曠視拿了螞蟻的人臉數據？放心吧，監管機構比你還急_風聞

如果擔心鋼鐵被壞人用來做惡，那麼人類就不會有工業革命了。

一場口誤引發的風波。 

不久前，創新工場董事長兼 CEO 李開復在一場公開演講中提到，曾在曠視科技成立初期幫助其找到了美圖、螞蟻金服等合作伙伴，拿到了大量的人臉數據。

螞蟻集團服監測到輿情後，主動發聲，表示從未提供任何人臉數據給曠視科技，並聲明，數據安全和隱私是螞蟻集團的生命線，在任何時候都不會違背。 

隨後，曠視科技和李開復也先後發聲。前者表示，曠視不掌握，也不會主動收集終端用户的任何個人信息。後者對其口誤進行了説明，並對其對三家公司造成的困擾致歉。 

至此，口誤事件逐步平息，但關於人臉隱私的問題引發了一連串疑慮。那麼我們是否應該擔心人臉數據的問題，甚至對大數據時代到底該不該表示拒絕呢？

拿得到嗎？

AI 技術的發展建立在數據的基礎之上。以人臉識別所在的圖像識別為例，AI 模型在被構建初期，需要通過大量圖像數據的學習，掌握圖像中不同事物的特徵，並用學到的特徵識別新的圖像中的物體。 

對於人臉識別來説，經過訓練的機器能夠識別圖像或視頻中的人臉的特徵，與其已知的人臉特徵相比對，從而識別出被識別人的身份。因此，要想一個人臉識別應用「能認出你」，首先它要「認識你」。 

比如在支付場景下，用户在開通「刷臉支付」的時候，往往需要先進行面部掃描，以便系統「認識你」。掃描所得的人臉數據會被應用擁有方存入數據庫，當用户發生刷臉支付行為的時候，系統就會將當下的人臉特徵與數據庫中存檔的人臉特徵進行比對，並結合其他行為信息確認用户身份。 

那麼，當技術合作方，比如 AI 公司，與金融機構合作建立人臉識別項目的時候，AI 公司能否有機會從金融機構獲得人臉數據？這在當前的監管形勢下，答案是否定的。 

人臉識別技術逐步走入人們生活中後，監管力度開始逐步加強。特別是在關乎人民財產安全的金融領域，監管部門對金融隱私數據的治理更是嚴格。 

新規出台

2020 年 2 月，中國人民銀行發佈了金融行業標準《個人金融信息保護技術規範》，從安全技術和安全管理兩個方面規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷燬等生命週期環節的安全防護要求。 

在該規範中，央行規定了信息分級管理制度，其中，個人身份信息，包括指紋、人臉、虹膜等個人生物識別信息屬於 C3 級別，也就是最高級別保護信息，與銀行卡密碼同級。規範明確規定，C3 級別信息不應共享轉讓，且不應委託給第三方機構進行處理。 

2019 年 6 月，浙江寧波軌道交通 3 號線一期正式開通試運營，乘客體驗刷臉支付｜視覺中國

「金融機構對數據安全的要求一直以來都是最高級的」，一位 AI 公司的業務負責人告訴極客公園，他在工作中頻繁接觸金融客户。「機構內部有兩級物理隔離的系統保證數據安全，即使內部員工想要訪問數據都需要在一個放滿攝像頭監控的物理隔離的操作間進行操作。」 

如果需要第三方公司的服務，第三方公司的員工需要到機構現場，並且要在機構內部員工的陪同下，按同樣的安全策略執行。也就是説，在金融機構完全合規的情況下，在當前的金融監管環境中，AI 公司想要通過合作獲取數據，幾乎沒有可能。 

然而，時間拉回到人臉識別技術剛剛起步的 2012 年，那時監管尚未成熟，哪怕是在金融領域，合作雙方也不一定有意識對人臉信息做保護。這就導致在行業初始階段，很多人臉信息在人臉擁有者不知情的情況下，被複用或交易。 

多少錢能買你的臉？

雖然生物識別信息與銀行卡同屬於 C3 級別，但在實際意義上，個人生物信息甚至重要意義遠大於銀行卡密碼，因為生物信息無法被修改。也就是説，一旦你的人臉、指紋、虹膜信息授權給數據使用方，你沒有辦法通過「修改你的臉、指紋、虹膜」撤銷授權。 

