歐盟關于公共場所人臉識別禁令的深層考量
摘 要:
2020 年 1 月,歐盟《人工智能白皮書》草案擬禁止未來 3 至 5 年在公共場所使用 人臉識別技術, 在同年 2 月正式發布的文件中最終刪除了這一禁令。究其原因, 歐盟擬推出 該禁令是因為公共場所人臉識別的特殊性對歐盟所倡導的用戶基本權利構成了挑戰;歐洲因 其歷史記憶, 對人臉識別技術可能產生的歧視等風險更為敏感;現有的法律及技術都無法提 供良好的解決方案。歐盟最終刪除了這一禁令, 則是因為技術和法律進步以及歐盟人工智能 產業發展的需要, 更是歐盟構建可信可控的人工智能環境, 推動數字主權建設的體現。未來, 歐盟必然會同時強調監管能力與技術發展兩方面內容。一方面, 歐盟必然會對公共場所的人 臉識別實行越來越嚴格的監管;另一方面, 歐盟并不會真正全面禁止公共場所人臉識別技術 的使用,只會對特定目的予以限制。
內容目錄:
1 歐盟擬禁止公共場所人臉識別始末
2 歐盟擬禁止公共場所人臉識別的原因
2.1 歐盟價值觀與公共場所人臉識別特殊性
2.2 歐洲的歷史記憶與人臉識別算法偏見
2.3 現有法律與技術保障不足
3 歐盟刪除公共場所人臉識別禁令的 考量
3.1 技術及法律進步需要
3.2 歐盟人工智能產業發展需要
3.3 歐盟數字主權建設需要
4 歐盟人臉識別禁令前景展望
隨著網絡空間的不斷發展,數據安全與國家安全日益緊密地聯系在了一起,世界各國對 隱私問題及數據安全的關注度持續提升。歐盟 作為具有超國家性質的區域一體化組織,將面臨更為嚴峻復雜的形勢,需要在兼顧成員國不同發展背景及發展需求的前提下,推行統一的 歐盟價值觀,打造數字單一市場,建設歐盟的 數字主權。
2020 年 2 月 19 日,歐盟委員會發布了《塑 造歐洲的數字未來》《歐洲數據戰略》和《人 工智能白皮書——通往卓越和信任的歐洲路徑》 (以下簡稱《人工智能白皮書》) 三份文件, 集中體現了歐洲的數字轉型戰略。2020 年 12 月, 歐盟又強調擬為“數字歐洲計劃”撥款75億歐元, 其中 21 億歐元用于人工智能, 17 億歐元用于網絡安全。該計劃旨在自 2021 年至 2027 年, 為歐洲數字轉型提供支持,提高歐洲在全球數字經 濟中的競爭力并實現技術主權。在歐盟的數字 轉型中, 人工智能一直是歐盟關注的重點問題, 同時也是各國網絡空間戰略的重點議題。
01
歐盟擬禁止公共場所人臉識別始末
歐盟 2018 年 4 月就發布了《歐盟人工智能戰略》, 2020 年 2 月發布的《人工智能白皮書》則具體闡述了歐盟在人工智能方面的目標、策略與方式。根據 EURACTIV 在 2020 年 1 月 17 日的報道, 歐盟委員會擬在 2 月正式發布的《人 工智能白皮書》草案泄露,委員會正在考慮在 未來 3 至 5 年內禁止在公共場所使用人臉識別 技術 [1]。據英國廣播公司報道,歐盟推出該禁令 是為了使監管者有時間來研究如何防止該技術 被濫用。該禁令是在英國的政治家和競選者呼 吁停止警方使用實時面部識別進行公共監控的情況下提出的,該技術可以讓閉路電視拍攝到的人臉與警方編制的觀察名單進行實時核對。運動者聲稱,某些場所在沒有告知公眾的情況 下使用了面部識別技術,該技術存在不準確性 且具有侵入性,侵犯了個人的隱私權,并有可 能加劇身份欺詐。此禁令一度引發了廣泛的關 注和極大的爭議,微軟和谷歌兩大業內巨頭分別持有不同觀點。Alphabet 和谷歌的首席執行官 Sundar Pichai 表示, 這一暫時禁令是可行的。微 軟首席法律官 Brad Smith 則認為不應進行這樣的干預。