信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“ISACA”，作者/HAFIZ SHEIKH。

隨著大數(shù)據(jù)和人工智能技術(shù)的發(fā)展，人臉識(shí)別技術(shù)（Facial Recognition Technology,簡(jiǎn)稱FRT）被廣泛應(yīng)用于各種領(lǐng)域，正越來(lái)越多地融入日常生活，包括手機(jī)解鎖、門禁系統(tǒng)、支付系統(tǒng)、社交網(wǎng)絡(luò)、安全監(jiān)控等。

近年來(lái)，F(xiàn)RT的開發(fā)和使用呈指數(shù)級(jí)增長(zhǎng)。隨著組織出于各種原因使用該技術(shù)，包括驗(yàn)證和/或識(shí)別個(gè)人以允許他們?cè)L問在線賬戶、授權(quán)付款、跟蹤和監(jiān)控員工出勤率、針對(duì)購(gòu)物者的特定廣告等等，F(xiàn)RT的市場(chǎng)正在迅速增長(zhǎng)。事實(shí)上，預(yù)計(jì)到2028年，全球面部識(shí)別市場(chǎng)規(guī)模將從2021年的50.1億美元增至126.7億美元。這一增長(zhǎng)還受到全球各地政府和執(zhí)法機(jī)構(gòu)日益增長(zhǎng)的需求的推動(dòng)，這些機(jī)構(gòu)使用該技術(shù)協(xié)助刑事調(diào)查、監(jiān)控或從事其他安全相關(guān)活動(dòng)。

但是，與任何技術(shù)一樣，使用FRT也有潛在的缺點(diǎn)，包括以下幾個(gè)隱私和安全問題：

未經(jīng)同意——任何數(shù)據(jù)隱私法的一個(gè)基本原則是，組織必須讓用戶知道他們正在收集什么生物特征數(shù)據(jù)，并獲得他們的同意。FRT對(duì)隱私最重要的影響是在未經(jīng)用戶同意的情況下使用該技術(shù)識(shí)別人臉。這包括使用實(shí)時(shí)公共監(jiān)控或非法構(gòu)建的數(shù)據(jù)庫(kù)聚合等應(yīng)用程序。

未加密的人臉——從遠(yuǎn)程捕捉人臉變得越來(lái)越容易，收集和存儲(chǔ)人臉也越來(lái)越便宜。與許多其他形式的數(shù)據(jù)不同，人臉無(wú)法加密。涉及面部識(shí)別數(shù)據(jù)的數(shù)據(jù)泄露增加了身份盜竊、跟蹤和騷擾的可能性，因?yàn)榕c密碼和信用卡信息不同，人臉無(wú)法輕易更改。

缺乏透明度——在不知情或不同意的情況下使用FRT識(shí)別人臉會(huì)引發(fā)隱私問題，尤其是因?yàn)樯镒R(shí)別特征是個(gè)人獨(dú)有的。此外，它還帶來(lái)了額外的擔(dān)憂，因?yàn)榕c其他生物識(shí)別技術(shù)（如指紋）不同，面部掃描可以輕松、遠(yuǎn)程和秘密地捕獲。

技術(shù)漏洞——使用FRT，可以通過使用根據(jù)受害者圖像創(chuàng)建的圖片或三維（3D）面具來(lái)欺騙系統(tǒng)（即偽裝成受害者）。此外，F(xiàn)RT可能容易受到PA攻擊或使用物理或數(shù)字欺騙，如面具或AI換臉。

不精確——不精確是對(duì)FRT的另一種常見批評(píng)。捕捉到的面部掃描錯(cuò)誤識(shí)別某人可能會(huì)產(chǎn)生長(zhǎng)期后果。此外，準(zhǔn)確率因人口統(tǒng)計(jì)而異，這可能導(dǎo)致在犯罪情境下的不公正逮捕。

