臉部辨識偏見與失誤
中級3 分鐘閱讀更新於 2026-03-15
分析臉部辨識 AI 事件,包括商用系統中的種族與性別偏見、誤捕、隱私侵犯,以及對生物辨識 AI 進行對抗性攻擊的安全意涵。
臉部辨識 AI 已造成迄今最具後果性的若干 AI 失誤事件,包括有案的誤捕、系統性的種族與性別偏見,以及大規模的隱私侵犯。這些事件顯示 AI 偏見並非抽象的關切,而是傷害的具體來源——也表示生物辨識 AI 的安全測試必須在傳統對抗性穩健性測試之外,納入人口統計層面的準確度分析。
商用系統中有案可查的偏見
Gender Shades 研究 (2018)
Joy Buolamwini 與 Timnit Gebru 的里程碑研究測試了 Microsoft、IBM 與 Face++ 的商用臉部辨識系統,發現系統性的準確度落差:
| 人口統計群體 | 錯誤率(最差系統) | 錯誤率(最佳系統) |
|---|---|---|
| 淺膚色男性 | 0.8% | 0.0% |
| 淺膚色女性 | 7.1% | 1.7% |
| 深膚色男性 | 12.0% | 0.7% |
| 深膚色女性 | 34.7% | 20.8% |
最差的錯誤率出現在深膚色女性身上,其中一個系統的誤分類比例超過三分之一。這種交織性模式(種族 x 性別)在所有受測系統中皆一致。
誤捕
多起基於臉部辨識誤識別所致的誤捕案例皆有案可查:
| 案件 | 年份 | 細節 |
|---|---|---|
| Robert Williams(底特律) | 2020 | 因錯誤的臉部辨識匹配而在自家當著家人面前被捕。被拘留 30 小時。系統將他與一名扒竊嫌犯匹配;Williams 並未涉案 |
| Michael Oliver(底特律) | 2019 | 在一起重罪案件中被錯誤匹配為嫌犯。經進一步調查後,最終撤銷指控 |
| Nijeer Parks(新澤西州) | 2019 | 因錯誤的臉部辨識匹配被捕並坐牢 10 天。實際嫌犯與 Parks 長相完全不同 |
| Randal Reid(喬治亞州) | 2022 | 因臉部辨識誤識別,被指控未犯下的偷竊案,在離家 600 英里處被捕 |
在所有有案可查的誤捕案件中,遭誤識別者皆為黑人。這與 Gender Shades 研究及後續研究所記錄的、深膚色個體較高的錯誤率一致。
對臉部辨識的對抗性攻擊
除了準確度偏見,臉部辨識系統也容易受到刻意的對抗性攻擊:
攻擊類別
| 攻擊類型 | 方法 | 目的 |
|---|---|---|
| 欺騙(呈現攻擊) | 照片、影片、3D 面具、深偽 | 冒充他人以取得存取權限 |
| 規避(對抗性樣本) | 對抗性眼鏡、化妝圖樣、紅外 LED | 避免被偵測或造成誤識別 |
| 樣板投毒 | 在資料庫中破壞已註冊的臉部樣板 | 造成特定不匹配或致使未授權存取 |
| 模型萃取 | 對系統查詢以反向工程其模型 | 啟用更具針對性的對抗性攻擊 |
重要研究
- 對抗性眼鏡 (2016)。 Sharif 等人示範了印有圖樣的眼鏡框可使商用臉部辨識將佩戴者誤識別為他人。
- 對抗性化妝 (2019)。 研究人員展示特定化妝圖樣可完全規避臉部偵測,使佩戴者對相機「隱形」。
- 紅外 LED 規避 (2018)。 嵌入帽子中的紅外 LED 投射出人眼看不見但相機可見的光點,干擾臉部偵測。
隱私與監控疑慮
大規模監控部署
| 部署 | 已識別的問題 |
|---|---|
| Clearview AI | 未經同意從社群媒體爬取數十億張照片。被全球執法機構使用。受到多起訴訟與監管行動 |
| 倫敦警察廳 | 在公共活動部署即時臉部辨識,初步通報的誤報率為 96% |
| 中國監控網路 | 大規模臉部辨識與社會信用系統連結。有案可查地針對維吾爾少數民族 |
| 美國海關與邊境保護局 | 機場與邊境的臉部辨識存在有案可查的準確度落差 |
同意與資料保護
臉部辨識引發關於同意與資料保護的根本問題:
- 生物識別資料不可撤銷。 與密碼不同,如果你的生物識別資料被外洩,你無法更換你的臉。
