旷视科技IPO首轮问询 AI企业或面临数据合规挑战

5月28日晚间，旷视科技披露了科创板首轮共计560页的问询答复，其中涉及到了数据合规及科技伦理方面的问题。

上交所要求旷视科技说明其技术、业务及产品（或服务）中涉及到数据采集、清洗、管理、运用的具体环节，以及不同环节涉及的数据的具体类型，文字、图像、视频等具体情况；相关数据来源和合规性；保证数据采集、清洗、管理、运用等各方面的合规措施；以及至今面临的数据合规方面的诉讼或纠纷等。

这是旷视科技第二次冲击上市，而其IPO的曲折之路或也与其面临的个人数据及隐私安全性问题有关。

就在旷视科技科创板IPO获上交所受理3天后，“315晚会”揭露商户违规采集人脸，引发社会对人脸识别滥用的担忧。此前，因被指通过视频监控识别学生的一举一动侵犯隐私，以及李开复“口误”事件，旷视科技两度受到公众质疑。

近年来，全球人工智能市场规模持续增长，独角兽企业们曾借此东风崭露头角。但浪潮过后的落地应用让不少公司栽了跟头。随着滥用人脸识别的安全隐忧日渐凸显，企业面临的监管与合规挑战也将紧随而至。

首轮问询关注数据合规

旷视科技全名北京旷视科技有限公司，创立于2011年，以人脸识别、物品识别检测为大众所知。在国内计算机视觉领域，与商汤科技、依图科技、云从科技并称“AI四小龙”。据IDC统计，旷视科技在2019年中国计算机视觉应用市场份额中占15.2%，仅次于商汤科技排名第二。

5月28日晚间，旷视科技披露了科创板首轮共计560页的问询答复，其中涉及到了数据合规及科技伦理方面的问题。

根据招股说明书，旷视科技的人工智能核心技术中包括系统层及算法层，涉及数据的处理、清洗和管理能力，算力的共享、调度和分布式能力，以及算法的训练、推理及部署能力。

因此，上交所要求旷视科技说明其技术、业务及产品（或服务）中涉及到数据采集、清洗、管理、运用的具体环节，以及不同环节涉及的数据的具体类型，文字、图像、视频等具体情况；相关数据来源和合规性；保证数据采集、清洗、管理、运用等各方面的合规措施；产品（或服务）中涉及到用户的个人数据的情形和场景，该等数据的运用、管理及其合规性；以及至今面临的数据合规方面的诉讼或纠纷等。

值得注意的是，在回复中，旷视科技对此前一篇揭露售楼处人脸识别的新闻报道作出了回应，该报道曾引发社会对规范人脸识别用途的大规模讨论。

报道指出，各地有多家房企售楼处安装了由旷视科技生产的摄像头，对来访人员进行人脸识别和“无感”抓拍，以区分客户来源并给予不同的优惠政策。

但旷视科技否认了曾有过数据合规方面的诉讼或纠纷。针对该报道，旷视科技称其仅为产品提供方，并非相关个人信息的收集者和使用者。公司既未参与该等人脸识别系统的设计与开发，也无法接触、处理（亦从未接触和处理）相关数据。且公司与前述某第三方签订的合作协议中已明确要求，该等第三方及其客户应“以合法方式使用产品”（包括但不限于已获得被收集个人信息主体的明示同意等），不以任何违反法律或侵犯第三方合法权利的方式使用旷视产品。

因此，旷视科技认为，报道中作为所涉人脸识别系统的搭建者、控制者的企业，才应自行对其相关行为负责。

曲折上市之路

旷视科技的IPO之旅从2019年8月25日开始，公司第一次向港交所递交了招股书。

一个多月后，美国商务部将包括旷视科技在内的28家中国企业列入出口管制“实体清单”。

旷视科技最终未于上市申请材料有效期内完成港股发行上市，并在2020年5月改道内地A股上市。

旷视科技IPO的曲折之路或也与其面临的个人数据及隐私安全性问题有关。

3月12日，旷视科技科创板IPO获上交所受理。3天后，“315晚会”揭露科勒卫浴、宝马4S店等商户违规采集人脸，将公众的目光聚焦于人脸识别滥用风险之上。

在旷视科技的招股书中，列举了几十项捕捉、检测、识别人脸的专利，但对于外界关注的如何保障人脸识别数据采集处理安全等问题，并未给出正面的回应。旷视科技表示，其正斥资200万研发人工智能安全与伦理研究中心项目，将“建立一套相关的AI数据安全与隐私保护机制，有效解决数据安全和个人隐私问题”。

