许可 对外经济贸易大学数字经济与法律创新研究中心执行主任

金英 对外经济贸易大学数字经济与法律创新研究中心研究员

面部识别已成为最强大的生物识别技术之一,能够根据个人的面部轮廓比较和分析图案实现对人的认证、识别与监控。面部识别技术一方面富有经济价值和社会效益,但另一方面,也存在着不公平偏见和侵害公民基本权利的内在风险。为此,世界经济论坛(World Economic Forum,下称“WEF”)在法国率先开展了一项由多方利益相关者参与、基于事实证据的政策项目,并于今年2月发布了项目白皮书——《对面部识别的负责任限制框架:以流程管理为用例》(A Framework for Responsible Limits on FacialRecognition Use case:FlowManagement)。该计划的目标是为已经进行测试的面部识别技术建立治理框架,以确保安全可靠地使用面部识别技术,减少错误识别风险。该框架将为不同国家、欧洲和国际各界为公众关于识别面部识别技术的辩论提供了基础。

一、WEF的面部识别治理框架简介

该政策项目内容分为两部分:政策框架、流程管理政策试点。

第一,政策框架。该项目召集了来自社会各界的各种利益相关者,共同设计的框架围绕以下四个步骤进行:1.通过起草一套行动原则来定义什么构成对面部识别负责任的使用。这些原则侧重于偏见和歧视、面部识别系统使用比例、涉及隐私、问责制、风险评估与审查、性能、信息权、通知与许可、无障碍获取权和儿童权利以及替代选择和人工存在。2.设计一套最佳实践来支持这些原则的应用,以支持产品团队开发“由设计负责”的系统。3.通过一份评估问卷来评估该系统是否符合要求,其中描述了每个用例(use case)应该遵守哪些规则来遵循行动原则。在行动原则之后,发表评估问卷是该政策项目的第二个里程碑,旨在评估用于流程管理(flow management,在该白皮书中指对人员的流程管理)的面部识别系统,并指导相关组织实施行动原则。行动原则下的每一项内容均对应着问卷中的具体评估问题。4.通过由受信任的第三方设计审核框架来验证是否符合行动原则。这四个步骤不仅应有助于反映流程管理用例负责任的系统设计,而且应确保其设计者和用户有效地遵循这些可实现的原则。这一框架可被用于各种不同的使用案例,例如面部访问、公共场所的安全和安保、营销和客户服务以及医疗服务。

行动原则是该政策项目的第一个里程碑。上述行动原则仅确保负责任地使用面部识别技术,不涉及其他任何生物特征(如DNA,指纹,虹膜或步态识别)。该白皮书建议,任何有兴趣将原则应用到试点的公共或私人组织应遵守相关国家和地区法规,欧盟内则要确保遵守GDPR并且制作数据保护影响评估(DPIA),并最好事先通知相关数据保护机构;相关组织可以进行内部审核或者通过独立第三方外部审核来测试行动原则的遵守情况;应用面部识别技术的组织应向监管机构报告其政策试验(在欧盟监管机构为数据保护主管机构);同时该项目鼓励相关组织对使用面部识别的可行性进行影响评估,而评估并非对技术的评估,而是作为一项测试政策框架用以确保其负责任使用的试验。

第二,政策试点阶段。试点计划将通过AFNOR认证完成,分为测试与部署两步骤。测试将在2020年2月至2020年7月进行,在特定用例上测试此政策框架并进行审查(包括操作原则,最佳实践集合,评估问卷和审核框架);部署阶段将从2020年7月开始,通过多种方案来支持策略框架的部署。试点阶段将遵循以下三个工作流程:1.围绕特定使用案例共同起草评估问卷;2.测试志愿公司采取行动的原则的情况;3.根据测试结论更新行动原则。

鉴于流程管理用途的面部识别技术未来发展的需求,工作组将该技术的使用重点放在“通过识别面部获得服务”(人脸认证)的情景上,并对其具体风险设计了缓解策略,有利于说明如何将道德考量引入业务运营。面部识别系统设计和部署的最佳实践集的要求包含:(1)证明选择面部识别技术的合理性,即要定义要解决的问题并说明该技术相比其他技术如何更好地解决该特定问题。(2)设计符合最终用户特征的数据计划:根据最终用户的特征设计一个数据计划,并相应地收集数据。这将有助于评估系统是否存在偏见。(3)降低偏见的风险。提供或使用该技术的组织应通过评估每个使用步骤,记录人员特征以及识别歧视风险、评估识别环境。(4)通知最终用户并保证透明性:允许最终用户以可理解方式轻松访问系统相关信息、指导原则及同意政策。以上是可以根据政策试验结果进行审查和完成的最低要求。

