刷脸时代，你的人脸信息安全吗？

7月21日，国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定，其违法事实中提到“过度收集乘客人脸识别信息1.07亿条”。

去年315晚会上，央视揭露了一个令人惊悚的事实——你的脸，随时都有可能被“偷”。在商场、小区，甚至是路边并不起眼的门店，人脸信息都可能被悄无声息窃取。

目前人脸识别在金融政务、安防、交通、教育、医疗等行业都有广泛应用。相比指纹、声纹、虹膜、步态等其他基于生物特征的身份认证技术而言，人脸识别技术更受青睐。

技术飞速发展的背后，又该如何保障我们的信息安全？

（一）人脸信息纠纷正屡屡发生

经过6次人脸识别后，李红（化名）被骗子利用人脸识别骗走近43万元。而这一切，却并非李红“本人操作”。

《中国新闻周刊》报道称，银行系统后台显示，在进行密码重置和大额转账时，“李红”进行了6次人脸识别比对，均显示“活检成功”。事实是，那几次人脸识别并不是身在北京的李红本人操作，登录者的IP地址显示在台湾。

据报道，诈骗分子让李红从网站下载了假冒的诈骗软件和视频会议软件，套取了她的银行卡和密码以及人脸信息等关键内容，并远程操控了她的手机。

因怀疑银行人脸识别系统的安全性，李红以“借记卡纠纷”为由将银行告上法庭，要求赔偿。6月30日，北京市丰台区人民法院一审驳回了李红的全部诉求。法院认为，李红在42.9万元被盗过程中“过错明显”，银行作为指令付款方，已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份，未见存在明显的错误或过失。

李红的遭遇并非个案。据浙江电视台某新闻栏目报道，2020年，杭州赵女士也被类似的套路骗走了52万，犯罪分子在和赵女士视频聊天时录制了她的人脸画面，从而通过了转账时的人脸识别步骤。

清华大学法学教授劳东燕在去年提出过一个预测，她认为包括人脸数据在内的利用个人信息进行精准诈骗等犯罪的浪潮才刚到来。“犯罪的高潮还在后面，尤其是这种多中心的信息收集模式，一定会暴雷。”

红星资本局梳理发现，去年平安银行、光大银行等多家银行均发布公告，提示人脸识别盗用风险。

在此之前，有关“人脸识别”的相关纠纷已经在发生。2019年，因不愿意使用人脸识别，浙江理工大学特聘副教授郭兵作为消费者将杭州野生动物世界告上了法庭。该案也成为中国“人脸识别第一案”。今年“天津人脸识别案”中，天津的顾先生因拒绝“刷脸”回家，将自己小区物业告上法庭。此外，“广西南宁业主刷脸房子被过户”“94岁老人被抱起做人脸识别”等事件也在舆论场中引发热议。

（二）人脸数据被交易，成本只有几毛钱

从法律角度来讲，人脸信息属于典型的“生物识别信息”。人脸识别也一直被视为最安全的生物识别技术。

而李红的遭遇意味着人脸识别并不完全可靠。红星资本局梳理公开信息后注意到，解锁人脸识别在技术上并不难。

去年10月，清华大学Real AI团队用15分钟解锁了19部国产智能手机，解锁的道具为人脸照片；2019年，浙江有小学生科技团队爆料，用照片就能破解居民小区的快递柜。

大部分人很难想到，仅仅通过自己的一张照片就能完成“刷脸”。事实上，由静态照片变成冒充人脸识别的动态视频的过程，仅需数十秒。

去年10月，合肥警方捣毁了一个伪造他人人脸动态视频的犯罪团伙。现场缴获的涉案电脑里，保存了大量的公民人脸数据，包括公民身份证正反面以及生活照等。

据警方了解，这些照片售价几毛钱到一块钱不等，而嫌疑人帮别人伪造人脸识别的收费一般在2块钱到10块钱不等。

今年1月，奇安信集团行业安全研究中心主任裴智勇在接受《中国消费者报》采访时表示，智能换脸的技术门槛比绝大多数人的想象要低得多。通过人工智能技术，可以将一张普通的静态照片（正面、侧面均可），转化生成一张表情生动的人脸，以2017年左右的技术水平，已经完全有能力骗过绝大多数人脸识别系统。

