国内人脸识别第一案，我们来谈谈国外法规和隐私保护技术

大数据文摘授权转载自数据派

最近，又发生了两起关于人脸识别的热议事件。

一是杭州野生动物世界“为了方便消费者快速入园”，在今年 10 月将年卡系统从“指纹入园”升级为“人脸识别入园”，被消费者起诉。起诉者是浙江理工大学特聘副教授郭兵，他在五个月前办理了年卡，郭兵认为，“园区升级后的年卡系统进行人脸识别将收集他的面部特征等个人生物识别信息，该类信息属于个人敏感信息，一旦泄露、非法提供或者滥用，将极易危害包括原告在内的消费者人身和财产安全。”

于是在 2019 年 10 月 28 日，他向杭州市富阳区人民法院提起了诉讼，目前杭州市富阳区人民法院已正式受理此案。这也是面部识别技术被推广以来，首例诉诸法庭的案件，被称为“国内人脸识别第一案”。这个事件引起了大众对于个人隐私权的重视，也引起了人们对于相关技术法律监管的思考。

另一件是关于地铁安检的人脸识别应用。在 10 月 29、30 日举办的“2019年城市轨道交通运营发展论坛”上，北京地铁和北京市轨道交通指挥中心相关负责人表示，未来北京将建立地铁“白名单”及快速安检通道制度，并应用人脸识别技术，实现乘客分类安检。

随后，清华大学法学教授劳东燕在其公众号发文称，有必要对人脸识别进行法律规制。劳东燕主阐述了四点原因：

• 一是人脸是重要的个人生物数据，相关机构或组织在收集之前需证明合法性；
• 二是推行该项技术需征求公众意见，经过严格的听证过程；
• 三是分类标准本身的合理性和合法性就存疑；
• 四是尚未有证据证明人脸识别技术的通行效率确实更高。

从今年9月被疯狂刷屏，随后又迅速陨落的换脸app Zao；到开学季旷世科技将人脸识别技术引入课堂监控学生上课状态、引起网友质疑；再到小学生在实验中发现使用一张面部打印照片就能破解丰巢智能柜的“刷脸取件”功能；最后到“国内人脸识别第一案”和相关专家呼吁对人脸识别进行法律规制，关于人脸识别隐患的讨论，在这个2019年的秋季集中爆发。

从这几件事的舆论反噬之快，我们可以清晰地感受到，在经过了互联网大佬关于中国用户乐意以隐私换便利言论的洗礼，苹果、谷歌、亚马逊相继承认监听用户谈话的风波后，一直被忽视的互联网隐私终于被慢慢地重视起来。

你的脸正在成为不法分子的生意

换做五年前，人们或许不会对自己的人脸信息如此敏感。但在人脸识别被用于电子支付、身份认证的今天，脸甚至变得比金钱、身份证都更为重要。现在，上传一张正脸照片，而且无滤镜无PS，或者自己的人脸信息被数据采集公司泄漏，任何人都会担忧因此导致的风险。

此前，在大家纷纷担心换脸软件可能会导致支付密码被破解时，蚂蚁金服官方声称，目前网上各类换脸软件无法突破刷脸支付，因为“刷脸支付”采用的是3D人脸识别技术，会通过软硬件结合的方式进行检测，来判断采集到的人脸是否是照片、视频或者软件模拟生成的，能有效地避免各种人脸伪造带来的身份冒用情况。但是，在今年8月，支付宝刚刚宣布投资3亿普及刷脸技术后，就有人发布了一个测试视频，在视频中，工作人员使用3D打印制作的蜡像人头，骗过支付宝的人脸识别系统，成功买到了一张火车票。

无独有偶，此前福布斯记者Thomas Brewster也发布文章介绍过3D打印头型能够成功骗过智能手机人脸识别的过程。他打印出了自己的3D头型，然后对5款手机的人脸识别功能进行解锁测试，其中竟然有4款都沦陷了。

人体信息被泄漏除了可能导致财产损失外，还有可能导致“被贷款”。据媒体报道，目前不少网贷机构进行“活体检测”时仍使用人工审核或技术含量偏低的机器审核，一旦公众的面部识别信息被不法分子掌握，用这些黑科技“活”过来的面孔，很可能以假乱真，让不知情者“被网贷”背上巨额债务。今年的“3·15”晚会上就有人演示用“活”照片成功突破某款手机的“刷脸”登陆系统。

