本报记者 曲忠芳 李正豪 北京报道
由中国信息通信研究院云计算与大数据研究所发起的“可信人脸应用守护计划”(以下简称“护脸计划”),自2021年4月启动至今,已有一年时间。
“护脸计划”发起之初,正值人脸识别技术趋于成熟,开始广泛应用于各个行业领域,与此同时,社会公众对于人脸识别滥用、人脸信息泄露倒卖的担忧与日俱增,尤其当居民小区纷纷安装刷脸门禁出入系统,购物商场、售楼处、健身房等运营方“悄悄”安装人脸识别摄像头等,更增加了公众的不安全感。由此,旨在为人脸识别技术“正名”、推动产业健康发展的“护脸计划”应运而生。在启动后的一年里,“护脸计划”见证了以《数据安全法》《个人信息保护法》为代表的相关法律法规密集出台并施行,个人信息保护告别野蛮生长,步入“强监管”时代。
在这样的背景下,人脸技术提供方、集成应用商等参与厂商在这一年里发生了哪些明显的变化?“护脸计划”在推动产业健康发展方面取得了什么成果?人脸识别技术在应用中还面临哪些困难与挑战?针对业界关注的这些问题,《中国经营报》记者采访了“护脸计划”负责人、中国信息通信研究院云计算与大数据研究所人工智能部副主任石霖。
人脸识别产业发展的三个趋势
《中国经营报》:在“护脸计划”推进一年里,人脸识别技术产业发展有什么样的变化趋势?
石霖:从我们的观察来看,人脸识别技术产业的发展呈现出三个趋势特点:一是多种认证技术融合。人脸识别虽然能带来良好的用户体验,但并不是百分之百安全的技术。以金融行业为例,越来越多的机构开始采用“动作活体”+“炫彩活体”、人脸识别+声纹识别等身份认证方式,来提升系统整体的安全性,多种身份认证技术融合已经成为人脸识别应用的重要发展趋势。
二是从业厂商主动“合规”。随着《数据安全法》《个人信息保护法》等相关法律法规的实施,越来越多的人脸识别从业者加入到“护脸计划”中,寻求合规的产品设计、研发方案,这些从业人员多数来自新零售、金融行业,在实际从业过程中直接接触大量的人脸信息,主动“合规”的意愿也越来越强。
三是探索人脸识别替代性技术。我们发现,一些人脸识别的从业者迫于合规的压力,在部分场景放弃了使用人脸识别,转向了研发、使用人体识别、掌纹识别等新的识别技术,这些技术一定程度上规避了法律上的合规风险,但其实际的应用效果和安全性都有待考验,也都是“护脸计划”需要跟踪和探索的新方向。
《中国经营报》:《个人信息保护法》等法律法规施行,对企业运营方来说有什么影响?
石霖:《个人信息保护法》在一定程度上改变了人脸识别产品的应用方式,冲击了人脸识别应用的落地场景,加大了人脸识别应用企业的合规成本,这对人脸识别整个产业的影响是方方面面的。人脸信息作为敏感个人信息,《个人信息保护法》在“合法、正当、必要、诚信”原则的基础上对其提出了更具体更严格的要求。处理人脸信息需要满足“特定目的”及“充分必要”的要求,比如小区门禁不能让人脸识别应用成为唯一验证方式,而需采取替代性验证方式,这对人脸识别行业产品形态一定程度上造成了冲击。人脸识别应用落地方面,《个人信息保护法》要求处理敏感个人信息须取得个人单独同意,对于如何在公共场合商用摄像头落实“单独同意”制度,一些场景能否使用人脸识别技术成为人脸识别企业落地难题。
《个人信息保护法》还要求处理人脸信息的企业开展事前个人信息保护影响评估、定期开展审计等,一定程度上提高了企业合规成本。《个人信息保护法》中明确了严苛的法律责任,在合规驱动及可信驱动的“双驱动”下,企业需要提升个人信息保护及数据安全的合规及治理能力,维护用户个人信息权益,探索良性发展空间。经历阵痛期后,行业将迎来良性发展循环。我们预判,人脸识别在国内将会有非常好的产业前景。
《中国经营报》:目前人脸识别技术在安全合规方面还存在哪些问题与挑战?
