目前,某些美国互联网巨头企业的生物识别隐私规则成了集体诉讼的目标。

Illustration of a face with mask

  美国伊利诺伊州的居民尼姆斯·帕特尔(Nimesh Patel)是Facebook的用户,他对这个软件非常不满,这可不是幼稚:他早就知道,这个社交网络公司在收集用户的个人信息。而使他生气的是,Facebook公司现在变本加厉,开始收集他面部表情的细节,比如眉间的宽度、嘴角裂开的弧度以及很多其他面部几何学结构,通过这些细节,该公司的人脸识别软件就可以把他认出来。
  作为集体诉讼的原告之一,帕特尔声称Facebook对人脸识别技术的应用违反了2008年通过的一项伊利诺伊州法律《生物识别信息隐私法》(Biometric Information Privacy Act,BIPA)。BIPA对公司如何储存和使用公民的生物识别信息做出了规定,包括指纹、声纹、视网膜或虹膜扫描结果以及手部或面部几何结构扫描结果。该案已于2015年10月进入审讯程序。在伊利诺伊州,不但Facebook公司,谷歌公司和Snapchat公司也因为相同的原因面临起诉。在2017年,法庭将围绕这个尖锐问题展开辩论:谁有权保管我们的面部信息?
  公民自由组织表示,上述辩论早就应该进行。在美国,人脸识别日益被纳入到监视系统和执法数据库中,而许多州还没有像伊利诺伊州那样通过上述法律。电子前沿基金会的律师詹尼弗·林奇(Jennifer Lynch)指出,近年来技术迅速发展,而监管并没有到位。“我们很快就可以在商店里安装摄像头,识别购物者的身份。”她说。
  针对Facebook的诉讼主要围绕该公司在2010年推出的图片标签功能:只要用户上传照片,Facebook的系统就会自动分辨出镜头中的每张面孔,设法与之前上传照片中的人脸匹配,最后鉴别出是谁,十分方便。按照本案的说法,这种“标签推荐”系统证明Facebook在收集并储存美国用户的“面部样本”。(2012年,由于隐私问题,该公司在欧洲关闭了这项功能。)
  伊利诺伊州的相关法律早于Facebook推出标签推荐功能,当时并没有提到社交网络。相反,BIPA认为金融交易中生物识别信息会得到越来越多的使用,并指出这些识别信息与传统的PIN码和密码明显不同,如果被黑客窃取,将会带来大麻烦,因为不能像重设密码那样给客户重设新的指纹或面孔。但最近的集体诉讼不是针对银行,而是瞄准科技公司。另一宗针对照片存储网站Shutterfly的诉讼于2016年4月结案,赔款数额未公开。
  BIPA规定,私人公司必须制定书面规范,说明他们将在多长时间内保留人们的生物识别信息,又将在何时永久销毁该数据。“在某种程度上,这是一个温和的法律,”在电子隐私信息中心(EPIC)负责处理消费者隐私问题的律师克莱尔·加特兰(Claire Gartland)说,“它只是要求向消费者做出免责声明。”
  原告指出,Facebook在没有书面规范的情况下保留了伊利诺伊州用户的面部样本数据库,已违反了该州法律。Facebook发言人拒绝回答有关本次诉讼的问题,但他指出,用户可以轻松地关闭其账户的标签推荐功能。

bar chart

FBI(美国联邦调查局)的人脸识别数据库中大部分是守法公民的图像,从驾驶执照和护照照片中拍摄

  法律辩论已经开始。2015年末,该公司辩称,BIPA的生物识别信息列表中包括面部扫描和面部几何结构,但法律明确规定照片和外貌描述除外。Facebook认为法律只提到物理面部扫描仪,它们基于实际存在的面部创建生物识别记录,所以基于照片的人脸识别并不违法。但法院称Facebook的观点“没有说服力”,BIPA旨在针对所有新兴的生物识别技术,并允许诉讼向前推进。如果Facebook败诉,该公司可能被迫向数百万伊利诺伊用户支付赔偿金,并改变在该州甚至整个美国市场的运营策略。
  在法庭上,Facebook人脸识别技术的现状很有可能将发挥作用。密歇根州立大学计算机科学与工程教授、生物识别专家阿尼尔·贾恩(Anil Jain)说,法院可能需要知道公司是否使用传统方法开发人脸匹配软件。他指出:传统系统通过数以千计的实际测量建立和存储面部样本,“他们对面部、眉毛、鼻子、嘴唇沿线和嘴角等处的轮廓采样,提取标志物。”
  但贾恩指出,Facebook研究人员率先采用了依靠机器学习的面部识别方法,这就是在2014年的一篇论文中介绍的DeepFace系统。在报告中,研究人员从Facebook照片中抽出了440万个标记面孔组成数据集,训练系统进行学习。系统的深层神经网络用数百万个参数来检查面部,并基于所学到的神秘方法导出其面部匹配规则。“这更像是一个黑盒子。”贾恩说。
  Facebook的标准标签推荐功能到底是否利用了DeepFace或者类似的策略,目前还不清楚。如果公司采用这种先进的方法,其当前的技术可能不会违反法律的规定。“问题是他们的数据库中存储了什么。”贾恩解释说。当DeepFace程序分析原始照片时,系统可能只是简单地保存其已经学习到的分析规则,而并不存储可作为生物识别信息的面部样本。这是个讽刺的局面:如果Facebook不在数据库中保存面孔,它就可能在法庭上挽回面子。

资料来源IEEE Spectrum

责任编辑 遥 醒

___________________

本文作者伊丽莎·斯特里克兰(Eliza Strickland),2011年加入IEEE Spectrum杂志,当时因报道福岛第一核电站泄漏事故与他人共享尼尔奖。目前她负责生物医学工程领域的科学报道。