两种人脸识别，两种药方

人脸识别对个体“匿名性”威胁和对个体“数字身份”可能的侵害对应着两种相关但不同的场景。前者主要存在于公共场所的“人脸监控”中：政府为维护公共安全和社会公益的需要，在车站、街口、体育场使用人脸识别追踪犯罪分子或寻找失踪人员；私人机构追踪入店行窃者，拉斯维加斯赌场使用“空中之眼”阻止列入黑名单的老千便是典型一例。后者主要存在于访问系统的“人脸验证”中，其涵盖了用人脸取代门票、作为密码、解锁设备、酒店入住等各种身份认证。用一种形象化的表达，“人脸监控”的目的是“知道你是谁”，“人脸验证”的目的是“知道你是你”。

症状不同，药方自然有异。

“人脸监控”一经使用，便对现代社会的匿名性产生负面影响，公共场所的空间特征和不特定人群的对象特征，使得个体就人脸监控的事前同意注定不可能，由此侵害公民匿名权。正因如此，各国对公共空间的人脸监控均慎之又慎。2019年12月，欧盟《人工智能白皮书（草案）》曾表示在公共场所使用人脸识别技术将被禁止3至5年的时间，尽管欧盟委员会最终删除了该人脸识别技术禁令，但对使用人脸监控等远程生物识别系统提出了严格限制。在美国，2019年5月，旧金山成为首个禁止警察和其他政府机构使用面部监控的城市，随后，马萨诸塞州的萨默维尔、加州奥克兰和圣地亚哥亦积极效仿。今年6月，在明尼阿波利斯警方杀害乔治•弗洛伊德(George Floyd)引发全国抗议的背景下，IBM、亚马逊、微软相继宣布暂停用于监控的人脸识别技术。亚马逊的暂停期为一年，而微软表示，在法律出台之前，其暂停期是无限期的。

职是之故，人脸监控的正当性边界应当尽量缩限。除了进一步明确法律事前授权和“非必要不监控”的比例原则外，还应从操作层面增强人脸识别技术的透明性。例如，明确标识所有监控设备的位置，以简短文字说明设立机关和联系方式，并辅以二维码与隐私政策链接，帮助公众随时获得详尽信息，便利后续监督和救济。

与“人脸监控”自带威胁不同，“人脸验证”往往是中性的。它不但经过了用户授权，而且改善了服务，甚至本身就是服务的一部分，如人脸娱乐或面向盲人的医疗服务。另一个现实的例子是，针对“子女冒用家长身份信息绕过监管”问题，腾讯游戏使用人脸验证，对疑似未成年人的用户进行甄别。不过，人脸验证依然面临着保护人脸信息——这一敏感个人信息的挑战。在此，我们不妨用“知情同意、自由选择、安全保障”三根支柱筑起它的正当结界。

这里的“知情同意”要求将人脸信息的收集目的、使用方式、保存期限等事项，单独、明确地告知用户，并取得明示而非默示的同意；“自由选择”则要求相关机构提供人脸验证的备选方案，用户有权根据其意愿选择和变更身份验证方式，在一些特殊场合，如针对防范子女冒用家长身份或者事关用户重大权益的服务，可以要求用户使用指纹等其他难以仿冒的生物信息作为替代方案。最后，“安全保障”一方面要求在事前对人脸验证系统开展全面的风险评估，包括对隐私的影响、潜在的错误、不公正歧视的易感性、受黑客攻击和网络攻击的风险，并证明选择人脸验证技术的合理性。就此而言，这种风险评估如同一道门槛，必须收益大于成本，人脸验证才能“登堂入室”。还是以腾讯防范子女冒用家长身份玩游戏为例，并非所有的用户访问均需验证，只有被判定为高度疑似未成年游戏行为的成年人账号才有条件地引入人脸验证，从而体现出对人脸验证双刃剑效果的审慎态度。另一方面，在事中和事后，相关机构应遵循“经由设计的隐私原则”，将个人信息保护内嵌到操作流程之中，并应部署一个人为参与的后备系统，以解决异常和数据安全问题。

人们对陌生的科技永远心怀恐惧。但要战胜魔鬼，必须要了解魔鬼。而在了解它之后，才明白魔鬼皆在细节中，人脸识别亦是如此。只有在不同场景下细致辨析其风险所在，才能更好地控制它、驯化它，使之始终不离科技为人的正道。

（本文仅代表作者本人观点，责编：闫曼 [email protected])