據路透社報道,Pichai在一次會議上說:“也 許在我們真正考慮如何使用它之前,可以有一 個等待期”,并認為“政府和法律應盡快解決 這一問題,并為此制定一個框架。”但 Smith 在 一次采訪中表示,這樣的禁令無異于是“一刀 切”, 并非精準打擊。“這是一項年輕的技術, 它會變得更好。但是,使它變得更好的唯一方法就是繼續開發它,而繼續開發它的唯一方法 就是讓更多的人使用它。” 在不久后正式發布 的《人工智能白皮書》中,歐盟最終刪除了這 一禁令,并鼓勵各個成員國制定自己的人臉識 別規范,同時建議由獨立團體評估每一項擬議 的公開使用該技術的情況。
盡管歐盟在正式發布的《人工智能白皮書》 中刪除了這一禁令,截至目前也沒有任何正式 的文件規定全面禁止公共場所的人臉識別。但 是,從歐盟日常的監管動態來看,其對人臉識 別技術的監管不斷趨嚴,全面禁止公共場所人 臉識別的呼聲也日益高漲。2021 年 4 月 21 日, 歐盟委員會發布了旨在加強人工智能技術監管 的法規草案,全面禁止大規模監控,對特定領域的“高風險”應用進行嚴格限制,并將所有遠程生物識別系統都劃分為“高風險”,原則 上禁止在公共場所為執法目的使用。這一草案 也被認為是《人工智能白皮書》的法律延伸, 旨在為其提供一個法律框架。2021 年 6 月 21 日, 歐盟數據保護委員會(EDPB)和歐盟數據保護 監督局(EDPS)又針對該草案發表了聯合意見, 進一步呼吁在公共場所禁止使用人工智能自動識別個人特征, 包括人臉識別、步態、指紋、 DNA、聲音等生物或行為信號。2021年 10月6 日, 歐洲議會投票通過決議,呼吁全面禁止在公共 場所進行自動面部識別,并對警方使用 AI 進行預測性警務活動實施嚴格的限制措施。
歐盟對公共場所人臉識別的禁令,有兩方 面問題值得注意。首先,歐盟禁令的關注點集 中于公共場所的人臉識別,而非所有的人臉識 別技術。其次,歐盟官方的監管動態從未全面 禁止所有的公共場所人臉識別應用,其禁止的 重點始終都是大規模監控以及執法等,是針對 特定目的的限制。雖然歐盟后續整體上對于人 工智能的監管不斷趨嚴,但此前《人工智能白 皮書》這一正式發布的文件中最終還是刪除了禁令, 其背后的原因是值得考量與深思的。因此, 本文將著重探討公共場所人臉識別技術的特殊 性,進一步探究歐盟擬發布該禁令的原因以及 最終刪除該禁令的考量。同時,結合歐盟人臉 識別監管動向,對其未來公共場所人臉識別政 策做出展望。
02
歐盟擬禁止公共場所人臉識別的原因
2.1 歐盟價值觀與公共場所人臉識別特殊性
首先, 《人工智能白皮書》中明確指出,鑒于人工智能可能對社會產生的重大影響,以 及建立對人工智能信任的需要,建設基于歐盟 價值觀和基本權利(例如,人權和隱私保護) 的歐洲人工智能變得至關重要。在歐盟的數字 戰略中,堅持并推廣歐盟價值觀一直是其突出 的特點,正如 GDPR 使歐盟成為數據隱私領域 的“裁判者”一樣,在人工智能領域同樣推行 嚴格的監管法規,宣揚屬于歐盟的人工智能價 值觀,也是歐盟維持其在倫理觀念方面優勢的 體現。
其次,人臉識別數據具有特殊性。人臉識 別屬于生物識別技術,其所采集的面部數據等 屬于敏感的生物特征識別數據,包含種族等敏 感信息, 能識別人的身份,且能夠輕易與其他 信息相連,同時具有不可再生性, 是永久且唯 一的,一旦被采集將無法更改。歐盟《通用數 據保護條例》(GDPR)第九條對特殊類型的 數據處理中明確規定“禁止以識別自然人身份 為目的的對個人基因數據、生物特征數據的處 理”,特殊情況例如已獲得數據主體明示同意等除外。
