原標題：我的“臉”我做主——互聯(lián)網(wǎng)時代，如何守護“臉安全”？

　　新華社南昌10月31日電（記者袁慧晶）手機解鎖、賬單支付、車站進站……“刷臉”成為當下最廣泛最便捷的證明身份的方式之一。近日，一條“面具可代替人臉解鎖手機”的報道，讓人臉識別技術的安全性問題再次被關注。人臉識別技術真的不安全嗎？是什么導致“你的臉你說了不算”？新技術應用推廣階段，如何兼顧效率與安全？

　　不同人臉識別系統(tǒng)可能被不同方式破解

　　日前有媒體報道稱，科研人員以使用率較高的人臉識別解鎖手機進行測試發(fā)現(xiàn)，用面具可代替人臉解鎖手機，且面具的制作成本并不高。有網(wǎng)友回復稱“公司刷臉打卡上下班，手機照片一掃，照樣可以”，還有網(wǎng)友說“在臉上貼了錫紙，只露出眼睛，某政務系統(tǒng)也給判定通過。”

　　人臉識別被破解已非新鮮事。2019年8月，安徽南斗星仿真機器人科技有限公司董事長王峻曾3D打印了自己的頭部模型，通過了某APP的人臉識別驗證。此后，浙江嘉興的幾名小學生發(fā)現(xiàn)，小區(qū)里的快遞柜用一張打印照片就能解鎖。在浙江警方今年破獲的兩起盜用公民個人信息案中，犯罪嫌疑人利用“AI換臉技術”非法獲取公民照片進行預處理，再通過“照片活化”軟件生成視頻來騙過核驗機制。

　　專家指出，不同的人臉識別系統(tǒng)可能被不同的方式破解。中國科學院自動化研究所研究員雷震說，基于二維掃描原理的人臉防假體攻擊技術可能被照片破解，基于點頭、眨眼等互動的人臉防假體攻擊技術可能被活化軟件根據(jù)照片生成的動態(tài)視頻欺騙，基于多光譜融合的人臉防假體攻擊技術則可能被高仿真度的3D打印面具或頭部模型破解。

　　同一對象用不同終端識別的結果也不同。王峻說，他用3D打印模型還進行了手機解鎖測試，發(fā)現(xiàn)能解鎖大多數(shù)手機，但擁有3D結構光掃描和紅外攝像頭的手機則不行。

　　“刷臉”安全單靠技防難保障

　　《人臉識別應用公眾調(diào)研報告（2020）》顯示，在有關人臉識別的安全隱患中，受訪者最擔心“人臉信息泄露”，隨后是“個人行蹤被持續(xù)記錄”和“賬戶被盜刷，導致財產(chǎn)損失”；超三成受訪者表示已經(jīng)遭遇人臉信息泄露或濫用。人臉信息具有唯一性和不可更改性等特點，一旦泄露就是終身泄露，當其與個人銀行賬號、個人身份信息進行關聯(lián)后，可能成為不法分子牟利新手段。

　　記者了解到，人臉識別系統(tǒng)的工作過程大致分為四步：預存人臉信息、人臉信息采集、人臉信息比對、輸出比對結果。比對環(huán)節(jié)通過算法完成，比較的是當前識別的人臉信息與數(shù)據(jù)庫中預存的人臉信息是否匹配。

　　“有的廠商為降低硬件成本，簡化了臉部特征提取點，造成了識別精度下降。”360城市安全集團視覺科技首席執(zhí)行官邱召強說，人臉識別技術又被稱為特征碼識別，即以瞳孔為基點，對瞳孔到鼻子、眉毛、耳朵、嘴的距離，進行特征點提取。提取點數(shù)越多，構成的生理特征越復雜，設備成本投入也隨之增加。

　　邱召強說，要確保人臉識別技術安全可靠，就要把照片、手機視頻、3D面具、3D頭部模型等情況全排除掉；對于手機來說，識別的安全性會更低，因為沒有專業(yè)識別設備。王峻舉例說，市場上許多手機都是二維攝像頭，且不帶紅外探測器，即便算法已排除掉風險，但由于采集端、識別端的硬件缺陷，依然難以保證安全。

　　“單純依靠技術升級，無法完全避免人臉識別帶來的安全隱患。有新的防御手段，就會有新的攻擊手段。”雷震認為，在現(xiàn)階段，可以通過系統(tǒng)性優(yōu)化人臉識別系統(tǒng)來解決一部分的安全問題，但技術升級終究只是增加了破解的難度和成本，避免安全漏洞被大規(guī)模“鉆空子”。

　　專家呼吁構建技術應用標準體系

　　專家認為，人臉信息作為個人信息中最為敏感的一類“個人生物識別信息”，需進一步以立法立規(guī)、制定標準等方式，對其應用安全加以引導。

　　“雖然網(wǎng)絡安全法明確將個人生物識別信息納入個人信息范圍，但對于信息的使用、存儲、運輸、管理不夠細化。”江西師范大學政法學院副院長顏三忠建議，頂層設計應盡快建立從人體生物識別技術層面制定的各個行業(yè)應用的標準體系。

　　正在征求意見的《中華人民共和國個人信息保護法（草案）》雖明確了安裝設備應當為“維護公共安全所必需”，但哪些情形屬于必需也應進一步明確，誰能安裝設備、如何審批也需細化。

　　網(wǎng)絡安全法中規(guī)定的“告知—同意”規(guī)則也可能因為信息不對稱失去意義。“很多民眾對于人臉識別的認知不夠，技術提供方有義務充分告知風險，且不得以個人不同意采集信息為由拒絕提供產(chǎn)品或者服務。”顏三忠認為，應當遵循合法、正當、必要原則，讓被采用者享有應有的知情權，且有權撤回。

　　通過預防性制度來確保科技創(chuàng)新與應用的安全邊界是當務之急。受訪人士認為，人臉識別技術應用也可作為初篩環(huán)節(jié)，綜合其他信息進行比對來降低誤判風險。

　　轉自：新華網(wǎng)