觀點
林緻茵:Deepfake詐騙:香港法律跟得上人工智能發展嗎?
【明報文章】正所謂「騙徒手法層出不窮」,近日私隱專員公署提醒公眾要留意以人工智能技術生成的Deepfake(深偽或深度造假)影片——此技術能夠逼真地模仿人臉,使受害者難以辨別真假,以為是真正的親友聯絡,從而被騙。私隱專員提出6招防騙建議,包括呼籲市民盡量減少在社交媒體平台和即時通訊軟件上分享生物辨識資料,例如個人正面照片和影片。
這些建議雖然有助公眾提高警覺,惟在社交媒體盛行的年代,很多人已慣常分享個人照片和影片,有KOL(意見領袖)更是「靠臉吃飯」,行為和習慣已難以逆轉。換另一角度:不主動分享個人照片,是否就能保平安?就應對新型詐騙手法,香港的法律和政策能否跟得上人工智能發展?筆者希望在此拋磚引玉,分析一些涉及臉部圖像的社會討論和例子,及其潛在影響。
香港無肖像權
筆者曾在社交媒體Threads中看到一些關於「被人偷拍」的帖文。事主不是被人偷拍不雅照片,而是在街頭被陌生人偷拍。不過,香港法律並無肖像權概念——在未經當事人同意下拍攝其肖像,本身不一定構成犯罪;犯罪與否,是關乎拍攝的後續行為有否違反其他法律。假如相中人因該照片影響形象造成損失,可循民事索償;而假如照片被用作詐騙,則會觸犯刑事法例。
在有肖像權的司法地區,情况則有不同。以日本為例,旅客很多時會被提醒不要隨便偷拍別人,因在未經同意下拍攝,本身已有可能觸犯法律(當地以牽涉範疇很廣的《迷惑行為防止條例》防止癡漢、偷拍等行為)。
香港雖然無肖像權,但過去也有「肖像」是否屬於《個人資料(私隱)條例》(《條例》)中的「個人資料」而衍生的爭議與案件。其中引起最多社會討論的,就是《條例》是否適用於媒體偷拍行為。
約10年前,私隱公署為《條例》定出了3條更細緻的新準則,包括「被拍攝者對其私隱是否有合理期望」、「偷拍者是否有計劃地監視拍攝」及「收集個人資料行為是否涉及公眾利益」。因應Deepfake詐騙,《條例》的應用準則及肖像權概念,是否有需要一併檢視?
生物辨識資料的收集及使用
另一涉及面部圖像的討論,就是臉部辨識(facial recognition)技術。《條例》規定下,私隱公署制定了《收集及使用生物辨識資料指引》(《指引》),讓資料使用者衡量收集資料之目的與必要性。以剛結束的動漫電玩節為例,持證的工作人員均須錄入容貌及掃描證上的QR code(二維碼)以作登記;其後工作人員每次進入展館並掃描QR code時,系統會自動辨識持證者的樣貌。
為何動漫電玩節需要這麼高度的保安呢?筆者有擔任工作人員的朋友說,去年並無此安排,但聽聞主辦單位指去年有人濫用工作證進出,甚至賣證,所以今年加入了臉部辨識技術。按《指引》的原則,主辦單位須考慮幾點,包括:收集資料的必要性(例如收集的資料與目的是否相稱)、是否有其他方法可達至相同目的、被收集資料的當事人是否有自主及知情的選擇等。
按此等原則,以上情境可衍生幾個疑問:
(1)去年濫用工作證的情况,是個別事件還是普遍現象?涉及幾大損失?
(2)臉部辨識技術是否解決濫用問題的唯一方法?主辦方有否考慮收集較少數量的生物辨識資料的選項?
(3)主辦方採取了哪些補救措施,以減低資料收集可能衍生的不利影響?
