新冠疫情防控的硬需求下,该技术的普及速度依然不会停止,甚至很难减慢。
从商场、办公楼等公共场所入口处的测温设备,到园区管理、安检入口、实名登记、开户销户、支付转账和门禁考勤,均存在着强制性的人脸信息收集系统。
而产品推广者只是一味的强调这一技术的便捷性,却没有提示相关风险,甚至不给用户任何拒绝的机会。
与此同时,对于人脸信息的使用和处理,却是完全不透明的——包括人脸原始信息是否会被收集方保留,会如何处理,如何保证收集的人脸信息安全,相关数据被应用在什么场景,是否变更了使用目的……这些问题都没有一个统一的答案,更没有任何法律法规予以管理和规范。
图源:摄图网
@法度君表示,涉事企业在提供服务过程中,通过人脸识别的方式获取、收集、滥用个人信息的情形,侵犯了消费者权益保护法。应当根据情节严重程度受到警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款(没有违法所得的,处以五十万元以下的罚款),责令停业整顿,吊销营业执照不同程度的处罚。
如果信息达到一定数量,或违法所得达到一定数额,还有可能构成刑法第二百五十三条之一的侵犯公民个人信息罪,单位犯罪的应对其判处罚金,并对其直接负责的主管人员和其他直接责任人员,根据情节严重程度判处三年以下有期徒刑或三年以上七年以下有期徒刑。
不过,法度君也承认,在法规落地执行的过程中,取证是最大的阻碍。面部识别个人信息多以信息数据的方式被保存,需要执法人员具有相关技术或专业知识,否则相关证据很容易被转移和销毁。而受到个人信息侵犯的公民个人,亦会受到相应限制,能够提供信息被侵犯的案件线索已经非常难得,依赖被害人提供相应证据更是难上加难。
不过,鉴于数据信息的采集、泄露的批量特性,如果达到刑事立案标准(根据信息敏感程度分为五十条、五百条、五千条),只要有人进行报案、举报或控告,公安机关就可以展开侦查,一旦涉嫌犯罪,便会送至检察机关提起公诉。