另外还有个风险，就是被色情行业滥用所造成的名誉损失。目前，国内外很多女星都深受其害。此前deepfakes这种原本门槛不低的技术流举动，被一些别有用心的高手升级之后推出了平民版本 “Fake App”，号称人人可用，于是很多女明星都被随意换脸到色情片女主角身上。在国内，女星们也有相同的遭遇。曾有媒体报道闲鱼APP上也有多位卖家通过AI换脸技术制作出当红女明星的不雅视频，进行售卖。据了解，目前利用AI换脸技术从成品情色视频、定制视频到软件及教程，整个产业链从下、中、上游都有厂商提供，有的厂商甚至从研发、定制、包装等提供一条龙服务。

除此之外，敲诈和诈骗也需要警惕。据《华尔街日报》报道，今年3月份，有犯罪分子使用AI技术成功模仿了英国某能源公司在德国母公司CEO的声音，诈骗了220,000欧元（约1,730,806人民币）。在未来，如果类似骗术结合换脸视频，诈骗的成功率恐怕会更高。

以上人脸信息被滥用所造成的损失，并非危言耸听。这也难怪大众对于人脸识别技术的使用愈发敏感、较真。从抗议人脸识别滥用，到呼吁相关法律法规建设也是必然。

关于人脸识别的法律法规该如何制定

很多人希望，这次“国内人脸识别第一案”能够倒逼立法立规，对以法律制度规范“人脸识别”技术使用产生警示、推动效应。事实上，关于人脸识别技术的相关法律制定，国内相关部门并非没有在行动。

国内相关法律法规

今年4月全国人大常委会审议的《民法典人格权编（草案）》里，正式加了一条：任何组织和个人不得以利用信息技术手段伪造的方式侵害他人的肖像权。

5月，国家网信办会同有关部门发布《数据安全管理办法（征求意见稿）》，其中表示，网络运营者不得以谋取利益或损害他人利益为目的利用大数据、人工智能等技术自动合成信息。

此外，今年以来，多项重磅信息安全政策落地，包括网络安全等级保护制度2.0、史上最严的数据安全监管办法等。

9月，当国务院新闻办公室就第六届世界互联网大会有关情况及筹备工作进展举行新闻发布会并答记者问时，有记者提出了如何解决“AI换脸技术涉嫌侵犯个人隐私” 的问题。

国家互联网信息办公室副主任刘烈宏就表示，网信办已经会同有关部门制定出台了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》、《个人信息安全规范》等法规标准，正在制定《网络生态治理规定》，目前在征求意见。通过这些法规、标准，指导督促互联网企业进行安全评估，监管新上线的新技术、新应用。同时，组织开展了App违法收集个人信息的专项清理行动，维护用户的合法权益。

不过，更多人肯定是希望能够有专门针对人脸识别的规范条例。虽然我国《网络安全法》明确将个人生物识别信息纳入个人信息范围，但对于信息的使用、存储、运输、管理仍需进一步细化。很多人就此呼吁，相关部门应组织专家学者，对人脸识别技术在现实运用中的安全隐患、隐私风险等予以评估，建立行业标准和国家标准；探讨相应监管制度甚至立法，规范人脸识别的信息采集与运用程序、隐私边界。比如，哪些领域可运用人脸识别、哪些不能运用，该如何保障公众的知情权、选择权、同意权与信息安全，若有信息泄露如何惩处与应对。

对此，我们可以参考国际上的相关法律条例。

国际相关法律法规

国际层面对人脸识别技术的规制主要通过数据保护法律法规进行的。

• 美国

以美国为例，美国在联邦层面没有统一的法律规制人脸识别数据的收集和使用，而是通过各州的独立立法进行管理。目前共有六个州或城市制定了与生物识别数据相关的法案，分别为伊利诺伊州、华盛顿州、德克萨斯州和俄勒冈州和新汉普郡以及加利福尼亚州旧金山市。

