从进入小区、办公楼到使用各类手机App，人脸识别技术作为一种新兴的身份认证手段，其应用的日常生活场景越来越多。记者调查发现，很多手机App都会采集人脸信息，而有市民在使用某购物平台屡次被要求提供人脸验证，只有同意才可以享受该平台的更多服务。在便利和隐私之间，用户们只能在“留下或者离开”之间二选一。

　　人脸识别场景的增多，也为用户面部信息泄露带来安全隐患。记者调查发现，人脸识别采集、流通、储存等各环节都有公司参与，涉及的链条较长，一旦其中某一个环节把关不严，则容易泄露人脸信息。网络安全专家宋宇波建议，进一步开发替代性的身份识别手段，在信息安全流程尚不成熟的阶段，加强把控人脸识别技术风险。

　　文、图/广州日报全媒体记者 周伟良 （除署名外）

　　人脸被过度采集： 

　　有平台以折扣诱导用户“刷脸”

　　最近，市民王女士被某电商购物平台多次要求采集其人脸信息。她在线上购买了一张电话卡，在由某电商平台物流人员进行配送电话卡时，王女士提供了身份信息，并按要求进行了一次人脸信息采集；而过了几日，王女士打开该电商平台消费时又被要求收集其人脸信息。

　　王女士告诉记者，她通过该电商平台购买了一个箱子，原价为309元，平台称，若提供身份证并进行人脸认证，价格可优惠至243元。为了不让平台收集其人脸信息，王女士选择了原价购买。王女士觉得纳闷，她的账号已经绑定了她的手机号、银行卡和微信账户，为何平台还要诱导她进行人脸认证呢？她认为该平台涉嫌违规收集消费者信息。

　　针对该情况，记者也登录该电商平台，记者此前已提供了身份证相关信息，但要想查询名下账户，该平台也要求记者进行人脸识别完成身份验证。记者注意到，如使用人脸识别验证身份，则表示用户同意平台使用并传送身份信息和人脸信息用于身份核验。根据该平台的人脸识别服务协议，如记者进行人脸识别验证，则授权该平台或第三方平台提供姓名、身份证件照片、面部照片或认证视频、认证语音信息。而如果不同意提供人脸信息，平台就不提供服务。

　　记者咨询某电商平台为何需要用户提供人脸信息，一位客服人员表示，平台是为了确保用户为本人使用账号，减少因账号被盗的风险，因此需要人脸认证或提供身份证核验。

　　如今，手机上的各类App都在力推人脸识别登录。如记者登录某金融类App，其多次弹窗提示进行面容登录；而除了线上人脸识别，线下人脸识别应用也越来越广泛。在一些小区，“刷脸”通行为不少业主提供了方便。市内某小区业主王先生说，小区使用人脸识别进出，自己可以在小程序上自由增添家里的通勤人员；而在各大中小学校，“刷脸进校园”也成为智慧校园建设的一部分，一些学校甚至可以将学生在校的消费记录传递给家长。人脸信息，正在全年龄段地无差别地被收集，无论是自愿还是非自愿。

　　权责不对等：

　　信息泄露风险全由用户承担

　　人脸识别的确给人们的生活工作带来了方便。市民李先生告诉记者，其上班的写字楼使用人脸识别闸机，此前没使用人脸识别系统时，他若忘带工卡都无法进入办公楼，现在人脸识别则解决了这个问题。不过李先生也有担忧，“物业只需要安装人脸识别系统，就能收集到成千上万人的人脸信息，万一这些信息泄漏该如何是好？ 又该如何追责？”

　　根据《信息安全技术个人信息安全规范》，在收集敏感个人信息前，信息处理者应确保信息主体在完全知情的前提下表示明确同意。但记者了解到，线下的人脸收集，大多是物业单方面的规定，并无风险提示和相关责任的划分。而各类手机App的人脸信息收集，则把人脸识别背后带来的风险全部“推”给用户。记者登录某金融类App时，每次都有弹窗页面提醒进行面容登录，其服务风险揭示书条款显示：“若您在开通面容识别时，勾选了同意《面容ID登录协议》，将认为您已经完全了解面容识别功能具有的风险，并承诺能够独立承担该功能可能出现的风险和由此带来的损失。”

　　记者调查发现，用户反感手机App收集面容信息的背后，是对其“产生的后果由用户独自承担”产生忧虑。在上述协议中，无论是该金融App还是其他软件服务提供商，都在使用条款中撇清了责任——使用面容登录产生的不利后果都由使用者承担。如不承担，则不能够使用。

