免費APP背後的野望：你在“刷臉”，它卻在刷錢

“你絕對不知道你有多少個人資訊在網際網路上‘飄’。”雷（化名）說出這句話的時候，特意指了指自己的臉。

我們的姓名、性別、年齡、手機號、郵箱……也許在網路上已經是完全透明的了，但是連這張臉都要被“共享”，確實有點令人不寒而慄。尤其是面對著不小心曾在“灰產”上過班的技術人員——雷，聯想到無數次不經意間面對各種手機應用軟體的場景，真想說，“還要不要臉啦”！

自拍、變臉、美顏、支付……今天，你刷了嗎？

網聊有風險，“視訊”需謹慎

搭載“黑科技”人臉識別的iPhone8發售在即，買了手機號碼後要“刷臉”啟用、支付寶聯手肯德基試水“靠臉吃飯”，招商銀行可以“刷臉”轉賬......“人臉識別”這個詞，在商場和大街上到處都在出現，如今和別人聊天似乎不懂點“人臉識別”的知識都會顯得很OUT似的……

就在輿論都在為“人臉識別”技術進入商業化而歡呼的同時，這項技術所潛藏的一些危機也如同一盆冷水迎面潑來。

一週前，騰訊手機管家對外發布訊息稱，警惕類似某些手機FaceTime視訊通話的詐騙事件。其安全團隊已經驗證，的確存在使用者臉部視訊被錄製（盜用）的風險。

據騰訊安全專家楊啟波分析，目前一些支付APP採用了“人臉識別”生物識別技術，讓使用者直接“刷臉”支付，而不法分子利用FaceTime錄製使用者臉部視訊後，有可能借此通過單一“人臉識別”驗證，進而盜取使用者的賬戶裡的財產。

“騙子這是採用被動方式騙取個人‘臉部資訊’，其實大眾在日常生活中還會主動貢獻了許多‘臉部資訊’。”作為曾經從事臉部識別軟體開發的工程師，雷也對懂懂筆記表示，正因為“臉”是人們經常暴露在外的“資訊體”，所以更容易被漏洞或者不法分子所利用。

與臉有關，免費APP背後的“野望”

“你絕對不知道你有多少個人資訊在網際網路上‘飄’。”雷表示，過去許多使用者都知道各類免費App有收集提取使用者資訊的風險，但卻不知道許多免費“變臉”的App其實也在儲存著使用者的動態視訊資訊，“所有女生多多少少都會用過一些‘變臉’軟體，所以被（運營者）保留的視訊資訊裡，女生居多。”

case:雷在去年加入了深圳的一家軟體開發公司，參與了一個“變臉”App的開發。“一開始，以為這個專案也是靠廣告和交易分賬盈利的，但結果不是。”他說，在去年“人臉識別”還沒火起來的時候，這個專案就開始做起了販賣使用者資訊的勾當了。

“這個App雖然不是那麼主流，但是在應用市場上也有好幾萬下載量，用的人還是有不少的。”雷說，這雖然是一款“變臉”軟體，但是在使用者使用的過程中，系統會自動截圖上傳至後臺，與使用者所提供的個人註冊資訊相匹配。許多使用者在這個過程中，“臉”不知不覺就被“賣”了。

雷表示，一開始這些資訊只是像傳統使用者資料般被非法販賣，但是在有了所謂的“真人照”之後，這些資訊就變得值錢了。“一條甚至可以賣到二十到三十塊錢。”他表示，這些資訊一開始只被用作部分網路平臺或者遊戲平臺的“驗真”使用。但隨著一些App採用了人臉識別技術之後，這家初創公司發現了新的“財路”。

“人臉識別火了之後，有的電信運營商有自助‘實人驗真’系統，有的支付平臺採用了‘人臉支付’等等。這些都離不開臉部特徵+動作這樣的驗證方式。”雷強調，在人臉識別越來越多開始應用後，這個“變臉”平臺也採用了與其他人臉識別平臺一樣的登入驗證方式，“登入驗證也是搖頭、點頭、張開嘴等簡單動作。但不同的是，（變臉）平臺並不是驗證使用者資訊，而是錄下了使用者驗證的整個過程。”一個完整的使用者“人臉驗證”的視訊，就這樣被儲存起來了。

“Facetime那個（視訊騙局）是被動錄下了使用者的臉，而有些App可是（利用獵奇）讓使用者主動將（視訊）資訊送上門。”他說，這樣一條視訊資訊，可以被叫賣到50至80元不等，大量資訊被販賣更讓使用者的隱私安全岌岌可危。

“如果說Facetime那種（隨機錄製的）視訊都可以解鎖部分‘人臉識別’系統的話，那這種正兒八經做驗證動作的視訊危險程度更高。”雷補充道，在他離開這家公司之後才發現，做這種“買賣”的小公司並不只是少數。從技術層面上看，應用商店中有許多與“臉”有關的App都有儲存使用者視影資料的嫌疑。

在網路上，我們很可能都是透明的。

個人資訊被買賣的事情每天都在發生。監管難、違法成本低、有利可圖使得越來越多的機構熱衷於買賣個人資訊或者交易，過去因個人資訊洩密而導致的詐騙事件頻頻發生。

而現在，使用者影像資料也有平臺在非法出售，大量的“人臉”特徵資訊被洩露，讓本來具有單一生物特性的“人臉識別”技術變得不再安全。如果同時擁有了使用者外洩的賬戶資訊以及人臉特徵副本，利用“人臉識別”技術將個人財產轉移更是輕而易舉的事情。

人臉識別商業化，關乎誰擁有了大家的“臉”

