人脸竟可"倒卖"？！人脸识别黑产曝光，多家门店非法收集！数据丢失危害极大，你的脸其实很珍贵

如果你在一家商店得到非常贴心的服务，或许不是因为服务员多么善于察言观色，而是因为你曾经进入过的同家企业的分店，而那分店的摄像头，格外善于捕捉你的一行一色。

具备人脸识别功能的摄像头可以在不知不觉中捕获客户的人脸信息，这一特性被一些企业用来监测消费者行为。“比如说，这个人曾经去过（装有此种摄像头的）A店，现在他到B店了，A店就可以给B店提示，该如何接待他、如何报价，B店就有心理准备了。”央视2021年“3·15”晚会曝光的一家零售企业销售主任如是说。

更糟糕的是，这些人脸信息还可能被用于关联程度越来越高的金融支付，给个人造成严重的经济损失。在某种极端情况下，也可能将威胁到人身安全。

“如果把人脸识别技术不加限制地用于金融认证，就相当于每张脸的背后都绑定了一个资金账户，人身安全与财产安全紧密地关联起来，这就有可能在损害个人财产安全的同时威胁人身安全，甚至将用户推向一种危险的境地。”一位支付机构技术负责人警示道。

3·15曝光多家门店

央视2021年“3·15”晚会曝光了多家门店利用摄像头获取人脸信息的案例。经过针对全国多地20多家装有人脸识别系统商户的调查，央视新闻记者发现，其所到之处均有悄悄获取人脸识别信息的情况，且并没有任何商家明确告知顾客。

无论是在无锡宝马汽车4S店，还是在港汇恒隆Max Mara专卖店，客户的人脸生物信息就这样被肆无忌惮的获取。

据央视报道，在全国拥有上千家门店的科勒卫浴，就在其各个门店安装了具有人脸识别功能的摄像头。只要消费者进入其中一家门店，这种摄像头就会抓取他们的人脸信息，并自动生成对应的编号和档案，而消费者对此毫不知情。此后，这名消费者再去哪家门店，无论是位置还是次数，科勒卫浴都会“知道”。

央视记者发现科勒卫浴的摄像头上都标注着“万店掌”字样。实际上，除了苏州万店掌公司，悠络客电子科技股份有限公司、广州雅量智能技术有限公司、深圳瑞为信息技术有限公司等公司，都为不少商家安装了人脸识别的设备和系统。

日前，针对商户“偷脸”的情况，静安区市场监管局、青浦区市场监管局等监管部门作出表态：已派人员前往辖区内的相关企业注册地开展调查。

“由于人脸信息具有唯一性，销售企业可以利用人脸识别系统来不断收集用户的消费行为信息，建立起一一对应的用户档案。同时，人脸信息通常暴露在公共环境中，很容易实现无感知采集，用户无法知道企业是否存在识别人脸的行径。”一位人脸识别行业人士向券商中国记者表示，这其实是对消费者的不公平，更进一步，企业可能作出一人一价、优惠标准不统一等侵害消费者利益的行为。

据了解，人脸识别技术是基于人的面部特征信息进行身份识别的一种生物特征识别技术，主要包括人脸检测、人脸图像预处理、人脸图像特征提取、匹配与识别四部分。随着技术的进步，人脸识别设备已在不知不觉间侵入人们日常生活的方方面面，上班打卡刷脸、进出公园刷脸、回到小区刷脸、收取快递刷脸等场景，早已成司空见惯。

但随着人脸识别毫无节制的泛滥，其应用范围问题也不断被推上舆论的风口浪尖。近年来，欧美多地针对人脸识别技术出台禁令，而国内也逐渐显示出“严监管”信号。去年年底，天津市率先明确在信用领域相关单位禁止收集人脸信息，网信办对移动应用程序（APP）信息收集亦有规范。

就在去年10月，首度公开的《个人信息保护法（草案）》也对公共场所人脸识别设备的铺设也作出专门规定。该草案提出，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。

一旦丢失危害极大

人们对于生物特征识别技术应用越来越广泛的担忧并非空穴来风。“有一个基本的假设是，任何互联网公司拥有的数据都会被‘黑’走，差别只是时间问题。”日本支付机构Netstars的CTO陈斌向券商中国记者表示。

人脸信息作为生物特征识别中的一种，与指纹、虹膜等生物特征一样，具有唯一性和不变性。与传统的数字密码相比，此类生物信息一旦丢失，便再无机会“重新设定”。因此，这类信息的泄露可能造成很大的危害。“如果账号密码泄露了，用户还可以更改，但是人脸信息如果出现大面积泄露，难道让成百万人上千万人去整容吗？”陈斌如是说。

