人脸识别的公地悲剧

作为人类历史上最具效率的经济组织方式，市场经济较之以往游牧经济、农耕经济更能释放生产力的秘诀就在于“物化”乃至“金融化”。曾几何时，物化的对象还主要集中于自然资源和人的劳动，进入数字时代，人本身包括社会关系、行为方式乃至生物特征等都成了物化的对象。数据作为新经济的“原油”，在驱动历史洪流滚滚向前的同时，却也在信息安全、隐私保护方面留下一地鸡毛。

伴随数字经济对传统社会关系渗透改造的加强，对个人信息的关注也西风东渐，在中国引起强烈关注。从媒体对特斯拉“隐私门”的广泛报道到“3·15”晚会对多家知名商店违法安装人脸识别设备的曝光;从全国人大法工委提出“个人信息保护法草案应对人脸识别信息处理作出专门规定”，到全国“两会”期间委员联合提案建议建立人脸识别的网络及信息安全监管体系，无不说明了这一点。

在种种争论、焦虑乃至恐慌中，成为众矢之的的莫过于人脸识别。本来，在种种安全技术中，人脸识别因为在成本、技术、门槛以及体验上的综合优势，不但力压数字密码、电子证书等传统技术，就连系出同门的指纹、声纹等也自叹不如，成为名副其实的“希望之星”。只是春风得意不过数年便遭逢信息安全大潮的“水逆”，展望未来，人脸识别还有多少含“金”量？

技术与应用瓶颈

在那个“大众创业、万众创新”的镀金时代，一句俏皮话曾经火遍大江南北——站在风口上猪都能飞。很明显，经历了泥沙俱下的时间洗礼，有着硬核实力和真实应用的人脸识别并不是那只会飞的猪。

按照行业一般看法，人脸识别可以简单概括为机器对静态或视频中的人脸图像进行特征提取、分类识别，以达到身份鉴别的目的，其功能归纳起来主要是身份验证和监控。

随着技术本身的快速进步、市场应用需求的日益凸显，以及各路资本的竞相热捧，人脸识别的应用不断升温，在政府机构的公共应用和非政府机构的商业应用与慈善应用的场景和功能与日俱增。

然而在互联网经济退潮之后，人脸识别虽不至于在“裸泳”，但却也暴露出曾掩映在高速发展光环下的种种先天缺陷：

首先，人脸识别主打的无感识别正在走向自己的反面，核心在于人是“被”识别而非主动识别，这还不仅仅是信息安全、隐私保护、人格尊严等的问题，即使在技术层面也暴露出人脸识别的一大短板：一方面，人脸识别固然在验证是否本人方面功效卓著（虽然也会受到自然条件如光线等的影响，以及识别率的调节）;但另一方面，被动的人脸识别在行为意愿与否的验证上却需要进化以及其他技术的支持。

其次，人脸识别的安全认证对象是人脸，而作为人体主要生物特征且寄托社会关系和情感因素的人脸，却很难甚至不能更换。一者，人脸不可避免地持续暴露在外，增加了被破解、被利用的几率;二者，更改密码等安全要素、各类密码不能混同等本是基本的安全常识，但人脸却不能满足这些策略;三者，人脸是自然生成，具有随机性，识别也主要是靠一个个元素试错性的积累，这从根本上无法避免“撞脸”的可能。

最后，物化及反物化的撕裂已经并将如影随形地持续影响人脸识别应用。表面上看，人脸识别是将自然生物特征密码化，是从工具到工具，实质上看，由于人脸的社会属性，人脸识别却是将人格权利工具化，是从人到物。特别是在被互联网刺激整合的民粹主义思潮影响下，张扬个性、反对物化的号召到处引起共鸣，再考虑到哲学社会科学以及法律领域对信息权利归属并没有权威解释、规范而莫衷一是，人脸识别的合规压力显然具有长期性和深刻性。

除了技术层面的先天缺陷外，人脸识别在应用层面也遇到重重挑战：

挑战首先来自业界自身。从发展历程看来，人脸识别作为前沿的安全技术，其向传统行业的普及始终与作为主要推动力量的互联网相进退。现在，互联网越来越成为一种通用技术、一种基础设施，人们对其应用的需求已经从此前的便捷高效，跨越到安全、合规领域。

