刷臉進小區真有必要嗎? 記者走訪杭州幾個使用人臉識別的小區

2020-12-05 07:32 |錢江晚報

你家小區或者鄰家小區，有沒有裝上人臉識別進出系統？

有人覺得方便，不用帶卡，刷個臉就能進門。有人表示擔憂，錄入的信息會不會洩漏，隱私要如何保護？

日前，《杭州市物業管理條例（修訂草案）》提出「禁止強制業主通過指紋、人臉識別等生物信息方式進入小區」。

這幾天，錢江晚報持續關注人臉識別話題，繼昨天走訪紹興樓盤安裝人臉識別區分客戶後，記者來到杭州一些小區。如今越來越多小區安裝人臉識別系統，而可能帶來的信息洩露風險，引起了很多人的關注。

我們的臉在裸奔嗎？已經開始人臉識別的小區或者單位，生物信息都儲存在哪裡？安全性又如何保障？

鳳起都市花園：

只連接內網，搬家時可刪除信息

位於鳳起路和新華路交叉口的鳳起都市花園小區，大門門禁上同時顯示著人臉識別、刷卡區和密碼區。

雖然如此設置，但一位保安說：「租戶需要去物業登記人臉信息，現在不能刷卡了，都要刷臉。」

一位居民回憶，人臉識別是今年安裝的，「外賣和快遞都可以送到小區裡，倒沒什麼不方便，也挺安全的。」

毛先生拖了好幾個月，當天來登記人臉識別。在小區物業裡拍張照，就登記好了。

鳳起都市花園於2003年交付，目前由浙江野風物業公司管理。

物業經理解釋，人臉識別系統經過了社區和業委會同意，是今年5月開始登記，6月正式使用的，「這個人臉識別只有開門功能。現在登記率有80%吧。」

雖然人臉識別的產品並不是公司自主研發的，但是經理保證：「絕對不會外洩隱私，我們登記的人臉信息都只連接了內網，外網是查詢不到的。如果退租或者搬家，居民親自來說一聲，我們就會刪除人臉信息。」

意盛花苑：

和公安聯網，有效期至每年年底

意盛花苑小區靠近中河北路地鐵站，一邊是中河北路，一邊是茂泰南路，可以刷卡或刷臉通過小區門禁。

杜阿姨還沒有登記人臉識別，她坦言：「我老伴登記了，物業送了一張卡，我就用門禁卡進出。我不是很希望登記人臉信息，雖然現在到處都有人臉識別，隱私也藏不住，但還是有點擔心。」

另一位姑娘，也曾經擔心過這個問題。不過她現在已經登記了：「最開始覺得信息不安全吧。但我看系統挺高級的，聽說和公安聯網了，那應該沒什麼問題吧？」

和公安聯網這一消息，得到了杭州海川物業服務有限公司工作人員的證實。

「這算是個老小區，人臉識別門禁是今年下半年安裝的。」物業工作人員說，「我們有兩臺電腦，一臺是平常工作用的，一臺是儲存人臉信息的。人臉系統和公安聯網，登記的時候需要本人帶著身份證來。」

比較特別的是，意盛花苑的人臉識別信息每年都需要重新登記一次。

工作人員解釋：「有的人搬出去，可能也不會來說，如果不主動清除會有安全隱患。我們現在設置了一個人臉信息的有效期，無論什麼時候登記，有效期都截止到當年年底。只有重新登記了，第二年才能刷臉進入。」

物業也提供了人臉以外的出入方法：「每個辦人臉識別的居民，我們都會再送一張卡，方便居民的家人進出。實在擔心的居民，也可以登記身份證號，只用門禁卡。」

流水北苑：

試點智慧安防系統，數據保存在政府資料庫

下城區流水北苑是建於上個世紀80十年代末的小區，今年3月，很時髦地裝上了人臉識別的門禁系統。

這套智能系統，不僅可以自動實時甄別出入人員是否是本人，和登記身份證是否一致，還能甄別出出入人員是否是健康碼綠碼。

使用了半年多，居民們蠻喜歡。「一開始外來人員很多，進進出出也不安全，有了這個，基本上都是咱們的居民，小區也安全的。」

「其實去年我們在做小區改造的時候，就已經開展了智慧安防系統升級。」文暉街道黨工委副書記朱斌告訴錢報記者，疫情來了，系統臨時做了升級優化。針對疫情期間有戴口罩的需求，系統截取了眼睛以上的面部特徵做了統計。居民們不用摘口罩，也可以刷臉進出。