综上,该政策项目的结构是:制定行动原则——通过政策试点对治理框架进行测试——根据试点结果对框架和原则进行审查。而该项目的下一步是在现场测试这一政策框架,评估其有效实施、完整性和相关性,并根据观察到的结果对其进行审查。这项政策试验将使AFNOR认证能够测试其相关的审核框架,并为设计安全可靠应用面部识别的标准铺平道路。试点项目一旦完成,WEF将建立一个由多方利益相关者组成的,致力于尊重和促进这一治理框架的联盟。考虑到该政策项目的开放性和实验性,该项目鼓励行业参与者、公共行为者、民间社会代表、决策者和学者参与进来,以加强该治理框架并确保其影响力。

二、WEF的面部识别治理框架的启示

1.多利益相关方共同参与的治理

WEF成立的第四次工业革命网络中心是该面部识别政策项目的承办机构,WEF希望通过该网络中心共同设计、测试与传播治理包括人工智能在内的新技术的政策框架。面部识别技术的政策项目与制定人工智能儿童标准、创建21世纪人工智能调节器(regulator)两个项目共同组成了WEF发起的“塑造技术治理的未来:人工智能与机器学习”项目。在对此人工智能项目的介绍中,WEF强调,人工智能是21世纪首要的新兴技术,商业机构要想生存发展,就必须在安全、合乎伦理和负责的情况下,理解与部署人工智能技术。为了更好地发挥人工智能的价值,全球需共同应对人工智能在隐私、可解释性、透明度、偏见与歧视以及安全性方面的挑战。但是通过人为规制和控制的方式难以解决这些难题,WEF认为应通过“软法”(soft lawapproach)途径来寻求理解与指导。来自全球的声音将为这一建设性框架提供有益的建议。

该框架是一个为两类受众创建的框架,WEF的面部识别项目的工作组由公众人物、设计和采购面部识别系统的公司、监管机构、学术界和民间社会代表组成。工作组具备两个互补身份,一是贡献者,包括正在考虑购买面部识别系统的行业代表(Groupe ADP和SNCF)、技术提供商(亚马逊网络服务,IDEMIA,IN Groupe和Microsoft)、政策制定者(法国国会议员,OPECST成员)、学者、民间社会组织和AFNOR认证。二是观察员,即法国数据保护局(法国国家信息和自由委员会[CNIL])和法国数字委员会。因此,该项目的作用在于,其提供了一个空间,可以使领先的技术公司、初创企业、政府、国际组织、学术界和民间社会能够共同讨论,制定政策建议,在不妨碍创新情况下减少技术风险;而这一集采众长且相对民主可行的政策框架将有可能得以被世界范围内的政府、立法机构、监管机构和企业所采纳。

同时,该治理框架还强调了公众的参与和合作的重要性。WEF平台汇集了公共和私营部门的关键利益相关者,共同设计和测试政策框架以增加面部识别技术的效益并减轻风险。该框架的结论中提出,要实现将治理框架的行动原则嵌入业务运营的实践效果,面部识别技术应用的利益相关者之间需建立可持续的合作关系,需要行业参与者、政策制定者、学者以及民间社会代表之间强有力的合作。正如京东集团副总裁周伯文所言:“‘值得信赖的人工智能’创新是一场马拉松,而不是短跑。如果我们愿意坚持下去,并以开放、包容、基于原则和协作的态度拥抱人工智能创新和监管,人工智能所创造的价值可能远远超出我们的预期。”

2.坚持以人为本的基本价值

以人为本的价值取向贯穿于该政策框架的始终。其一,面部识别技术的用途与限制均应由公民及其代表决定。该文件在背景介绍部分就开宗明义地提出,使用面部识别技术是一个涉及个人和集体权利与自由的问题,无论该技术的应用或被限制应用的用途以及使用条件如何,公民及其民主代表是唯一的合法决策者。WEF的目标是让公民及其代表在技术使用过程中面对不同的权衡取舍时获得权力。其二,在解释相关组织如何使用行动原则时,框架建议公司进行政策试点时应遵守个人数据相关法规。具体到欧盟,则应确保对面部识别的部署应遵守GDPR,并制作数据保护影响评估(DPIA)。其三,在对该技术的设计者和用户应遵循的面部识别系统设计和部署的要求中贯穿着对个人的保护。“证明选择面部识别技术合理性”表明,与其他技术相比,如非必要不应随意使用该技术;“设计符合最终用户特征的数据计划”和“降低偏见风险”以及最终用户知情同意的要求都体现该技术的最终决策者和设计目标是用户本身。其四,行动原则中特别建议应设置替代选择和人工介入。对于可能导致后果性决定的任何应用都应有人为监督,例如全自动系统中可部署人为参与的后备系统,以解决异常和以外错误。同时,面部识别的替代方法应始终存在并且可选择。这既是对识别对象的个体利益的保障也是规制技术的错误识别及决策风险的需要。

