擔心的事情還是發生了，我們的人臉信息存在被非法洩露和非法售賣的情況。央視新聞在周一晚間的《一問到底》欄目中報導稱，經調查發現，在某些網絡交易平台上，只要花2元錢就能買到上千張人臉照片，而5000多張人臉照片標價不到10元。也就是說，一張人臉照片不到1分錢。

“瀏覽商家的照片庫，裡面都是真人生活照、自拍照等充滿隱私的照片。這些照片落入不法分子手中，很可能被用到精準詐騙甚至洗錢、涉黑等違法犯罪事件中。”央視表示。

今年年初，浙江衢州破獲一起運用技術手段騙過支付寶人臉識別認證、並使用公民個人信息註冊支付寶賬戶非法獲利數万元的案件。

8月13日，杭州市錢塘新區公安部門抓獲兩名盜取個人信息的犯罪嫌疑人，他們通過技術手段騙過平台人臉識別，在多個網絡平台共盜取數千條個人賬號信息，準備以每單80~100元的價格倒賣。

圖片：央視新聞

央視稱，上述兩起盜用公民個人信息案中，犯罪嫌疑人都是利用“AI換臉技術”非法獲取公民照片進行一定預處理，而後再通過“照片活化”軟件生成動態視頻，騙過了人臉核驗機制，得以實施犯罪的。而在實驗室測試時，科研人員在手機對面放上3D打印的面具，然後進行光線、色溫以及角度的調節，通過幾次比對，手機成功解鎖。

報導援引專家的話稱，目前最簡單的人臉識別，只需要採集、提取人臉上的6個或8個特徵點就能實現；複雜的人臉識別，需要採集、提取人臉上的數十個乃至上百個特徵點才能實現。

儘管我們或許早已做好了我們的人臉原始圖片信息有可能被洩漏的心理準備，但當報導無情證實了猜測時，其造成的心理衝擊仍然是震撼且無法接受的。

這是央視新聞根據全國信息安全標準化技術委員會成立的App違法違規收集使用個人信息專項治理工作組和南方都市報於10月13日聯合發布的《人臉識別應用公眾調研報告（2020）》（下稱《報告》），進行的一次跟進調查報導。

其實這不是人臉識別信息第一次被報導和關注了。

外媒報導稱，羅馬尼亞兩名黑客在2017年1月9日入侵了美國首都華盛頓警方部署的戶外監控系統——123個部署在華盛頓哥倫比亞特區警視廳(MPDC) 閉路TV 系統的安全攝像頭（共187個），這些系統包含了該城市的所有公共空間實時情況，並要求華盛頓警方支付贖金。警方不得不在特朗普就職總統典禮的前兩週，連續四天關閉了該系統。

2019年7月，就有媒體報導稱，圍繞AI換臉已經形成了一條完整的黑色產業鏈——100元打包200部換臉情色片——無數女明星中招，5張照片就可以幫你定制換臉視頻，400元就可以購買換臉軟件及教程。

現在人臉識別的應用場景無處不在，上述《報告》稱，通過問卷調查得出結論：94.07%的受訪者使用過人臉識別技術，64.39%的受訪者認為人臉識別技術有被濫用的趨勢。

截圖：《人臉識別應用公眾調研報告（2020）》

在十大人臉識別場景中，支付轉賬（67.2%）、解鎖解密（54.1%）、交通安檢（49.6%）、實名登記（47.68%）、開戶銷戶（45.26%）、門禁考勤（43.33%）最為普及。

問卷數據還顯示，30.86%受訪者已經因為自己的人臉信息洩露、濫用等遭受損失或隱私被侵犯。在有關人臉識別的安全隱患中，受訪者最擔心的依次是“人臉信息洩露”（63.64%）、“個人行踪被持續記錄”（54.4%）和“賬戶被盜刷，導致財產損失”（53.72%）。

其實自從手機攝像頭有了人臉識別解鎖等功能以來，關於人臉識別的安全性問題的討論就沒有停過。甚至有存在個人信息被過度採集、被用於非法途徑的案例時常見諸媒體報導。比如遍布城市各個角落的安全攝像頭、AI換臉軟件、機場/火車站安檢、酒店入住，以及因為疫情導致進小區、進商場等公共場合的攝像頭紅外測溫，網友補充說還有AI算命等。

這些人臉信息採集​​後被存儲在各App運營方或是技術提供方的中心化數據庫中，至於人臉數據是否脫敏、安全是否到位、哪些被用來算法訓練、哪些會被合作方分享，用戶一無所知。而且，一旦服務器被入侵，高度敏感的人臉數據就會面臨洩露風險。