儘管上述規範中對金融機構提出了明確的數據刪除及銷燬規範。但在實際環境中，情況並非如此簡單和樂觀。一位金融領域的 AI 技術從業者向極客公園談到：「我家附近的奶茶店都能自動地識別到我，每次我過去買奶茶，門口的機器都會説『張先生您好，您是我們的 VIP 會員』，你説想要獲得人臉信息，還是難事嗎？」 

2019 年 11 月，新京報記者曾調查人臉數據賣家，當時換臉 App「ZAO」由於隱私問題被封。在調查中記者發現，人臉數據的交易已經形成一條產業鏈，從微信朋友圈獲取，或者用爬蟲爬取，再打包售賣，每三萬張照片售價低至 8 元。

極客公園記者再次試圖在百度貼吧等論壇搜索人臉信息賣家時，被提示「由於相關法律政策，改信息不予顯示」。不過，極客公園記者也從數據標註公司處瞭解到，人臉信息的販賣仍在產業的熟人關係中進行。 

「跟他們買人臉數據是要籤對公合同的，他們沒有法律風險，都是用户授權的數據」，上述數據標註公司負責人告訴極客公園。然而，在用户同意被採集人臉數據時，是否對合同中隱藏的「授權協議」知情？在 ZAO 被封禁前的第一版用户協議中，存在「完全免費」、「不可消除」、「永久」等字句，但它還是一夜躥紅，成為用户爭相註冊的 App。

事實上，很少有用户會逐字逐句地閲讀條款中的內容。能夠充分知悉其中風險的人羣更是少之又少。將用户所要承擔的風險埋在冗長的條款協議中，本身就是一種規避監管的手段。 

在我國，非法買賣人臉圖像等數據可能違反《民法總則》、《侵權責任法》中對於他人隱私權、肖像權的保護。國家機關或者金融、電信、交通、教育、醫療等單位的工作人員利用其掌握的公民人臉數據，然後進行倒賣的，可能會構成《刑法》規定的出售、非法提供公民個人信息罪。手機 App 等非法蒐集用户相關信息，則還會違反《移動互聯網應用程序信息服務管理規定》的相關規定。

2019 年 4 月，上海第 16 屆自動販賣機展覽會，微信支付自動售貨機展出｜視覺中國

是否應該抵制？

「中國 AI 產業的優勢在於數據」，這是近年來在 AI 行業最常聽到的話。有廣泛的落地場景，又有唾手可得的訓練數據，在中國，AI 公司們正以比歐美國家更快的落地速度奔跑着。

今年年初，有消息指出歐盟正在考慮禁止在公共場所使用人臉識別技術長達五年，以便有時間研究如何防止這種技術被濫用。在美國，一些城市正在嘗試禁止政府使用人臉識別技術。2019 年 5 月，舊金山通過了《停止秘密監視條例》，成為美國第一個禁止政府使用人臉識別系統的城市。 

人臉識別技術一方面能夠為城市治理、人民生活帶來便利，另一方面也暴露出風險。像歐洲國家一樣，考慮用一刀切的辦法抵制新技術，固然是不可取的，也不符合我國發展的需要。如何在確保發展的同時，保護好公民的隱私，不為未來埋下隱患，是監管機構正在考慮的問題。 

2020 年 6 月，在極客公園與 B 站共同舉辦的 Rebuild 2020 Move on 現場，李開復曾談及個人數據與 AI 公司之間的關係。他談到，「現在確實很多歐美個人利益保護組織在説，數據是屬於個人的，商業公司拿着個人的數據賺錢，應該獲得用户的授權或者分成。」但李開復也坦言，現在這還是個烏托邦的夢想。

他覺得更務實的做法是，「應該懲罰用數據做壞事的人，而不是把數據收回來」。這可能也是用户今天需要面對的共識：畢竟如果只看到鋼鐵會被壞人用來做惡，那人類就不會有工業革命了。在技術進步之時制定合理的規則，比簡單拒絕技術進步更符合每個人的利益。

**圖片來源：****視覺中國｜**責任編輯：靖宇

轉載請聯繫極客君微信 geekparker