但是,公共場所人臉識別技術的特殊性違 反了明示同意原則,也難以判定同意的有效性 以及使用的必要性,由此對歐盟一直以來強調 的個人隱私保護構成了重要挑戰。人臉識別雖 然是一種生物識別技術,但是與指紋識別、虹 膜識別等生物識別技術又有所不同。指紋與虹 膜識別技術無論在何種情景下都須由主體主動 進行才能完成信息采集,屬于強制性認證方式;人臉識別技術則分為兩種情況:第一,某些公共場所以及除公共場所外的其他個人應用場景,如機場車站閘機人臉識別、人臉識別支付等同 樣屬于強制性認證方式;第二,某些公共場所 的人臉識別則屬于非強制性的認證方式,可以 在人完全不知情的情況下就完成信息的采集, 例如視頻監控等。歐盟官方的監管動態禁止的 正是第二種非強制性認證的人臉識別。此外, 公共場所的人臉識別即使在主體知道的情況下, 也存在難以獲得主體的明示同意,更難以認定 同意的有效性等問題。公眾的同意是否是出于 獨立意志做出的,遠程監控這一方式是否必要 都存在爭議。歐盟擬推出禁令時也強調,監管 者希望有時間來研究如何防止該技術被濫用。
2.2 歐洲的歷史記憶與人臉識別算法偏見
歐洲對于第二次世界大戰的歷史有非常慘 痛的記憶,使歐洲人對人臉識別進行的面容特 征采集記錄,以及公共場所區域個人活動軌跡 的監控記錄等問題尤為敏感。
歐盟的法律中明確強調禁止在個人數據處 理中泄露個人信息。歐盟對于公共場所人臉識 別技術的禁令不僅是防止人臉識別技術被應用 于歧視,也是因為在該技術的應用中,已被質 疑存在歧視等問題。有研究表明,人臉識別針對不同種族的準確率差異巨大。該研究選擇了微 軟(Microsoft)、國際商業機器公司(IBM) 和 曠視(Face++)三家人臉識別 API。在識別人物 性別方面, 識別男性人臉的表現優于女性人臉; 在識別膚色方面,膚色較白人臉的表現優于膚 色較深的人臉。識別膚色較深的女性表現最差。美國國家標準與技術研究所(NIST) 2019 年發 布的一篇報告表明,在一對一的匹配中,與識別白人面孔的準確度相比,許多算法在識別非白人面孔時存在 10 倍到 100 倍不等的錯誤率。 在一對多的搜索中,大部分算法在識別某些特 定人群時匹配錯誤的比率明顯高于其他人群。 一對一匹配的失敗只會導致功能暫時無法使用, 通常可以通過多次嘗試來解決,但是一對多搜 索的錯誤則會導致該群體被錯誤指控為可能犯 罪群體的風險大大提高 。這有可能進一步加劇 或擴大警方執法過程中的種族偏見等問題。特 定群體在自由選擇時可以選擇不使用人臉識別 方式,但是公共場所遠程監控人臉識別技術的 應用, 則可能給特定群體帶來無法避免的不便。
上述問題實際上是一種算法偏見。一方面, 從人類基因和人臉識別技術角度來看。對于基 于 RGB(Red、Green、Blue) 可見光的人臉識別 技術來說, 膚色越深面部的特征信息越難提取;另一方面,人臉識別技術作為一種人工智能, 依靠的就是數據和算法,在人臉識別技術的數 據訓練中,對女性及深膚色人群的可訓練數據 量較少。面向不同市場的公司在不同人種識別 上的表現也有所不同,進一步說明了訓練數據 集對于人臉識別準確性的重要影響。針對一些 研究,相關公司的回應也集中于優化算法以及 增加訓練數據,雖然錯誤率相比研究的結果有 很大下降,但膚色較深女性的錯誤率仍然是所 有人群中最高的 。算法偏見問題難以在短時間 內得到解決。
2.3 現有法律與技術保障不足
