人脸识别产业法律治理研究报告
AI智能总结
人脸识别产业法律治理研究报告 中国人工智能产业发展联盟安全治理委员会 编写单位 对外经济贸易大学数字经济与法律创新研究中心中国信息通信研究院人工智能研究所 百度公司 前言 人脸识别技术是对静态或视频中的人脸图像进行特征提取与分类,从而用于个人身份鉴别、验证与分析的当代信息技术。作为最广泛使用的生物识别技术之一,人脸识别技术以数据为体、以人工智能算法为用、以人类自身为对象,具有不可复制性、非接触性、可扩展性、快速性、多维性等优势,目前已与安防、金融、医疗、支付、教育、文娱等行业深度融合,不但推动链接大数据与人工智能的新型产业悄然成型,而且为我国数字经济与社会发展带来了新机遇。 在人脸识别产业突飞猛进的同时,人脸识别技术滥用的风险也在不断加剧,给个人、组织的合法权益保护以及国家安全带来巨大挑战。随着生成式人工智能时代的来临,人脸信息被广泛采集、分析,进而合成、生成人脸信息的崭新业态开始涌现。如何保护个人人脸信息、防范虚假信息、维护公共利益,成为人脸识别产业必须面对的重大议题。 面对种种挑战,我国《个人信息保护法》将人脸识别信息作为敏感个人信息予以严格保护,并在第62条进一步强调了人脸识别信息的特殊性,要求有关部门针对人脸识别制定专门的个人信息保护规则、标准。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》重点规定了滥用人脸识别的侵权责任、合 同规则、诉讼程序。2023年8月8日,国家互联网信息办公室(以下简称为“国家网信办”)公布《人脸识别技术应用安全管理规定(试行)》(征求意见稿)从更宏观的维度规定应用人脸识别技术的安全管理要求,采取了不同参与者、多种场景和细化技术标准相呼应的生态治理方法。 本研究报告立基于产业生态治理的思路,强调综合“人 —技术—社会”三维视角,对人脸识别技术进行整全性治理。以产业生态参与各方的角色分工为切入,将主体类型化为:作为源头活水的技术提供者、作为中心枢纽的人脸产品/服务提供者、作为最后关卡的人脸识别产品/服务使用者;从数据安全、个人信息保护、算法治理、产品质量等各维度,细化不同主体的系统性义务与责任。此外,生成合成场景是人脸识别信息的重要应用场景之一,鉴于我国对深度合成算法、生成式人工智能等采取专门立法规制,研究报告特别关注了该场景下的人脸识别治理问题。 人脸识别产业的治理需要监管机构、司法机关、市场主体、行业组织、专家社群、社会公众的共同参与,本研究报告汇聚各方智慧,探索技术、法律、最佳实践、产业倡议多维一体的治理架构,希冀有裨于未来的立法、司法与执法,并为我国人脸识别产业的行稳致远贡献绵薄之力。 目录 第一章人脸识别产业的生态图谱1 一、人脸识别技术生态2 (一)技术提供者2 (二)产业实践3 (三)人脸识别技术价值4 二、人脸识别产品/服务生态5 (一)产品/服务提供者5 (二)产业实践5 (三)人脸识别产品价值7 三、人脸识别服务使用生态8 (一)服务使用者8 (二)产业实践9 (三)人脸识别服务使用价值9 三、人脸生成合成生态10 第二章人脸识别产业的治理经验12 一、美国人脸识别的治理经验12 (一)美国人脸识别治理的立法12 (二)美国人脸识别治理的典型案例17 二、欧盟人脸识别的治理经验21 (一)欧盟人脸识别治理的立法21 (二)欧盟人脸识别治理的典型案例31 三、中国人脸识别的治理经验34 (一)中国人脸识别治理的立法34 (二)中国人脸识别治理的典型案例38 第三章人脸识别产业法律治理图景38 一、人脸识别产业生态治理的基本原理44 二、人脸识别技术生态治理44 (一)技术提供者的数据安全义务44 (二)技术提供者的算法可信义务47 三、人脸识别产品/服务生态治理48 (一)产品/服务提供者的质量管理义务48 (二)产品/服务提供者的人工监督义务49 (三)产品/服务提供者的算法日志记录义务49 (四)产品/服务提供者的起草技术文件的义务50 四、人脸识别服务使用生态治理50 (一)服务使用者的个人信息保护义务50 (二)服务使用者的算法解释义务51 (三)服务使用者的算法备案义务54 (四)服务使用者的守门人义务 55 五、人脸生成合成生态治理 55 (一)技术提供者的训练数据来源合法义务 555 (二)技术提供者的训练数据质量保障义务 57 (三)技术提供者的数据安全义务 58 (四)技术提供者的算法义务 58 (五)产品/服务提供者的内容安全义务 59 (六)产品/服务提供者的内容标识义务 61 (七)产品/服务提供者的用户管理义务 62 (八)服务应用者的正当使用义务 63 第四章人脸识别产业最佳实践 64 案例一:以权威数据源为基础进行人脸识别 64 案例二:以最小必要原则为基础进行人脸识别 65 案例三:回应反诈需求进行人脸识别 68 案例四:以算法治理为基础进行人脸识别 68 案例五:以个人信息保护为基础进行人脸识别 70 案例六:以网络安全为基础进行人脸识别 71 案例七:以本地部署为基础进行人脸识别 73 附:人脸识别产业治理倡议 75 第一章人脸识别产业的生态图谱 人脸识别(FaceRecognitionTechnology,FRT)是一种基于个体脸部特征信息的生物识别技术,其将静态图像或视频图像中检测出来的人脸图像,同已知人脸图像进行比较,找到匹配的人脸,从而用于身份验证、识别和分析。人脸识别技术所具有的不可复制性、非接触性、可扩展性、快速性,使之成为多种生物识别技术中的明珠。2014年以来,人脸识别技术在安防、金融、医疗、支付、教育、文娱等诸多领域中实现应用落地,广泛应用于设备解锁、身份验证、上班打卡、社区、考勤、乘车、购物等诸多场景,为数字经济社会发展和人们日常生活带来了新机遇。 图1:人脸识别产业发展 数据显示,2021年中国人脸识别市场规模为56亿元,预计到2024年突破100亿元;年均保持23%增速。其中,人脸识别应用最多的是安防占54%,其次是金融占16%,此 后分别是娱乐10%、医疗7%、电商零售6%、出行3%、政务2%、其他2%。 作为数字经济的集合,人脸识别产业是一个复杂的生态系统。基于不同的参与主体,其包括了人脸识别技术生态、人脸识别产品/服务生态和人脸识别服务应用生态。 一、人脸识别技术生态 (一)技术提供者 人脸识别产业的技术提供者是提供包含视频人脸识别、图片人脸识别和数据库对比检验等技术的提供方。人脸识别技术主要包括人脸检测、人脸预处理、特征提取、对比识别、活体检验五大步骤,是推进服务应用的前提与关键1。目前人脸识别技术提供厂商主要包括大型互联网企业,如腾讯、阿 1参见智慧芽&罗思咨询:《人脸识别行业研究报告》,2021年。 里巴巴、百度、微软等,电子设备厂商,如华为、三星、苹 果等,以及其他科技公司,如火山引擎、商汤科技、依图科技、旷视科技、格灵深瞳等。 人脸识别技术的五大步骤:人脸检测作为人脸识别算法的第一步,目标是找出图像中所有人脸对应的位置。人脸预处理模块主要完成人脸图像质量的改善,包括提高图像对比度、消除噪音等。特征提取模块完成人脸特征的提取,同时如何提取稳定和有效的特征是识别系统成败的关键2。对比识 别模块根据特征提取模块输出的特征向量与数据库中存储的人脸特征向量进行距离度量,阈值内最小距离即识别为同一人3。活体检测主要是验证用户是否为真实活体本人操作,通过眨眼、张嘴、摇头或点头等动作进行判别4。 (二)产业实践 百度智能云依托领先的深度学习人工智能前沿技术框 2吴玲:《人脸识别中的图像预处理技术》,载《中南论坛》2010年第4期,第116-118页。 3李怀宇等人:《基于人脸识别的智能立体车库控制系统设计》,载《工业控制计算机》2022年第7期,第1-3页。 4刘琴:《基于人脸识别的塔机身份管理系统》,载《建设机械技术与管理》2022年第5期,第69-71页。 