无论您已经部署了人脸识别、需要了解自身的风险敞口,还是正在评估供应商、希望一次就做对,我们都会依据真正重要的法规、基准和运营标准来审计生物识别系统。
$136.6M
仅2025年一年的BIPA和解金额
Privacy World年度回顾,2025年
7,203倍
不同人群间误报率的差异幅度
NIST FRVT人群统计测试,2025年3月
108天
单次人脸识别误匹配导致的错误羁押时长
Angela Lipps案,北达科他州法戈市,2025年
失败很少源于算法本身糟糕,而是源于糟糕的采购、糟糕的数据和缺失的治理。
在每一起重大人脸识别事件中,同样的模式反复上演。一家零售商或金融机构选定一家供应商。供应商的合同免除了任何准确性保证。企业用登记图像加载一份监控名单:其中一些是规范的证件照,但许多是模糊的闭路电视截图、手机照片,或十年前的羁押照片。系统在数百个门店上线运行。
接下来发生的,是这家企业从未算过的一道数学题。系统针对封闭集匹配(此人是否在数据库中?)进行了优化,却被部署用于开放集筛查(这位顾客,在每天数千名访客中,是否属于我们监控名单上的那200人之一?)。在一家每天有8,000名访客、监控名单有200人的门店里,97.5%的扫描针对的是未登记的人。封闭集算法会试图为它看到的每一张脸找到最佳匹配,而在这样的访客量下,即便0.1%的误报率,每家门店每天也会产生8次错误警报。在500家门店中,这意味着每天4,000次误报警报。
这些误报警报会不成比例地针对特定人群。NIST FRVT测试显示,某些人群的误报率比其他人群高出数千倍。当Rite Aid部署其系统时,FTC发现,位于黑人和亚裔为主社区的门店产生的误报警报,明显多于以白人为主社区的门店。员工未接受过有关系统局限性的培训,便根据他们当作事实的自动警报去跟踪和质问顾客。
Angela Lipps是一位来自田纳西州、50岁的祖母。2025年7月,在法戈警方使用人脸识别将她认定为嫌疑人后,她被美国法警逮捕。案发时她在1,200英里之外。在2025年圣诞夜指控被撤销之前,她在监狱中度过了108天。法戈警察局长于2026年3月27日公开道歉。
当匹配分数被当作证据时,就会发生这种情况。系统给出了一个数字。没有人核查过:考虑到图像质量、探测图像与图库图像之间的年龄差距,或算法在受测者所属人群上的表现,这个数字是否可靠。民权诉讼正在准备中。
Rite Aid的后果:五年内禁止使用人脸识别,强制销毁所有生物识别数据 以及所有基于该数据训练的模型 (FTC模型吐回),以及一套由高层管理人员监督的全面信息安全计划。Harvey Murphy案的后果:在10天的错误羁押(其中包括人身攻击)之后,一桩1,000万美元的诉讼。这些都不是边缘个案。《华盛顿邮报》记录了至少8名美国人在人脸识别匹配后被错误逮捕,且在每一起案件中,调查人员都跳过了诸如核实不在场证明等基本步骤。
美国没有联邦法律规范人脸识别。相反,您面对的是一张由州法律、城市禁令和国际法规拼凑而成的网络,每一项都有不同的同意要求和处罚结构。
| 法律 / 法规 | 管辖区 | 关键要求 | 处罚 | 状态(2026年) |
|---|---|---|---|---|
| 伊利诺伊州BIPA | 伊利诺伊州 | 收集前须取得书面同意;公开留存计划;禁止出售生物识别数据 | 每次违规$1,000-$5,000 | 积极执法。2025年提起107宗以上集体诉讼。赋予个人诉讼权。 |
| 得克萨斯州CUBI | 得克萨斯州 | 商业用途须取得同意。TRAIGA(2025年6月)对安全/防欺诈用途予以豁免。 | 每次违规最高$25,000 | 积极执法。与Google达成$1.375B和解。仅由总检察长执法(无个人诉讼权)。 |
