北美和南美的新冠肺炎疫情形势严峻,疫情防控不力的原因之一是民众普遍抵触管理机构对个人实施管控,包括身份识别和行动轨迹监控等。近日,一部名为《全知》的巴西电视剧红遍了南北美洲,从中能够准确的看出人类对于“高科技监控下的社会”的敌意。
《全知》的故事发在一个叫作“全知城”的地方,这是一个监控密布的城市,监控方式很特别——每个人身边都全天候跟着一部微型飞行机器人。这种监控机器人只有苍蝇般大小,如果不留神,人们根本不会注意到它的存在。微型机器人很“黏人”,即使是在人们睡觉或是洗澡时,它都如影随形,片刻不离。如果它意外损坏,新的飞行机器人会在几分钟内迅速替补。
居民们说,这种机器人是“诅咒般的存在”。被这样24小时无死角监控,人们为啥不反抗?这就要说到微型机器人存在的意义了——预防犯罪。机器人被设定了专门监测犯罪行为的程序,甚至某人有任何犯罪倾向,机器人都能进行预警——它能够准确的通过人类的表情、行为,迅速分析其心理健康状态和行为倾向。“全知城”格外安全,5年内一共只发生了4起命案,并且罪犯全部被抓现行。在“全知城”,犯罪太难了。人们夜不闭户,车子放心停放,不用上锁,没人敢偷。
该剧其实就是对高科技识别和监控措施的反讽——一个看似“绝对安全”的社会,却是每个人放弃所有隐私换来的,这真的值得吗?
《福布斯》记者托马斯·布鲁斯特的专题报道指出,《全知》夸张的剧情唤起了人类对于加强个人隐私保护的重视,尤其是在AI技术大行其道的今天,这种重视并不夸张。
报道指出,3D打印头型能够成功骗过智能手机的人脸识别系统。布鲁斯特打印出自己的3D头型,然后针对5款手机的人脸识别功能进行解锁测试,其中竟然有4款“沦陷”。另据《华尔街日报》报道,2019年3月,有犯罪分子使用AI技术成功模仿德国某能源公司CEO的声音,诈骗了22万欧元。报道认为,如果类似的骗术结合经过AI采集、加工的人脸视频,那么诈骗的成功率会更高。
欧美对于个人生物特征识别技术的规制,主要是通过数据保护法律和法规来实现。但是,问题并没有很好地解决:一种原因是政府和一些机构对于个人生物特征信息的采集及使用规模慢慢的变大,另一方面是民众要求加大个人隐私的保护力度。没有人想当仇视技术的勒德主义者,但是人们希望能将科学技术装进法律的笼子,使其在可控的范围内发挥作用。
美国在联邦层面没有统一的法律规制个人生物特征信息的收集和使用,而是通过各州的独立立法进行管控。一些州和城市制定了与生物特征信息相关的法案,例如伊利诺伊州、华盛顿州、得克萨斯州、旧金山市等。
伊利诺伊州颁布的《生物信息隐私法案》(BIPA)具有参考意义。该法案于2008年颁布,是美国境内第一部旨在规范“生物标识符和信息的收集、使用、保护、处理、存储和销毁”的法律。根据定义,“生物标识符”包括对脸部结构的扫描,但明确排除了照片。与“生物标识符”相关的术语是“生物信息”,该类信息是指“通过用以识别特定自然人的生物标识符所获取的信息”。
BIPA规制的范围并不在于能否使用生物特征信息,而在于使用这类信息的方式:初次收集某自然人的生物标识符或生物特征信息时,须告知该自然人其生物特征信息被收集的情况、收集目的、信息的保留时间,并获得该自然人的书面授权;企业须制定书面政策,设定生物特征信息的保留时间表,且当收集信息的目的已达到或距信息主体与企业最后一次联络已满三年时(以先发生者为准),应当销毁该信息;生物特征信息不得出售,除非获得相关自然人的同意,或法律规定的特定例外情况,不得对他人进行披露。
