如(rú)今，在我國(guó)很多城(chéng)市，吃(chī)飯、住店(diàn)、購(gòu)物、取款等都(dōu)可(kě)以依靠“刷臉”完成，市民(mín)似乎隻憑自(zì)己的臉就(jiù)能放(fàng)心出門(mén)。然而，市民(mín)在享受便利的同時也心存顧慮，“刷臉”安全嗎(ma)？本報記者就(jiù)此展開調查——

在肯德基刷臉吃(chī)飯，在酒店(diàn)入住時刷臉核身(shēn)，在快(kuài)遞自(zì)提櫃刷臉取件(jiàn)，甚至刷臉取廁紙……“刷臉時代”已在悄無聲息中到來(lái)，并開始逐漸改變城(chéng)市生(shēng)活。

然而，“刷臉”真的靠譜嗎(ma)？市民(mín)能放(fàng)心使用嗎(ma)？

技術(shù)突破提供保障

人(rén)臉識别技術(shù)已經超過了人(rén)的識别能力，在識别效率上也遠(yuǎn)超人(rén)類

“刷臉”的世界，你(nǐ)的“臉”真的保險嗎(ma)？

蘋果公司9月發布新一代手機(jī)iPhone X，其中最大(dà)的變革之一是取消以往的指紋識别(Touch ID)，改爲通過“刷臉”實現識别解鎖。“隻要看一眼就(jiù)能解鎖？面部數據是否會侵犯個人(rén)隐私？”這樣的疑問(wèn)開始出現。

當前，移動設備和應用數據安全正在遭受挑戰。濫用數據、盜用數據、買賣數據……很多用戶在不知情的情況下已将風(fēng)險暴露在外。改進隐私條款設計(jì)，提升個人(rén)信息保護水平已迫在眉睫。

臉部識别到底安全嗎(ma)？

随着蘋果公司最新發布的iPhone X手機(jī)引入面容ID(Face ID)技術(shù)，個人(rén)隐私保護也成爲業内外熱(rè)議(yì)的話(huà)題。未來(lái)會是一個刷臉的世界嗎(ma)？

目前在業務遠(yuǎn)程、移動化的同時，用戶信息在透明且強大(dà)的互聯網信息中正面臨着巨大(dà)考驗。之前就(jiù)有媒體(tǐ)揭露出非實名銀行卡正充斥在各大(dà)交易平台用于洗錢，12306作爲中國(guó)最大(dà)的電商平台也曝出用戶信息洩露導緻大(dà)量用戶被惡意注冊的問(wèn)題，而近期曝出的驗證碼黑(hēi)産業鏈也揭露了原有互聯網身(shēn)份驗證體(tǐ)系缺少足夠的安全性。

“簡單來(lái)說(shuō)，我拿了你(nǐ)的鑰匙去(qù)配了一把到你(nǐ)家開門(mén)，這件(jiàn)事(shì)現在在網上非常容易實現。”一位互聯網金融風(fēng)控負責人(rén)解釋道，“大(dà)多數的鑰匙其實就(jiù)是密碼、手機(jī)号、驗證碼、身(shēn)份證号，這些信息在目前互聯網環境下非常容易洩露，所以證明你(nǐ)是你(nǐ)，并且證明進行業務操作的是你(nǐ)本人(rén)，是當前互聯網金融在做風(fēng)控管理(lǐ)時必須做到的一環。”

對此，有技術(shù)人(rén)員(yuán)表示，在實際業務中，人(rén)臉識别作爲其中一個環節，與賬号、密碼保護、基于大(dà)數據的風(fēng)控等其他(tā)綜合手段一起，能夠提高移動互聯時代的安全性。

作爲信息安全技術(shù)的分(fēn)支，指紋識别、虹膜識别、人(rén)臉識别等生(shēng)物特征識别技術(shù)日(rì)漸流行。手機(jī)、金融、安防等行業已開始規模化應用。更貼近個人(rén)隐私的面部圖象數據如(rú)何保證安全，也引起不少争議(yì)。“看一眼就(jiù)支付成功”，在方便之餘安全性究竟如(rú)何？人(rén)臉識别作爲新技術(shù)，是否會造成新的信息洩露而帶來(lái)更大(dà)的危害？

對此，蘋果公司相(xiàng)關負責人(rén)在接受記者采訪時表示，Face ID不會備份和發送用戶的任何面容數據，也不會發送給第三方開發者，這些數據永遠(yuǎn)不會離(lí)開設備自(zì)身(shēn)。

