浅谈对人脸识别安全保护的若干看法

如何证明“你就是你”？今天我们要聊的并不是哲学问题，而是有史以来在信息安全领域的一个关键问题，从你知道什么：“密码”等记忆标识；到你拥有什么：“U盾”等介质凭证到你是谁：“人脸”等生物特征。认证方式在发生变化的同时，安全性和易用性的平衡一直以来都是一个焦点。

近年来，“人脸”已然成为一种时尚而流行的认证方式。交通、金融、政务、通信等各行各业都广泛应用人脸识别技术，人脸也成为我们日常出行标识自己的一个重要标签。然而，近年来利用“人脸”发起的攻击案例层出不穷，甚至整个黑产界已经把人像图片作为继银行卡、身份证、手机卡等关键黑产资产后的又一大黑产资产去交易。

攻击者获取人脸照片的途径多种多样，人脸识别的使用场景在公众日常生活中越来越广泛，而在这些人脸识别场景的背后，可能隐藏着巨大的未知安全风险隐患。不同供应商的安全防护及隐私保护技术水平有限，由于IT系统安全缺陷导致的客户人脸信息泄露是目前最主要的一个泄露途径，而攻击者获取到这些人脸图片信息后，通过AI换脸及3D打印等技术，再配合前端的攻击绕过，即可实现模拟用户本人做各种认证操作。

人脸信息，作为个人的重要隐私信息，具有不可变更性，不像账号密码还能定期更换。目前人脸应用的技术路线较多，国家在人脸识别方面对企业侧的要求并无明确的标准规范要求，人脸数据如何存储，是否有安全保障机制，这些全部依赖于企业自身对安全的重视程度及技术能力。建设安全可靠的人脸识别技术应用体系任重而道远，在这个过程中需要监管、企业、个人都应该共同努力，共同提升人脸个人隐私的保护强度和力度。

从个人视角来看，在日常生活中，保护好手机，设置手机密码及SIM卡锁，尽可能不要在手机中存储证件照片、高清头像照片、个人身份信息及财务信息，同时在使用人脸的各种应用时，对于非主流官方应用，尽量少使用人脸识别，在公开非必要场合，尽量不使用人脸作为认证手段。

从企业视角来看，作为人脸应用的开发及运营方，需要做好移动应用的安全保护措施，加强人脸采集、传输、处理、存储各个环节的安全机制。在前端做好人脸认证环节的安全保护，避免由于业务缺陷导致的人脸造假及绕过；在传输过程中，做好加密机制，避免传输过程被窃听；在处理及存储阶段，加强数据安全保护机制，避免被托库、撞库导致数据批量泄露；同时，需要赋予使用者账号注销及人脸隐私数据删除权力。

从监管视角来看，尽快出台关于人脸应用的行业安全标准规范，对开发方及运营方人脸个人隐私数据保护提出明确的技术及管理要求，将人脸数据的保护提升到企业的信息安全保护基本职责及法定义务中去，让所有使用人脸技术的企业都能得到终端用户的信任。

信息技术的发展，在不断提升我们日常生活的便利性，然而便利性和安全性这两个天生的对立点需要我们不断的平衡和提升。我们坚信，通过监管、企业、个人的共同努力，人脸识别在日后一定能够发展成为不仅更安全，而且更便捷，更易用的技术。