人臉識別，要方便更要安全

國慶中秋“雙節”期間，很多遊客在乘車安檢、入住酒店等過程中都有“刷臉”的經歷。實際上，越來越多的人已經習慣了“刷臉”：購物時“刷臉”支付、玩手機時“刷臉”解鎖、進入小區時“刷臉”開門……如今，人臉識別技術應用於金融支付、身份認證、小區安防等諸多場景，給人們的生活帶來不少便利。但與此同時，人臉數據等個人隱私數據資訊也存在被過度分析和濫用的風險，數據安全不容忽視。

11月1日，國家標準《資訊安全技術遠端人臉識別系統技術要求》將正式實施。該標准將推動我國人臉識別技術産業化發展，進一步豐富人臉識別技術體系和應用場景。當前，我國人臉識別技術及應用現狀如何？人臉數據等個人隱私數據資訊存在哪些安全風險？今後應如何更好地應用人臉識別、保護數據安全？記者就此採訪了有關專家。

1“刷臉才能進小區，誰來保護我的人臉資訊”

【案例】

近日，北京市民楊女士所在的小區加裝了人臉識別門禁，這讓她“喜憂參半”。“喜”的是出門可以不用帶門禁卡，“憂”的是數據資訊存在被洩露的風險。“小區門禁使用人臉識別，需要拍照並登記電話號碼、身份證號、房産證上具體住址等個人資訊，如果這些隱私數據資訊洩露了，後果簡直不堪設想。刷臉才能進小區，誰來保護我的人臉資訊？”楊女士説。

人臉識別是基於人的臉部特徵資訊進行身份識別的一種生物識別技術。具體而言，就是電腦通過視頻採集設備獲取識別對象的面部圖像，再利用核心演算法對其臉部的五官位置、臉型和角度等特徵資訊進行計算分析，進而與數據庫裏已有的範本進行比對，最後判斷出用戶的真實身份。

“簡單的人臉識別，可能需要採集、提取人臉上的六個或八個關鍵點，用這些點和數據庫裏的點進行比對，如果比對上就可以進行識別。人臉識別不是為了更加安全，而是為了方便。”通信行業觀察家項立剛説。

中國通信工業協會區塊鏈專委會副主任委員于佳寧在接受本報記者採訪時表示，以人臉識別為代表的生物識別技術規模化商用確實為經濟社會運作和人們生活帶來很多便利，但是生物資訊屬於社會基礎性資源，具有終身不可更改等特點，這些數據在採集、傳輸、保存、使用以及第三方調用過程中，可能會出現數據洩露和濫用問題，給社會正常運作和發展帶來額外風險。

中國電子資訊産業發展研究院網路安全研究所副所長閆曉麗也認為，人臉數據作為高敏感的生物識別資訊，具有不可變更性，一旦被過度分析和濫用，將會對個人隱私權等權利構成侵害。例如，未經個人同意，通過與人臉識別系統連接的攝像頭、智慧設備等收集人臉數據，並利用機器學習等技術對其加以分析，對個人“畫像”，將會獲得個人行蹤、行為特徵等私密資訊。

閆曉麗告訴記者，國內外已有對人臉數據過度分析的情況。基於人臉識別技術被濫用的擔憂，美國以及歐洲一些國家對人臉識別技術使用進行了限制。在實踐中，未經個人同意或在非必要場景下收集人臉數據、因管理不當導致大規模洩露等情況，都可能導致人臉數據被進一步濫用，從而給個人隱私權等造成侵害。

2人臉數據“3元包郵”，竊取、濫用和誤用成三大難題

【案例】

有調查發現，在一些網路交易平臺上，部分賣家以“0.5元一份”的價格售賣人臉數據，甚至也賣“照片活化”網路工具及教程。近日，AI（人工智慧）換臉涉嫌侵犯肖像權的話題登上微網志熱搜，同時也有媒體報道，在某二手交易平臺上，有人售賣具有400張人臉數據資訊的人臉二維碼識別程式，稱“3元包郵”。

有專家稱，當前，網路黑市中售賣的人臉資訊並非單純的“人臉照片”，而是包含公民個人身份資訊（包括身份證號、銀行卡號、手機號等）的一系列敏感數據。如果人臉資訊和其他身份資訊相匹配，可能會被不法分子用以盜取網路社交平臺賬號或竊取金融賬戶內財産；如果人臉資訊和行蹤資訊相匹配，可能會被不法分子用於精準詐騙、敲詐勒索等違法犯罪活動。