在法律规制下,“脸书”(Facebook)的“面部印记”功能曾遭到起诉,因为“脸书”未经用户同意便收集了其面部结构数据,进而违反了BIPA。
上述相对来说还是比较严格的法规,仍然不能消除一些美国民众的担忧。为此,西雅图和奥克兰通过了监控条例,要求市政部门用任何监控技术之前必须召开公开的会议,并获得市议会的批准。2019年5月,旧金山通过了全面禁止市政府使用面部识别技术的禁令,同时还规定,购买任何相关的新型监控设备,如自动识别车牌号系统、带有摄像机的无人机等,都需要得到市政府的许可。
在旧金山的这项禁令实施之后,美国的其他城市也陆续推出类似的法令。随后,全美开始推进相关工作,以规范生物特征识别技术的使用,包括面部识别和其他基于人体生物特征的识别方法,例如指纹识别。
欧盟保护个人生物特征信息的核心法律是《通用数据保护法规》(GDPR)。根据GDPR的定义,生物特征信息包括面部图像,但照片另当别论。GDPR指出:处理照片并非理所当然地被认为是处理个人敏感信息。仅在通过特定技术方法对照片做处理,使其能够识别或认证特定自然人时,该照片才被认为是生物特征信息。
此外,GDPR并未提及视频影像,例如监控摄像头收集到的视频影像。司法机关认为,对于视频影像,应类推与图像相同的原则进行处理。
GDPR还规定,生物特征信息属于个人隐私信息的“特殊类别”,除了某些特殊情况以外,任何机构和个人不得处理这类信息。人脸识别技术的商业应用,可适用的唯一例外是“信息主体已明确说同意”,这种同意须“自由给予、明确、具体、不含混”,信息主体任何形式的被动同意均不符合GDPR的规定。
可以看出,欧盟对于个人生物特征信息的使用规定相当严苛。但是,一些公民仍然公开人脸识别信息等生物特征信息被政府部门利用。为帮助政府机构实现一定的管理职能,GDPR授权欧盟各成员国,规定在特定情况下不适用GDPR对处理生物识别信息的限制。例如,荷兰规定“为完成认证或安全需要时”,政府部门能处理公民的生物特征识别信息;克罗地亚的新《数据保护法》对生物特征识别信息的限制排除了安全监控系统。
除了法律规制,“技术产生的问题由技术解决”成为科技界的共识。“脸书”宣布,该公司与微软联合来自麻省理工学院、牛津大学等院校的研究者,通过举办“Deepfakes鉴别挑战赛”,探索如何通过信息采集和基准测试来检测被非法修改的个人生物特征信息。“Deepfakes鉴别挑战赛”的目标是:找到一款能检测视频是否被换过脸的工具,并且它能被每个人便捷操作。
美国国防部也在研究一项名为Forensic的图像鉴别技术。他们的思路是寻找虚假图片和视频中的不一致性,例如不一致的灯光、阴影和摄像机噪声等。他们还试图将鉴别过程自动化,让计算机算法来检测。目前,这种鉴别办法能够应用于数十年前的照片和视频,以及最近用智能手机或数码相机拍摄的照片和视频,可以说应用场景范围非常广泛。
负责美国国防部高级研究计划局(DARPA)媒体取证项目的马特·塔瑞克指出,利用AI技术篡改个人生物特征信息的人,一直在不断适应任何检测技术,因此没有所谓“一招制敌”的技术解决方案,而是需要一套全局性的方案。因此,无论是主动给照片添加水印还是通过“找茬”来辨别其真伪,都是解决个人生物特征信息被滥用问题的必要手段。
2019年7月,拥有百年历史的《》宣布,可利用区块链技术来打击假新闻,并公布了正在研发的区块链项目“新闻出处追溯”。这项技术也可被用于鉴别个人生物特征信息是否被AI技术修改。
除了鉴别图片,区块链技术还能鉴别视频。比如区块链视频应用能够使用安全防盗链机制,保证视频在直播或被点播时能快速响应,并防止盗链访问,从而避免原始视频被黑客篡改。