4月9日，備受關注的“人臉識別第一案”終于在歷時一年多后迎來終審判決，被告杭州野生動物世界被判刪除原告郭兵辦理指紋年卡時提交的包括照片在內的面部特征信息之外，同時增判刪除原告郭兵辦理指紋年卡時提交的指紋識別信息。“人臉識別第一案”最終落槌，加上在此前的“3·15”晚會上，多家知名品牌店因未經消費者同意安裝人臉識別攝像頭抓取人臉信息而被“點名”，讓“刷臉”又一次引發社會大眾關注。

對于“刷臉”這項改變生活的技術，到底應該怎么管？目前有多少場景存在人臉識別技術濫用的現象？又有多少人認識到其中的風險？面對“遍地開花”的人臉識別技術，公眾該怎么應對？近日，記者咨詢了廣州市市場監督管理局，對方表示，消費者在簽訂涉及個人信息的合同時應看清條款，若遇到爭議情況可進行投訴舉報。針對這一話題，記者走訪了多地的不同場景進行調查。

記者走訪了安裝有人臉識別系統的社區、商場、校園、寫字樓及政務中心等不同場合時發現，大多數寫字樓和社區在安裝系統時，會形成一套內部的物業管理辦法，但由于他們使用的多是內部處理器，因此不會進行報備；而用戶對于人臉信息被采集一事通常較為“被動”，其中高校學生、企業員工等群體較少被征詢個人意愿，而小區物業在人臉識別采集方面，會采用書面形式保障用戶知情權；目前，人臉識別技術在金融支付領域安全度最高，但應用推廣方面卻仍較為緩慢。

而針對人臉識別技術的特性，目前大眾最關心且需要厘清的問題包括以下方面：除道路、機場、銀行等必要的安防應用場所外，其余場所如小區、寫字樓、企事業單位是否有應用人臉識別技術的必要性；學校、酒店、公園等面對特定或非特定對象的場所，在應用人臉識別技術前是否有申報審批，并獲得個人信息主體的授權；獲取的個人信息數據由誰負責監控，將如何儲存、傳播、使用、銷毀等。

可喜的是，近日，《信息安全技術 人臉識別數據安全要求》國家標準面向社會公開征求意見，這也意味著，人臉識別即將擁有明確的“邊界”。

“刷臉機”進校園、寫字樓 多數人稱被“默認同意”

隨著越來越多的高校、小區推行“智慧校園”“智慧課堂”“智慧物業”的建設，人臉識別、大數據采集等技術被引入到各地高校及社區。

實際上，人臉識別技術在高校的推廣很早之前就引發關注：自2018年起，西南大學、重慶交通大學、北京大學等高校均已陸續使用人臉識別技術，實現“刷臉”報到、“刷臉”門禁、“刷臉”入館等，更有高校在部分試點教室安裝了人臉識別攝像頭，用于日常考勤和課堂紀律管理，試圖杜絕學生上課玩手機、逃課和“替同學簽到”等問題。

在教育系統內，人臉識別技術固然有一定優勢，比如杜絕“替考”等現象，以及疫情防控時期進行人員管理等；但該技術要如何用、怎么用，也成了一大課題。此前，教育部等八部門曾發布《關于引導規范教育移動互聯網應用有序健康發展的意見》，《意見》中指出，不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權，不得收集與其提供服務無關的個人信息，不得違反法律法規與用戶約定，不得泄露、非法出售或非法向他人提供個人信息。而記者走訪時卻發現，“默認授權”的情況較為普遍。

以某高校為例，從教學區正門到宿舍樓西北門處均設有5個人臉驗證通行機器。據工作人員介紹，在這些機器上只能進行人臉識別，不能刷校園卡，本校學生進出統一采用“刷臉”方式。

該校心理學專業的李同學告訴記者，“刷臉機”是在去年疫情期間開始安裝在校園和宿舍樓的入口處，除了這些入口需要“刷臉”，學生進出圖書館、飯堂等場所依舊還是刷卡。

該校電子信息工程專業的江同學則表示：“當時學校提出，全面實行人臉驗證通行的原因是為了方便測溫，同時加強校園內人員管控，所以我們可以理解，但當時并沒有提前獲取我們的同意，也沒有集中安排人臉采集，而是直接采用學生入學登記時的平面照片來存檔。”

