作者丨謝璇
編輯丨房煜
題圖丨圖蟲
“人臉數據濫用”成為了今年3·15晚會曝光的第一彈。
報道中指出,包括無錫寶馬汽車4S店、港匯恆隆Max Mara專賣店以及科勒衞浴全國上千家門店在內,均安裝了具有人臉識別功能的攝像頭。而其對這些信息的採集和使用過程,正遊走在違法的邊緣地帶。
而作為提供人臉識別系統服務的企業,蘇州萬店掌網絡科技有限公司的相關工作人員聲稱,其平台現已擁有過億的人臉數據量。並且可以根據數據進行反覆比對,識別出哪些客户多次進店,客户的性別年齡,是否佩戴眼鏡,面部表情如何。甚至還可以將同行、職業打假人、記者等人的面部信息打上標籤,可以讓商户及時得知這些人員的動向。
3·15晚會上播出的暗訪視頻
而在這些數據的採集過程中,消費者是毫無感知的。
早在2017年12月29日,全國信息安全標準化技術委員會就已發佈了《信息安全技術個人信息安全規範》等23項國家標準正式發佈。
在信息收集方面,該規範就個人信息控制者的義務提出了以下幾點要旨:
合法性,要求個人信息控制者在法律法規規定的範圍內採用合法的手段和獲取信息的渠道,在徵得個人信息主體同意的前提下收集個人信息或要求信息主體提供個人信息。
最小化,要求個人信息的收集類型、頻率和數量應在必要性的最小要求之內,即符合最少夠用原則。在能達到所需目的條件下,只處理最少的個人信息類型和數量。
授權同意,要求個人信息控制者處理個人信息時的目的、方式、範圍以及相關規則,均要經過個人信息主體的授權同意。
顯然,在被曝光的人臉信息收集過程中,以上的任何一條要旨都沒有得到遵守。
在大數據概念逐漸氾濫的時代,這樣隱秘的數據收集、分析、販賣鏈條,一直存在,而且備受追捧。關鍵是,在這樣一個完整而隱秘的鏈條下,處於弱勢地位的個人消費者權益被忽視了。
100億規模的“人臉識別”企業
上市公司,騰訊投資,朱嘯虎站台
據《2020年人臉識別行業研究報告》顯示,截至2020年10月份,全國共有10443家企業的名稱、產品、品牌、經營範圍涵蓋“人臉識別”。報告預計,國內未來五年人臉識別市場規模將保持23%的平均複合增長速度,到2024年市場規模將突破100億元。
這是一個頗具想象力的百億級市場,也是個缺少監管、充滿着灰色地帶的監管缺位之地——
2019年2月,深網視界的數據庫漏洞事件中,超過250萬條數據可以被提取,包括人臉信息、身份證信息等等敏感數據。
2019年10月,一羣小學生用一張等比例照片刷開了豐巢智能櫃,取出了父母們的貨件。隨後,豐巢下線了刷臉取件業務。
2020年6月,“中國人臉識別第一案”在杭州開庭。一審結果被告杭州野生動物世界被判違約,除了相應的賠償外,還要刪除原告郭兵辦理指紋年卡時提交的包括照片在內的面部特徵信息。
2021年2月,公安部召開新聞發佈會,數據顯示,在2020年全國公安機關破獲竊取、販賣人臉數據案件22起,抓獲犯罪嫌疑人60名。
人臉識別信息的濫用,早就滲入了我們生活的方方面面。也正是因為巨大的想象空間和廣泛的應用場景,人臉識別技術受到了市場和投資人的追捧。
在此次被3·15晚會曝光的人臉識別技術服務公司中,“萬店掌”和上海悠絡客電子科技有限公司均擁有着頗為耀眼的投融資背景。
據天眼查信息顯示,“萬店掌”於2020年5月宣佈完成8000萬元B輪融資,德同資本領投,遠海明華、江蘇高新投、蘇高新創投集團跟投;其A輪1500萬元融資,則由金沙江創投投資。而作為金沙江創投的董事總經理,曾投資過滴滴、餓了麼等明星企業,被業內成為獨角獸捕手的知名投資人朱嘯虎為“萬店掌”的董事長之一,持股比例為0.0362%。
