密碼可以換，去哪兒換一張臉? 刷臉時代 如何保護“人臉信息”？

對于人臉識別技術的運用，國際社會早已有所討論。2013年聯(lián)合國大會通過決議——“數(shù)字時代的隱私權”。其中強調(diào)，“盡管對公共安全的關注可說明收集和保護某些敏感信息的合理性”，但各國政府需充分遵守其按照國際人權法所承擔的義務，各國應“設立或維護現(xiàn)有的獨立有效的國內(nèi)監(jiān)督機制，使其能夠確保國家通信監(jiān)控、通信截獲以及個人數(shù)據(jù)收集工作具備適當?shù)耐该鞫炔⒔邮軉栘?rdquo;。

不久前，科技巨頭聚集地——美國舊金山通過法案，成為美國第一個禁止警察和當?shù)卣畽C構使用人臉識別的大城市。這個法案也引起了不少爭議，反對者認為，不應該完全禁用，而應該對如何使用這項技術進行更細致、更全面的規(guī)范。

近日有媒體報道，有商家在網(wǎng)絡商城上公開兜售“人臉數(shù)據(jù)”。這17萬條數(shù)據(jù)背后，是2000張臉，他們的主人有明星、普通市民，還有部分未成年人。而被采訪的當事人表示，自己不僅對自己的“人臉數(shù)據(jù)”被出售毫不知情，甚至連自己的面部數(shù)據(jù)是什么時候被采集的都不清楚。這些數(shù)據(jù)包括帶人臉的位置信息，以及人臉的106處關鍵點，如眼睛、耳朵、鼻子等輪廓信息。

售賣這些“人臉數(shù)據(jù)”的店家，是一位從事人工智能相關工作的技術人員，收集了大量人臉數(shù)據(jù)，自稱出售信息只是為了“掙個飯錢”，并不提供當事人的人名和身份證號等信息。

盡管該商品被舉報后下架，但該事件卻把一直以來被忽略的人臉信息的數(shù)據(jù)安全問題擺到了人們面前。特別是近日來在社交軟件中一度風靡的換臉游戲，讓人們忽然驚覺：假如我的臉被“賣”了怎么辦?密碼被盜可以換，可我去哪兒換一張臉?

我的臉能證明“我是我”嗎?

與指紋、虹膜、DNA一樣，人臉識別是基于人臉部特征進行身份識別的一種生物識別技術，被認為可以非常便捷地證明“我是我”。事實上在人們習慣使用人臉識別解鎖手機之前，那些立在路邊的監(jiān)控攝像頭，藏在手機里的美圖軟件、猜年齡軟件等，都在應用著面部信息識別的技術。

從技術操作的流程來說，人臉識別技術大致需要通過采集、定位、匹配與識別等幾大步驟來完成，而它的背后需要有龐大的數(shù)據(jù)庫和精密的電腦計算。

值得注意的是，人臉信息又不同于密碼和指紋，它的搜集過程可以是不被察覺的，被識別者可能在沒有意識或沒有直接接觸時，就被采集信息。很多時候人們在“被刷臉”，而自己卻連說“不”的機會都沒有。你走在路上、坐在地鐵里，臉部信息可能就在不知不覺中被搜集走了，可你卻絲毫意識不到。

當然，目前已經(jīng)證明，人臉識別技術用于抓捕危險逃犯、查獲拐賣人口以及確認交通肇事逃逸者等維護社會治安穩(wěn)定的領域，表現(xiàn)出精準高效的優(yōu)勢。很多人認為，“只要我不做違法違規(guī)的壞事，我的信息被采集也無所謂。”

“人臉識別技術并沒有人們想象得那么安全。”中國圖象圖形學學會可視化與可視分析專委會秘書長、天津大學軟件工程專業(yè)教授張加萬表示，人臉識別技術近年來發(fā)展非常迅猛，很多高校和科研機構都在從事相關研究?，F(xiàn)在，專業(yè)技術人員可以用技術手段合成二維、三維照片，輕松欺騙電腦系統(tǒng)，讓大家相信，那個并不是“我”的人，就是“我”。

這是智能技術帶來的安全隱患，即使人臉識別中的活體檢測技術，也并非銅墻鐵壁般牢靠，“一旦被破解，整個面部識別也就形同虛設了。”

