clearview ai|10亿张人脸数据被抓取，我们正面对无处不在的“偷脸”( 四 ) |人脸识别技

匹配身份后的人脸数据危害极大
中商产业研究院的一份报告显示，据预测， 2020年我国生物识别技术（含人脸识别技术）行业市场规模将突破300亿元。围绕人脸识别，已经形成了基础层（芯片、算法、数据）、技术层（视频人脸识别、图片人脸识别、数据库对比检验）、应用层（硬件、应用和应用方案）的完整产业链结构。
当下人脸识别技术的风险点，更多集中在存储环节。近期，央视新闻报道指出，由于人脸识别应用五花八门，也没有统一的行业标准，大量的人脸数据都被存储在各应用运营方，或是技术提供方的中心化数据库中。数据是否脱敏、安全是否到位、哪些用于算法训练、哪些会被合作方分享，外界一概不知。而且，一旦服务器被入侵，高度敏感的人脸数据就会面临泄露风险。
在曾毅看来，去年深圳深网视界科技有限公司（SenseNets ，以下称深网视界）发生的数据泄露事件集中体现了存储端的薄弱。 2019年2月，荷兰著名安全研究员 Victor Gevers发现，中国安防视觉领域的一家企业深网视界未进行安全保护，导致其数据库在公网“裸奔” ，任何人都可以访问数据。该数据库有超过250万名用户的信息，除了用户名，还有非常详细且敏感的信息，比如身份证号码、身份证签发日期、性别、家庭住址、出生日期、照片、工作单位以及过去24小时的到访记录等。
深网视界并非业内知名企业，但与多地公安部门长期合作。数据库可供任何人在线访问，这意味着有恶意的人可以随时添加和删除、倒卖记录。 Gevers曾给公司发送提醒，但是对方都置之不理。 “很显然，一些地方政府主要关注系统的功能，忽略了公司以及它服务的对象对信息安全的保护。 ”曾毅对《中国新闻周刊》说。
类似深网视界这样的数据泄露，后果是灾难性的。不少业内人士都指出，单纯的个人照片不构成太大风险，但匹配了身份信息的照片，危害极大。
人脸照片与身份信息相互匹配的渠道，越来越多样化。 “第一种是通过支付软件，上面可能本来就有了个人信息，再加上人脸信息，就能匹配；第二种是一些园区、旅游景点，刷身份证进入，就有了数据库；第三种是不少金融服务公司会拿客户的信息去查询比对权威部门的数据库，对比完以后，有的公司会把信息储存下来，存在泄露的可能。 ”有业内人士分析。
有专家提醒，不少场景或者应用软件，要求消费者举着身份证拍照，这是最危险的，因为既有身份证又有人脸信息，一定要尽量避免提供这样的信息。
不少媒体都曾曝光， “照片活化”工具可将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。匹配了身份信息的照片，经过“照片活化”后，能实名注册市面上大多数软件，加上验证码破解方式，不法分子在办理网贷、精准诈骗等方面几乎毫无障碍。
2019年1月，四川省公安机关网安部门打掉一个使用软件制作动态人脸图片，破解人脸识别系统，盗窃支付宝资金的犯罪团伙，抓获犯罪嫌疑人8名，查获公民个人信息数据3000余万条。
2019年8月，深圳市龙岗警方抓获一个人脸识别认证黑产团队。据报道，一位市民在某机构网站办理业务时，发现自己早已是网站注册用户，而注册这个网站，必须输入姓名、身份证号、手机号、验证码，并且要进行人脸识别认证才可以注册。警方破获案件后了解到，黑产团伙的做法是，在黑市购买“姓名+身份证号+头像照片”的资料，然后利用软件，对照片进行调色、3D建模、渲染，让照片活化，此时，照片便可以做出张嘴、摇头、眨眼等验证指定动作。团伙把事先做好的视频保存在经过特殊处理的手机上，验证时，手机会直接弹出“选择媒体”的模块，而不是打开摄像头。打开事先准备好的视频，该团伙便能顺利通过认证，注册该网站的会员。