正如一位受訪者接受央視新聞採訪時說的那樣：密碼我還可以隨時修改，但我的人臉信息一旦被採集，我就沒法修改或撤回了。

其實，關於人臉識別等個人信息被採集後應該如何處理，百度董事長李彥宏在今年5月的全國兩會上就提出，針對新冠肺炎疫情期間採集的個人信息設立退出機制，加強對已收集數據的規範性管理，研究制定特殊時期的公民個人信息收集、存儲和使用的標準和規範。

但這個提案不應只針對疫情期間採集的個人信息，而是任何時候採集的個人信息，都應該有退出機制，包括人臉識別信息。

上述《報告》表示，有沒有解決好個人信息保護問題，是衡量網民在網絡空間獲得感、安全感、幸福感的重要因素，進一步以立法立規、制定標準等方式對人臉識別技術應用安全加以引導，將是切實保障公民合法權益的明智之舉。它提出了七點關於人臉識別採集和使用的倡議:

一、目的合理、正當、必要。評估人臉識別技術應用的必要性，個人身份核驗準確性不會影響到個人重大利益或社會公共利益的情形，可不優先考慮使用人臉識別技術;

二、保障用戶的選擇權。不宜將人臉識別技術設置為唯一的身份核驗的手段，不應強制要求或頻繁推薦用戶開通基於人臉識別的相關功能;

三、確保授權同意後採集。未經用戶同意或法律法規授權，不得通過高清攝像頭等私自採集人臉信息，不得使用人臉信息追踪個人行為;

四、明示收集使用規則。向用戶明示人臉信息收集使用的規則，並建立嚴格的內部管理措施，防止人臉信息被濫用、非法提供給第三方;

五、最小化存儲和使用。原則上應僅採取提取人臉特徵信息進行比對的方式進行身份核驗，完成身份核驗等後及時刪除人臉圖片等原始樣本;

六、明確標註，避免混淆。採用AI技術合成的數字人臉圖像需明確註明其為技術生成的虛擬圖像，生成和使用過程應經個人授權，遵循有關管理規定;

七、持續提升準確度和安全性。加強人臉識別技術、相關信息系統和終端設備的安全性的檢測與認證，推動人臉識別技術成熟度不斷提升，防止人臉信息的偽造、冒用、洩露、丟失。

其實，相應的法律法規早已或陸續出台。《網絡安全法》明確將個人生物識別信息納入個人信息範圍。《民法典》也規定，收集、處理自然人個人信息的，應當遵循合法、正當、必要原則，徵得該自然人或其監護人同意，且被採用者同意後還有權撤回。而《中華人民共和國個人信息保護法（草案）》正在面向全社會公開徵求意見，希望能盡快通過。

中科院自動化所研究院張兆翔表示：“人臉識別從一張人臉的原始圖像到整個信息抽取的過程，我們可以分層級，把不同的階段分配使用在不同的使用者手上，在一個脫敏的數據或者是脫去它本身ID信息的情況下，進行一系列人臉識別服務的提供。”

他還表示，人臉數據存儲應該建立更嚴格的標準和規範，技術開發方、App運營方不能成為各自為戰的“數據孤島”，只求技術更迭、忽視隱私風險，而是應該在更趨嚴格的監管、法律以及行業規範下採集、使用、存儲數據。

在9月底於海口舉行的2020綠公司年會的一個圓桌會議上，當討論到數據所有權問題時，APUS創始人兼CEO李濤說：“數據任何時候都屬於用戶自己的，無論是to B還是to C。”

北京兆易創新科技有限公司創始人、總裁兼CEO朱一明則認為，可以從幾個層面來進行個人隱私數據保護：“第一，立法層面，在歐洲、美國，（個人隱私）保護意識很強，甚至深深烙印每個人的心裡，自己覺得數據很重要，中國這一種意識不夠；第二，執法層面，加強執法力度；第三，監管層面，數據分享出去以後，數據保存方和數據採集方要不要分離，數據要有監管方。”

張兆翔補充說：“從安全的角度來說，我們迫切需要行業能夠提供一套標準、使得我們能夠有一個規範去遵循，以有效防止人臉這樣一個敏感的身份數據洩漏的情況。”

我們用我們的個人數據餵大了一隻只螞蟻、蚊子或蟑螂，拱高了他們的估值，讓他們實現了財富自由。不希望我們的臉在黑產的世界裡裸奔，尤其想到一張臉的信息不到1分錢就來氣。

我們的臉很貴，謝謝。