智能时代人脸识别技术伦理风险治理
2022-04-16时延玲
□马 兰,时延玲
(江汉大学,湖北 武汉 430056)
人脸识别技术(FRT)是基于计算机技术对人的面部特征信息进行身份识别的一种生物识别技术。现在,它早已渗透到我们的日常生活中,从智能手机的人脸解锁功能,到门禁身份识别,过去只能在科幻电影中见到的机器“刷脸”正成为智能时代的潮流,影响并改变着人们的生活和经验方式,也是当今智能时代发展的标志性智能技术之一。当社会普遍采用智能技术来证明个体身份时,我们如何能确保它们以合乎道德的方式行事?人脸识别技术的应用会产生哪些伦理风险?如何回应人脸识别技术产生的治理难题?这些问题有的是技术应用所面临的普遍性问题,有的则是伴随着人脸识别技术的应用产生的具体问题,往往有着深远的社会和道德影响。故而,认识人脸识别技术及其带来的伦理治理问题是智能时代面临的挑战。
一、人脸识别技术的兴起
以脸识人自古有之,人们通过“脸”能感知他人的身份、性格、风格、意图、情感,这种认知可以找到来自生物学和心理学的依据。在进化生物学家看来,原始人类出现之后,人类对面孔的感知能力与面孔自身共同进化。发展心理学家认为以脸识人是人类的特殊技能,这种技能可以从婴儿身上得到证明,婴儿出生不久就会以人脸来确定性别、熟悉度和年龄[1]。人脸作为一种感知身份、情感和空间关系的生理和心理基础在社会生活中发挥着重要作用。我国古代最早利用人体独一无二的脸部特征对罪犯进行身份识别,还会在犯人脸上刺字来标识罪犯。艺术家也经常将人脸作为传达意义、展现自我、表达感知和情绪的载体,从古埃及的狮身人面像,到达·芬奇的艺术作品《蒙娜丽莎》,无一不说明人类对人脸特殊的价值取向。
进入智能时代,科学家开始研究如何使用机器代替人的识别能力。最早的开创性工作始自20 世纪60 年代美国科学家伍德罗·布莱索(Woodrow Bledsoe)的研究,他首先开发了一个人脸识别系统,该系统需要手工输入已测量的人的面部几何坐标集之间的定位和距离,然后将这些数据输入计算机中,与存储的面部照片进行比较,从而实现以脸识人的功能[2]。但当时计算机的计算能力还不够发达,无法模拟类似大脑的人工神经网络模型所需的计算量,人脸识别技术还有待完善。直至20 世纪80年代,许多与视觉系统有关的图像处理、图像识别、图像理解、图像生成的计算机视觉理论有了实质性的进步,人脸图像能够以彩色模式被计算机算法处理,带动了人脸识别领域的空前发展。到了20世纪90 年代,研究者采用基于合成的图像分析技术对人脸图像特征进行提取与建模,使人脸识别系统的性能得到极大提升。进入21 世纪,基于大数据的识别算法成为可能,研究者将机器深度学习应用于识别数字图像流,增加了传统人工神经网络的层数,使人脸识别技术直接从研发走向应用,从准确识别机场危险分子,到智能手机设备,再到基于人脸图像开发虚拟化身的应用程序,创新成果不断涌现。
不同于指纹、静脉、虹膜和DNA 等生物识别技术,人脸识别技术的强大之处在于用人脸识别机器扫描人脸,具有非接触性、增强感觉、数据化的特点,识辨效率更高。非接触性即不需要人脸与设备直接接触就可以对人脸样本进行取样、识别,也无需人们亲自到场的识别。增强感觉是指人脸识别技术能收集和评估人类自身无法完成的对大量数据的分析,超越了人自身的识别能力。在机器识别的过程中,从人脸扫描到人脸图像生成、处理和传输都呈现出数据化的特征,把直接观察的人脸转化为可计算的人脸图像数据。首先,它获取原始数据;其次,它从原始数据中挑选出人脸,并执行一系列复杂的计算,将每张脸转换成一组庞大的数字和坐标;最后,通过复杂的计算步骤分析这些集合,得出它们的预测。人脸的个人数据具有与自然人身体性、生理性、遗传性、精神性、经济性、文化性和社会性同等的身份识别地位。它又不同于一般的文字、图片、声音等信息,人脸图像被定义为一种生物特征数据,是根据个人的生物或行为特征进行识别的数据。人脸识别的这些功能是其他生物特征识别技术无法比拟的,它的便利性不仅体现在操作上,也体现在实际应用中。只要配备好摄像头,连上计算机或是手机,都能使人脸识别不受空间和时间限制,随时完成身份认证。
