刷臉時(shí)代 誰(shuí)來(lái)保護我的“人臉信息”

中國青年報2019年10月10日訊 眨一眨眼睛手機就能解鎖，刷臉能直接通過(guò)機場(chǎng)安檢……當人們盡享技術(shù)給生活帶來(lái)便捷的同時(shí)，與之相伴而來(lái)的，還有各種想象不到的陷阱。

近日有媒體報道，有商家在網(wǎng)絡(luò )商城上公開(kāi)兜售“人臉數據”。這17萬(wàn)條數據背后，是2000張臉，他們的主人有明星、普通市民，還有部分未成年人。而被采訪(fǎng)的當事人表示，自己不僅對自己的“人臉數據”被出售毫不知情，甚至連自己的面部數據是什么時(shí)候被采集的都不清楚。這些數據包括帶人臉的位置信息，以及人臉的106處關(guān)鍵點(diǎn)，如眼睛、耳朵、鼻子等輪廓信息。

售賣(mài)這些“人臉數據”的店家，是一位從事人工智能相關(guān)工作的技術(shù)人員，收集了大量人臉數據，自稱(chēng)出售信息只是為了“掙個(gè)飯錢(qián)”，并不提供當事人的人名和身份證號等信息。

盡管該商品被舉報后下架，但該事件卻把一直以來(lái)被忽略的人臉信息的數據安全問(wèn)題擺到了人們面前。特別是近日來(lái)在社交軟件中一度風(fēng)靡的換臉游戲，讓人們忽然驚覺(jué)：假如我的臉被“賣(mài)”了怎么辦？密碼被盜可以換，可我去哪兒換一張臉？

我的臉能證明“我是我”嗎？

與指紋、虹膜、DNA一樣，人臉識別是基于人臉部特征進(jìn)行身份識別的一種生物識別技術(shù)，被認為可以非常便捷地證明“我是我”。事實(shí)上在人們習慣使用人臉識別解鎖手機之前，那些立在路邊的監控攝像頭，藏在手機里的美圖軟件、猜年齡軟件等，都在應用著(zhù)面部信息識別的技術(shù)。

從技術(shù)操作的流程來(lái)說(shuō)，人臉識別技術(shù)大致需要通過(guò)采集、定位、匹配與識別等幾大步驟來(lái)完成，而它的背后需要有龐大的數據庫和精密的電腦計算。

值得注意的是，人臉信息又不同于密碼和指紋，它的搜集過(guò)程可以是不被察覺(jué)的，被識別者可能在沒(méi)有意識或沒(méi)有直接接觸時(shí)，就被采集信息。很多時(shí)候人們在“被刷臉”，而自己卻連說(shuō)“不”的機會(huì )都沒(méi)有。你走在路上、坐在地鐵里，臉部信息可能就在不知不覺(jué)中被搜集走了，可你卻絲毫意識不到。

當然，目前已經(jīng)證明，人臉識別技術(shù)用于抓捕危險逃犯、查獲拐賣(mài)人口以及確認交通肇事逃逸者等維護社會(huì )治安穩定的領(lǐng)域，表現出精準高效的優(yōu)勢。很多人認為，“只要我不做違法違規的壞事，我的信息被采集也無(wú)所謂?！?/p>

“人臉識別技術(shù)并沒(méi)有人們想象得那么安全?！敝袊鴪D象圖形學(xué)學(xué)會(huì )可視化與可視分析專(zhuān)委會(huì )秘書(shū)長(cháng)、天津大學(xué)軟件工程專(zhuān)業(yè)教授張加萬(wàn)表示，人臉識別技術(shù)近年來(lái)發(fā)展非常迅猛，很多高校和科研機構都在從事相關(guān)研究?，F在，專(zhuān)業(yè)技術(shù)人員可以用技術(shù)手段合成二維、三維照片，輕松欺騙電腦系統，讓大家相信，那個(gè)并不是“我”的人，就是“我”。

這是智能技術(shù)帶來(lái)的安全隱患，即使人臉識別中的活體檢測技術(shù)，也并非銅墻鐵壁般牢靠，“一旦被破解，整個(gè)面部識別也就形同虛設了?！?/p>

技術(shù)遠遠“跑”在監管前面

電影《碟中諜4》里有一個(gè)令人印象深刻的場(chǎng)景：男主角湯姆·克魯斯戴著(zhù)神奇的“眼鏡”，在人頭攢動(dòng)的火車(chē)站行走，一眨眼的工夫已經(jīng)被認出，隨即被特工盯梢。迎面走來(lái)美女殺手，手機發(fā)出滴滴的報警聲，上面已經(jīng)顯示出對方完整的姓名和信息……

如今電影里的設想已經(jīng)出現在我們真實(shí)的生活中。上述報道中，盡管兜售臉部信息的賣(mài)家稱(chēng)，自己并未出售相關(guān)的個(gè)人身份證等信息，但張加萬(wàn)認為，這依舊存在著(zhù)很大的個(gè)人信息泄漏的風(fēng)險。