| 欧盟AI法案 | 欧盟 | 禁止实时远程生物识别身份识别(重大犯罪除外)。高风险系统须进行合规性评估。 | 最高3500万欧元或全球营业额的7% | 禁令自2025年2月起可强制执行。高风险类的截止期限延长至2027年12月。 |
| 科罗拉多州隐私法案 | 科罗拉多州 | 生物识别标识符须取得同意;留存计划;安全控制 | 总检察长执法 | 生物识别修正案于2025年7月生效。AI法案新增影响评估(2026年2月)。 |
| 华盛顿州生物识别法 | 华盛顿州 | 在登记进入生物识别数据库前须取得同意 | 总检察长执法 | 积极执法。无个人诉讼权。 |
| 城市层面禁令 | 16个以上美国城市 | 彻底禁止政府和/或私营机构使用人脸识别 | 因法令而异 | 旧金山、波士顿、奥克兰、波特兰等。积极执法。 |
| FTC第5条 | 联邦(美国) | "不公平或欺骗性行为。"Rite Aid执法行动的依据。包括模型吐回。 | 禁令救济 + 数据/模型删除 | 积极执法。吐回正成为标准执法工具(2025年5月教育科技案)。 |
预计到2026年底,将有10个以上的州通过生物识别隐私保护法。亚马逊Ring的"熟悉面孔"功能(2025年12月推出)在数周内即在伊利诺伊州、得克萨斯州和波特兰遭到封禁。
一份用于评估供应商及替代方案的参考。"差距"一栏是诚实的:有些差距是我们能解决的,有些则是没人能替您解决的组织性问题。
| 类别 | 示例 | 优势 | 对买方而言的差距 |
|---|---|---|---|
| 全栈生物识别 | NEC、IDEMIA、Thales | NIST FRVT排名居前。数十年的研发积累。政府合同与硬件集成。 | 昂贵(部署$500K以上)。销售周期长。供应商锁定。他们向您出售系统,但不审计您在使用过程中对相关法律的合规性。 |
| 纯软件人脸识别 | Paravision、Rank One Computing | NIST排名强劲。集成更简便。部分聚焦于偏差缓解。可在边缘端部署。 | 您仍需有人来对照您的部署条件验证他们的说法。NIST在受控数据集上的结果,无法预测在您的闭路电视画面上的表现。 |
| 云端人脸识别API | Amazon Rekognition、Microsoft Azure Face | 成本低。规模庞大。集成简便。企业信任度高。 | 两者均对警务销售实行无限期暂停。数据主权问题(图像在第三方云端处理)。对算法更新的控制有限。 |
| 零售防损平台 | FaceFirst、Gatekeeper + ROC(2026年) | 为零售工作流而构建。VMS集成(Genetec、Milestone)。聚焦防损。 | 合规是您自己的责任。供应商合同免除准确性保证。不包含独立的偏差测试。 |
| 金融科技生物识别 | FacePhi、iProov | 聚焦银行KYC。活体检测。符合GDPR的设计。 | 垂直领域狭窄。并非为开放集监控而设计。与传统核心银行系统的集成,往往比供应商宣传的更难。 |
| 四大 / 大型系统集成商 | Deloitte、Accenture、EY、PwC | 广泛的合规专业能力。监管关系。企业信任度高。 | 生物识别合规只是更广泛隐私服务中的一个细项,而非专长。他们不会解析NIST FRVT数据、不会测试您已部署算法的偏差,也不会审计您登记数据库的质量。其服务费用在$300K-$2M以上,针对的是将生物识别作为众多议题之一的通用AI治理。 |