當初，小區600多戶1200多人的人臉採集工作就花了蠻多工夫，大部分人也挺配合。但也有年輕的居民提出疑問：雖然人臉識別解放了雙手，但是我們的個人數據是不是得不到保障？

下城區數據資源管理局工作人員解釋，這套系統的安全級別很高。「我們採集來的數據，都會進入政府的資源資料庫，刷臉之後，數據傳輸到後臺，會和資源資料庫裡的數據做對比，識別之後給出指令。」他表示，這套人臉識別系統有別於外界商用的系統，資源資料庫是保密的，也會保證數據安全的隱私。

據了解，目前下城區政府出面安裝人臉識別系統的小區就流水北苑一個試點。

要重視

人臉識別應用的規範

「南方都市報個人信息保護研究中心」在近期發布了兩份關於人臉識別應用場景觀察和公眾調研報告，報告基於2萬餘份問卷調查。

其結果顯示，大多數人對人臉識別技術本身持認可態度，但已經普遍意識到「推廣應用時仍需注意風險，保障用戶知情權和選擇權」；報告還顯示，有30.86%的受訪者稱自己已經因為人臉信息洩露、濫用遭受損失或者隱私被侵犯；其中高達82.7%的受訪者表示關心過個人的人臉原始信息（如照片）是否會被收集方保留和如何被處理；有64.39%的受訪者認為人臉識別技術有被濫用的趨勢，其中，學歷越高越認為人臉技術有被濫用趨勢。

在規範人臉識別應用的問題上，受訪的七成公眾認為「政府應加強相關立法，為企業劃定準則和底線」，70.49% 的受訪者認為應設立專門的監管機構，60.72% 的受訪者認為要加強相關立法，還有44.7%的受訪者認為應限制人臉識別的使用場景。

信息洩露，難道只能換臉？

作為敏感個人信息的生物識別技術，一旦洩露無從彌補和更改，各應用場景中「人臉識別」真的是必要的嗎？

我們被多次、反覆、在不同場合下被攝錄的人臉信息安全嗎？

這次，我們從數據的收集和存儲這一人臉識別鏈路中的一個環節來切入，看能否找到我們想到的答案。

技術供應方：

刷卡和刷臉從原理上來說

只是比對信息的類型差別

杭州某大型公司，有員工3000餘人，從今年3月起，公司改原本的員工刷卡入園為人臉識別。

公司在園區大門處安裝了兩個人臉識別通道，在進入辦公大樓以後，無論是停車庫進樓還是一樓門禁都採用了人臉識別閘機。

公司稱安裝人臉識別的原因，一是杜絕以往手持別人員工卡幫忙考勤的情況，將考勤和人員做到精準對應；從另一層面上來說，也是保障工作環境無閒雜人員進入，更為安全。

安裝人臉識別以後，在上下班尖峰時段，通過效率明顯提高，人臉閘機基本上能實現秒級的人臉讀取和開閘。

浙江正元智慧科技股份有限公司是國家重點高新技術企業、國家重點軟體企業。公司的主要業務就是運用物聯網、人工智慧、大數據、雲計算等技術，幫助企事業單位和政府部門，以及校園實現智慧化服務。

公司相關負責人說，從原理上來說，刷臉和以往的刷卡並沒太大區別，都是一種通過信息比對來激活應用的技術。

以往單位考勤用員工卡，技術上叫實體卡，在公司數據後臺先將員工姓名部門等相關工作信息錄入，同時儲存到卡中。當員工刷卡的一瞬間，其實就是卡內數據和公司後臺數據發起比對，一旦核驗通過，就開啟門禁，或者視為考勤成功。

現在單位採用刷臉，前期做臉部攝像，建立人臉信息庫，刷臉的過程就是拿閘機攝錄到的人臉信息和人臉信息資料庫進行比對。

而人臉信息資料庫有的是建立在單位信息後臺，有的直接儲存在刷臉機器中。

所以，無論人臉還是崗位信息都是身份識別的一種載體，從原理上來說，刷卡和刷臉的差別僅僅是比對信息的類型差別。

隱憂：

人臉信息的數據收集存儲環節

和普通個人信息並無差別

但是，我們始終關注的是，人臉信息和原先的那些姓名、電話號碼等信息不一樣。它和指紋、虹膜、還有靜脈流等屬於個性化非常明顯的高度敏感個人信息，是能夠對個人做出「一鍵識別」的生物信息。一旦洩露，無從彌補，無法更改，「我們總不至於去換臉吧」。

