近日，關于“刷臉”的新聞呈“刷屏”之勢：iPhone X應用公布具有臉部識別功能;杭州一肯德基餐廳宣布可以刷臉支付;農業(yè)銀行總行下發(fā)通知，要求全國推廣人臉識別系統(tǒng);北京所有公租房將推行“人臉識別”門禁;北師大宣布學生宿舍全面啟用“刷臉開門”……

“刷臉”應用呈爆發(fā)式增長，但不少人也對該技術的安全性提出質疑。

“變臉”App讓用戶主動將人臉視頻送上門

雷也（臉部識別軟件開發(fā)工程師）

近日，有蘋果用戶不時接到陌生人打來的FaceTime視頻電話，接通后對方處于黑漆漆的狀態(tài)，只有自己的圖像呈現(xiàn)在手機屏幕里。此類陌生FaceTime視頻通話存在錄制用戶臉部視頻的風險。

一些支付App已經采用“人臉識別”技術，讓用戶直接“刷臉”支付，而不法分子利用FaceTime錄制用戶臉部視頻后，有可能借此通過單一“人臉識別”驗證，盜取用戶賬戶里的財產。

上述“盜臉”是騙子主動出擊，事實上，大眾在日常生活中還主動貢獻了許多“臉部信息”。許多人知道各類免費App有收集提取用戶個人信息的風險，但卻不清楚那些提供花樣修圖“變臉”的App也存在著收集用戶臉部動態(tài)視頻的風險。

在用戶使用“變臉”美圖的過程中，系統(tǒng)會自動截屏上傳至后臺，并與用戶提供的個人注冊信息相匹配。用戶的“臉”，可能不知不覺就被收集了，進而被不法分子“賣”入黑市。不管是電信運營商的自助“實人驗真”系統(tǒng)，還是支付平臺采用的“人臉支付”，都離不開臉部特征+臉部動作結合的驗證方式?！白兡槨钡臄?shù)據庫錄下了用戶驗證的整個過程，等于提供了一個完整的用戶人臉驗證視頻，不論其他支付或者驗證平臺需要怎樣的特征和動作，在一定的技術條件下，有了人臉視頻都可以輕易完成。因此，這樣一條完整人臉視頻信息，可以被叫賣到50至80元不等的高價。

在網絡上，某種意義上每個人都是透明的。大量個人信息被收集被泄露被販賣，而拍照修圖等軟件的流行，讓人臉信息也成為流通信息的一種，讓本來具有單一生物特性的“人臉識別”技術也不再安全無憂。因此，“人臉識別”與其他個人信息一樣，其安全性同樣需要法律和監(jiān)管部門的有效作為來保駕護航。

“遠程人臉識別+身份證件核實”有望成為銀行驗證標配

周曦（云從科技創(chuàng)始人）

近兩年，國內各家中小銀行和四大行地方分行已經陸續(xù)將人臉識別技術用于日常業(yè)務，近日，四大行中的農行更是首先在全國范圍應用人臉識別技術。銀行光憑“刷臉”真的靠譜嗎？

人臉識別技術在過去一年來，平均6～8個月識別率就會提升一個數(shù)量級，測試結果表明，人證合一對比，人眼識別率平均為72.5%，機器識別率超過99.5%。同時，機器不會疲勞，能節(jié)約人力成本，更適合遠程業(yè)務辦理。

目前銀行使用人臉識別技術主要集中在11個不同部門的46種不同需求，涉及：遠程開戶、支付、柜臺對比、智能機具、智能金庫等。

銀行在選擇人臉識別技術時，一般會重點考慮：正確接受率，考量兩張人臉照片為同一個人時，系統(tǒng)判斷成功并予以通過的概率，越大越好;錯誤接受率，考量兩張人臉照片不是同一個人時，系統(tǒng)錯誤判斷為同一人的概率，越小越好。還有一個性能指標是比對速度。銀行一般要求誤識率控制到萬分之一以下，通過率 90% 以上，比對速度 1 秒以內。

相對虹膜，人臉識別有很多優(yōu)點：更方便，不需接觸，沒有侵犯性;更簡單，交互性好;設備通用，攝像頭、PC機、手機、平板等通用設備均可使用;不易仿冒，有活體識別功能。

當然，僅靠人臉識別是不夠的，通過“遠程人臉識別+身份證件核實”的方式進行身份驗證有望成為銀行的標配?？梢詫⑷四樌斫獬摄y行卡，ATM 機通過人臉識別比對可以將對應的銀行卡關聯(lián)起來，但用戶還是要輸入密碼來進行取款。