| 内部自建 | 聘用一名合规官 + 一名计算机视觉工程师 | 完全掌控。深厚的机构内部知识。 | 生物识别合规所需的专业能力横跨计算机视觉、监管法律和测试方法论。要找到同时具备这三方面能力的一个人几乎不可能。组建团队需要6-12个月,以及每年$400K以上的全负荷薪酬成本。 |
六项能力,每一项都针对供应商和四大公司留下的某个具体差距。
我们提取您供应商算法的NIST FRVT原始数据,然后将其归一化到您的部署场景。如果您运行的是1:N监控名单筛查,那么供应商的1:1验证排名就毫无意义。我们按图库规模(您的监控名单数量很重要)、图像质量等级(闭路电视截图 vs. 受控登记照)和人群分组来分解性能表现。其产出是一份经风险分级的可行/不可行评分卡,而不是把NIST报告重新包装成的一套幻灯片。如果您正在评估多家供应商,我们会按您的具体参数加权进行对比分析。
我们将您的生物识别部署同时对照每一项适用法律进行映射:BIPA、CUBI、华盛顿州、科罗拉多州、欧盟AI法案以及城市层面的禁令。其产出是一份逐地点的合规矩阵,标明哪些门店/分支机构可以合法运行人脸识别、哪些需要修改同意机制、哪些必须完全停用。我们会考虑得克萨斯州TRAIGA的豁免(2025年6月生效的安全/防欺诈例外条款),以及欧盟AI法案中将私营零售区域涵盖在内的"公众可进入空间"定义。该矩阵每季度更新。
这是降低误报警报投资回报率最高的单项干预。我们审计您的监控名单/图库数据库的图像质量评分(分辨率、光照、姿态角度)、年龄差距风险(图库照片 vs. 估计的当前样貌)、人群代表性平衡,以及名单卫生状况(有多少条目超过2年、有多少缺乏书面来源记录)。在Rite Aid,手机照片和低质量的闭路电视截图被用作登记图像。误报正是源于此处:不在算法,而在您喂给它的数据。
我们使用涵盖年龄、性别、肤色(Fitzpatrick I-VI级)以及与您实际门店相匹配的光照条件的探测图像集,对您已部署的系统进行结构化测试。我们按人群分组测量误匹配率和误拒率,然后对照您供应商的NIST FRVT数据进行基准比较。我们关注的法律阈值:来自就业歧视法的五分之四规则,正越来越多地被援引于生物识别偏差案件中。如果您系统中任何人群的误报率超过表现最佳人群的125%,您便存在可记录在案的差异。
监管机构要求"有意义的"人工监督,却未对其加以定义。我们对照执法行动实际援引的标准来评估您的人在环路工作流:置信度阈值配置、审查员界面质量(审查员能否同时看到源图像和图库图像?)、审查员培训文档、升级协议的存在与遵守情况、每条警报的平均审查时长(不足3秒意味着走过场),以及审计轨迹的完整性。我们会标记出您的HITL是流于形式还是切实有效,并构建可作为法律辩护依据的文档轨迹。
一个轻量级API层,位于您的人脸识别供应商与您的决策工作流之间。您的安全团队看到的不再是二元匹配分数(0.85),而是经过校准的置信度:"0.85匹配,但在给定图像质量和光照条件下,90%的预测区间为0.62-0.94。"我们使用保形预测(Conformal Prediction)来构建它,以提供有保证的覆盖边界。该中间件不依赖于特定供应商,可与任何人脸识别引擎的输出协同工作,并增加了将自动警报转化为经校准的风险信号的不确定性维度。这正是使HITL决策站得住脚的技术层。
逐步演示部署在哪里崩溃,以及一个受治理的系统会拦截什么。
一位顾客走进门店。头顶摄像头以720p、从6米外、22度俯角,在荧光灯与自然光混合的光照下捕捉到一帧画面。提取后,人脸区域约占80x80像素。这正是大多数零售人脸识别系统所处理的图像质量,远远逊于供应商在演示中使用的受控登记照。输入质量与匹配可靠性之间的关系是非线性的:分辨率降低50%,可能使误报率上升300-400%。