其中，伊利诺伊州颁布的《生物信息隐私法案》（Biometric Information Privacy Act, 简称“BIPA”）非常具有参考意义。该法案于2008年颁布，是美国境内第一部旨在规范“生物标识符和信息的收集，使用，保护，处理，存储，保留和销毁”的法律。

根据BIPA的定义，“生物标识符”（biometric identifier）包括对“脸部结构”的扫描，但明确排除了照片。与“生物标识符”相关的术语是“生物信息”（biometric information），该等信息是指“通过用以识别特定自然人的生物标识符所获取的信息”。BIPA规制的范围并不在于能否使用生物识别数据，而在于使用生物数据的方式，具体体现在以下三个方面：

• 初次收集某自然人的生物标识符或生物识别信息时，须告知该自然人其生物数据被收集的情况、收集目的、数据的保留时间，并获得该自然人的书面授权。Facebook的“面部印记”功能遭到起诉便是因为Facebook未经用户同意便收集了面部结构数据，进而违反了BIPA。
• 企业须制定书面政策设定生物识别数据的保留时间表，且当收集数据的目的已达到或距信息主体与企业最后一次联络已满三年时（以先发生者为准），应当摧毁该数据。
• 生物识别数据不得出售，且除非获得相关自然人的同意或如法律规定的特定例外情况不得对他人披露。
• 欧盟

而欧盟的保护人脸识别数据的核心法律，就是此前让无数企业闻风丧胆的、史上最严的《通用数据保护法规》（General Data Protection Regulation, 简称“GDPR”）。

根据GDPR第4(14)条的定义，生物识别数据明确包括面部图像。不过，照片另当别论。GDPR叙文第51条指出，“处理照片并不当然地被认为是处理个人敏感数据。仅在通过特定技术方法对照片进行处理，使其能够识别或认证特定自然人时，照片才被认为是生物识别数据”。此外，GDPR并未提及视频影像，例如被监控摄像头收集的视频影像，但应当类推适用相同的原则进行处理。即如果使用“特定技术手段”来识别或认证特定自然人，则通过照片或视频收集的任何图像均构成生物识别数据。

GDPR第9条规定，生物特征数据属于个人数据的“特殊类别”，除非某些特殊情况外，不得处理该等数据。人脸识别技术的商业应用可适用的唯一例外是“数据主体已明确表示同意”，同意须“自由给予、明确、具体、不含混”，数据主体任何形式的被动同意均不符合GDPR的规定。

此外，GDPR第9(4)条允许欧盟各成员国规定在特定情况下不适用GDPR中对处理生物识别的数据的限制。例如，荷兰规定了为完成认证或安全需要时可以处理生物识别数据。克罗地亚的新数据保护法对生物识别数据的限制排除适用监控安全系统。

由此可以看出，国际上对于人脸识别数据的使用规范相当严苛，甚至很多城市开始公开抵制人脸识别被用于政府部门。

西雅图、奥克兰和马萨诸塞州剑桥通过的监控条例要求每个市政部门在获得任何监控技术之前举行公开会议并获得市议会的批准。今年五月，旧金山通过了全面禁止市政府使用面部识别技术的禁令，同时还规定，购买任何类似的新监控设备，如自动识别车牌号系统、带有摄像机的无人机等，都需要得到市政府的许可。

在旧金山这项禁令提出之后，美国的其他州也陆续推出类似的法令。随后全美国开始推进相关的工作，以规范生物识别技术的使用，包括面部识别和其他基于人体的生物识别方法，如指纹识别。

如今，人脸识别技术被认为是全球“智慧城市”浪潮的一部分，在市场上广受欢迎，而另一方面，人们对它的担忧，也随着人脸识别技术被滥用而愈来愈深。我们没有人想当仇视技术的勒德主义者，而是希望能将科学技术装进道德与法律的牢笼中，使其在我们可控的范围内发挥作用。

如何能控制技术，除了让相关政策法规予以规范，掌握核心技术的科技巨头也责无旁贷。

从技术层面如何对抗人脸被滥用？

研发“反换脸”检测技术

今年9月，Facebook宣布将提供可开启或关闭人脸识别功能的切换按钮。如果用户禁用人脸识别，Facebook就会停止在图像上自动标记该用户，同时停止建议其他人在图像上标记。

