●目前，生物识别在各个领域广泛应用。"指纹门禁""刷脸付款"让人们出行、支付日益便捷化。

　　●然而便捷的背后也隐藏着一定风险。从质疑"去动物园看个动物，凭什么要刷我的脸"的国内"人脸识别第一案"到"平台刷脸导致房子被过户"，从AI"换脸"软件到个人信息非法买卖……这些强制"刷脸"被迫"丢脸"事件的发生，暴露出人脸识别技术、个人信息保护方面面临的窘境。

　　●两会期间，人民政协报·人民政协网随机街访部分居民，收集部分网友意见，发现不少人都有这样的隐忧：商家是否有权收集个人数据？采集的个人数据能否妥善安全保管？会不会镜头一扫，我的全部家当都归了别人？

　　●带着这些疑虑，我们邀请三位全国政协委员与大家对话交流："刷脸"时代，谁来为你保住"面子"？

　　全国政协委员、上海市信息安全行业协会会长谈剑锋：用法律法规和技术规范保障信息安全

　　网友：人脸识别用起来很方便，感觉也很时尚，人脸识别相较于身份证信息、指纹信息等验证方式更安全吗？

　　谈剑锋：便捷不等于安全，互联网发展带来生活、学习、工作等的便捷，但大数据也在一定程度上侵犯了隐私，甚至有人完全是在互联网上"裸奔"。点点滴滴的个人隐私安全，汇聚起来就会是国家安全问题。

　　脸是生物识别技术，生物识别技术也是科技发展的趋势，但任何技术要适用场景，而不能以便捷之名换取市场利益的无底线滥用。传统的口令和密码，可以随时更换，而生物特征具有唯一性和不可再生性，丢了就无法更换。

　　相对于口令或密码必须是100%符合，目前生物识别认证技术还不是100%的，人脸识别是有漏洞的。前不久新闻报道"清华大学团队破解人脸识别"，尤其是我们现在所使用的手机人脸识别技术，是一种平面化的识别，只要面部特征与手机储存的这个识别信息，相似度超过阈值就会自动解锁。通过这个漏洞，就可以利用特殊的干扰值来对抗手机的相似度阈值，这样就可以实现人脸的解锁。该团队目前已经破解了市面上19款安卓手机。

　　网友：现在为了实名制，大多数应用在使用过程中都要求用户上传身份证信息和照片，还有的会采集人脸信息，我们很无奈，这该怎么解决？

　　谈剑锋：2017年6月1日，国家实施《网络安全法》，2020年1月1日，国家实施《密码法》，包括今年1月1日开始实施的《民法典》也有涉及个人隐私数据保护的相关条款。

　　《个人信息保护法》《数据安全法》也已分别公布草案，将成为2021年全国人大审议重点。均已规定了有关国家安全的重要数据、保密数据、个人敏感数据的保护原则，但针对数据确权、数据内容敏感性审查、数据流转利用合规评定等方面的具体判定和操作细则还有待完善。

　　我注意到，天津市2020年12月1日"立法禁止采集人脸识别信息"。2021年1月1日，实施的《天津市社会信用条例》中规定：市场信用信息提供单位采集自然人信息的，应当经本人同意并约定用途，法律、行政法规另有规定的除外。

　　希望政府能够完善相应的法律法规，并依法依规加大违法信息采集的处罚力度。

　　网友：对于包括人脸数据在内的数据安全，您有哪些具体的建议呢？

　　谈剑锋：数据是有价值的，数据就是资产。习近平总书记就曾强调"数据是新的石油，是本世纪最为珍贵的财产。"今年的全国两会，我提交了一件提案：建议国家设立"数据银行"。