人脸识别技术正以一种前所未有的发展态势介入人与世界之间,成为科技创新的重要力量。商业平台使用人脸识别技术来区分新顾客和老顾客;工作场所采用人脸识别让员工打卡进出;机场部署人脸识别来验证移民身份,还用来威慑恐怖分子;配备了人脸识别技术的摄像头被执法机构用来识别罪犯和寻找失踪人员。2013年,支付公司PayPal在英国推出了人脸识别支付系统。2015年,Facebook开通基于人脸识别系统的认证功能。2015年,我国自主研发了具有人脸识别功能的ATM 机,能与银行、公安等系统联网,便于用户银行存取款与金融案件的侦破。美国执法机构还使用Clearview AI 公司开发的人脸识别算法,能在互联网上和社交媒体上提取30 亿张的人脸图像,从视频或照片中识别个人。通过计算机的小工具或应用程序的人脸识别越来越常见。政府与社会在公共管理中越来越依赖人脸识别技术,人脸识别系统的布置十分广泛,已涵盖安防、金融、智慧园区、教育、医疗、交通出行、互联网服务等多个领域。2018年,人脸识别的全球市场规模达到了54.53 亿美元,预计2025 年会增长到193.06 亿美元[3]。其中我国人脸识别技术的应用十分迅速,市场规模已突破50亿元[4]。世界正处于新一轮的智能产业革命的浪潮中,越来越多的智能终端及应用软件搭载人脸识别技术,未来会进一步走向信息化和智能化,引领产业形态转变的同时,将给人类社会的秩序与伦理规范带来新的挑战,故而,对伦理风险的认识是十分紧迫而必要的。
二、人脸识别技术的伦理风险
智能技术加速发展,其社会影响也日益增长,作为人脸识别技术面临的伦理风险也在增加。在人脸识别技术应用初期,只有少数的使用者,问题并不突出。进入技术革命的渗透阶段,技术更加融入社会,作为新兴技术的人脸识别侵入我们生活中的各个方面时,便与普通大众利益密切相关了,相关的风险会引起更多的关注。人脸识别技术带来的伦理风险通常涉及以下两个层面:一是技术自身的风险,二是技术滥用的社会风险。
(一)技术自身的风险
技术层面的风险主要是人脸识别错误、识别偏见以及技术不透明所导致。
识别错误包括两种情况,一是人脸数据库中包含的人脸图像信息不准确容易产生识别错误;二是当系统没有将捕获的人脸图像与数据库中相应的图像关联起来,无法识别目标所导致的识别错误。例如,里约热内卢军警使用的人脸识别系统将一名女子误认为是逃犯,并错误地逮捕了她[5]。伦敦警方使用人脸识别搜寻嫌疑人时,发生了大约35 次错误的身份匹配[6]。2021 年6 月,清华大学RealAI 研究团队做了一项人脸识别解锁手机的测试,测试人员用15 分钟时间解锁了19 个不同的手机[7]。可见,现有的人脸识别技术可靠度远远不够,必然会面临一系列风险问题。与独特的DNA 信息不同,人脸存在相似性,且面容易改变。识别技术依赖脸部的比例与结构特征的输入,如果是同卵双胞胎或脸部整形后两个极其相像的人,人脸识别也很难发挥作用。可见,无论识别系统本身多么智能,算法多么精准,也会因为既有的结构性格局,催生出系统性偏颇[8]。
