你被偷脸了！

fxiaog 2021-04-29

展开全文

假如有一天，你在别人的电脑上发现了自己的脸，怎么办？

此前，科勒卫浴在全国上千家门店安装了具有人脸识别功能的摄像头，所到之处，人脸识别信息均被偷偷获取，没有一个商家明确告知用户，更别说是征得用户同意。只要消费者进了其中一家店，在不知情的情况下，就会被摄像头抓取并自动生成编号，以后顾客再去哪家店，去了几次，科勒卫浴都会知道。

媒体也曾曝光2元便可以在交易网站上购买上千张人脸照片事件，人脸识别后的“人脸”去向不明，管理不当，使得照片灰色产业在角落滋生。

人脸信息属于个人独有的生物识别信息，一旦泄露，将严重威胁用户的财产安全、隐私安全等。那么，人脸识别到底存在什么样的隐患呢？

人脸识别缺陷

1.“拒识率”和“误识率”相冲，系统悖论难调

与数字密码的完全吻合和指纹识别的独一无二相比，人脸识别系统将解密逻辑转为概率问题，因为光线、化妆、老化戴眼镜等变化，人的面部信息也会有变化，所采集的信息也容易有误差。考虑到这点，专家在系统中存在拒识率和误识率两个指标设计，简而言之，误识率是认错人的概率，拒识率是不认对的人的概率。

这两个指标是相悖的，很难同步降低，在误识率极小的时候，拒识率极大，也就是为了不认错人，熟人一旦少量改变外貌就不能成功通过人脸识别技术，反之亦然，怕错过熟人可能错认生人。

这个天生的系统性悖论，如果是存在单个人身上，那么是个极小的概率，但是在人脸技术广泛使用的环境下，数据基数骤然变大，即使极小的概率也容易在十几亿人口中国也能找到很多相似的人通过人脸识别系统。比如银行账户中的人脸识别就存在很大问题，中国10亿多人，百万分之一的概率意味着每一个个体背后有其他1000个不同的相似个体重复，而随着人脸识别的普及，重复带来的隐患将会在不久后上演，所以我们也经常看到网友调侃“如果遇到双胞胎怎么办？”的言论，这其中也有一定道理。

2.人脸信息具有非接触性和非强制性

和指纹相比，人脸识别技术的风险更突出，因为它具有非接触性和非强制性，不需要和设备直接接触就能获取人脸图像，且不需要对象的配合，这在识别犯罪活动时有极大的好处，但是一应用到现实生活中，就存在非本人意愿强制获取人脸信息的越界行为，面部数据随时被记录保存使用，而本人却一无所知。

近日，房地产行业就闹出看房者戴头盔看房的笑话，起因正是售楼处为节省销售成本，在未经消费者同意的前提下安装摄像头摄取人脸信息，南都记者亲自实验也惊叹售楼人脸识别系统的精确度——即使徘徊在门口，戴着口罩也能准确识别记者的人脸信息。

人脸识别系统抓拍到记者在售楼处外张望。图自AI前哨战

3.人脸识别信息不可撤销性

如果是数字密码，当发现有泄露风险时，可以随时更换和重置，但生物特征，比如脸部信息，轻易更换不了，而人脸识别技术也并非不能够攻克小修小整后的面部信息识别。

在2018年国家网络安全周宣传论坛上，倪光南院士表示：“现在不少应用通过人脸识别、指纹识别非常方便，但是这些生物特征是不可重建、不可撤销的，所以需要很慎重地应用，防止泄露。假如在应用过程中泄露，是不可挽回的。”

（图片来自网络）

你的脸值多少钱？

1.轻松破解的人脸识别技术

早在去年就有丰巢智能柜能用打印照片代替真人刷脸的新闻，今年又有媒体曝出杭州有两名犯罪嫌疑人在多个网络平台上盗取数千条个人信息准备倒卖，一套人脸和身份证照片打包价2.5元。犯罪分子利用“AI换脸技术”非法获取公民照片进行一定的预处理，而后再通过“照片活化”软件生成动态视频，眨眨眼点个头就能轻松骗过人脸识别机器，从而进行犯罪行为。

有专家做了个实验，利用3D打印技术制作出精度尚可的人脸面具，几次尝试后，通过了某品牌手机的人脸识别系统。而专家表示，这款面具的制作成本也不算高。他还同时提到，人脸识别技术并不复杂，最简单的人脸识别，只需要采集、提取人脸上的6个或8个特征点就能实现，而复杂的，最多需要采集百来个特征点。

（图片来自网络）

人脸识别技术以人脸为“密码”，但很显然，从上述事件中看出这样的”密码“安全性并不高，由于成本原因，目前市面上使用的人脸识别系统大多并非3D结构光活体检测，而是2D静态检测或者加上动作验证，大部分人脸识别技术还停留在初级阶段，可以轻易被仿造。

张捷教授还表示生命体的仿造不仅仅停留在物理上的相似，更重要的是生物特征信息的仿真更多仿的是你的电子信号：”识别了你身体特征的电子信号是可以网络仿真的，因为这些生物识别信息需要在网络上传播的，只要你传播，就可被截取和仿真，生物特征的规律是自然规律大家都知道的。“这不得不让人开始担忧自己的个人信息已经赤裸裸的暴露在阳光下。

