“刷脸”真的安全吗

近日，关于“刷脸”的新闻呈“刷屏”之势：iPhone X应用公布具有脸部识别功能;杭州一肯德基餐厅宣布可以刷脸支付;农业银行总行下发通知，要求全国推广人脸识别系统;北京所有公租房将推行“人脸识别”门禁;北师大宣布学生宿舍全面启用“刷脸开门”……

“刷脸”应用呈爆发式增长，但不少人也对该技术的安全性提出质疑。

“变脸”App让用户主动将人脸视频送上门

雷也（脸部识别软件开发工程师）

近日，有苹果用户不时接到陌生人打来的FaceTime视频电话，接通后对方处于黑漆漆的状态，只有自己的图像呈现在手机屏幕里。此类陌生FaceTime视频通话存在录制用户脸部视频的风险。

一些支付App已经采用“人脸识别”技术，让用户直接“刷脸”支付，而不法分子利用FaceTime录制用户脸部视频后，有可能借此通过单一“人脸识别”验证，盗取用户账户里的财产。

上述“盗脸”是骗子主动出击，事实上，大众在日常生活中还主动贡献了许多“脸部信息”。许多人知道各类免费App有收集提取用户个人信息的风险，但却不清楚那些提供花样修图“变脸”的App也存在着收集用户脸部动态视频的风险。

在用户使用“变脸”美图的过程中，系统会自动截屏上传至后台，并与用户提供的个人注册信息相匹配。用户的“脸”，可能不知不觉就被收集了，进而被不法分子“卖”入黑市。不管是电信运营商的自助“实人验真”系统，还是支付平台采用的“人脸支付”，都离不开脸部特征+脸部动作结合的验证方式。“变脸”的数据库录下了用户验证的整个过程，等于提供了一个完整的用户人脸验证视频，不论其他支付或者验证平台需要怎样的特征和动作，在一定的技术条件下，有了人脸视频都可以轻易完成。因此，这样一条完整人脸视频信息，可以被叫卖到50至80元不等的高价。

在网络上，某种意义上每个人都是透明的。大量个人信息被收集被泄露被贩卖，而拍照修图等软件的流行，让人脸信息也成为流通信息的一种，让本来具有单一生物特性的“人脸识别”技术也不再安全无忧。因此，“人脸识别”与其他个人信息一样，其安全性同样需要法律和监管部门的有效作为来保驾护航。

“远程人脸识别+身份证件核实”有望成为银行验证标配

周曦（云从科技创始人）

近两年，国内各家中小银行和四大行地方分行已经陆续将人脸识别技术用于日常业务，近日，四大行中的农行更是首先在全国范围应用人脸识别技术。银行光凭“刷脸”真的靠谱吗？

人脸识别技术在过去一年来，平均6～8个月识别率就会提升一个数量级，测试结果表明，人证合一对比，人眼识别率平均为72.5%，机器识别率超过99.5%。同时，机器不会疲劳，能节约人力成本，更适合远程业务办理。

目前银行使用人脸识别技术主要集中在11个不同部门的46种不同需求，涉及：远程开户、支付、柜台对比、智能机具、智能金库等。

银行在选择人脸识别技术时，一般会重点考虑：正确接受率，考量两张人脸照片为同一个人时，系统判断成功并予以通过的概率，越大越好;错误接受率，考量两张人脸照片不是同一个人时，系统错误判断为同一人的概率，越小越好。还有一个性能指标是比对速度。银行一般要求误识率控制到万分之一以下，通过率 90% 以上，比对速度 1 秒以内。

相对虹膜，人脸识别有很多优点：更方便，不需接触，没有侵犯性;更简单，交互性好;设备通用，摄像头、PC机、手机、平板等通用设备均可使用;不易仿冒，有活体识别功能。

当然，仅靠人脸识别是不够的，通过“远程人脸识别+身份证件核实”的方式进行身份验证有望成为银行的标配。可以将人脸理解成银行卡，ATM 机通过人脸识别比对可以将对应的银行卡关联起来，但用户还是要输入密码来进行取款。