主辦方雖然無要求登記工作人員的姓名,代表臉部圖像不會被連結至更多個人資料,但主辦方採集的資料數量大,而後續資料儲存(例如用途、轉移、銷毁等)亦涉及資料當事人利益,須慎重處理。
就臉部辨識技術的應用(包括商業應用),內地在本年已推出專門法例,原因在於技術應用的廣泛程度及其衍生的一些爭議,已引起了關注。除了必要性等原則之外,法例還規定商場、娛樂場所等在哪些情况下,才可自行使用臉部辨識技術做驗證,以及在哪些情况下須向部門備案。因應人臉辨識技術的普及化與商業應用及其潛在風險,香港又是否需要制訂更細緻和專門的規範?
香港法律缺乏針對性
至於Deepfake技術,香港並無明確規範該技術的使用,也沒有針對Deepfake詐騙的罪名和刑罰;如有人利用Deepfake犯案,目前可透過《個人資料(私隱)條例》、《電訊條例》等懲處。至於其他地區,英國於本年4月已提出具針對性的新法案;同期,歐盟已正式通過極為全面的《人工智能法案》(EU AI Act),以降低AI(人工智能)技術氾濫、生成並擴散虛假信息對選舉的影響。法案也涉及更深層的地緣政治因素:歐盟正有意識地減低Google等美國科企對當地的影響;更早之前已經通過的《一般資料保護規則》(General Data Protection Regulation),已對歐洲境外的個人資料出口實施規範。
在亞洲,韓國亦有針對性的法律。如大家仍有印象,2019年爆發的「N號房事件」,正是修例的背景。事件涉及性剝削,內容亦包含以Deepfake合成的不雅影像,受害人眾多。訂立具針對性的法律的最大作用,在於法律能夠明確界定Deepfake技術的合法和非法使用範圍,以及相應的罪名和刑罰:
韓國在未修訂法律之前,「製作深偽合成影片或照片」本身並不違法,法律必須等到有人散布虛偽合成影像、讓影片接觸社會大眾,才能啟動處罰。換言之,當時的法律無法針對「使用深偽製作虛偽影像的行為本身」施加處罰,而必須依靠其他法律(例如《刑法》中「提供猥褻物品罪」)作懲處;即使事件造成極大傷害,涉及的處罰也相對輕微。
同樣,英國去年訂立的《網絡安全法》(Online Safety Act)只針對深偽影像的傳播;今年提出的新法案,則把「未經當事人同意下,利用對方形象創造深偽」,而其目的是為了「純粹希望給受害人帶來恐慌、羞辱或痛苦」定為違法,不必待散布之後才能定罪。處罰以外,歐盟更規定一些大型科企須負上積極責任,提供詳細資料以解釋它們如何主動降低AI技術氾濫產生的風險。
在深偽內容愈來愈逼真、愈來愈難以肉眼辨識的情况下,靠市民提高警惕而不加強從源頭入手,實在難以追上科技發展。從以上幾個涉及臉部圖像與私隱風險的討論可見,本港署方和相關部門應作更有針對性和前瞻性的建議,以主動提高社會應對科技發展和偵測潛在風險的能力,同時推動深偽技術在教學、藝術文化等的正面應用。
作者是公共政策顧問
■稿例
1.論壇版為公開園地,歡迎投稿。論壇版文章以2300字為限。讀者來函請電郵至[email protected],傳真﹕2898 3783。
2.本報編輯基於篇幅所限,保留文章刪節權,惟以力求保持文章主要論點及立場為原則﹔如不欲文章被刪節,請註明。
3.來稿請附上作者真實姓名及聯絡方法(可用筆名發表),請勿一稿兩投﹔若不適用,恕不另行通知,除附回郵資者外,本報將不予退稿。
4. 投稿者注意:當文章被刊登後,本報即擁有該文章的本地獨家中文出版權,本報權利並包括轉載被刊登的投稿文章於本地及海外媒體(包括電子媒體,如互聯網站等)。此外,本報有權將該文章的複印許可使用權授予有關的複印授權公司及組織。本報上述權利絕不影響投稿者的版權及其權利利益。
(本網發表的時事文章若提出批評,旨在指出相關制度、政策或措施存在錯誤或缺點,目的是促使矯正或消除這些錯誤或缺點,循合法途徑予以改善,絕無意圖煽動他人對政府或其他社群產生憎恨、不滿或敵意)
