本報記者 曲忠芳 李正豪 北京報道

近日，一則“戴頭盔去看房”的短視頻在社交網絡火熱傳播，既撕開了當下人臉識別技術濫用亂象的口子，又戲劇性地將當下公衆擔憂人臉信息泄露甚至倒賣的不安全感生動地展現出來。

隨着全球數字化浪潮來襲，作爲人工智能重要分支的人臉識別技術正滲透到社會生活的方方面面，大到智慧城市建設，小到手機解鎖登陸、購物支付等。據CNNIC數據報告顯示，截至今年一季度，國內互聯網用戶規模就已突破了9億人，互聯網網站超過400萬個，應用程序數量超過300萬個。這意味着包括人臉信息在內的個人信息收集、使用更爲廣泛。

近一週以來，《中國經營報》記者選擇公衆範疇內落地最爲普遍、接觸頻次最高的智慧小區刷臉閘機爲切入口，陸續走訪了北京市多個居民社區，採訪了用戶人臉信息“流動”鏈上的多方相關人士。在採訪調查中，記者注意到，人臉識別技術落地應用，已在助力疫情防控等社會公共治理及人工智能產業發展中表現出明顯優勢，但與此“配套”的法律法規還沒有跟進完善，因此廣大用戶對於人臉信息這種比網絡賬號、手機號等具備更高敏感度、獨一性的個人信息，安全擔憂更加突出。

用戶“恐慌感”何來？

家住北京市大興區某小區的周先生告訴記者，小區門口今年7月時安裝了刷臉閘機，物業及居委會通知小區住戶登記包括身份證、房產證及人臉認證等信息，負責人一度暗示如不登記“後果自負”，但直到現在周先生都拒絕去登記，依然使用傳統的藍牙鑰匙開門進出。

“一來居委會、物業都沒有強制小區居民刷臉進出的權力，二來我的人臉信息被刷臉閘機的多方收集使用，萬一被泄露倒賣就太危險了！”周先生如是說道。

與周先生不同，海淀區某小區的業主牛女士則早早地使用上了刷臉進出小區，她覺得刷臉開門很方便，不用再操心是否忘帶鑰匙。而提及人臉信息可能泄露的風險，李女士坦言：“無所謂啊，更何況互聯網時代裏個人信息早就是‘祼奔’狀態了，人臉信息同樣難逃厄運。”

在記者採訪的多位用戶裏，無論是像周先生“斷然拒絕”，還是像牛女士“無所謂”，大多數用戶都對人臉信息的安全保護問題打出了一個大大的問號，呈現出普遍的不安全感與恐慌感。

爲什麼公衆對人臉識別如此擔憂？

飛象網CEO項立剛指出，用戶對人臉識別技術的認知了解有限，甚至認爲它是“洪水猛獸”。事實上，人臉識別技術無論是在居民小區，還是各種門店等場景的應用，它解決的是高效便捷問題，而並不是安全問題。用戶的安全感問題需要由相應配套的法律法規去制定與完善。

艾媒諮詢分析師王清霖認爲，未來較長一段時間，公衆對人臉信息的不安全感，以及人臉信息自身的安全隱患或將一直存在，且存在於各種生活場景中。早在去年已經出現過有小學生使用收件人的照片打開快遞櫃，使得運營主體緊急下架了刷臉取件功能。“戴頭盔看房”雖然頗具戲謔，但從中用戶對人臉識別的安全擔憂可見一斑。現在手機解鎖、App使用、移動支付等普遍使用人臉識別，有別於傳統的賬號密碼，不同平臺可以使用不同的賬號密碼，但會共用同一個人的臉，密碼可以隨時更換，如果人臉等生物信息被盜用或造假，那麼用戶很難通過變更、註銷等方式來保障信息安全。

除了人臉技術規模落地的環境因素，以及人臉信息的敏感性之外，個人信息倒賣“黑產”由來已久，更是公衆心底難以信任人臉信息安全的主要原因。記者查閱中國裁判文書網，搜索“侵犯公民個人信息罪”案由，結果顯示2017年至今與此相關的刑事案件超過1萬起。

人臉信息是如何“流動”的？

基於公衆對人臉信息泄露倒賣的普遍擔憂，記者仍以智慧小區的刷臉閘機爲聚焦點，通過採訪調查希望能解答兩個問題：一是用戶的人臉信息究竟是如何“流動”的？二是哪些主體能夠接觸、收集及使用用戶的人臉信息？

前不久，北京市昌平區百善鎮某小區的租戶吳小姐帶記者體驗了登記開通功能、刷臉進出小區的全過程。根據居委會張貼的通知，吳小姐掃描二維碼下載安裝了一款叫“睿視”的手機App，住戶登記頁需要填寫手機號碼、租房合同、身份證、人臉照片等，之後經居委會審覈通過後即可刷臉進出小區。

記者跟隨吳小姐來到小區居委會，詢問刷臉進出是否保障信息安全，工作人員稱：“智慧社區門禁系統是爲了方便人員管理，尤其是防控疫情，已經在所轄公安機關備案。”

