信息泄露，難不成只能換臉？

支付刷臉、進(jìn)公司門禁刷臉、回家進(jìn)小區(qū)刷臉、大學(xué)生上課刷臉考勤，還有一款叫作“人臉識別廁紙機(jī)”，意思是刷臉取紙杜絕在短時間內(nèi)頻繁取紙……

人臉識別，正在跑步進(jìn)入我們生活的各個場景。

但是，作為敏感個人信息的生物識別技術(shù)，一旦泄露無從彌補(bǔ)和更改，各應(yīng)用場景中“人臉識別”真的是必要的嗎?

我們被多次、反復(fù)、在不同場合下被攝錄的人臉信息安全嗎?

這次，我們從數(shù)據(jù)的收集和存儲這一人臉識別鏈路中的一個環(huán)節(jié)來切入，看能否找到我們想到的答案。

技術(shù)供應(yīng)方：

刷卡和刷臉從原理上來說

只是比對信息的類型差別

杭州某大型公司，有員工3000余人，從今年3月起，公司改原本的員工刷卡入園為人臉識別。

公司在園區(qū)大門處安裝了兩個人臉識別通道，在進(jìn)入辦公大樓以后，無論是停車庫進(jìn)樓還是一樓門禁都采用了人臉識別閘機(jī)。

公司稱安裝人臉識別的原因，一是杜絕以往手持別人員工卡幫忙考勤的情況，將考勤和人員做到精準(zhǔn)對應(yīng);從另一層面上來說，也是保障工作環(huán)境無閑雜人員進(jìn)入，更為安全。

安裝人臉識別以后，在上下班高峰時段，通過效率明顯提高，人臉閘機(jī)基本上能實現(xiàn)秒級的人臉讀取和開閘。

浙江正元智慧科技股份有限公司是國家重點高新技術(shù)企業(yè)、國家重點軟件企業(yè)。公司的主要業(yè)務(wù)就是運用物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)、云計算等技術(shù)，幫助企事業(yè)單位和政府部門，以及校園實現(xiàn)智慧化服務(wù)。

公司相關(guān)負(fù)責(zé)人說，從原理上來說，刷臉和以往的刷卡并沒太大區(qū)別，都是一種通過信息比對來激活應(yīng)用的技術(shù)。

以往單位考勤用員工卡，技術(shù)上叫實體卡，在公司數(shù)據(jù)后臺先將員工姓名部門等相關(guān)工作信息錄入，同時儲存到卡中。當(dāng)員工刷卡的一瞬間，其實就是卡內(nèi)數(shù)據(jù)和公司后臺數(shù)據(jù)發(fā)起比對，一旦核驗通過，就開啟門禁，或者視為考勤成功。

現(xiàn)在單位采用刷臉，前期做臉部攝像，建立人臉信息庫，刷臉的過程就是拿閘機(jī)攝錄到的人臉信息和人臉信息數(shù)據(jù)庫進(jìn)行比對。

而人臉信息數(shù)據(jù)庫有的是建立在單位信息后臺，有的直接儲存在刷臉機(jī)器中。

所以，無論人臉還是崗位信息都是身份識別的一種載體，從原理上來說，刷卡和刷臉的差別僅僅是比對信息的類型差別。

隱憂：

人臉信息的數(shù)據(jù)收集存儲環(huán)節(jié)

和普通個人信息并無差別

但是，我們始終關(guān)注的是，人臉信息和原先的那些姓名、電話號碼等信息不一樣。它和指紋、虹膜、還有靜脈流等屬于個性化非常明顯的高度敏感個人信息，是能夠?qū)€人做出“一鍵識別”的生物信息。一旦泄露，無從彌補(bǔ)，無法更改，“我們總不至于去換臉吧”。

那么，在人臉識別普遍應(yīng)用的情況下，我們對于人臉信息的保護(hù)力度和手段是否比以往的個人信息更有效或者更嚴(yán)密?可惜，在錢報記者的走訪中，發(fā)現(xiàn)事實并非如此。

大型企事業(yè)單位采用人臉識別，像正元智慧這樣的科技公司提供的只是技術(shù)上的實現(xiàn)，而不真正觸碰數(shù)據(jù)。

這些人臉信息通常儲存在單位自家數(shù)據(jù)后臺上，單位自行維護(hù)，也就是技術(shù)上稱的數(shù)據(jù)“本地化”。

記者走訪了不少實行刷臉的單位以及小區(qū)，發(fā)現(xiàn)大多數(shù)對人臉信息的管理和以往傳統(tǒng)數(shù)據(jù)并無二致，所采取的手段，也無非是要求相關(guān)技術(shù)人員簽訂保密協(xié)議和承諾書，在硬件上實施專網(wǎng)管理，原則上希望達(dá)成數(shù)據(jù)不能上外網(wǎng)的管理效果，但是對于別有用心的人來說，這些抵擋措施顯然是不夠的。

