谁拥有你的脸

张田勘

驻德班总领事费明星在南非《水星报》发表署名文章，其中提到，冬奥会各赛区均利用科技进行闭环管理，连滑翔中心和高山滑雪中心这样的大型场地，也只需一次刷脸，即可快速完成体温检测和注册。

刷脸，即人脸识别。这不是一项新鲜的技术，全球范围内，基于人工智能（AI）的人脸识别已经应用得非常广泛。但有趣的是，从刷脸目前的发展来看，我们可以看到两个背道而驰的趋势，一方面是人脸识别技术的不断提升，另一方面则是生物信息的愈发严控。

刷脸能分清双胞胎吗

5年前，国内的刷脸技术刚刚大规模投入使用，主要应用方向是身份认证。例如社保领域和征信领域，刷脸都被用来认证公民身份信息。当时，刷脸在金融领域只有小规模的应用，银行正在考察和调研人脸识别远程开户实现可能存在的问题，业内探讨的主流是：刷脸的识别能力够强吗？

2018年，支付宝、微信推出蜻蜓、青蛙等智能刷脸设备，网友向刷脸技术提出了多个安全疑问：人皮面膜（3D）会蒙混过关吗，妆前、妆后能否识别，整容和毁容后咋办，偷拍的视频是否可以识别，脸上长了很多痘痘还能识别吗，双胞胎会搞混或互刷吗？

在当年，这些问题其实就已经在一定程度上得到了解决。阿里巴巴曾找来8位韩国女孩，在韩国江陵奥林匹克公园的冬奥展馆挑战人脸识别技术，其中就有一对双胞胎姐妹。所有的姑娘都一一被分辨了出来。

人脸识别结合了海量数据挖掘、神经网络等技术。到了现在，根据美国国家标准与技术研究院（NIST）的数据，世界上最好的人脸识别技术可以做到千万分之一误差，人脸识别的准确率接近99%。

安保方面，刷脸技术的精度正在不断迭代更新。仍以北京冬奥为例，冬奥场馆的人脸识别通道闸机终端，拥有3D结构光摄像头，具备活体检测能力，可以抵御照片、视频和3D面具的盗刷攻击。这些人脸识别通道闸机终端也会加入测温功能，可以在一秒之内同时完成人脸识别身份识别和测温核验。与此同时，为了执行一些特殊任务，场馆内的许多机器人都搭载着人脸识别系统。

除了安保，刷脸在金融领域的应用也已经很普遍，很多银行已经能在手机App中进行开户操作。业内极力推广刷脸支付的一个理由是，便捷和节省成本。英国《卫报》曾报道，江西省人民医院推出40台刷脸支付机后，收银结算速度提高了50%；在卜蜂莲花超市，顾客结账10件商品平均需要56秒，刷脸支付则只需28秒，由此算来，一年可以节省高达2820万元的成本。

基于这些好处，刷脸支付就可以畅通无阻、高枕无忧了吗？

独一无二的密码

2018年10月，刷脸技术落地不久的时候，国内一项覆盖6000多人的调查结果显示，近80%的受访者担心刷脸导致个人信息泄露。

直至现在，技术的完善也不能打消这种顾虑，尤其是在金融领域——把人脸识别用于支付，并不能完全解决安全问题，因为刷脸甚至可能比密码更不安全。

脸是个人的生物密码，但是这个密码是永久性的，无法修改。一旦有人成功冒充了第三者的脸，第三者几乎没有任何办法阻止别人盗用面部信息来进行支付操作。刷脸支付和一般的用户名、密码系统是有本质区别的——如果银行卡密码泄露了，可以通过修改密码来阻止别人盗刷卡；但如果别人盗了脸，就无法改正——哪怕刷脸支付只有0.0001%的错误率，一旦信息出现流失，就永远无法挽回。

另一方面，面部是一种用于个体识别的生物技术，现在用于支付，已经偏离了生物识别应用的主体方向。最大的隐患是个体隐私的泄露。迄今，人脸识别技术标准参差不齐，实际应用也各自为阵，没有统一的行业标准，这就造成大量的人脸数据被存储在各应用运营方或是技术提供方的中心化数据库中。这些数据是否脱敏、哪些用于算法训练、哪些会被合作方分享、哪些会被政府和企业采用……人脸的提供者一概不知。更严重的是，一旦服务器被入侵，高度敏感的人脸数据就会大范围泄露。