人臉數據只是一個縮影。當前，數據作為新型生産要素，已成為資訊時代國家重要戰略資源，數據安全關係到經濟社會發展的方方面面。

360集團首席安全官杜躍進認為，目前，數據安全現狀有兩個關鍵詞：恐慌、混亂。“恐慌”表現在很多普通人以及企業非常擔心數據安全出問題，但是會出什麼問題説不太清楚，甚至有一些人擔心“手機無時無刻不在監聽著自己”；“混亂”表現在産業界等尚不知道該如何解決數據安全問題。竊取、濫用和誤用是當前數據安全面臨的三大難題。從數據安全發展趨勢看，痛點在加強、需求在加快、動作在加大。

在於佳寧看來，數據安全已經不僅僅是個人隱私問題，更是網路安全甚至是國家安全的重要組成部分。他表示，我國目前在數據安全方面已建立部分法律法規，總體數據安全保障體系正在逐步建立，但數據安全還存在一些痛點和隱患。例如，個人和企業數據普遍託管在中心化網際網路平臺，無法控制數據的使用和流動，導致個人數據被濫用，且數據價值和收益分配極為不合理。總之，我國數據安全保護體系仍然亟待完善。

閆曉麗介紹，目前，我國確立了數據安全的基本制度，包括數據分類分級、重要數據出境安全評估、個人資訊安全保護等。相關部門落實法律要求，通過個人資訊專項治理、數據安全合規性評估等工作，促進了企業和機構數據安全管理能力的提升，以及社會各界數據安全意識的提高。

“但整體看，我國數據安全保護還處於較低水準。”閆曉麗説，非法收集和使用個人資訊的情況屢見不鮮，人臉數據等個人資訊買賣黑色産業鏈屢禁不止；尤其是一些關係國計民生的重要行業和領域，尚未建立起針對重要數據的數據安全管理體系，企業數據安全風險監測、預警和事件處置能力還較為薄弱。此外，針對數據流通各環節的安全風險，相關企業的數據安全保障能力也有待提高。

3個人資訊採集應“正當化”，從源頭上確保數據安全

【案例】

如今，人臉識別也進入了校園。一些學校除了運用人臉識別技術進行校園智慧安防外，還在“試水”用人臉識別保證出勤率和提高聽課效率，不僅能全程監控課堂，就連學生發呆、打瞌睡和玩手機等行為都能識別出來。有學生表示，一舉一動都被攝像頭監視，“讓人後背發涼”。專家認為，人臉數據採集應“正當化”，人臉識別技術應用的基本原則是被監控者知情同意和最大程度隱私保護。

對於人臉識別，不能抱“鴕鳥”心態、不能因噎廢食，要進一步規範、謹慎應對。專家建議，立法機關應劃定人臉識別技術的使用紅線；監管部門也應對惡意洩露他人人臉和身份資訊的違法行為予以堅決制止。

“目前，數據安全問題之所以非常突出，部分原因在於當前數字身份、數據確權、數據溯源和交易等方面的機制還不夠健全，技術也不夠完備。”于佳寧説，區塊鏈被認為是一種“為數據而生”的新型技術，借助區塊鏈可以在數據安全保護的同時，實現“數據價值最大化”。基於區塊鏈的公私鑰體系，可以確立統一化數字身份，進而實現數據的確權、有序流轉、可溯源和防篡改。

于佳寧認為，今後要積極推動區塊鏈與5G、物聯網、人工智慧等新技術融合發展，從源頭上保護人臉數據等個人隱私數據資訊安全。隨著5G、物聯網等技術發展和新型基礎設施建設進程加快，智慧物聯設備可能帶來的新型數據安全風險不可忽視。區塊鏈與這些技術具有天然的互補性，正所謂“5G是區塊鏈的加速器，區塊鏈為5G穿上防彈衣”。因此，有必要儘早推動技術融合，構建從數據源頭就開始生效的可信數據流轉體系，從根源上確保數據的可信和安全。

于佳寧建議，加快建設數據資産生命週期管理新型基礎設施。數據的存儲和共用是確保數據安全的核心環節，要結合雲計算和區塊鏈技術，構建以數據為基礎、演算法為支撐、算力為動力的數字經濟資源開放服務平臺。另外，要建立企業數據資産新型管理模式。加快實現數據資産化，並從司法、會計、稅務等方面修訂現行法律法規，讓數據資産管理標準化、規範化、常態化，進而在充分保障數據權屬和安全的前提下，帶動不同企業之間數據的共採共用與可信交易。

閆曉麗表示，保護人臉數據等個人隱私數據資訊安全，制度建設要先行。儘快出臺《數據安全法》《個人資訊保護法》等法律；重要行業和領域加快制定實施細則和指引，指導行業企業強化數據安全管理。同時，要大力發展數據安全技術和産業。支援網路安全等企業開展差分隱私技術、多方安全計算、數據監控與追溯等關鍵技術研發，培育數據安全諮詢、數據保護設計、數據安全管理等服務。