與學生們情況類似的還包括企業職工，記者在采訪珠江新城多個開設了人臉識別系統的商業寫字樓物業中心時發現，鮮少有職工在面臨企業要求 “刷臉”管理時能夠有機會表達意愿。“一般在APP上被采納人臉，可能還會有一個用戶協議，詢問你是否同意被采集，但是作為員工，當企業提出為了安全防疫工作更新門禁系統時，也沒辦法拒絕。”在某寫字樓上班的李明樹告訴記者。

市民盧潔在一家游戲公司工作，從去年起，她所在的公司就啟用了人臉識別的門禁考勤。“當時公司說的是系統升級，起初我們的考勤方式是指紋打卡，現在要換成刷臉打卡，就讓每一個員工對著人臉采集設備做眨眼、微笑、轉動頭部等動作，屬于全方位采集人臉信息。”盧潔所在的公司有近千人，對于“刷臉”這種打卡方式，大家普遍的反映是“更快捷方便、一目了然”，而對于人臉信息的保存和應用以及安全保障，大家心里卻沒底：“相當于公司掌握了我們的指紋、人臉等個人信息。”

內部“刷臉”設備不需報備

社區住戶知情權相對有保障

人臉數據采集是否僅用在安全保衛方面？這些人臉信息儲存在哪里？如果數據被第三方公司獲取，公司或校方應承擔什么樣的責任？學生畢業、員工離職后人臉數據還要留存嗎？數據是否是在第三方監管下銷毀……記者走訪過程中發現，大多數信息主體與物業或管理者之間對于這些問題存在“信息不對稱”的情況。

在采訪中不少高校學生提到，“設備是學校引進的，學校應該有一套自己的管理辦法，我們的個人信息應該保管得很安全吧”“人臉識別應用還沒有特別廣泛，即便真的泄露了，應該非法獲利途徑較少”。包括對于畢業后學校會否刪除他們的人臉信息，學生們也不得而知。

相比之下，社區住戶對于“刷臉”的知情權比較能得到保障，因此也更有選擇權。比如獵德花園，去年疫情期間該小區安裝了人臉識別刷卡一體機，當記者走訪該小區幾個片區時，觀察到使用人臉識別的住戶幾乎沒有，絕大多數住戶還是采用的“刷卡通行”形式。該小區五區的租戶盧女士和一區的業主王女士均告訴記者，她們并沒有收到物業關于強制要求進行人臉信息登記的通知，住戶們可以選擇自愿前去開通人臉認證，“但我們沒去開通，主要是覺得刷卡就很方便了。”記者還了解到，該小區之所以沒有完全鋪開人臉識別，一方面也是由于小區內人員構成較為復雜，不僅包括業主，也包括短租戶、外國租戶等群體，因此難免在推行時出現文化認知差異，且信息維護也是一筆不小的成本。

而當小區物業與住戶之間關于人臉識別的信息“對稱”時，反而有助于引導住戶接受人臉識別門禁。黃老師居住的佳苑小區在大學城附近，這是一個有一千多名住戶的住宅區，居住人群以高校教師為主。為便于管理，該小區自建立以來就安裝使用了某公司研發的刷臉刷卡一體機。“目前開通了刷臉門禁系統的住戶大概有七成，還有三成因為擔心個人信息泄露而沒有錄入，所以他們便采用刷卡的形式。”該小區物業人員告訴記者。

據物業工作人員透露，該小區的住戶們普遍對于人臉識別的認知度更高：“雖然我們錄入信息很方便，只需要提供身份證，再照張相就可以了，但也會有一些業主主動前來物業中心詢問我們的信息儲存方式和安全性等，我們就會告訴業主，信息一般都是存在系統里，不會上傳到別處，更不會商用。如果業主搬走，可以要求我們刪除。”黃老師則透露，“這片住宅主要是通過簽約五年的方式劃撥給高校教師使用，但其實很少有人在搬走的時候會記得刪除人臉信息。”據記者了解，該小區的性質與公租房類似。