尽管有人提出，从技术上进行分层授权、分布式存储的数据脱敏和加密方式，可以避免人脸数据泄露。但由于人性的弱点，任何管理者和可以接触到人脸数据的人，都可以盗用、泄露和买卖人脸数据。

这并非危言耸听，此前有媒体调查发现，在某些网络交易平台上，只要花2元钱就能买到上千张人脸照片，5000多张人脸照片的标价还不到10元。显然，这是个人隐私领域的极大隐患，也可能造成严重危害。

基于这些原因，世界上一些顶级的信息技术公司，已经在收集和利用人脸识别信息方面，收手退却了。

删除10亿张脸

2021年11月2日，全球科技巨头、大量采用人脸识别的元宇宙（Meta，原脸书）公司宣布：关闭人脸识别软件，并删除此前该公司采集的超过10亿人的个人面部识别数据，因为这个软件可以自动识别发布在社交媒体上的照片和视频中人的面部。出于安全考虑，公司将不再使用该软件。

元宇宙公司的人工智能副总裁杰罗姆·佩森蒂指出，目前人们对人脸识别技术有许多担忧，监管机构尚未提供明确的监管条例来规范这项技术的使用。直到现在，还没有通行标准来应对这些问题。在这种不确定性下，合适的做法是不再使用这项技术，以限制人脸识别技术对数据信息等的采集。

佩森蒂的说法是一方面，另一方面，国际上对于人工智能的伦理规范和管理的要求，正在日益增加。联合国已经达成了初步共识，就是全面保护个人信息。

2021年11月24日，联合国教科文组织的193个会员国正式通过了首份有关人工智能伦理的全球框架协议——《人工智能伦理问题建议书》（下称《建议书》）。《建议书》提出，既要增进人工智能给社会带来的积极效果，但同时也要预防人工智能的潜在风险。对于预防人工智能的风险，在科技公司和政府已采取的措施之外，还需要采取更多行动，通过确保透明度、行动力和对个人数据的控制来保证个体得到更多保护。

《建议书》明确禁止使用人工智能系统进行社会评分和大规模监控，因为此类技术极具侵入性，大范围侵犯人权和基本自由。

此外，隐私权对于保护人的尊严、自主权和能动性不可或缺，在人工智能系统的整个生命周期内必须予以尊重、保护和促进。人工智能系统所用数据的收集、使用、共享、归档和删除方式，必须符合《国际法》，同时遵守相关的国家、地区和國际法律框架。

抵制生物信息滥用

《建议书》提出的问题，也是很多中国公众担心的问题。一些被迫使用刷脸支付的人感到，刷脸会让他们感到不舒服，并且担心个人数据被采集方泄露。南都个人信息保护研究中心的一份数据表明，有57%的受访者担心被追踪。

在国外，这样的担忧曾产生了大量反对人脸识别的运动。2019年9月，美国一群音乐人在推特上发起号召，反对在一些音乐节上实施人脸识别技术——人们在看表演的时候应当感到安全、被尊重，不应当被监视、骚扰、驱逐或逮捕。人脸识别的应用会让未注册、有色人种、跨性别、有犯罪记录的粉丝遭受特别待遇，他们会被不公正地骚扰，甚至被误判。

正是对人工智能发展方向的担忧，让联合国出台了《建议书》。但是，《建议书》的发布只是一个原则性意见和框架，正如其中指出，人工智能带来了前所未有的新挑战，包括性别、种族偏见的增加，对隐私、尊严和行动力的重大威胁，大规模监控的风险，以及在执法中越来越多地使用不成熟的人工智能技术等。凡此种种，都需要各国政府制定相当的规定和法律，以保护个人信息。

现在，中国已于2021年11月施行《个人信息保护法》，欧盟也有《通用数据保护条例》，但是，任何国家都还没有针对人脸识别技术应用的统一标准，以及详尽的人脸识别应用的法规。

如冬奥会、刑事鉴识这种基于业内顶尖技术、小范围样本数、国家公信力保障数据安全的短期刷脸应用，是效率和科技的体现。但在个人隐私大于商业应用的原则下，即便有巨大好处，刷脸仍不宜扩大到生活之中，尤其不适合诸如购物、出入小区等既非必要、可代替方法又很多的场景。