人脸信息倒卖产业链：一次丢失，终身危险!

唐亚华

“你还要脸吗？”一句日常俗语，道出了人脸的特殊性。不管是物理上，还是道德上，每个人只有一张脸，它关乎个人安全的方方面面，值得所有人警惕。

很难想象，有一天，你的人脸信息会被人卖掉，作价5毛钱。而这带给你的困扰或许是一生的，除非你去“换脸”。

相关技术专家指出，单纯的个人照片不构成太大风险，但匹配了身份信息的照片可以做出模拟真人的点头、摇头、眨眼、说话等行为，能实名注册市面上大多数软件，加上验证码破解方式，不法分子在办理网贷、精准诈骗等方面几乎毫无障碍。

互联网时代，尽管我们获得服务需要让渡一定的个人信息，但不同于一般的账号和手机号，人脸信息属于高度敏感的个人信息，我们可以更改账户密码，但我们能换脸吗？也就是说，一旦丢失匹配了身份信息的人脸信息，我们终身将面临安全隐患。

只值5毛钱

信息裸奔时代。人脸识别都能买卖了。近日，一些网络黑产从业者利用电商平台，批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程，“人脸数据0.5元一份、修改软件35元一套”引起了大众的激辩。“我一张脸就值5毛？”、“我的支付宝账号瑟瑟发抖”、“凭啥APP们要求我们实名，而你们做不到保护我们的隐私？”网友对此表达了强烈不满，甚至有人“有点抗拒互联网大数据了”。

类似于指纹、虹膜、DNA可以识别个人生物特征一样，人脸识别也是这样的手段，它是基于人的脸部特征进行身份识别的一种生物识别技术，被认为可以非常便捷地证明“我是我”。方便的同时也带来了不小的隐患。与身份信息匹配了的人脸信息可用于注册应用软件、借贷等，利益驱使之下，网络黑产应运而生。

有卖家透露，自己所售卖的人脸信息来自一些网贷和招聘平台。“照片活化”工具可将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。也就是说，不法分子拿到公民的照片和身份信息后，利用“照片活化”工具就可以执行摇头、点头、眨眼等动作，由此来骗过一些人脸识别验证方式。

人脸识别这个曾经被认为安全的个人信息验证方式，正遭遇严重的质疑。

后果很严重

哪些地方正在搜集人脸信息？这些信息究竟是从哪些渠道泄露的？泄露之后又有多大的风险？NETSTARS CTO陈斌解释，以前有刷脸支付、门禁、手机应用软件，今年因为疫情，一些测体温的设备也在采集人脸数据，“从技术上来看，采集人脸信息很简单，只要有摄像头就可以不间断采集。”他指出，第三方平台采集到数据有两种泄露的可能性：一种是黑客技术入侵数据库，把库里的信息拷贝盗走，很多公司都不知道自己的数据库泄露了;另一种是公司内部有人拿数据出去倒卖交易。

事实上，如果第三方只有人脸信息，用处不太大，但如果匹配了身份证信息，危害就非常大，这中间的难点在于跟身份信息关联。至于怎么匹配个人信息，“第一种是通过支付软件，上面可能本来就有了个人信息，再加上人脸信息，就能匹配;第二种是一些园区、旅游景点，刷身份证进入，就有了数据库;第三种是不少金融服务公司会拿客户的信息去查询比对权威部门的数据库，对比完以后，有的公司会把信息储存下来，存在泄露的可能。”陈斌分析。

再加上，现在不法分子也可以操作手机号验证码，信息的全面汇集，让形势更加严峻。陈斌提到，目前有技术可以操作伪基站，不法分子可以做一个假的移动或联通基站，向对应的手机号发验证码他们就能收到。

“照片活化”技术则可以通过照片作出摇头、点头、眨眼、吐舌头等动作，“甚至配合说一句话都没有难度，可以用语音操作”，再加上手机号验证码的操作空间，不法分子一旦有了身份证信息和照片，便可冒用别人的身份去办理网贷、注册软件或网站、解锁支付软件、精准诈骗等，可以无障碍做很多不法的事情。

“不同于一般的账号、手机号，人就一张脸，人脸信息被盗取只能去整容换脸了，否则被盗取了经匹配的人脸信息后，你每天出门就相当于脑门上顶着信用卡在走路，是很危险的。”陈斌说。

真实的案例已經发生在现实生活中。

2019年，深圳龙岗警方发现有辖区居民的身份信息被人冒用，其驾驶证被不法分子通过网络服务平台冒用扣分。另外，龙岗警方还侦查发现，有不法分子使用AI换脸技术，绕开多个社交服务平台或系统的人脸认证机制，为违法犯罪团伙提供虚假注册、刷脸支付等黑产服务。龙岗警方在广东、河南、山东等地已抓获涉案犯罪嫌疑人13名。

据悉，犯罪嫌疑人利用非法获取的公民照片进行一定预处理，而后通过“照片活化”软件生成动态视频，骗过人脸核验机制。随后，通过网上批量购买的私人社交平台账号登录各网络服务平台注册会员或进行实名认证。

所以，人脸信息和身份信息丢失最危险的后果是全民都需要“换脸”，这是一件一次丢失，终身都有危险的事情。

谁该负责？

一直以来，人脸识别不仅意味着个人和部分场所更高级别的安全防控，也曾是公安在茫茫人海识别抓获罪犯的好帮手，人脸识别技术作为一种创新事物，备受各行各业青睐。然而，不可避免的是，技术跑在监管前面，风险也如影随形。

从技术上来看，陈斌认为：“这样的情形其实是技术不够先进造成的安全隐患，因为目前的人脸识别技术不是活体识别，它识别的是面部的物理特征数据，比如眼睛之间的距离，鼻子到眼球的距离，鼻子到嘴的距离等，这和真人的识别差别很大。其实就是人脸识别技术还不够完善，不法分子才有空子可以钻。如果技术能区分活体和照片、视频，那就不一样了，未来可能随着技术进步能解决这个问题，但是目前的情形还很值得忧虑。”

那么，从人脸信息的采集、储存、传播到再利用，中间哪些环节该为信息泄露负责？中国政法大学传播法中心研究员朱巍从法律角度给出了解释，个人信息保护法见于《网络安全法》《刑法》第二百五十三条、即将生效的《民法典》第一千零三十八条，以及全国人大发布的《加强网络信息保护的决定》等。“这种出售人脸信息黑产，主要是用作精准诈骗或刑事犯罪的，按照刑事法律的规定，明知道是用作犯罪依旧出售的，属于典型的侵犯公民个人信息犯罪，一般出售50条就构成刑事犯罪了。”朱巍表示。

陈斌认为，如今的人脸识别行业监管还不到位，比较混乱。对于普通用户来说，别轻易贪便宜，要求刷脸注册，填写身份证号等个人信息的应用软件、公司、网站等都要高度提防。专家提醒，举着身份证拍照是最害人的，因为既有身份证又有人脸信息，一定要尽量避免提供这样的信息。

个人之外，企业也该加强技术管控和审核力度，选择多重验证方式，不能仅仅看外部特征。

“你还要脸吗？”一句日常俗语，道出了人脸的特殊性。不管是物理上，还是道德上，每个人只有一张脸，它关乎个人安全的方方面面，值得所有人警惕。

（赵静荐自燃财经）