商业领域人脸识别频繁“暴雷”，何解？ - 安防知识网

要提升商业领域人脸识别技术应用的安全等级，亟待从立法层面加强监管、产品研发设计层面构筑设备安全和信息安全屏障以及提升商用市场的整体信息安全意识等多方面着手，多方协同才能更好的完善商业领域人脸识别的技术应用安全规范。

　　这几年来，随着人工智能技术的快速发展，以人脸识别为代表的AI技术逐渐从公检法、金融等高安全性领域朝普通行业市场渗透。人脸识别的应用出现在社区门禁、公司考勤、展会通道闸机、景区入口通道等多个场景，贯穿到大众生活的诸多方面。

　　而随着人脸识别技术应用的日趋普及，个人生物特征信息隐私的安全性问题也迎来挑战。

　　越来越多商业场所为谋求便利或意欲收集顾客个人信息，单方面的安装部署人脸识别摄像头或人脸识别门禁、通道闸机类产品，使得大众在日常生活中“刷脸”的频次越来越高。而部分商家在信息安全方面又缺乏较强的监管机制，这就留下了隐私泄露的漏洞。

　　今年3.15晚会上曝光的诸多品牌在人脸识别事件上“触霉”，也揭开了“刷脸”时代背后所隐藏的风险隐患。

　　脱离了人证核验为本的人脸识别应用需谨慎

　　3.15关于人脸识别被曝光的点主要在于商家未明示的情况下擅自安装人脸识别摄像机采集顾客人脸信息，并美其名曰是为精准营销。

　　也正是这点触动了消费者敏感神经。消费者在不知情的情况下被采集了人脸信息，一旦商家信息安全监管出现问题，那么就有可能造成消费者人脸信息泄露的风险。

　　对此，a&s也特别采访了业内某知名生物识别企业，该企业相关负责人明确指出该类事件中关于人脸识别技术应用的不当之处。

　　首先，商家并没有明示消费者便单方面进行顾客人脸信息的采集，这不合规。依据《数据安全法》和《个人信息保护法》规定，收集个人生物识别(个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等)信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

　　其次，人脸图片信息不可以被直接保存，而应该是以特征值呈现。以人证核验的应用为例，一般是通过AI摄像机抓拍人脸信息后生成特征值，然后再将解析出来的特征值放到另一个库进行相似度比对。这其中包含两套系统：一个是个人身份的比对系统，另一个是计算机视觉计算出来的特征值比对。整个人证核验的过程中，所有的人脸信息均以特征值呈现，不会直接存储为人脸面部图片。

　　最后，该负责人还特别强调，关于人脸识别技术的采集和应用，出发点要聚焦到以人本身的身份核验为根。而这里被诟病的商家的出发点并不在于身份核验，而是将客户人脸信息作为一种辅助销售的数据资源，这种做法本身就是本末倒置。

　　“当下国内商业领域关于人脸识别的技术应用，其最大的问题并非是技术的安全性问题，而是伦理性的问题。”上述负责人补充道。

　　如何规范人脸识别技术应用的伦理建设?这很大程度上还依赖相关政策标准及法规的完善。

　　标准出台，规范人脸识别伦理建设

　　人脸识别技术和设备应用，属于典型的“使用先于规范”、“应用先于立法”。今年两会期间，关于人脸识别立法的讨论呼声也相当高。有多位代表相继提到人脸识别立法的必要性以及关于人脸识别立法法规的重点方向。

　　其中，全国政协委员、中国科学院近代物理研究所研究员蔡晓红与国家计算流体力学实验室研究员叶友达、中国科学院微电子研究所副所长周玉梅等6位全国政协委员联合提案，围绕加强人脸识别监管提出了多项建议。

　　建立人脸识别的网络及信息安全监管体系，加快制定人脸识别应用技术标准体系，明确对人脸识别软硬件应用的安全技术要求；建立人脸识别应用的安全评估及审核制度，针对安防、金融、电商、支付等不同应用领域进行安全评估，对人脸识别产品的应用及推广增加审批环节，保证产品符合安全技术要求。

　　尽管当前《数据安全法》和《个人信息保护法》中均有提到人脸识别技术应用在收集、存储、共享、披露等不同环节应遵循的标准，但在执法和监管层面仍需要介入更具有针对性的监管手段。

　　比如有代表建议生物识别信息管理参照身份证，在公安或网信系统增设专门的数据保护部门；设必要门槛，杜绝任何企业都可染指公民生物识别信息的现状，乃至参照身份证管理办法，原始数据应统一由国家掌控。

　　在众多人脸识别相关提案中，可以看出加强对人脸识别技术应用的监管已经成为共识，人脸识别应用将迎来强监管阶段。

　　而就在近日(4月22日)，《信息安全技术人脸识别数据安全要求》国家标准的征求意见稿正式面向社会公开征求意见。

国标要求，收集人脸识别数据时应征得数据主体明示同意，不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。这些条例可有效规范部分商家对人脸识别数据的非身份核验的使用行为。

　　同时，该国标还对进行人脸识别的开发商提出了技术资质门槛，要求其具备相应的数据安全防护和个人信息保护能力，以防范人脸识别被“活照片”等非法破解。

　　技术把控，提高人脸识别信息安全等级

　　加强对人脸识别技术应用的监管有望从立法层面自上而下逐步落实，但这也将是一个道阻且长的过程。而眼下，面对人脸识别在商业领域现存的安全隐患困境，用技术手段提升生物识别技术的安全等级也是当务之急。

　　上述国标中提到要提高人脸识别开发商的技术资质门槛，这里的技术门槛，既包括人脸防伪技术也包括数据加密技术。

　　在这方面，目前业内领先的生物识别技术和解决方案提供商都非常重视构建生物识别技术的信息安全屏障。

　　在人脸防伪技术方面，主流的生物识别厂商基本都会采用相关算法来提高人脸识别活体检测的能力，以防止被照片、面具等“假人脸”破解。

　　另外在数据加密环节，国标有明确提到应采取安全措施存储和传输人脸识别数据，包括但不限于加密存储和传输人脸识别数据，采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等。

　　不过，由于强化生物识别的信息安全等级本身具有较高的技术门槛，并且会增加产品研发的投入成本，这也成为很多小厂无法兼顾的地方。一套人脸识别系统的价格优势和高安全等级优势，这对于以追求经济效益为目的的商业领域而言，往往会选择前者而忽视后者。而这也是人脸识别在商业领域频繁“暴雷”的原因之一。

　　综合来看，要提升商业领域人脸识别技术应用的安全等级，亟待从立法层面加强监管、产品研发设计层面构筑设备安全和信息安全屏障以及提升商业市场的整体信息安全意识等多方面着手，多方协同才能更好的完善商业领域人脸识别的技术应用安全规范。