由于人脸识别依赖于庞大数据库的机器学习,如果算法没能包含不同的种族、性别、年龄、出身或背景,就容易产生基于数据库中的人脸识别偏见。根据美国国家标准与技术研究所2019 年的一项研究,人脸识别技术中的算法混淆亚裔美国人和非裔美国人的比率是白人的10-100倍[9]。人脸识别对某些特定群体的识别因人口统计学特征如年龄、性别、种族和民族而异。即使在不断更新的人脸识别系统中,男性的识别率也比女性高;老年人的识别率也高于年轻人[10]。另一项人脸识别效率的统计数据表明,人脸识别的数据库大小每增加一倍,性能就会下降2 到3 个百分点[11]。这些看似微不足道的“技术问题”,当它被应用到社会实践中时,就可能牺牲一些人的利益,产生重要的伦理风险。这就需要研究人员在开发、测试和使用过程中遵守相应的职业道德、恪守不伤害的伦理原则。
人脸识别技术的不透明也会导致风险发生。技术不透明既指技术本身的不透明,也指部署人脸识别技术过程的不透明。人脸识别等数字技术是隐藏、嵌入式的技术,它被嵌入机器系统,其运行难以被非专业人士理解。人脸识别系统的大多数算法都是专有的软件,很难对它们进行检查和审查。即使可以逐行检查代码,也难以检查运行中的代码,因为它是通过多层转换来实现的。在最基本的层面上有通过硅芯片的电流,在最高的层面上有程序指令,但几乎不可能追踪到正在执行的程序之间的联系。简而言之,软件算法在操作上是不透明的。此外,人脸识别技术系统的部署是以一种非侵入性、无接触、灵活移动方式实现的,在很多场合的使用是不需要其扫描目标对象的参与和同意的。在学校或医院里,如果有人在安装有人脸识别的摄像头的地方停留,那么此人的个人信息就会被识别机器记录存档,包括很多个人的敏感信息都会被自动系统捕获的信息以数字化的形式记录和存储。而人脸识别技术在公共场合的使用通常是在不被告知的情形下进行的,如果不采取相关的治理措施,就有可能造成系统性的风险,包括获取和使用人脸图像的方式,以及没有经过同意或选择不被识别的算法带来的问题。故而,告知公共场合中人脸识别技术使用的目的和原因,以及存储人脸数据的时间和范围,能够提升技术使用的透明度。
(二)技术滥用的社会风险
除了技术层面的风险,人脸识别技术的滥用也会导致社会风险,其中最为人们关注的是侵犯隐私,以及产生新的社会不公等问题。
2019年杭州发生的“人脸识别第一案”引起了全社会对人脸识别技术滥用的关注。该案件是质疑人脸识别技术商业用途的案件。杭州野生动物园要求郭兵扫脸才能进入动物园,被郭兵起诉。2020年11月,法庭作出判决,认定杭州野生动物园单方变更合同,违反了消费者权益保护法。尽管如此,法院并没有明确确认被告是否侵犯了隐私[12]。此案判决是一项具有里程碑意义的裁决,引起了公众对于人脸隐私保护问题的讨论。当政府部门使用人脸识别技术验证某人身份时,个人的意愿就显得十分脆弱。不仅执法机构经常使用人脸识别技术,私人和商业范围的使用也十分普遍。而且以代码存储的人脸数据使人们的面部身份很容易被第三方获得,一旦数据被保留,就可以很容易地重新利用以获取利益。哈佛大学的朱伯夫教授(Shoshana Zuboff)将这一过程描述为“监控资本主义”,认为数据提取极大地降低了企业行为者的信息成本,是将隐私权从消费者手中重新分配给企业的行为[13]。私人人脸识别用户和数据主体之间的信息不对称增加了技术滥用的可能性。
此外,人脸识别技术的滥用容易造成新的社会不公的问题。当作为智能技术的人脸识别能为社会提供一种非常经济有效的方法时,会使大多数组织逐渐依赖于这种技术,自然会成为解决一系列技术和社会问题的默认技术。但现实的情况是它不再只是用于识别恐怖分子的工具,它本身就成了一套标准一套系统。被识别人是什么身份,过去的是否有违法行为,抑或是未来有什么动向,都可能会交给这套系统来判断。人脸识别技术“模糊”的本质使得社会难以仔细审视它,为“看不见的”微观政治创造了前所未有的机会,使其变得无处不在。其设计或使用造成的社会不公在于其设计与运作的方式,技术的设计包含了某些利益,排斥了其他利益,这正是伦理需要关注的,即有些人的利益由于人脸识别技术自身的特点被排除在外。若全社会依据人脸的特征来判断个人的德性,解释包括贫穷、性格、种族和犯罪等社会差异,并以维护公共安全的名义进行大规模监视行为,容易导致不公正的社会排序和政治决策,从而排斥不同的群体,挑战旧有的社会秩序与伦理规范。
