自拍、變臉、支付：你在刷臉，有人在刷錢

「你絕對不知道你有多少個人信息在互聯網上『飄』。」雷（化名）說出這句話的時候，特意指了指自己的臉。

我們的姓名、性別、年齡、手機號、郵箱……也許在網路上已經是完全透明的了，但是連這張臉都要被「共享」，確實有點令人不寒而慄。尤其是面對著不小心曾在「灰產」上過班的技術人員——雷，聯想到無數次不經意間面對各種手機應用軟體的場景，真想說，「還要不要臉啦」！

自拍、變臉、美顏、支付……今天，你刷了嗎？

網聊有風險，「視頻」需謹慎

搭載「黑科技」人臉識別的iPhone8發售在即，買了手機號碼后要「刷臉」激活、支付寶聯手肯德基試水「靠臉吃飯」，招商銀行可以「刷臉」轉賬......「人臉識別」這個詞，在商場和大街上到處都在出現，如今和別人聊天似乎不懂點「人臉識別」的知識都會顯得很OUT似的……

就在輿論都在為「人臉識別」技術進入商業化而歡呼的同時，這項技術所潛藏的一些危機也如同一盆冷水迎面潑來。

一周前，騰訊手機管家對外發布消息稱，警惕類似某些手機FaceTime視頻通話的詐騙事件。其安全團隊已經驗證，的確存在用戶臉部視頻被錄製（盜用）的風險。

據騰訊安全專家楊啟波分析，目前一些支付APP採用了「人臉識別」生物識別技術，讓用戶直接「刷臉」支付，而不法分子利用FaceTime錄製用戶臉部視頻后，有可能藉此通過單一「人臉識別」驗證，進而盜取用戶的賬戶里的財產。

「騙子這是採用被動方式騙取個人『臉部信息』，其實大眾在日常生活中還會主動貢獻了許多『臉部信息』。」作為曾經從事臉部識別軟體開發的工程師，雷也對懂懂筆記表示，正因為「臉」是人們經常暴露在外的「信息體」，所以更容易被漏洞或者不法分子所利用。

與臉有關，免費APP背後的「野望」

「你絕對不知道你有多少個人信息在互聯網上『飄』。」雷表示，過去許多用戶都知道各類免費App有收集提取用戶信息的風險，但卻不知道許多免費「變臉」的App其實也在保存著用戶的動態視頻信息，「所有女生多多少少都會用過一些『變臉』軟體，所以被（運營者）保留的視頻信息里，女生居多。」

雷在去年加入了深圳的一家軟體開發公司，參與了一個「變臉」App的開發。「一開始，以為這個項目也是靠廣告和交易分賬盈利的，但結果不是。」他說，在去年「人臉識別」還沒火起來的時候，這個項目就開始做起了販賣用戶信息的勾當了。

「這個App雖然不是那麼主流，但是在應用市場上也有好幾萬下載量，用的人還是有不少的。」雷說，這雖然是一款「變臉」軟體，但是在用戶使用的過程中，系統會自動截屏上傳至後台，與用戶所提供的個人註冊信息相匹配。許多用戶在這個過程中，「臉」不知不覺就被「賣」了。

雷表示，一開始這些信息只是像傳統用戶資料般被非法販賣，但是在有了所謂的「真人照」之後，這些信息就變得值錢了。「一條甚至可以賣而二十到三十塊錢。」他表示，這些信息一開始只被用作部分網路平台或者遊戲平台的「驗真」使用。但隨著一些App採用了人臉識別技術之後，這家初創公司發現了新的「財路」。

「人臉識別火了之後，有的電信運營商有自助『實人驗真』系統，有的支付平台採用了『人臉支付』等等。這些都離不開臉部特徵+動作這樣的驗證方式。」雷強調，在人臉識別越來越多開始應用后，這個「變臉」平台也採用了與其他人臉識別平台一樣的登錄驗證方式，「登錄驗證也是搖頭、點頭、張開嘴等簡單動作。但不同的是，（變臉）平台並不是驗證用戶信息，而是錄下了用戶驗證的整個過程。」一個完整的用戶「人臉驗證」的視頻，就這樣被儲存起來了。

「Facetime那個（視頻騙局）是被動錄下了用戶的臉，而有些App可是（利用獵奇）讓用戶主動將信息送上門。」他說，這樣一條視頻信息，可以被叫賣到50至80元不等，大量信息被販賣更讓用戶的隱私安全岌岌可危。

「如果說Facetime那種（隨機錄製的）視頻都可以解鎖部分『人臉識別』系統的話，那這種正兒八經做驗證動作的視頻危險程度更高。」雷補充道，在他離開這家公司之後才發現，做這種「買賣」的小公司並不只是少數。從技術層面上看，應用商店中有許多與「臉」有關的App都有保存用戶視影資料的嫌疑。

在網路上，我們很可能都是透明的。

個人信息被買賣的事情每天都在發生。監管難、違法成本低、有利可圖使得越來越多的機構熱衷於買賣個人信息或者交易，過去因個人信息泄密而導致的詐騙事件頻頻發生。

而現在，用戶影像資料也有平台在非法出售，大量的「人臉」特徵信息被泄露，讓本來具有單一生物特性的「人臉識別」技術變得不再安全。如果同時擁有了用戶外泄的賬戶信息以及人臉特徵副本，利用「人臉識別」技術將個人財產轉移更是輕而易舉的事情。

