2元钱能买上千张人脸照片 刷脸时代人脸信息安全吗？

刷脸时代我们的个人隐私或财产安全吗？专家解读→

购物时“刷脸”支付、用手机时“刷脸”解锁，进小区时“刷脸”开门，坐高铁时“刷脸”进站……如今，越来越多的事情可以“刷脸”，也就是用人脸识别技术来解决。

近日，由全国信息安全标准化技术委员会等机构成立的App专项治理工作组，发布了一份《人脸识别应用公众调研报告(2020)》。

报告显示，有九成以上的受访者都使用过人脸识别，具体用途当中“刷脸支付”最为普及。不过有六成受访者认为人脸识别技术有滥用趋势，还有三成受访者表示，已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。

正如调查显示，越来越多的人开始接受并使用人脸识别，但同时也在担心，四处“刷脸”会不会造成个人信息泄露。“刷脸”时代，我们的人脸信息安全吗？

对于人脸识别，多数人是又爱又恨，爱的是它的方便快捷，而恨的当然就是安全风险。

今年8月13日，杭州钱塘新区公安部门抓获两名犯罪嫌疑人，他们在多个网络平台盗取了数千条个人信息准备倒卖。而今年年初，浙江衢州也破获了一起盗用公民个人信息案，犯罪嫌疑人使用盗取的信息注册某金融平台账号，非法获利数万元。值得注意的是，这两起案件的犯罪嫌疑人都是利用“AI换脸技术”非法获取公民照片进行一定预处理，而后再通过“照片活化”软件生成动态视频，骗过了人脸核验机制，得以实施犯罪的。

明明不是自己的脸，也能通过人脸识别吗？以使用率较高的人脸识别解锁手机为例，科研人员用面具代替人脸，进行了测试。

测试中，科研人员先将手机放置在一个三脚架上，再在手机对面放上面具，然后进行光线、色温以及角度的调节，通过几次比对，手机被成功解锁了。这代表手机将面具识别成了人脸。专家表示，这款面具的制作成本并不高，只要不是在极暗或极亮的背景下，通过面具或头套进行人脸识别的成功率高达3成。

中国科协“源新闻”专家库成员 中国信息通信研究院科研工程师 王嘉义：3D打印就可以制作出来一个精度尚可的一个人脸面具，头套也是同样的制作原理。

专家表示，目前最简单的人脸识别，只需要采集、提取人脸上的六个或八个特征点就能实现。而复杂的人脸识别，则需要采集、提取人脸上的数十个乃至上百个特征点才能实现。相比于解锁手机，“刷脸”支付、“刷脸”进小区等应用，采集的人脸特征点更多，安全性自然也更高。

目前已经研发出了专门针对生物特征的活体检测技术，可有效识别扫描对象的生命体征，大大降低了识别系统把照片或面具当人脸的风险。

中国科协“源新闻”专家库成员 中科院自动化所研究员 张兆翔：比如说我们很多时候在传感器当中用到的近红外的摄像头，近红外摄像头一方面可以采集人脸当中的信息，另一方面也可以采集人脸的温度，包括它随着温度的变化所带来的一系列的这个变化。这些变化的信息是可以帮助我们去判断这张人脸究竟是一张照片，是一个视频，还是一个真正的活生生的真实的人脸。

活体人脸检测技术主要集中在人脸细微动作、3D人脸重建、红外人脸检测三领域。而更多的活体生物识别技术也在不断拓展。在中科院自动化研究所，张兆翔研究员现场为我们演示了“视频心率检测系统”，该系统可通过人脸识别技术锁定皮肤区域，提取人体生理脉搏信号，经过多种滤波处理从而得到心率。

中国科协“源新闻”专家库成员 中科院自动化所研究员 张兆翔：比如我们可以根据人脸的肤色，随着心跳的血流变化的规律，从当中抽取微弱的信号，这种微弱的信号可以去估算这个人的心跳是怎样。这个技术在整个人脸识别系统中，还可以用于活体的检测，如果是一个照片我们是估算不出心跳的，而只有真实的人脸才能估算出心跳，这个也可以帮助我们去提升人脸识别技术的安全性。

在专家看来，当下人脸识别技术的风险点，更多集中在存储环节。那么我们的人脸信息被采集之后，究竟保存在了什么地方呢？

专家介绍，由于人脸识别应用五花八门，也没有统一的行业标准，大量的人脸数据都被存储在各应用运营方或是技术提供方的中心化数据库中。数据是否脱敏、安全是否到位、哪些用于算法训练、哪些会被合作方分享，外界一概不得而知。而且，一旦服务器被入侵，高度敏感的人脸数据就会面临泄露风险。

