存儲環節和普通個人信息并無差別，信息泄露難不成只能換臉?

信息泄露，難不成只能換臉？

支付刷臉、進公司門禁刷臉、回家進小區刷臉、大學生上課刷臉考勤，還有一款叫作“人臉識別廁紙機”，意思是刷臉取紙杜絕在短時間內頻繁取紙……

人臉識別，正在跑步進入我們生活的各個場景。

但是，作為敏感個人信息的生物識別技術，一旦泄露無從彌補和更改，各應用場景中“人臉識別”真的是必要的嗎?

我們被多次、反復、在不同場合下被攝錄的人臉信息安全嗎?

這次，我們從數據的收集和存儲這一人臉識別鏈路中的一個環節來切入，看能否找到我們想到的答案。

技術供應方：

刷卡和刷臉從原理上來說

只是比對信息的類型差別

杭州某大型公司，有員工3000余人，從今年3月起，公司改原本的員工刷卡入園為人臉識別。

公司在園區大門處安裝了兩個人臉識別通道，在進入辦公大樓以后，無論是停車庫進樓還是一樓門禁都采用了人臉識別閘機。

公司稱安裝人臉識別的原因，一是杜絕以往手持別人員工卡幫忙考勤的情況，將考勤和人員做到精準對應;從另一層面上來說，也是保障工作環境無閑雜人員進入，更為安全。

安裝人臉識別以后，在上下班高峰時段，通過效率明顯提高，人臉閘機基本上能實現秒級的人臉讀取和開閘。

浙江正元智慧科技股份有限公司是國家重點高新技術企業、國家重點軟件企業。公司的主要業務就是運用物聯網、人工智能、大數據、云計算等技術，幫助企事業單位和政府部門，以及校園實現智慧化服務。

公司相關負責人說，從原理上來說，刷臉和以往的刷卡并沒太大區別，都是一種通過信息比對來激活應用的技術。

以往單位考勤用員工卡，技術上叫實體卡，在公司數據后臺先將員工姓名部門等相關工作信息錄入，同時儲存到卡中。當員工刷卡的一瞬間，其實就是卡內數據和公司后臺數據發起比對，一旦核驗通過，就開啟門禁，或者視為考勤成功。

現在單位采用刷臉，前期做臉部攝像，建立人臉信息庫，刷臉的過程就是拿閘機攝錄到的人臉信息和人臉信息數據庫進行比對。

而人臉信息數據庫有的是建立在單位信息后臺，有的直接儲存在刷臉機器中。

所以，無論人臉還是崗位信息都是身份識別的一種載體，從原理上來說，刷卡和刷臉的差別僅僅是比對信息的類型差別。

隱憂：

人臉信息的數據收集存儲環節

和普通個人信息并無差別

但是，我們始終關注的是，人臉信息和原先的那些姓名、電話號碼等信息不一樣。它和指紋、虹膜、還有靜脈流等屬于個性化非常明顯的高度敏感個人信息，是能夠對個人做出“一鍵識別”的生物信息。一旦泄露，無從彌補，無法更改，“我們總不至于去換臉吧”。

那么，在人臉識別普遍應用的情況下，我們對于人臉信息的保護力度和手段是否比以往的個人信息更有效或者更嚴密?可惜，在錢報記者的走訪中，發現事實并非如此。

大型企事業單位采用人臉識別，像正元智慧這樣的科技公司提供的只是技術上的實現，而不真正觸碰數據。

這些人臉信息通常儲存在單位自家數據后臺上，單位自行維護，也就是技術上稱的數據“本地化”。

記者走訪了不少實行刷臉的單位以及小區，發現大多數對人臉信息的管理和以往傳統數據并無二致，所采取的手段，也無非是要求相關技術人員簽訂保密協議和承諾書，在硬件上實施專網管理，原則上希望達成數據不能上外網的管理效果，但是對于別有用心的人來說，這些抵擋措施顯然是不夠的。

而各個實施刷臉的小區，其數據的留存更加令人擔憂，有的直接儲存在物業，有的交由提供人臉識別系統的第三方科技公司保管，有科技公司說，數據存在云端，但是科技公司技術人員能接觸到。

專家看法：

技術更新迅速頻繁

照片、三維面具無法成功刷臉

之前曾有媒體報道，照片也能通過刷臉機;而網上也有售賣三維面具，聲稱通過一張照片就能制造出一個三維面具;近日，杭州也有新聞報道一起案件，有犯罪分子通過視頻聊天攝錄了被害人影像從而突破了刷臉支付。

中國傳媒大學信息與通信工程學院楊磊教授說，人臉識別作為一項新技術、新應用，也是一個不斷更新迭代的過程。

人臉之所以會被“識別”，是人臉識別設備或后端平臺基于對人臉特征數據的分析和比對來實現的，不同廠家的設備或平臺的人臉識別的原理是類似的，但算法不盡相同，識別效果就不盡相同，即使是同一種算法，因設定的參數、閾值不同，識別效果也會不同。

早期的算法相對比較低級，分析的是平面的、靜止的特征，結果會出現一張平面照片也能通過刷臉機的情況。當發現這樣問題后，技術人員進一步改進算法，增加人臉特征維度，比如將面部信息的識別“三維化”“立體化”，增加深度特征值的比對。

之后，人們發現在設計刷臉支付的環節，我們已經進步到“活體識別”，即你我可能都經歷過的“搖搖頭”“眨眨眼”。

針對記者提及的這則最新的新聞，在視頻聊天過程中攝錄視頻，通過支付識別，楊磊教授說，這就是我們常常說的“道高一尺、魔高一丈”，是一種攻防的對抗，犯罪分子通過制作動態視頻來對抗活體識別，所以需要技術人員通過深度學習、人工智能技術在算法上做進一步的優化提升。

所以，在人臉識別等先進科技領域，技術的更新迭代更加迅速和頻繁。

正元智慧的科技人員說：人臉識別在應用中還具有通過“不斷喂招”而實現自我升級的智能化。比如你一次次刷臉，系統會一次次“加深”對你的了解，所以當你的面容出現胖瘦的改變，表情的差異，戴上眼鏡等等，系統都能準確將你識別。

探討：

在追求便利性的今天

我們為何要多問幾個“有必要嗎”

2020年10月1日實施的國家標準《信息安全技術個人信息安全規范》，將包括人臉識別信息在內的個人信息列入到個人敏感信息當中，并對個人信息的收集行為進行了明確。

楊磊教授說，對于個人信息安全的保障，我國有相關國家標準、行業標準，要求在信息保管、存儲和傳輸各環節，采取相應的保密手段，系統要滿足加密方式，但是畢竟整個環節中都會有人的參與。

當然，我們的法律也設置了事后的懲戒，如今年10月首次亮相的《個人信息保護法(草案)》中，規定了個人在個人信息處理活動中的權利，即個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理。

《個人信息保護法(草案)》也對侵害個人信息權益的違法行為如何處罰做出規定：侵害個人信息權益的違法行為，情節嚴重的，沒收違法所得，并處5000萬元以下或者上一年度營業額5%以下罰款，5%的額度甚至超過了在個人信息保護方面規定“最嚴”的歐盟。

所以說，現在我們面臨的課題是這些保密手段如何能夠抵擋一個蓄意犯罪的人，這些法律所規定的懲戒手段是否能在犯罪成本上對販賣個人信息獲取利益起到遏制作用。

在記者就人臉識別這個話題的采訪中，有不少受訪者表示，在大踏步的應用落地中的“人臉識別”就像一把雙刃劍。在進行利益權衡后，多問幾個“有必要嗎”真的很有必要。