人臉識別在重要領域的應用要慎重 保證信息安全

人臉識別是生物特征識別的重要內容，在20世紀90年代后期進入初級的應用階段，并且以美國、德國和日本的技術實現(xiàn)為主。近年來，我國相關技術發(fā)展突飛猛進。人臉識別在給我們生活提供便捷的同時，也存在被攻擊或惡意利用的嚴重安全隱患。因此，針對人臉識別技術應用和人臉數(shù)據(jù)庫、人臉識別模型建設一定要嚴格控制，人臉數(shù)據(jù)應像基因數(shù)據(jù)一樣，通過技術和立法等手段予以嚴格保護。

一、人臉識別技術應用現(xiàn)狀

生物識別技術主要利用人體固有生理特征（如指紋、聲紋、人臉、虹膜等）和行為特征（如筆跡、聲音、步態(tài)等）進行個人身份鑒定。與其他生物識別技術相比，人臉識別具有準確率高、非接觸、速度快等特點，在越來越多國家的政府、軍隊、金融、電子商務、安全防務及娛樂等領域推廣應用，潛力巨大。

美國聯(lián)邦調查局（FBI）的“新一代身份識別數(shù)據(jù)庫”（NGI）在其超過1億份個人指紋信息記錄基礎上加入了掌紋、虹膜、人臉等多項生物特征數(shù)據(jù)，采集了美國成年人口的一半以上。澳大利亞移民及邊境保護局開始采用“免人手處理”的新入境系統(tǒng)，設立電子掃描站，利用生物識別技術辨認入境游客的面孔、眼睛虹膜及指紋，取代傳統(tǒng)出示護照的入境程序。近年來，我國人臉識別技術也發(fā)展迅速，作為智慧社會的核心技術，人臉識別蓬勃發(fā)展和廣泛應用的同時，潛伏著的各類安全隱患不容小覷。比如，2017年“3·15”晚會上，主持人在現(xiàn)場技術人員的支持下，僅憑一張觀眾的自拍照，就成功“換臉”破解了“刷臉登錄”認證系統(tǒng)。

二、人臉識別技術的攻擊手段及風險

當前，對于人臉數(shù)據(jù)的違規(guī)采集、泄露、竊取以及非法交易和利用等問題是人臉識別技術和數(shù)據(jù)庫面臨的主要風險。如果這些安全風險不能通過技術、政策和法律法規(guī)來解決的話，必將對人臉識別技術發(fā)展產生“雙刃劍”效應，凸顯制約瓶頸。

人臉識別的仿冒認證。人臉識別系統(tǒng)可以對攝像頭采集的人臉圖像進行辨認，卻無法識別采集的人臉圖像是來自真人還是一張照片。人臉識別系統(tǒng)極易受到各類蓄意的仿冒攻擊，常見手段包括盜用合法用戶人臉照片、盜用合法用戶人臉視頻及盜用三維人臉面具等。為應對人臉照片冒用，很多人臉識別系統(tǒng)加入了生物活性檢測（眨眼、張嘴、搖頭等）手段，但攻擊者仍可以利用視頻播放和自動化人臉動效等技術比較容易地逃過檢測。攻擊者借助人臉關鍵點定位和自動化人臉動效技術，通過將自拍照由靜態(tài)改為動態(tài)，可以完成刷臉登錄需要的眨眼、張嘴等動作。

人臉識別算法的攻擊。合法用戶身份仿冒需要以獲得合法用戶的人臉照片及視頻等數(shù)據(jù)作為前提條件。國內某安全團隊已經實現(xiàn)了更具威脅的攻擊手段，使用完全不同用戶的人臉照片繞過身份識別系統(tǒng)。該攻擊手段對深度學習圖像識別等應用造成逃逸攻擊以及數(shù)據(jù)污染攻擊等效果，不依賴于具體的深度學習模型，對Tensorflow、Caffe等當前主流深度學習框架攻擊有效。