三、人脸识别技术伦理风险治理现状
随着智能化社会的到来,人脸识别技术的迅速发展和过度使用使得整个社会陷入了某种困难境地,在这种情况下,如果不诉诸适用于针对人脸识别技术的统一监管框架和治理措施,就难以解决目前由技术所产生的各种风险。然而,和其他新兴技术一样,政府确保负责任的使用人脸识别技术的意识通常落后于该项技术的滥用情况,而制定新的法律规范需要时间,根据已有法律框架适用准则及时进行相关的伦理治理是十分必要。
美国制定对生物识别技术的法律措施较早,伊利诺伊州在2008 年就通过了《生物识别信息隐私法案》,这是美国第一个针对生物识别技术的监管法案。该法案要求企业在收集个人生物识别信息前,应以书面的形式明确告知用户生物识别信息如何被收集、存储、使用,并且只有在获得用户的书面同意后,企业方可收集用户的生物识别信息[14]113-145。2019年3月14日,美国推出了《商业人脸识别隐私法》,对人脸识别的商业应用进行立法监督。该法律禁止在没有获得数据受试者同意的情况下使用人脸识别技术,对企业收集个人的哪些信息以及用这些信息做些什么设定了一定限制[15]113-145。这项立法是保护隐私的重要措施。目前美国已有多个州颁布了禁止人脸识别技术的法案,并明确严禁政府部门在公共场所使用人脸识别技术。美国对待人脸识别的严厉立场不仅体现在立法上,还体现在一些备受瞩目的案例处理上。
欧盟在2018 年生效的《通用数据保护条例》(GDPR)中明确涵盖了生物识别数据的处理,该条例为隐私与个人数据保护设立了全球性标杆[16]49。根据这项法律,生物识别数据被定义为“与自然人的身体、生理或行为特征相关的特定技术处理所产生的个人数据,如人脸图像”。GDPR 引入了数据最小化原则,即个人数据的收集“仅限于与处理这些数据的目的相关的必要情况”,以及“出于重大公共利益的原因”需要收集生物特征数据的情况[16]198。欧盟通过了实施保护人们免受人脸识别的威胁这项原则,禁止未经同意处理和共享生物特征数据。2021 年4 月又发布了旨在加强人工智能技术监管的法案,禁止在欧盟范围内公共场所的自动人脸识别,仅有三种特殊情况可以豁免:寻找失踪儿童;解除恐怖袭击的威胁;在法律允许范围内追查特定的刑事犯罪嫌疑人[14]113-145。欧盟数据保护委员会(EDPB)和欧盟数据保护监督局(EDPS)还进一步呼吁在公共场所禁止使用人工智能自动识别个人特征,包括人脸、步态、指纹、DNA、声音等生物信息[17]。欧盟正计划对人脸识别的使用施加更严格的限制,以赋予欧盟公民使用其人脸数据的明确权利。
我国与西方对待人脸识别技术的监管态度是一致的,都采取了积极主动的治理措施,但不同的是目前还没有针对人脸识别技术采取大规模的限制与禁令措施,不过可以依据现有的法律规范一定程度上防止人脸识别技术滥用。2017年我国实施的《中华人民共和国网络安全法》禁止网络服务商在未经同意的情况下收集和出售公民的个人信息[18]。2018年《信息安全技术个人信息安全规范》列出了有关同意如何收集、使用和分享个人资料的指导原则。2019 年科技部颁布了《新一代人工智能治理原则:发展负责任的人工智能》,其中包含了尊重隐私的原则。2019 年发布了《数据安全管理办法》,强调个人生物特征信息保护。2020 年《个人数据保护法》出台,为保护个人数据权利提供了更全面的框架,并引入生物特征数据保护概念。2021年生效的《中华人民共和国民法典》规定个人的生物特征数据应受到保护。