智库报告
位置: 首页  >  智库报告  >  世界经济论坛:人脸识别用例的责任限制框架——流程管理
世界经济论坛:人脸识别用例的责任限制框架——流程管理
2020-03-11 14:00:00 作者:赛博研究院 
关键词:人脸识别 

【编者按】2020年3月2日,世界经济论坛(WEF)发布《人脸识别用例的责任限制框架——流程管理》(A Framework for Responsible Limits on Facial Recognition Use Case:Flow Management)白皮书。白皮书指出人脸识别作为最强大的生物识别技术之一,人们对该技术的担心与日俱增,因此迫切需要建立人脸识别的监管框架,确保负责任地使用人脸识别技术。因此,白皮书从确保负责任地使用人脸识别的监管框架和流程管理政策试点展开分析,提出了第一版人脸识别应用的11项行动原则。


在过去的十年里,人脸识别已经发展成为最强大的生物识别技术之一,它能够通过比较和分析面部轮廓来识别和验证个人身份。由于机器学习的进步以及传感器的发展,人脸识别的市场规模快速增长,预计到2024年将达到70亿美元。准确率方面,2014年人脸识别的最高准确率仅为72%,而现在它的准确率可以超过95%。

 

近年来,人们对人脸识别技术的担心与日俱增,部分企业未经通知或同意就使用了人脸识别技术,例如越来越多的学校利用它来监控学生,而且,新闻中经常报道生物识别数据泄露的事件,个人数据被用来开发人脸识别系统,但并没有征得用户的同意。研究表明,人脸识别可能存在不公平和偏见,例如在人口统计中,人脸识别的准确性受到肤色的影响,这可能导致产生错误的识别结果。此外,性别、年龄、身高、眼镜或佩戴物都会影响识别的准确性。

 

因此,迫切需要建立人脸识别的监管框架,确保负责任地使用人脸识别技术。该框架应当建立在实践案例的基础之上,并通过多利益相关方的模式来实现。目前,世界经济论坛正在牵头制定此种监管框架,目的是为了在实践中测试人脸识别技术的应用并完善相关政策。

 

一、确保负责任地使用人脸识别的监管框架

 

1.1 方法和计划

 

为了设计一种平衡且可行的人脸识别监管框架,世界经济论坛向多利益相关方进行咨询,列出了构建监管框架的四个主要步骤:

640 (3).webp (2).jpg


1)定义:起草制定行动原则,定义负责任地使用人脸识别框架的组成部分。工作组由公众代表、人脸识别企业、监管机构、学者和民间社会代表共同组成,其首要目标是围绕11项行动原则制定出共同定义。

2)设计:根据实际用例设计一系列监管政策,支持人脸识别技术开发团队负责任地开发。

3)评估:通过拟定评估问卷来评估人脸识别系统负责任的程度,并描述每种用例应当遵守的具体行动原则。

4)验证:由可信任的第三方来设计监管框架,并验证是其是否符合行动原则。

 

计划

 

工作组制定了一项为期18个月的行动计划,具体时间表如下:

 

(1)确定范围(20194月至9月):确定人脸识别技术的潜在应用和利益相关者。

 

2)共同设计(201910月至20201月):建立政策框架,包括行动原则、最佳实践、评估问卷和审计框架。

 

3)测试(20202月至7):在具体用例上测试监管框架并对其进行评审。

 

4)部署(从20207月开始):制定多种方案支持监管框架的部署。第一种方案是监管框架得到人脸识别企业的认可。第二种方案是利用此框架支持标准或认证流程的部署,创建可持续的问责机制。第三种方案是通过立法框架,支持政策试点并确保遵守行动原则。

 

1.2 确定用例

 

通过分析人脸识别不同应用场景的案例,更好地权衡风险与监管,从而根据相关的国家法律,利用这些案例来检验人脸识别监管框架。具体的应用场景包括:准入系统、公共场所的安全保障、市场及客户服务、医疗保健服务。

 

准入系统:此类用例涉及到对公共或私有服务的访问,包括但不限于流程管理、门禁钥匙、解锁设备、支付与金融操作、用户名和密码登录、线上线下服务、法律身份验证等。

 

公共场所的安全保障:此类用例涉及执法和私人安保活动,包括但不限于海关及边境保护局、被通缉或具有潜在恐怖风险的相关人员、邻里监控、私人安全、公众活动安全、公共空间安全、治安巡逻等。

 

市场及客户服务:此类用例涉及所有基于面部识别的营销、广告和客户服务,包括但不限于个性化购物、自动识别社交媒体照片、情感识别等。

 

医疗保健服务:此类用例涉及所有医疗和病人服务所使用的人脸识别,包括但不限于盲人或弱势群体的可穿戴产品、病人的身份验证、病例识别或跟踪等。

 

1.3 行动原则

 

如何将这些原则用于实际行动

 

不管是公共组织或私人组织,如果有意向将这些行动原则应用到具体用例中,都应当确保用例的合法性,我们建议企业遵循以下建议:

 

1)合法性:用例必须确保遵循相关国家和地区的法律,例如在欧盟,人脸识别的用例必须遵循《通用数据保护条例》(GDPR)。我们强烈建议有意向开展人工智能监管政策试点的机构提前通知相关数据保护部门。

 

