人脸数据等个人隐私数据信息存在哪些安全风险？

国庆中秋“双节”期间，很多游客在乘车安检、入住酒店等过程中都有“刷脸”的经历。实际上，越来越多的人已经习惯了“刷脸”：购物时“刷脸”支付、玩手机时“刷脸”解锁、进入小区时“刷脸”开门……如今，人脸识别技术应用于金融支付、身份认证、小区安防等诸多场景，给人们的生活带来不少便利。但与此同时，人脸数据等个人隐私数据信息也存在被过度分析和滥用的风险，数据安全不容忽视。

11月1日，国家标准《信息安全技术 远程人脸识别系统技术要求》将正式实施。该标准将推动我国人脸识别技术产业化发展，进一步丰富人脸识别技术体系和应用场景。当前，我国人脸识别技术及应用现状如何？人脸数据等个人隐私数据信息存在哪些安全风险？今后应如何更好地应用人脸识别、保护数据安全？记者就此采访了有关专家。

1 “刷脸才能进小区，谁来保护我的人脸信息”

【案例】

近日，北京市民杨女士所在的小区加装了人脸识别门禁，这让她“喜忧参半”。“喜”的是出门可以不用带门禁卡，“忧”的是数据信息存在被泄露的风险。“小区门禁使用人脸识别，需要拍照并登记电话号码、身份证号、房产证上具体住址等个人信息，如果这些隐私数据信息泄露了，后果简直不堪设想。刷脸才能进小区，谁来保护我的人脸信息？”杨女士说。

人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。具体而言，就是计算机通过视频采集设备获取识别对象的面部图像，再利用核心算法对其脸部的五官位置、脸型和角度等特征信息进行计算分析，进而与数据库里已有的范本进行比对，最后判断出用户的真实身份。

“简单的人脸识别，可能需要采集、提取人脸上的六个或八个关键点，用这些点和数据库里的点进行比对，如果比对上就可以进行识别。人脸识别不是为了更加安全，而是为了方便。”通信行业观察家项立刚说。

中国通信工业协会区块链专委会副主任委员于佳宁在接受本报记者采访时表示，以人脸识别为代表的生物识别技术规模化商用确实为经济社会运行和人们生活带来很多便利，但是生物信息属于社会基础性资源，具有终身不可更改等特点，这些数据在采集、传输、保存、使用以及第三方调用过程中，可能会出现数据泄露和滥用问题，给社会正常运行和发展带来额外风险。

中国电子信息产业发展研究院网络安全研究所副所长闫晓丽也认为，人脸数据作为高敏感的生物识别信息，具有不可变更性，一旦被过度分析和滥用，将会对个人隐私权等权利构成侵害。例如，未经个人同意，通过与人脸识别系统连接的摄像头、智能设备等收集人脸数据，并利用机器学习等技术对其加以分析，对个人“画像”，将会获得个人行踪、行为特征等私密信息。

闫晓丽告诉记者，国内外已有对人脸数据过度分析的情况。基于人脸识别技术被滥用的担忧，美国以及欧洲一些国家对人脸识别技术使用进行了限制。在实践中，未经个人同意或在非必要场景下收集人脸数据、因管理不当导致大规模泄露等情况，都可能导致人脸数据被进一步滥用，从而给个人隐私权等造成侵害。

2 人脸数据“3元包邮”，窃取、滥用和误用成三大难题

【案例】

有调查发现，在一些网络交易平台上，部分卖家以“0.5元一份”的价格售卖人脸数据，甚至也卖“照片活化”网络工具及教程。近日，AI（人工智能）换脸涉嫌侵犯肖像权的话题登上微博热搜，同时也有媒体报道，在某二手交易平台上，有人售卖具有400张人脸数据信息的人脸二维码识别程序，称“3元包邮”。

有专家称，当前，网络黑市中售卖的人脸信息并非单纯的“人脸照片”，而是包含公民个人身份信息（包括身份证号、银行卡号、手机号等）的一系列敏感数据。如果人脸信息和其他身份信息相匹配，可能会被不法分子用以盗取网络社交平台账号或窃取金融账户内财产；如果人脸信息和行踪信息相匹配，可能会被不法分子用于精准诈骗、敲诈勒索等违法犯罪活动。