公開信息顯示,“萬店掌”的創始人周聖強曾在上市公司蘇州科達任職20年,一直紮根於視頻智能分析領域,從事圖像智能及市場應用開發。該公司的官網顯示,除了科勒、MaxMara外,包括老百姓大藥房、良品鋪子、喜茶、水星家紡、九芝堂、晨光文具、好孩子等品牌,均為萬掌店客户;而華潤、海信等知名企業,則為萬掌店的核心合作伙伴。
萬店掌網站截圖
另一家涉事企業上海悠絡客電子科技有限公司,則於2016年在新三板掛牌,2017年完成招商局領投的C輪融資,2018年完成新三板定增,同時騰訊參與了其C+輪融資。
此外,根據瑞為科技官網顯示,公司成立於2012年,先後獲得英特爾、綠地控股、中信證券、賽富基金、深投控、南方基金等機構戰略投資。合作客户包括大興機場、首都機場、寶安機場、京東方、阿里巴巴、華為、中航信等。
瑞為科技官網截圖
隨着事件的發酵,牽涉其中的品牌紛紛宣稱,該攝像頭僅用於統計訪問店內人數,或安防影像採集,絕不會非法收集消費者的人臉數據。
但是,在法律人士看來,購買了相關信息收集服務的商家,同樣難辭其咎。據北京市中倫文德律師事務所律師、知名法律博主@法度君介紹,除了負責提供信息收集服務的企業之外,商場、線下門店等購買相關服務的商家,也同樣面臨着法律風險。
人臉信息作為具有個人高度識別性的個人信息,受到《消費者權益保護法》及相關個人信息保護法律法規的約束,除非經過公民個人授權或同意,或者全部信息經過特殊處理,成為無法進行自然人身份識別的數據信息,方可在合法合理的範圍內進行使用。
經營者收集、使用消費者個人信息,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用信息。
其實,早在去年9月,就曾引發過一場關於人臉識別數據隱私泄露的討論。
創新工場董事長兼 CEO 李開復在公開演講中提到,曾在曠視科技成立初期幫助其找到了美圖、螞蟻金服等合作伙伴,拿到了大量的人臉數據。
隨後,輿論開始發酵,李開復隨即為其口誤道歉,螞蟻集團和曠視科技也先後澄清其對數據安全和隱私泄露問題的重視。但關於這一問題的討論並未就此停止。
“肯定是有漏洞的。因為那時候正是技術野蠻發展的階段,保護個人信息的意識跟不上。”通信行業觀察家項立剛曾對媒體表示,根據他的判斷,在人工智能技術早期階段,很多技術公司在這個問題上的處理方式,與其他個人信息不同,生物識別信息(人臉、虹膜和指紋等)對絕大多數人而言具有唯一性和不可複製性。在此種情況下,生物識別信息一旦泄露,其後果比其他可更改的個人信息如手機號、家庭住址等更加嚴重。
一旦掌握了一張人臉,在沒有嚴格防護措施的情況下,很有可能“撬開”該自然人用人臉鎖住的所有關卡。
2021年全國“兩會”期間,僅僅關於規範人臉識別應用的相關提案,就不下5份。
人臉識別的信息安全規範,迫在眉睫。
美國人的眼中釘
圖源:攝圖網
這樣涉及隱私和安全的業務,不僅僅在國內極為敏感,甚至也成為了美國人的眼中釘。
當地時間3月12日,美國聯邦通信委員會(FCC)公共安全部和國土安全局(HHS)以會給美國國家安全和公民安全帶來“不可接受的風險”為由,將包括杭州海康威視數字技術有限公司、大華科技有限公司在內的5家公司,納入了不可信供應商名單。
作為國內人臉識別、安防監控的頭部企業,海康威視和大華科技早就不是第一次被美國點名了。
2019年10月7日,美國商務部宣佈將8家中國企業列入美國貿易管制黑名單,禁止與美國企業合作。這 8 家中國企業均涉及人工智能、人臉識別及安防監控等業務,大華股份與海康威視赫然在列。