为了封堵这个漏洞，专家提出了分层授权、分布式存储的数据脱敏和加密方式。

中国科协“源新闻”专家库成员 中科院自动化所研究员 张兆翔：人脸识别从一张人脸的这个原始的图象，到它整个信息抽取的过程，在这个过程当中我们可以分层级把不同的一个阶段，分配使用在不同的使用者的手上。在一个脱敏的数据，或者是脱去它的本身的一个ID信息的情况下面，去进行一系列的人脸识别的服务的提供。

专家进一步指出，人脸数据存储应该建立更严格的标准和规范，技术开发方、App运营方不能成为各自为战的数据孤岛，只求技术更迭，忽视隐私风险，而是应该在更趋严格的监管，以及法律和行业规范下采集、使用、存储数据。

中国科协“源新闻”专家库成员 中科院自动化所研究员 张兆翔：其实从安全性的角度来说，我们迫切需要行业能够提供一套标准，使得我们能够有一个规范去遵循，这样可以有效防止这种人脸这样一个敏感的身份数据的一个泄露情况。

越来越多的人在越来越多的场合使用人脸识别，想象一下，当这些汇聚在一起，是多么海量的人脸信息。那这些人脸信息又被用来做什么了呢？部分技术开发商或App运营商的确存在信息泄露的问题，造成有人脸信息被滥用，甚至形成了黑色产业链。

记者调查发现，在某些网络交易平台上，只要花2元钱就能买到上千张人脸照片，而5000多张人脸照片标价还不到10元。浏览商家的素材库，里面全都是真人生活照、自拍照等充满个人隐私内容的照片。当记者询问客服，这些图片是否涉及版权时，客服矢口否认，但却提供不了任何可以证明照片版权的材料。可以想象，这些包含个人信息的人脸照片如果落入不法分子手中，那么照片主人除了有可能遭遇精准诈骗，蒙受财产损失之外，甚至还有可能因自己的人脸信息被用于洗钱、涉黑等违法犯罪活动，而卷入刑事诉讼。对此倒卖人脸信息的违法行为，相关部门也在不断加大打击力度。

减少信息泄露，需要人脸识别技术不断升级，而技术升级如何实现呢？这就要说到海量人脸信息的另一个用处了。

专家表示，人脸识别技术的发展，不仅需要不断优化算法，更需要海量的人脸数据用于训练和测试。而在用户授权的情况下，绝大多数的人脸数据，都被技术提供方用来进行系统锤炼了。且用于锤炼系统的人脸数据都是已经被脱敏处理过的大数据，不再带有个人信息，直接或间接都无法识别对应到自然人的身上。

除了技术的不断提升，破除人脸识别领域的风险，相关法律法规的出台更加必不可少。

针对人脸信息被滥用、盗用、随意采集的现象，法律专家朱巍指出，《网络安全法》明确将个人生物识别信息纳入个人信息范围，我国《民法典》规定，收集、处理自然人个人信息的，应当遵循合法、正当、必要原则，征得该自然人或其监护人同意。且被采用者同意后还有权撤回。

中国科协“源新闻”专家库成员 中国政法大学传播法研究中心副主任 朱巍：从2012年12月28日，全国人大常委会通过了关于加强网络信息保护决定开始，就提到了一个重要的原则，就是合法性，正当性和必要性原则，这是个人信息采集和使用处理的一个最基本的叫九字原则。同时还有告知，比如说我去了一个场所，别人采集我的信息我完全不知道，不知情这不行。必须要事先告知，而且要征求个人的同意，包括使用目的、采集方式、保存的期限等等。第二个，如果我开始同意，我也允许他处理我的个人信息，但是我事后后悔了，这个在个人信息保护法草案中叫撤回同意，我撤回了。这个权力是交到被搜集的，我们个人手中的，既可以同意、可以授权，当然也可以拒绝、可以撤回。

目前，《中华人民共和国个人信息保护法(草案)》正在面向社会公开征求意见。

草案提出，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。

有专业数据显示，到2022年，全球人脸识别市场规模将达75.95亿美元，约合508亿人民币。而在我国，截至今年10月14日，人脸识别相关企业已经突破1万家，预计到2024年市场规模将突破100亿元。如今人脸识别已在金融、教育、交通、政务、医疗等领域得到了深化应用，相信随着技术水平的不断提高以及相关行业规范、法律法规的健全，人脸识别会不仅更便捷，而且更安全。