生物识别技术成隐私泄露重灾区？

近日，国内某公司在杭州造物节上公布了一段李佳琦带货的直播视频，不过这次直播的并非李佳琦本人而是AI而成的。通过AI技术合成李佳琦影像并且配上其日常带货名言，现场演绎了一段眼药水和方便面的带货直播。

虽然官方强调本次的合成视频获得了李佳琦本人授权，并且此项技术并不面向民间，但随着各种面部乃至整人的AI合成产品越来越多，人们对于个人隐私泄露的恐慌也慢慢浮现。

前段时间，上海信息安全行业协会副主任张威在2019年国家网络安全宣传周全民体验日活动上向公众提示了剪刀手泄露指纹信息的风险，迅速引起网友热议。

他表示，1.5米内拍摄的剪刀手照片，基本上能100%还原出被摄者的指纹；在1.5米-3米的距离内拍摄的照片，能还原出50%的指纹。

有网友甚至直言，“人的指纹一生都不会变化，一旦泄密，就是永远泄密，所以市面上那些打着指纹安全旗号的数码产品我都是不敢用的。”

剪刀手照片是否真的有被提取指纹的可能？生物识别技术是否真如人们恐慌一般成为隐私泄露的重灾区？网友热议的背后是人们关于让渡安全还是让渡隐私的矛盾。

理论上可行，实操很难

对此，图正科技董事长、创始人刘君对CV智识解释，剪刀手拍照泄露指纹信息在理论上可行，但操作起来很难。

实操很难的一个原因就是：技术门槛。

他指出，目前的指纹识别存在一个等比例变化的问题，这就意味着从现场取到的指纹必须按照1:1比例复制出来，这本身需要专业的提取技术、提取设备以及复制设备等，而如果剪刀手照片经过处理之后还要考虑形变的问题。

一位生物识别领域专家对CV智识直言，这么高门槛的犯罪活动一般针对的是价值比较高的目标，普通人被盗的机率会小一些。

但技术门槛高并不意味着绝对安全。

“大家在设计这些指纹识别产品系统的时候，只是把它设计在一个安全维度上就可以了，让不法分子攻击时候的攻击时间成本和攻击难度到一定的程度就可以了，安全是一个没有边界的问题。”

中国科学院院士郑建华曾对媒体表示，目前指纹识别安全链条还不够完整。

去年，网上一篇《一块橘子皮就能秒开你的手机指纹锁，还能转账付款》的文章及视频就曾引起了网友关注。

一位用户由于手机摔到地上，导致指纹触摸键出现了裂纹，之后其他人居然都可以用指纹解锁他的手机，手机支付什么也都可以了。

后来经过苏州一家科技公司技术人员的试验发现，破解指纹验证的关键在于指纹触摸键上的图案。事实上，指纹传感器接收到的信息包含指纹贴上的导电涂层，并不完全是机主手指的指纹。在进行指纹比对时，只要部分信息相同就能通过验证。

只要指纹触摸键上的图案是挡在手指前面，软件系统就会收到已经有了这些图案成分的图，“它收了这个图，认证也是个图”，而裂痕本身会在传感器上形成一些图案，这名用户将指纹覆盖在裂痕上成功解锁开机几次后，别人便都可以随意开机了。

一位指纹识别公司的技术人员告诉CV智识，利用指纹识别系统上的软件漏洞进行攻击是当前指纹识别比较有效的一种方式。

刘君指出，目前行业内提高生物识别安全的路线有两种，一种是增加获取生物信息的难度，比如研发骨骼识别、静脉识别等产品，这些生物特征信息都不在表面，通过正常的拍个照片，杯子残留等是无法获取的；另外一种则是增加伪造难度，比如加入活体指纹检测技术或者增加3D人脸识别的复制难度等。

除了产品设计本身的安全度提高之外，人们平时该如何避免隐私泄露呢？

除了不向陌生人提供自己的指纹、不在不可信的设备上录入自己的指纹，不在网上乱发带有自己指纹信息的照片之外，刘君还提出一个建议，在用完指纹锁或者手机之后，用手在传感器表面上擦一下，通过这个动作，指纹图像就会完全模糊化了，也就没有了任何提取价值。

不只剪刀手

这并不是生物识别技术首次受到安全质疑。

随着计算机、光学、声学、生物传感器和生物统计学原理等技术的发展，利用人体固有的生理特性，如指纹、人脸、虹膜等，以及行为特征，如笔迹、声音、步态等来进行个人身份鉴定的现象越来越常见。