從法律層面來說,現有的立法中存在諸多 不足。GDPR 將生物識別數據定義為:“與自然 人的身體、生理或行為特征相關、經特定技術處理而產生的個人數據,這些個人數據可用于 確認該自然人的獨特身份。”定義強調的是“經 特定技術處理”的數據,由此使視頻監控抓拍 記錄的人臉信息等被排除在外。視頻監控在公 共場所有著廣泛的應用,所采集的數據卻難以 被劃分到合適的類別當中。雖然 GDPR 禁止以 識別自然人身份為目的的生物特征數據的處理, 但仍然存在例外情況的規定,例如數據明顯公開、出于重大公共利益目的等。同時,例外情 況存在模糊性,在實際操作中也往往會引起諸多爭議。因此,現有的人臉識別法律中無論是 適用范圍還是例外情況的規定,均難以適應公 共場所人臉識別愈發廣泛的應用及其快速發展 帶來的隱私安全挑戰。在提出禁令時歐盟委員 會也表示,可能需要引入新的嚴格規定,以加 強保護用戶隱私和數據權利。
從技術層面來說,如前文所述,基于 RGB 可見光的人臉識別技術對于深色人種的識別存 在硬傷,這一問題很難得到徹底解決。同時,算法優化以及訓練數據集的平衡性在短時間內 難以得到實質性改善。此外,在目前對于人臉 識別技術的研發中,關注點大多集中于商業模 式中的個人人臉識別,對于公共場所使用的人 臉識別技術保障較少,公共場所人臉識別系統 往往需要和私營企業聯合,由此給管理上帶來 了更多的不確定性和風險。2019 年 6 月,美國 海關和邊境保護局(CBP)大量旅客照片和車牌 照片泄漏事件便是由于外包公司不當上傳數據, 進而被黑客攻擊導致數據泄露。同時,如何平 衡保障技術的研發及普及成本也是亟待解決的問題。
03
歐盟刪除公共場所人臉識別禁令的考量
3.1 技術及法律進步需要
歐盟擬發布的公共場所人臉識別禁令受到了民權運動者的歡迎和支持,安全界對此卻持 反對態度 。正如前文所述,該禁令是在呼吁停止警方使用實時面部識別進行公共監控的情況 下提出的。直接禁止公共場所人臉識別技術的 使用可能是最直接解決該問題的方式,卻無法 從根本上解決該問題。
人工智能等技術發展更新的速度極快,如 何促進技術的應用和規避相應風險始終是一體 兩面的事, 無法割裂來看。無論是技術漏洞的彌 補還是相關法律法規的制定都有相應的滯后性,但這不應成為禁止使用的原因, 如若禁止使用, 即使在若干年后依舊會產生同樣的問題,缺乏數據的人臉識別技術也無法獲得發展與進步。 相反地,應當在加強監管的同時充分激發技術 的活力, 應當在實際的應用中不斷發現新問題,并研究相應的解決方案,進行持續的監測和評估。同時,不同的應用場景有其特殊性,彼此之間難以直接借鑒,如果直接禁止公共場所的 使用, 不僅無法完善該技術在公共場所的應用, 更會使該技術的發展陷入僵局。《人工智能白 皮書》中也指出, 考慮到人工智能的迅猛發展,監管框架必須為適應將來的發展而留下空間。
3.2 歐盟人工智能產業發展需要
歐盟作為具有超國家性質的行為體,不僅 要從用戶個人的角度衡量人工智能系統的影響, 還應將歐盟國家作為一個整體進行考慮。《人工智能白皮書》強調,為了達到足夠的規 模并避免單一市場的分化,必須采用統一的人 工智能路徑。因此,歐盟的相關文件適用范圍 較廣,需要在兼顧不同成員國法律規定的同時促進歐洲人工智能產業發展。
《人工智能白皮書》指出,人工智能技術 應用領域廣泛,經濟潛力巨大,但歐盟在人工 智能研發和應用方面已經落后于美國和中國。歐盟始終在盡力縮小人工智能技術方面與世界 領先水平的差距,包括“數字歐洲計劃”的投 資等。歐盟委員會執行副主席 Margrethe Vestager 表示,人工智能等數字戰略的出臺,為歐盟提 供了成為世界先進技術領導者的第二次機會。
