人脸识别：你不知道的隐私真相

　　用手机进行人脸识别时，屏幕上通常会显示一个圆形或椭圆形的框。很多人以为，拍摄和识别的是框里的面部，这其实是误解。

　　国家网络空间安全人才培养基地副主任、资深信息安全专家沈传宁指出，手机上的框只是引导用户校正拍摄位置，摄像头实际拍摄到的是镜头捕捉到的所有内容。

　　最终拍摄到哪些内容，取决于镜头参数与拍摄距离。如果是广角镜头，那么拍摄到的范围更大一些。就常见手机而言，前置镜头参数、自拍距离以及角度决定了基本拍不到用户全身，但能拍到面部以下的部分身体。

　　人脸识别对比的是从图像提取的、经过系统计算后得到的一串数据，它们代表面部的独有特征。从“面部特征”到“比对数据”的转换过程不可逆。也就是说，从图像可以得到特征数据，但通过特征数据，无法还原出图像。因此，即使特征数据被攻击者截获，也不可能还原出原始图像。

　　在不同的人脸识别场景中，特征数据比对可能在手机本地进行，也可能在远程系统进行。例如，解锁手机时，手机系统将提取的面部特征数据与存储在手机中的机主面部特征信息进行比对；在支付验证、银行验证等场景，是将面部特征数据交给远程系统识别，根据远程系统返回信息来判断面部识别是否通过。不论哪种，比对的都是特征数据，而不是图像本身。

　　人脸识别时，部分识别场景会要求“张嘴”“眨眼”“转头”等并形成视频，这些图像或视频在被识别后是怎么处理的？

　　在这个问题上，正规和非正规平台的做法相差很大。在正规的识别场景运用中，不论是手机本地比对，还是使用远程系统比对，通常都不用上传拍摄的照片或视频，而是先在手机上进行面部特征提取、转换成数据后再进行比对。识别系统收到的是数据，不是图像。识别时拍摄的图像、视频也不会留存，因为根据法律法规，未经授权留存用户图像信息是违法行为。

　　但从技术可行性看，提供人脸识别功能的平台和App有机会留存用户的图像和视频信息。业内人士透露，一些不规范的平台和应用会通过系统设置，将用户拍摄的、包含完整环境的图像或视频上传至他们的服务器后再进行识别。在这个过程中，用户的面部图像信息被非法收集，企业内部数据库也存在被“黑客”攻击或企业内部员工倒卖、传播的安全风险。

　　人脸信息一旦被非法收集，危害很大。比如，不法分子通过窃取人脸信息，冒充用户身份进行账户注册、实名认证、刷脸支付以及网络贷款，导致受骗者财产损失；还有不法分子将非法获取的人脸信息用于洗钱、涉黑等违法犯罪活动，导致用户被无辜卷入，给个人财产安全、公共安全甚至国家安全带来损失。

　　国家安全部提醒，个人应提高对人脸识别技术安全风险的防范意识，谨记“非必要不提供”原则。在授权使用人脸识别前，应确保其用途、范围以及信息保护措施，核准正规网络平台和软件。

　　沈传宁表示，确认App和识别场景是否靠谱很重要。以支付场景为例，在银行、第三方支付机构的官方App、小程序上进行人脸识别，安全总体有保障。但如果是不法分子仿冒官方平台搭建的“李鬼”App、小程序，用户务必提高警惕。

　　此外，在使用一些可有可无的小应用、小程序时，建议不要授权人脸识别，而是尽量选择密码等其他方式登录，避免被动泄露个人面部信息。

　　（《解放日报》3.24 任翀）