同時，蘋果公司表示，面部解鎖将通過檢測目光(guāng)方向來(lái)确認你(nǐ)是否在注視屏幕，然後利用神經網絡的機(jī)器學習能力，計(jì)算匹配和抵禦欺騙攻擊。也就(jiù)是說(shuō)，如(rú)果有人(rén)嘗試以照(zhào)片解鎖，或者用戶沒有注視屏幕的時候，都(dōu)無法解鎖成功。

與指紋識别不同，面部變化的複雜度較高，因此當用戶面部發生(shēng)了部分(fēn)變化，如(rú)滿臉胡子的用戶刮掉了胡子，面容ID會要求用戶重新輸入密碼後，更新學習新的面容，但(dàn)如(rú)果面貌特征不相(xiàng)似的人(rén)輸入了密碼，面容ID則不會自(zì)動學習。

也有業内人(rén)士指出，每一項技術(shù)都(dōu)有利弊。在安全性和便利性上做出完美的平衡才是市場最需要的技術(shù)。所以，從(cóng)這個角度看，任何一項技術(shù)都(dōu)不能單獨承擔起保衛信息安全的重任，未來(lái)各項信息技術(shù)相(xiàng)互融合是必然的趨勢，而臉部識别技術(shù)無疑會成爲重要的加分(fēn)項。

第三方應用過度收集數據用戶隐私風(fēng)險大(dà)增

人(rén)臉識别技術(shù)能否給行業帶來(lái)改變？

當前，大(dà)數據、雲計(jì)算和人(rén)工(gōng)智能等技術(shù)推動移動互聯網中新的應用場景層出不窮，但(dàn)其背後的隐私和數據保護，已經成爲網絡平台和移動終端迫在眉睫的要務。從(cóng)整體(tǐ)移動終端市場來(lái)看，應用領域數據濫用的情況十分(fēn)突出。第三方應用對于個人(rén)信息過度收集、隐秘收集和誘騙收集的情況日(rì)漸增多。

蘋果公司表示，這項技術(shù)蘋果公司已研究多年(nián)，目前面容ID技術(shù)将用于驗證解鎖、支付驗證和第三方應用中，其中的深感技術(shù)還(hái)可(kě)以在增強現實(AR)中使用，有着更廣闊的應用前景。

日(rì)前中國(guó)信通院泰爾終端實驗室、360互聯網安全中心、DCCI(互聯網第三方研究機(jī)構)就(jiù)移動終端安全問(wèn)題，發布了我國(guó)首份手機(jī)安全生(shēng)态報告。報告顯示，越來(lái)越多的手機(jī)暴露在各種系統漏洞、惡意軟件(jiàn)的威脅中，無數惡意軟件(jiàn)、電信詐騙不斷挑戰用戶的安全意識，而各種隐藏的系統漏洞對用戶的手機(jī)安全影(yǐng)響巨大(dà)。這當中，安卓系統已經成爲手機(jī)系統安全的重災區。

報告顯示，手機(jī)應用中越權和濫用用戶數據的情況十分(fēn)嚴重。其中，非遊戲類應用在2017年(nián)越權獲取“通話(huà)記錄”的情況出現較大(dà)幅度增長;直播類應用獲取各種隐私權限增加，越權獲取用戶“位置信息”“聯系人(rén)信息”的情況均比前一年(nián)高出一倍以上。

蘋果公司相(xiàng)關負責人(rén)認爲，很多好的技術(shù)不斷湧現，但(dàn)好的體(tǐ)驗并不一定需要犧牲用戶的隐私。

“用戶的數據即使脫敏後，例如(rú)将個體(tǐ)數據做了聚合和随機(jī)化處理(lǐ)，傳輸時還(hái)是會增加用戶個人(rén)數據暴露的風(fēng)險，”上述負責人(rén)說(shuō)，因此應用一定要考慮平衡用戶的隐私和使用體(tǐ)驗。

保護隐私加強平台自(zì)律

業内人(rén)士認爲，用戶隐私數據安全挑戰加劇(jù)主要出于三方面原因：第一，部分(fēn)網站、應用和企業通過一份籠統的“用戶協議(yì)”或“隐私協議(yì)”，獲取和收集用戶個人(rén)信息的授權，導緻個人(rén)信息使用的不規範甚至大(dà)量洩漏。“市場上還(hái)存在出于各種目的搜集個人(rén)信息的利益鏈條，”獵豹移動安全專家李鐵軍認爲，個人(rén)隐私信息“黑(hēi)産”龐大(dà)，亟需加強監管。