尤为重要的是，一方面，业界对人脸识别还缺乏整合，商业机构各行其是，行业没有统一声音，共性问题成为“公地悲剧”，在人性道德陷阱下由于资金缺乏而破题艰难;另一方面，一些曾经失意的竞争对手却卷土重来，比如电子证书解决了便携问题，指纹识别优化了安全功能，它们或者自身进化、或者强强联合，已然成为颇具规模的替代方案。

另外，人脸识别对网络渠道的路径依赖正逐渐成为其应用上的最大掣肘。

以金融领域为例，一者，行业已经过了渠道线上化而进入经营线上化的时代，这就要求人脸识别不能还只作为登录、支付等掌上银行交易环节的验证工具，而是向中后台应用延伸，需要支持金融机构风控、信贷等更深层次的核心要求，但现实却是人脸识别的应用纵深并不够，并不能直接、独立提升经营管理效率。

再者，人脸识别及与其相关的人工智能等在一定程度上也可以称为“劳动密集型”产业，需要大规模的人工通过经验主义的方式对AI进行个案辅导以提升识别等能力。但现在由于成本控制的考量，人工还只停留于一般劳动者的简单劳动。

然而行业解决方案需要的却是基于专家经验的技术应用，人脸识别与场景的深度结合不但要有天才的方案设计，更需要脚踏实地的专家经验的辅导与喂养，而这至少在短时间内会使企业遭遇成本上升和业务增长的“两难”，甚至成为部分初创企业的“滑铁卢”。

三大合规隐患

如果说人脸识别的发展瓶颈主要在于技术，其风险桎梏则主要来自法律。如前所述，在“互联网+”的大背景下，科技与商业的融合愈发紧密，利用科技手段窃取和非法使用群众个人信息的新闻也屡见不鲜;同样，科技进步也推动了普通民众法律知识水平与思想观念的进步，从西方到东方，个人信息保护已成为社会共识。

在上述情况影响下，对人脸识别的法律规范已然在进行，但其风险主要来自三个方面，一是法律、政策乃至发展规划对人脸识别的“层层加码”。人脸识别技术所收集的生物信息在中国是属于法律规定的个人信息的范畴，应该受到个人信息保护的法律、法规等规范性法律文件的约束。另外，由于人脸识别及其相关人工智能在技术发展上的重要性，从中央到地方，从金融到产业，各类规划对其发展进行鼓励的同时也按各自思路施加引导（见图）。立法领域和层级的复杂性在一定程度上增加了执法司法的不确定性，进而增加了行业企业的合规成本。

二是确权这一基础的法律理论问题并没有真正解决，基本法律框架还处在发育过程中，未来甚至不排除有根本性的转变。一者，信息权利在个人和企业间的归属及为何如此归属的问题还没有很好的诠释，信息权利横跨人格权和财产权两大法域，既不利于权利的针对性保护，也为其“物化”预留了法律空间。

二者，保护框架还在利益平衡和绝对保护两者之间摇摆，前者关注个人和企业之间的利益平衡，强调服务提供与信息让渡的公平交易，将信息保护更多归为商业领域，后者则直接将信息保护视作基本人权，强调其构成人之所以为人的基本要素而绝对保护，对技术发展则进行规范甚至约束。

三者，规范体系仍在持续增加，并且由于其纵向、横向的广泛跨度，专业性也日趋缜密。比如，除文末附图中收集整理的中国关于个人信息保护的相关法律法规外，正在征求意见的《数据安全管理办法》、《个人信息出境安全评估办法》也是专门针对个人数据管理的专门性法规。

此外，中国还出台了与人脸识别技术或识别生物特征信息的相关国家标准规定，比如《信息安全技术个人信息安全规范》《信息技术生物特征识别应用程序接口》系列标准、《公共安全人脸识别应用图像技术要求》等。

即便如此，中国针对人脸识别所涉及个人信息和数据安全等方面的规范体系也还并不健全，比如中国重点限制企业采集信息，但对公权力和域外收集个人信息还少有限制，中国规定正当性采集信息为原则，但未明确具体细节等，同时现有政策法律规定零散、操作性也有待加强。以上种种的叠加，自然而然隐藏着较大的风险隐患。

