上千张人脸照片卖两元 超三成受访者已遭人脸信息泄露或滥用

原标题：上千张人脸照片卖两元超三成受访者已遭人脸信息泄露或滥用
刷脸支付、刷脸进小区、刷脸解锁手机越来越多的刷脸应用走入普通人的生活，但是，与人脸信息泄露相关的新闻也层出不穷。
2元就能买上千张人脸照片五千多张人脸照片要价不到十块钱，这是央视新闻近日曝光的人脸信息贩卖黑灰产。
根据南都个人信息保护研究中心人工智能伦理课题组此前发布的人脸识别应用公众调研报告2020显示，当前人脸识别技术普及率高，但六成受访者认为人脸识别技术有被滥用的趋势，且已经有超三成受访者表示已经遭遇人脸信息泄露或滥用。

不法分子利用AI换脸骗过核验机制3D面具也能解锁手机
今年8月13日，杭州市钱塘新区公安部门抓获了两名犯罪嫌疑人，他们在多个网络平台盗取了数千条个人信息，准备倒卖。
而今年年初，浙江衢州也破获了一起盗用公民个人信息案，犯罪嫌疑人使用盗取的信息注册某金融平台账号，非法获利数万元。
值得注意的是，这两起案件的犯罪嫌疑人都是在非法获取公民照片后，利用AI换脸技术对照片进行预处理，再通过照片活化软件生成动态视频，骗过了人脸核验机制。

利用照片活化软件生成动态视频。
那么，如果制作一个3D打印面具，能否骗过人脸识别验证呢中国科协源新闻专家库成员、中国信息通信研究院科研工程师王嘉义以手机的人脸识别解锁为例进行了演示。
测试中，王嘉义将一个3D面具对准手机摄像头，经过光线、色温和角度的调整，手机被成功解锁了，这就意味着手机将面具识别成了人脸。他介绍道，这款面具的制作成本并不高，只要不是在极暗或者极亮的背景下，通过面具或头套骗过人脸识别的成功率高达三成。

利用3D打印面具解锁手机。
专家表示，目前最简单的人脸识别只需要采集人脸上六个或八个特征点，而复杂的人脸识别则需要提取人脸上的数十个乃至上百个特征点才能实现。相比于解锁手机，刷脸支付、刷脸进小区等应用采集的人脸特征点更多，安全性自然也更高。更为重要的是，目前已经研发出专门针对生物特征的活体检测技术，可以有效识别扫描对象的生命体征，大大降低了识别系统把照片或面具识别成人脸的风险。
2元就能买上千张人脸照片调查发现贩卖人脸信息的黑灰产
在专家看来，当下人脸识别技术的风险点更多集中在存储环节。中国科协源新闻专家库成员、中科院自动化所研究员张兆翔介绍，由于人脸识别应用五花八门，也没有统一的行业标准，大量的人脸数据都被存储在各应用运营方或技术提供方的数据库中。至于数据是否脱敏，安全是否到位，哪些用于算法训练，哪些会被合作方分享，外界一概不得而知，而且一旦服务器被入侵，高度敏感的人脸数据就面临泄露风险。
记者调查发现，在某些网络交易平台上，两元钱就能够买到上千张人脸照片，甚至有商家喊出了500元百万张照片。在商家的素材库里，全是真人生活照、自拍照，甚至还有个人身份证照片等充满个人隐私内容的照片。当记者询问客服这些图片是否涉及版权时，客服矢口否认，声称照片是自己拍摄的，但却提供不了任何可以证明照片版权的材料。

客服与记者的聊天对话。
针对人脸信息被滥用、盗用、随意采集的现象，中国科协源新闻专家库成员、中国政法大学传播法研究中心副主任朱巍指出，网络安全法明确将个人生物识别信息纳入个人信息范围，我国民法典则规定收集、处理自然人个人信息，应当遵循合法、正当、必要原则：征得该自然人或其监护人同意，且被采用者同意后还有权撤回。
10月21日，个人信息保护法草案，在中国人大网公布，开始向社会征求意见。对于公共场所中的图像采集、个人身份识别设备问题，草案第二十七条作出了进一步规范。
该条款规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。
中国社会科学院法学研究所研究员周汉华向南都记者表示，草案第二十七条回应了公众关注的生物信息采集问题，尤其是人脸识别。把维护公共安全作为前提条件，应该说对于可能发生的人脸识别滥用现象能够产生遏制效应。
全国人大常委会委员吕薇则对南都记者表示，应该进一步明确谁可以安装图像采集和个人身份识别设备，需要什么样的批准程序，由谁来批准等问题。同时，要注意防范信息过度收集。
综合：南都人工智能课题组研究员潘颖欣部分自央视新闻