通過(guò)不同數據庫的交叉比對，很容易證明一個(gè)人的身份。他舉例說(shuō)，比如一個(gè)人留的快遞收件人姓名是假名，但他的住址信息在其他數據庫中依然有其真實(shí)身份信息，只需要幾個(gè)數據庫進(jìn)行比對，則很容易找到兩個(gè)名字之間的關(guān)聯(lián)。有了人臉信息，可以實(shí)現實(shí)時(shí)換臉，直接解鎖手機、打開(kāi)門(mén)禁、刷臉支付，倘若再配合音頻仿真技術(shù)，則更具有迷惑性，可能產(chǎn)生一系列的安全問(wèn)題。

對于人臉識別技術(shù)的運用，國際社會(huì )早已有所討論。2013年聯(lián)合國大會(huì )通過(guò)決議——“數字時(shí)代的隱私權”。其中強調，“盡管對公共安全的關(guān)注可說(shuō)明收集和保護某些敏感信息的合理性”，但各國政府需充分遵守其按照國際人權法所承擔的義務(wù)，各國應“設立或維護現有的獨立有效的國內監督機制，使其能夠確保國家通信監控、通信截獲以及個(gè)人數據收集工作具備適當的透明度并接受問(wèn)責”。

不久前，科技巨頭聚集地——美國舊金山通過(guò)法案，成為美國第一個(gè)禁止警察和當地政府機構使用人臉識別的大城市。這個(gè)法案也引起了不少爭議，反對者認為，不應該完全禁用，而應該對如何使用這項技術(shù)進(jìn)行更細致、更全面的規范。

技術(shù)顯然遠遠“跑”在了監管的前面。目前在大部分國家，仍然沒(méi)有關(guān)于人臉識別技術(shù)及其數據使用的相關(guān)立法，人們不知道這些屬于自己的數據信息被收集到哪里，又將被如何使用。即使對從事人臉識別技術(shù)的研究人員，也看不清其未來(lái)發(fā)展將走向何方。正如人們往往只看得見(jiàn)浮現于大海中的部分冰山，而隱藏在海面以下的才是更巨大的冰山。

加強人臉特征信息全鏈條防護

“技術(shù)是一把雙刃劍?！敝袊嗌倌昕萍驾o導員協(xié)會(huì )人工智能教育專(zhuān)委會(huì )一位委員在接受采訪(fǎng)時(shí)表示，一些隱藏的安全隱患也可能來(lái)自誤操作等其他原因。比如智能攝像頭將數據向云端上傳時(shí)需要網(wǎng)絡(luò )傳輸，這個(gè)過(guò)程可能會(huì )出現數據泄露；也有可能數據管理者與一些不具備足夠服務(wù)能力的第三方合作出現安全漏洞。當然也不排除一些人為的因素，都可能會(huì )導致人臉數據的泄漏。

9月20日舉辦的金融網(wǎng)絡(luò )安全論壇上，央行科技司司長(cháng)李偉表示，在網(wǎng)絡(luò )空間僅依靠人臉等單一特征進(jìn)行金融交易驗證，存在嚴重交易隱患。金融機構在相關(guān)交易時(shí)，人臉數據采集應提前告知用戶(hù)信息使用的方式，明確獲得客戶(hù)授權。

張加萬(wàn)也提醒，現在對于人臉數據的科普還遠遠不能讓人們充分意識到其隱藏的風(fēng)險，“很多客戶(hù)根本看不懂那些授權文件里的內容代表哪些具體內涵，但為了使用那些服務(wù)，還是同意了授權?！?/p>

“不要簡(jiǎn)單地將人臉特征作為唯一的交易驗證因素，須根據風(fēng)險等級結合用戶(hù)口令等其他因素進(jìn)行多因素認證?！崩顐ケ硎?，人臉屬于弱隱私生物特征，信息誤用風(fēng)險比較大。部分機構高估了弱隱私特征的識別作用，在網(wǎng)絡(luò )空間僅依靠單一特征進(jìn)行金融交易驗證，存在嚴重隱患。這是一個(gè)需要引起注意的問(wèn)題，張加萬(wàn)也在各種場(chǎng)合呼吁，在技術(shù)仍存在風(fēng)險的時(shí)候，別太急于廣泛應用于各種商業(yè)領(lǐng)域。

從與老百姓錢(qián)袋子直接相關(guān)的人臉識別支付應用角度，李偉認為目前線(xiàn)下應用風(fēng)險相對可控，但也應遵循“用戶(hù)授權、最小夠用”“表達意愿、多重認證”以及“風(fēng)險補償、全程防護”原則。他建議要主動(dòng)建立健全風(fēng)險賠付資金、保險計劃、應急處置等風(fēng)險補償機制，綜合運用多種信息技術(shù)，加強人臉特征信息端到端的全鏈條安全防護。（記者胡春艷）