首先, 從歐盟人工智能產業發展需要來看。人工智能是數據、算法和計算能力的技術集合, 人工智能依靠的核心就是算法,而算法的核心 便是數據。因此,促進算法的進步并提高數據 可用性是人工智能技術發展的關鍵驅動力。人 工智能深度學習需要強大的數據集作為支撐, 算法本身的進步也依靠于更為廣泛的數據集的 訓練。歐盟想要發展當地的人工智能產業,必 然需要更高效地利用數據創造價值。此外,數 據的形成一般分為采集、存儲、加工處理以及 使用等環節。歐盟 GDPR 關注的重點在于能否 使用生物識別數據 [9],禁止的是以識別自然人身 份為目的的數據處理行為。如果歐盟禁止公共 場所的人臉識別技術,那么切斷的便是數據的 采集環節,進而會從根本上截斷數據的形成。因此,歐盟即使對公共場所的人臉識別嚴加監 管,也并不會實行全面禁止,只會限制特定目的及處理行為,例如執法以及遠程監控等,這些方面主要會對其政府產生影響,而不會嚴重 阻礙其本地產業的發展。
其次,從歐盟及其成員國的情況來看。歐 盟缺乏統一的監管制度框架,成員國規定各有 不同,如何在歐盟層面進行統一便成為重中之 重。從其他國家的實踐來看,全球范圍內,提出人臉識別相關禁令的多為一個國家的某個城 市或洲,有的限于特定的機構和場所。例如, 2019 年 5 月 14 日,美國加利福尼亞州舊金山市 禁止市機構和執法機構使用面部識別技術;2020 年 7 月 22 日,美國紐約州立法機關通過了 2022 年前禁止在學校中使用人臉識別和其他生物特 征識別技術的法令。目前尚未有在全國范圍推 行的全面的人臉識別禁令。歐盟作為具有超國 家性質的行為體,則更難以在該問題上發布統 一的禁令。從歐盟內部來看,其擬推出禁令時 就被質疑可能會使一些成員國當前的人工智能 項目偏離軌道,例如德國希望在 134 個火車站 和 14 個機場推出自動面部識別;法國計劃允許 視頻監控系統嵌入面部識別技術等。如果歐盟 無法成功提供一個適用于歐盟范圍內的方法, 而直接推行禁令的話,反而會面臨歐盟內部市 場被割裂的風險。《人工智能白皮書》中強調, 一個針對可信賴人工智能的歐盟監管框架將保 護所有歐洲民眾,并且有助于創造一個平穩的 市場,這不僅有利于人工智能的進一步發展和 應用,也將鞏固歐洲人工智能的工業基礎。
3.3 歐盟數字主權建設需要
無論哪個國家,都希望能夠建設自己的信息市場,而不是被國外巨頭支配壟斷,這也正是歐盟關注的重點問題。歐盟一直沒有屬于自己的可以與國外互聯網巨頭相抗衡的企業。因 此,歐盟近年來的方向是突出強調高標準的數 據保護,成為世界監管超級大國,由此開辟自己在數字經濟中的發展空間,打造數字單一市 場,對抗外國巨頭企業。但是,對于建設歐盟 的數字主權來說,僅僅成為監管大國是遠遠不 夠的。正如意大利國家創新基金主席 Francesca Bria 所言, “歐洲需要繼續作為一個全球經濟體 發揮作用,而不僅僅是個監管權威”。
此外,以人工智能為代表的新興技術正使 網絡安全與國家安全日益緊密地交織在一起,各國也在紛紛加強對于數據的控制權。歐盟需 要作為一個整體,推進成員國構建信任機制,協同建設數字主權。因此,禁令一出必然使歐 洲本地的相關企業遭受打擊,不僅不利于促進 本地企業的發展,反而有可能為外國企業提供 契機,削弱歐盟對于數據的控制權。如果歐盟 對公共場所的人臉識別進行全面禁止,則在一 些必要的例外情況中,例如出于國家安全利益 等,反而會涉及更為重要的數據信息,外國企業一旦承擔相關業務, 將使歐盟更加被動。可見, 歐盟面臨的最大挑戰,也是數字主權建設的根本問題,就是如何培養出屬于歐盟自己的互聯 網企業,為其提供產品和服務。因此,歐盟保 護本地人工智能產業不僅出于數字經濟發展需 要,更出于國家安全利益的考量,旨在通過建 設經濟主權和技術主權來推動歐盟的數字主權建設。
