人臉信息倒賣產業鏈：一次丟失，終身危險!

唐亞華

“你還要臉嗎？”一句日常俗語，道出了人臉的特殊性。不管是物理上，還是道德上，每個人只有一張臉，它關乎個人安全的方方面面，值得所有人警惕。

很難想象，有一天，你的人臉信息會被人賣掉，作價5毛錢。而這帶給你的困擾或許是一生的，除非你去“換臉”。

相關技術專家指出，單純的個人照片不構成太大風險，但匹配了身份信息的照片可以做出模擬真人的點頭、搖頭、眨眼、說話等行為，能實名注冊市面上大多數軟件，加上驗證碼破解方式，不法分子在辦理網貸、精準詐騙等方面幾乎毫無障礙。

互聯網時代，盡管我們獲得服務需要讓渡一定的個人信息，但不同于一般的賬號和手機號，人臉信息屬于高度敏感的個人信息，我們可以更改賬戶密碼，但我們能換臉嗎？也就是說，一旦丟失匹配了身份信息的人臉信息，我們終身將面臨安全隱患。

只值5毛錢

信息裸奔時代。人臉識別都能買賣了。近日，一些網絡黑產從業者利用電商平臺，批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程，“人臉數據0.5元一份、修改軟件35元一套”引起了大眾的激辯。“我一張臉就值5毛？”、“我的支付寶賬號瑟瑟發抖”、“憑啥APP們要求我們實名，而你們做不到保護我們的隱私？”網友對此表達了強烈不滿，甚至有人“有點抗拒互聯網大數據了”。

類似于指紋、虹膜、DNA可以識別個人生物特征一樣，人臉識別也是這樣的手段，它是基于人的臉部特征進行身份識別的一種生物識別技術，被認為可以非常便捷地證明“我是我”。方便的同時也帶來了不小的隱患。與身份信息匹配了的人臉信息可用于注冊應用軟件、借貸等，利益驅使之下，網絡黑產應運而生。

有賣家透露，自己所售賣的人臉信息來自一些網貸和招聘平臺。“照片活化”工具可將人臉照片修改為執行“眨眨眼、張張嘴、點點頭”等操作的人臉驗證視頻。也就是說，不法分子拿到公民的照片和身份信息后，利用“照片活化”工具就可以執行搖頭、點頭、眨眼等動作，由此來騙過一些人臉識別驗證方式。

人臉識別這個曾經被認為安全的個人信息驗證方式，正遭遇嚴重的質疑。

后果很嚴重

哪些地方正在搜集人臉信息？這些信息究竟是從哪些渠道泄露的？泄露之后又有多大的風險？NETSTARS CTO陳斌解釋，以前有刷臉支付、門禁、手機應用軟件，今年因為疫情，一些測體溫的設備也在采集人臉數據，“從技術上來看，采集人臉信息很簡單，只要有攝像頭就可以不間斷采集。”他指出，第三方平臺采集到數據有兩種泄露的可能性：一種是黑客技術入侵數據庫，把庫里的信息拷貝盜走，很多公司都不知道自己的數據庫泄露了;另一種是公司內部有人拿數據出去倒賣交易。

事實上，如果第三方只有人臉信息，用處不太大，但如果匹配了身份證信息，危害就非常大，這中間的難點在于跟身份信息關聯。至于怎么匹配個人信息，“第一種是通過支付軟件，上面可能本來就有了個人信息，再加上人臉信息，就能匹配;第二種是一些園區、旅游景點，刷身份證進入，就有了數據庫;第三種是不少金融服務公司會拿客戶的信息去查詢比對權威部門的數據庫，對比完以后，有的公司會把信息儲存下來，存在泄露的可能。”陳斌分析。

再加上，現在不法分子也可以操作手機號驗證碼，信息的全面匯集，讓形勢更加嚴峻。陳斌提到，目前有技術可以操作偽基站，不法分子可以做一個假的移動或聯通基站，向對應的手機號發驗證碼他們就能收到。

