新顾客走到相机面前，会被增加个人资料。(这是路透社的摄影师卢被该系统拍摄的照片。)

摄像头会为进入店铺的顾客建立一个独特的面部轮廓，然后与数据库中有嫌疑、甚至有前科的人脸进行「特征匹配」。发现可疑分子时，系统会对安全专员手机发出警报，专员在判断比对准确性后，决定是否要求该客户离开。

不过，在任何被认为是「经常不诚实顾客」的个人资料上做标记并添加到监控名单，必须得到经理的批准，并经过「多层有意义的人工评论」。

通常，新面孔会被添加到现有个人资料库中，如果没有发现任何可疑情况，十天后，该资料会被删除。

摄像头发现「不诚实的顾客」时，用户会收到智能手机匹配提示，相关人员检查其准确性，决定是否将顾客带离商店。10天后，没有被标记的顾客资料会被删除。

关键问题在于作为被收集人脸信息的消费者，毫不知情。在路透社的采访中，对药店是否履行了告知义务，让客户对面部识别功能部署知情进行了询问。药店表示，店铺有相关信息的「标识」，且已经在网站上发布过书面政策，让顾客了解该项技术的部署。不过，路透社发现，自己走访过的店铺中，有三分之一没有相应的「标识」。

在国内，无论是在售楼处门口还是楼内，摄像头处均无人脸识别提示，销售人员也并没有提及人脸识别。暗访某青岛楼盘的记者曾表示，从大门口的走廊位置，有两处摄像头，当置业顾问把记者领到沙盘前开始介绍时，短短的几十米路程中，记者又看到在前台、沙盘、展示板、休息区、电梯走廊口，角落处都安装了摄像头，记者大约数了数，有10个以上的摄像头，从各个角度对准前来看房的人。但均无明确标识和告知。

几乎可以说， 现在任何企业只要想使用人脸识别技术，就可以没有任何障碍地使用。企业大范围收集个人信息通常不只是出于用户便利的目的，而是为了更全面地掌握用户的个人信息，实现精准营销等商业化目的。而且技术已经发展到让人「无感」的程度。

一家AI供应商曾表示，「我们不是让人们去感受科技的存在，而是为了让人们享受到科技带来的安全、便捷与舒适，这是我们的产品理念。」「不需刻意配合，都能实现无感抓拍。」

三

人脸保卫：三方的划界与博弈

人脸信息属于个人独有的生物识别信息，在智能手机以及支付软件广泛应用应用的今天，人脸信息已经成为很多用户的支付密码、账号密码等，由于用户无法更改自己的人脸信息，一旦泄露，将严重威胁用户的财产安全、隐私安全等。

站在司法救济角度，有律师给出了意见。比如，在客户未知情况下擅自录入人脸信息，并转入营销通道中来判定客户，实际上是一种不正常的营销行为，不仅让用户十分缺乏安全感，也涉嫌侵犯隐私，可以诉诸《中华人民共和国网络安全法》。

「看人下菜碟」、给予不同优惠力度，与美国带摄像头连锁药店大多安置在黑人聚集社区的做法类似，既涉嫌歧视也有不正当竞争嫌疑。

不过，从去年11月宣判的「人脸识别第一案」一审结果来看，救济效果并不理想。一审宣判，野生动物世界赔偿郭兵合同利益损失及交通费共计1038元，删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息。

对这样的结果，郭兵并不完全满意：法院仅支持了删除自己照片在内的面部特征这一项，而主张指纹识别和人脸识别相关格式条款内容无效的四项诉讼请求，未得到法院支持。

法官认为，人脸识别格式条款内容只是野生动物世界单方发的要约，郭兵没有接受，故而对其无效。

一审判决后，野生动物世界依然沿用仅能通过人脸识别入园的格式条款，这使得这桩诉讼某种程度上，成为「没有胜诉的胜诉」。

总之，大数据时代来得太快，技术走得也太快，包括中国在内的许多国家尚未构建一套适用于大数据和AI时代的基础设施，也没有个人信息保护的顶层设计制度。人脸识别技术本身也存在很多漏洞、数据采集后如何保存、传输，传给谁，怎么用，谁能看得到，谁能把数据考走，能否放在网络上等等，都需要立法者去博弈和规划。

