俠客島：誰“偷”了我們的臉

最近島妹出差在外，入住酒店時，前台要我對著機器做驗證：當我的臉與身份證上那個家夥對應成功時，我便可以入住了。

這場景如此熟悉，我心裡一激靈。幾天前去銀行辦業務，櫃員讓我對著機器“眨眨眼”“搖搖頭”。每日進辦公樓，門禁系統會將我的臉和職位信息映在螢幕上。

我的手機也具備刷臉開機功能（雖然已經關掉了），但有一次我騰不開手卻要用手機時，朋友朗聲對我說“你把臉伸過來”。

臉日日暴露在外，早已成為被采集、被識別的對象。若止步於此，倒也不至於心驚。但關鍵是，從一張臉能挖掘出來的信息實在太多了，身份證號碼、購物習慣、金融貸款、家庭住址、甚至性取向……

這些信息一旦洩露，島友們，你們敢想象會發生什麽事嗎？

一

島妹今天為什麽要拎出人臉識別大談特談呢？當然不是出差之餘一時興起。

今年以來，人臉數據泄密事件屢見報端。先是國內一家提供人臉檢測與人群分析的科技公司，被發現人臉識別數據庫未設密碼保護，導致256萬用戶信息洩露。

後是經《北京青年報》披露，有商家在網絡商城售賣人臉數據，數量達17萬條。

這17萬條數據的詳盡程度令人發指：涵蓋2000人肖像，每人約有50到100張照片；每張照片搭配一份數據，包括人臉的106處關鍵點，如眼睛、耳朵、鼻子、嘴等輪廓信息，甚至標注了性別、情緒、顏值等信息。

這些信息是怎麽洩露的？小區門禁，銀行信息比對，酒店入住驗證，逛商場、過馬路……在許多不經意的瞬間裡，我們的臉被“刷”走了。

這真不是聳人聽聞。

2019年9月，上海市某小區在電梯裡安裝投影設備，看上去是廣告，其實是人臉識別設備。

幾乎同一時間，位於南京的中國藥科大學在教室中安裝了人臉識別設備，據稱可以追蹤、識別學生聽講、發呆、睡覺等上課狀態。

在一些商場超市，顧客從踏入大門那刻起，就在不知情的情況下被捕捉了人臉信息，甚至能顯示其情緒狀況。

為什麽刷臉能刷出這麽多信息？原因很簡單，人臉識別不只是檢測、識別而已，還能將人臉信息與多方信息相關聯，計算得出更多深層信息。

要是這些信息保管不善或被惡意盜取，結果會怎樣？不少刷臉支付的人第一反應恐怕是：壞了！金庫安全不保。

中國裁判文書網就記錄了一個案例：在一起搶劫案中，被害人說不記得密碼，但行凶者利用被害人的身份證和具有人臉識別功能的支付軟體強行修改了支付密碼，取走大筆錢財。

財務受損已是人間慘劇，如果還要為他人惡行“背鍋”，各位會是什麽心情？

8月初，一個關注3D列印的微信公眾號發布了測試視頻——技術人員用3D列印製作的蠟像人頭騙過了支付寶人臉識別系統，成功買到火車票。

這件事，細想一下還挺恐怖的。假如有人得到我們的面孔信息、做成3D列印頭像，假借我們的身份行違法亂紀之事。追責時我們卻百口莫辯，你說冤不冤？要是我們因此蒙受物質、精神損失，該向誰討公道呢？

更要命的是，這些傷害未必是一次性的，極有可能困擾我們一生。道理很簡單，人臉信息是獨特而難以改變的生物信息，一旦洩露、覆水難收，造成的傷害也會因信息的持續擴散而難以完全撫平。

二

人臉識別已經造成了一些麻煩，但它也被廣泛運用到了生活中，尤其是安防和社會管理領域。

台灣桃園機場自2013年起，就接入了人臉識別過海關的系統，大大提高了安檢效率；深圳機場也從2014年開始，利用人臉識別技術攔截水客，抓住潛逃罪犯。從這個角度講，人臉識別技術還是應當論功行賞的。

不過，它也並非百發百中，偶爾也有“錯殺”。有一年，“董明珠”闖紅燈、被路口大屏當街“示眾”的新聞刷了屏。不過這純屬誤會，因為大屏上展示的根本不是真正的董明珠，而是印在公車身上的格力廣告。

別以為人臉識別技術只在國內“翻了車”，亞馬遜在2016年推出的圖像識別AI系統Rekognition，也曾將28名美國國會議員認成了罪犯。

令人哭笑不得吧？不過，配上下面這條新聞來讀，就不一定笑得出來了。

今年10月29日，北京市軌道交通指揮中心主任戰明輝在城市軌道交通運營發展論壇上透露，北京將應用人臉識別技術實現乘客分類安檢。

怎麽分類安檢？研究建立人員分類標準，形成對應的人臉庫，依托人臉識別系統對乘客進行判別，並將信息推送給安檢人員，安檢人員據此對應采取不同的安檢措施。

這會造成什麽問題？一旦系統誤判，我們卻已經被不明不白分了類，難保不會造成新型的社會不公。如今征信系統漸漸將乘車、過馬路等多種信息納入在案，若我們的臉被誤識別，影響了個人信用，損失該由誰來兜底？

三

人臉識別技術已然或可能造成的煩心事，到這兒講得差不多了。

既然如此，這個技術還要不要繼續發展使用？它的存在究竟使得效率提升還是隱私被擾？對這門技術到底該持什麽態度？

回顧人臉識別技術迄今為止的使用，它可以輔助追蹤大毒梟、人販子，也可能淪為盜用人臉信息、實施不法行為的幫凶。

大家有沒有注意到：技術還是那個技術，但應用目的和場景大不相同，最後技術帶出的影響也有天壤之別。所以，怎樣讓人臉識別技術“隻造福”“不闖禍”，合規使用是關鍵。

只是合規二字，說來容易，做到卻難。

要想合規，首先要有規可依。然而，目前中國個人生物信息保護的相關法律法規散見於民法總則、網絡安全法、消費者權益保護法以及最高法、最高檢和國務院頒布的相關司法解釋和規定中，遠未形成完整體系。

另外，當今社會也的確存在濫用人臉識別技術的風氣。正如一位資深行業人士所言，不管是互聯網巨頭還是人工智能獨角獸，都熱衷於跑馬圈地做大業務，對數據安全的投入少之又少。

從這個角度看，對個人生物信息權的立法規劃和研究，是時候提上日程了。

我們不妨做個展望，如果立法，該涵蓋哪些內容呢？

首先，信息采集要在我們充分知情的情況下完成，我們要知道是誰抓拍了我們的臉，能否妥善保管，我們能否拒絕被刷臉，或者中途反悔了能不能要求刪除我們已經被刷走的人臉信息。

其次，刷臉者要拿這些數據做什麽用，我們可能會面臨什麽風險，我們在用自己的哪些信息換取到了什麽服務。

最後，如果有人或機構不按規矩“霸王硬刷臉”、濫用我們的信息，該如何懲治他、如何得補償？這都是值得思考的問題。

曾有人說，中國人對隱私不那麽在意，願意拿隱私換便利。但是，如果每個人真知道，這樣做將置自己於何種風險之中，又能換來什麽便利服務，有多少人會漫不經心看著自己的信息被收割呢？

文/雲中歌