人脸信息滥用触目惊心,商用逐利边界何在?

业界 作者: 科技杂谈 2021-03-17 15:09:50 阅读:88

【摘要】这种密码并没有数据库的加密保护,甚至都没有密码输入栏的「*」帮忙遮挡一下,就这样暴露在那些随处可见的小小摄像头,以及他们的安装者面前。




| 科 技 | 杂 谈 |

中国通信行业第一自媒体



本文作者机器之能

本文来源:机器之能(almosthuman2017

杂谈投稿邮箱:631255063@qq.com



「中国人平均每天要暴露在各种摄像头下超过500次。」几年前,清华大学新闻学院教授沈阳曾对媒体提到。


我们每天面对的摄像头,除了来自政府,也有不少来自各种商业场所。每当步入一家门店、一个商场,最先「盯上」我们的不是导购,而是隐藏在角落里的摄像头。昨晚,央视3.15晚会上再次曝光多家知名品牌利用门店摄像头收集人脸数据。


在未告知也未经客户允许的情况下,商家将搜集到的人脸数据用于客户信息分析,其中不乏科勒卫浴、宝马、MaxMara等知名品牌。作为技术供应商的四家AI公司也被点名,其中还包括拿下大量安防市场份额的A级企业。


 一 
谁的摄像头正在「偷」你的脸


在央视记者调查的20多家装有人脸识别系统的商户中,人脸识别信息均为商家私下采集,没有一个商家明确告知,征得同意更是无从谈起。


其中,在科勒卫浴在全国上千家门店安装了具有人脸识别功能的摄像头,消费者只要进入其中一家店,就会在不知情的情况下,被摄像头抓取信息并自动生成编号,以后顾客再去哪家门店,去了几次,科勒卫浴都会知道。


通过对人脸识别数据进行分析,商家更容易得到顾客画像,并可以借此判断顾客的好恶以及消费意向和消费水平,甚至利用大数据「杀熟」。


科勒卫浴从不同门店收集并对比用户的人脸识别信息


「比如这个人过来了,B店会提示这个人也逛过A店,B店如何去接待、如何去报价,就有心理准备了。」科勒(中国)投资有限公司上海华东区零售销售主任解释道。


从此次315晚会的报道来看,为这些私自采集利用用户人脸信息的商家提供人脸识别技术的企业至少有4家,分别是万店掌、悠络客、雅量科技和瑞为信息。


目前,科勒卫浴及MaxMara等品牌已做出回应,称将拆除涉事门店的人脸识别设备,并承诺相关信息仅用于到店人数统计,不做保存、分析及转移之用。同样使用了万店掌产品的知名茶饮连锁品牌喜茶,也发表声明称喜茶门店中所安装的所有摄像头只用于安防影像采集,绝不会非法收集消费者的人脸数据。


 二 
商业化背后:没有障碍的人脸裸奔

天眼查专业版数据显示,我国目前共有超过6500家人脸识别相关企业。其中,有限责任公司占比高达9成。另外,我国约22%的人脸识别相关企业注册资本在1000万以上。


人脸识别技术已经被广泛运用在社会的很多层面:


为了严防考生作弊,中国多个省份在2018年高考期间启用了人脸识别系统;很多大学也将人脸识别技术应用到校园出入人员身份验证以及图书馆出入验证;地方政府在公租房安装人脸识别系统,预防公租房违规转租;出租车公司,运用人脸识别系统,确保乘客安全;在中国公安系统,人脸识别技术与照片数据相结合,能准确获取人脸信息。


中国厕所革命中,新疆阿勒泰市区一公共厕所内,学生通过人脸识别取纸


本次3.15聚焦的不是出于公共秩序与安全目的的人脸识别,而是企业商业化人脸识别。从国内外案例来看,主要目的在于精准营销和防止损失。


「流量明星势必走上带货之路」,这也是技术的宿命之一。线下零售店普遍存在的痛点是,无法有效利用线下流量。线下数据单一而隔离,不同实体商家的用户数据无法打通,线上线下数据割裂。


比如,一个顾客进店,商家无法知道他以前有没有来过、来过几次、是否有消费意向、有什么偏好等等。这就导致了商家很难精准地向一类顾客推销,广告发放效率低、转化率低。


而利用人脸识别技术,则可以通过抓拍人脸,给每个顾客生成独有的「Face ID」,商家就能更容易地分析判断客户。


在央视报道中,一些人脸识别设备后台,可以清楚地看到顾客的人脸信息、性别、年龄,甚至心情。还可以知悉每一位到店顾客的消费记录、购物偏好等信息,关联消费数据、消费总额、客单价、常购商品,最近到店时间、频次等。系统还为商家提供了看「标签」功能,可以将某些特殊人员加入黑名单,比如同行、记者、职业打假人。