系统针对一份300人的监控名单运行1:N匹配。该图库包含15年前的羁押照片、来自事件报告的手机快照,以及少量受控登记图像。算法返回一个匹配:与一条登记自2011年所拍羁押照片的图库条目,相似度得分为0.83。算法并不知道,针对一张光照、体重和发型都不同的15年前照片得出的0.83,远不如针对近期登记照得出的0.83可靠。它报告了这个数字,却不附带任何背景信息。
警报被发送到一名防损专员的平板电脑上。他们看到:"找到匹配:83%置信度。"没有源图像比对。没有关于图像质量、登记照年龄,或在此置信度水平下人群表现的任何信息。他们跟踪了那位顾客。在Rite Aid的情形中,这名专员质问了顾客、搜查了其随身物品,并指控其曾经盗窃。那位顾客是无辜的。把这乘以数百家门店和数年的运营,你就得到了数千起事件。
失败点:没有图像质量关卡、没有登记照年龄核查、没有不确定性量化、没有有意义的HITL界面、没有审查员培训、没有审计轨迹。
在实施我们的审计建议后:图像质量关卡会拒绝那张80x80像素的采集图像,因为它低于最低分辨率阈值(对于1:N匹配,我们建议最低100x100)。如果图像通过了质量检查,不确定性量化层会为0.83的分数包裹一个预测区间:"0.83匹配,但在给定采集质量下,90%置信区间为0.58-0.95。"过宽的区间将其标记为不可靠。登记照年龄核查器会标记出那张15年前的图库照片。这条警报即便最终到达审查员手中,也会同时显示源采集图像与图库图像,并附带元数据:采集距离、光照评估、登记日期和置信度边界。经过训练能够识别不可靠匹配的审查员,拒绝了这条警报。该决策连同时间戳、审查员ID和理由一并记录在案。
四个阶段。切合实际的时间安排。评估阶段往往就能揭示出足以证明这项服务本身价值的信息。
我们盘点您的生物识别部署:哪家(些)供应商、哪些地点、何种摄像头基础设施、何种登记数据库、存在何种HITL流程。我们提取您供应商的NIST FRVT数据(如有排名),并将您的门店/分支机构布局对照适用的生物识别隐私法律进行映射。交付成果:一份风险评估报告,以美元量化您的风险敞口,识别出三项最高优先级的整改事项,并为下一阶段提供业务论证。
我们对您已部署的系统运行人群偏差测试、审计登记数据库质量、验证HITL流程的成熟度,并制作一份逐管辖区的合规矩阵。交付成果:一份按优先级排序的整改计划,包含具体的技术和流程变更、各项的预估工作量,以及与执法截止期限相一致的合规时间表。这份文件将成为您的合规路线图和法律辩护证物。
我们构建那些无法现成购买的东西:为您人脸识别供应商定制的不确定性量化中间件、针对您门店条件校准的置信度阈值调优、审查员培训项目、登记数据库清理工作流,以及为您VMS平台定制的、具管辖区感知能力的策略执行配置。时间表取决于范围。与Genetec或Milestone的中间件集成通常需要3-4周。在多门店运营中,包含培训推广的HITL流程重新设计需要4-6周。对于哪些事情需要时间,我们如实相告。
生物识别合规不是一次性修复。新的州法律每季度都在通过。NIST会更新FRVT排名。您的供应商会推送改变人群表现的算法更新。您的监控名单会增长并退化。我们运行季度重新认证:在更新后的算法上重新测试人群偏差、刷新管辖区合规矩阵、审计登记数据库的漂移,并审查HITL遵守情况指标。正是这项服务,能够预防下一个Rite Aid式的情形。
注意事项:第3阶段的时间表假定您的VMS平台支持API级集成。传统模拟闭路电视系统在应用治理层之前需要进行基础设施升级。我们会在第1阶段对此进行范围界定,以免出现意外。多国部署(美国 + 欧盟)会为第2阶段增加2-3周,用于欧盟AI法案合规性评估映射。