3.基于场景和风险的差异化回应

作为一种技术手段,对面部识别的监管不应一刀切的禁止或鼓励,而应回归到具体使用场景之中,采取因地制宜的回应措施。基于此,WEF列出了人脸识别的如下场景:

(1)人脸访问

此类用例与最终用户对公共或私人服务的访问有关。这包括但不限于:

–  流程管理:用面部识别代替门票,以进入实体场所或公共交通,例如火车或地铁站台,飞机和公共汽车;体育场,音乐厅,音乐节和其他拥有观众的公共活动,以及VIP认证

–  作为密码:进入酒店,房屋和公寓

–  解锁设备:智能手机,计算机或车辆

–  付款和财务操作:ATM访问,收银员付款,无人付款和自动付款

–  用户名和密码的替代:登录以获得在线服务

–  在线和离线上线服务:年龄验证,身份证验证,酒店入住和机场入住

–  合法身份验证:进入应要求提供身份证明的公共场所,识别监狱探视者,获得公民身份

–进行投票调查以及替换身份证明或护照。

(2)公共场所的安全保障

包括执法和私人安全活动,包括但不限于:

–  海关和边境保护:身份控制

–  基于授权或恐怖主义风险追踪相关人员

–  社区观察:车辆上或私人门前的摄像头(基于面部识别)

–  寻找失踪人员

–  私人安全:追踪入店行窃者、防盗

–  游行和狂欢节等公共活动的安全

–  公共场所的安全:自动闭路电视,学校,地铁或火车站以及运动跟踪

–  警察巡逻:身体摄像机

–  人员出勤:追踪学生出勤

(3)营销和客户服务

包括基于面部识别的所有营销,广告和客户服务,包括但不限于:

–个性化购物:个性化美容建议,基于客户所看内容或在商店中的位置进行广告,在无现金商店中追踪客户

–在社交媒体上自动识别照片

–人脸娱乐:个性化表情符号,滤镜,镜头,用于修饰人脸或实现AR效果

–情绪识别:基于情绪和面部表情的广告和服务,汽车安全(追踪驾驶员的注意力),聘前评估

(4)医疗服务

包括使用面部识别的所有基于医疗和患者的服务:

–  面向盲人或弱视人群的消费类可穿戴设备:识别人的面部

–  患者认证:避免患者之间的错误或混乱

–  识别或追踪病理:改善自闭症的诊断和筛查,心血管异常,糖尿病的鉴定,先天性和神经发育障碍的诊断。

WEF认识到,人脸识别在上述场景均有强大的应用前景,但风险各异。其中,“人脸访问”暨“通过人脸识别提供公共和私人服务”属于风险较低而收益相对较高的场景,在尊重个人权利和网络安全的前提下,各方利益均能得以平衡。事实上,这种积极、务实的态度在欧盟层面亦有所体现。

2月19日,欧盟最终版的《人工智能白皮书》,删除了之前《人工智能白皮书(草案)》中“3-5年内不得在公共场所使用面部识别技术”的一刀切做法,转而采取更灵活、更富针对性的思路,要求各成员国评估它们希望如何以及何时允许使用面部识别,委员会建议利用独立机构评估每一项拟议公开使用该技术的情况。

总之,该治理框架的初衷是通过自身的倡导力,收集不同国家、不同组织对面部识别技术合理使用的亟待解决的问题与目前已存在的共识,并对外推广其对面部识别技术的行为原则,使其嵌入业务运营中。该治理框架回应了面部识别技术的应用中存在的伦理风险,并有针对性地制定了不同应用场景下的一系列原则,但是此次政策框架的白皮书仅仅是有关面部识别技术治理讨论的第一步。正如WEF所指出,该计划的主要挑战来自于不同国家法规、社会规范以及其他环境因素的差异性,其下一步试点阶段反馈如何、框架所倡导的技术使用原则在多大程度上会获得执行仍有待各方进一步努力。

声明:本文来自数字经济与社会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。