這幾年來，隨著人工智能技術的快速發(fā)展，以人臉識別為代表的AI技術逐漸從公檢法、金融等高安全性領域朝普通行業(yè)市場滲透。人臉識別的應用出現(xiàn)在社區(qū)門禁、公司考勤、展會通道閘機、景區(qū)入口通道等多個場景，貫穿到大眾生活的諸多方面。

　　而隨著人臉識別技術應用的日趨普及，個人生物特征信息隱私的安全性問題也迎來挑戰(zhàn)。

　　越來越多商業(yè)場所為謀求便利或意欲收集顧客個人信息，單方面的安裝部署人臉識別攝像頭或人臉識別門禁、通道閘機類產品，使得大眾在日常生活中“刷臉”的頻次越來越高。而部分商家在信息安全方面又缺乏較強的監(jiān)管機制，這就留下了隱私泄露的漏洞。

　　今年3.15晚會上曝光的諸多品牌在人臉識別事件上“觸霉”，也揭開了“刷臉”時代背后所隱藏的風險隱患。

　　脫離了人證核驗為本的人臉識別應用需謹慎

　　3.15關于人臉識別被曝光的點主要在于商家未明示的情況下擅自安裝人臉識別攝像機采集顧客人臉信息，并美其名曰是為精準營銷。

　　也正是這點觸動了消費者敏感神經。消費者在不知情的情況下被采集了人臉信息，一旦商家信息安全監(jiān)管出現(xiàn)問題，那么就有可能造成消費者人臉信息泄露的風險。

　　對此，a&s也特別采訪了業(yè)內某知名生物識別企業(yè)，該企業(yè)相關負責人明確指出該類事件中關于人臉識別技術應用的不當之處。

　　首先，商家并沒有明示消費者便單方面進行顧客人臉信息的采集，這不合規(guī)。依據《數據安全法》和《個人信息保護法》規(guī)定，收集個人生物識別(個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等)信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意。

　　其次，人臉圖片信息不可以被直接保存，而應該是以特征值呈現(xiàn)。以人證核驗的應用為例，一般是通過AI攝像機抓拍人臉信息后生成特征值，然后再將解析出來的特征值放到另一個庫進行相似度比對。這其中包含兩套系統(tǒng)：一個是個人身份的比對系統(tǒng)，另一個是計算機視覺計算出來的特征值比對。整個人證核驗的過程中，所有的人臉信息均以特征值呈現(xiàn)，不會直接存儲為人臉面部圖片。

　　最后，該負責人還特別強調，關于人臉識別技術的采集和應用，出發(fā)點要聚焦到以人本身的身份核驗為根。而這里被詬病的商家的出發(fā)點并不在于身份核驗，而是將客戶人臉信息作為一種輔助銷售的數據資源，這種做法本身就是本末倒置。

　　“當下國內商業(yè)領域關于人臉識別的技術應用，其最大的問題并非是技術的安全性問題，而是倫理性的問題。”上述負責人補充道。

　　如何規(guī)范人臉識別技術應用的倫理建設?這很大程度上還依賴相關政策標準及法規(guī)的完善。

　　標準出臺，規(guī)范人臉識別倫理建設

　　人臉識別技術和設備應用，屬于典型的“使用先于規(guī)范”、“應用先于立法”。今年兩會期間，關于人臉識別立法的討論呼聲也相當高。有多位代表相繼提到人臉識別立法的必要性以及關于人臉識別立法法規(guī)的重點方向。

　　其中，全國政協(xié)委員、中國科學院近代物理研究所研究員蔡曉紅與國家計算流體力學實驗室研究員葉友達、中國科學院微電子研究所副所長周玉梅等6位全國政協(xié)委員聯(lián)合提案，圍繞加強人臉識別監(jiān)管提出了多項建議。

　　建立人臉識別的網絡及信息安全監(jiān)管體系，加快制定人臉識別應用技術標準體系，明確對人臉識別軟硬件應用的安全技術要求；建立人臉識別應用的安全評估及審核制度，針對安防、金融、電商、支付等不同應用領域進行安全評估，對人臉識別產品的應用及推廣增加審批環(huán)節(jié)，保證產品符合安全技術要求。

　　盡管當前《數據安全法》和《個人信息保護法》中均有提到人臉識別技術應用在收集、存儲、共享、披露等不同環(huán)節(jié)應遵循的標準，但在執(zhí)法和監(jiān)管層面仍需要介入更具有針對性的監(jiān)管手段。

　　比如有代表建議生物識別信息管理參照身份證，在公安或網信系統(tǒng)增設專門的數據保護部門；設必要門檻，杜絕任何企業(yè)都可染指公民生物識別信息的現(xiàn)狀，乃至參照身份證管理辦法，原始數據應統(tǒng)一由國家掌控。

　　在眾多人臉識別相關提案中，可以看出加強對人臉識別技術應用的監(jiān)管已經成為共識，人臉識別應用將迎來強監(jiān)管階段。

　　而就在近日(4月22日)，《信息安全技術人臉識別數據安全要求》國家標準的征求意見稿正式面向社會公開征求意見。

       國標要求，收集人臉識別數據時應征得數據主體明示同意，不得利用人臉識別數據評估或預測數據主體工作表現(xiàn)、經濟狀況、健康狀況、偏好、興趣等情況。這些條例可有效規(guī)范部分商家對人臉識別數據的非身份核驗的使用行為。

　　同時，該國標還對進行人臉識別的開發(fā)商提出了技術資質門檻，要求其具備相應的數據安全防護和個人信息保護能力，以防范人臉識別被“活照片”等非法破解。

　　技術把控，提高人臉識別信息安全等級

　　加強對人臉識別技術應用的監(jiān)管有望從立法層面自上而下逐步落實，但這也將是一個道阻且長的過程。而眼下，面對人臉識別在商業(yè)領域現(xiàn)存的安全隱患困境，用技術手段提升生物識別技術的安全等級也是當務之急。

　　上述國標中提到要提高人臉識別開發(fā)商的技術資質門檻，這里的技術門檻，既包括人臉防偽技術也包括數據加密技術。

　　在這方面，目前業(yè)內領先的生物識別技術和解決方案提供商都非常重視構建生物識別技術的信息安全屏障。

　　在人臉防偽技術方面，主流的生物識別廠商基本都會采用相關算法來提高人臉識別活體檢測的能力，以防止被照片、面具等“假人臉”破解。

　　另外在數據加密環(huán)節(jié)，國標有明確提到應采取安全措施存儲和傳輸人臉識別數據，包括但不限于加密存儲和傳輸人臉識別數據，采用物理或邏輯隔離方式分別存儲人臉識別數據和個人身份信息等。

　　不過，由于強化生物識別的信息安全等級本身具有較高的技術門檻，并且會增加產品研發(fā)的投入成本，這也成為很多小廠無法兼顧的地方。一套人臉識別系統(tǒng)的價格優(yōu)勢和高安全等級優(yōu)勢，這對于以追求經濟效益為目的的商業(yè)領域而言，往往會選擇前者而忽視后者。而這也是人臉識別在商業(yè)領域頻繁“暴雷”的原因之一。

　　綜合來看，要提升商業(yè)領域人臉識別技術應用的安全等級，亟待從立法層面加強監(jiān)管、產品研發(fā)設計層面構筑設備安全和信息安全屏障以及提升商業(yè)市場的整體信息安全意識等多方面著手，多方協(xié)同才能更好的完善商業(yè)領域人臉識別的技術應用安全規(guī)范。