人脸识别在重要领域的应用要慎重 保证信息安全

人脸识别是生物特征识别的重要内容，在20世纪90年代后期进入初级的应用阶段，并且以美国、德国和日本的技术实现为主。近年来，我国相关技术发展突飞猛进。人脸识别在给我们生活提供便捷的同时，也存在被攻击或恶意利用的严重安全隐患。因此，针对人脸识别技术应用和人脸数据库、人脸识别模型建设一定要严格控制，人脸数据应像基因数据一样，通过技术和立法等手段予以严格保护。

一、人脸识别技术应用现状

生物识别技术主要利用人体固有生理特征（如指纹、声纹、人脸、虹膜等）和行为特征（如笔迹、声音、步态等）进行个人身份鉴定。与其他生物识别技术相比，人脸识别具有准确率高、非接触、速度快等特点，在越来越多国家的政府、军队、金融、电子商务、安全防务及娱乐等领域推广应用，潜力巨大。

美国联邦调查局（FBI）的“新一代身份识别数据库”（NGI）在其超过1亿份个人指纹信息记录基础上加入了掌纹、虹膜、人脸等多项生物特征数据，采集了美国成年人口的一半以上。澳大利亚移民及边境保护局开始采用“免人手处理”的新入境系统，设立电子扫描站，利用生物识别技术辨认入境游客的面孔、眼睛虹膜及指纹，取代传统出示护照的入境程序。近年来，我国人脸识别技术也发展迅速，作为智慧社会的核心技术，人脸识别蓬勃发展和广泛应用的同时，潜伏着的各类安全隐患不容小觑。比如，2017年“3·15”晚会上，主持人在现场技术人员的支持下，仅凭一张观众的自拍照，就成功“换脸”破解了“刷脸登录”认证系统。

二、人脸识别技术的攻击手段及风险

当前，对于人脸数据的违规采集、泄露、窃取以及非法交易和利用等问题是人脸识别技术和数据库面临的主要风险。如果这些安全风险不能通过技术、政策和法律法规来解决的话，必将对人脸识别技术发展产生“双刃剑”效应，凸显制约瓶颈。

人脸识别的仿冒认证。人脸识别系统可以对摄像头采集的人脸图像进行辨认，却无法识别采集的人脸图像是来自真人还是一张照片。人脸识别系统极易受到各类蓄意的仿冒攻击，常见手段包括盗用合法用户人脸照片、盗用合法用户人脸视频及盗用三维人脸面具等。为应对人脸照片冒用，很多人脸识别系统加入了生物活性检测（眨眼、张嘴、摇头等）手段，但攻击者仍可以利用视频播放和自动化人脸动效等技术比较容易地逃过检测。攻击者借助人脸关键点定位和自动化人脸动效技术，通过将自拍照由静态改为动态，可以完成刷脸登录需要的眨眼、张嘴等动作。

人脸识别算法的攻击。合法用户身份仿冒需要以获得合法用户的人脸照片及视频等数据作为前提条件。国内某安全团队已经实现了更具威胁的攻击手段，使用完全不同用户的人脸照片绕过身份识别系统。该攻击手段对深度学习图像识别等应用造成逃逸攻击以及数据污染攻击等效果，不依赖于具体的深度学习模型，对Tensorflow、Caffe等当前主流深度学习框架攻击有效。

人脸数据的泄露途径。人脸数据的泄露途径主要有三种：1.互联网公司的不当采集。当前各类网络应用，包括社交平台、电子商务、拍摄软件等广泛采集用户人脸数据，智能摄像头也随时随地地抓拍各类人群的图像数据。互联网公司对我国网民人脸数据的采集，尤其是境外公司的违规采集行为将对我国用户及国家安全带来极大威胁。2.用户上传与分享。为了满足实名制要求，大多数互联网企业要求用户上传身份证信息资料和照片。在线支付和投资理财网站甚至要求用户提交手持身份证的照片。另外，不少网民喜欢在朋友圈晒各类生活信息，包括本人、好友以及家人的照片，成为人脸数据泄露的重要来源。3.人脸数据库被攻击和窃取。公司采集的人脸数据都会存储成为企业的数据库。从目前全世界的情况来看，存在重大的数据泄露、失窃的潜在安全风险，数据泄露案件频发。如2017年国内某求职网站被曝光泄露求职简历数据，包含了用户的姓名、头像及毕业学校等信息。2018年，在欧美国家持续发酵的美国某社交平台多达5000万用户包括个人照片、视频等隐私信息被泄露。

