一個(gè)人的手指指紋只有10個(gè)，虹膜只有兩個(gè)，掌紋只有兩個(gè)，聲紋只有一套，臉也就只有一個(gè)。生物認(rèn)證是不可撤銷的，一旦其信息泄漏了，就沒有什么補(bǔ)救措施。

從某種程度上說，缺乏安全保障的刷臉，與把身份證和銀行卡密碼隨便交給他人，沒什么區(qū)別。

因不同意進(jìn)動(dòng)物園要刷臉，浙江理工大學(xué)特聘副教授、浙大法學(xué)博士郭兵，將杭州野生動(dòng)物世界告上了法庭。此案成為國內(nèi)消費(fèi)者起訴商家的“人臉識別第一案”。

2020年12月29日，該案二審在杭州中院開庭，郭兵提出指紋識別和人臉識別相關(guān)格式條款內(nèi)容無效的訴訟請求。

之前不久，一則“戴著頭盔看房”的視頻廣為流傳，因?yàn)橐恍┦蹣翘幍墓ぷ魅藛T會通過人臉識別判斷購房者身份，進(jìn)而決定是否給予購房優(yōu)惠。

互聯(lián)網(wǎng)時(shí)代，“刷臉”等新技術(shù)的發(fā)展和應(yīng)用帶來便利的同時(shí)，也為個(gè)人信息保護(hù)帶來了新挑戰(zhàn)。近年來，圍繞人臉識別的爭議不斷。這些爭議一定程度上反映了人臉識別應(yīng)用之廣泛及由此引發(fā)的公眾擔(dān)憂。

互聯(lián)網(wǎng)時(shí)代如何保障個(gè)人信息安全?生物認(rèn)證技術(shù)有哪些弱點(diǎn)?包括刷臉在內(nèi)的生物認(rèn)證應(yīng)用場景和技術(shù)是否有相關(guān)的規(guī)范和監(jiān)管?科技日報(bào)記者采訪了有關(guān)專家。

生物特征就是我們的另一張身份證

在機(jī)場、高鐵站進(jìn)站核驗(yàn)身份，刷臉;到酒店辦理入住，刷臉;在銀行遠(yuǎn)程開戶，刷臉;網(wǎng)上支付、通過門禁，刷臉……

近年來，以深度學(xué)習(xí)為核心的人工智能技術(shù)飛速發(fā)展，其中，視覺識別技術(shù)應(yīng)用落地頗為廣泛，人臉識別逐漸從少數(shù)安防場景滲透到人們的日常生活之中。今年以來，新冠肺炎疫情帶來無接觸的場景需求，更是加速了這一進(jìn)程。

人臉識別其實(shí)是生物認(rèn)證的一種，其他生物認(rèn)證還有指紋識別、虹膜識別、聲音識別等。生物認(rèn)證最大的特點(diǎn)是唯一性，比如每個(gè)人都有獨(dú)一無二的臉、指紋和虹膜等。

因此，生物特征也可以看作是我們的另一張身份證。“生物認(rèn)證就是識別個(gè)人特征，比如說識別面容特征，跟查驗(yàn)身份證號碼是一個(gè)道理，它可以指代我的個(gè)人身份。”江蘇省科協(xié)黨組成員、副主席，南京理工大學(xué)信息處處長李千目說。

可以想象一下，身份證不用時(shí)，要么放在錢包里，要么鎖在保險(xiǎn)柜里。如果有一天，你的生物身份證被物業(yè)公司、動(dòng)物園、銀行、酒店等存放在你無法知曉的電腦硬盤里，你還會覺得刷臉認(rèn)證是安全的嗎?

北京永信至誠科技股份有限公司首席戰(zhàn)略官潘柱廷告訴記者，密碼可以定期換，可以改。但是一個(gè)人的手指指紋只有10個(gè)，虹膜只有兩個(gè)，掌紋只有兩個(gè)，聲紋只有一套，臉也就只有一個(gè)。生物認(rèn)證是不可撤銷的，一旦其信息泄漏了，就沒有什么補(bǔ)救措施。

從某種程度上說，缺乏安全保障的刷臉，與把身份證和銀行卡密碼隨便交給他人，沒什么區(qū)別。

“這樣一種技術(shù)的推廣應(yīng)用，應(yīng)該對其可能的收益和風(fēng)險(xiǎn)比進(jìn)行充分論證。但在杭州野生動(dòng)物世界這個(gè)案子中，我們看不出使用人臉識別技術(shù)的必要性和不可替代性，也看不到使用方對風(fēng)險(xiǎn)的充分考慮和準(zhǔn)備。此類為推廣技術(shù)而推廣的行動(dòng)都是需要警惕和反思的。”東南大學(xué)程國斌副教授這樣認(rèn)為。

人臉識別為何屢被黑客攻破

早在2017年3·15維權(quán)活動(dòng)中，就曝出刷臉登錄存在安全漏洞：憑借一張觀眾的自拍照，可以成功“換臉”破解手機(jī)的人臉認(rèn)證系統(tǒng)。

其后，也有過人臉數(shù)據(jù)泄露事件發(fā)生，有的是因?yàn)榇鎯φ掌臄?shù)據(jù)庫被黑客攻擊，有的是因?yàn)楣ぷ魅藛T將數(shù)據(jù)拷貝販賣獲利。