“现在大家提到人脸信息，更多的是把它作为敏感个人信息中的生物识别信息去保护，但人脸信息越来越成为人的数字身份中最重要的要素。这在过去的讨论中是不够充分的。”世辉律师事务所合伙人王新锐律师向红星资本局表示，“人脸”已经成为每个人数字身份中最底层、最基础的要素。

换句话说，只要有“你的脸”就能够连接“你”这个数字身份。反过来，如果有人造假了这张脸，那也能够掌握这个数字身份。“盗用这个数字身份背后带来的人格权、财产权的损害，是非常可怕的。”王新锐表示。

人脸信息跟数字身份的天然联系，意味着一旦发生盗用，带来的损害将是连锁反应。

（三）保护自己的脸已不仅是个人问题

从行业发展的角度来讲，人脸识别技术未来可期。据预测，新冠疫情后全球人脸识别市场规模将从2020年的38亿美元增长至2025年的85亿美元。到2024年我国人脸识别市场规模将突破100亿元人民币，我国有望成为全球最大人脸识别市场。

近些年在立法层面，我国对人脸信息使用也有了明确规定和高规格的保护。

去年8月1日，最高法发布司法解释，对人脸信息处理予以专门规定，其中包括收集人脸信息需征得单独同意、禁止物业强制刷脸等。

《个人信息保护法》中也突出了作为敏感个人信息的生物识别信息的特别保护，规定“处理个人敏感信息应该进行更多的告知，包括相应的风险，以及应当取得个人的单独同意”。

尽管有法律上的相关约束，但现实中仍无法避免大量场景滥用人脸信息的情况发生。“在哪些场景下允许去用？是不是强制大家去用？在现实里仍是一个很大的挑战。”王新锐说。特别是对人脸识别做评估和利益衡量的时候，往往会突出技术优点，对其背后风险的分析远远不够。

北京大学法学教授、博士生导师张平向红星资本局指出，保护自己这张脸，已经不仅仅是个人问题，有些时候甚至涉及社会问题，包括社会群体的安全问题。

张平提出了一种假设，“比如北大清华的老师们都被刷脸，根据分类就知道某些老师是研究哪类问题的，继而会越来越精准画像，而这种画像已经不属于个人安全和个人隐私范畴，甚至有可能是涉及群体安全和科技安全的问题。”

“我们一直都去推动个人信息保护的合规，包括各种技术标准和指南，但其实在个人信息里边，人脸这个信息应该特别给予重视。”张平注意到，各个机构在制定隐私政策的时候，很少把“人脸识别”的技术单独拉出来强调，而是放在一般隐私政策当中，操作非常不规范。

（四）人脸识别的安全与合规依然任重道远

如果放在场景中去探讨，张平认为，从居住环境开始，就应该提高对人脸信息的重视。比如小区及超市商场，最容易出现“灰色地带”。

“在商场收集的人脸信息，没有公示也没有声明。这些信息将会做什么用、有没有采取安全措施？数据一旦被泄露，又如何给予个人补偿？这些问题都没有说明。”

张平认为，这些监管空白应该从当下就开始介入，如果等大量信息存在于数据库和云端，监管就失去了意义。

针对人脸信息的采集和使用，法律监管和行业自律缺一不可。“所有处理人脸信息的公司，都需要有一个自证清白的义务。”王新锐表示。

王新锐介绍，首先这些机构要有个人信息安全影响评估，但在实践过程中，普遍做得并不好。

他指出，很多企业在处理人脸信息的时候，并没有去做评估，或者做完评估以后，很多问题考虑仍比较简单。他认为不管是企业侧还是政府侧，针对人脸识别的各种授权文件、相关协议都需要更严谨的解释。

“人脸信息跟一般的敏感个人信息相比还是有一些差异，所以我觉得在做人脸信息评估的时候，不能仅仅把它当做敏感个人信息，而是要把它更往前推一步。”

王新锐指出，目前全球对人脸信息的管控监管普遍趋严。“我们也认为，未来在人脸信息的处理以及合规方面，还是应该采取叠加技术手段和管理手段的方式。在合法性基础上，以更加严格的态度去对待人脸信息。”