頂象：公共服務中，人臉識別的三類安全隱患

刷臉進社區、刷臉考勤、刷臉乘車、刷臉購物等，人臉識別設備已廣泛應用于各種公共服務場景。尤其隨著常態化疫情防控的需要，越來越多的公共服務管理場合開始采用非接觸式的人臉識別應用來保障人員的出入安全。

人臉識別系統方便，快捷，無接觸的方式能有效避免病毒的傳播，但是也帶來諸多新的安全風險。

公共服務中的人臉識別安全隱患

由于人臉識別技術運用主體的技術條件和管理水平良莠不齊，其次一些不法分子甚至會開發黑客工具來繞過、干擾或攻擊人臉識別技術背后的系統和算法，進而引發盜竊、詐騙、侵入住宅等下游犯罪，危及被害人的數據安全、財產安全乃至人身安全。

第一，人臉被盜用仿冒風險。

無數小區安裝了刷臉門禁，住戶進入小區刷臉就能進出，人臉識別門禁能把大部分陌生人阻隔在門外，可謂小區的一道防線。有網友反饋，小區的門禁識別精準度尚待提高，住戶如果戴帽子、墨鏡、化妝后則小區門禁無法識別，導致未能正常出入。此外也有網友反饋，所在小區的門禁安全性不高，使用住戶人臉照片的仿真面具也可以正常通過。

關于人臉仿冒的風險，2017年“3·15”晚會就做過演示。主持人在技術人員支持下，僅憑觀眾自拍照就現場“換臉”破解了“刷臉登錄”認證系統。

第二，遭遇虛假欺詐行為。

很多公司采用人臉識別的考勤系統，提升員工考勤率和工作效率，同時也帶來新的安全隱患。

2021年底，“考勤打卡神器”的新聞刷屏網絡。就職于某保險公司的梁女士，每天無需到公司上班，通過屏蔽攝像頭影像采集、攔截無線網絡檢測，并對GPS劫持，偽造虛假的LBS地理位置。在進行相關設置后，代理人輸入自己的工號、上傳照片，在家里就能完成每日打卡并拿到全勤獎。

第三，敏感信息泄露風險。

人臉是重要的隱私信息，一旦信息出現泄露，不僅可能或者流向黑市被反復販賣，更可能被不法分子進行用于詐騙。2019年2月，深圳“AI+安防”公司因人臉識別數據庫缺乏保護導致數據泄露，致使超過250萬人的人臉信息能被不受限制地訪問。

人臉識別應用安全需多重防護

公共服務人臉識別應用遭遇的威脅攻擊主要有三個層面：針對人臉識別系統或算法、針對承載人臉識別系統的設備、針對存儲人臉識別存儲數據的數據庫和接口等。

風險隱患是一個點，安全防護需要一個面。因此，在人臉識別的公共服務上，需要在多方面加強防護，提升整體安全能力。

第一，提升人臉識別系統的精準度。基于空間域的檢測、圖像取證的檢測、生物頻率、GAN的偽影檢測、基于生物信號的檢測，視聲不一致以及視覺上不自然等措施，通過模型和算法提高真偽判別。

第二，保障人臉識別系統的安全性。防范API接口被篡改劫持，保證輸出效果、生成網絡效果的真實；保障發現設備和系統端口、通訊的異常；及時預警，防止灌入虛假人像、混淆真假人像、庫內人像信息被篡改；保障人臉數據存儲以及傳輸的完整性、機密性等。

第三，提升人臉識別識別的風控能力。人臉識別是一種技術核驗，但不能作為唯一的手段。需要采用身份證、手機號碼、銀行卡、操作行為、設備、環境等綜合手段進行核驗，甚至需要人工電話核實。通過立體的風控體系，增強人臉識別從源頭到應用的全鏈條預警、攔截、防護能力，提升人臉識別應用的安全性。

法律法規護航人臉應用安全

2022年兩會上最高人民法院表示，最高法院針對一個具體問題專門出臺一個司法解釋是不多見的。司法規范“刷臉”，體現的是法院依法維護個人信息安全的鮮明態度，就是專門回應大家對人臉信息安全的擔憂，作出了相應的規范。

司法為人臉識別護航。2021年7月，最高法院發布《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》。解釋明確規定，在賓館、商場、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定，使用人臉識別技術進行人臉驗證、辨識或者分析，應當認定屬于侵害自然人人格權益的行為。

行業機構也在牽頭制定應用標準。2021年4月7日，中國信息通信研究院云計算與大數據研究所倡議發起成立“可信人臉應用守護計劃”。頂象等多家公司入選第二批“可信人臉應用守護計劃”成員單位，將與各界通力合作，積極探索人臉應用治理與發展的可信指引，助力人臉識別應用安全發展，共建可信的人臉應用生態。

通過不斷完善法律法規，既有力服務數字經濟發展，又守護好人臉應用安全。