并且，Facebook首席技术官Mike Schroepfer发布博客宣布，公司正和微软联合来自麻省理工、牛津等大学的研究者，通过置办“Deepfakes鉴别挑战赛”，探索如何通过数据集和基准测试检测Deepfake换脸视频。据了解，“Deepfake鉴别挑战赛”的目标是，找到一款能检测视频是否被换过脸的工具，并且它能被每个人便捷操作。同时，脸书还会从数据集、经费、奖金等多方面支持“Deepfake鉴别挑战赛”，以鼓励更多人参与。据称，脸书会为此投入1000多万美元。

美国加州的一家创业公司Truepic也正致力于解决AI换脸被滥用的问题：该公司能提供基于移动应用程序的图像验证服务，通过其应用拍摄的照片会被分析，添加水印网址、位置、保存图像的副本等，并支持查询验证，以确保它们真实可靠。

用Truepic拍摄的照片（图片来源：TechCrunch）

当Truepic的iOS和Android应用程序（或者在嵌入其SDK的应用程序）中捕捉到照片时，Truepic会验证捕捉的图像是否已经被更改，并用时间戳、地理编码、URL和其他元数据对其添加水印。Truepic的安全服务器会存储该图像的一个版本，并分配一个六位数的代码和URL，在区块链上添加一个记录。

用户可以将他们的Truepic图像或验证链接发布到应用程序中，以证明他们的图像是真实的。查看者可以访问图像上的水印URL，将其与Truepic库中保存的版本进行比较，以确保其真实性以及未被修改过。目前，Truepic正在与高通公司合作，将其技术添加到手机硬件组件中。

采取同样行动的还有英国社交网站 Serelay 。该公司创建了针对照片和视频的类似 Twitter 的账户验证系统，在照片被拍摄时将照片打上“正版”的标记。当拍摄照片或视频时，Serelay 可以捕捉到相机与手机信号塔或 GPS 卫星之间的关系等数据。

与此同时，美国国防部也在研究一项名为forensic的图像鉴定技术。他们的思路是寻找图片和视频中的不一致性，例如不一致的灯光、阴影和相机噪音。对于复杂的deepfakes检测，还需要其他的验证方法，比如点捕捉法，通过观察面部表情和头部运动的不一致性发现篡改的证据。而且，他们试图将鉴证自动化，让计算机算法来检测。目前，这种取证方法可以应用于数十年前的照片和视频，以及最近用智能手机或数码相机拍摄的照片和视频。

负责美国国防部高级研究计划局（Darpa）媒体取证项目的马特·塔瑞克（Matt Turek）认为，制造deepfakes的人一直在不断地适应各种检测技术，因此不会存在一个一招制敌的算法或技术解决方案，而是需要一套全局性的方案，因此，无论是主动给图片添加水印还是通过“找茬”来辨别真伪，都是解决 Deepfake 造假问题的必要手段。

从AI安全的本质出发，修复AI技术应用潜在的风险

也有企业尝试从安全对抗的本质上出发，铸造更高门槛的防御技术，以AI应对AI。

例如孵化自清华大学人工智能研究院的RealAI团队就宣称，由于Deepfake生成的造假视频画面会有不“自然”的纹理存在，他们通过海量视频训练神经网络，让其学习正常情况中的纹理特征，再以此检测造假视频中不一致的纹理。利用该技术，可以对造假视频实现逐帧检测，准确率高达90%以上。

而加州大学河滨分校的学者也提出了检测 Deepfake 伪造图像的新算法。同样的，算法的一个组成部分是各种“递归神经网络”，它能将有问题的图像分割成小块，然后逐像素观察这些小块。神经网络经过训练可以检测出数千幅 Deepfake 图像，它找到了赝品在单像素水平上的一些特质。

而算法的另一部分是通过一系列编码滤波器传递整个图像。这些滤波器使算法能够在更大、更全面的层次上考虑整个图像。然后，该算法将逐像素的输出结果与更高层次的编码滤波器分析结果进行比较。当这些并行分析在图像的同一区域触发示警信号时，它就会被标记为可能为 Deepfake 伪造品。

