我們終將洩露的人臉資料，後果到底有多可怕？

人臉識別正在不可阻擋地走向娛樂化。

從朋友圈裡的AI面相識別小程式，到走進大街小巷的AI測膚，無一不是熱火朝天。

這種情形不禁讓人感嘆，網際網路的記憶果真連金魚都不如。想當初iPhone X剛剛推出人臉識別解鎖時，網民們都在警惕人臉的安全，聲稱外出行走要戴上“臉基尼”，以防路邊有歹徒衝出來突然拍照獲取自己的人臉資料。

如今才過了一年，大家就忘記了被“人臉洩露”所支配的恐懼。

你在尋找明星臉，吃瓜群眾在谷歌上找到你的臉

可當人們都放鬆警惕時，人臉洩露也正發生在我們身邊。

當中國使用者沉迷用人臉識別來測算自己這一輩子的運程時，海外使用者則是在沉迷用人臉識別來判斷自己的明星臉。

最近在美國有一家名為POPSUGAR的企業推出了一款名為Twinning的爆款應用，Twinning的功能很簡單，使用者只需上傳照片，就能透過人臉識別找到與其容貌最相似的明星。可就是這樣簡單的功能，卻在Instagram和Twitter上產生了病毒傳播，就連很多明星都進行嘗試並且在社交媒體上分享了結果。

可就是這款爆款應用，產生了非常嚴重的資訊洩露。Twinning的照片儲存利用的是AWS的雲服務，但在許可權設定中卻產生了很大的錯誤。在Twinning的網站程式碼中，可以直接找到雲伺服器地址，進去後就能直接看到使用者實時上傳的資訊流。現在在谷歌搜尋中，還能看到不少洩露出來的照片。

這也讓很多人再次回想起人臉資料的安全的問題，隨著人臉識別API介面越來越開放和廉價，提供人臉識別服務的門檻也日漸降低。

就拿最近微信上很火的AI相面來說，從技術能力來看基本只是將人臉五官定點識別和傳統相面中對於五官與性格運勢之間的說辭聯絡在一起，幾乎沒有任何難點。其背後的杭州算術科技有限公司的前身是一家網際網路餐飲企業，並且從其分銷模式上看來，他們花了很多成本推廣佣金上，而目前這家公司唯一能找到的招聘資訊，只有H5開發。

就像這樣的企業，我們以往向其授權個微信、LBS資訊，或者提供自己的姓名時，似乎還沒有什麼隱患。但要是換成了人臉，是否會產生不一樣後果?

正常化的人臉掃描，或許不會傷害誰

在2017年，斯諾登就曾經預言道，以手機解鎖為代表的人臉應用出現，會讓人臉掃描正常化，也會讓人臉識別終將被濫用。

如今我們的確也能看到，人臉識別除了被用作安防、支付等等領域中，也被大量地用於娛樂，甚至出現了刷臉領廁紙這樣的神奇操作。和應用於手機和考勤機中的終端計算不同，現在越來越多的人臉識別會將資料上傳到雲端，這其中就存在不少資料洩露或被違規應用的可能。

(明明就不像!)

可同時我們也要弄明白，人臉資料洩露到底有哪些風險呢?

其中可能性最大的，就是像Twinning那樣，許可權設定失誤，將使用者照片洩露出去。但對於大多數人來說，這種隱私洩露的殺傷力其實也就和有人手賤將你朋友圈裡的自拍發到微博上差不多。

有人又要說了，現在到處都能靠人臉付款、申請貸款等等，會不會有人透過娛樂性的小程式收集了我的人臉資料，然後去破解我的支付寶賬號呢?

這個問題從技術上來看，大多數人臉支付、人臉安防都具有活體檢測功能，很難透過照片去破解。即使是透過3D列印人臉面具來破解，也需要完善的3D結構光臉部掃描才能生產出足以對於人臉識別的面具。只要使用者沒有傻到對著來路不明的人臉識別應用搖頭晃腦，基本也不會有相關資料流出。而且大多數應用和服務也不是光靠一張臉就要讓使用者付費，就算破解了“人臉密碼”，沒有使用者名稱也是白瞎。所以擔心別人抄襲你的臉，比擔心走在大街上有歹徒會割下你的大拇指拿去指紋支付還要荒謬。

最終的疑竇是，這些人臉識別應用會不會把我們的人臉照片賣給資料公司，用作訓練AI的“肥料”呢?

按理來說這種情況是最有可能發生的。但問題在於人臉根本就不是什麼非常稀缺的資料，如今人臉識別技術能力的平均水平也不低，如果說收集資料，可能廠商們更需要的是暗光下的人臉，或一些特別角度下的人臉資料。大多數人臉識別應用所收集的毫無標註的資料，對於他們來說並沒有什麼卵用。

所以，雖然人臉洩露很容易發生，但人臉洩露帶來的後果並沒有大家想象中那麼可怕。

劍指未來的人臉安全

其實斯諾登所讓大家警惕的，本來也是更“形而上”的隱私問題。就拿他個人的經歷來說，隨處可見的人臉識別應用很可能讓他透過一款軟體就暴露身份，甚至天網之下無處可藏。

從長遠來看，人臉資料的洩露所帶來的隱患基本在於兩點。

第一是人臉3D資料的獲取。

現在手機中的3D結構光普及程度還不夠高，但長遠看來3D結構光應用越來越廣已經成為必然的趨勢。這時人臉識別應用獲取的就不再是一兩張簡單的照片，而可能是金融級、安防級3D人臉資料。如果這些資料洩露給不法分子，可能就真的會讓3D列印面具破解人臉識別的情況大範圍出現了。尤其是人臉這樣具有唯一性的生物資訊，一旦被複制後會給個人使用者帶來很大的麻煩。

第二是人臉與其他資料標籤的關聯。

目前刷臉支付的普及力度還比較低，人臉所關聯上的資料標籤還很少。但如今隨著刷臉應用的越來越廣，人們需要警惕的是在自己不知情的情況下降人臉與各種資料標籤相關聯。舉例來講，一些愛好測試類的應用很可能推出一些看似無害的小程式並與人臉識別相結合，不知覺間使用者的人臉資訊和興趣標籤可能會被打包出售給商家。下次走進一家商場時，售貨員可能從監視攝像頭中就能看到你的喜好。

相信和很多技術一樣，人臉識別尤其是精度更高的3D結構光人臉識別，也會走過一段從濫用到規範的道路。在去年，中國泰爾實驗室已經發布了《移動終端基於TEE的人臉識別安全評估方法》，對人臉採集、儲存、比對等過程中的安全環境提出了嚴格的要求。但評估方法終究與法律法規不同，想要對安全問題進行約束，既要靠企業的自覺，也要靠使用者的警惕。

簡單來說，如果想保護自己的人臉資訊，應該儘量避免使用小公司出產的美顏、人臉測試、皮膚測試等等硬體產品或App、小程式等。各種和商業掛靠的刷臉支付、專櫃掃描檢測皮膚，也可以先放一放，等待行業進一步規範後再進行。尤其是手機中有3D結構光功能的使用者，更需要對相關產品謹慎對待。

但作為生活在現代社會中的人類，我們的臉不管怎樣都時時暴露在各種裝置下。在技術的風險下我們天生就是弱勢群體，只有當我們自己意識到人臉安全的問題時，才能推動產業端的規範化。