刷脸时代来临 刷脸技术的安全挑战与如何监管

　　“刷脸”的炫酷背后 还有四大不安

　　9月13日，苹果公司发布的新机推出了“刷脸解锁”功能，使“刷脸”开始在全世界范围内成为关注点。但刷脸带来的并不仅仅是炫酷，还有不安。

　　“刷脸”会遭遇“非活体攻击”吗?

　　体验过之前各种“刷脸”的市民，印象很深的可能是系统提出的要求：眨眨眼、张张嘴、摇摇头……在百度一个贴吧，有人把静态的照片用软件改为动态的小视频，视频中除了背景不动，人面部所做的动作正是标准的刷脸验证动作。

　　这样的情况，研究人员称之为“非活体攻击”。

　　据专注于计算机视觉领域技术研发的国内某人脸识别项目团队成员介绍，虽然都说是刷脸，但有的“刷脸”技术的确不难破解，甚至用照片都可以实现非活体攻击。不过对于拥有扎实技术基础的“刷脸”，想要破解并不容易。

　　也就是说，并非所有的“刷脸”都无懈可击。当各种技术层次的刷脸技术争相推出之时，很可能会有一些不靠谱的“刷脸”给用户带来意料之外的问题。

　　刷了脸脸还仅仅属于我吗?

　　面相被采集用来作为身份验证，所采集的数据究竟存放在哪里?面相、指纹、虹膜、声纹、静脉甚至基因，这些生物信息原本都是唯一的，也是不可更改的，被采集方拿去之后，还仅仅属于用户吗?会不会被拿去做不利于用户的事情?当个人面相等生物信息被搜集、储存，刷脸在技术上也并不能保证万无一失的情况下，若真的遭受了“非活体攻击”，用户自己的脸又如何来为自己做身份验证?一旦有问题，谁来负相应的法律责任?

　　被刷脸我们知道吗?

　　无论是刷脸取款、刷脸吃饭还是刷脸进站、刷脸收快递，当我们主动刷脸进行验证时，一般目的性都比较明确。但还有一些时候，是完全被动的。据报道，5月以来济南交警对路口的行人、非机动车闯红灯等不文明现象不但明确了处罚措施，而且曝光违法者的高清无码照片以及姓名、住址等身份信息。6月9日，违法曝光再添新平台，济南交警联合客运公司将在客运大巴上播放闯红灯曝光视频。报道称：“这就意味着在济南闯红灯被抓拍曝光，不但会丢脸丢到单位丢到家，甚至还会随着客车的脚步丢到外市、外省。”

　　这固然是为改变陋习、保证执法效果而采取的严厉措施，但公民个人的隐私权被置于何处?虽然从另一方面来说，这样运用“刷脸”可能给相关政府部门的工作效率带来极大提高，但是否应该因此而牺牲公民的个人隐私?

　　会不会给国家带来不利和威胁?

　　自从苹果公司开启云账号与设备绑定使用的模式后，用户的重要个人信息几乎都被备份在厂商提供的云平台。其他厂商虽然并未采用云账号与设备绑定模式，但也都开始在设备上推出云平台，提供云端备份。各种各样的“厂商云”，虽然给用户提供了良好的使用体验并带来了方便，但所收集的用户个人信息也很多。当新机“刷脸”启用后，必然会有大量用户的面相数据，连同以前已收集的指纹等生物信息一起被收集，谁又知道这些数据到底存储在哪里，复杂的数据流究竟流向何处?是否会因此给我国带来不利甚至是威胁?

　　新技术到来，监管跟上了吗?

　　制定《个人信息保护法》是迫切需要解决的问题

　　受访对象：西安交通大学信息安全法律研究中心主任，陕西法学会信息安全法学研究会会长，中国信息法学研究会理事，中欧信息化推进项目信息安全法律专家，国家密码管理局密码法立法顾问、中国网络空间安全协会副理事长马民虎

　　足够的生物信息可分析出种族特征

　　华商报：面容、指纹等个人生物信息被搜集存储，慢慢成常见现象。您如何看待这种情况?

　　马民虎：一方面，面容、指纹、虹膜、声纹等个人生物信息具有唯一性、随身携带性、不易伪造性等特点，能够直接识别个人。通过此类生物信息进行加密或进行身份验证将更加安全、保密，在每个人都拥有众多账户和密码的当下，个人生物信息识别技术将使人们的生活更加便捷、高效。另一方面，根据我国法律规定，面容、指纹等个人生物信息属于个人敏感信息，一旦遭到泄露，将对个人的生命和财产造成直接威胁。较之于一般个人信息，对此类信息的搜集和存储，要求更为严格。在享受便利的同时，我们也应当高度警惕此类信息泄露可能造成的潜在威胁。

　　我国法律明确规定，禁止非法出售个人信息。个人生物信息、健康数据等重要信息的买卖更应当被禁止。同时，生物信息、健康数据等不仅是个人的重要数据，也是国家的重要数据。因为它显示了个体的生物特征，而对足够数量的上述信息进行分析就有可能得出某一群体、民族的种族特征。如果这些信息被国外厂商或政府获取，就有可能成为未来攻击或威胁我国国家安全的有力武器。因此，对生物信息、健康数据等敏感信息必须加以重点保护。

　　网络运营者收集个人信息必须公开收集、使用规则

　　华商报：个人生物信息的所有权归谁所有?搜集利用、保存保管有无法律规定?

　　马民虎：个人生物信息的所有权必然属于个人。《网络安全法》规定，网络运营者在收集用户个人信息时，必须公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不得违反法律、行政法规的规定和双方的约定，收集、使用个人信息。

　　2000年发布的《关于维护互联网安全的决定》中也明确规定，禁止非法获取、出售或者非法向他人提供公民个人电子信息;2013年我国出台首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》，其中提出处理个人信息时应当遵循的八项基本原则，即“目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确”。除此之外，还将个人信息的处理阶段分为收集、加工、转移、删除四个环节。《网络安全法》在第四章设专章规定网络信息安全，对个人信息保护进行明确规定。虽然我国目前尚未出台《个人信息保护法》，但现有法律法规的相关规定，基本可以起到保护个人权利、防范个人信息滥用的效果。不过，《个人信息保护法》的制定仍是个人信息保护领域迫切需要解决的问题。

编辑：