　　记者随后了解到，有了用户的人脸信息，平台能够更加确保是用户行为，在厘清双方责任时更加有利于平台方举证。

　　一方采集多方使用：

　　人脸信息泄露源头多元化

　　记者调查发现，人脸识别采集、流通、储存等各环节都有公司参与，涉及的链条较长，一旦其中某个环节把关不严，则容易泄露人脸信息。如某小区收集住户的人脸信息，提供给人脸闸机服务的相关提供商，而服务提供商采用的人脸识别技术由相关互联网企业提供，这其中采集、流转、储存涉及到至少三个角色；此外，人脸识别的技术应用涉及芯片厂商、算法服务提供商、移动终端厂商等多个技术角色，这使得人脸识别信息的泄露方式和源头更加多元化。

　　此外，记者在手机App等采集面容的协议中发现，在进行人脸验证时，需多层数据转接，用户要面对与所用的App、技术提供商、数据中间商、数据后续利用等多重主体的关联，在转接过程中，也增加了人脸数据泄露风险。

　　记者调查发现，一些人脸信息收集方为降低获取信息的成本，在收集人脸识别信息之初，会通过格式条款或者“霸王条款”等方式，让用户被迫同意出让自己的面部识别信息，或者授权商家无条件使用该信息。一旦用户同意，那么其人脸识别信息的流转、何时何地被盗取他们都将不得而知。人脸信息一方采集，可能被多方使用，导致泄露源头多元化，这也是引发市民“刷脸焦虑”的原因。

　　提防“AI换脸”：

　　被泄露信息或“以假乱真”

　　人脸识别技术被广泛应用在金融支付、用户注册、人脸登录等业务场景中。技术进步方便用户的同时，一些黑灰产业也开始对这些场景产生觊觎。

　　据去年宣判的广东首例涉人脸识别个人信息保护民事公益诉讼案披露，2020年8月起，任某等3人从郑某手中购买高清身份证照片、身份证号码等个人信息，凭高清照片制作的AI合成视频可以完成点头、眨眼等动作，能够通过某些App的人脸识别验证。

　　某银行技术人员何先生告诉记者，人脸识别应用虽然便捷，但具有一定风险。“比如借助2D技术或3D人脸假体，假冒用户人脸进行2D或3D攻击，获得相应的访问权限，从而对用户造成威胁。”

　　东南大学网络空间安全学院副教授宋宇波介绍，将特定的表情移植到指定人脸上，现在仅需1~3张相关照片即可生成所需的换脸照片或视频。“这种方式较为粗糙。而生成对抗网络技术近年来相当热门，这种方式的AI换脸足以达到以假乱真的结果。”

　　宋宇波说，基于人工智能深度学习的AI换脸技术可以在短时间内生成以假乱真的人脸图片及视频。“一些不法分子可以利用伪造的照片或视频实施诈骗，比如生成熟人的视频进行借钱。”

　　宋宇波说，很多线上交易平台提供人脸识别，用户可以方便地进行支付、转账以及贷款，但用户人脸信息一旦被泄露，可能会造成财产损失。“目前来说，一些系统的活脸识别技术相对比较简陋，并没有针对换脸技术的检测，一旦用户信息被泄露，不法分子有可能绕过现有的活脸识别技术。”

　　业内人士：

　　采用多因素认证方式

　　人脸不应成为唯一认证方式

　　宋宇波表示，AI换脸生成的图片或视频，其逼真程度跟换脸过程中用到的计算资源有很大的关系，目前大部分生成的换脸图片和视频由于计算资源的限制，生成的图像质量比较差，利用特定的算法可以检测出真伪，市民也不必过于担忧。“对于现有的一些攻击案例之所以成功，跟现有一些平台所采用的人脸鉴别技术相对简陋有关。”

　　如何防范利用AI换脸进行欺骗？宋宇波表示，一方面要充分认识换脸技术带来的危害，对系统人脸鉴别算法进行更新，使其可以进行伪造人脸的识别；另一方面是在身份验证时要采用多因素认证方式，即个人身份的认证不能仅依赖一种方式，而是采用多种认证方式结合，增加不法分子的攻击难度，从而对个人身份提供安全防护。此外，宋宇波建议，可开发替代性的身份识别手段，加强把控人脸识别技术风险。

　　何先生则表示，相关应用平台需要完成技术上的创新，如优化完善人脸识别信息库，动态更新人脸信息。“不仅是简单存储和输入用户的2D或3D信息，而是需要将用户的人脸图像数字特征利用多维技术存储起来，以防欺骗攻击。”何先生表示，针对金融类App，人脸识别应使用最高级别的技术，如利用瞳孔收放反应、用户眼球运动、静脉脱氧血色素对红外线的吸收特性等方式进行活体检测，再通过让用户随机做指定动作来验证用户是否为真实活体本人操作。他同时建议，在确保人脸信息真实有效的基础上，可采用密码、短信等多重方式对用户进行身份验证，防范交易验证风险。此外他还表示，应适当限制人脸识别技术的具体应用场景、采集深度与数据合理保存期，并制定相关的应急处理机制，从而有效防范各种风险。