“你戴口罩的人臉照正被販賣!2毛錢一張，要多少有多少!”日前，有媒體報道，不法商家在網(wǎng)絡(luò)上兜售十幾萬張戴口罩的人臉照片，這些照片“2毛錢一張，十萬張以上還有優(yōu)惠。” 疫情之下，一方口罩擋住了疫情的大規(guī)模人際傳染，卻防不住個人信息倒賣的不法行為。

[[322375]]

當(dāng)前，人臉識別科技正被廣泛應(yīng)用于各個方面，刷臉支付、刷臉取快遞、刷臉安檢、刷臉入住酒店、刷臉打卡上班……伴隨著無數(shù)次的“刷臉”動作，其背后的“安全”問題日益凸顯。去年底發(fā)布的《人臉識別落地場景觀察報告(2019年)》顯示，在個人信息泄露頻發(fā)的態(tài)勢下，超過七成的民眾擔(dān)心人臉數(shù)據(jù)泄露。浙江理工大學(xué)一名教授被杭州野生動物園強制使用人臉識別入園，更是一怒之下將后者告上法庭。當(dāng)“刷臉”成為大勢所趨，讓用戶“安全刷臉”成為人臉識別科技行業(yè)亟待解決的問題。

追問人臉信息泄露之源：我們在哪里“丟了臉”?

“當(dāng)我們談人臉識別安全時，其實包含兩方面的安全，一是技術(shù)安全，一個是數(shù)據(jù)安全。”360城市安全集團(tuán)視覺科技安全專家李智表示，此前，有媒體報道浙江小學(xué)生發(fā)現(xiàn)打印照片就能代替“刷臉”,騙過小區(qū)里的快遞柜的新聞，就屬于人臉識別科技的技術(shù)安全問題。而 “戴口罩人臉照被販賣”則是公眾最擔(dān)憂的數(shù)據(jù)安全。

科技進(jìn)步原本是好事，疫情期間，人們佩戴口罩出入機場、地鐵站、商超等公共場所，無需摘下口罩就能進(jìn)行人臉識別。這既提升了行人的通行體驗，也保障了大眾的健康安全。但是卻被爆出泄露丑聞。那么，這些泄露到底是如何發(fā)生的?是黑客突破了系統(tǒng)的安全防護(hù)，還是產(chǎn)品本身開了“方便之門”?

在“戴口罩人臉照片被販賣”的事件中，賣家聲稱自己手里大概有2萬張戴口罩的人臉圖片，這些照片“一半是從網(wǎng)絡(luò)上爬(蟲)的，一半來自于現(xiàn)實世界。” “爬(蟲)的照片有的是模特，有的是公開的人臉數(shù)據(jù)集，而現(xiàn)實世界搜集的部分，則從人們上班打卡或進(jìn)出小區(qū)門禁時拍的面部照片。” 打卡的照片甚至“都是年后(拍)的，時間很新。” 李智表示，這樣的泄露，有可能發(fā)生在人臉識別對敏感數(shù)據(jù)的采集、存儲、使用以及共享等各個環(huán)節(jié)，

比如，很多產(chǎn)品在進(jìn)行采集時都是線下收集個人照片，然后集中注冊。過程中任何的管理和保存不當(dāng)，都有可能導(dǎo)致信息和照片泄漏;網(wǎng)絡(luò)傳輸時，終端與平臺之間的數(shù)據(jù)傳輸，一旦被截取、拷貝，也會導(dǎo)致信息泄漏;終端存儲時，市面上90%的產(chǎn)品都會保存原始照片，一旦終端遇到強行拆機讀取存儲空間，都可能被盜取儲存照片的信息; 還有大量的管理平臺匯集所有數(shù)據(jù)，只要管理系統(tǒng)遭到入侵，就會導(dǎo)致大量數(shù)據(jù)泄露。如此前媒體報道的華住、萬豪酒店客戶開房信息泄密，就是源于管理系統(tǒng)被惡意入侵。李智看來，“這是一個系統(tǒng)安全能力的問題。”

