央视再曝AI黑产：2块能买上千人脸照，轻松“换脸”仙人跳

在个人贪图方便、政府寻求便利、企业寻求利益的冲动下，失控的人脸识别泛滥应该尽早接受技术、行业规范与法律的监管。人不是作为经济动物而存在的，不能为了经济不惜一切代价。

报道 | 机器之能

继315晚会之后，AI黑产又一次登上了央视。

一

细思极恐的案例

机器之心也曾摸底AI黑产。在这条完整的产业链上：处于上游的需求人群，利用实名认证账户变现（薅羊毛）、推广、倒卖实名账户；

中游的技术服务商则以专门「代人脸识别认证」谋生，多以个体户或者小型工作室形式运作，提供过人脸认证、注册等服务，以及售卖过人脸认证软件等；

而在下游则是各种身份证、人脸照片、电话卡等身份信息的提供方。

在昨天的报道中，央视新闻提及两起发生在浙江的案例。8月13日，杭州钱塘新区公安部门抓获两名盗取个人信息的犯罪嫌疑人苟某、张某。

二人通过技术手段骗过平台人脸识别，在多个网络平台共盗取数千条平台账号个人信息，准备以每单80~100元的价格倒卖，没想到还没来得及成交就被警方抓获。

以上事件不过是冰山一角。裁判文书网公开信息显示，从2018年7月开始，有犯罪分子通过非法购买公民个人信息并制作相应的「换脸」视频，突破了支付宝的人脸识别认证。2019年，又有「00后」男孩绕过厦门银行App的人脸识别系统，使用虚假身份信息注册多个账户并倒卖牟利。

「从技术角度看，将人脸信息和身份信息相关联后，利用系统漏洞骗过平台的人脸识别机制是有可能的。」人脸识别技术专家、厦门瑞为信息技术有限公司研究中心总监贾宝芝表示，尽管平台在不断提升技术保障，但网络黑产技术手段也在不断更新。

随着海量的人脸数据被收集，人脸数据或许会和电话号码、身份证号一样，成为违法犯罪分子所使用的新手段。

二

毫无底线的刷脸认证

近年来，人脸识别技术呈现加速落地的趋势。从智慧城市建设到手机客户端的登录解锁，各种场景下都能见到人脸识别技术的影子。

一方面是民众对于便利的向往，另一方面则是企业的变现冲动与政府的新型治理需求。

全国信息安全标准化技术委员会等机构近期发布的《人脸识别应用公众调研报告（2020）》（以下简称《报告》）列举了十类人脸识别场景（支付转账、开户销户、实名登记、解锁解密、换脸娱乐、政府办事、交通安检、门禁考勤、校园/在线教育和公共安全监管），回收匿名问卷2万余份，旨在了解人脸识别的使用情况和公众的安全感受。

结果发现，人脸识别带来的管理效率提升，是各行业推进技术落地的主要动因。比如，便捷性感受方面，有9类场景的平均分超过4分，显示出受访者对人脸识别便捷性的认可度。其中，得分最高的是支付转账。

但在安全性感受方面，受访者给出的分数则明显偏低。六成受访者认为人脸识别技术有滥用趋势，三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。

值得注意的是，更多居住在北上广深、省会城市的受访者认为人脸识别技术有滥用趋势。这或许与这些地区的人脸识别应用更加普及有关。

不过，研究人员指出，在法律法规已有明确要求的「强认证」场景（如公共安全、金融支付）下，使用人脸识别完成精确的身份比对和验证，有其必要性和合理性。但是，对于一些没有明确法律规定的场景（如门禁考勤），不宜使用人脸识别作为唯一的验证方式。

在最为著名的中国「人脸识别第一案」中，浙江理工大学副教授郭兵因不接受动物园规定的面部识别入园方式，而提起诉讼。原告认为，这是「对目前人脸识别技术滥用的一种斗争。」

事实上，近年来，包括人脸和指纹在内等个人生物特征信息已经成为身份证号码、手机号码等信息之外，过度搜集公民信息案件中的重灾区。

中国消费者协会曾发布的《100款App个人信息收集与隐私政策测评报告》显示，测评的100款App中，有10款App涉嫌过度收集个人生物特征信息。

由于生物特征信息与个人财产、人格权益之间的联系日趋紧密，信息一旦丢失或失控，将给信息所有者造成巨大且难以挽回的损失，即使采取法律手段维权成功，也难以恢复原状。

「互联网的基本逻辑是，安全问题的解决并不取决于安保水平与能力最高的部门或企业，而是取决于其中水平最低与能力最差的。

允许各式各样的组织与单位随意收集民众的人脸数据，就等于埋下一个个地雷，数据被泄露与滥用的可能性会急剧地提升，这势必严重危及公众的人身与财产安全。」清华大学法学院教授劳东燕曾撰文明确反对所在小区物业安装人脸识别门禁。

三

有待填补的大坑：技术与法律

在昨天的央视报道中，研究人员向观众证实面具可代替人脸解锁手机。测试中，科研人员在手机对面放上面具，然后进行光线、色温以及角度的调节。通过几次比对，手机成功解锁。

不过，更为重要的是，目前科研院所已经研发出专门针对生物特征的活体检测技术，可以有效识别扫描对象的生命体征，大大降低了视觉系统把照片和面具当做人脸的风险。

比如说，近红外的摄像头还可以采集人脸温度，包括温度变化，可以协助系统判断识别的究竟是人脸还是照片或者视频。

专家认为，人脸识别的风险点更多地集中在人脸存储环节。由于人脸识别应用五花八门，也没有统一的行业标准，这就导致大量的人脸数据存储在应用运营方或技术提供方的中心化数据库中。

为了封堵这个漏洞，专家提出了分层授权和分布式存储两种数据脱敏和加密方式。并进一步指出，人脸数据存储应该建立更严格的标准和规范，技术开发方、App运营方应该在更趋严格的监管、法律以及行业规范下采集、使用、存储数据。

「像企业这样各自去收集和建立，泄露风险很大。有必要引入公共机构或社会团体去监督。」王锴在活动上建议。

目前，《中华人民共和国个人信息保护法（草案）》正在面向社会公开征求意见。草案提出，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。

产业发展的最终目的，还是为了让人幸福。人不是作为经济动物而存在，不能为了经济不惜一切代价。

参考资料：

https://v.qq.com/s/videoplus/239977502

http://www.chuangze.cn/attached/file/20201020/20201020205632833283.pdf

原标题：《央视再曝AI黑产！2块能买上千人脸照，轻松「换脸」仙人跳》