信息泄露，難不成只能換臉？

支付刷臉、進(jìn)公司門禁刷臉、回家進(jìn)小區(qū)刷臉、大學(xué)生上課刷臉考勤，還有一款叫作“人臉識(shí)別廁紙機(jī)”，意思是刷臉取紙杜絕在短時(shí)間內(nèi)頻繁取紙……

人臉識(shí)別，正在跑步進(jìn)入我們生活的各個(gè)場(chǎng)景。

但是，作為敏感個(gè)人信息的生物識(shí)別技術(shù)，一旦泄露無從彌補(bǔ)和更改，各應(yīng)用場(chǎng)景中“人臉識(shí)別”真的是必要的嗎?

我們被多次、反復(fù)、在不同場(chǎng)合下被攝錄的人臉信息安全嗎?

這次，我們從數(shù)據(jù)的收集和存儲(chǔ)這一人臉識(shí)別鏈路中的一個(gè)環(huán)節(jié)來切入，看能否找到我們想到的答案。

技術(shù)供應(yīng)方：

刷卡和刷臉從原理上來說

只是比對(duì)信息的類型差別

杭州某大型公司，有員工3000余人，從今年3月起，公司改原本的員工刷卡入園為人臉識(shí)別。

公司在園區(qū)大門處安裝了兩個(gè)人臉識(shí)別通道，在進(jìn)入辦公大樓以后，無論是停車庫(kù)進(jìn)樓還是一樓門禁都采用了人臉識(shí)別閘機(jī)。

公司稱安裝人臉識(shí)別的原因，一是杜絕以往手持別人員工卡幫忙考勤的情況，將考勤和人員做到精準(zhǔn)對(duì)應(yīng);從另一層面上來說，也是保障工作環(huán)境無閑雜人員進(jìn)入，更為安全。

安裝人臉識(shí)別以后，在上下班高峰時(shí)段，通過效率明顯提高，人臉閘機(jī)基本上能實(shí)現(xiàn)秒級(jí)的人臉讀取和開閘。

浙江正元智慧科技股份有限公司是國(guó)家重點(diǎn)高新技術(shù)企業(yè)、國(guó)家重點(diǎn)軟件企業(yè)。公司的主要業(yè)務(wù)就是運(yùn)用物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)、云計(jì)算等技術(shù)，幫助企事業(yè)單位和政府部門，以及校園實(shí)現(xiàn)智慧化服務(wù)。

公司相關(guān)負(fù)責(zé)人說，從原理上來說，刷臉和以往的刷卡并沒太大區(qū)別，都是一種通過信息比對(duì)來激活應(yīng)用的技術(shù)。

以往單位考勤用員工卡，技術(shù)上叫實(shí)體卡，在公司數(shù)據(jù)后臺(tái)先將員工姓名部門等相關(guān)工作信息錄入，同時(shí)儲(chǔ)存到卡中。當(dāng)員工刷卡的一瞬間，其實(shí)就是卡內(nèi)數(shù)據(jù)和公司后臺(tái)數(shù)據(jù)發(fā)起比對(duì)，一旦核驗(yàn)通過，就開啟門禁，或者視為考勤成功。

現(xiàn)在單位采用刷臉，前期做臉部攝像，建立人臉信息庫(kù)，刷臉的過程就是拿閘機(jī)攝錄到的人臉信息和人臉信息數(shù)據(jù)庫(kù)進(jìn)行比對(duì)。

而人臉信息數(shù)據(jù)庫(kù)有的是建立在單位信息后臺(tái)，有的直接儲(chǔ)存在刷臉機(jī)器中。

所以，無論人臉還是崗位信息都是身份識(shí)別的一種載體，從原理上來說，刷卡和刷臉的差別僅僅是比對(duì)信息的類型差別。

隱憂：

人臉信息的數(shù)據(jù)收集存儲(chǔ)環(huán)節(jié)

和普通個(gè)人信息并無差別

但是，我們始終關(guān)注的是，人臉信息和原先的那些姓名、電話號(hào)碼等信息不一樣。它和指紋、虹膜、還有靜脈流等屬于個(gè)性化非常明顯的高度敏感個(gè)人信息，是能夠?qū)€(gè)人做出“一鍵識(shí)別”的生物信息。一旦泄露，無從彌補(bǔ)，無法更改，“我們總不至于去換臉吧”。

那么，在人臉識(shí)別普遍應(yīng)用的情況下，我們對(duì)于人臉信息的保護(hù)力度和手段是否比以往的個(gè)人信息更有效或者更嚴(yán)密?可惜，在錢報(bào)記者的走訪中，發(fā)現(xiàn)事實(shí)并非如此。

大型企事業(yè)單位采用人臉識(shí)別，像正元智慧這樣的科技公司提供的只是技術(shù)上的實(shí)現(xiàn)，而不真正觸碰數(shù)據(jù)。

這些人臉信息通常儲(chǔ)存在單位自家數(shù)據(jù)后臺(tái)上，單位自行維護(hù)，也就是技術(shù)上稱的數(shù)據(jù)“本地化”。

記者走訪了不少實(shí)行刷臉的單位以及小區(qū)，發(fā)現(xiàn)大多數(shù)對(duì)人臉信息的管理和以往傳統(tǒng)數(shù)據(jù)并無二致，所采取的手段，也無非是要求相關(guān)技術(shù)人員簽訂保密協(xié)議和承諾書，在硬件上實(shí)施專網(wǎng)管理，原則上希望達(dá)成數(shù)據(jù)不能上外網(wǎng)的管理效果，但是對(duì)于別有用心的人來說，這些抵擋措施顯然是不夠的。

