刷臉支付、刷臉打卡、刷臉門禁……近年來，人臉識別作為一項新的信息技術在各領域得到廣泛應用，同時因此產(chǎn)生的個人信息侵權糾紛也隨之而來。

相比于其他生物特征，人臉信息還具有易于獲取、獲取過程無感化、與個人身份關聯(lián)緊密等特性。某國際互聯(lián)網(wǎng)數(shù)據(jù)公司技術人士直言，人臉信息與個人身份之間的關系可謂“一目了然”，一旦建立其關聯(lián)信息，風險較大。

人臉識別技術的基本情況

人臉識別是指能夠識別或驗證圖像或視頻中的主體的身份的技術。首個人臉識別算法誕生于七十年代初。自那以后，它們的準確度已經(jīng)大幅提升，現(xiàn)在相比于指紋或虹膜識別等傳統(tǒng)上被認為更加穩(wěn)健的生物識別方法，人們往往更偏愛人臉識別。讓人臉識別比其它生物識別方法更受歡迎的一大不同之處是人臉識別本質上是非侵入性的。比如，指紋識別需要用戶將手指按在傳感器上，虹膜識別需要用戶與相機靠得很近，語音識別則需要用戶大聲說話。相對而言，現(xiàn)代人臉識別系統(tǒng)僅需要用戶處于相機的視野內即可，使得人臉識別成為了對用戶最友好的生物識別方法。這也意味著人臉識別的潛在應用范圍更廣，因為它也可被部署在用戶不期望與系統(tǒng)合作的環(huán)境中，比如監(jiān)控系統(tǒng)中。人臉識別的其它常見應用還包括訪問控制、欺詐檢測、身份認證和社交媒體。

技術原理及模式

人臉識別技術的核心實際為“局部人體特征分析”和“圖形/神經(jīng)識別算法”。人臉檢測是指在動態(tài)的場景與復雜的背景中判斷是否存在面像；人臉跟蹤是指對被檢測到的面貌進行動態(tài)目標跟蹤；人臉比對是對被檢測到的面貌進行身份確認或在面像庫中進行目標搜索。

在日常生活中主要有兩種用途，一是用來進行人臉驗證，驗證“你是不是某某人”，還有一種用于人臉識別，驗證“你是誰”。1:1模式，其身份驗證模式本質上是計算機對當前人臉與人像數(shù)據(jù)庫進行快速人臉比對，并得出是否匹配的過程，可以簡單理解為證明你就是你；1:N模式，即系統(tǒng)采集了“我”的一張照片之后，從海量的人像數(shù)據(jù)庫中找到與當前使用者人臉數(shù)據(jù)相符合的圖像，并進行匹配，找出來“我是誰”；M:N模式，是通過計算機對場景內所有人進行面部識別并與人像數(shù)據(jù)庫進行比對的過程。

主要問題和風險分析

隨著大數(shù)據(jù)、人工智能、云計算、5G等技術迅猛發(fā)展，人臉識別技術獲得了廣泛應用空間。手機解鎖、身份驗證、上班打卡等，人臉識別技術在金融、醫(yī)療、安檢、支付、文娛等諸多領域得到普及，這為數(shù)字經(jīng)濟社會發(fā)展和人們日常生活帶來了新機遇。帶來便捷的同時，各類風險隱患層出不窮。現(xiàn)行的人臉識別技術，無論是在收集、保管還是使用的環(huán)節(jié)，都存在諸多的問題。

一是獲取人臉識別數(shù)據(jù)未征得被收集人同意。面部的生物數(shù)據(jù)明顯屬于個人信息，即便按現(xiàn)在的法律規(guī)定，人臉識別的收集環(huán)節(jié)也涉嫌嚴重的違法甚至犯罪。因為很多場合對個人面部數(shù)據(jù)的獲取，根本沒有征得被收集人的同意，難以認為是依法取得。

二是信息告知不充分。由于信息告知不充分，包括收集的主體、收集的數(shù)據(jù)范圍、使用目的及范圍、保護措施與相應風險等均未予明示。

三是缺乏合法監(jiān)管。目前對于收集方獲取的人臉識別數(shù)據(jù)的管理，缺乏完善的監(jiān)管。

四是數(shù)據(jù)存儲存在安全隱患。由于個人的生物學數(shù)據(jù)具有穩(wěn)定不變性，一旦泄露，所帶來的潛在的安全風險，遠比手機號與賬戶信息的泄露更為嚴重。

五是商業(yè)化落地不當。隨著數(shù)字經(jīng)濟的發(fā)展，競爭規(guī)則、數(shù)據(jù)規(guī)則和消費者保護規(guī)則存在競合趨勢，人臉識別殺熟就是其中典型代表。另外還存在歧視問題：研究表明，人臉可以顯示性傾向，且預測結果大部分正確。所以，同性傾向的人很可能會成為歧視對象。

“護臉”需要監(jiān)管與技術并行

發(fā)展與安全并重，監(jiān)管部門多措并舉推進人臉安全應用。技術上的“護臉”創(chuàng)新也在不斷涌現(xiàn)：

提升人臉數(shù)據(jù)多維性。源頭數(shù)據(jù)采用3D多維人像采集，讓人像更加立體多維，從而避免人臉遭仿冒。

提升人臉識別精準度。通過模型和算法提高真?zhèn)闻袆e。

保障人臉識別系統(tǒng)安全性。對人像識別做二次驗證；防范API接口被篡改劫持，保證輸出效果、生成網(wǎng)絡效果的真實、發(fā)現(xiàn)設備和系統(tǒng)端口、通訊的異常；及時預警，防止灌入虛假人像、混淆真假人像、庫內人像信息被篡改；保證人臉數(shù)據(jù)存儲以及傳輸?shù)耐暾浴C密性等。

提升人臉識別應用的風控能力。通過全生命周的安全管理，增強人臉識別從源頭到應用全鏈條的預警、攔截、防護能力，提升人臉識別應用的風險預警及安全防護能力。

這幾年，我國相繼頒布了《民法典》、《數(shù)據(jù)安全法》和《個人信息保護法》，構建起我國數(shù)據(jù)安全與個人信息保護的基本框架。人臉信息是個人信息的重要組成部分，具有不可更改等特殊性，需要比一般個人信息更為嚴格的保護。日前發(fā)布人臉識別測試國家標準《信息技術 生物特征識別 人臉識別系統(tǒng)測試方法》（GB/T 42981—2023），已經(jīng)于2024年1月1日開始實施，《標準》注重于人臉識別系統(tǒng)的安全性和可靠性，提出了人臉識別系統(tǒng)的安全測試方法，包括對人臉識別系統(tǒng)的抗攻擊能力、抗干擾能力、抗異常能力等進行測試，評估人臉識別系統(tǒng)的安全性能和風險水平，防范和減少人臉識別系統(tǒng)的安全威脅和隱患。適用于各種人臉識別系統(tǒng)的測試，包括基于云端、邊緣和終端的人臉識別系統(tǒng)，以及基于不同場景和應用的人臉識別系統(tǒng)，如安防、金融、教育、醫(yī)療、娛樂等。可作為人臉識別系統(tǒng)的技術參考和評價依據(jù)，為人臉識別系統(tǒng)的設計、開發(fā)、采購、部署、運維、監(jiān)管等提供指導和支持。

新《標準》的制定和實施，將為人臉識別產(chǎn)品進行測試檢驗或認證服務提供有效指導，從而促進人臉識別行業(yè)的規(guī)范治理和健康發(fā)展。