人脸数据只是一个缩影。当前，数据作为新型生产要素，已成为信息时代国家重要战略资源，数据安全关系到经济社会发展的方方面面。

360集团首席安全官杜跃进认为，目前，数据安全现状有两个关键词：恐慌、混乱。“恐慌”表现在很多普通人以及企业非常担心数据安全出问题，但是会出什么问题说不太清楚，甚至有一些人担心“手机无时无刻不在监听着自己”；“混乱”表现在产业界等尚不知道该如何解决数据安全问题。窃取、滥用和误用是当前数据安全面临的三大难题。从数据安全发展趋势看，痛点在加强、需求在加快、动作在加大。

在于佳宁看来，数据安全已经不仅仅是个人隐私问题，更是网络安全甚至是国家安全的重要组成部分。他表示，我国目前在数据安全方面已建立部分法律法规，总体数据安全保障体系正在逐步建立，但数据安全还存在一些痛点和隐患。例如，个人和企业数据普遍托管在中心化互联网平台，无法控制数据的使用和流动，导致个人数据被滥用，且数据价值和收益分配极为不合理。总之，我国数据安全保护体系仍然亟待完善。

闫晓丽介绍，目前，我国确立了数据安全的基本制度，包括数据分类分级、重要数据出境安全评估、个人信息安全保护等。相关部门落实法律要求，通过个人信息专项治理、数据安全合规性评估等工作，促进了企业和机构数据安全管理能力的提升，以及社会各界数据安全意识的提高。

“但整体看，我国数据安全保护还处于较低水平。”闫晓丽说，非法收集和使用个人信息的情况屡见不鲜，人脸数据等个人信息买卖黑色产业链屡禁不止；尤其是一些关系国计民生的重要行业和领域，尚未建立起针对重要数据的数据安全管理体系，企业数据安全风险监测、预警和事件处置能力还较为薄弱。此外，针对数据流通各环节的安全风险，相关企业的数据安全保障能力也有待提高。

3 个人信息采集应“正当化”，从源头上确保数据安全

【案例】

如今，人脸识别也进入了校园。一些学校除了运用人脸识别技术进行校园智能安防外，还在“试水”用人脸识别保证出勤率和提高听课效率，不仅能全程监控课堂，就连学生发呆、打瞌睡和玩手机等行为都能识别出来。有学生表示，一举一动都被摄像头监视，“让人后背发凉”。专家认为，人脸数据采集应“正当化”，人脸识别技术应用的基本原则是被监控者知情同意和最大程度隐私保护。

对于人脸识别，不能抱“鸵鸟”心态、不能因噎废食，要进一步规范、谨慎应对。专家建议，立法机关应划定人脸识别技术的使用红线；监管部门也应对恶意泄露他人人脸和身份信息的违法行为予以坚决制止。

“目前，数据安全问题之所以非常突出，部分原因在于当前数字身份、数据确权、数据溯源和交易等方面的机制还不够健全，技术也不够完备。”于佳宁说，区块链被认为是一种“为数据而生”的新型技术，借助区块链可以在数据安全保护的同时，实现“数据价值最大化”。基于区块链的公私钥体系，可以确立统一化数字身份，进而实现数据的确权、有序流转、可溯源和防篡改。

于佳宁认为，今后要积极推动区块链与5G、物联网、人工智能等新技术融合发展，从源头上保护人脸数据等个人隐私数据信息安全。随着5G、物联网等技术发展和新型基础设施建设进程加快，智能物联设备可能带来的新型数据安全风险不可忽视。区块链与这些技术具有天然的互补性，正所谓“5G是区块链的加速器，区块链为5G穿上防弹衣”。因此，有必要尽早推动技术融合，构建从数据源头就开始生效的可信数据流转体系，从根源上确保数据的可信和安全。

于佳宁建议，加快建设数据资产生命周期管理新型基础设施。数据的存储和共享是确保数据安全的核心环节，要结合云计算和区块链技术，构建以数据为基础、算法为支撑、算力为动力的数字经济资源开放服务平台。另外，要建立企业数据资产新型管理模式。加快实现数据资产化，并从司法、会计、税务等方面修订现行法律法规，让数据资产管理标准化、规范化、常态化，进而在充分保障数据权属和安全的前提下，带动不同企业之间数据的共采共享与可信交易。

闫晓丽表示，保护人脸数据等个人隐私数据信息安全，制度建设要先行。尽快出台《数据安全法》《个人信息保护法》等法律；重要行业和领域加快制定实施细则和指引，指导行业企业强化数据安全管理。同时，要大力发展数据安全技术和产业。支持网络安全等企业开展差分隐私技术、多方安全计算、数据监控与追溯等关键技术研发，培育数据安全咨询、数据保护设计、数据安全管理等服务。
责任编辑:pj