目前在美国， 面部识别系统基本上不受监管，尽管一些研究表明，该项技术可能导致对无辜个体的骚扰、歧视甚至隐私侵犯等。且包括加州、华盛顿、德克萨斯和伊利诺斯州在内的几个州都有公开或同意的要求，或限制政府使用。

2019年，英国威尔士首府卡迪夫的埃德·布里奇斯（Ed Bridges）向法庭提告，警方利用自动人脸识别技术拍摄到他外出买三明治和参加和平示威，是对他的隐私和个人信息的侵犯。 这一案件被认为是英国，乃至世界第一例涉及人脸识别技术的案件。2019年9月，英国威尔士首府卡迪夫的高等法院裁决，警方利用自动人脸识别技术并不违法。

为应对人脸识别技术的不断提升，2018年5月，经过多年讨论的欧盟《一般数据保护条例》（GDPR）开始生效。 这一条例被称为人类历史上第一部「数据宪法」，规定包括「脸纹」在内的生物信息属于其所有者，使用这些信息需要征得本人同意。

目前中国个人信息的保护框架中，让人比较受到鼓舞的是今年3月6日发布并将于10月1日开始生效的《个人信息安全规范》，其中明确规定，收集个人信息除应单独向个人信息主体告知外，还应告知目的、方式、范围、储存时间，征得信息主体的独立的明示同意。 但这还不是法律规定，而只是行业性标准。

正在审议中的《个人信息保护法（草案）》是我国首部针对个人信息保护的专门立法。其中规定，要有特定的目的和 充分的必要性，方可处理敏感个人信息； 收集敏感个人信息要经过个人单独同意，向个人告知处理敏感个人信息的必要性以及对个人的影响。

「如果人脸识别是政府指定要求，相应的技术提供方是公开透明的，个人信息具有相对透明的安全保障措施，入园方式也提供多元化的选择，我或许也不会对他们的人脸识别入园方式那么排斥。」郭兵在接受媒体采访时说到。

不过，如何「同意」也是一个难题。因为，在商铺甚至周边获取同意方式，甚至比智能手机应用程序的「点击同意」更间接。比如，有的商店通过张贴标识的方式，「通知」客户正在受到何种设备以及目的的监视。按照这个逻辑，拒绝被监视的唯一方法就是你别逛这个店。

一些技术供应商表示，中国的人脸识别技术和应用均在全球领先，如果完全追随美国和欧洲对数据和隐私的保护，对人脸识别发展会产生很大的阻碍。但问题在于， 技术供应商作为技术源头和获益者，目前承担责任还远不够。

不少公司，包括央视曝光的上述公司在内，都是直接收集和存储原始的面部信息。这对于用户来说，隐私泄露的风险大为提高。而技术供应商可以使得采集数据匿名化。

比如，谷歌曾为了解决加拿大某智慧城市项目隐私问题，开发一种摄像机系统，可以将监视录像带压缩成一系列模糊轮廓。这意味着，如果公司想分析码头区行人模式，会使用激光雷达设备来探测物体，或者是分辨率很低的相机，或者是只对行人计数但并不采集图像的设备。

一些技术较为先进的公司也会提取面部的特征值来替代原始照片，这些特征值是匿名性数据，经过加密处理后即使被泄露也无法重新定位至某个具体的人。采用这种方式能够在一定程度上实现对于个人信息的保护。

机器之能面向正在进行数字化转型及智能化升级的各领域产业方，为他们提供高质量信息、研究洞见、数据库、技术供应商调研及对接等服务，帮助他们更好的理解并应用技术。产业方对以上服务有任何需求，都可联系我们。

[email protected]返回搜狐，查看更多