　　对唯一性、不可再生性数据，比如：生物特征（人脸、指纹、虹膜等）数据、DNA数据、医疗和健康档案数据，必须由国家统一管理，市场不得自行采集、存储和使用。

　　国家统一管理的这些敏感数据，通过脱敏、加密、标识后，才能返回市场做应用。经过处理后的这些数据，市场在使用时，不能再像现在这样"数据裸奔"，完全没有隐私。

　　网友：在信息安全领域，未来动向如何？需要注意些什么？

　　谈剑锋：大家看到最近国家正在打击互联网的垄断，其实这些垄断根本上是数据的垄断。大型平台公司和机构掌握大量数据，形成事实上的数据垄断。今年全国两会我的另一件提案是：建议国家尽快出台数据合规应用的评审制度。在数据合规应用审评制度未明确前，众多大数据分析技术创新公司只能依附数据垄断平台和机构，并为其提供服务，进一步助推了垄断的发展。

　　智能汽车最近越来越火，智能汽车将会重新定义汽车。智能汽车就是物联网的终端，说成智能网联车更准确。那么，智能网联车未来的发展基础就是数据，而数据安全就更显重要。互联网时代让我们没有了隐私，物联网时代不要让我们没有了安全。因为，手机涉及隐私安全，智能车联网不仅涉及隐私，更涉及人身安全。智能手机就是互联网时代的重要入口，智能网联车就是未来物联网的重要入口，我们必须提前应对，出台相关法律法规和对应的技术规范。

　　全国政协委员、恒银金融科技股份有限公司董事长江浩然：换张脸"刷脸"成功几率极小！

　　网友：人脸识别的唯一性是否有保障？会不会出现"换脸"就能代替别人刷脸成功的情况？

　　江浩然："换脸"就能代替别人刷脸成功的几率是极小的，但目前的识别技术也不大可能提供100%的保障。人脸识别技术刚出现时，用高清照片破解的几率是存在的。但近年来，人脸识别技术已经有相当的成熟度和比较高的准确率，通过红外检测或3D结构光等方式保障性还是比较高的。有些软件会要求你眨一下眼，点一下头，进行综合性比对。出于更高级别安全性考虑，一般还会有步态识别或者通过密码或者身份证、银行卡等其他介质进行多重认证。

　　在支付应用领域，人脸识别效率较高，推广性较好的一种技术。比如医保电子凭证全渠道用户量已突破5亿，覆盖全国近40%参保人。医保电子凭证支付功能在200多个城市，超过10万家定点医疗机构、22万家药店应用，通过人脸识别技术，还让部分医药机构有效遏制了盗刷、套刷、刷"人情卡"等违规乱象。

　　一般情况下，人脸识别的安全性还是能保障的，我认为，在整个人脸识别行业，我们更加需要关注的是如何规范人脸信息的采集和使用，更有效地保障公民个人信息安全，从而促进行业的进一步发展。

　　网友：近两年来，包括人脸生物识别信息已在支付转账、实名登记等场景中广泛应用，人脸识别产业现在的发展状况如何？在技术、场景和规划方面都有哪些进展？

　　江浩然：有数据显示，2019年成为刷脸支付的"元年"，预计2022年突破7.6亿人次，届时将取代扫码支付成为主要支付方式。如果说在疫情之前，很多人对于刷脸支付本身的技术、安全等方面存在质疑，但疫情过后，我们不难发现，如今的刷脸支付已变得更加强大。疫情加速了刷脸支付的进化。在产品层面，许多硬件服务商推出了刷脸测温的功能，并且更加注重对二维码支付功能支持的凸显；在算法方面，支付宝以及微信支付升级了算法，支持可戴口罩进行刷脸支付，在场景拓展方面，社保医疗、校园团餐等领域不断扩展。

　　现在整个人脸识别支付生态在逐渐丰满：一方面已经步入刷脸支付生态的设备厂商、SAAS商在此期间加快产品研发速度；另一方面，设备商、摄像头商、算法企业、主板供应商等新的角色不断参与。可以说，现在人脸识别技术已进入了一个"冷静期"，从技术研发到场景应用更加务实，刷脸支付产品逐渐成熟，业态逐渐丰满，产品的应用场景也越来越广泛。如今，不论是出行、购物、还是看病就医，越来越多的地方用到了刷脸，好像你要是不会刷脸支付，就"out"了一样。