人脸识别技术如何区分双胞胎等特殊情况？事实上，人眼看双胞胎可能没有差别，但计算机对人脸细节进行归纳和抽象，完全具备强大的区分双胞胎的能力。只是，目前机器对人脸的清晰度要求还比较高，如果有些场景提供的人脸信息不够清晰，机器目前无法做到 100% 的准确。

人脸不能复制，转化的二进制代码可以

刘春泉（上海段和段律师事务所高级合伙人）

2017年春运期间，人脸识别技术在部分火车站进站检票处开始应用，引发很多关注。虽然生物识别的准确性等问题会随着技术进步逐步获得解决，但生物识别身份却存在难以克服的潜在法律风险。

人体生物学特征具有唯一性，是很多人看好这个领域商业前景的主要原因。比如人脸、虹膜、指纹、声纹，这些特征只有当事人自己才有，别人不能假冒。有了这样的特征识别，网络不法分子想要破解“人脸密码”就没有破解一般数字字母密码那么容易。但是，在资本热捧人脸识别概念的时代，人们似乎忽视了一点，那就是人脸识别如果大规模使用，尤其是非现场使用，一定要通过信息网络，而通过信息网络，任何信息都要转化为计算机识别的二进制代码。换言之，人脸不能复制，转化的二进制计算机代码可以复制，也完全可以被盗窃、滥用。

生物识别技术的识别原理和提取的数据都会存储成为平台企业的数据库，在目前全世界情况来看，都存在平台数据泄露、失窃的潜在安全风险。更为可怕的是，不像密码可以重置，银行卡可以挂失，生物识别信息对于个人来说是不可再生、不可重建的，因此，一旦泄露就是永久泄露，难以挽回。

所以对于人脸识别设备在火车站检票时的使用涉及数据安全的担忧是成立的，这种数据一旦被泄露，会成为永久的安全隐患。

我认为，目前的技术条件下，公共服务领域不能强制推行人脸识别，也不能将这些技术作为法定身份识别的唯一依据，可以允许企业使用人脸识别作为辅助身份验证依据，但必须告知用户潜在风险，并提供替代方案。

要在国家安全的视野下看待人脸识别

齐爱民（广西民族大学网络与大数据法治战略研究院院长）

以苹果新机型iPhone X应用脸部识别功能为例，机械识别人脸的过程本身是在编码程序控制下的自动化过程，很容易由其编写人员跳过或破解，或者在了解抓取特征后仿制出仿冒品。

个人生物信息可直接且唯一识别到个人，从个人信息理论分类角度看，其敏感程度远高于一般信息，可称之为“敏感信息”中的“敏感信息”。鉴于其存在特殊风险，因此在保护层级上也要高于“一般信息”，需要受到特殊关注和保护。目前，有关生物信息的以上讨论还仅限于学术领域，未列入立法实践的议程。

“刷脸支付”要全面正式投入使用，必须有相关法律法规出台。有学者提出，应该强制相关网站通过PCI-DSS安全认证这类国际性的在线交易数据安全标准，并定期核查。与此同时，要求商家在内网安装防火墙，监测重要数据的使用记录，还应为用户购买信息安全保险，提供泄露信息的赔付服务等。

在行政方面，有人提出网络信息安全的独立问题，应该设立专门的信息安全机构进行配套运作，政府需要对相应的信息安全机构进行严格监管。

在当今的信息时代，谁掌握了信息，谁就掌握了主动权。个人信息跨国传输问题早就超越了个人信息保护的层面，上升到了社会安全和国家安全层面。如，国内几大电商平台的个人信息如果被外国机构广泛收集，对方除了可以通过大数据分析和挖掘技术等透视中国公民的消费习惯和購买倾向，还可以了解中国整体社会发展状况及未来可能发生的重大事件，使我国国家安全面临安全隐患。因此，要在国家安全的视野下看待人脸识别，制度和法律都要跟进。endprint