無論是iPhone8的“人臉識別”，還是支付寶聯手肯德基的“刷臉吃飯”，都因為將“臉”與腰包裡的錢掛鉤了，所以引發了不少人的質疑，擔心“人臉識別”技術引發安全問題。

實際上，在今年央視315晚會上，人臉識別就被曝出可能存在安全威脅。就此事，專注人臉識別技術的商湯科技和曠視都表示，任何一種安全手段都不是獨立的，因此在實際應用中，不會將人臉作為唯一的憑證。就連近日最近媒體頻頻報導的肯德基杭州“靠臉吃飯”的KPro餐廳，也不是單獨依靠人臉識別技術單一完成支付認證的。

“站在機器前，機器可以通過鏡頭分辨使用者的身份，但是進行到最後一步的支付還是需要通過手機進行二次驗證。”體驗過肯德基KPro餐廳的一位讀者劉女士告訴懂懂筆記，支付寶的“靠臉吃飯”雖然很新奇很吸引人，但在實際使用上問題還是很多的。

例如，濃妝豔抹、頭髮有留海的女生在識別過程可能會出現延遲或者一兩次重試；而在支付之前，使用者還需要輸入手機號碼後四位進行二次驗證。她坦言：“真的不如掃碼付款來得方便。”

而從去年就加入“刷臉”大軍的招商銀行，其4.0客戶端的“刷臉”轉賬功能仍舊建立在簡訊驗證通過的基礎上，十足雞肋。

如果這些支付過程都是為了刷臉而刷臉，豈不就是個噱頭？

不難看出，現階段所有涉及支付的系統都不是採取單一“人臉識別”技術，而是要結合簡訊、驗證碼、手機尾號等傳統驗證手段一併使用。懂懂筆記認為，採用多樣結合的驗證方法，表明許多企業在涉及“人臉識別”技術的商業化安全性上，也並沒有十足把握。更多的只是把“人臉識別”當成一項新的噱頭，嘗試吸引著大眾的關注。

如今，許許多多“人臉識別”的應用已經逐漸商業化，走進大眾的生活。我們必須要對技術應用中所涉及的隱私和道德問題進行了一番新的思考。

螞蟻金服陳繼東曾指出：“從使用者隱私上來說，人臉識別和指紋、虹膜相比，屬於弱隱私。換句話說，你的臉，早就不是隱私了。”

但每個人的臉部特徵是完全不同的，即便是雙胞胎也有著或多或少的差異。從某種意義上說，臉部資料是一種我們所有人無法逃脫的“資料鏈路”，很顯然，這已經算是人的隱私因素之一。

有關人臉識別商業化所涉及的隱私問題一直備受爭議。

此前，Facebook因為未經使用者允許而私自儲存和使用使用者的人臉識別資料而飽受詬病；而Google則因隱私政策和輿論壓力而禁止Glass App使用人臉識別功能。

在中國，不管是“變臉美顏”App，“換裝”App也好，甚至是納入“人臉識別”支付平臺或軟體，都無時無刻的“擁有”著大家的臉，每一次使用就將有一份臉部資訊“標本”本儲存下來。

如果說政府部門錄入民眾人臉資訊“標本”有助於抓捕罪犯、預防犯罪，人臉識別便是鑑權的一種手段，一切都要在法律的框架下進行。而企業擁有這麼多的“臉”，儲存和應用幾乎沒有完善的法律法規和監管體系對其進行約束，讓資料隱私的暴露與否僅在一線之間。

虹膜、指紋、臉 科技的便利也是風險

“支付軟體刷臉支付本身就留下了一個‘標本’，在銀行刷臉取現也留下了一個‘標本’，各種與‘臉’有關的APP更是會留下一串‘標本’。”雷告訴懂懂筆記，隨著科技的發展，人臉識別技術的商業化或許成必然，但是每個人的臉已經讓許許多多商業機構有意無意間收錄了，這是一個十分龐大的“生物特徵”標本庫。

假設一下，如果商業機構管理、運用不當，這些一經洩露就會為所有使用者的資訊、隱私甚至資金安全帶來嚴重的威脅。

“雖然小公司利慾薰心，買賣人臉資料，但是大公司也未必就能保證資料的安全不外洩，畢竟資料的掌控還有諸多人為因素。”他對此表示質疑。

在個人隱私相關法律法規較為健全的美國，人臉識別在商業應用上都倍受民眾詬病，隱私洩露隱患始終不能令公眾放心。

目前為止，我國還沒有類似的機制或者第三方機構對於使用者資料提供監管保全服務。特徵隱私資料洩露與否，全憑企業“良心”與“能力”。

人臉識別充當著人工智慧的“眼睛”，作為人工智慧與外界互動的一項重要技術，人臉識別技術的安全性顯得十足重要。在人口紅利下，人臉識別有著十分龐大的市場空間，但在商業化上資料資訊保安依然是所有廠商繞不掉的“門檻”。

隨著人臉識別在日常生活中應用越來越普及，很多廠商和輿論都把人臉識別萬能化了。實際上，高科技應用的背後依然有可能存在風險、存在漏洞，資料的防偽和安全性依舊是所有廠商需要共同攻堅的難題。

因此，懂懂筆記認為，在涉及隱私、支付等高階別安全場景使用時，應將人臉與指紋、虹膜、聲音等生物特徵訊號相融合，甚至與傳統密碼、簡訊驗證相結合，而不是單一的採用人臉識別技術，這樣安全的係數就會大大提升，避免一些不必要的潛在風險。

當然更重要的是，保護好自己這張臉，別沒事到處“刷”。