无节制的“刷脸” 叩问技术治理边界
近日去某地调研时,当地的“智慧社区”建设引发了笔者的深刻思考。据管理者介绍,当地在大力推广使用人脸识别门禁系统,但是遭到了部分居民的反对。让笔者感慨之处在于两点,一是从居民的角度来看,反对者的关注点,主要是对采集信息时需要上传房产证存在担忧,但对于“刷脸”所带来的个人信息风险却茫然不知。
二是从管理者角度而言,竟然在“互联网+政务”服务网络尚未下沉到社区、居民办事还需要来回跑腿的情况下,却将“人脸识别”当作智慧社区的头号工程。对技术优先级误读的背后,其实是对技术治理目标的认知缺乏——技术的应用是为了提升“治理”水平,是为了惠民,而不是仅仅是为了“管理”上的方便。
实际上,“刷脸进小区”争议已在北京、广东、浙江、江苏等地一再发生,个别地方甚至强制“刷脸进小区”,并将实体门禁卡作废,部分不愿提交个人信息的业主连进出小区都成问题。
随着人脸识别技术对人们生产生活的全方位渗透,我们亟需对“技术热”进行“冷思考”:真的有必要使用这么多“刷脸”技术吗?技术所带来的“人造风险”,是否已经超越了“自然风险”,本身成为了“风险社会”的主要内容?如何解决作为数据贡献者的公众得到的收益远远小于与数据掌控者,但却承担了绝大部分风险的矛盾?
技术已成为“社会风险”的一部分?
从社会学角度来看,人脸识别是数据时代的身份认证标识,延续人脸作为通用标识符的社会功能,通过人脸特征向量化、数据化的方式开启一个通向赛博空间的账户,并与个人权利行使相挂钩,其本质代表了一种身份法律制度。
相比传统的身份认证系统,人脸识别具有种种优势,包括精准刻画、无需接触、不易被盗、高效迅速,不用携带小区门禁卡或者身份证,即可“一脸通行”各类场所,在公共治理、商务交易、安全防控、金融财务等方面得到了广泛应用。
然而,随时随地的便利,也意味着无处不在的控制。隐藏在任何一个角落的高清摄像头都可以毫不费力地抓拍到他人清晰的脸部照片,然后即时上传到人脸信息数据库中进行比对,从而快速识别出相关主体的身份。在此基础上,如果再与其他数据库打通,便可以进一步追踪到个体的活动轨迹、人际关系、财产状况等隐私信息。这一系列迅速而复杂的动作,完全可以在你毫不知情的情况下发生。
可以说,人脸识别相当于一个接口,可以将各个点面的数据打通,与其他智能技术结合运用,将赋予数据控制者“千里眼”“顺风耳”的能力,使其可以穿透信息迷雾,实现对个体全方位、全天候的精准洞察与追踪。
此前据央视3·15晚会曝光,科勒、宝马等20多家知名企业在门店内安装人脸识别摄像头,在未经消费者同意的情况下,自动抓取顾客人脸信息,标注到店、男女、年龄等信息,精确掌握包括性别、年龄、职业、心情状态等特征数据,以及以前到店过几次、消费过多少、行踪轨迹是什么等行为数据。进而通过营销分析,不仅能精准刻画顾客的偏好,甚至能够预测出消费行为,从而进行精准营销。
在此情况下,活生生的人却变成了一行行数据和代码,不仅个人隐私无所遁形,一切行为信息都被精确“记录在案”;同时个人也沦为被识别、被刻画的客体,个人价值交由机器评级、每一分消费者剩余被精准榨干。
可以这么说,人脸被精准识别后,得到的是数据,人的主体性却得到贬损。
除了利益消减之外,社会公众更将面临风险的加剧,这已不仅仅是个人隐私与公共安全的平衡问题了。因为社会公众作为“公共”的组成部分,其人身财产安全将会因为技术滥用而面临巨大的威胁,个人隐私权与公共安全将遭到双重侵害。
正如清华大学法学院教授劳东燕所言,“互联网的基本逻辑是,安全问题的解决并不取决于安保水平与能力最高的部门或企业,而是取决于其中水平最低与能力最差的。允许各式各样的组织与单位随意收集民众的人脸数据,就等于埋下一个个地雷,数据被泄露与滥用的可能性会急剧地提升,这势必严重危及公众的人身与财产安全。”
小区、商业机构在收集了大量人脸信息之后,是否具备起足够的技术能力来防止数据库不被黑客攻破从而被窃取?又如何保证这些机构(或者机构人员)不会为了获利,将其收集来的人脸信息私下里卖给他人?