目前，这种算法能识别未经修改的图像和单像素级图像里的假图像，鉴定准确率在 71% 到 95% 之间，具体鉴定情况取决于使用的样本数据集，但该算法还未扩展到对 Deepfake 伪造视频的检测。接下来，该团队将会扩展算法以检测 Deepfake 视频。其中包括图像如何逐帧变化，以及能否从变化中识别出可检测的模式。

另外， Deepfakes 视频最主要的素材来源平台、GIF 动图和短视频共享网站 Gfycat也基于平台上 GIF 搜索数据和工具，训练了两个 AI 模型，一个取名 Project Angora，以一种长毛猫命名；另一个叫 Project Maru，源于一种短毛猫。

功能上，长毛猫Angora 记忆力好、动手能力强，可以快速找到换脸视频的原版本，或者是不同版本。而短毛猫 Maru 则嗅觉敏锐、火眼金睛。它可以弥补长毛猫 Angora 的不足。比如一些全新的没被标注过的内容，长毛猫 Angora 就不知如何下爪，但短毛猫 Maru 会区分、能标注。另外，如果短毛猫 Maru 识别到这个素材中主角跟某个名人很像，它会一帧帧扫 “脸”，看是否有诈——毕竟再完美的换脸造假，也很难在每一帧里达到天衣无缝。

不过，这两个AI算法只能打假，不能反性。因此，如果这两个算法面对的是全网独家的视频，那就无能为力了。为了解决AI算法无法解决的情况， Gfycat 还雇佣了一些人类员工作为复核，另外还使用了共享位置、上传位置等数据，去协助判断是否包含恶意伪造。

正如安全专家们所说，数据没有百分百的安全，只能做到百分百防御。网络安全是一场持续的的军备竞赛，必然会呈现攻防互相促进发展的状态。因此，人们不应该过度依赖这些被验证为高准确率的算法，因为一个过度可信的检测算法也能被试图传播虚假信息的人武器化。

用区块链技术鉴别假图片和假视频

能够用技术来解决技术问题的，不只有AI，区块链技术同样也能解决假图片问题。

今年7月，拥有百年历史的知名媒体《纽约时报》宣布将利用区块链技术来打击假新闻，并公布了正在研发的区块链项目“新闻出处追溯”。该项目是一个基于超级账本的区块链网络，由《纽约时报》和IBM Garage部门合作开发，用来创建和共享新闻图片的“元数据”。

“元数据”包含新闻图片的拍摄时间、地点、拍摄者以及所有编辑和发布信息。通过这些信息，媒体和用户可以判断出该图片是否经过PS等人为修饰，进而判断相关资讯真伪。

除了鉴别假图片，区块链技术还能鉴别假视频。比如区块链视频应用可以采用安全防盗链机制（包括动态密钥、在内容中插入哈希校验、在URL中加入动态哈希值、时间戳防盗链、流媒体防盗链等），就能保证视频在直播或点播时，能够快速响应，并防止盗链访问。今年5月，阿里巴巴集团平台治理部就宣布将引入区块链技术升级知产保护体系，并计划今年9月区块链技术率先在阿里原创保护计划中使用，并逐步拓展到图片、音视频等数字版权保护领域。

以上是目前国内外从媒体平台到安全专家、从企业到高校、来自不同行业的技术人才在防止图片数据滥用、视频造假等方面作出的尝试。事实上，在这个在这场龙争虎斗的AI攻防实战中，好人和坏人都在不断进步，保证技术不滥用、设立合理的法律法规才是规范市场、促进技术发展的最有效方法。

对人脸识别技术，我们既要充满信心，用开放、包容的态度来看待其中不尽完善的地方，也要保持理性、审慎的姿态应对“刷脸”时代的到来，实现“刷脸”不“变脸”。

在这个“没有秘密”的时代，尽管我们无法左右数据革新浪潮，但是我们是时候对脸部数据的收集和使用抱以警惕之心，应该更加谨慎地去维护属于我们的合法隐私权益。对面人脸信息被滥用的现状，问题的解决不能只寄望于普通网民自身提高辨别能力和网络安全意识，毕竟大众媒介素养的培养并非一朝一夕之功。那么，行业自律的紧箍咒应该更强，外部监管也应该走在更前，共同堵住漏洞，才能防患于未然。