- 退出選項往往不存在。 在公共監控部署中,個人無法選擇不被掃描。
- 訓練資料來源。 許多系統使用未經被攝者知情或同意,從網路爬取的照片進行訓練。
對臉部辨識進行紅隊演練
測試框架
| 測試類別 | 測試內容 | 為何重要 |
|---|---|---|
| 人口統計準確度 | 跨種族、性別、年齡與膚色的錯誤率 | 識別可能導致歧視結果的偏見 |
| 呈現攻擊偵測 | 照片、影片、面具、深偽 | 測試對冒充攻擊的抵抗力 |
| 對抗性穩健性 | 對抗性貼片、眼鏡、化妝 | 測試對規避攻擊的抵抗力 |
| 環境穩健性 | 光線、角度、距離、遮擋 | 測試現實條件下的可靠性 |
| 隱私合規 | 資料保留、同意機制、退出選項 | 測試是否符合隱私法規 |
| 整合安全 | API 安全、結果處理、誤匹配程序 | 測試更廣泛系統的安全性 |
人口統計測試協定
# 最低人口統計測試矩陣
demographic_categories = {
"skin_tone": ["Fitzpatrick I-II", "Fitzpatrick III-IV", "Fitzpatrick V-VI"],
"gender_presentation": ["masculine", "feminine", "ambiguous"],
"age_group": ["18-30", "31-50", "51-70", "70+"],
"occlusion": ["none", "glasses", "mask", "hat"],
}
# 對每個組合測量:
# - 真陽率(正確匹配)
# - 偽陽率(不正確匹配)
# - 偽陰率(漏匹配)
# - 信心分數與分佈
# 標記任何符合下列條件之組合:
# - 錯誤率超過表現最佳群體的 2 倍
# - 偽陽率超過 1%
# - 信心校準在群體間不一致法規環境
| 司法管轄區 | 狀況 |
|---|---|
| EU AI Act | 公共場域的臉部辨識依使用情境被歸類為高風險或禁止 |
| 美國(聯邦) | 尚無全面性聯邦法規。數個城市已禁止政府使用臉部辨識 |
| 美國(州) | 伊利諾州 BIPA 要求蒐集生物識別資料須取得同意。數個州有類似法律 |
| 中國 | 大規模部署,法規限制有限 |
| 加拿大 | 隱私委員裁定 Clearview AI 的作法為非法 |
相關主題
- Domain-Specific AI Security - 跨領域安全模式
- AI Hiring Bias - 另一個高衝擊 AI 領域的偏見
- Deepfakes - 具有相似對抗性意涵的相關技術
- Ethics & Responsible Disclosure - 測試生物辨識系統時的倫理義務
參考資料
- "Gender Shades: Intersectional Accuracy Disparities in Commercial Gender Classification" - Buolamwini & Gebru (2018) - 記錄臉部辨識中種族與性別偏見的奠基研究
- "Accessorize to a Crime: Real and Stealthy Attacks on State-of-the-Art Face Recognition" - Sharif et al. (2016) - 使用印製眼鏡對臉部辨識進行的實體對抗性攻擊
- "The Perpetual Line-Up: Unregulated Police Face Recognition in America" - Georgetown Law Center (2016) - 對執法機關使用臉部辨識與錯誤率的分析
- "Wrongful Arrests Based on Facial Recognition" - ACLU (2023) - 因臉部辨識誤識別造成誤捕的文件記錄
Knowledge Check
為什麼 Gender Shades 研究發現深膚色女性的錯誤率最高?