小学生都能轻松破解BUG 人脸识别如何不被“打脸”？

金羊网记者 林曦 汪海晏 王丹阳 实习生 贺子傲

一张照片就能伪装人脸刷开快递柜？近日，浙江一小学的“科学小队”在课外科学实验中发现，只要用一张打印照片就能轻松“破解”丰巢智能柜的“刷脸取件”系统，取出父母的快件。随后有媒体进行测试，发现果然如此。甚至用偷拍的照片，也能打开丰巢柜子。

BUG（漏洞）曝光后，丰巢紧急下线了“刷脸取件”功能，并称此次只是小范围测试，并未导致用户损失。

人脸识别技术再一次引起争议。这样的技术到底安不安全？会否被盗刷？谁来规范监管？

不是刷脸就高级，技术还分优等和次等

如今，日常生活中，“刷脸”已非常普遍。网上支付、单位考勤、家庭门锁、公交乘车、机场安检、垃圾分类……人脸识别技术在各领域的应用呈扩大趋势。正因此，其存在的安全隐患更令人担忧。

有行业人士指出，人脸识别技术目前可以分为两大类：基于2D人脸图像和基于3D人脸图像。其中，2D人脸识别通过2D摄像头拍摄平面成像，所以即使算法和软件再先进，在有限的信息下，安全级别终究不够高，通过照片很容易被破解。丰巢此次被破解的“刷脸取件”系统，应用的就是2D人脸图像技术。

3D人脸识别系统安全级别则较高。它通过3D摄像头立体成像，一般有四个探头：两个摄像头互相配合形成3D图像，一个红外线探头用于补光，另有一个可见光探头。目前，3D人脸识别功能技术可以准确分辨出照片、视频、面具和双胞胎。

此外，普遍应用于人脸识别身份认证系统的还有一项至关重要的技术——“活体检测”，即系统摄像头在识别人脸是否本人的同时，检验是否有人利用照片等手段冒充用户。这就是为什么在银行“刷脸”时，用户常被要求完成“摇头晃脑”“眨眼”等动作。而这也是丰巢忽视的检测之一。

一旦“丢脸”被盗刷？支付宝微信：全额赔付

运用“刷脸支付”较广泛，且直接关系到金融财产的微信和支付宝，被网友提出安全质疑。事实上，前两个月，换脸软件“ZAO”火遍全网又迅速“凉凉”时，便有众多网友担心“刷脸支付”安全受到威胁。

对此，支付宝方面回应羊城晚报记者称，其“刷脸支付”采用的是3D人脸识别技术，也会通过软硬件结合的方法进行检测，来判断采集到的人脸是否是照片、视频或者软件模拟生成的，从而有效避免各种人脸伪造带来的身份冒用情况。此外，在进行人脸识别后，部分用户还需输入与账号绑定的手机号进行校验，进一步提高安全性。刷脸支付功能由用户自主开通操作，且可随时关闭。万一账号被冒用，支付宝将通过保险公司全额赔付。

微信方面则表示，微信“刷脸支付”使用安全等级较高的3D活体检测技术，综合使用3D、红外、RGB等多模态信息，可有效防范视频、纸片、面具等的冒充。部分用户也需输入绑定手机号或扫描二维码等进行校验。如被冒用、盗刷，也可申请全额赔付。

刷脸乘广州地铁，无需担心“脸”被利用

地铁也已实现“刷脸”过闸。上月，期待已久的“刷脸”过闸在广州地铁3号线广州塔站、APM线广州塔站、21号线天河智慧城站率先上线使用。这是否存在安全风险？

对此，羊城晚报记者采访了研发人脸识别地铁闸机的广州佳都新太科技股份有限公司（简称“佳都新太”）。据佳都新太智能产品事业部产品研发部经理魏建程介绍，现在安全防范技术主要有两种：一种是较常用的双目摄像头，其中一个摄像头是可见光，另一个是红外光，其成像相结合，识别准确率可高达99.99%；另一种是3D摄像头，可360度识别脸部轮廓，比如眼睛凹下去多少、鼻子突出来多少等，准确率更高。

“唯一可能攻破这两种技术的，是一种超仿真面具。这种面具几乎无异于真人的样貌，但造价太高，对于不法分子来说，成本太高。”魏建程表示，广州塔站和天河智慧城站现有的“刷脸”过闸机器，都使用了双目摄像头或3D摄像头，乘客无需担心不法分子利用自己的照片盗刷。目前，用于人脸识别的人脸数据库为广州地铁公司所有，由佳都科技运维。

刷脸监管何去何从？律师说还得靠“国标”

随着人脸识别技术逐渐渗透到方方面面，其暴露的安全隐患、隐私风险等都呼唤及时、有效的监管。

IT行业律师、中国政法大学知识产权研究中心特约研究员赵占领接受羊城晚报记者采访时表示，人脸识别技术领域此前一直没有相关的行业标准和国家标准，主要是企业自定标准，这就存在标准不一的问题，而不同公司安全状况、安全水平也不统一。为解决这一问题，并破除技术在应用和推广普及上的障碍，推动行业有序发展，亟须制定人脸识别技术的“国标”。

不久前，在深圳召开的全球人工智能创业者大会上，多个高校及人工智能企业联合发起了《新一代人工智能行业自律公约》，旨在增强行业整体自律意识，维护人工智能行业健康正向发展，共同创造良好的行业发展环境。

另类案例

偷偷“刷脸”转走他人两万多元

广州一男子获刑七个月

不久前，广州市越秀区人民法院受理了一宗男子利用“刷脸”实施盗窃的案件。

据指控，今年7月24日，被告人冯某某以帮被害人郑某某激活信用卡为由，两人一起去到广州火车站广场肯德基二楼餐厅。冯某某在持被害人手机操作过程中，趁其不备，进入支付宝转账页面，并通过扫描被害人脸部将19800元转至其个人赌博账号。同月26日，冯某某又以同样理由将被害人约至广州市天河区车陂麦当劳餐厅，再次以上述手法盗走其支付宝内人民币5000元。当晚，冯某某被公安机关抓获归案。

案发后，冯某某的亲属已向被害人郑某某退赔人民币25000元，取得被害人谅解。

说法

“刷”取他人快件属盗窃 收件人可向快递方索赔

行为人利用“刷脸取件”技术漏洞，用照片取出他人快递的行为该如何定性？收件人该向谁索赔？

公益律师、广东保典律师事务所合伙人廖建勋表示，行为人以非法占有为目的，随意用照片“骗”开快递柜取出他人物品，属盗窃行为，如果盗窃公私财物数额较大或者具备多次盗窃等情节的，构成盗窃罪。他特别指出，该行为不应认定为诈骗，因为诈骗的对象是人而不是物。

对于收件人损失的责任承担问题，廖建勋表示，作为快递企业，在将快递物品交付收件人之前，负有妥善保管义务，由于合同约定外的任何原因导致收件人没有收到快递物品，则快递公司构成违约，应承担违约责任。由于快递公司与快递柜运营方又构成另一合同关系，所以快递公司在向收件人承担违约责任后，可向快递柜运营方索赔损失，后者则可以向实施盗窃行为的人索赔损失。