如今，在我国很多城市，吃饭、住店、购物、取款等都可以依靠“刷脸”完成，市民似乎只凭自己的脸就能放心出门。然而，市民在享受便利的同时也心存顾虑，“刷脸”安全吗？本报记者就此展开调查——

在肯德基刷脸吃饭，在酒店入住时刷脸核身，在快递自提柜刷脸取件，甚至刷脸取厕纸……“刷脸时代”已在悄无声息中到来，并开始逐渐改变城市生活。

然而，“刷脸”真的靠谱吗？市民能放心使用吗？

技术突破提供保障

人脸识别技术已经超过了人的识别能力，在识别效率上也远超人类

“刷脸”的世界，你的“脸”真的保险吗？

苹果公司9月发布新一代手机iPhone X，其中最大的变革之一是取消以往的指纹识别(Touch ID)，改为通过“刷脸”实现识别解锁。“只要看一眼就能解锁？面部数据是否会侵犯个人隐私？”这样的疑问开始出现。

当前，移动设备和应用数据安全正在遭受挑战。滥用数据、盗用数据、买卖数据……很多用户在不知情的情况下已将风险暴露在外。改进隐私条款设计，提升个人信息保护水平已迫在眉睫。

脸部识别到底安全吗？

随着苹果公司最新发布的iPhone X手机引入面容ID(Face ID)技术，个人隐私保护也成为业内外热议的话题。未来会是一个刷脸的世界吗？

目前在业务远程、移动化的同时，用户信息在透明且强大的互联网信息中正面临着巨大考验。之前就有媒体揭露出非实名银行卡正充斥在各大交易平台用于洗钱，12306作为中国最大的电商平台也曝出用户信息泄露导致大量用户被恶意注册的问题，而近期曝出的验证码黑产业链也揭露了原有互联网身份验证体系缺少足够的安全性。

“简单来说，我拿了你的钥匙去配了一把到你家开门，这件事现在在网上非常容易实现。”一位互联网金融风控负责人解释道，“大多数的钥匙其实就是密码、手机号、验证码、身份证号，这些信息在目前互联网环境下非常容易泄露，所以证明你是你，并且证明进行业务操作的是你本人，是当前互联网金融在做风控管理时必须做到的一环。”

对此，有技术人员表示，在实际业务中，人脸识别作为其中一个环节，与账号、密码保护、基于大数据的风控等其他综合手段一起，能够提高移动互联时代的安全性。

作为信息安全技术的分支，指纹识别、虹膜识别、人脸识别等生物特征识别技术日渐流行。手机、金融、安防等行业已开始规模化应用。更贴近个人隐私的面部图象数据如何保证安全，也引起不少争议。“看一眼就支付成功”，在方便之余安全性究竟如何？人脸识别作为新技术，是否会造成新的信息泄露而带来更大的危害？

对此，苹果公司相关负责人在接受记者采访时表示，Face ID不会备份和发送用户的任何面容数据，也不会发送给第三方开发者，这些数据永远不会离开设备自身。

同时，苹果公司表示，面部解锁将通过检测目光方向来确认你是否在注视屏幕，然后利用神经网络的机器学习能力，计算匹配和抵御欺骗攻击。也就是说，如果有人尝试以照片解锁，或者用户没有注视屏幕的时候，都无法解锁成功。

与指纹识别不同，面部变化的复杂度较高，因此当用户面部发生了部分变化，如满脸胡子的用户刮掉了胡子，面容ID会要求用户重新输入密码后，更新学习新的面容，但如果面貌特征不相似的人输入了密码，面容ID则不会自动学习。

也有业内人士指出，每一项技术都有利弊。在安全性和便利性上做出完美的平衡才是市场最需要的技术。所以，从这个角度看，任何一项技术都不能单独承担起保卫信息安全的重任，未来各项信息技术相互融合是必然的趋势，而脸部识别技术无疑会成为重要的加分项。

第三方应用过度收集数据用户隐私风险大增

人脸识别技术能否给行业带来改变？

当前，大数据、云计算和人工智能等技术推动移动互联网中新的应用场景层出不穷，但其背后的隐私和数据保护，已经成为网络平台和移动终端迫在眉睫的要务。从整体移动终端市场来看，应用领域数据滥用的情况十分突出。第三方应用对于个人信息过度收集、隐秘收集和诱骗收集的情况日渐增多。

苹果公司表示，这项技术苹果公司已研究多年，目前面容ID技术将用于验证解锁、支付验证和第三方应用中，其中的深感技术还可以在增强现实(AR)中使用，有着更广阔的应用前景。