青岛某媒体披露的某售楼处「人脸识别」标配,摄像头用橙色标记出


在一度冲上「热搜」的戴头盔看房案例中,人脸识别可以帮助楼盘开发商判断某个购房者是什么类型。比如,客户自己看房还是中介带看?折扣应该发给谁?像链家等中介渠道给楼盘带客成交是要支付佣金的,从成本角度,开发商更喜欢主动到访的看房人,一旦识别成功,价格差也就出来了。比如,总价150万,成交价格能差两三万。


在美国,人脸识别的一个很重要、但也充满争议的商业用途在于预防零售的盗窃损失。美国零售业经常被小偷「光顾」。据统计,在美国,每11个人中就有1个人(约为2,700万人)被认为可能实施了店内行窃,而每起店内行窃会导致高达559美元的损失,仅沃尔玛每年就因被盗而损失30亿美元。


虽然损失很多钱,但店主通常缺乏有效的管控手段。在美国很多地区,小偷单次偷窃金额不超过7,000美元不会获罪。这意味着,如果没有成熟数据库能统计某人的累计偷窃金额,小偷只要每次偷的金额少一点,即便第一天被抓,第二天又能放出来接着换一家去偷。


人脸识别技术可以很好地解决这个痛点。但美国公民自由联盟(ACLU)一份调查显示,很少有零售商愿意公开透露人脸系统的部署情况。


去年,路透社曾长文披露美国连锁药店Rite Aid(零售规模最大的药店之一)过去八年在全美200家门店部署了人脸识别系统。


新顾客走到相机面前,会被增加个人资料。(这是路透社的摄影师卢被该系统拍摄的照片

摄像头会为进入店铺的顾客建立一个独特的面部轮廓,然后与数据库中有嫌疑、甚至有前科的人脸进行「特征匹配」。发现可疑分子时,系统会对安全专员手机发出警报,专员在判断比对准确性后,决定是否要求该客户离开。

不过,在任何被认为是「经常不诚实顾客」的个人资料上做标记并添加到监控名单,必须得到经理的批准,并经过「多层有意义的人工评论」。

通常,新面孔会被添加到现有个人资料库中,如果没有发现任何可疑情况,十天后,该资料会被删除。

摄像头发现「不诚实的顾客」时,用户会收到智能手机匹配提示,相关人员检查其准确性,决定是否将顾客带离商店。10天后,没有被标记的顾客资料会被删除

关键问题在于作为被收集人脸信息的消费者,毫不知情。在路透社的采访中,对药店是否履行了告知义务,让客户对面部识别功能部署知情进行了询问。药店表示,店铺有相关信息的「标识」,且已经在网站上发布过书面政策,让顾客了解该项技术的部署。不过,路透社发现,自己走访过的店铺中,有三分之一没有相应的「标识」。

在国内,无论是在售楼处门口还是楼内,摄像头处均无人脸识别提示,销售人员也并没有提及人脸识别。暗访某青岛楼盘的记者曾表示,从大门口的走廊位置,有两处摄像头,当置业顾问把记者领到沙盘前开始介绍时,短短的几十米路程中,记者又看到在前台、沙盘、展示板、休息区、电梯走廊口,角落处都安装了摄像头,记者大约数了数,有10个以上的摄像头,从各个角度对准前来看房的人。但均无明确标识和告知。

几乎可以说,现在任何企业只要想使用人脸识别技术,就可以没有任何障碍地使用。企业大范围收集个人信息通常不只是出于用户便利的目的,而是为了更全面地掌握用户的个人信息,实现精准营销等商业化目的。而且技术已经发展到让人「无感」的程度。

一家AI供应商曾表示,「我们不是让人们去感受科技的存在,而是为了让人们享受到科技带来的安全、便捷与舒适,这是我们的产品理念。」「不需刻意配合,都能实现无感抓拍。」

 三 
人脸保卫:三方的划界与博弈

人脸信息属于个人独有的生物识别信息,在智能手机以及支付软件广泛应用应用的今天,人脸信息已经成为很多用户的支付密码、账号密码等,由于用户无法更改自己的人脸信息,一旦泄露,将严重威胁用户的财产安全、隐私安全等。

站在司法救济角度,有律师给出了意见。比如,在客户未知情况下擅自录入人脸信息,并转入营销通道中来判定客户,实际上是一种不正常的营销行为,不仅让用户十分缺乏安全感,也涉嫌侵犯隐私,可以诉诸《中华人民共和国网络安全法》。