技術遠遠“跑”在監(jiān)管前面

電影《碟中諜4》里有一個令人印象深刻的場景：男主角湯姆·克魯斯戴著神奇的“眼鏡”，在人頭攢動的火車站行走，一眨眼的工夫已經(jīng)被認出，隨即被特工盯梢。迎面走來美女殺手，手機發(fā)出滴滴的報警聲，上面已經(jīng)顯示出對方完整的姓名和信息……

如今電影里的設想已經(jīng)出現(xiàn)在我們真實的生活中。上述報道中，盡管兜售臉部信息的賣家稱，自己并未出售相關的個人身份證等信息，但張加萬認為，這依舊存在著很大的個人信息泄漏的風險。

通過不同數(shù)據(jù)庫的交叉比對，很容易證明一個人的身份。他舉例說，比如一個人留的快遞收件人姓名是假名，但他的住址信息在其他數(shù)據(jù)庫中依然有其真實身份信息，只需要幾個數(shù)據(jù)庫進行比對，則很容易找到兩個名字之間的關聯(lián)。有了人臉信息，可以實現(xiàn)實時換臉，直接解鎖手機、打開門禁、刷臉支付，倘若再配合音頻仿真技術，則更具有迷惑性，可能產(chǎn)生一系列的安全問題。

技術顯然遠遠“跑”在了監(jiān)管的前面。目前在大部分國家，仍然沒有關于人臉識別技術及其數(shù)據(jù)使用的相關立法，人們不知道這些屬于自己的數(shù)據(jù)信息被收集到哪里，又將被如何使用。即使對從事人臉識別技術的研究人員，也看不清其未來發(fā)展將走向何方。正如人們往往只看得見浮現(xiàn)于大海中的部分冰山，而隱藏在海面以下的才是更巨大的冰山。

加強人臉特征信息全鏈條防護

“技術是一把雙刃劍。”中國青少年科技輔導員協(xié)會人工智能教育專委會一位委員在接受采訪時表示，一些隱藏的安全隱患也可能來自誤操作等其他原因。比如智能攝像頭將數(shù)據(jù)向云端上傳時需要網(wǎng)絡傳輸，這個過程可能會出現(xiàn)數(shù)據(jù)泄露;也有可能數(shù)據(jù)管理者與一些不具備足夠服務能力的第三方合作出現(xiàn)安全漏洞。當然也不排除一些人為的因素，都可能會導致人臉數(shù)據(jù)的泄漏。

9月20日舉辦的金融網(wǎng)絡安全論壇上，央行科技司司長李偉表示，在網(wǎng)絡空間僅依靠人臉等單一特征進行金融交易驗證，存在嚴重交易隱患。金融機構在相關交易時，人臉數(shù)據(jù)采集應提前告知用戶信息使用的方式，明確獲得客戶授權。

張加萬也提醒，現(xiàn)在對于人臉數(shù)據(jù)的科普還遠遠不能讓人們充分意識到其隱藏的風險，“很多客戶根本看不懂那些授權文件里的內(nèi)容代表哪些具體內(nèi)涵，但為了使用那些服務，還是同意了授權。”

“不要簡單地將人臉特征作為唯一的交易驗證因素，須根據(jù)風險等級結合用戶口令等其他因素進行多因素認證。”李偉表示，人臉屬于弱隱私生物特征，信息誤用風險比較大。部分機構高估了弱隱私特征的識別作用，在網(wǎng)絡空間僅依靠單一特征進行金融交易驗證，存在嚴重隱患。這是一個需要引起注意的問題，張加萬也在各種場合呼吁，在技術仍存在風險的時候，別太急于廣泛應用于各種商業(yè)領域。

從與老百姓錢袋子直接相關的人臉識別支付應用角度，李偉認為目前線下應用風險相對可控，但也應遵循“用戶授權、最小夠用”“表達意愿、多重認證”以及“風險補償、全程防護”原則。他建議要主動建立健全風險賠付資金、保險計劃、應急處置等風險補償機制，綜合運用多種信息技術，加強人臉特征信息端到端的全鏈條安全防護。

眨一眨眼睛手機就能解鎖，刷臉能直接通過機場安檢……當人們盡享技術給生活帶來便捷的同時，與之相伴而來的，還有各種想象不到的陷阱。而應該對如何使用這項技術進行更細致、更全面的規(guī)范。需要專家們進行更加深入的探索和思考。