基于人脸识别的AI大规模杀伤性武器研制的威胁。将人脸识别和机器人控制等最新的人工智能技术结合起来，制造自主的大规模杀伤性武器在技术上是可行的。杀伤性武器装载传感器、摄像头、GPS定位等高科技功能设备可进行人脸识别、躲避狙击、携带炸药等，做到一击毙命。在自主致命武器的技术链条中，人脸识别技术是一个关键环节。自主致命武器一般是通过摄像头、雷达等获取战场信息，通过对摄像头中的人体、人脸进行识别，锁定目标并攻击。使用深度学习等人工智能技术来精准、自动识别攻击目标是传统武器不具备的能力，也是自主致命武器的核心技术。要想达到目标的精准识别，尤其是区分敌我，需要训练高准确度的深度神经网络模型，训练过程需要大量实际的人脸数据做支撑。最新的研究成果表明，经过大量真实数据的积累和训练，人工智能可以达到并超过人眼的识别准确度。因此，人脸数据是致命武器研制过程中的基础与核心。目前，美国、韩国等个别国家已经在研发AI杀人机器人，这种人工智能技术，一旦被运用于未来战场或被恐怖分子利用，后果都将异常严重。因此，加强人脸识别技术的监管、规范及利用势在必行。

三、人脸识别技术应用的安全防范

为应对人脸识别技术应用的诸多风险，应该从保护人脸数据和人脸模型的角度，完善生物识别相关法律法规，建立人脸大数据中心和多因子识别管理体系，加强技术应用的监管和数据保护。

保护好我国人脸数据和人脸模型，完善生物识别相关法律法规。高质量的人脸数据和高精度的人脸模型是自主致命武器的核心。保护好一个种族的人脸数据和人脸模型，就像保护这个种族的基因库一样，是限制敌对方开发针对本种族的自主致命武器的关键任务。在人脸数据的采集、存储、传输及使用等环节，应通过技术和立法等手段加强保护和监管，既要尊重人工智能科学发展，又要保护人脸数据资源合法合规流通和使用。一要建立生物特征信息相关的管理机构和制度，保障人脸数据的安全、规范使用。构建一个透明的机制和统一的机构，既可以约束从业厂商、数据运营方，做好隐私保护，又可以取得公众理解和支持，推动技术创新升级，以获得共赢。建议将2016年成立的中国自动识别技术协会生物特征识别工作组升格为生物特征识别技术专业委员会，以更好为行业标准和安全提供技术引导和监管服务。二要加快制定与个人信息保护相关的法律法规，确立个人信息控制权、删除权、遗忘权等信息权利，健全个人对信息权利的投诉和救济机制。2017年，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、全国信息安全标准化技术委员会联合发布了国家标准《信息安全技术个人信息安全规范》（GB/T 35273-2017），为我国个人信息保护工作的开展提供了翔实的实务指南，已于2018年5月1日正式实施。但是，该标准是国家推荐性标准，并不具有法律强制效力，因此建议尽快予以立法，提高国家应对层级。三是落实生物特征数据生命周期各环节的安全主体责任，厘清大数据下政府、企业及个人的数据权责问题，促进数据市场法治秩序。

安防领域规范人脸模型训练和流转，建立人脸大数据中心。如果人脸数据和模型的合法性得不到保证和强调，势必出现人脸数据和模型的地下市场，造成数据和模型泄露的严重风险。解决人脸数据和模型的泄露风险的技术和法律方案是存在的。在技术上，建议公安系统在国家和省级层面建立人脸大数据中心，在物理隔绝的专网内存储人脸数据。算法供应商的模型必须在公安专网的大数据中心内进行训练，产生的模型也必须应用在公安系统的专网内部，实现数据、模型物理上不出专网。深度学习的模型如果需要跨省市流转并持续训练增强，只能在公安专网内部流转。算法供应商可以租用公安大数据中心的数据和计算力进行算法模型的升级和更新。在法律和行业规范上，建议规定并区分数据和模型流转的法律关系。程序是由程序员编写而成，其信息的来源是程序员自身，是人创造的产物。但是模型是由数据训练而来，其信息的来源是人脸大数据，是自然资源进一步加工的产物。区分算法供应商的程序版权和模型来源，对于使用的模型需要提供训练数据源所有者的授权证书。规定数据和模型的流转必须有详细、有区别的法律手续背书，对数据进行训练得到模型，并不能改变数据属主对模型的拥有关系。

人脸识别在重要领域的应用要慎重，建立多因子识别管理体系。虽然生物识别的准确性等问题会随着技术进步逐步获得改善，但生物识别身份却存在难以克服的安全风险，甚至可能危害国家安全。因此，大规模的广泛应用，尤其是在重要领域的使用，必须慎之又慎，不能放任商业企业追逐利润自行其是。对于生物识别产品来说，即使检测准确度达到99.99%，一旦大规模应用，由于上亿用户规模的基数太大，被误判影响的人群数目也会非常之多，给人身财产利益带来的损失也将十分巨大。无论从技术上还是法律上考虑，当前都还不宜过分依赖人脸作为生物识别中唯一的身份识别手段，建议可以采用多因子识别管理体系，与其他身份识别手段相结合，提高系统的安全性、稳定性和科学性。