而各個實施刷臉的小區(qū)，其數(shù)據(jù)的留存更加令人擔(dān)憂，有的直接儲存在物業(yè)，有的交由提供人臉識別系統(tǒng)的第三方科技公司保管，有科技公司說，數(shù)據(jù)存在云端，但是科技公司技術(shù)人員能接觸到。

專家看法：

技術(shù)更新迅速頻繁

照片、三維面具無法成功刷臉

之前曾有媒體報道，照片也能通過刷臉機(jī);而網(wǎng)上也有售賣三維面具，聲稱通過一張照片就能制造出一個三維面具;近日，杭州也有新聞報道一起案件，有犯罪分子通過視頻聊天攝錄了被害人影像從而突破了刷臉支付。

中國傳媒大學(xué)信息與通信工程學(xué)院楊磊教授說，人臉識別作為一項新技術(shù)、新應(yīng)用，也是一個不斷更新迭代的過程。

人臉之所以會被“識別”，是人臉識別設(shè)備或后端平臺基于對人臉特征數(shù)據(jù)的分析和比對來實現(xiàn)的，不同廠家的設(shè)備或平臺的人臉識別的原理是類似的，但算法不盡相同，識別效果就不盡相同，即使是同一種算法，因設(shè)定的參數(shù)、閾值不同，識別效果也會不同。

早期的算法相對比較低級，分析的是平面的、靜止的特征，結(jié)果會出現(xiàn)一張平面照片也能通過刷臉機(jī)的情況。當(dāng)發(fā)現(xiàn)這樣問題后，技術(shù)人員進(jìn)一步改進(jìn)算法，增加人臉特征維度，比如將面部信息的識別“三維化”“立體化”，增加深度特征值的比對。

之后，人們發(fā)現(xiàn)在設(shè)計刷臉支付的環(huán)節(jié)，我們已經(jīng)進(jìn)步到“活體識別”，即你我可能都經(jīng)歷過的“搖搖頭”“眨眨眼”。

針對記者提及的這則最新的新聞，在視頻聊天過程中攝錄視頻，通過支付識別，楊磊教授說，這就是我們常常說的“道高一尺、魔高一丈”，是一種攻防的對抗，犯罪分子通過制作動態(tài)視頻來對抗活體識別，所以需要技術(shù)人員通過深度學(xué)習(xí)、人工智能技術(shù)在算法上做進(jìn)一步的優(yōu)化提升。

所以，在人臉識別等先進(jìn)科技領(lǐng)域，技術(shù)的更新迭代更加迅速和頻繁。

正元智慧的科技人員說：人臉識別在應(yīng)用中還具有通過“不斷喂招”而實現(xiàn)自我升級的智能化。比如你一次次刷臉，系統(tǒng)會一次次“加深”對你的了解，所以當(dāng)你的面容出現(xiàn)胖瘦的改變，表情的差異，戴上眼鏡等等，系統(tǒng)都能準(zhǔn)確將你識別。

探討：

在追求便利性的今天

我們?yōu)楹我鄦枎讉€“有必要嗎”

2020年10月1日實施的國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》，將包括人臉識別信息在內(nèi)的個人信息列入到個人敏感信息當(dāng)中，并對個人信息的收集行為進(jìn)行了明確。

楊磊教授說，對于個人信息安全的保障，我國有相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，要求在信息保管、存儲和傳輸各環(huán)節(jié)，采取相應(yīng)的保密手段，系統(tǒng)要滿足加密方式，但是畢竟整個環(huán)節(jié)中都會有人的參與。

當(dāng)然，我們的法律也設(shè)置了事后的懲戒，如今年10月首次亮相的《個人信息保護(hù)法(草案)》中，規(guī)定了個人在個人信息處理活動中的權(quán)利，即個人對其個人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理。

《個人信息保護(hù)法(草案)》也對侵害個人信息權(quán)益的違法行為如何處罰做出規(guī)定：侵害個人信息權(quán)益的違法行為，情節(jié)嚴(yán)重的，沒收違法所得，并處5000萬元以下或者上一年度營業(yè)額5%以下罰款，5%的額度甚至超過了在個人信息保護(hù)方面規(guī)定“最嚴(yán)”的歐盟。

所以說，現(xiàn)在我們面臨的課題是這些保密手段如何能夠抵擋一個蓄意犯罪的人，這些法律所規(guī)定的懲戒手段是否能在犯罪成本上對販賣個人信息獲取利益起到遏制作用。

在記者就人臉識別這個話題的采訪中，有不少受訪者表示，在大踏步的應(yīng)用落地中的“人臉識別”就像一把雙刃劍。在進(jìn)行利益權(quán)衡后，多問幾個“有必要嗎”真的很有必要。