人臉識別技術如何區(qū)分雙胞胎等特殊情況？事實上，人眼看雙胞胎可能沒有差別，但計算機對人臉細節(jié)進行歸納和抽象，完全具備強大的區(qū)分雙胞胎的能力。只是，目前機器對人臉的清晰度要求還比較高，如果有些場景提供的人臉信息不夠清晰，機器目前無法做到 100% 的準確。

人臉不能復制，轉化的二進制代碼可以

劉春泉（上海段和段律師事務所高級合伙人）

2017年春運期間，人臉識別技術在部分火車站進站檢票處開始應用，引發(fā)很多關注。雖然生物識別的準確性等問題會隨著技術進步逐步獲得解決，但生物識別身份卻存在難以克服的潛在法律風險。

人體生物學特征具有唯一性，是很多人看好這個領域商業(yè)前景的主要原因。比如人臉、虹膜、指紋、聲紋，這些特征只有當事人自己才有，別人不能假冒。有了這樣的特征識別，網絡不法分子想要破解“人臉密碼”就沒有破解一般數(shù)字字母密碼那么容易。但是，在資本熱捧人臉識別概念的時代，人們似乎忽視了一點，那就是人臉識別如果大規(guī)模使用，尤其是非現(xiàn)場使用，一定要通過信息網絡，而通過信息網絡，任何信息都要轉化為計算機識別的二進制代碼。換言之，人臉不能復制，轉化的二進制計算機代碼可以復制，也完全可以被盜竊、濫用。

生物識別技術的識別原理和提取的數(shù)據都會存儲成為平臺企業(yè)的數(shù)據庫，在目前全世界情況來看，都存在平臺數(shù)據泄露、失竊的潛在安全風險。更為可怕的是，不像密碼可以重置，銀行卡可以掛失，生物識別信息對于個人來說是不可再生、不可重建的，因此，一旦泄露就是永久泄露，難以挽回。

所以對于人臉識別設備在火車站檢票時的使用涉及數(shù)據安全的擔憂是成立的，這種數(shù)據一旦被泄露，會成為永久的安全隱患。

我認為，目前的技術條件下，公共服務領域不能強制推行人臉識別，也不能將這些技術作為法定身份識別的唯一依據，可以允許企業(yè)使用人臉識別作為輔助身份驗證依據，但必須告知用戶潛在風險，并提供替代方案。

要在國家安全的視野下看待人臉識別

齊愛民（廣西民族大學網絡與大數(shù)據法治戰(zhàn)略研究院院長）

以蘋果新機型iPhone X應用臉部識別功能為例，機械識別人臉的過程本身是在編碼程序控制下的自動化過程，很容易由其編寫人員跳過或破解，或者在了解抓取特征后仿制出仿冒品。

個人生物信息可直接且唯一識別到個人，從個人信息理論分類角度看，其敏感程度遠高于一般信息，可稱之為“敏感信息”中的“敏感信息”。鑒于其存在特殊風險，因此在保護層級上也要高于“一般信息”，需要受到特殊關注和保護。目前，有關生物信息的以上討論還僅限于學術領域，未列入立法實踐的議程。

“刷臉支付”要全面正式投入使用，必須有相關法律法規(guī)出臺。有學者提出，應該強制相關網站通過PCI-DSS安全認證這類國際性的在線交易數(shù)據安全標準，并定期核查。與此同時，要求商家在內網安裝防火墻，監(jiān)測重要數(shù)據的使用記錄，還應為用戶購買信息安全保險，提供泄露信息的賠付服務等。

在行政方面，有人提出網絡信息安全的獨立問題，應該設立專門的信息安全機構進行配套運作，政府需要對相應的信息安全機構進行嚴格監(jiān)管。

在當今的信息時代，誰掌握了信息，誰就掌握了主動權。個人信息跨國傳輸問題早就超越了個人信息保護的層面，上升到了社會安全和國家安全層面。如，國內幾大電商平臺的個人信息如果被外國機構廣泛收集，對方除了可以通過大數(shù)據分析和挖掘技術等透視中國公民的消費習慣和購買傾向，還可以了解中國整體社會發(fā)展狀況及未來可能發(fā)生的重大事件，使我國國家安全面臨安全隱患。因此，要在國家安全的視野下看待人臉識別，制度和法律都要跟進。endprint