第二，用戶本身(shēn)對保護個人(rén)信息重視程度不足。出于方便的考慮，不少用戶在多處使用簡單重複的賬号和密碼，當一處信息洩露便導緻整體(tǐ)信息暴露。

第三，法律層面的缺失。當數據如(rú)同能源一樣重要時，法律法規的滞後在一定程度上導緻了數據安全和隐私保護的缺失。數據所有權、數據交易規則等基礎法律界定仍未明确。例如(rú)，個人(rén)數據原本屬于用戶本身(shēn)，但(dàn)用戶在網絡平台中所産生(shēng)的數據，如(rú)交易數據和行爲數據，在經過脫敏後其所有權和使用權歸屬用戶還(hái)是平台，仍未有答案。

隐私保護已經引起了有關部門(mén)的高度重視。日(rì)前中央網信辦、工(gōng)信部等四部門(mén)聯合對京東商城(chéng)、攜程網、淘寶網、支付寶、高德地圖、百度地圖、滴滴出行等10款網絡産品和服務的隐私條款内容進行評審，結果顯示10款網絡産品和服務在隐私政策方面都(dōu)有不同程度的提升。其中，微信、淘寶網、支付寶、滴滴出行、京東商城(chéng)五款産品和服務開始提供“一站式”撤回和關閉授權，在線訪問(wèn)、更正、删除個人(rén)信息，在線注銷賬戶等功能。

采用了“人(rén)臉識别”的智能産品，并非無懈可(kě)擊。

在剛剛結束的2017網絡安全博覽會上，不少企業展示了黑(hēi)客如(rú)何攻擊人(rén)臉識别門(mén)禁。在騰訊的展台上，極棒實驗室總監王海兵(bīng)先讓設備掃描了觀衆的臉。“現在我扮演‘黑(hēi)客’開始攻擊，你(nǐ)就(jiù)進不去(qù)這扇門(mén)了，因爲我用自(zì)己的人(rén)臉信息取代了你(nǐ)。”他(tā)在電腦上輸入了幾行代碼，然後站在人(rén)臉識别智能門(mén)禁前，大(dà)門(mén)應聲打開。

問(wèn)題并不在于人(rén)臉識别技術(shù)本身(shēn)，而在于人(rén)臉識别智能門(mén)禁使用的Linux系統存在漏洞。“人(rén)臉識别技術(shù)雖然在不斷發展，但(dàn)在系統、存儲、傳輸等方面仍要面對考驗。”志翔科(kē)技創始人(rén)蔣天儀表示。

這也正是專家們擔憂的問(wèn)題。賽迪網絡空間研究所所長劉權表示：“在諸如(rú)機(jī)場、火(huǒ)車站這樣的局域網裡(lǐ)，生(shēng)物識别技術(shù)安全性比較高，但(dàn)作爲互聯網範圍内的身(shēn)份識别手段依然存在風(fēng)險，比如(rú)它們在傳輸過程中，有可(kě)能被複制和模仿。”上海市信息安全行業協會會長談劍峰也表示：“生(shēng)物識别信息唯一且不可(kě)再生(shēng)，一旦儲存了大(dà)量生(shēng)物識别信息的數據庫被攻擊，用戶總不能換張臉來(lái)應對。”

此外，人(rén)臉識别技術(shù)也要面對隐私問(wèn)題。此前谷歌就(jiù)曾因隐私政策和輿論壓力而暫時禁止了谷歌眼鏡的開發者開發具有人(rén)臉識别功能的應用程序。國(guó)家信息中心網絡安全部副主任李新友告訴記者，人(rén)臉識别意味着會在服務器端留下大(dà)量的個人(rén)隐私信息，隐私保護會變得(de)更加重要和困難。“因此未來(lái)在監管中要明确用戶的兩項權利，一是知情權，用戶要知道廠(chǎng)商收集了哪些信息，儲存在哪裡(lǐ)，二是控制權，一旦用戶不用這項産品，應該能夠删除自(zì)己的信息。”

不過，在服務提供商們眼裡(lǐ)，用戶倒不必過分(fēn)緊張。陳繼東表示，從(cóng)技術(shù)上講，人(rén)臉識别上傳的數據也要經過加密和脫敏，“隻有特征的輸出，即使數據被截獲，也無法還(hái)原成真正的人(rén)臉”。