隨后，記者也詢問了其他寫字樓及小區的物業中心。以某寫字樓為例，其物業經理告訴記者，針對人臉門禁，物業其實早有一套內部的管理辦法。目前該大樓自用區的人臉錄入率為97%，租戶區錄用率則相對較低；該經理還透露，由于刷臉門禁是企業內部使用，采用內部處理器，相對而言“非常安全”，也不需要向政府報備，只需要招投標即可安裝門禁，且企業員工的人臉信息也不會上傳到外界。此外，按照物業管理流程，大樓內的工作人員若準備離職，可提前向上級部門反映，再由相關工作人員通知物業刪除離職員工的人臉信息，“但離職人員自己一般不會留意這些，我們目前也沒有收到過個人或者部門關于刪除個人面部信息的請求。”該經理說。

“刷臉”技術存在不穩定性

內部網絡使用也應慎重

那么，當企業、社區、校園使用“內部局域網”時，是否就能夠保證人臉數據儲存的安全？人臉識別技術水平是否穩定？記者也對此進行了走訪。

記者走訪的某高校心理學系王同學表示，人臉識別機帶給她最大的感受是“反應遲鈍”問題。她發現在學校安裝了人臉識別機之后，在上下課高峰期有時反而容易造成入口堵塞。“平均每個人刷臉需要三至五秒，有時候可能十幾秒都進不去；所以一到上下課高峰時期，保安會打開側門，通過檢查校園卡的方式放行。”

而佳苑小區的物業人員則透露，他最關心的是“設備故障”問題。“有時候是卡刷進不去，有時候是人臉識別不出來，還有的時候是直接罷工。這可能和設備提供方相關，和系統本身沒有關系。”該物業工作人員說。“我相信從設備方到系統提供方，沒有人會希望出現技術漏洞，但是中間的鏈條這么多，誰又能保證百分百安全呢？”黃老師說。

去年3月，清華大學法學院的勞東燕教授也曾在她所居住的小區改裝門禁系統、要求業主掃碼上傳人臉等信息時提出過反對意見：“人臉識別技術本身就存在不穩定性，數據保護需要不斷地升級、更新，小區物業有這個動力和成本去做嗎？”

隨后，記者在淘寶上搜索人臉識別門禁，聯系到了浙江一家名品牌商。商家告訴記者，他們家的機器可以在不聯網的情況下錄入和刪除人臉信息，能夠正常使用；但若需要獲得考勤情況、打卡時間等個人信息時則需要聯網，聯網后，電腦可以從機器導出照片上傳云端。這也意味著，盡管社區、高校和企業使用的是“內部局域網”，但是采集人臉生物特征數據依然需要慎重。

而某智能科技企業的工作人員告訴記者，目前該公司的人臉識別技術主要應用在銀行、公安、機場、海關等場景，一般與公安或主管機構合作，作為乙方為甲方提供技術與設備服務，與小區不會直接進行合作。“此前我們曾與客戶合作打造智慧社區新樣板，住戶通過刷臉的形式開啟單元門，使用刷臉就是為了避免違規使用公租房，保障低收入人群利益。小區使用的刷臉機一般如果是當地派出所、公安局或主管機構安裝的，用于實有人口管控，數據存儲會在當地公安網絡或主管機構。”

市場監督管理局：若遇爭議可撥打12345

近日，廣州市市場監督管理局表示，依據消費者權益保護法，商場、售樓處等不能在未經消費者同意的情況下非法獲取消費者人臉等個人信息。同時提醒，消費者在簽訂涉及個人信息的合同時應提高個人意識，看清條款；此外，為便于市民投訴，消費者若在消費過程中遇到個人信息權益爭議的情況，建議撥打12345熱線進行投訴舉報。

線上“刷臉”：

“刷臉支付”相對安全，隱私政策仍需完善

相比人臉識別技術在線下的大范圍應用，其在線上，尤其是金融支付領域卻有些“遇冷”。

自2018年起，支付寶、微信、銀聯旗下的云閃付APP紛紛推出“刷臉支付”服務，如今三年過去，該服務基本上已全面開花。記者打開支付寶“刷臉設置”搜索花城廣場附近支持“刷臉支付”的門店，光是1公里范圍內就有98家，涵蓋便利店、奶茶店、自動售貨機、桌游店、美容院、快餐店等。

