315专题：政协委员拒用人脸识别，一旦泄露，你无法再有第二张脸

更多IT时报内容请访问 

 http://www.it-times.com.cn/

谈剑锋有两部手机，一部用来上网，一部只用来接电话。对于人们常用的指纹识别、人脸识别，他似乎有种深深的不安全感。

今年2月，国内人脸识别公司深圳市深网视界科技有限公司发生大规模数据泄露事件。超过250万人的数据可被获取，680万条记录泄露。

采用生物特征认证，就一定会有特征数据库，所有的数据只要进入电脑，就会被转换成机器代码，只要是代码就可以被截获、重放、重构。

生物识别信息也许是比身份证号码、手机号更重要的个人隐私，但问题是这些被采集并运用的个人生物信息得到有效的保护了吗？

黑客终于能掌握你的一切

每一次数据库的泄露总是如此“耀眼”，因为其量之大。以深网视界为例，此次泄露事件主要涉及到深网视界内部的一个MongoDB数据库，除了身份证、照片、工作信息之外，该数据库还可动态记录个人位置信息，有媒体报道，仅2月12日至2月13日的24小时，就有超过680万个地点被记录在案。所以，也无法估量到底有多少人的隐私被“窥视”了。

和这些基础数据相比，在业内人士看来，个人生物信息最为独特的是其不可再生性，手机号泄露了，可以再换一个，人脸、指纹天生就一个。谈剑锋忧虑的是，服务器端存储的大量用户特征数据，一旦被黑客或犯罪分子获取并利用，后果无法挽回，而作为生物信息主体的你我他，只能眼睁睁看着信息被盗取而无能为力。

如此，个人信息安全便被推入到了更大的不确定风险中，比如指纹、虹膜、人脸等信息被传至云端，云服务器被黑，黑客拿到生物数据再和真实身份匹配，身份证号码、银行卡号、密码、人脸、指纹都有了，就等于敞开了家里的智能锁、保险柜、银行卡……

尽管风险巨大，但生物信息识别所带来的便利性使得人们难以拒绝这种技术，生物识别技术领域强劲增长的潜力也让很多企业看到了市场。

以人脸识别为例，其技术的发展带动了相关设备市场的迅猛增长。调研机构Gen Market Insights发布的数据显示，2017年全球人脸识别设备市场价值为10.7亿美元，而到2025年底将达到71.7亿美元，在2018年至2025年期间将以年均26.8%的速度增长。

存在数据库里的“脸”没有被加密

上海敏识科技公司是一家专做人脸识别方案的创业企业，成立于2014年。日前，《IT时报》记者以自己供职的单位想安装人脸识别门禁系统为由，联系上了该公司的销售人员。销售人员表示，其人脸识别系统捕捉人像的识别准确率为99.9%，2秒便完成从抓拍到考勤结果通知，单个终端可存十万级人像库。

据记者了解，要为企业安装人脸识别门禁系统，必须采集员工的人脸信息，当门禁系统开始工作时，便可从数据库中进行比对。而对于采集到的员工人脸信息的存储和保护措施，销售人员表示，存储分为两种方式，可以存放在本地，也可以存放在云端，“我推荐存放在本地，因为性价比比较高，对于人脸信息数据的保护，主要是靠你们自己，因为是存放在你们的服务器上，但是我们会提供维护以及软件升级加固等。”

根据该企业提供的截图，其门禁以及抓拍机捕捉到了进出该公司的人脸照片、地点、时间，而在其考勤系统中则显示了该公司员工的姓名、工号、部门以及上下班时间等，值得注意的是，记者看到的所有信息均为明文显示，并没有马赛克或者打*号处理。“有的企业如果需要录入员工的身份证号、车牌号等信息，也可以显示出来。”销售人员表示。

碁震安全研究团队安全人员宋宇昊告诉《IT时报》记者，从理论上来说，企业为存储在本地的客户提供软件升级、加固等措施并没有问题，“很多企业不喜欢把数据放在云端，但并不是说封闭在企业内部就安全了，在整套系统的设计和实现过程中，也可能发生代码失误等问题造成数据库被攻破，数据泄露。”

作为一名安全人员，宋宇昊和团队曾经研究过目前一些人脸识别设备的安全性，也攻破过一些人脸门禁系统，并可以获取并篡改其中的个人信息。在宋宇昊看来，攻破的原因主要是设计或者开发中的疏漏导致产生漏洞，事后可以通过升级补丁来弥补，但有的漏洞比较低级，完全是可以避免的，“虹膜、指纹等也存在类似的漏洞，原理是一样的。”

对于个人生物信息的脱敏，在宋宇昊的几次攻破中，大部分都看到了原图。“在安全界，密码一般通过Hash的方法进行验证，Hash要求和原来的密码是一模一样，比如原密码是123456，验证出的密码也必须是123456。而个人生物信息是对特征的比对，就需要原始数据作为参考，相对于其它交易信息等，生物信息很难脱敏处理。”