人臉識別商業化，關乎誰擁有了大家的「臉」

無論是iPhone8的「人臉識別」，還是支付寶聯手肯德基的「刷臉吃飯」，都因為將「臉」與腰包里的錢掛鉤了，所以引發了不少人的質疑，擔心「人臉識別」技術引發安全問題。

實際上，在今年央視315晚會上，人臉識別就被曝出可能存在安全威脅。就此事，專註人臉識別技術的商湯科技和曠視都表示，任何一種安全手段都不是獨立的，因此在實際應用中，不會將人臉作為唯一的憑證。就連近日最近媒體頻頻報道的肯德基杭州「靠臉吃飯」的KPro餐廳，也不是單獨依靠人臉識別技術單一完成支付認證的。

「站在機器前，機器可以通過鏡頭分辨用戶的身份，但是進行到最後一步的支付還是需要通過手機進行二次驗證。」體驗過肯德基KPro餐廳的一位讀者劉女士告訴懂懂筆記，支付寶的「靠臉吃飯」雖然很新奇很吸引人，但在實際使用上問題還是很多的。

例如，濃妝艷抹、頭髮有留海的女生在識別過程可能會出現延遲或者一兩次重試；而在支付之前，用戶還需要輸入手機號碼后四位進行二次驗證。她坦言：「真的不如掃碼付款來得方便。」

而從去年就加入「刷臉」大軍的招商銀行，其4.0客戶端的「刷臉」轉賬功能仍舊建立在簡訊驗證通過的基礎上，十足雞肋。

如果這些支付過程都是為了刷臉而刷臉，豈不就是個噱頭？

不難看出，現階段所有涉及支付的系統都不是採取單一「人臉識別」技術，而是要結合簡訊、驗證碼、手機尾號等傳統驗證手段一併使用。懂懂筆記認為，採用多樣結合的驗證方法，表明許多企業在涉及「人臉識別」技術的商業化安全性上，也並沒有十足把握。更多的只是把「人臉識別」當成一項新的噱頭，嘗試吸引著大眾的關注。

如今，許許多多「人臉識別」的應用已經逐漸商業化，走進大眾的生活。我們必須要對技術應用中所涉及的隱私和道德問題進行了一番新的思考。

螞蟻金服陳繼東曾指出：「從用戶隱私上來說，人臉識別和指紋、虹膜相比，屬於弱隱私。換句話說，你的臉，早就不是隱私了。」

但每個人的臉部特徵是完全不同的，即便是雙胞胎也有著或多或少的差異。從某種意義上說，臉部數據是一種我們所有人無法逃脫的「數據鏈路」，很顯然，這已經算是人的隱私因素之一。

有關人臉識別商業化所涉及的隱私問題一直備受爭議。

此前，Facebook因為未經用戶允許而私自儲存和使用用戶的人臉識別數據而飽受詬病；而Google則因隱私政策和輿論壓力而禁止Glass App使用人臉識別功能。

在，不管是「變臉美顏」App，「換裝」App也好，甚至是納入「人臉識別」支付平台或軟體，都無時無刻的「擁有」著大家的臉，每一次使用就將有一份臉部信息「標本」本保存下來。

如果說政府部門錄入民眾人臉信息「標本」有助於抓捕罪犯、預防犯罪，人臉識別便是鑒權的一種手段，一切都要在法律的框架下進行。而企業擁有這麼多的「臉」，儲存和應用幾乎沒有完善的法律法規和監管體系對其進行約束，讓數據隱私的暴露與否僅在一線之間。

虹膜、指紋、臉 科技的便利也是風險

「支付軟體刷臉支付本身就留下了一個『標本』，在銀行刷臉取現也留下了一個『標本』，各種與『臉』有關的APP更是會留下一串『標本』。」雷告訴懂懂筆記，隨著科技的發展，人臉識別技術的商業化或許成必然，但是每個人的臉已經讓許許多多商業機構有意無意間收錄了，這是一個十分龐大的「生物特徵」標本庫。

假設一下，如果商業機構管理、運用不當，這些一經泄露就會為所有用戶的信息、隱私甚至資金安全帶來嚴重的威脅。

「雖然小公司利欲熏心，買賣人臉數據，但是大公司也未必就能保證數據的安全不外泄，畢竟數據的掌控還有諸多人為因素。」他對此表示質疑。

在個人隱私相關法律法規較為健全的美國，人臉識別在商業應用上都倍受民眾詬病，隱私泄露隱患始終不能令公眾放心。

目前為止，還沒有類似的機制或者第三方機構對於用戶數據提供監管保全服務。特徵隱私數據泄露與否，全憑企業「良心」與「能力」。

人臉識別充當著人工智慧的「眼睛」，作為人工智慧與外界交互的一項重要技術，人臉識別技術的安全性顯得十足重要。在人口紅利下，人臉識別有著十分龐大的市場空間，但在商業化上數據信息安全依然是所有廠商繞不掉的「門檻」。

隨著人臉識別在日常生活中應用越來越普及，很多廠商和輿論都把人臉識別萬能化了。實際上，高科技應用的背後依然有可能存在風險、存在漏洞，數據的防偽和安全性依舊是所有廠商需要共同攻堅的難題。

因此，懂懂筆記認為，在涉及隱私、支付等高級別安全場景使用時，應將人臉與指紋、虹膜、聲音等生物特徵信號相融合，甚至與傳統密碼、簡訊驗證相結合，而不是單一的採用人臉識別技術，這樣安全的係數就會大大提升，避免一些不必要的潛在風險。

當然更重要的是，保護好自己這張臉，別沒事到處「刷」。

作者：懂懂筆記