2.”过脸“产业链的源头——信息泄露

人脸技术的普及让犯罪分子再一次把焦点瞄向了人们的“脸”，近日央视爆出一则2元钱就能买到上千张人脸照片的新闻，该灰色产业被称为“过脸”产业，业内称帮无法完成账号实名认证的人群完成实名认证获取收益，实则是盗取他人面部信息牟取不正当利益。现在，这个产业已经形成了完整的运作体系，根据公众号“永安在线反欺诈”的披露，这个链条由“身份证资源商”、“过脸工作室”和“需求人群”组成，三者间利益环环相扣。

（图片来自网络）

而黑灰色产业链的源头在于——人脸信息的泄露。

2019年2月15日，深网视界公司（主营业务为人脸识别、AI和安防）被曝发生大规模数据泄露，致使256万人的个人信息能够不受限制地被访问，其中包含身份证号码、身份证发行日期、性别、国家、住址、生日、照片和过去24小时的位置，大约有668万条记录。

在《公众调研报告》中，超过三成受访者表示因为人脸信息泄露遭到利益侵害。而在11月中旬，网友“爱码字的朱阿”在网络上披露自己被电信诈骗的全过程，诈骗金额超过53万，巨大的金额损失让她的生活一下子跌到低谷。她反思道，5万元以上的转账一般是需要进行验证码+人脸识别的，询问了多个银行，只有建设银行回答得出人脸识别的后台数据会保留三个月，而其它银行直接说不知道，很明显，人脸信息的去向，一线的银行柜台工作人员都说不清楚。

（图片来自网络）

清华新闻学院的一位教授，在接受《中国新闻周刊》的采访时曾提到，人们每天都会无数次被摄像头照到，其中多少具有人脸识别功能，提取出来的信息去了哪里我们并不知道。在”爱码字的朱阿“的经历中也证明，即使是官方认证的权威平台，也无法完全了解人脸信息的去向。

人脸信息的安全性目前还面临种种挑战，安恒信息安全研究院院长吴卓群表示，新技术总会有安全问题，人脸识别本身为生活提供了便利，而它最大的风险在于信息泄露。但人脸识别技术现在已经大幅度普及，如何有效防范人脸数据泄露，却很少提及。

各家企业人脸识别搭建技术参差不齐，大量的人脸数据都被存储在各运营方，或是技术提供方的中心化数据库中，也没有统一的行业标准。虽然有专家推出各种”魔高一尺、道高一丈“的防泄露技术，但清华大学法学教授劳东燕认为安全问题有短板效应，互联网时代的特点是，问题不会出在安防水平最高的地方，而是出在水平最低能力最差的地方。多组织、多中心地收集信息，比单一中心的收集，风险更大，楼下门卫，是否有足够的技术，保证你的人脸数据不被泄露呢？

我的脸归我做主吗？

目前人脸识别行业内有多家企业机构在快速推动该项技术，根据前瞻产业研究院的行业报告，人脸识别应用场景广泛，呈”遍地开花“的局面，在考勤、门禁领域的应用最为广泛，约占行业市场的40%。

（图片来自前瞻经济学人APP）

企业以方便为由疯狂收集面部信息的时候，我们也会思考：我们真的需要那么多便利吗？

我们大部分人在人脸识别技术中还处在“技术弱势地位”，人脸识别技术的相关信息披露的不充分不完整，相应风险也被告知得不够，让大家误以为只有好处没有风险或者风险很小。如果大家都知道便利是用隐私换来的，人们未必需要这样的便利。

作为人脸识别技术的提供方、运营方，只是在不断强调新技术新应用的优势，将“迅速占领市场”的作核心目标，却还很少关心过市场的反馈，注重用户的呼声。在《公众调研报告》中，多数受访者认为存在面部信息被强制采集的问题，部分学校利用人脸识别摄像头完成学生考勤，大量娱乐、支付app需要人脸登录等，但相应的数据信息去向何处，怎么被运用，大多数人都被“蒙在鼓里”，有六成受访者认为人脸识别技术有滥用趋势。

今年3月，清华大学法学教授劳东燕发现小区要求业主下载APP，录入人脸信息，用于门禁升级，因此他多次寻找居委会反馈建议，居委会以方便为由拒绝劳东燕的建议。“他们所说的'便利’对我没有诱惑力，我并不觉得自己的几秒、十几秒时间如此有价值。在人脸识别这项技术的推广中，最大的受益方肯定不是民众，普通民众更可能是'冤大头’的角色。”

总体来看，当前人脸识别技术的主要争议点之一为收集的程序是否合法。对于手机程序而言，我国《网络安全法》中已经有明确的规定：“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。”但在具体实践中，有的公司存在擅自超越界限，私下采集数据信息，严重侵犯用户个人权益的情况，也有行为粗暴、不合理行政情况。2019年“人脸识别第一案”，游客郭兵不满杭州野生动物世界没有经过其同意，便擅自要求郭兵提供面部信息，浙江理工大学副教授郭兵说：“自己起诉的目的其实不在经济补偿。这是对目前人脸识别技术滥用的一种斗争。“