人脸识别再曝信息泄露，“丢脸”困局有何解？

“你戴口罩的人脸照正被贩卖!2毛钱一张，要多少有多少!”日前，有媒体报道，不法商家在网络上兜售十几万张戴口罩的人脸照片，这些照片“2毛钱一张，十万张以上还有优惠。” 疫情之下，一方口罩挡住了疫情的大规模人际传染，却防不住个人信息倒卖的不法行为。

当前，人脸识别科技正被广泛应用于各个方面，刷脸支付、刷脸取快递、刷脸安检、刷脸入住酒店、刷脸打卡上班……伴随着无数次的“刷脸”动作，其背后的“安全”问题日益凸显。去年底发布的《人脸识别落地场景观察报告(2019年)》显示，在个人信息泄露频发的态势下，超过七成的民众担心人脸数据泄露。浙江理工大学一名教授被杭州野生动物园强制使用人脸识别入园，更是一怒之下将后者告上法庭。当“刷脸”成为大势所趋，让用户“安全刷脸”成为人脸识别科技行业亟待解决的问题。

追问人脸信息泄露之源：我们在哪里“丢了脸”?

“当我们谈人脸识别安全时，其实包含两方面的安全，一是技术安全，一个是数据安全。”360城市安全集团视觉科技安全专家李智表示，此前，有媒体报道浙江小学生发现打印照片就能代替“刷脸”,骗过小区里的快递柜的新闻，就属于人脸识别科技的技术安全问题。而 “戴口罩人脸照被贩卖”则是公众最担忧的数据安全。

科技进步原本是好事，疫情期间，人们佩戴口罩出入机场、地铁站、商超等公共场所，无需摘下口罩就能进行人脸识别。这既提升了行人的通行体验，也保障了大众的健康安全。但是却被爆出泄露丑闻。那么，这些泄露到底是如何发生的?是黑客突破了系统的安全防护，还是产品本身开了“方便之门”?

在“戴口罩人脸照片被贩卖”的事件中，卖家声称自己手里大概有2万张戴口罩的人脸图片，这些照片“一半是从网络上爬(虫)的，一半来自于现实世界。” “爬(虫)的照片有的是模特，有的是公开的人脸数据集，而现实世界搜集的部分，则从人们上班打卡或进出小区门禁时拍的面部照片。” 打卡的照片甚至“都是年后(拍)的，时间很新。” 李智表示，这样的泄露，有可能发生在人脸识别对敏感数据的采集、存储、使用以及共享等各个环节，

比如，很多产品在进行采集时都是线下收集个人照片，然后集中注册。过程中任何的管理和保存不当，都有可能导致信息和照片泄漏;网络传输时，终端与平台之间的数据传输，一旦被截取、拷贝，也会导致信息泄漏;终端存储时，市面上90%的产品都会保存原始照片，一旦终端遇到强行拆机读取存储空间，都可能被盗取储存照片的信息; 还有大量的管理平台汇集所有数据，只要管理系统遭到入侵，就会导致大量数据泄露。如此前媒体报道的华住、万豪酒店客户开房信息泄密，就是源于管理系统被恶意入侵。李智看来，“这是一个系统安全能力的问题。”

联合国网络安全与网络犯罪问题高级顾问吴沈括曾在接受媒体采访时表示，人脸识别技术的安全问题不在于技术本身，而是应用的问题。不过，现实情况是，当前，尽管很多公司宣称人脸识别技术已经准备好了，戴口罩人脸识别技术也已经广泛应用公司业务产品，但如何防范人脸数据泄露，却很少被提及。

“丢脸”困局如何解?专家支招人脸信息保护

面对“刷脸”的必然与“丢脸”的困境，从政府到行业，都还有工作要做。“尽管《网络安全法》明确将个人生物识别信息纳入个人信息范围，但对于信息的使用、存储、运输、管理仍需进一步细化。” 深圳市政协委员徐先林建议，司法部门和政府应重视对生物识别信息的保护，建立人脸识别网络和信息安全监管体系，鼓励政府与人脸识别龙头企业合作推进技术标准的研究制定，建立个人影像数据管理机制，强化网络安全保障。

360城市安全集团视觉科技CEO邱召强也表示，当前用户非常关心人脸识别的安全问题，包括个人隐私问题。对于整个行业来说，人脸识别技术厂商有义务配合公安、科委、研究院等部门制定行业标准，指导行业规范;而对于企业自身来说，人脸识别安全是更系统的问题，需要实现终端、传输、平台三位一体的安全防护。

例如，可在终端上对算法和模型进行安全芯片固化加密，防止黑客攻击，在设备与系统通讯过程中，要采用白盒加密，确认传输过程中不被拦截破解。终端系统与后台软件需要定时定期地进行安全漏洞攻防检测，终端设备不留照片，只留特征码。

同时，厂商还需要对终端系统、服务平台、操作系统进行漏洞和补丁的及时升级。终端设备要具备双目防伪活体检测算法，防止照片、3D模型、“挖鼻挖眼”照片、视频流等防伪攻击。邱召强表示，针对人脸识别科技的安全问题，作为一家安全公司，360也希望能为这个行业注入“大安全”的基因。

当前，国内人脸识别技术已被广泛应用于移动支付、办公出行、智慧安防、教育零售等行业，并逐渐被人们熟悉、使用。人脸数据作为具有唯一性的生物信息，已经与我们大量的个人信息紧密关联。因此，无论是防伪识别还是信息泄露，一旦为不法分子利用，都有可能给我们带来无法预估的风险。

因此，我们也不得不重新思考，便利与隐私之间，除了边界问题，也许应该更早地将“安全”提上日程。技术的创新升级可以让人们不摘口罩方便生活，技术安全的缺位却也会让大众掉入隐私泄露的陷阱，未来安全标准料将成为人脸识别技术的关键一环和重要基石。