「看人下菜碟」、给予不同优惠力度,与美国带摄像头连锁药店大多安置在黑人聚集社区的做法类似,既涉嫌歧视也有不正当竞争嫌疑。

不过,从去年11月宣判的「人脸识别第一案」一审结果来看,救济效果并不理想。一审宣判,野生动物世界赔偿郭兵合同利益损失及交通费共计1038元,删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息。

对这样的结果,郭兵并不完全满意:法院仅支持了删除自己照片在内的面部特征这一项,而主张指纹识别和人脸识别相关格式条款内容无效的四项诉讼请求,未得到法院支持。

法官认为,人脸识别格式条款内容只是野生动物世界单方发的要约,郭兵没有接受,故而对其无效。

一审判决后,野生动物世界依然沿用仅能通过人脸识别入园的格式条款,这使得这桩诉讼某种程度上,成为「没有胜诉的胜诉」。

总之,大数据时代来得太快,技术走得也太快,包括中国在内的许多国家尚未构建一套适用于大数据和AI时代的基础设施,也没有个人信息保护的顶层设计制度。人脸识别技术本身也存在很多漏洞、数据采集后如何保存、传输,传给谁,怎么用,谁能看得到,谁能把数据考走,能否放在网络上等等,都需要立法者去博弈和规划。

目前在美国,面部识别系统基本上不受监管,尽管一些研究表明,该项技术可能导致对无辜个体的骚扰、歧视甚至隐私侵犯等。且包括加州、华盛顿、德克萨斯和伊利诺斯州在内的几个州都有公开或同意的要求,或限制政府使用。

2019年,英国威尔士首府卡迪夫的埃德·布里奇斯(Ed Bridges)向法庭提告,警方利用自动人脸识别技术拍摄到他外出买三明治和参加和平示威,是对他的隐私和个人信息的侵犯。这一案件被认为是英国,乃至世界第一例涉及人脸识别技术的案件。2019年9月,英国威尔士首府卡迪夫的高等法院裁决,警方利用自动人脸识别技术并不违法。

为应对人脸识别技术的不断提升,2018年5月,经过多年讨论的欧盟《一般数据保护条例》(GDPR)开始生效。这一条例被称为人类历史上第一部「数据宪法」,规定包括「脸纹」在内的生物信息属于其所有者,使用这些信息需要征得本人同意。

目前中国个人信息的保护框架中,让人比较受到鼓舞的是今年3月6日发布并将于10月1日开始生效的《个人信息安全规范》,其中明确规定,收集个人信息除应单独向个人信息主体告知外,还应告知目的、方式、范围、储存时间,征得信息主体的独立的明示同意。但这还不是法律规定,而只是行业性标准。

正在审议中的《个人信息保护法(草案)》是我国首部针对个人信息保护的专门立法。其中规定,要有特定的目的和充分的必要性,方可处理敏感个人信息;收集敏感个人信息要经过个人单独同意,向个人告知处理敏感个人信息的必要性以及对个人的影响。

「如果人脸识别是政府指定要求,相应的技术提供方是公开透明的,个人信息具有相对透明的安全保障措施,入园方式也提供多元化的选择,我或许也不会对他们的人脸识别入园方式那么排斥。」郭兵在接受媒体采访时说到。

不过,如何「同意」也是一个难题。因为,在商铺甚至周边获取同意方式,甚至比智能手机应用程序的「点击同意」更间接。比如,有的商店通过张贴标识的方式,「通知」客户正在受到何种设备以及目的的监视。按照这个逻辑,拒绝被监视的唯一方法就是你别逛这个店。

一些技术供应商表示,中国的人脸识别技术和应用均在全球领先,如果完全追随美国和欧洲对数据和隐私的保护,对人脸识别发展会产生很大的阻碍。但问题在于,技术供应商作为技术源头和获益者,目前承担责任还远不够。

不少公司,包括央视曝光的上述公司在内,都是直接收集和存储原始的面部信息。这对于用户来说,隐私泄露的风险大为提高。而技术供应商可以使得采集数据匿名化。

比如,谷歌曾为了解决加拿大某智慧城市项目隐私问题,开发一种摄像机系统,可以将监视录像带压缩成一系列模糊轮廓。这意味着,如果公司想分析码头区行人模式,会使用激光雷达设备来探测物体,或者是分辨率很低的相机,或者是只对行人计数但并不采集图像的设备。

一些技术较为先进的公司也会提取面部的特征值来替代原始照片,这些特征值是匿名性数据,经过加密处理后即使被泄露也无法重新定位至某个具体的人。采用这种方式能够在一定程度上实现对于个人信息的保护。


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:http://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

图库
关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接