相比于其他生物特征，人脸信息还具有易于获取、获取过程无感化、与个人身份关联紧密等特性。某国际互联网数据公司技术人士也向记者直言，人脸信息与个人身份之间的关系可谓“一目了然”，一旦建立其关联信息，风险较大。

也因此，人脸识别技术在金融领域的应用被不少人所警惕。陈斌向记者介绍道，在数据安全领域主要关注两类数据，一类是个人身份数据，另一类则是支付卡数据。“前者背后代表了个人生命安全，后者则是代表个人财产安全。”他指出，如果把人脸识别技术不加限制地用于金融认证，就相当于每张脸的背后都绑定了一个资金账户，“将人身安全与财产安全紧密关联起来，有可能在损害个人财产安全的同时威胁人身安全，甚至将用户推向一种危险的境地”。

此外，由于行业准入方面的监管缺失，部分小公司的人脸识别技术能力没有达到可匹配其展业范围的水平，人脸核验程序的反黑客能力较弱，还存在滥用所收集的个人信息数据的可能。

“比如小区门禁用的人脸识别设备很多是由一些小运营商提供，而一些不规范的小公司获取数据后，很有可能进行倒卖来换取收益。”宁人律师事务所金融与科技委员会副主任马军向记者指出，人脸信息的泄露牵涉到一些暧昧地带，“例如换脸技术的发展使得一旦人脸信息发生泄漏，用户的脸将可能被不法分子用于任意领域，不仅是个人财产，还可能对用户的名誉权造成侵害”。

法规层面尚待完善

“比较好的方式是政府积极监管。”前述行业人士认为，人脸识别用在合适的地方可以提高社会运行效率，同时也可以提高个人生活的便利性，比如银行的远程开户，机场的人证核验等等，而且目前国内民众对隐私的安全意识仍然不足，不管是从政府还是民众的角度来看，“短时间内，监管政策应该不会突然收紧很多”。

但也有专家指出，在实践中，很多信息泄露并非用户提高意识就可以掌控。例如央视此次曝光的摄像头采集人脸信息。全联并购公会信用管理专业委员常务副主任刘新海还提及，很多信息泄露事件发端于快递员、电商平台小商家等环节，对于这类情况很难仅通过上层法律设计进行约束，而需要建立起职业道德教育、监督惩罚机制等配套设施。“简而言之，个人要教育、平台要约束、司法要跟进，这个过程需要慢慢完成，相信未来也会慢慢完善。”他指出。

在受访业内人士看来，对人脸识别技术的应用提高准入门槛并推出行业规范，是当务之急。“现在每家企业使用刷脸支付的业务逻辑可能都不一样，监管部门还没有对行业出台统一的标准。”杭州电子科技大学教授刘大为向记者指出，以单个企业作为驱动来制定的标准或者安全防范措施，不可避免会存在漏洞。

某支付机构人士也告诉记者，对于头部企业来说，信息泄露事件对品牌和口碑都有负面影响，“它们其实很愿意提高合规能力”。亦有律师指出，在过去野蛮生长的状态下，金融机构也非常担心被罚，特别是上千万的顶格处罚，“如果法律法规层面逐渐完善，虽然会增加金融机构的合规成本，但其违法成本也会降低，因为行业终于‘有法可依’了”。

但目前，监管层面还缺乏更细化的规章和明确的分工。有法律人士向表示，虽然《数据安全法（草案）》中提到，由行业主管部门来进行数据安全的监管，但不同部门可能出现监管的交叉重叠，例如由于目前颁布的相关草案较为笼统，行政机关和执法机关如何分工等尚未明确，所以不排除有可能会多头交叉监管，也还需要进一步细化。

马军也认为，从监管现状来看，确实存在各部门管辖权界定不清，造成一些部门“各处插手”，结果“九龙治水治不好”的问题。但他指出，多头监管也不一定是问题所在，而是趋势所向，因为个人信息保护制度的建立必然需要各部门分工合作。

“每个行业也有各自特性，对数据敏感程度不一，未来各部门、各地方政府结合各自特征再推出细化的规章制度或许是更符合现实的考量。”刘新海表示，中国幅员辽阔，在一个基本的法律框架下，不同地区、不同行业对数据的积累程度和需求情况各有不同，经济发达地区，有些监管需要更加严格，经济不发达地区可以宽松一点，支持其发展。