“但目前只有不到兩成的人使用刷臉支付。”記者詢問多家便利店的工作人員時對方稱。即便是在對技術接受程度較高的華南理工大學以及琶洲的高端寫字樓附近，“刷臉支付”也依然“備受冷遇”。記者看到，即便是在午餐時間，便利店內的人工支付區已排起長隊，一旁的智能“刷臉”設備卻鮮有人問津。“主要還是覺得刷臉支付安全性不太高。”一名25歲左右的IT工作人員告訴記者。

隨后，記者與同伴又測試了商場內的 “刷臉支付”服務，由于在“刷臉”的同時還需要輸入當事人的手機后四位，只有當“刷臉者”本人與手機號相匹配時才能支付成功。“雖然刷臉服務用得較少，但是目前沒有出過差錯。”工作人員告訴記者。

不過這也并非意味著線上人臉識別技術比線下更“穩定”。今年2月，清華大學人工智能研究院的AI團隊瑞萊智慧公司就通過生成“對抗眼鏡”（通過AI算法生成特殊花紋，定制成人臉三角區的特殊“眼鏡”），在不到15分鐘的時間破解了19部不同型號手機上的人臉識別系統，平均每部手機的破解時間不到1分鐘，而唯一沒被破解的是一部搭載了3D人臉識別系統的iPhone11手機。

此外記者梳理時發現，許多APP在開設人臉識別功能前都未單獨征求用戶同意，且多數APP在隱私政策里并未在形式上突出采集人臉識別等信息，而是將人臉信息與一般個人信息相混淆進行收集；此外，諸多條款里也并沒有提到APP將對人臉信息采取何種特殊保護措施，也未明確指出支持人臉識別技術的第三方技術企業的具體信息，包括名稱和資質。

但也不乏有一些APP會針對“刷臉支付”業務推出專門協議，如中國工商銀行、支付寶等，其中，支付寶還推出了“刷臉小課堂”視頻科普。

專家：

3D人臉識別技術更安全，建議官方設立數據中心

清華大學深圳國際研究生院院長助理、物理學家馬兆遠認為，人臉識別技術的安全性和穩定性不能一概而論，由于不同企業的技術水平不同，人臉識別產品的安全性和穩定性也會有差別。“比如支付寶的人臉識別技術結合了眼紋等多因子驗證技術，其準確率能達到99.99%；但部分沒有活體檢測技術的人臉識別門禁設備就容易被攻擊。”馬兆遠說。

而人臉識別門禁機因為其終端設備的計算力有限，只能進行相對簡單的人臉識別算法，再加上室外光線的變化以及背景復雜，容易導致出現錯誤識別的情況。比如通過打印人臉刷臉成功的案例，其主要原因是系統的活體檢測技術還不理想。“目前人臉識別算法主要針對圖片進行識別，設備通過攝像頭采集人臉，丟失了深度信息，無法區分攝像頭前是圖片還是真實人臉。因此需要通過活體檢測技術防止此類攻擊，例如通過要求被識別人做出指定動作（眨眼、搖頭），使用3D相機獲取人臉3維圖像等。” 馬兆遠解釋，而值得注意的是，在此前瑞萊智慧公司的測試中，未能成功解鎖的iPhone11手機搭載的正是3D人臉識別技術，這也意味著，相對于2D人臉識別技術來說，3D人臉識別技術要更為安全。

除此之外，馬兆遠介紹，臉部識別系統的快慢也會受多方面因素影響。如：數據庫中人臉數據的多少，會影響比對的計算量，從而影響總體識別速度；人臉數據庫是否在本地，也會影響總體識別速度等，因此許多企業會根據應用場景，結合實時和易用性來進行調整，“任何一個人臉識別系統都無法做到百分之百正確。因此在某些人臉數據庫較大，錯誤識別帶來的損失較大的應用場景中，需要采集更多的人臉信息，以保證識別的準確率，這類識別系統的速度就相對較慢；而類似企業考勤這類人臉數據庫相對較小，即使錯誤識別帶來的損失也不大、對實時和易用性要求較高的場景，僅提取眼部等部分信息就能達到滿意的效果，因此其識別速度也較快。另外，針對‘戴口罩只露出眼睛’等特定場景優化過的人臉識別網絡，也能提升該場景下的人臉識別速度。” 馬兆遠說。

