“刷臉”的時代，如何才能不丟“臉”？

◎策劃執行/江媛媛

什么是人臉識別支付？人臉識別與指紋識別、掌紋識別、視網膜識別等都屬于人體生物特征識別技術。人臉識別支付系統是一款基于臉部識別系統的支付平臺。該系統不需要錢包、信用卡或手機，支付時只需要面對POS機屏幕上的攝像頭，系統會自動將消費者面部信息與個人賬戶相關聯，整個交易過程十分便捷。

“刷個臉”，安全嗎

在早年，電話號碼和身份證號碼是個人信息中的香餑餑，現在互聯網普及了，人臉和指紋又成為新的香餑餑。有人可能說，“不就是刷個臉嗎？又傷不了你一根毫毛。收集數據的企業肯定都能夠保護好自己的信息數據。”可是凡事沒有絕對，人臉信息一旦遭泄露，可能對你造成重大損失。從目前出現的一些案例看，有些不懷好意之人或者違法犯罪團伙，已經在利用AI技術偽造他人身份從事不法行為。

另外，據央視報道，2020年9月，廣西南寧市好幾位市民在和置業顧問完成刷臉認證后，房子當天就被過戶出去，而且立刻被買家抵押給第三方。還有一些網友在社交平臺發布視頻，演示用照片騙過人臉識別門禁的過程。

還有用人臉識別大數據殺熟的。有房企用人臉識別判斷購房者是“自然到訪售樓部客戶”還是“渠道客戶”，以確定促銷傭金如何發放，最后逼得用戶“戴頭盔看房”，相關話題沖上微博熱搜。

可見，如果這些數據泄露出去，所造成的影響和后果非常大，畢竟現在的科學技術已經非常成熟，在掌握了個人生物特征數據之后，通過3D打印技術來破解人臉識別也并非沒有可能。

但你天天用各種高級護膚品保養的“臉”，在網上卻很廉價，甚至幾毛錢就能買到一個人的人臉信息。此前多家媒體報道，在閑魚、轉轉等二手電商平臺上，就有人臉信息售賣，5毛錢一份；還有照片活化工具包，可以模仿人“眨眨眼”“張張嘴”——這是目前使用普遍的人臉識別安全認證措施之一。

2019年2月，深圳某人臉識別企業被證實發生數據泄露事件，超過250萬人的核心數據可被獲取，680萬條記錄泄露，其中包括身份證信息、人臉識別圖像及GPS位置記錄等。

除了數據泄露事件以外，還存在一些數據過度收集的問題。此前，中國消費者協會曾發布《100款App個人信息收集與隱私政策測評報告》。報告顯示，測評的100款App中，10款App涉嫌過度收集個人生物特征信息。同時，在前段時間熱度一度居高不下的某換臉軟件，也因為涉嫌未依法依規收集使用用戶個人信息被工信部約談。

另有數據顯示，近半數的商家在使用人臉識別功能時，并沒有征得用戶同意。今年“3·15”晚會的第一個案例“直擊人臉識別，誰在‘偷’我的臉？”，就曝光了商家一系列未經顧客授權的行為，包括利用監控設備采集人臉信息、識別顧客身份、儲存信息等。不論是餐廳包間里的，還是一些營銷場所里的攝像頭，再次引發公眾對于公共空間與個人隱私邊界的討論：攝像頭錄下的是隱私還是證據？攝像頭泛濫，是讓我們更安全，還是讓我們“裸奔”？

如何防止“臉”被偷走

人臉識別可以快捷、精準、衛生地進行身份認定；具有不可復制性，即使做了整容手術，該技術也能從幾百項臉部特征中找出“原來的你”。有一點需要注意的是，人臉識別雖然有著很高的安全性，但是收集存儲了你的人臉信息的企業不一定能夠保護好你的人臉數據。

有不愿具名的人臉識別方案提供商說，人臉識別的隱藏風險在于存儲安全，因為不少應用將人臉信息和個人隱私信息，如姓名、身份證號碼、電話、住址等信息綁定在一起。目前人臉數據一般存儲于人臉識別應用的運營方或技術提供方的數據庫中。無論是在本地服務器還是在云端，一旦服務器遭到入侵，人臉數據就面臨著泄露風險。所以說保護個人生物特征信息是非常重要的。

如何防止我們的“臉”被幕后黑手偷走？這不僅需要企業的自律，更需要政府作為管理者通過立法方式強化對于人臉識別的法律約束與監管力度。工信部曾發布《App用戶權益保護測評規范》10項標準和《App收集使用個人信息最小必要評估規范》8項系列標準，規定按“最小必要”等原則，規范個人信息收集，其中就包括人臉信息。