　　在规划方面，我认为国家的顶层设计已经做好了充足的准备。2019年8月，人民银行印发了《金融科技发展规划（2019-2021）》，其中提到人脸识别线下支付安全应用，要借助密码识别、隐私计算、数据标签、模式识别等技术，利用专用口令、"无感"活体检测等实现交易验证，突破1：N人脸辨识支付应用性能瓶颈，由持牌金融机构构建以人脸特征为路由标识的转接清算模式，实现支付工具安全与便捷的统一。从央行所公布的文件我认为在未来一段时间内，人脸识别技术应用将进一步得到推广，但同时对于刷脸的安全性和便捷性提出了更高的要求。

　　网友：还存在哪些比人脸识别更为精准的生物识别技术？怎样才能有效保护民众的数据隐私？

　　江浩然：比人脸识别更加精准的技术，一些我们在电影当中看到的"高科技"也在现实场景中得到了应用，现在来看指静脉，掌静脉，虹膜技术比较成熟，这些生物识别隐蔽性比较强，被盗取的难度更高。

　　我觉得有效保护民众的数据隐私要从三方面做起，第一，要加快对数据采集和数据使用方面的立法工作，明确数据采集和使用的流程、标准和权限，我认为在采集和使用过程中，绝对不可以和使用者玩"文字游戏"，我被采集的数据信息，究竟都有哪些？都具体用于哪些方面？而不是用一个"等"字就可以替代的。第二，是要加快对公民数据产权的确权工作，在不同场景下，我的个人信息究竟价值几何，管理方、使用方的权责都有哪些？这些也是保护个人数据隐私需要明确的事情。第三，应加大对数据隐私的宣传工作，提高公民的防范意识。民众在信息采集的过程中，一定要认真阅读隐私政策，发现可疑条款或者条款过于模糊不清、晦涩难懂时，应当慎重使用。此外，在个人信息侵权事件发生后，应当及时向法院起诉、向政府有关部门举报。

　　全国政协委员、佳都科技董事长刘伟：滥用人脸识别数据应按盗窃论处

　　网友：人脸识别技术是爱还是害？在快捷便利与隐私保护之间，如何找到平衡点？

　　刘伟：人脸识别是一项中性的、新的技术，它的作用主要是在应用层面体现，本身不存在好或坏。

　　不可否认的是，人脸识别是当前中国人工智能领域应用最为广泛的技术，特别是在新冠肺炎疫情防控过程中，人脸识别真正发挥了助力公共安全的重要作用。至少目前西方国家就没办法实现像我们这样，对新冠肺炎疫情防控期间人员行动轨迹有清晰了解。现在我们出行都要扫描健康宝，其作用之一就是通过人脸锁定轨迹，这也使得人脸识别应用达到空前巨大的数量：一方面，它给社会公共事务管理带来了极大的便利；另一方面，如果我们的数据安全保护力度不足，就会泄露个人隐私数据，造成社会恐慌。因此个人认为，人脸识别要关注的核心问题是应用场景和数据管理。

　　网友：人脸识别数据安全主要风险点在哪儿？采集还是存储，或者其他什么环节？

　　刘伟：人脸识别在采集存储管理等各个环节都面临风险挑战，如果管理不好，会面临大量信息泄露的风险。在采集阶段，如果不控制好，隐私可能第一时间就被泄露了。出于公共治安管理的原因，在我国，大部分城市都安装了具有人脸识别功能的摄像头。存储也是一样，人脸识别无处不在，出行购物，公司上下班打卡，跑马拉松，都是用人脸识别做身份确认的，大量人脸识别信息用于商业领域，其管理容易产生漏洞。

　　网友：您认为应该如何规范人脸识别应用？

　　刘伟：要在国家法律层面上来规范、在社会层面严格执行，滥用人脸识别数据要等同于盗窃。鉴于人脸识别数据具有几何形爆发的特点，因此我建议加快数据隐私保护立法的速度。

　　来源：人民政协报2021年3月11日06版