而各個(gè)實(shí)施刷臉的小區(qū)，其數(shù)據(jù)的留存更加令人擔(dān)憂，有的直接儲(chǔ)存在物業(yè)，有的交由提供人臉識(shí)別系統(tǒng)的第三方科技公司保管，有科技公司說，數(shù)據(jù)存在云端，但是科技公司技術(shù)人員能接觸到。

專家看法：

技術(shù)更新迅速頻繁

照片、三維面具無法成功刷臉

之前曾有媒體報(bào)道，照片也能通過刷臉機(jī);而網(wǎng)上也有售賣三維面具，聲稱通過一張照片就能制造出一個(gè)三維面具;近日，杭州也有新聞報(bào)道一起案件，有犯罪分子通過視頻聊天攝錄了被害人影像從而突破了刷臉支付。

中國(guó)傳媒大學(xué)信息與通信工程學(xué)院楊磊教授說，人臉識(shí)別作為一項(xiàng)新技術(shù)、新應(yīng)用，也是一個(gè)不斷更新迭代的過程。

人臉之所以會(huì)被“識(shí)別”，是人臉識(shí)別設(shè)備或后端平臺(tái)基于對(duì)人臉特征數(shù)據(jù)的分析和比對(duì)來實(shí)現(xiàn)的，不同廠家的設(shè)備或平臺(tái)的人臉識(shí)別的原理是類似的，但算法不盡相同，識(shí)別效果就不盡相同，即使是同一種算法，因設(shè)定的參數(shù)、閾值不同，識(shí)別效果也會(huì)不同。

早期的算法相對(duì)比較低級(jí)，分析的是平面的、靜止的特征，結(jié)果會(huì)出現(xiàn)一張平面照片也能通過刷臉機(jī)的情況。當(dāng)發(fā)現(xiàn)這樣問題后，技術(shù)人員進(jìn)一步改進(jìn)算法，增加人臉特征維度，比如將面部信息的識(shí)別“三維化”“立體化”，增加深度特征值的比對(duì)。

之后，人們發(fā)現(xiàn)在設(shè)計(jì)刷臉支付的環(huán)節(jié)，我們已經(jīng)進(jìn)步到“活體識(shí)別”，即你我可能都經(jīng)歷過的“搖搖頭”“眨眨眼”。

針對(duì)記者提及的這則最新的新聞，在視頻聊天過程中攝錄視頻，通過支付識(shí)別，楊磊教授說，這就是我們常常說的“道高一尺、魔高一丈”，是一種攻防的對(duì)抗，犯罪分子通過制作動(dòng)態(tài)視頻來對(duì)抗活體識(shí)別，所以需要技術(shù)人員通過深度學(xué)習(xí)、人工智能技術(shù)在算法上做進(jìn)一步的優(yōu)化提升。

所以，在人臉識(shí)別等先進(jìn)科技領(lǐng)域，技術(shù)的更新迭代更加迅速和頻繁。

正元智慧的科技人員說：人臉識(shí)別在應(yīng)用中還具有通過“不斷喂招”而實(shí)現(xiàn)自我升級(jí)的智能化。比如你一次次刷臉，系統(tǒng)會(huì)一次次“加深”對(duì)你的了解，所以當(dāng)你的面容出現(xiàn)胖瘦的改變，表情的差異，戴上眼鏡等等，系統(tǒng)都能準(zhǔn)確將你識(shí)別。

探討：

在追求便利性的今天

我們?yōu)楹我鄦枎讉€(gè)“有必要嗎”

2020年10月1日實(shí)施的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》，將包括人臉識(shí)別信息在內(nèi)的個(gè)人信息列入到個(gè)人敏感信息當(dāng)中，并對(duì)個(gè)人信息的收集行為進(jìn)行了明確。

楊磊教授說，對(duì)于個(gè)人信息安全的保障，我國(guó)有相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，要求在信息保管、存儲(chǔ)和傳輸各環(huán)節(jié)，采取相應(yīng)的保密手段，系統(tǒng)要滿足加密方式，但是畢竟整個(gè)環(huán)節(jié)中都會(huì)有人的參與。

當(dāng)然，我們的法律也設(shè)置了事后的懲戒，如今年10月首次亮相的《個(gè)人信息保護(hù)法(草案)》中，規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，即個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理。

《個(gè)人信息保護(hù)法(草案)》也對(duì)侵害個(gè)人信息權(quán)益的違法行為如何處罰做出規(guī)定：侵害個(gè)人信息權(quán)益的違法行為，情節(jié)嚴(yán)重的，沒收違法所得，并處5000萬元以下或者上一年度營(yíng)業(yè)額5%以下罰款，5%的額度甚至超過了在個(gè)人信息保護(hù)方面規(guī)定“最嚴(yán)”的歐盟。

所以說，現(xiàn)在我們面臨的課題是這些保密手段如何能夠抵擋一個(gè)蓄意犯罪的人，這些法律所規(guī)定的懲戒手段是否能在犯罪成本上對(duì)販賣個(gè)人信息獲取利益起到遏制作用。

在記者就人臉識(shí)別這個(gè)話題的采訪中，有不少受訪者表示，在大踏步的應(yīng)用落地中的“人臉識(shí)別”就像一把雙刃劍。在進(jìn)行利益權(quán)衡后，多問幾個(gè)“有必要嗎”真的很有必要。