架和强大的端云计算能力,准确识别图片和视频流中的信息,提供高效、稳定的服务支持,助力各行业实现智能化升级和创新发展,同时采用多项安全技术,包括AI领域的算法技术保障、工程安全保障等,全方位守护数据安全。商汤科技依托于原创的计算机视觉技术以及深度学习底层算法平台,赋能于智能安防及其他领域,在多个垂直领域市场赋能多行业,为不同领域提供产品与解决方案,包括SenseID,SenseUnity,SensePass,SenesKeeper,SenesNebula,SenesRadar等。阿里巴巴利用三大核心技术,即生物特征自主感知和学习系统,结算意图识别和交易系统,以及目标检测与追踪系统,采用计算机视觉和传感器感应,并叠加了一些非配合生物识别技术,以降低误判率,广泛应用于政务、金融、直播、游戏、数字藏品、共享出行、教育、招聘、房地产等众多行业领域5。 (三)人脸识别技术价值 作为一项研究已有半世纪之久的技术,人脸识别技术是人脸识别技术应用不断发展的源头活水,也是保护人脸信息的技术核心。一方面,人脸识别技术以光学成像技术为基础,集合人工智能、机器识别、机器学习、模型理论、专家系统、视频图像处理等多种专业技术,其关键在于是否拥有尖端的核心算法,并使识别结果具有实用化的识别率和识别速度, 5参见前注1。 因此其不但是人工智能应用的主要领域之一,也是弱人工智能向强人工智能转化的环节。另一方面,在“基于设计的隐私保护”的架构下,人脸识别技术要求技术提供者从开发前期就应保障合规团队与开发、设计团队相互合作,在设计伊始即考量个人信息保护和隐私问题,将较能保护个人信息的做法列为预设机制,使之在信息系统中,得以受到系统的“自动”保护。 二、人脸识别产品/服务生态 (一)产品/服务提供者 产品/服务提供者根据具体应用场景的需要,提供相应的软件服务、软硬件一体终端产品及服务等,常见的人脸识别 产品及服务包括离线SDK、在线API、人脸识别一体机等。例如,在安防领域,服务提供者按照需求研发提供楼宇、园 区、地铁等场景下的门禁闸机;在零售领域,服务提供者提 供支付场景下的1对1的人脸识别移动终端;在金融领域, 服务提供者提供API调用接口,使用云端对比识别,在服务商完成数据处理。目前产品提供厂商与技术提供厂商重合度较高,它们包括阿里巴巴、百度、腾讯、火山引擎、商汤科技、海康威视、云从科技、华为、滴滴等。 (二)产业实践 人脸识别产品提供者主要为研发人工智能产品的科技公司,其提供的服务与产品形态也更加多样化,以满足各个 场景下的不同需求。 以百度为例,人脸识别技术灵活应用于金融、泛安防、安全生产等行业场景,满足身份验证和反欺诈、通行考勤、企业智能化治理等业务需求。传统制造企业厂区规模大、作业环境复杂、设备操作安全等级要求高,需对作业人员日常操作、穿戴安全进行及时监控及预警。同时,由于现场从业人员较多,员工管理面临排班复杂、流动性大。百度度目智能应用平台综合AI+物联网+大数据分析能力,提供智能园区管理、能源生产安全管理、企业运营管理等服务,可广泛应用于企业园区及大型厂区,预警安全风险6。 在安防领域,科技公司提供人脸识别产品形态包括设备 终端与系统性解决方案。例如,海康威视提供包括云计算、门禁、摄像机、软件平台、一体机等人脸识别终端设备以及系统性解决方案,致力于打造平安城市、平安乡镇、平安社区。格灵深瞳围绕视觉计算系统打造了囊括云到端到边缘侧的多形态产品,具体包括:高密度的视觉计算服务器、灵活部署的边缘服务器、嵌入式的智能前端视觉计算引擎以及云服务。依图科技主要研发智能安防产品,建立了十亿级的全球最大的人脸识别系统7。 在销售领域,科技公司提供人脸识别产品形态主要为智 能化的解决方案。例如,腾讯提供腾讯云智能货柜解决方案。 6参见前注1。 7参见前注1。 该方案整合了先进的图像识别技术、微重力感应技术、RFID技术,可灵活自定义扫描策略,做到用户随意取货也能精准判断商品,在保障用户体验的同时有效控制货损率8。 在金融领域,科技公司提供