李千目告訴記者，目前生物認(rèn)證的弱點(diǎn)主要有兩個(gè)方面：一是生物認(rèn)證主要靠圖像或者視頻來進(jìn)行特征確認(rèn)，圖像和視頻在某種程度上是可以偽造的，“現(xiàn)在有一種方法叫做AI偽造，就是通過AI算法‘造出’一個(gè)不存在的人臉，或者自適應(yīng)生成其他人臉，這種算法叫GAN，也稱為對抗式神經(jīng)網(wǎng)絡(luò)，它可以通過大量的樣本訓(xùn)練生成一些不存在的假樣本、偽樣本。”

二是生物認(rèn)證本質(zhì)上是字符映射，在計(jì)算機(jī)里人臉特征是用0和1這樣的數(shù)字來描述，所以即使系統(tǒng)里不存在這張臉，但是通過黑客攻擊的方法，就可以用數(shù)字的方式把這些特征輸入進(jìn)去，人臉識別就有可能會通過。

2020年10月，一項(xiàng)涉及2萬多人的調(diào)查研究——《人臉識別應(yīng)用公眾調(diào)研報(bào)告(2020)》顯示，有九成以上的受訪者使用過人臉識別，有六成受訪者認(rèn)為人臉識別技術(shù)有濫用趨勢，還有三成受訪者稱，已經(jīng)因?yàn)槿四樞畔⒈恍孤逗蜑E用而遭受到隱私或財(cái)產(chǎn)損失。

相較于身份證號、手機(jī)號之類的個(gè)人信息泄露，目前曝光于大眾視野的人臉數(shù)據(jù)泄露事件還不算多。但已有媒體報(bào)道，一些網(wǎng)絡(luò)黑產(chǎn)從業(yè)者利用電商平臺，批量倒賣非法獲取的人臉等身份信息和“照片活化”網(wǎng)絡(luò)工具及教程。

一個(gè)良性的變化是，民眾的隱私保護(hù)意識有所提升。報(bào)告顯示，高達(dá)八成的受訪者表示關(guān)心過人臉原始信息是否會被收集方保留以及會被如何處理。具體到人臉信息的處理規(guī)則，受訪者最想知道收集方“采取何種技術(shù)和管理措施保證收集的人臉信息安全”，以及“人臉識別技術(shù)是否為第三方提供，如是則第三方是誰”和“人臉信息目前被使用在哪些場景，是否變更了使用目的”。

行業(yè)自律與法律監(jiān)管缺一不可

受訪專家大多表示，樂于看到人工智能等新技術(shù)的應(yīng)用和發(fā)展，但加強(qiáng)個(gè)人信息保護(hù)同樣刻不容緩。

李千目認(rèn)為，對于人臉識別技術(shù)的濫用，一是形成強(qiáng)有力的監(jiān)管，對不法行為進(jìn)行威懾;二是進(jìn)行技術(shù)防范，用人工智能方法進(jìn)行反人工智能的識別和判別，并建立相應(yīng)的認(rèn)證庫或第三方認(rèn)證中心，對生物認(rèn)證進(jìn)行核查;三是加快立法，加大對違法行為的懲罰力度。

放眼全球，一些發(fā)達(dá)國家已經(jīng)在立法上先行一步。2015年，美國發(fā)布《面部識別技術(shù)——商業(yè)用途、隱私問題及其適用的聯(lián)邦法律》報(bào)告，對商業(yè)實(shí)體使用面部識別技術(shù)來識別或跟蹤個(gè)人進(jìn)行限制。2018年，《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)正式生效，明確規(guī)定個(gè)人數(shù)據(jù)是個(gè)人所有的數(shù)據(jù)資產(chǎn)，被稱為“史上最嚴(yán)”的數(shù)據(jù)保護(hù)法案。

我國在個(gè)人信息保護(hù)層面的立法也已提速。例如《民法典》將自然人生物識別信息列為個(gè)人信息;《個(gè)人信息保護(hù)法(草案)》擬對侵害個(gè)人信息權(quán)益行為，給予沒收違法所得和罰款等處罰。

不可否認(rèn)，技術(shù)有很強(qiáng)的工具屬性，誰都可以用，有人用鋼鐵造廣廈千萬間，有人用槍炮屠戮生靈萬千。所以，程國斌認(rèn)為，對于人臉識別技術(shù)的濫用，除了法律監(jiān)管行業(yè)自律，還必須對其進(jìn)行深刻的倫理反思和倫理治理。

“開發(fā)一項(xiàng)新技術(shù)的時(shí)候，人類總是帶有某種價(jià)值傾向或價(jià)值追求。對這個(gè)具體的初始價(jià)值與技術(shù)應(yīng)該促進(jìn)社會發(fā)展和人類幸福的總體價(jià)值之間的關(guān)系做出考量，是科技倫理重要的工作。”程國斌說。

2019年7月，中央全面深化改革委員會第九次會議審議通過了《國家科技倫理委員會組建方案》。實(shí)施科技倫理審查就是為科技創(chuàng)新劃定必要的倫理航道和價(jià)值底線，明晰科學(xué)技術(shù)活動(dòng)中“有所為，有所不為”的倫理邊界，防止隨意打開“潘多拉魔盒”。

“但據(jù)我所知，目前我國倫理審查機(jī)制僅在醫(yī)學(xué)界建設(shè)得相對完備，而在高校院所和企業(yè)科研中基本是空白。與歐美的一些發(fā)達(dá)國家相比，我國科技倫理審查的覆蓋面和制度的完備性方面，還有較大的提高空間。”程國斌說，成立機(jī)構(gòu)只是開始，一整套的機(jī)制、政策、法律體系和潛移默化的科學(xué)倫理意識還需加快培育。

關(guān)鍵詞： 刷臉時(shí)代 保護(hù)隱私