同时其提醒，尽管公司在不断强化信息系统的安全建设，但仍可能因为遭到恶意软件、病毒、大规模黑客的攻击，或由于员工的管理与处置不当等造成信息泄露、损失。

这也许是在后续的问询中，上交所要求旷视科技针对数据合规方面做出充分合理答复的原因之一。

事实上，旷视科技的用户隐私危机在几年前就已初现端倪。2019年9月，一张带有“MEGVII旷视”图标、视频监控学生课堂一举一动的图像被指侵犯隐私。图片显示，该技术能针对学生的面部特征进行分析，识别举手、玩手机、睡觉、听讲、阅读等行为。旷视科技回应称，网传图片仅为技术场景化概念演示，其面向校园的产品主要用于保障学生安全。

2020年9月，创新工场董事长兼CEO李开复的一句“曾帮助旷视科技公司找了包括美图和蚂蚁金服等合作伙伴拿到人脸数据”，再次捅了马蜂窝。尽管李开复当即向三家公司道歉，澄清系自己口误；蚂蚁集团官方发声，从未提供任何人脸数据给旷视科技；旷视科技也表示，不掌握也不会主动收集终端用户的任何个人信息，但公众的不信任感已进一步加剧。

监管与合规的挑战

近年来，中国人工智能市场规模持续增长。

据IDC数据，2019年中国人工智能软件及应用市场规模达28.9亿美元，包括硬件在内，整体市场规模将达到60亿美元。到2024年，中国人工智能软件及应用市场规模将达到127.5亿美元，2018-2024年复合增长率达39.0%。其中，计算机视觉是中国人工智能市场的重要构成部分。2019 年全年中国计算机视觉应用市场超14.5亿美元。

“AI四小龙”等独角兽企业曾借此东风崭露头角，经过前期的概念炒作、技术积累、投融资热潮，于2020年前后步入深水区。

然而，过去“赶集上市”的人工智能企业却纷纷折戟IPO。除了旷视科技和云从科技，后者此前因“发行上市申请文件中记载的财务资料已过有效期”而中止审核，直到6月2日恢复，目前审核状态为“已问询”。商汤科技还没有披露上市计划，依图科技于3月11日突然主动申请中止IPO，云知声、禾赛科技等企业则已终止上市。

随着滥用人脸识别的安全隐忧日渐凸显，企业面临的监管与合规挑战也将紧随而至。

在国家层面，市场监管总局发布的《个人信息安全规范》早已明确规定，人脸信息属于个人生物识别信息，也属于个人敏感信息，收集人脸信息时应获得个人信息主体的授权同意。尚处于审议阶段的《个人信息保护法》草案第27条也对人脸识别有专门的规定，要求在公共场所安装图像采集、个人身份识别设备，应当取得个人单独同意或者法律、行政法规另有规定的除外。

4月23日，《信息安全技术人脸识别数据安全要求》国家标准（以下简称“国标”）的征求意见稿出台，指出收集人脸识别数据时应征得明示同意，不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。

此外，在公共场合收集人脸识别数据时，国标要求设置数据主体主动配合（指要求数据主体直视收集设备并做出特定姿势、表情，或者通过标注“人脸识别”的专用收集通道等）人脸识别的机制。如果开发商希望存储人脸图像，则要经过数据主体单独书面授权同意。这些规定的出台，都将防范人脸数据在不知情的时候被收集，保障数据主体的知情同意权。

多地亦各自规范在售楼处、商场、小区物业管理等场景下的人脸识别应用。

4月26日被提请审议的《杭州市物业管理条例（修订草案）》拟规定，物业服务人员不得强制业主通过指纹、人脸识别等生物识别信息方式使用共用设施设备，以保障业主对共用设施设备的正常使用权。

3月12日，为防止公共场所监控图像的不当采集而严重侵犯个人隐私，《深圳经济特区公共安全视频图像信息系统管理条例（草案）》公开征求意见，限制了安装公共安全视频图像信息系统的范围，并且规定任何单位和个人不得利用采获的信息非法进行基于人像、人体及车牌等敏感信息的个人身份识别；要求人像、人体及车牌等敏感视频图像信息用于公共传播时，除法律、法规另有规定外，应当对涉及当事人个体特征、机动车号牌等隐私信息采取使特定个体无法被识别，且不能复原的保护性措施。