記者在采訪云從科技有限公司時對方也透露，目前公司的技術保障主要是采用多方安全計算技術，把數據進行分散存儲，在加密環境下智能化運營，達到互聯互通又不泄密的效果。“同時人機協同操作系統會根據不同模塊的場景適配不同的算法技術，比如銀行手機端的需求是輕量化模型，它要求的是運行速度快、模型體積小；而公共安全場景對算法的需求是對天氣、日夜、動態模糊的抗干擾能力較強。對于精度的要求通常主要取決于客戶，客戶可以根據不同的閾值設置來調整識別精度。”

如何更好地讓人臉識別技術規范發展？云從科技提出，最好的解決辦法就是設立官方主導牽頭的共享數據中心，形成一個良性的體系，由政府主導和監管，核心企業參與進來；其次是利用多方安全計算等技術，保障數據安全以及對數據進行脫敏；最后是標準和接入效率問題。建議把區域標準、行業標準、國家標準乃至國際標準體系通路建立起來，利用廣州在人工智能方面的應用優勢，借助先導區、試驗區的產業優勢，讓核心企業介入標準。

律師：

國家標準已開始征求意見，被采集人臉時搞清“三原則”

人臉識別的安全性和穩定性有待觀察，而更需要注意的是，在采集人臉識別信息的過程中，甲方是否完全保障乙方的知情權。

對此，記者采訪了金橋律師事務所的陳淮律師。陳律師表示，人臉信息是個人核心隱私，也是個人敏感信息。因此，用戶被采集人臉信息時，必須權利人“明確同意”或基于公共利益的需要才能收集。陳律師透露，判斷小區或學校是否因公共安全采集，可以看人臉識別機旁是否貼有“您已進入公共安全識別區域”的類似標識。

陳律師建議，公民要想知道社區或企業要求住戶或員工錄入面部信息是否符合規定，可以根據三個原則——合法、正當、必要。即社區或者企業采集人臉信息的目的是否合法（如有沒有報備），必要（除刷臉外有沒有其他的管理辦法），正當（是否取得個人信息主體的明示同意和逐一授權，其中明示則包括告知主體信息的用途/具體內容/刪除時間等）。

此外，據陳律師介紹，在郭兵案的影響下，杭州因此成為在物管條例中全國首個明確禁止物業強制人臉識別的城市；今年元旦起，天津市也已開始實行禁止采集人臉識別信息，規定企事業單位、行業協會、商會禁止采集人臉、指紋、聲音等生物識別信息；今年1月，廣東省檢察院也部署了省檢察機關針對人體生物學特征采集識別系統開展個人信息保護的專項工作；3月，江門市江海區檢察院就轄區住宅小區違規安裝“人臉信息識別”門禁系統召開了公開聽證會，參會代表認為轄區住宅小區違規設置“人臉信息識別”門禁系統存在泄露個人信息的風險，涉嫌侵害不特定多數人的合法權益。

更可喜的是，4月23日，《信息安全技術 人臉識別數據安全要求》國家標準的征求意見稿開始面向社會公開征求意見。國標的制定主要為解決人臉數據濫采、泄露或丟失，以及過度存儲、使用等問題，適用于數據控制者安全開展人臉識別數據相關業務。記者注意到，在該意見稿中有以下幾個亮點：

針對應用場景，國標要求，只有在非人臉識別方式安全性或便捷性顯著低于人臉識別方式（如機場、火車站進行人證比對等）情況下，方可開展人臉驗證或人臉辨識；人臉識別數據不應用于除身份識別之外的其他目的，如評估或預測數據主體工作表現、經濟狀況、健康狀況、偏好、興趣等情況，同時應提供除人臉識別外的其他身份識別方式供用戶選擇，不應因用戶不同意收集人臉識別數據而拒絕數據主體使用基本業務功能等；

針對明示同意，國標要求，收集人臉識別數據時，應向數據主體告知收集目的、數據類型和數量、處理方式、存儲時間等規則，并征得數據主體的明示同意；

而在技術領域，國標對進行人臉識別的企業或開發商的資質也提出了要求，其需具備相應的數據安全防護和個人信息保護能力，以防范人臉識別被“活照片”等手段非法破解。

責任編輯：lq