監(jiān)管環(huán)境

世界各地已經(jīng)通過了各種法律來(lái)控制和規(guī)范FRT的使用，有些側(cè)重于執(zhí)法、有些則側(cè)重于對(duì)公共部門的監(jiān)管。在美國(guó)，如果是在匹茲堡、費(fèi)城和弗吉尼亞州，部署FRT需要事先獲得立法批準(zhǔn)；馬薩諸塞州和猶他州要求執(zhí)法部門在進(jìn)行面部識(shí)別搜索之前向維護(hù)數(shù)據(jù)庫(kù)的州機(jī)構(gòu)提交書面請(qǐng)求。同樣，南澳大利亞州也頒布了《監(jiān)控設(shè)備法》（2016年）。該立法規(guī)定未經(jīng)所有關(guān)鍵方明示或暗示同意，任何人不得在對(duì)私人活動(dòng)進(jìn)行視覺記錄或觀察的場(chǎng)所內(nèi)安裝、維護(hù)或使用光學(xué)監(jiān)控設(shè)備。該法案還禁止知情使用、通信或發(fā)布使用光學(xué)監(jiān)控設(shè)備產(chǎn)生的信息或材料。

人臉識(shí)別技術(shù)的隱私原則

各組織正在不斷努力簡(jiǎn)化FRT在其商業(yè)應(yīng)用中的使用，以確保安全、安保、訪問、身份驗(yàn)證、存儲(chǔ)識(shí)別和管理，以及個(gè)人身份信息（PII）的可訪問性。FRT的隱私原則旨在推動(dòng)企業(yè)和在線平臺(tái)在商業(yè)環(huán)境中開發(fā)和使用FRT時(shí)負(fù)責(zé)任地使用數(shù)據(jù)。這些原則包括：

獲得同意——企業(yè)在將個(gè)人納入使用FRT進(jìn)行驗(yàn)證或身份識(shí)別的項(xiàng)目和/或向不知道該個(gè)人身份的第三方識(shí)別該個(gè)人時(shí)，應(yīng)獲得明確、肯定的同意。

合理使用——企業(yè)應(yīng)致力于以符合消費(fèi)者對(duì)數(shù)據(jù)收集環(huán)境的合理期望的方式收集、使用和共享人臉識(shí)別數(shù)據(jù)。

透明度——企業(yè)應(yīng)向消費(fèi)者提供有意義的通知，說明面部識(shí)別軟件模板是如何創(chuàng)建的，以及這些數(shù)據(jù)將如何使用、存儲(chǔ)、共享、維護(hù)和銷毀。

數(shù)據(jù)安全——企業(yè)須要有設(shè)計(jì)合理全面的數(shù)據(jù)安全程序，以保護(hù)個(gè)人信息的安全、隱私、機(jī)密性和完整性，使其免受風(fēng)險(xiǎn)（例如，未經(jīng)授權(quán)的訪問或使用、意外或不適當(dāng)?shù)呐叮?，并使用適合信息敏感性的行政手段、技術(shù)和物理保護(hù)措施。

基于設(shè)計(jì)的隱私——除了政策、法律和行政措施外，企業(yè)還應(yīng)尋求實(shí)施技術(shù)控制，以支持或強(qiáng)制遵守這些原則。

完整性和可訪問性——企業(yè)應(yīng)采取合理措施，保持人臉識(shí)別數(shù)據(jù)的準(zhǔn)確性。為個(gè)人提供審查或請(qǐng)求更正不準(zhǔn)確身份標(biāo)簽的合理途徑，以及要求刪除面部識(shí)別數(shù)據(jù)的權(quán)利。

問責(zé)制——企業(yè)應(yīng)采取合理措施，確保組織與所有第三方服務(wù)提供商或業(yè)務(wù)合作伙伴在使用FRT和數(shù)據(jù)時(shí)遵守這些原則。

結(jié)論

人臉識(shí)別技術(shù)FRT的快速發(fā)展已成為一個(gè)突出的全球性問題。雖然FRT有許多潛在的好處，但它也帶來(lái)了重大的隱私問題。在這個(gè)蓬勃發(fā)展的領(lǐng)域，監(jiān)管的前進(jìn)之路似乎將側(cè)重于確保有足夠的保障措施來(lái)防止濫用FRT和保護(hù)隱私，但結(jié)果如何就需要時(shí)間來(lái)驗(yàn)證了。

在一個(gè)依賴人臉來(lái)識(shí)別身份的世界里，無(wú)論是面對(duì)面還是在視頻通話中，了解什么是真的，什么是假的，都是安全和隱私的一個(gè)關(guān)鍵方面——即使沒有使用FRT。