2)第三方审计:为了实施和测试这些行动原则,法国标准化组织开发出一套审计框架,审计框架有助于评估风险管理和治理过程的有效性,虽然这种审计可以在内部进行,但是我们鼓励组织寻找能够进行外部独立审计的第三方机构。

 

3)向政策试点的监管机构报告:任何有兴趣对人脸识别应用进行部署的组织都应当与其管辖范围内的监管机构取得联系并报告。

 

4)对合理用例进行影响评估:该计划并不是对人脸识别技术的评估,而是对衡策监管框架的可靠性的测试。因此,我们建议尝试利用人脸识别的组织进行影响评估。

 

第一版的行动原则

 

第一版的行动原则是通过多利益相关方程序共同起草的,借鉴了《通用数据保护条例》(GDPR)和《警察与刑事司法指令》(the police and criminal justice directive),同时也参考了欧盟委员会人工智能高级专家组制定的道德标准。

 

这些原则旨在确保负责任地使用人脸识别技术,需要注意这里不包括其他生物识别技术,如DNA、之问、虹膜或步态识别等。这些原则需要结合应用场景进行审查,并特别关注其有效性、完整性和相关潜力。

 

1)偏见和歧视:使用人脸识别的组织应当采取适当的措施,确保发现、识别和减轻不公平的偏见或结果。虽然完全消除偏见是人工智能研究中最大的挑战之一,但是组织应当分配适当的资源,用以最大限度地减少不公平的偏见和歧视。

 

2)人脸识别系统的使用比例:使用人脸识别的组织应当采取适当的措施,评估其使用此类系统的能力和局限性,并确保系统适用于特定目的,系统应当与预期目标高度吻合。

 

3)隐私设计:使用人脸识别的组织应当设计支持隐私的系统,包括隐私注意事项,并在技术设计、开发、测试、业务支持和系统维护中也提供隐私支持。

 

4)问责制:使用人脸识别的组织应确保组织内部、第三方服务提供商或合作伙伴之间的问责制。因此,他们应当建立并公开披露指导人脸识别系统设计和使用的原则。但是,这并不适用于人脸识别系统在预防潜在网络攻击方面的技术规范。

 

5)风险评估及审核:创建人脸识别平台或者是将人脸识别作为系统中的一部分的组织,应当对其人脸识别系统进行全面的风险评估,包括对隐私的影响、潜在的错误、不公正的偏见、黑客和网络攻击漏洞、决策过程缺乏透明度以及对公民权利侵犯的可能性。

 

6)性能:创建人脸识别平台或者是将人脸识别作为系统中的一部分的组织,应当遵循在设计和部署阶段评估其系统准确性和性能的标准。性能评估应当由第三方组织进行审核,并向其用户提交报告。

 

7)信息权:应当建立适当的流程,解答终端用户对人脸识别系统的疑问或者所需信息。终端用户应当拥有访问其个人生物识别数据的权限。

 

8)同意:使用人脸识别系统应当获得个人知情、明确和肯定的同意。在任何情况下,当数据主体注册使用人脸识别服务时,他们都应有权决定相关数据保留的期限。

 

9)通知和同意:在公共场所使用人脸识别,应当设置清晰的标识,确保与用户的交流沟通。使用人脸识别的区域应当明确告知个人,当系统运行时,也应当显示视觉信号。

 

10)可及性权利和儿童权利:人脸识别不应当排出任何人,包括老年人和残疾人在内,都拥有使用人脸识别的权利。同时,也应注意到,在某些情况下,可以对婴儿和儿童适当例外,并提供一种替代方法。

 

11)替代选择和人为干预:对于任何可能导致重大决定的人脸识别使用,都应需要进行人工审核(监督)。在全自动系统中,应始终采用人为介入的后备系统,以解决异常和意外错误。系统中应常设合理的人脸识别替代方案。

 

二、流程管理政策试点

 

在上述的用例中,工作组决定将重点放在流程管理上,原因有两点:第一,流程管理可能会在未来几年内被开发。例如,东京奥运会主办方已经宣布使用人脸识别来管理运动员和工作人员进入奥林匹克场馆的流程。此外,机场和航空公司也已经开始使用人脸识别技术。第二,任何人脸识别应用程序都存在固有风险。只有认识到人脸识别的挑战和流程管理中的风险,工作组成员才能确定风险的具体类型,并设计相应的风险策略。

 

1.支持负责任地使用人脸识别系统设计的最佳实践

 

为了评估人脸识别技术在流程管理中的使用情况,人脸识别技术的设计者和使用者应当遵循人脸识别系统设计和部署的相关要求,这些要求主要集中在四个方面:

 

1)选择人脸识别技术的合理性;

2)设计符合终端用户特征的数据方案;

3)降低偏见的风险;

4)通知终端用户并保证透明度。

 

2.第一版评估问卷


第一版评估问卷和行动原则是通过类似多利益相关方模式设计的。问卷的主要目的在于仔细评估用于流程管理的人脸识别系统,确保其符合前文所述的行动原则。

 

评估问卷将会根据测试阶段的结果进行改进,在测试阶段,我们将特别关注行动原则在有效性、完整性和相关方面的潜力。

 

 

编译 |李书峰/赛博研究院研究员



本文由赛博研究院出品,转载请注明:本文来源于赛博研究院公众号。

更多精彩内容请关注“赛博研究院”公众号。


1584257237441161.jpg