其中应用最为广泛的是指纹识别、人脸识别。

指纹识别并不新鲜，多年前指纹识别就应用在考勤、门禁、保险箱柜等领域，随着iPhone5s的推出，指纹识别才迎来了一个跳跃性发展的时期。

最初的手机安全锁解决方案是设置开机密码，一般是 4 位数或者是 6 位数的密码，之后流行的是图案解锁，相比开机密码，图案解锁破解的几率更高。iPhone5s之后，指纹解锁逐渐成为各类手机的标配。

之后指纹识别场景进一步挖掘，已经广泛应用于各类识别身份的渠道，例如指纹支付、指纹门锁等领域。

但就在2019年5月，中国消费者协会等对29款主流智能门锁商品开展比较试验时发现，48.3%的样品密码开启存在安全风险，50%的样品指纹识别开启存在安全风险，85.7%的样品信息识别卡开启存在安全风险。

从2017年开始，生物识别的风向标转向了人脸识别：手机刷脸解锁、刷脸支付；火车站、机场刷脸检票；银行开户时需要人脸识别确认，现在还愈发向娱乐化发展，比如之前刷屏的换脸APP—ZAO。

“ZAO”在App协议中要求获得用户人脸照片“完全免费、不可撤销、永久、可转授权和可再许可的权利”，这意味着用户上传到 ZAO 里面的照片，ZAO 除了可免费使用并修改你的肖像，还可以将它任意授权给自己想授权的第三方，当做信息进行贩卖，而且是永久的、不可撤销的。

倘若这一数据被居心叵测的人利用，极有可能成为新的犯罪工具，特别是对于骗术识别能力差的老人，很容易就被犯罪分子伪装的“子女”、“亲人”骗走钱财。

目前，许多高校宣传的“刷脸时代”：门禁刷卡、食堂刷脸、人脸识别考勤等也受到了质疑。前些时间，一张带有“MEGVII旷视”图标、面向校园学生学习状态的视频监控图像也在网络上引发热议，网上对于通过人脸识别监控教室内学生一举一动的批评声浪很高。

这与ZAO的争议类似：技术带来效率，带来更多的娱乐方式无可厚非，但前提是需要界定什么数据是隐私？什么数据可开放？

无论是指纹还是人脸等生物识别数据一旦被泄露，后果不可想像。毕竟，每一个生物识别特征的背后都是一个人现实身份的确认。

未来：技术融合、立法快行

隐私问题凸显，并不意味着人们因此因噎废食，生物识别技术依旧会是安全的一道锁，但这把锁未来会如何发展呢？

“融合”是CV智识在与行业人士交流过程中听到最多的方案。

比如当用户回到家里，走到距离门两米远的位置，人脸识别系统启动，人脸识别成功之后，指纹识别传感器亮起来，用户直接去按指纹解锁，虽然整个过程跟单纯的指纹识别并无区别，但在这个过程中却进行了多重认证。

目前与大家财产安全极为相关的手机支付系统便是需要多因素验证，不会简单根据指纹或者口令这些东西来识别人的身份。

但刘君也表示，在生物识别技术之前的年代，安全性和便利性一直存在矛盾。生物识别技术出现之后，核心解决的是便利性的问题，兼顾安全行为。现在大家追求的是怎么变得更懒而不是更复杂，因此在解决更多的安全链条上的问题之后，单一的生物识别技术仍然是会是主流。

也可能会催生更加新奇的生物特征识别，比如利用每个人独特的眼球运动来进行身份识别；基于耳朵识别的手机App，用户可以通过把手机贴在耳朵和脸颊部位来进行识别；基于心跳识别技术的Nymi腕带。..。..

除了从技术、产品设计、用户自身防范角度之外，立法是另一个保护措施。

比如，美国伊利诺斯州和德克萨斯州就通过了生物特征识别法，要求收集和使用人脸识别的公司和个体必须遵循一套基本的隐私协议。包括在收集前得到知情同意、规定数据保护义务和限制保留位置、禁止从生物特征数据中获利等。

我国也开始探索数据相关立法。国家互联网信息办公室在今年5月发布的《数据安全管理办法（征求意见稿）》中规定：“如果收集使用规则包含在隐私政策中，应相对集中，明显提示，以方便阅读。另仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。”

这依然有很长的路要走。