回答关于您人脸识别部署的8个问题,即可获得一份附带具体后续步骤的风险评估。您的回答不会被存储或传输。
BIPA要求在收集任何生物识别标识符之前取得书面知情同意、设有公开可获取的留存与销毁计划,并禁止出售生物识别数据或从中牟利。对于零售人脸识别,这带来了一个现实难题:您无法从每一位走进门店的人那里取得书面同意。一些零售商尝试过告知-退出模式(在入口处张贴标识),但监管机构和法院对此持怀疑态度。澳大利亚的Bunnings案认定,仅凭标识是不够的,而BIPA的条文要求的是积极的书面同意,而非被动告知。
我们看到行之有效的可行做法包括:地理围栏停用(在伊利诺伊州的地点完全禁用人脸识别)、仅登记同意(仅针对已提供书面同意者的数据库进行匹配,例如员工,或已经过先前法律程序的已知惯犯),或转向非生物识别的计算机视觉(在不识别个人身份的前提下检测隐匿行为模式的行为分析)。每种做法在覆盖范围与合规之间都各有取舍。我们将您的具体部署对照BIPA的要求进行映射,并推荐与您风险承受度相匹配的做法。每次违规$5,000的故意性处罚累积得很快:在50个伊利诺伊州地点每天进行10,000次扫描,每年的理论风险敞口便高达$2.5 billion。
NIST FRVT发布了详尽的性能数据,但其报告内容密集,而真正重要的指标完全取决于您的部署场景。对于零售监控名单筛查(1:N开放集识别),关键指标是在固定误报识别率下的漏报识别率。大多数供应商展示的是他们的1:1验证数据(用于手机解锁或边境管控),这些数据看起来令人印象深刻,但对零售监控而言毫不相关。一家在1:1验证上准确率达99.5%的供应商,在针对一份500名嫌疑人的图库、对每天10,000名访客进行搜索时,可能产生数千次误报。
您需要核查:具体的FRVT 1:N结果(而非1:1)、在您预期图库规模下的表现(100人 vs. 10,000人会彻底改变一切)、覆盖您门店人群的各人群误报率,以及在低质量图像上的性能衰减(闭路电视截图 vs. 受控照片)。我们会提取您入围供应商的NIST原始数据,将其归一化到您的部署参数,并制作一份对比评分卡。我们还会核查供应商提交的FRVT算法是否与他们实际商用出货的版本一致,因为有些供应商向NIST提交的是经过优化的研究模型,与其生产软件有所不同。
模型吐回是FTC最严厉的AI执法工具。它要求一家公司不仅删除不当收集的数据,还要删除任何基于该数据训练的算法或模型。FTC于2023年对Rite Aid动用了这一工具,要求销毁所有源自未经同意的人脸扫描的生物识别模型。FTC于2021年出于同样原因对Everalbum(现Paravision)动用了它。2025年5月,一家教育科技公司收到了同样的命令。
现实含义是:如果您的人脸识别系统是基于未经妥善同意收集的生物识别数据进行训练或登记的,FTC可以命令您销毁整个系统,而不仅仅是数据。对于使用第三方人脸识别供应商的企业而言,风险会通过您的供应商协议传导过来。如果您的供应商是用不当收集的图像训练其模型的(而几家主要供应商恰恰面临过这一指控),且FTC下令吐回,您供应商的算法就会被删除,您的部署也将随之停摆。我们会审计您供应商的数据溯源链:他们的训练数据来自何处、是否取得了同意,以及您的登记数据库是否以合规的收集做法建立。这是生物识别采购中最容易被忽视的单项风险。
封闭集识别假定被扫描者一定在数据库中。它回答的是:我图库里的哪个人是这位?手机解锁和员工考勤系统都是封闭集问题,商用人脸识别算法为此进行了大量优化。开放集识别则应对一个现实:大多数人并不在数据库中。它必须回答两个问题:此人到底是否在我的图库里,以及如果在,是谁?