日前中国信通院泰尔终端实验室、360互联网安全中心、DCCI(互联网第三方研究机构)就移动终端安全问题，发布了我国首份手机安全生态报告。报告显示，越来越多的手机暴露在各种系统漏洞、恶意软件的威胁中，无数恶意软件、电信诈骗不断挑战用户的安全意识，而各种隐藏的系统漏洞对用户的手机安全影响巨大。这当中，安卓系统已经成为手机系统安全的重灾区。

报告显示，手机应用中越权和滥用用户数据的情况十分严重。其中，非游戏类应用在2017年越权获取“通话记录”的情况出现较大幅度增长;直播类应用获取各种隐私权限增加，越权获取用户“位置信息”“联系人信息”的情况均比前一年高出一倍以上。

苹果公司相关负责人认为，很多好的技术不断涌现，但好的体验并不一定需要牺牲用户的隐私。

“用户的数据即使脱敏后，例如将个体数据做了聚合和随机化处理，传输时还是会增加用户个人数据暴露的风险，”上述负责人说，因此应用一定要考虑平衡用户的隐私和使用体验。

保护隐私加强平台自律

业内人士认为，用户隐私数据安全挑战加剧主要出于三方面原因：第一，部分网站、应用和企业通过一份笼统的“用户协议”或“隐私协议”，获取和收集用户个人信息的授权，导致个人信息使用的不规范甚至大量泄漏。“市场上还存在出于各种目的搜集个人信息的利益链条，”猎豹移动安全专家李铁军认为，个人隐私信息“黑产”庞大，亟需加强监管。

第二，用户本身对保护个人信息重视程度不足。出于方便的考虑，不少用户在多处使用简单重复的账号和密码，当一处信息泄露便导致整体信息暴露。

第三，法律层面的缺失。当数据如同能源一样重要时，法律法规的滞后在一定程度上导致了数据安全和隐私保护的缺失。数据所有权、数据交易规则等基础法律界定仍未明确。例如，个人数据原本属于用户本身，但用户在网络平台中所产生的数据，如交易数据和行为数据，在经过脱敏后其所有权和使用权归属用户还是平台，仍未有答案。

隐私保护已经引起了有关部门的高度重视。日前中央网信办、工信部等四部门联合对京东商城、携程网、淘宝网、支付宝、高德地图、百度地图、滴滴出行等10款网络产品和服务的隐私条款内容进行评审，结果显示10款网络产品和服务在隐私政策方面都有不同程度的提升。其中，微信、淘宝网、支付宝、滴滴出行、京东商城五款产品和服务开始提供“一站式”撤回和关闭授权，在线访问、更正、删除个人信息，在线注销账户等功能。

采用了“人脸识别”的智能产品，并非无懈可击。

在刚刚结束的2017网络安全博览会上，不少企业展示了黑客如何攻击人脸识别门禁。在腾讯的展台上，极棒实验室总监王海兵先让设备扫描了观众的脸。“现在我扮演‘黑客’开始攻击，你就进不去这扇门了，因为我用自己的人脸信息取代了你。”他在电脑上输入了几行代码，然后站在人脸识别智能门禁前，大门应声打开。

问题并不在于人脸识别技术本身，而在于人脸识别智能门禁使用的Linux系统存在漏洞。“人脸识别技术虽然在不断发展，但在系统、存储、传输等方面仍要面对考验。”志翔科技创始人蒋天仪表示。

这也正是专家们担忧的问题。赛迪网络空间研究所所长刘权表示：“在诸如机场、火车站这样的局域网里，生物识别技术安全性比较高，但作为互联网范围内的身份识别手段依然存在风险，比如它们在传输过程中，有可能被复制和模仿。”上海市信息安全行业协会会长谈剑峰也表示：“生物识别信息唯一且不可再生，一旦储存了大量生物识别信息的数据库被攻击，用户总不能换张脸来应对。”

此外，人脸识别技术也要面对隐私问题。此前谷歌就曾因隐私政策和舆论压力而暂时禁止了谷歌眼镜的开发者开发具有人脸识别功能的应用程序。国家信息中心网络安全部副主任李新友告诉记者，人脸识别意味着会在服务器端留下大量的个人隐私信息，隐私保护会变得更加重要和困难。“因此未来在监管中要明确用户的两项权利，一是知情权，用户要知道厂商收集了哪些信息，储存在哪里，二是控制权，一旦用户不用这项产品，应该能够删除自己的信息。”

不过，在服务提供商们眼里，用户倒不必过分紧张。陈继东表示，从技术上讲，人脸识别上传的数据也要经过加密和脱敏，“只有特征的输出，即使数据被截获，也无法还原成真正的人脸”。