假如小区所采集的居民信息被加以分析,那么就可以知道某个居民、某个时间段是否在家。一旦相关信息被不法分子获得,那么居民的财产、人身安全都将面临巨大威胁。公共安全不仅不会得到有效改善,相反风险可能会大大增加。
特别值得注意的是,与姓名、电话号码、银行卡密码等普通的个人信息不同,每个人的人脸都是独一无二且不可更改的,一次泄露或将贻害终生。毕竟手机号码若是泄露了,实在不行还可以换一个号码,但人脸信息发生泄露,难道要去“换脸”吗?
任何一项新技术、新举措的使用,都要对其所带来的风险与收益进行衡量。技术发展到今天,我们不仅要问,技术的使用是否已经过度?技术所带来的“人造风险”,是否已经超越了“自然风险”,成为了“社会风险”的主要内容?
更进一步是对社会公平、社会伦理的拷问,数据掌控者攫取了大部分的收益,但作为数据贡献者、同时承担绝大多数风险的公众得到的便利与人们的付出是否匹配。
再有,目前的个人信息收集以“知情同意”为基础,如果作为数据主体的个人表示同意,那么接下来你的数据收集、使用、处理就交给了各个机构,这几乎等于完全脱离了个人的控制,但同时却要由个人来承担风险。理论上说,个人完全可以表示不同意自己的信息被收集,但在现实中却很难做到——要使用各种App就不得不给予同意,或者在不知风险的情况下表示同意,更有如人脸识别这样个人完全不知道自己的信息被采集的情况。这样一来,以知情同意为基础的法律保护框架就显得疲软乏力。
在这种机制之下,数据掌控者对于社会的掌控日趋完美,数据监控全面高效、商业挖掘深度进行,然而他们在从中获益的同时,却将风险转嫁给公众。而当个体的权利遭到侵害之后,却很难找到为此承担法律或道德责任的主体,即使找到的主体,也很难维权。
技术运用的边界究竟在哪?
当然,人脸识别只是一个切口,其背后反映的是整个社会数字治理、技术治理的问题。近年来,无论是智慧城市、数字政府,还是智慧社区、智慧网格,各个治理主体纷纷将智能技术作为驱动治理能力现代化的重要抓手。市场上不计其数的各类商业机构,也争先恐后的利用技术手段,挖掘商业机会和利润。
但在看到技术产生巨大效益的同时,也必须对其潜在风险进行及时预判,当前亟待思考的一个问题是,技术的使用是否已经超限?
一方面,技术的风险溢出是否在可控范围之内?虽然监管落后于创新是客观规律,但如今新技术的发展就像是火箭,但对于其规制手段却像是马车。由于法规与管理的约束不足,相关开发和应用都往往在信息保护、身份认证等技术上明显缺少主动性与责任感。此外,公众的数字素养也未能同步提高,缺乏对新技术风险的评估能力以及自我保护能力,这都会进一步导致技术的风险弥散。
另一方面,技术的使用本身就应该存在一定限度。技术遵循的是“事本”逻辑,其背后是理性主义范式的支撑,并不能百分之百适用具有灵活性、非规则、模糊性的复杂社会。正因此,必须明确“人本”才是主体,“事本”是为了“人本”而服务的。
过度依赖技术,非但不会促进治理效率提升,反而会对治理价值和制度基础构成反噬,社会的管理者将逐渐迷失在数据和算法的海洋中,凡事均习惯性地向技术“寻求帮助”,这不仅会导致人文关怀的缺失,也会使得治理和商业行为陷入冷冰冰的“技术窠臼”,还会大大影响人格的自主性,踏入过度依赖技术的“怪圈”。同时,这也可能导致过度仰赖技术创新,反而忽视了制度创新。
具体到人脸识别技术而言,一是要加快明确人脸识别的适用范围,抛开安防、大型活动等场景,普通园区、企业、楼盘、校园等场所,是否真的必须应用人脸识别?即使真的要用,也应当确定非“强制性使用”,必须提出“替代性方案”,比如允许不同意使用人脸识别的人们通过替代性方式(比如使用门禁卡、身份证)通行。二是要建立健全配套制度,对人脸识别数据采集、存储、使用,以及软硬件认证等做出明确规定,并在立法、执法、监管、公众教育等层面建立多维度的立体防护体系。
放大至数字治理、技术治理的整体视野,亟需扬弃技术决定论,在广泛运用智能技术嵌入社会的同时,加快构建技术运用所需的底层环境,坚持工具理性与价值理性的统一:
一是要树立牢固的思想根基——技术运用应着眼于人民福利的切实提升,而非为了“技术”而运用“技术”;二是要加快建立完善的制度基础——治理技术的创新与制度体系的创新必须双轮驱动;三是要明确技术运用的底线——围绕技术嵌入社会治理的场域、深度、广度做出相关规定,并建立起响应的保障机制。
总而言之,无论“数字”政府,还是“智慧”城市、“智慧”社区,亦或是“智慧”企业,都需要明确的是,前两字都只是手段,后两字才是真正的目的。人类社会需要回归人的自身发展,“技术治理”需要回归“治理”本身、“为人民服务”本身。