零售监控名单筛查从根本上说是一个开放集问题。在一家每天有5,000名访客、监控名单有200名嫌疑人的门店里,99.6%的扫描都是非配对的(此人不在数据库中)。封闭集算法总会试图找到最佳匹配,即使此人并未登记。Rite Aid发生的正是如此:系统产生了数千次误报,因为它把每一位访客都对照监控名单进行匹配,并不论实际相似度如何都返回最接近的图库匹配。开放集算法使用专门的损失函数和拒绝阈值,明确地将未知者归类为未知。如果您供应商的NIST FRVT提交仅涵盖1:1验证(封闭集),那么他们并未证明其开放集能力。我们会专门针对开放集表现来测试您已部署的系统:在您实际门店条件下,它拒绝非配对受测者的能力如何。
有意义的HITL,是站得住脚的部署与一桩诉讼之间的分野。FTC专门援引Rite Aid缺乏有意义的人工审查:员工在没有培训、背景信息或质疑系统能力的情况下,对自动警报采取了行动。一个站得住脚的HITL流程需要四个组成部分。第一,置信度阈值设定:自动拒绝低于最低阈值的匹配(对于零售我们通常建议0.70),使审查员只看到可信的匹配,从而防止警报疲劳。第二,审查员界面设计:审查员必须能同时看到原始闭路电视采集图像与图库登记图像,并附有显示采集条件(距离、光照、角度)的元数据,以及带不确定性边界的匹配置信度分数。
第三,审查员培训与认证:审查员需要接受关于误报识别、人群偏差意识和升级程序的书面培训。他们需要理解,一张来自15米外模糊闭路电视截图、得分0.85的匹配,远不如一张来自2米外受控登记摄像头、得分0.85的匹配可靠。第四,审计轨迹的完整性:每一条警报、每一项审查员决策(批准、拒绝、升级),以及随后的每一个动作,都必须连同时间戳和审查员ID记录在案。这是您的法律辩护。我们看到最常见的失败是:零售商配置了置信度阈值,却跳过了审查员培训。只有当审查警报的人懂得自己看到的是什么时,阈值才起作用。
多州合规是生物识别部署中最棘手的运营难题。伊利诺伊州BIPA要求收集前取得书面同意,法定赔偿每次违规最高$5,000。得克萨斯州CUBI允许每次违规最高$25,000,但豁免安全和防欺诈用途(自2025年6月起)。华盛顿州要求同意,但无个人诉讼权。科罗拉多州于2025年7月新增了生物识别保护。康涅狄格州扩展了敏感数据的定义,将生物识别数据纳入其中。此外,16个以上城市彻底禁止使用人脸识别。
现实选项包括:在所有地方部署最严格的标准(对所有地点采用BIPA级别的同意,这实际上会扼杀零售人脸识别)、部署因管辖区而异的配置(在宽松的州激活人脸识别,在限制性的州停用),或在限制性管辖区部署非生物识别替代方案、同时在宽松管辖区保留人脸识别。每个选项都需要不同的技术架构。因管辖区而异的部署,意味着您的VMS平台需要具地点感知能力的策略执行。停用则意味着您的防损团队需要为高损耗的伊利诺伊州门店准备替代工作流。我们为您具体的门店布局构建一份管辖区矩阵,将每个地点对照适用的联邦、州和地方要求进行映射,并设计一个在覆盖范围与合规之间取得平衡的运营模型。该矩阵会随着新立法的通过每季度更新。
NIST FRVT人群测试显示,不同人群间的误报率差异最高可达7,203倍。您的供应商或许有NIST排名,但该排名反映的是在NIST测试数据集上的表现,而非您具体的部署条件。门店光照、摄像头角度、图像分辨率以及您客户群体的人群构成,对现实世界中偏差的影响,都不同于受控测试条件。
我们对您已部署的系统、而非您供应商的实验室版本,运行结构化偏差测试。这一流程使用涵盖年龄段(18-30、31-50、51-70、70岁以上)、性别、肤色(Fitzpatrick I-VI级),以及与您实际门店相匹配的光照条件(头顶荧光灯、自然/人工混合、弱光)的多样化探测图像集。对于每个人群细分,我们测量误匹配率和误拒率,然后跨组进行比较。需关注的法律阈值:用于就业歧视(EEOC)的五分之四规则,正越来越多地被援引于生物识别偏差诉讼中。如果您系统中任何人群的误报率超过表现最佳人群该比率的125%,您便存在可记录在案的差异。我们出具一份统计报告,标明在哪些具体阈值处,您的偏差风险敞口从仅在伦理上令人担忧,转变为在法律上可被起诉。
支撑这一解决方案页面的研究。
对Rite Aid的FTC禁令及Harvey Murphy错误逮捕案的深入技术分析,并提出用于生物识别系统中不确定性量化、开放集识别和人在环路治理的架构框架。
Harvey Murphy对Macy's的诉讼:1,000万美元。BIPA集体诉讼的平均和解金额:$12-75 million。
我们的生物识别合规评估能在2-3周内识别出您的风险敞口。大多数企业都会发现自己原本不知道存在的差距,从登记数据库污染,到无法经受监管审查的HITL流程。