聯(lián)合國網(wǎng)絡(luò)安全與網(wǎng)絡(luò)犯罪問題高級顧問吳沈括曾在接受媒體采訪時表示，人臉識別技術(shù)的安全問題不在于技術(shù)本身，而是應(yīng)用的問題。不過，現(xiàn)實情況是，當(dāng)前，盡管很多公司宣稱人臉識別技術(shù)已經(jīng)準(zhǔn)備好了，戴口罩人臉識別技術(shù)也已經(jīng)廣泛應(yīng)用公司業(yè)務(wù)產(chǎn)品，但如何防范人臉數(shù)據(jù)泄露，卻很少被提及。

“丟臉”困局如何解?專家支招人臉信息保護(hù)

面對“刷臉”的必然與“丟臉”的困境，從政府到行業(yè)，都還有工作要做。“盡管《網(wǎng)絡(luò)安全法》明確將個人生物識別信息納入個人信息范圍，但對于信息的使用、存儲、運輸、管理仍需進(jìn)一步細(xì)化。” 深圳市政協(xié)委員徐先林建議，司法部門和政府應(yīng)重視對生物識別信息的保護(hù)，建立人臉識別網(wǎng)絡(luò)和信息安全監(jiān)管體系，鼓勵政府與人臉識別龍頭企業(yè)合作推進(jìn)技術(shù)標(biāo)準(zhǔn)的研究制定，建立個人影像數(shù)據(jù)管理機制，強化網(wǎng)絡(luò)安全保障。

360城市安全集團(tuán)視覺科技CEO邱召強也表示，當(dāng)前用戶非常關(guān)心人臉識別的安全問題，包括個人隱私問題。對于整個行業(yè)來說，人臉識別技術(shù)廠商有義務(wù)配合公安、科委、研究院等部門制定行業(yè)標(biāo)準(zhǔn)，指導(dǎo)行業(yè)規(guī)范;而對于企業(yè)自身來說，人臉識別安全是更系統(tǒng)的問題，需要實現(xiàn)終端、傳輸、平臺三位一體的安全防護(hù)。

例如，可在終端上對算法和模型進(jìn)行安全芯片固化加密，防止黑客攻擊，在設(shè)備與系統(tǒng)通訊過程中，要采用白盒加密，確認(rèn)傳輸過程中不被攔截破解。終端系統(tǒng)與后臺軟件需要定時定期地進(jìn)行安全漏洞攻防檢測，終端設(shè)備不留照片，只留特征碼。

同時，廠商還需要對終端系統(tǒng)、服務(wù)平臺、操作系統(tǒng)進(jìn)行漏洞和補丁的及時升級。終端設(shè)備要具備雙目防偽活體檢測算法，防止照片、3D模型、“挖鼻挖眼”照片、視頻流等防偽攻擊。邱召強表示，針對人臉識別科技的安全問題，作為一家安全公司，360也希望能為這個行業(yè)注入“大安全”的基因。

當(dāng)前，國內(nèi)人臉識別技術(shù)已被廣泛應(yīng)用于移動支付、辦公出行、智慧安防、教育零售等行業(yè)，并逐漸被人們熟悉、使用。人臉數(shù)據(jù)作為具有唯一性的生物信息，已經(jīng)與我們大量的個人信息緊密關(guān)聯(lián)。因此，無論是防偽識別還是信息泄露，一旦為不法分子利用，都有可能給我們帶來無法預(yù)估的風(fēng)險。

因此，我們也不得不重新思考，便利與隱私之間，除了邊界問題，也許應(yīng)該更早地將“安全”提上日程。技術(shù)的創(chuàng)新升級可以讓人們不摘口罩方便生活，技術(shù)安全的缺位卻也會讓大眾掉入隱私泄露的陷阱，未來安全標(biāo)準(zhǔn)料將成為人臉識別技術(shù)的關(guān)鍵一環(huán)和重要基石。