04
歐盟人臉識別禁令前景展望
據前文所述,歐盟在正式發布的《人工智能白皮書》中最終選擇了刪除公共場所人臉識 別禁令,其根本原因在于歐盟推動數字主權建 設的需要。未來,歐盟必然會同時強調監管能 力與技術發展兩方面內容。
首先,從監管能力方面來說。歐盟必然繼 續以更為審慎的態度進行監管,將使用人工智 能進行遠程生物信息以及其他具有侵擾性質的 監控技術劃定為“高風險”, 對其進行強監管, 嚴格要求只有在目的正當、使用必要、采取充 分保護措施的情況下方可使用。此外,歐盟在 監管上必然會更多地聽取成員國的意見,努力 在差異中尋求共性。面對公共場所使用人工智 能可能帶來的社會擔憂以及內部市場分裂的風 險,歐盟必然就如何劃定例外情況及保障措施 等開展廣泛討論,并進一步在該領域探索出屬 于歐盟的監管框架。因此,搶占全球數字規則 制定主導權,構建可信可控的人工智能發展環 境,進一步維持其監管大國的優勢,努力在倫理規范上產生更為廣泛的國際影響必然是歐盟 未來繼續保持的方向之一。
其次,從技術發展層面來說。歐盟必然不 會滿足于只做一個監管大國。正如“裁判永遠 不會贏得比賽”,歐盟需要不斷促進本土企業 創新發展,重視自身關鍵基礎設施建設,打造 屬于歐洲的大型互聯網企業,發展自身的數字 經濟,進而強化歐盟對于數據的控制權,推動 數字主權建設。同時,面對新冠疫情對全球經 濟發展的沖擊,以及人工智能在數字經濟中發 揮的重要作用,歐盟對人工智能技術必然會采 取積極的態度。事實上, 歐盟所有的監管措施,目的都不在于禁止,而是希望人工智能更好地為其服務。2021 年 1 月 28 日, 歐盟第 108 號公 約委員會發布了《面部識別技術指南》,其側 重點在于通過細化規定加強監管,實行高標準 的隱私保護而不是直接限制技術的使用,強調 促進技術的發展完善。同時,歐盟官方監管動 態中對于公共場所人臉識別禁令也都是限于特 定的使用目的,且越來越明確,對于執法及遠 程監控生物識別方面進行嚴格限制。因此,歐 盟并不會全面禁止公共場所的人臉識別,只會 對特定目的予以限制。
05
結 語
歐盟整體的網絡安全治理一直呈現出治理 規則嚴密化以及治理內容精準化等特點 [11]。在 公共場所的人臉識別應用上,歐盟之后的戰略 發展也必然延續此方向。但是, 對于歐盟來說, 在監管的同時充分挖掘并利用數據的價值,在 繼續搶占全球數字規則制定主導權的同時不斷 加強技術的自主性,通過建立可信可控的數字 環境,協調各成員國共同推動歐洲本地數字經 濟及人工智能產業的發展,從而推進數字主權 的建設,才是其發展的根本目標。
引用本文:韓昱 . 數據隱私與數字主權:歐盟關于公共場所人臉識別禁令的深層考量 [J]. 信息安全與通信保密 ,2021(11):39-47.
作者簡介 >>>
韓 昱, 女, 碩士 在讀,上海社會科學院信息研究所 碩士研究生,主要研究方向為網絡空間治理。選自《信息安全與通信保密》2021年第11期。
商務合作 | 開白轉載 | 媒體交流 | 理事服務
請聯系:15710013727(微信同號)
《信息安全與通信保密》雜志投稿
聯系電話:13391516229(微信同號)
郵箱:xxaqtgxt@163.com
《通信技術》雜志投稿
聯系電話:15198220331(微信同號)
郵箱:txjstgyx@163.com
謝謝您的「分享|點贊|在看 」一鍵三連
