当前，刷脸用户过亿，钱和手机深度绑定，刷脸支付安不安全确实是切身相关的问题，风吹草动受人关注。

今年8月13日，杭州钱塘新区公安部门抓获两名犯罪嫌疑人，他们在多个网络平台盗取了数千条个人信息准备倒卖。而今年年初，浙江衢州也破获了一起盗用公民个人信息案，犯罪嫌疑人使用盗取的信息注册某金融平台账号，非法获利数万元。

值得注意的是，这两起案件的犯罪嫌疑人都是利用“AI换脸技术”非法获取公民照片进行一定预处理，而后再通过“照片活化”软件生成动态视频，骗过了人脸核验机制，得以实施犯罪的。

明明不是自己的脸，也能通过人脸识别吗？刷脸时代，如何保护我们的个人隐私和财产安全呢？

3D面具骗过人脸识别？人脸识别不仅是识别脸部

2019年底，据外媒报道，美国一家名为Kneron的人工智能公司宣称使用3D面具突破了支付宝、微信的人脸识别系统，还骗过了国内某火车站的闸机，成功刷脸进站。

对此，科技日报记者采访中科院自动化研究所研究员王金桥，在他看来，整件事更像是这家公司的公关宣传，而非其自称的突破。

据王金桥解释，讨论人脸识别的安全性需要考虑不同场景对安全的等级要求，像考勤、闸机等，如果用特别逼真的头模或是4K显示器，应该是可以攻击的，但在支付场景里，不只是身份识别的问题，风险控制系统会结合用户的消费习惯、位置信息、手机信息等，在怀疑用户身份时，要求进行输入密码等操作。

“很多人拿着马云的照片去试人脸识别机器，那是不可能的，因为你没有他的三维信息、红外信息。”支付宝生物识别负责人留招笑称，“生物识别不是脸部识别，是很多维度的综合信息的判断。”

而在火车站过闸机时，除了人脸和身份证照片的比对，用户也需要提供实体身份证件，仅满足人脸识别是不够的。因此，普通人还不需要为人脸识别技术的安全性担心。>>详情

优化识别技术：活体人脸检测技术降低人脸被冒用风险

目前已经研发出了专门针对生物特征的活体检测技术，可有效识别扫描对象的生命体征，大大降低了识别系统把照片或面具当人脸的风险。

活体人脸检测技术主要集中在人脸细微动作、3D人脸重建、红外人脸检测三领域。

而更多的活体生物识别技术也在不断拓展。在中科院自动化研究所，张兆翔研究员现场为我们演示了“视频心率检测系统”，该系统可通过人脸识别技术锁定皮肤区域，提取人体生理脉搏信号，经过多种滤波处理从而得到心率。张兆翔表示，比如我们可以根据人脸的肤色，随着心跳的血流变化的规律，从当中抽取微弱的信号，这种微弱的信号可以去估算这个人的心跳是怎样。

同时，海量人脸信息也促进着技术升级。专家表示，人脸识别技术的发展，不仅需要不断优化算法，更需要海量的人脸数据用于训练和测试。而在用户授权的情况下，绝大多数的人脸数据，都被技术提供方用来进行系统锤炼了。且用于锤炼系统的人脸数据都是已经被脱敏处理过的大数据，不再带有个人信息，直接或间接都无法识别对应到自然人的身上。>>详情

强化数据存储：封堵数据库的入侵漏洞

在专家看来，当下人脸识别技术的风险点，更多集中在存储环节。那么我们的人脸信息被采集之后，究竟保存在了什么地方呢？

专家介绍，由于人脸识别应用五花八门，也没有统一的行业标准，大量的人脸数据都被存储在各应用运营方或是技术提供方的中心化数据库中。数据是否脱敏、安全是否到位、哪些用于算法训练、哪些会被合作方分享，外界一概不得而知。而且，一旦服务器被入侵，高度敏感的人脸数据就会面临泄露风险。

为了封堵这个漏洞，专家提出了分层授权、分布式存储的数据脱敏和加密方式。

张兆翔表示，人脸识别从一张人脸的这个原始的图象，到它整个信息抽取的过程，在这个过程当中我们可以分层级把不同的一个阶段，分配使用在不同的使用者的手上。在一个脱敏的数据，或者是脱去它的本身的一个ID信息的情况下面，去进行一系列的人脸识别的服务的提供。

建立行业规范：消除“数据孤岛”

除了纯技术指标，人脸识别和其他新技术的普及相比之所以引发了更大的关注度，是因为其潜在的社会影响。这需要行业广泛参与标准的制定，把人脸识别技术的应用场景加以明确，也要允许公众舆论的参与。不能让技术的使用处于“黑箱”之中，而要通过论证把技术纳入规范之中。

专家进一步指出，人脸数据存储应该建立更严格的标准和规范，技术开发方、APP运营方不能成为各自为战的数据孤岛，只求技术更迭，忽视隐私风险，而是应该在更趋严格的监管，以及法律和行业规范下采集、使用、存储数据。

中国科协“源新闻”专家库成员 中科院自动化所研究员 张兆翔：其实从安全性的角度来说，我们迫切需要行业能够提供一套标准，使得我们能够有一个规范去遵循，这样可以有效防止这种人脸这样一个敏感的身份数据的一个泄露情况。>>详情

出台法律法规：个人信息保护法正在公开征求意见

除了技术的提升，破除人脸识别领域的风险，相关法律法规的出台更加必不可少。

针对人脸信息被滥用、盗用、随意采集的现象，法律专家朱巍指出，《网络安全法》明确将个人生物识别信息纳入个人信息范围，我国《民法典》规定，收集、处理自然人个人信息的，应当遵循合法、正当、必要原则，征得该自然人或其监护人同意。且被采用者同意后还有权撤回。

目前，《中华人民共和国个人信息保护法（草案）》正在面向社会公开征求意见。

草案提出，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。>>详情

人脸识别第一案：用法律拦住“伸得太长的手”

对人脸识别的争议伴随着这项技术应用的推进而扩大。终于，争议蔓延到法庭上。2020年6月，杭州市富阳区人民法院正式受理了浙江理工大学特聘副教授郭兵诉杭州野生动物世界一案开庭，案由就是人脸识别。

据报道，郭兵在杭州野生动物世界（以下简称动物世界）花1370元办了年卡，原本是通过验证指纹入园，后来园方升级为人脸识别入园，取消了指纹识别的方式。也就是说，不刷脸不得入园。郭兵不同意，他认为面部特征等个人生物识别信息属于个人敏感信息，一旦泄露、非法提供或者滥用，将会危害消费者人身和财产安全，而杭州野生动物世界擅自升级年卡系统，强制收集用户的生物识别信息，于是一纸诉状将其告上法庭，目前法院已经受理。

清华大学法学教授劳东燕在其公众号发文称，有必要对人脸识别进行法律规制，主要原因在于：人脸是重要的个人生物数据，相关机构或组织在收集之前需证明合法性；需征求公众意见，经过严格的听证过程；验证分类标准的合理性和合法性；验证人脸识别技术的通行效率。

人脸识别技术的发展一路伴随争议。最高级别隐私信息的收集、存储、授权使用等，必须有最高级别、最为细化的标准和要求。技术发展的早期往往存在“放水养鱼”的阶段，但这并不适用于人脸识别，而在公民隐私意识还未充分建立起来时，法律必须站出来，拦住那些“伸得太长的手”。>>详情