人臉數(shù)據(jù)的泄露途徑。人臉數(shù)據(jù)的泄露途徑主要有三種：1.互聯(lián)網公司的不當采集。當前各類網絡應用，包括社交平臺、電子商務、拍攝軟件等廣泛采集用戶人臉數(shù)據(jù)，智能攝像頭也隨時隨地地抓拍各類人群的圖像數(shù)據(jù)?；ヂ?lián)網公司對我國網民人臉數(shù)據(jù)的采集，尤其是境外公司的違規(guī)采集行為將對我國用戶及國家安全帶來極大威脅。2.用戶上傳與分享。為了滿足實名制要求，大多數(shù)互聯(lián)網企業(yè)要求用戶上傳身份證信息資料和照片。在線支付和投資理財網站甚至要求用戶提交手持身份證的照片。另外，不少網民喜歡在朋友圈曬各類生活信息，包括本人、好友以及家人的照片，成為人臉數(shù)據(jù)泄露的重要來源。3.人臉數(shù)據(jù)庫被攻擊和竊取。公司采集的人臉數(shù)據(jù)都會存儲成為企業(yè)的數(shù)據(jù)庫。從目前全世界的情況來看，存在重大的數(shù)據(jù)泄露、失竊的潛在安全風險，數(shù)據(jù)泄露案件頻發(fā)。如2017年國內某求職網站被曝光泄露求職簡歷數(shù)據(jù)，包含了用戶的姓名、頭像及畢業(yè)學校等信息。2018年，在歐美國家持續(xù)發(fā)酵的美國某社交平臺多達5000萬用戶包括個人照片、視頻等隱私信息被泄露。

基于人臉識別的AI大規(guī)模殺傷性武器研制的威脅。將人臉識別和機器人控制等最新的人工智能技術結合起來，制造自主的大規(guī)模殺傷性武器在技術上是可行的。殺傷性武器裝載傳感器、攝像頭、GPS定位等高科技功能設備可進行人臉識別、躲避狙擊、攜帶炸藥等，做到一擊斃命。在自主致命武器的技術鏈條中，人臉識別技術是一個關鍵環(huán)節(jié)。自主致命武器一般是通過攝像頭、雷達等獲取戰(zhàn)場信息，通過對攝像頭中的人體、人臉進行識別，鎖定目標并攻擊。使用深度學習等人工智能技術來精準、自動識別攻擊目標是傳統(tǒng)武器不具備的能力，也是自主致命武器的核心技術。要想達到目標的精準識別，尤其是區(qū)分敵我，需要訓練高準確度的深度神經網絡模型，訓練過程需要大量實際的人臉數(shù)據(jù)做支撐。最新的研究成果表明，經過大量真實數(shù)據(jù)的積累和訓練，人工智能可以達到并超過人眼的識別準確度。因此，人臉數(shù)據(jù)是致命武器研制過程中的基礎與核心。目前，美國、韓國等個別國家已經在研發(fā)AI殺人機器人，這種人工智能技術，一旦被運用于未來戰(zhàn)場或被恐怖分子利用，后果都將異常嚴重。因此，加強人臉識別技術的監(jiān)管、規(guī)范及利用勢在必行。

三、人臉識別技術應用的安全防范

為應對人臉識別技術應用的諸多風險，應該從保護人臉數(shù)據(jù)和人臉模型的角度，完善生物識別相關法律法規(guī)，建立人臉大數(shù)據(jù)中心和多因子識別管理體系，加強技術應用的監(jiān)管和數(shù)據(jù)保護。

