在网站PimEyes上传一张照片,就能在短短几秒内看到你在全网上的照片痕迹,可能有你小时候的黑历史,被偷拍的尴尬瞬间,甚至是色情网站上的图片……
美国的一位软件工程师就遭遇了最后这种情况——她19岁遭人胁迫拍摄的性虐待照片赫然出现在搜索结果中。而想要查看照片来源,她需要支付29.99美元。即使她付钱升级为会员并要求清除所有自己的照片,网站上仍然能搜到超过一百张她的照片。
南都记者了解到,PimEyes是一个AI人脸识别网站。用户上传人脸照片后,网站可以通过爬取其他公开网站搜索可能是他的所有照片,无论是用户自己还是被别人上传的。其官网称,他们帮助成千上万人找到了被非法使用的照片,成功保护了这些人的隐私。
尽管PimEyes的现任拥有者认为,网站并没有把人脸和名字对应起来,不存在法律问题,不少数据保护专家仍对PimEyes的合法性表示质疑。有调查认为,照片、搜索引擎、搜索结果的地址三者加起来,可能足以识别个人信息。
上传人脸照片搜到色情照、裸照却难以删除
据美国有线电视新闻网(CNN)近日的一则报道,美国软件工程师Cher Scarlett无意间在PimEyes上搜到了自己19岁时的一张照片——那是她去纽约参加一次试镜时拍下的。当时,她被迫在镜头前进行羞辱性行为,有时甚至是暴力性行为。这段经历让她打消了进入色情产业的念头,也成了她人生中的噩梦。
Scarlett在PimEyes上的部分搜索结果。图自CNN
此后,她试图从PimEyes的搜索结果中删除自己的照片,一路从29.99美元/月的会员升级到299.99美元/月。尽管PimEyes答应会遵循她的要求删除,但如今距离Scarlett第一次搜索已经过去三个月,仍然可以在网站上找到这张照片。
对此,自称是PimEyes网站拥有者的Giorgi Gobronidze解释,这是因为即使PimEyes阻断了刊有类似照片的网址,它也不能持续地去删除。而且随着网站不断地在互联网上爬取信息,相同或相似的照片总是可能再次出现。
事实上,早在2020年,就有类似事件发生。德国数字版权网站Netzpolitik对PimEyes的调查报告曾披露,一位丈夫在PimEyes上搜到了61张非法发布的妻子的裸照。
报告还发现,在此前PimEyes一段被删除的广告片段中,他们把搜索“成人网站”宣传为一项高级功能。如今色情网站的搜索结果与其他结果混杂在一起,如果一个人之前有过“不光彩”的历史,这些照片将更容易被他人获取。而且如果搜索结果中含有“疑似来自色情网站”的内容,无论这张照片真假,用户都会感到不安并更愿意为查看来源而付费。
在《纽约时报》的采访中,Gobronidze回应称,他们为用户提供免费下线照片的功能,并已经为Scarlett返还了她为删除照片而付的费用。在用户填表并经过匿名的照片验证后,就可以管理搜索结果,隐藏一些不想被看到的照片。不过,如果这些图片之后又被别人上传到新的链接上,再进行搜索仍然能找到相关内容。
PimEyes的建议是对特定照片设置“警报”,自动帮助用户追踪更新,以及时删除。相关功能在月费中提供,29.99美元能设置3个“警报”,79.99美元能设置15个,299.99美元能设置最多500个。
存9亿人脸数据,或涉嫌大规模违反GDPR
南都记者实测发现,PimEyes的官网首页就有一个明显的搜索框,用户可以点击上传照片。搜索框下方用灰色小字承诺:我们不会保存你的照片。
现在的PimEyes官网首页
网站的FAQ中写道,PimEyes旨在为查找者本人搜索照片,而不是其他人。这也是为什么搜索结果只有网址,不包含个人信息。网站还承诺,用户上传的所有照片都只会保留48小时。
PimEyes还声称,他们不会抓取来自社交媒体的图片——不是因为不想,而是这些平台不允许爬虫。然而2020年,Netzpolitik依旧在网站上搜索到了来自Instagram、YouTube、TikTok、Twitter和vKontakte等社交媒体平台的内容。
为测试人脸搜索的准确性,南都记者上传了多张自己无遮挡的面部清晰照,虽然得到了600多个搜索结果,但没有一张是本人。不过,根据《纽约时报》记者亲测,无论照片上的人戴着口罩还是墨镜,PimEyes都能成功识别并找到他的其他照片。
值得注意的是,和谷歌等平台的图片搜索不同,PimEyes只关注面部特征是否一致。
据了解,PimEyes对自己的定位是一种“自助工具”:用户应该只上传自己的照片,只对自己的照片进行检索。他们认为,平台不需要为用户违反数据保护法的行为负责。然而,Netzpolitik保存了PimEyes2020年官网的页面,上面使用了名人的照片展示搜索结果。这意味着用户可以上传任何人的照片,并且没有任何监管措施。
2020年6月,PimEyes官网以哈里王子夫人梅根为例展示搜索结果。图自Netzpolitik
Gobronidze还称,PimEyes并没有把人脸和名字对应起来,因此不存在法律问题。但Netzpolitik的调查显示,照片、搜索引擎以及搜索结果的来源地址三者加起来,足以识别个人信息。虽然搜索引擎不会直接提供名字,但可以找到匹配的人脸,许多情况下,还可以通过来源网站查到姓名、职业等信息。
去年,德国巴登-符腾堡州的数据保护机构宣布对PimEyes可能违反欧盟《通用数据保护条例》(GDPR)中有关使用生物特征数据的规定进行调查。目前调查仍在继续。有数据保护专家警告称,PimEyes可能会大规模违反GDPR,面临巨额罚款的风险。
该州的数据保护专员Stefan Brink对PimEyes尤其不满。他表示,公司只有在获得个人明确同意的情况下,才可处理其生物特征数据。2020年,PimEyes曾在官网公开宣称拥有9亿条人脸数据——这意味着,PimEyes需要获得9亿人的同意。显然PimEyes不可能做到。
当时的网页快照
事实上,前不久英国信息委员会刚对另一家美国知名人脸识别公司Clearview AI处以750万英镑的罚款,令其停止收集和使用在互联网上公开的英国居民个人数据,并删除英国居民信息。英国信息委员会认为,Clearview AI没有收集用户信息的合法性基础,也不符合GDPR对生物特征数据的保护要求。而Clearview AI在美国也接受了伊利诺伊州法院发起的和解协议,将在全国范围内停止向全美大部分私企和个人等提供该数据库的服务。采写/编译:实习生程雨祺 南都记者蒋琳