有法律人士認為，公民個人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話、電子郵箱、定位數據、在線活動等行蹤信息，也應“升格”為特殊類型信息，從個人信息權高度加以法律保護。基因數據、生物數據和健康數據等本身作為特殊類型信息，更應特別保護。更多人則呼吁，制訂《個人信息保護法》《數據安全法》，并建立個人信息保護監管機構。

可喜的是，我國已經開始積極加快推進個人信息保護法的立法進程。但是風險把控從古至今都是一個難題，只要有利益，就會有人鋌而走險。因此，在目前技術設備不夠成熟、法律法規不夠明確的前提下，加強安全意識是重中之重，我們要拒絕給一些來路不明的App和一些小商戶授權提供自己的個人信息，最大化保護好自己的個人信息。

物業有權強制采集居民個人信息嗎

如今，人臉識別被越來越多地應用在小區門禁，其半強制推行的方式加劇了人們的擔憂。有很多人產生了疑問，物業有權強制采集居民個人信息嗎？

律師表示，目前我國對個人信息采集的主體沒有明確的法律依據，存在極大的個人信息泄露風險和隱私安全問題。雖然沒有明說是“強制”采集，但若不接受采集，就無法完成支付、無法進門等，這就是一種變相的強制。

目前很多運營者在使用“刷臉”技術時，并未考慮收集個人生物識別信息過程中所存在的法律風險。小區安裝人臉識別門禁，如果不提前征得居民同意，直接加裝，就違反了經過被收集者同意的原則。

天津首推生物識別采集禁令

2020年12月2日，“天津網信”發布消息稱，天津市人大常委會于12月1日表決通過了《天津市社會信用條例》（以下簡稱《條例》）。該《條例》已自2021年1月1日起施行，共八章66條，包括總則、社會信用信息、守信激勵和失信懲戒、信用主體權益保護、信用服務行業發展、社會信用環境建設、法律責任和附則等內容，明確了社會信用信息包括公共信用信息和市場信用信息，并規定相關管理制度。

這也是全國首個公開禁止采集人臉識別信息的法規。《條例》規定，市場信用信息提供單位采集自然人信息的，應當經本人同意并約定用途，法律、行政法規另有規定的除外。此外，它還強調市場信用信息提供單位不得采集自然人的宗教信仰、血型、疾病和病史、生物識別信息以及法律、行政法規規定禁止采集的其他個人信息。

據此來看，包括企事業單位、行業協會、商會及其他企業事業單位等都將被禁止采集人臉、指紋、聲音等生物識別信息。

此外，《條例》還規定，任何組織與個人不得非法采集、歸集、買賣、公開、使用、加工、傳輸社會信用信息；信用主體有權知曉與其社會信用信息相關的采集、歸集、應用以及其信用報告載明的信息來源、變動理由等情況。

刷臉的正確打開方式：刷卡和“刷臉”應并存

2020年10月1日，新版《信息安全技術個人信息安全規范》實施，要求在收集人臉、指紋等個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規則，并征得個人信息主體的同意。

中國政法大學教授陳忠云認為，目前我國對人體生物信息采集的規定仍是零星體現在個人信息保護層面，并沒有專門的立法規范。對于目前很多地方應用的人臉識別門禁，他認為社區是人們生活中最長時間居住、最多私人活動的場所和空間，不宜在門禁系統中強制使用人臉識別技術。他強調，法律應對可以采集個人信息的主體、法律義務、違法采集做出明確的規定。

有專家認為，人臉識別技術并不適合在很多場合采集，建議采取自愿原則，給予人們充分的選擇權，比如刷卡門禁和人臉識別門禁并存。

鏈接：——

很多手機有“遠程守護”功能

網絡時代，老年人要不斷提升自己的隱私保護意識，做到不隨意下載和謹慎填寫、授權個人信息。可是遇到了拿不準的問題時，該怎么辦呢？您可能還不知道，目前有些國產品牌手機已經開發了遠程守護功能。通過這個功能，子女們即使不在父母身邊，也可在遠程守護App中實時查看父母手機上的安全事件，如果有病毒入侵或者電信詐騙等信息，子女就能及時收到通知，并直接掛斷電話或者終止誘騙操作，將危險扼殺在萌芽之中。

此外，遠程守護功能還兼具防走丟的作用。子女可以實時查看父母的位置，甚至為他們設定一個安全范圍，如果他們走出這一范圍就能及時知曉。老年朋友們不妨體驗一下。