保護好我國人臉數(shù)據(jù)和人臉模型，完善生物識別相關法律法規(guī)。高質量的人臉數(shù)據(jù)和高精度的人臉模型是自主致命武器的核心。保護好一個種族的人臉數(shù)據(jù)和人臉模型，就像保護這個種族的基因庫一樣，是限制敵對方開發(fā)針對本種族的自主致命武器的關鍵任務。在人臉數(shù)據(jù)的采集、存儲、傳輸及使用等環(huán)節(jié)，應通過技術和立法等手段加強保護和監(jiān)管，既要尊重人工智能科學發(fā)展，又要保護人臉數(shù)據(jù)資源合法合規(guī)流通和使用。一要建立生物特征信息相關的管理機構和制度，保障人臉數(shù)據(jù)的安全、規(guī)范使用。構建一個透明的機制和統(tǒng)一的機構，既可以約束從業(yè)廠商、數(shù)據(jù)運營方，做好隱私保護，又可以取得公眾理解和支持，推動技術創(chuàng)新升級，以獲得共贏。建議將2016年成立的中國自動識別技術協(xié)會生物特征識別工作組升格為生物特征識別技術專業(yè)委員會，以更好為行業(yè)標準和安全提供技術引導和監(jiān)管服務。二要加快制定與個人信息保護相關的法律法規(guī)，確立個人信息控制權、刪除權、遺忘權等信息權利，健全個人對信息權利的投訴和救濟機制。2017年，中央網絡安全和信息化領導小組辦公室、國家質量監(jiān)督檢驗檢疫總局、全國信息安全標準化技術委員會聯(lián)合發(fā)布了國家標準《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2017），為我國個人信息保護工作的開展提供了翔實的實務指南，已于2018年5月1日正式實施。但是，該標準是國家推薦性標準，并不具有法律強制效力，因此建議盡快予以立法，提高國家應對層級。三是落實生物特征數(shù)據(jù)生命周期各環(huán)節(jié)的安全主體責任，厘清大數(shù)據(jù)下政府、企業(yè)及個人的數(shù)據(jù)權責問題，促進數(shù)據(jù)市場法治秩序。

安防領域規(guī)范人臉模型訓練和流轉，建立人臉大數(shù)據(jù)中心。如果人臉數(shù)據(jù)和模型的合法性得不到保證和強調，勢必出現(xiàn)人臉數(shù)據(jù)和模型的地下市場，造成數(shù)據(jù)和模型泄露的嚴重風險。解決人臉數(shù)據(jù)和模型的泄露風險的技術和法律方案是存在的。在技術上，建議公安系統(tǒng)在國家和省級層面建立人臉大數(shù)據(jù)中心，在物理隔絕的專網內存儲人臉數(shù)據(jù)。算法供應商的模型必須在公安專網的大數(shù)據(jù)中心內進行訓練，產生的模型也必須應用在公安系統(tǒng)的專網內部，實現(xiàn)數(shù)據(jù)、模型物理上不出專網。深度學習的模型如果需要跨省市流轉并持續(xù)訓練增強，只能在公安專網內部流轉。算法供應商可以租用公安大數(shù)據(jù)中心的數(shù)據(jù)和計算力進行算法模型的升級和更新。在法律和行業(yè)規(guī)范上，建議規(guī)定并區(qū)分數(shù)據(jù)和模型流轉的法律關系。程序是由程序員編寫而成，其信息的來源是程序員自身，是人創(chuàng)造的產物。但是模型是由數(shù)據(jù)訓練而來，其信息的來源是人臉大數(shù)據(jù)，是自然資源進一步加工的產物。區(qū)分算法供應商的程序版權和模型來源，對于使用的模型需要提供訓練數(shù)據(jù)源所有者的授權證書。規(guī)定數(shù)據(jù)和模型的流轉必須有詳細、有區(qū)別的法律手續(xù)背書，對數(shù)據(jù)進行訓練得到模型，并不能改變數(shù)據(jù)屬主對模型的擁有關系。

人臉識別在重要領域的應用要慎重，建立多因子識別管理體系。雖然生物識別的準確性等問題會隨著技術進步逐步獲得改善，但生物識別身份卻存在難以克服的安全風險，甚至可能危害國家安全。因此，大規(guī)模的廣泛應用，尤其是在重要領域的使用，必須慎之又慎，不能放任商業(yè)企業(yè)追逐利潤自行其是。對于生物識別產品來說，即使檢測準確度達到99.99%，一旦大規(guī)模應用，由于上億用戶規(guī)模的基數(shù)太大，被誤判影響的人群數(shù)目也會非常之多，給人身財產利益帶來的損失也將十分巨大。無論從技術上還是法律上考慮，當前都還不宜過分依賴人臉作為生物識別中唯一的身份識別手段，建議可以采用多因子識別管理體系，與其他身份識別手段相結合，提高系統(tǒng)的安全性、穩(wěn)定性和科學性。