那麼，在人臉識別普遍應用的情況下，我們對於人臉信息的保護力度和手段是否比以往的個人信息更有效或者更嚴密？可惜，在錢報記者的走訪中，發現事實並非如此。

大型企事業單位採用人臉識別，像正元智慧這樣的科技公司提供的只是技術上的實現，而不真正觸碰數據。

這些人臉信息通常儲存在單位自家數據後臺上，單位自行維護，也就是技術上稱的數據「本地化」。

記者走訪了不少實行刷臉的單位以及小區，發現大多數對人臉信息的管理和以往傳統數據並無二致，所採取的手段，也無非是要求相關技術人員籤訂保密協議和承諾書，在硬體上實施專網管理，原則上希望達成數據不能上外網的管理效果，但是對於別有用心的人來說，這些抵擋措施顯然是不夠的。

而各個實施刷臉的小區，其數據的留存更加令人擔憂，有的直接儲存在物業，有的交由提供人臉識別系統的第三方科技公司保管，有科技公司說，數據存在雲端，但是科技公司技術人員能接觸到。

專家看法：

技術更新迅速頻繁

照片、三維面具無法成功刷臉

之前曾有媒體報導，照片也能通過刷臉機；而網上也有售賣三維面具，聲稱通過一張照片就能製造出一個三維面具；近日，杭州也有新聞報導一起案件，有犯罪分子通過視頻聊天攝錄了被害人影像從而突破了刷臉支付。

中國傳媒大學信息與通信工程學院楊磊教授說，人臉識別作為一項新技術、新應用，也是一個不斷更新迭代的過程。

人臉之所以會被「識別」，是人臉識別設備或後端平臺基於對人臉特徵數據的分析和比對來實現的，不同廠家的設備或平臺的人臉識別的原理是類似的，但算法不盡相同，識別效果就不盡相同，即使是同一種算法，因設定的參數、閾值不同，識別效果也會不同。

早期的算法相對比較低級，分析的是平面的、靜止的特徵，結果會出現一張平面照片也能通過刷臉機的情況。當發現這樣問題後，技術人員進一步改進算法，增加人臉特徵維度，比如將面部信息的識別「三維化」「立體化」，增加深度特徵值的比對。

之後，人們發現在設計刷臉支付的環節，我們已經進步到「活體識別」，即你我可能都經歷過的「搖搖頭」「眨眨眼」。

針對記者提及的這則最新的新聞，在視頻聊天過程中攝錄視頻，通過支付識別，楊磊教授說，這就是我們常常說的「道高一尺、魔高一丈」，是一種攻防的對抗，犯罪分子通過製作動態視頻來對抗活體識別，所以需要技術人員通過深度學習、人工智慧技術在算法上做進一步的優化提升。

所以，在人臉識別等先進科技領域，技術的更新迭代更加迅速和頻繁。

正元智慧的科技人員說：人臉識別在應用中還具有通過「不斷餵招」而實現自我升級的智能化。比如你一次次刷臉，系統會一次次「加深」對你的了解，所以當你的面容出現胖瘦的改變，表情的差異，戴上眼鏡等等，系統都能準確將你識別。

探討：

在追求便利性的今天

我們為何要多問幾個「有必要嗎」

2020年10月1日實施的國家標準《信息安全技術個人信息安全規範》，將包括人臉識別信息在內的個人信息列入到個人敏感信息當中，並對個人信息的收集行為進行了明確。

楊磊教授說，對於個人信息安全的保障，我國有相關國家標準、行業標準，要求在信息保管、存儲和傳輸各環節，採取相應的保密手段，系統要滿足加密方式，但是畢竟整個環節中都會有人的參與。

當然，我們的法律也設置了事後的懲戒，如今年10月首次亮相的《個人信息保護法（草案）》中，規定了個人在個人信息處理活動中的權利，即個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理。

《個人信息保護法（草案）》也對侵害個人信息權益的違法行為如何處罰做出規定：侵害個人信息權益的違法行為，情節嚴重的，沒收違法所得，並處5000萬元以下或者上一年度營業額5%以下罰款，5%的額度甚至超過了在個人信息保護方面規定「最嚴」的歐盟。

所以說，現在我們面臨的課題是這些保密手段如何能夠抵擋一個蓄意犯罪的人，這些法律所規定的懲戒手段是否能在犯罪成本上對販賣個人信息獲取利益起到遏制作用。

在記者就人臉識別這個話題的採訪中，有不少受訪者表示，在大踏步的應用落地中的「人臉識別」就像一把雙刃劍。在進行利益權衡後，多問幾個「有必要嗎」真的很有必要。

（原標題《刷臉進小區，真有必要嗎？記者走訪杭州幾個使用人臉識別的小區 有的聯網公安，有的只連內網，還有的由政府保管數據》。編輯黃慧仙）

1607124770000