2021 年7 月,最高人民法院还发布了《关于审理使人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,该法规有助于处理并解决实践中与人脸识别技术相关一些争议问题[19]。如,明确界定使用人脸识别技术处理个人信息相关民事案件的外延,具体是指信息处理者违反法律、行政法规的规定或者双方的约定,使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件。2022 年3 月,中央办公厅、国务院办公厅印发了《关于加强科技伦理治理的指导意见》,从国家层面进行部署,显示了对科技伦理治理的重视。
四、人脸识别技术伦理风险治理困境及其原因
虽然以上法规为防止人脸识别技术的滥用提供了一定保障措施,但智能时代人们对人脸识别技术意见分歧,现有的保护个人生物特征数据的法律还无法对此作出足够的回应,相关法律的调整并没有解决现实中的治理难题。这主要归因于个人与社会之间以及不同文化或政治共同体之间的价值观和利益的冲突。
(一)公共安全和个人隐私等价值观之间存在冲突。无论是立法部门还是企业,要平衡公共安全和公民个人隐私等价值观的冲突十分困难。公共安全包括不同的层面,首先是国家层面的安全,如恐怖袭击对公众造成的伤害;还有社区层面的安全,如法律和秩序受到破坏。不同层面的公共安全最终都可能会对个人的生命、财产或自由产生影响。通过人脸识别技术防止并加强安全保护是一种有效的技术措施,有助于增强个人与社会的安全性。如防止网络欺诈、预防犯罪行为等。从伦理层面来看,隐私是个体享受私人事务被保护的一种权利,是对个人自由和尊严的追求。如果一个社会没有对个人的隐私保护共识,这个社会就没有尊重和信任,也不可能有长远的安定团结。与人脸识别的个人数据有关的隐私权很大程度上在于控制访问和使用这些数据的权利。如,技术上限制对私人信息的未经授权访问,用技术解决侵犯隐私的问题,能加强隐私保护。当然,隐私权不是绝对的,它的界限并不明确或者需要在一定条件下打破。如,在一个公共空间,人们有权不被人脸识别机器拍到自身的个人人脸图像,以防被随意在互联网上流传。如果有的公共空间处于人脸识别技术的监控之下,用以检测和阻止犯罪,由此产生的个人人脸图像只提供给警方,并且仅用于识别该地区的犯罪嫌疑人,那么个人隐私权就可能被安全利益所推翻。故而,以任何名义使用或拒绝使用人脸识别数据,都不是绝对的权利,而是受限制的权利。同时,扩大人脸识别数据库和系统的使用,必须服务于特定安全的目的,还要得到明确的有效性证明。
(二)不同时期不同背景下的人们对个人隐私的认识有着较大差异。尽管维护公共安全是人类社会共识的基本价值观,然而,致力于个人隐私保护也是民主社会的一项基本伦理原则和价值理念。由于不同的文化背景,在一些国家,人们对个人的隐私权更敏感,也更关注,而在有的国家,人们对隐私的态度相对不那么在意。不过随着数据隐私的概念越来越流行,人们隐私权意识也会日益增强。根据《南方都市报》发布的《人脸识别落地场景观察报告(2019)》的调研数据,共有80%的受访者担心人脸识别系统运营商的保障措施不够,74%的人表示,他们更愿意使用传统的身份识别方法,而不是人脸识别技术[20]。特别是要警惕人脸识别技术的商业化对私自收集、加工、分析与使用个人信息的滥用。多数商业化的人脸识别在收集人脸信息时并没有对收集方式、范围、目的、存储时间等做出实质性的告知,或是征求主体的同意。另外,人们对个人隐私权的认识差异也体现在对保护方式、方法的区别上。有关主体的人脸数据的伦理问题通常与伤害事件相关,包括有形的伤害,如健康伤害、财务损失或受到歧视。故而,核心问题是谁使用了人脸识别技术?是在什么情况下出于何种目的而使用?在法律框架以及隐私和安全保障措施到位之前,是否应该禁止人脸识别技术的使用?对这些问题的不同回答都是关乎隐私的认识差异。