企业风控桎梏

除了法律规范逐渐细致、确权问题尚未解决、权利意识日益高涨等合规问题外，随着人脸识别在深度（越来越多地介入企业经营机制纵深）、广度（应用场景、作用发挥越来越多）两端的扩展，企业逐渐走向原来并不熟悉的高风险领域。并且由于这些领域技术应用的交叉性，此间也没有成功经验可循，包括业务发展以及法律规范、权利保护等都需要持续摸索，持续面临不确定性的挑战。也可以说，人脸识别的风险现在集中表现为，即使是企业自身（更遑论其他）也并不具备相应的风险管控能力，择其要者具体如下：

首先是技术应用风险。按照行业通说，人脸识别作为收集生物信息技术手段，需满足真实性、保密性及实用性等要求。但因现在人脸识别技术还处于发展过程之中，实际应用未臻完美，其识别精准度受算法、光照甚至姿态等因素的影响，尤其是部分企业在动态识别领域关键技术的缺失，使得其在实际应用中的效果会较理想大打折扣。

在信息安全方面，如今互联网公司掌握公民大量的信息，一旦黑客利用技术入侵乃至盗取相关企业储存的用户信息，极易造成安全隐患。根据《南方都市报》人工智能伦理课题组和App专项治理工作组发布的《人脸识别应用公众调研报告（2020）》显示，有九成以上的受访者使用过人脸识别，其中六成受访者认为人脸识别技术有滥用趋势，另有三成受访者表示，已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。并且由于人脸信息在生物性和社会性上的唯一性，使得其不像其他信息。人脸信息一旦丢失就无法进行挂失，无异于将自己的“密码”公之于众。有鉴于此，如何防止和堵塞黑客盗取公民信息的技术漏洞，应是互联网企业提升安全防范技术的重中之重。

在技术运行方面，人脸识别受外界因素影响较大，具有使用不稳定、复杂性不够的特点，可能会造成识别错误、识别混同等情形。另外，由于地区之间资源不平衡、信息流通不畅等问题，也容易导致识别信息混乱。

同时，由于采集来的大量生物信息集中储存在企业相关系统内，且数据量呈指数倍极快增长，如果同时运行或输出各种不同的数据，系统程序多次频繁运行，有可能造成输出数据错位和内部信息错乱，为信息数据储存和运行带来安全风险。相关企业当前的数据储存技术和架构能否承担庞大的需求还需要实践的检验。而信息权利不同其他，若其数据管理系统缺乏相应的安全机制，即使亡羊补牢也为时晚矣。

其次是规范纰漏风险。即使是有了各种各样的法律规范，但由于人脸识别及相关技术的复杂性和应用的广泛性，不同领域也都在不同程度上存在法律制度、监管政策制定瑕疵和落后实际需要的风险。

如小区、校园等公共场所公民信息被随意收集，或消费者以自身信息作为接受服务的对价，这些现象的出现主要是因为中国对于信息收集并没有针对具体场景应用设置相应的、细致的门槛要求，部分企业在利润驱动下铤而走险，以“打擦边球”方式来肆意收集公民信息。

在强制采集方面，曾经风靡一时的“面相测试”、“掌纹算命”、网上基因检测以及ZAO软件都是未经用户同意以欺骗手段或强制采集用户生物信息。而在此前中国消费者协会公布的对于涉及采集个人信息的App抽查测评也显示中国存在大量App等程序不正当、不适度收集用户信息的情况。因为缺乏市场有效约束和违法成本相对较低，部分领域企业强制采集用户信息甚至成为常态。相当多的软件要求用户不同意信息采集则被禁止享有App服务，即“不授权无服务”，即使屡遭治理，仍有部分企业依然我行我素，凭借专业及信息优势欺瞒监管和公众，过量采集相关信息。

在信息滥用方面，正如不少专家所指出的，目前人脸识别所面临的最重要问题还不是如何保护，而是治理滥用。滥用人脸识别技术之所以引起恐慌，是因为其综合了无感性、被动性、唯一性以及关联性等特性，原本的威胁也因未知而具有了“乘数效应”。