自2012年開始公眾對信息安全愈加關(guān)注重視，今年的315晚會，就對準(zhǔn)了人臉識別。315晚會曝光人臉識別遭濫用，科勒衛(wèi)浴、寶馬、Max Mara等多個知名商家在實體零售店、4S店、專賣店等營業(yè)場所使用帶有人臉識別功能的監(jiān)控攝像頭，在顧客在毫不知情的情況下，偷偷抓取顧客人臉數(shù)據(jù)，生成人臉 ID，用于“精準(zhǔn)營銷”。 

315曝光的人臉識別應(yīng)用只是冰山一角，人臉識別技術(shù)已經(jīng)深入到日常生活的方方面面，如：支付寶、微信的刷臉支付、刷臉進(jìn)出小區(qū)/辦公樓、刷臉解鎖手機(jī)、企業(yè)刷臉簽到考勤、游戲刷臉實名認(rèn)證等。人臉識別信息具有唯一性、永久性與不可替換性，一旦泄露即終身泄露，公眾對人臉識別關(guān)注的焦點不僅僅是其帶來的方便、安全，更多的是人臉識別應(yīng)用的合法合理性問題。

人臉識別技術(shù)的特征

人臉識別技術(shù)屬于生物特征識別技術(shù)，以人面部特征作為識別個體身份。其通過分析提取用戶人臉圖像數(shù)字特征產(chǎn)生樣本特征序列，并將該樣本特征序列與已存儲的模板特征序列進(jìn)行比對，用以識別用戶身份。

1、人臉信息的唯一性與永久性

人臉識別信息的本質(zhì)是生物識別信息，具備生物識別信息的一般特性即唯一性與永久性。

2、侵害后果的不可逆性

鑒于人臉信息具有唯一性與永久性，人臉信息無法通過類似更改密碼、 更換住址或更換手機(jī)號等簡易方式來避免遭受更為嚴(yán)重的侵害，一旦泄露即終身泄露，財產(chǎn)安全、隱私安全均將收到嚴(yán)重威脅。

運(yùn)用人臉識別技術(shù)侵犯個人信息情形

1、非法收集人臉信息

根據(jù)《信息安全技術(shù) 個人信息安全規(guī)范》的規(guī)定，收集個人信息，應(yīng)向個人信息主體告知收集、使用個人信息的目的、方式和范圍等規(guī)則，并獲得個人信息主體的授權(quán)同意。而在實踐中，商戶對用戶人臉信息的收集往往是偷偷進(jìn)行的。正如此次315晚會報道，記者在全國多地先后調(diào)查了20多家裝有人臉識別系統(tǒng)的商戶，所到之處，人臉識別信息均被偷偷獲取，沒有一個商家明確告知，征得同意更是無從談起。

2、過度分析人臉信息

日前，一則“戴頭盔看房”的短視頻在社交平臺廣為傳播，正是由于售樓處人臉識別系統(tǒng)過度分析人臉信息所引起。以“買房”加“人臉識別”為關(guān)鍵詞在網(wǎng)上檢索，可以發(fā)現(xiàn)，有關(guān)售樓處用人臉識別判斷客戶類型的消息比比皆是。

據(jù)了解，售樓處安裝人臉識別系統(tǒng)，源于“分銷模式”的鑒別。每當(dāng)新樓盤上市時，一方面會采取自營銷方式，另一方面也找“分銷渠道”進(jìn)行外部合作銷售。售樓處的人臉識別系統(tǒng)幫助判斷購房者是自然訪客戶還是中介渠道客戶。售樓處利用人臉識別系統(tǒng)，分析購房者類型、是自然訪客還是中介渠道客戶，從而給予不同的購房優(yōu)惠政策，這讓人不由想到“大數(shù)據(jù)殺熟”。商戶對用戶人臉信息的過度分析，最終損害的是用戶個人的利益。

3、泄露人臉信息

目前，在無人臉識別提醒標(biāo)識、無工作人員告知、無相關(guān)人士授權(quán)情況下，很多攝像頭可以輕松抓取人臉信息。抓取這些數(shù)據(jù)的公司如何使用人臉數(shù)據(jù)、如何存儲人臉數(shù)據(jù)、是否將人臉數(shù)據(jù)共享給他人，在很大程度上都是未知的，所帶來的安全風(fēng)險也是未知的。由于人臉特征信息是唯一且終身不變的，一旦泄露給不法分子，用戶的人身安全、財產(chǎn)安全將一直遭受著威脅。

人臉識別應(yīng)用合規(guī)建議

1、采集人臉信息前獲得用戶的授權(quán)同意

未經(jīng)許可，擅自收集、抓取用戶人臉信息，將會涉嫌非法收集個人信息。故，在收集用戶信息前，應(yīng)獲得用戶的明確同意。如：線下場景中收集人臉信息前，設(shè)置人臉識別提醒標(biāo)識、工作人員向用戶告知將人臉識別，詢問是否同意;線上場景中中收集人臉信息前，通過隱私政策、彈窗提示等方式提示用戶，并由用戶手動確認(rèn)同意。

2、對人臉數(shù)據(jù)安全存儲

(1)加密存儲人臉個人信息，對人臉數(shù)據(jù)保密性保護(hù);

(2)限制人臉數(shù)據(jù)訪問人員數(shù)量，防止無關(guān)人員訪問用戶人臉數(shù)據(jù)。

(3)具備對人臉數(shù)據(jù)進(jìn)行備份的能力以及相應(yīng)的恢復(fù)控制措施。

3、對人臉識別數(shù)據(jù)的傳輸進(jìn)行保護(hù)

(1)采用滿足數(shù)據(jù)傳輸安全策略相應(yīng)的安全控制措施，如安全通道、可信通道、數(shù)據(jù)加密，等。

(2)在構(gòu)建傳輸通道前對兩端主體身份進(jìn)行鑒別。

4、人臉數(shù)據(jù)注銷

當(dāng)用戶要求注銷公司收集的其人臉數(shù)據(jù)時，公司應(yīng)在注銷前對授權(quán)注銷者進(jìn)行身份驗證。注銷后，存儲器中的人臉數(shù)據(jù)應(yīng)銷毀，不可重復(fù)使用，下次使用需重新采集。

寫在最后

目前，企業(yè)對人臉識別技術(shù)的使用亂象橫生。不同的企業(yè)對用戶個人信息的使用、保護(hù)力度不一，若因企業(yè)未盡到安全保護(hù)義務(wù)，導(dǎo)致用戶人臉信息泄露，將會導(dǎo)致非常嚴(yán)重的后果。期待國家能建立完善的人臉識別技術(shù)應(yīng)用審批制度，審查企業(yè)的用戶數(shù)據(jù)安全保護(hù)水平，以及對人臉識別應(yīng)用的場景的必要性，從國家層面對人臉識別進(jìn)行監(jiān)管。