石霖:安全与合规是两个层面。在安全问题上,人脸识别与其他身份认证技术一样,不是百分之百安全的技术,仍然面临着高精度仿冒面具、注入攻击、对抗样本攻击等安全问题,而且可能还会有新的攻击手段不断出现,业界已有不少人脸识别厂商、应用方、技术专家和科研工作者正在致力于迎接这些挑战的研究和探索。
在合规方面,人脸识别的训练数据的来源是否可靠、可追溯,训练数据本身是否全面、准确,以及人脸信息的脱敏和去标识化处理如何做到规范统一且可落地,都是业界当前重点讨论的议题。此外,在一些特定场景下,获得用户授权难、成本高,或与业务安全要求冲突的情况也经常存在,这些问题都值得我们细致研究与客观解决。
130多家单位参与 不设门槛要求
《中国经营报》:“护脸计划”目前有多少家单位参与?对参与成员单位设置了什么样的门槛或标准?
石霖:经过一年的发展,“护脸计划”的成员单位已经达到130多家,其中既有专门从事人脸识别技术研发的企业,也有科研机构、律师事务所、技术使用方、媒体等相关力量。我们对加入“护脸计划”没有设置门槛要求,欢迎所有致力于落实国家政策法规要求、开展人脸识别安全与合规研究、推动产业健康发展的相关方加入。
《中国经营报》:“护脸计划”开展的一年里主要取得了什么成果?
石霖:依据“护脸计划”《人脸识别系统通用可信能力要求》,我们对于市场上已经商用的人脸识别系统——包括但不限于终端设备、智能手机,进行了人脸识别安全专项测试,评测重点检验人脸识别系统抵御电子图像攻击、真人视频攻击、伪造视频攻击、打印照片攻击、三维头模攻击、常见注入攻击的能力。截止到目前,“护脸计划”公布了两批人脸识别安全专项测试结果。
《中国经营报》:在推动人脸识别技术产业的发展中,“护脸计划”发挥了哪些实际作用?
石霖: 总结来说,至少从四个方面显现出积极作用。一是“护脸计划”通过编制《人脸信息合规处理操作指南》,提出人脸信息合规处理总体视图,开创性提出了人脸信息处理的场景分类,深度融合了法律规范和实践经验,为相关单位使用人脸信息提供了可操作的参考指南,也为政策法规的落地起到了积极作用。二是帮助产业界重拾了信心。人脸识别的市场原本以宣传拿过大赛名次、识别准确率高为主,随后人脸识别的安全、合规问题逐渐暴露,用户方对人脸识别的技术应用存疑,产业的发展也有所迷茫,“护脸计划”的开展,专门针对人脸识别的安全、合规问题,通过技术研究、标准制定、测试评估等方式,一定程度上解决了困扰产业发展的难题,让产业发展重新找到了参考,为未来人脸识别技术产业更高质量、更健康发展奠定了基础。
三是促进了良性的供需对接。人脸识别技术仍然有着广泛的应用市场,然而,一些技术实力较弱的厂商为了追求商业利益,通过打价格战、虚假宣传等方式,获得了一些商业机会,也带来了一些市场乱象。通过“护脸计划”的标准制定和测试评估工作,客观有效地反映了厂商人脸识别系统的安全、合规水平,为供需对接提供了有效参考,也为真正有实力的厂商贴上了“优秀”的标签,帮助他们更好地开拓市场。
四是提升了整体产业的影响力。近年来,人脸识别技术产业的问题频发,使得民众对人脸识别技术的信任度持续下降。“护脸计划”如同阴霾中的一缕阳光,为技术的创新和产业的发展带来了光亮。
《中国经营报》:“护脸计划”在2022年的工作重点和预期目标是什么?
石霖:今年会持续构建“护脸”生态,包括持续开展标准制定及相关评测工作。
第一,进一步推进标准文件的制定工作,目前已经启动“移动端电子政务类人脸识别线上身份认证安全能力要求”的编制工作,计划于上半年定稿,同时梳理其他人脸识别热点及新兴生物识别等技术和应用,完成相应合规标准、性能要求的制定工作。
第二,在评测能力建设方面,我们将开展建设人脸识别安全的自动化能力,并依托联合实验室,紧跟行业最新动态,开展人脸识别安全攻防研究。
第三,继续完善“护脸”生态建设,继续扩大行业影响力。
人脸识别人脸人脸识别技术