圆桌论坛|蚂蚁呀嘿“动”了你的照片，人脸识别作为密码安全吗？

近期以来，蚂蚁呀嘿的动态照片在朋友圈流传，开心之余，不少人也担心人脸识别作为密码的安全性。近年来，人脸识别技术应用日益广泛，在火车站、机场以及消费支付时，已经成为了“必选项”。此外，进入部分小区，也需要人脸识别。那人脸识别安全性有多高？“行走”的人脸密码，应该如何规范使用？  

个人信息保护关系着每一个人的权益。3月7日晚间，新京报举办“2021两会新京报经济策之个人信息保护”论坛，邀请全国政协委员、北京金台律师事务所主任皮剑龙，中国电子技术标准化研究院网安中心测评实验室副主任何延哲，哈啰出行信息安全负责人、数据安全与合规专家薛勇就相关话题进行讨论。  

人脸识别成为隐私保护最关注的话题

北京金台律师事务所主任皮剑龙

皮剑龙：随着技术变革和应用普及，我国建设人脸数据库及识别系统的成本不断降低、识别精度不断提高。与此同时，不当使用数据可能导致公民个人隐私权、财产权等造成损害。人脸识别技术是双刃剑，管理不好会带来隐患。人脸识别领域存在一些问题，包括人脸识别数据存储缺乏安全管理；人脸识别技术被滥用的趋势越来越严重；行政监管体制不健全。  

中国电子技术标准化研究院网安中心测评实验室副主任何延哲

何延哲：通过对以往隐私保护话题分析发现，人脸识别是大家最关注的话题，关注度可能占到一半。从民众的角度来讲，可能有几个原因。人脸信息具有唯一性，密码易改、人脸难换，这是第一个原因。第二，人脸难以保护，大家担心路边装有摄像头，人脸如果是密码，就很不安全了。此外，对人脸的识别和追踪，意味着对个人行为的全方位的监控，无形压力会让大家对人脸识别技术的反感程度提高。  

我们社会调研分析，70%以上受访者非常反感人脸识别，但事实上，人脸识别产生恶性影响的例子却不多，当然不多不代表以后没有。大家关心人脸识别技术的成熟度问题，人脸开锁，万一被别人冒充怎么办？这种现象可能存在，当然人类识别技术也可以做到区分双胞胎，但这需要兼顾到应用的灵敏度。如果人脸特别难刷，有可能让你使用不了服务，用户体验变得非常差。真正进行人脸应用时，需要让便捷和安全达到相对平衡的状态。目前人脸识别强制使用的现象非常突出，忽略了用户的知情权。  

哈啰出行信息安全负责人、数据安全与合规专家薛勇

薛勇：个人人脸信息属于生物特征，与其他个人隐私信息一样需要保护。在哈啰出行收集到人脸信息存在服务器里，所有的图片都加密。用户查询时，身份不通过就查不到。图片链接都是加密，司机注册时，提供驾照、身份证图片，哈啰出行都加了水印，即使转发，都知道图片来源。这些保护措施都比较通用，一般大企业基本没有问题。  

蚂蚁呀嘿是动态PS，安全隐患较低

何延哲：安全支付公司应该早就对相关情况进行测试，如果有此漏洞也会被补上。信息安全管理是动态平衡的状态，出现一个新问题，马上会采用应急措施预防修补，大家不用有太多的担心。比如PS技术出现很多年，但是因为PS照片导致个人利益受损的情况其实不太多。

蚂蚁呀嘿只不过是一个动态PS的过程，这软件大家都在用，事实上这种技术黑产可能已经早就尝试过了，这个技术的门槛也不高，大家合理的看待就行。如果出现预警信息，大家可以关注，也会进行应急处理，应该不会对个人账户安全产生太大的影响。

薛勇：从行业业务发展的角度看，人脸识别要比传统输密码或者验证码便利。为什么人脸识别这么火，从长远来看，就是因为便利性，所以立法很重要。从我们业务发展来看，哈啰出行四轮车业务，要验证司机的身份，比如犯罪记录都需要人脸的识别，以保证司乘人员的安全，这是业务发展的必要性。蚂蚁呀嘿的软件火热，以及前两年流行的影视剧人物换脸。除了信息安全以外，我觉得更多还是对个人的名誉的影响。  

人脸识别应用需从密码功能转为账号功能 

皮剑龙：建议加快制定和完善有关人脸识别数据管理的专门法律。我国目前没有一部专门对人脸识别数据管理的法律法规。对相关立法过程中，应该对人脸识别的数据采集、存储、使用加工等方面进行规范。应该遵循事前申请原则、数据监管原则、数据保密原则。例如小区收集人脸识别的数据，需要有能力进行保管，防止流失。  

强化行政监管机制，建立专门性的个人信息保护系统，自上而下形成一条从中央到地方相关政府机构对个人信息保护的网络，依照现行行政体系，各部门职能划分，进行统一管理。建议完善行业自律的监管机制，引导行业对人脸识别进行规范。对人脸识别的信息存储手段，包括公民的知情权、同意权等内容，行业治理机制要形成简明、有效、合法的自我监督管理的手段。  

何延哲：人脸识别是近两年比较火的新兴技术，我们不应拒绝这种技术，但在个人信息保护的意识觉醒的情况下，我们需要能够兼顾安全和隐私保护，对人脸识别的技术在合理场景下的逐步应用。人脸识别势不可挡，但要让这个技术在互联网时代下长久、平稳的发展，希望有关部门明确的态度。如此一来，人脸识别可以走向一个真正的相对合理平衡发展的道路。  

薛勇：如今行业平台把人脸当做密码来用，平台上有个人账户，通过识别人脸，就可以使用账户。但人脸与个人姓名、身高、长相一样可以公开。所以人脸识别作为密码有安全隐患。未来，我们是否可以从技术上考虑，把当前采集到的人脸信息进行相应保护，从密码功能转为账号功能，这样也能快速识别账户，同时安全问题大大降低。  

新京报贝壳财经记者 陈维城  编辑 徐超 校对 王心