吳小姐註冊登記完成後，在小區刷臉閘機處體驗，識別很快自動打開門。記者注意到，閘機硬件品牌爲“REJIA”，其提供商與前述“睿視”App相同，均爲北京睿家科技有限公司。睿視App向用戶提示了《隱私政策》，表示“會按照合法、正當、必要的原則收集您的信息”。

需要指出的是，刷臉閘機設備使用的人臉識別技術，除了自行研發的情況，還存在向人臉識別算法廠商定製集成的可能。

由此，記者簡單梳理下，在刷臉閘機這一鏈條上，能夠收集或使用小區住戶人臉信息的主體主要包括公安局、居委會、物業、人臉識別算法廠商、終端設備廠商等。

根據天眼查提供的工商數據，終端設備廠商的數量近幾年來呈攀升趨勢。在2017年至2020年，經營範圍中包括“人臉識別”或“刷臉門禁”的新註冊公司總共約4782家。如何確保所有的終端廠商都能夠做到數據自律，這給人臉信息保護增加了不可控的變數。

在今年以來多次關於人臉安全的社會大討論中，作爲人工智能領域增長強勁的算法廠商幾度被推上輿論的風口浪尖，而多位算法廠商的內部人士則向記者“喊冤”。一位不願具名的人士指出，主流的算法廠商能做的技術合規和操作合法，前者的方式包括使用私有云部署、制定數據歸屬管理機制，後者則包括數據脫敏處理，即使數據信息不具備“回溯”性。

另一位業內人士告訴記者，人臉識別技術的線下應用粗略可以分成1比1和1比N兩類場景。前者比如用戶刷臉覈驗身份進入高鐵站、飛機場、公園、遊樂場等，用戶刷臉是有感的，刷臉動作的完成需要獲得用戶授權，在這種情況下，人臉信息收集、使用的界限基本是清晰的。然而，在1比N的場景下，一個攝像頭獲取多個人臉信息，其收集使用的邊界並不是很清晰，涉及主體比較多，最容易引起爭議。如何把帶來便利的新技術應用與消費者的個人信息安全保護做平衡是一個關鍵問題。近年來算法廠商也在嘗試發起行業自律性質的聯盟組織或倡議，終端客戶使用算法時，算法廠商往往會與之強調或約定對消費者人臉信息使用規則，但這種約定往往是口頭的。

配套法律呼之欲出？

中國政法大學知識產權研究中心特約研究員、北京雲嘉律師事務所律師趙佔領指出，根據網絡安全等法律法規，個人信息判斷的標準是身份識別性，人臉數據無疑屬於個人信息範疇。收集或使用用戶個人信息（包括人臉數據）須遵守正當、合法、必要原則，並經過用戶同意。

今年11月20日，國內“人臉識別第一案”落槌。杭州富陽人民法院一審判決，作爲被告方的杭州野生動物園刪除原告郭某辦理年卡時提交的面部特徵信息，賠償郭某合同利益損失費及交通費。

在趙佔領看來，此案依據的仍是“正當、合法、必要原則，並經過用戶同意”規定，它對人臉信息法律保護方面並沒有太大的突破性意義，主要作用在於進一步引起了社會各界對於人臉信息這種高敏感度的個人信息保護必要性的認可。

人臉識別技術火熱發展帶來的社會安全擔憂陡增，引起了相關監管部門的重視與關注。10月21日，全國人大官方網站公佈了《中華人民共和國個人信息保護法（草案）》（以下簡稱“《草案》”），向社會公開徵集意見，明確規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息；個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。其中提及公共場所中個人信息採集、處理規則，在公共場所安裝圖像採集、個人身份識別設備，應該爲維護公共安全所必需，遵守國家有關規定，並設置顯著的提示標識；所收集的個人圖像、個人身份特徵信息只能用於維護公共安全目的，不得公開或者向他人提供；取得個人單獨同意或者法律、行政法規另有規定的除外。

中國互聯網協會法工委副祕書長鬍鋼律師告訴記者，一般來說，立法從草案徵集社會意見後，需經過三次審議，每兩個月審議一次，《草案》到立法，再到施行，可能得到2022年元旦之後。

與此同時，國家互聯網信息辦公室印發關於《常見類型移動互聯網應用程序（App)必要個人信息範圍（徵求意見稿）的通知》，規範App個人信息收集行爲。

12月1日，立法規範人臉識別信息的法規率先在天津出爐。天津市人大常委會表決通過了《天津市社會信用條例》，其中明確規定，包括信用服務機構、行業協會、商會及其他企業事業單位在內的市場信用信息提供單位，採集自然人信息的，應當經本人同意並約定用途，法律、行政法規另有規定的除外；同時，市場信用信息提供單位不得采集自然人的宗教信仰、血型、疾病和病史、生物識別信息以及法律、行政法規規定禁止採集的其他個人信息。

北京京師律師事務所律師周京立指出，人臉識別技術的應用具有重大價值，同時也存在重大安全風險，引發了全社會關注，從國家及地方近來的動作來看，公民個人信息保護的配套法律法規在不斷制定與完善，未來陸續立法落地，對於規範個人信息收集使用主體的商業行爲、打擊信息倒賣“黑產”、提升全社會對個人信息的安全感都具有非常重要而深遠的意義。