2018年8月1日,美國國會正式通過了《2019 國防授權法案》,該法案要求聯邦政府機構不得采購或獲取任何使用“受控的通信設備或服務”、“作為系統關鍵或實質性的一部分,或作為系統的任意一部分關鍵的技術”的設備、系統或服務。其中,“受控的通信設備或服務”涉及海康威視生產的視頻監控和通信設備,華大科技也在制裁名單之上。
據市場研究機構IHS Markit發佈於2018年7月的《2018全球視頻監控信息服務報告》,海康威視位列全球視頻監控設備市場第一位,市場份額高達37.94%,連續七年蟬聯全球市場份額第一名;浙江大華則名列第二,市場份額達到17.02%。
相比較早已上市、發展多年的海威康視和大華股份,美國禁令則對曠視科技的上市進程產生了深遠影響。
在禁令發佈的2個月前,曠視科技於2019年8月向港交所遞交了招股書。
據路透社報道,在美國禁令名單發佈後,曠視上市聯席保薦人之一的高盛隨即表示,將會審視情況,決定是否繼續參與曠視的承銷工作。高盛表示,“有鑑於近期發展”,正評估曠視的保薦工作。高盛在出任曠視保薦人前已有進行全面評估,並且進行盡職調查過程。
據曠視科技的初步招股文件顯示,其聯席保薦人包括高盛、摩根大通及花旗銀行,總部位於美國。
從2019年11月起,關於曠視科技未通過港交所聆訊、中止港股上市進程的消息,不絕於耳,但均遭到了曠視科技的否認。
直至2021年3月12日,曠視科技才給出了正面回應,承認其申請了科創板上市,並確認放棄了港股上市的計劃。
此時,距離曠視科技首次遞交招股書,已經過去了將近1年半的時間。
政策威懾之下,監管落地依舊艱難
隨着技術的深入,人臉識別技術已經實現了大規模的普及。
特別是在公共安全和新冠疫情防控的硬需求下,該技術的普及速度依然不會停止,甚至很難減慢。
從商場、辦公樓等公共場所入口處的測温設備,到園區管理、安檢入口、實名登記、開户銷户、支付轉賬和門禁考勤,均存在着強制性的人臉信息收集系統。
而產品推廣者只是一味的強調這一技術的便捷性,卻沒有提示相關風險,甚至不給用户任何拒絕的機會。
與此同時,對於人臉信息的使用和處理,卻是完全不透明的——包括人臉原始信息是否會被收集方保留,會如何處理,如何保證收集的人臉信息安全,相關數據被應用在什麼場景,是否變更了使用目的……這些問題都沒有一個統一的答案,更沒有任何法律法規予以管理和規範。
圖源:攝圖網
@法度君表示,涉事企業在提供服務過程中,通過人臉識別的方式獲取、收集、濫用個人信息的情形,侵犯了消費者權益保護法。應當根據情節嚴重程度受到警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款(沒有違法所得的,處以五十萬元以下的罰款),責令停業整頓,吊銷營業執照不同程度的處罰。
如果信息達到一定數量,或違法所得達到一定數額,還有可能構成刑法第二百五十三條之一的侵犯公民個人信息罪,單位犯罪的應對其判處罰金,並對其直接負責的主管人員和其他直接責任人員,根據情節嚴重程度判處三年以下有期徒刑或三年以上七年以下有期徒刑。
不過,法度君也承認,在法規落地執行的過程中,取證是最大的阻礙。面部識別個人信息多以信息數據的方式被保存,需要執法人員具有相關技術或專業知識,否則相關證據很容易被轉移和銷燬。而受到個人信息侵犯的公民個人,亦會受到相應限制,能夠提供信息被侵犯的案件線索已經非常難得,依賴被害人提供相應證據更是難上加難。
不過,鑑於數據信息的採集、泄露的批量特性,如果達到刑事立案標準(根據信息敏感程度分為五十條、五百條、五千條),只要有人進行報案、舉報或控告,公安機關就可以展開偵查,一旦涉嫌犯罪,便會送至檢察機關提起公訴。