“照片活化”技術則可以通過照片作出搖頭、點頭、眨眼、吐舌頭等動作，“甚至配合說一句話都沒有難度，可以用語音操作”，再加上手機號驗證碼的操作空間，不法分子一旦有了身份證信息和照片，便可冒用別人的身份去辦理網貸、注冊軟件或網站、解鎖支付軟件、精準詐騙等，可以無障礙做很多不法的事情。

“不同于一般的賬號、手機號，人就一張臉，人臉信息被盜取只能去整容換臉了，否則被盜取了經匹配的人臉信息后，你每天出門就相當于腦門上頂著信用卡在走路，是很危險的。”陳斌說。

真實的案例已經發生在現實生活中。

2019年，深圳龍崗警方發現有轄區居民的身份信息被人冒用，其駕駛證被不法分子通過網絡服務平臺冒用扣分。另外，龍崗警方還偵查發現，有不法分子使用AI換臉技術，繞開多個社交服務平臺或系統的人臉認證機制，為違法犯罪團伙提供虛假注冊、刷臉支付等黑產服務。龍崗警方在廣東、河南、山東等地已抓獲涉案犯罪嫌疑人13名。

據悉，犯罪嫌疑人利用非法獲取的公民照片進行一定預處理，而后通過“照片活化”軟件生成動態視頻，騙過人臉核驗機制。隨后，通過網上批量購買的私人社交平臺賬號登錄各網絡服務平臺注冊會員或進行實名認證。

所以，人臉信息和身份信息丟失最危險的后果是全民都需要“換臉”，這是一件一次丟失，終身都有危險的事情。

誰該負責？

一直以來，人臉識別不僅意味著個人和部分場所更高級別的安全防控，也曾是公安在茫茫人海識別抓獲罪犯的好幫手，人臉識別技術作為一種創新事物，備受各行各業青睞。然而，不可避免的是，技術跑在監管前面，風險也如影隨形。

從技術上來看，陳斌認為：“這樣的情形其實是技術不夠先進造成的安全隱患，因為目前的人臉識別技術不是活體識別，它識別的是面部的物理特征數據，比如眼睛之間的距離，鼻子到眼球的距離，鼻子到嘴的距離等，這和真人的識別差別很大。其實就是人臉識別技術還不夠完善，不法分子才有空子可以鉆。如果技術能區分活體和照片、視頻，那就不一樣了，未來可能隨著技術進步能解決這個問題，但是目前的情形還很值得憂慮。”

那么，從人臉信息的采集、儲存、傳播到再利用，中間哪些環節該為信息泄露負責？中國政法大學傳播法中心研究員朱巍從法律角度給出了解釋，個人信息保護法見于《網絡安全法》《刑法》第二百五十三條、即將生效的《民法典》第一千零三十八條，以及全國人大發布的《加強網絡信息保護的決定》等。“這種出售人臉信息黑產，主要是用作精準詐騙或刑事犯罪的，按照刑事法律的規定，明知道是用作犯罪依舊出售的，屬于典型的侵犯公民個人信息犯罪，一般出售50條就構成刑事犯罪了。”朱巍表示。

陳斌認為，如今的人臉識別行業監管還不到位，比較混亂。對于普通用戶來說，別輕易貪便宜，要求刷臉注冊，填寫身份證號等個人信息的應用軟件、公司、網站等都要高度提防。專家提醒，舉著身份證拍照是最害人的，因為既有身份證又有人臉信息，一定要盡量避免提供這樣的信息。

個人之外，企業也該加強技術管控和審核力度，選擇多重驗證方式，不能僅僅看外部特征。

“你還要臉嗎？”一句日常俗語，道出了人臉的特殊性。不管是物理上，還是道德上，每個人只有一張臉，它關乎個人安全的方方面面，值得所有人警惕。

（趙靜薦自燃財經）