(三)不同政治团体之间的经济利益以及企业与个人利益之间也会直接存在冲突。这些冲突表现为:当在个人隐私、公正等价值与社会经济利益之间进行权衡时,政府和企业更关注经济增长,更倾向于为使用人脸识别技术辩护,毕竟人脸识别技术为社会创造了效益;在商品经济社会中,对社会经济利益的考虑是资本的目的,有时会忽视个人利益;人脸识别技术还代表着新兴的科技革新力量,以此为工具能在众多领域创造财富,推动了各国在此领域内的竞争,也导致各国将人脸识别技术创新作为保持各自科技与经济优势的重要筹码,从而大量增加对此类技术的投入。从经济利益的视角出发,为了争取市场份额,一些国家对别国企业如何获取世界各地的人脸数据抱有戒心,通常会采用双标的立场,用以指责其他国家的企业。有时候人脸识别技术的伦理冲突与技术本身直接相关,比如与技术标准、技术路线直接相关。毕竟,无论谁为技术制定新规则,都具有先发优势,在制定标准和规则方面的优势可以给企业带来巨大的效益。
五、人脸识别技术伦理风险治理建议
针对以上治理困境,笔者认为在智能技术普遍进入人们日常生活的当下社会,完全禁止人脸识别技术或袖手旁观都是毫无意义的。鉴于人脸识别技术近几年的迅速发展与治理现状,为了使人脸识别技术的应用更加合乎伦理,增进人类幸福,有效的治理框架应该包括技术监控机制和治理原则,还要根据现实的困境与冲突不断调整治理措施,以降低甚至化解技术对个人与社会造成的风险。
(一)对人脸识别技术进行严格的风险评估,为相关伦理治理提供实践层面可操作的框架。风险评估是技术创新中一个必要的验证环节,首要是对人脸识别技术的风险加以界定,包括技术对个体的可能伤害程度,社会风险的代价与利益的权衡。风险评估是一个持续的、动态反馈的过程,一方面要依赖于技术专家的建议,另一方面要重视技术市场化后的利益相关方的反馈信息。
(二)将伦理原则和规则嵌入人脸识别技术治理机制中。伦理原则是经过伦理论证达成共识并符合各方利益的具体行为规范。具体针对人脸识别技术的应用,通过设立最小数据原则、透明性原则、非歧视原则和知情同意原则,能有助于确保人脸识别技术以更安全的方式发展。这些原则要求收集人脸数据时,仅在必须的最小范围内进行,避免过度的数据收集、处理和存储,及时且充分地披露相关信息,对可能预测到的各种风险加以说明,确保人脸数据主体对生物数据的自主控制权等。
(三)建立以政府为主导的监管机制。如何在制度层面上加强监管,合理、理性的进行伦理治理是一项必要的程序。全面和综合的人脸识别数据库和系统需要由政府加以监管。政府和企业有责任让公众了解人脸识别系统的使用情况,并征得个人授权、同意后将技术系统用于特定的、正当的目的。政府还要发挥社会各方的作用,构建公众与专业人士对话交流的平台,通过科学普及与媒体推广让公众充分了解人脸识别系统。
(四)监管政策的制定需要结合具体情况,及时制定并调整相关的治理措施,分类治理,不能一概而论。在涉及人脸识别技术的法律条文生效之前,应考虑暂停在公共空间,特别是校园、医院和政府机关使用此类技术。针对商业化与网络平台的人脸识别技术还要接受司法审查,对于违反规定的行为进行处罚,包括行政措施和行政罚款等。
(五)加强国际合作。在经济全球化背景下,科技创新从研发到应用和市场销售,都呈现出各国密切合作的趋势。跨国科研人员共同参与已成为当前人工智能技术开发的一个显著特点。人脸识别技术的国际合作旨在推动全球范围内负责任地研究与使用相关技术,涉及技术研发、技术分享、技术安全、国家利益等。毕竟,人脸识别技术本身不是目的,而是作为一种能促进人类繁荣、提高个人和社会福祉的手段,并带来技术进步与创新成果。故而,当涉及不同国家之间的资金投入、经济、文化、法律规范的差异时,加大国际合作和数据分享,有利于建构符合全人类的普遍价值规范,消除鸿沟,防止冲击人类共同伦理底线的行为发生。
