近日,南都对《App人脸识别不是只拍脸?专家揭秘审核后台能看到啥》的报道引起了公众的关注。有网友表示,一些从事背景审核的朋友表示,在审核过程中可以看到很多人在洗澡或者没穿衣服,所以提醒公众在使用APP的人脸识别功能时一定要穿衣服,因为相机不仅收集人脸。人脸识别前后对比图。对此,南都记者核实,人脸识别时上传的图像确实不只是人脸部分,而是摄像头能够捕捉到的整个区域。但一般来说,人脸识别技术开发企业只是提供脱敏签名给技术使用者进行比对,不会传输其采集到的原始人脸图像。尽管如此,公众对面部识别图像泄露的质疑和担忧仍然普遍存在。人脸识别采集的图片会上传吗?谁能看到我的头像?上传的人脸图片会保存多久?我的面部图像数据将用于什么用途?对此,南都与多位专家、资深从业者进行了对话,揭开了上述问题的秘密。一个问题:人脸识别采集到的图片会全部上传吗?据南都此前报道,一家头部人脸识别技术提供商表示,现在提供人脸识别技术的大公司都采用了隐私计算技术,一般只向使用技术的公司提供脱敏签名进行比对。传输原始图像。脱敏图和原图有什么区别?据了解,从技术角度来看,人脸识别算法的核心是利用人脸特征值代替人脸图像进行对比识别。人脸识别算法流程图。具体来说,来自网络的图像是先采集人脸图像,然后利用图像识别技术对人脸进行定位并提取特征点,再将人脸图像转换成计算机可以识别的一串数字,即人脸特征值。最后与系统中已有的特征值进行比较。因此,要实现成功的比对,最重要的是获取用户的人脸特征值。《信息安全技术 人脸识别数据安全要求(征求意见稿)》定义了与面部相关的术语。理论上,如果人脸特征提取可以在本地进行,即人脸图片在上传到后台之前已经转换为人脸特征值,那么就不需要上传原图,直接使用提取出来的人脸特征值与后台存储的原始人脸特征值进行比较。事实上,已经有一种方法可以实现这一理论——边缘计算。该算法强化了设备端的计算处理能力,使其搭载的人脸识别功能无需依赖云端服务器即可在本地完成验证,避免了费时费力的图片上传,缩短了验证所需的时间。认出。但上述技术提供商指出,本地验证意味着本地设备上的芯片必须升级为具有相关计算能力的芯片,成本会增加,商业利润平衡可能被打破。“所以现在最常用的方法就是将图像传到后台进行比对,然后定时清除。”中国电子技术标准化研究院网络安全研究中心测评实验室副主任何彦哲提供了一种判断人脸图片是否上传到后台的简单方法:“如果人脸识别成功后,网络断开,不会上传;如果不能被互联网识别,则必须上传。“对于不上传图片的人脸识别——比如刷脸解锁手机,自然不存在用户人脸信息被后台看到的风险。但对于需要上传图片的人脸识别,客观来说,即使如果使用加密技术,不能绝对排除被别人看到的风险第二个问题:谁能看到我的人脸图像?在之前的报道中,很多网友担心自己没有穿衣服的照片会被人脸识别背后的审核员看到所以,哪些情况会触发人工审核机制,使用频率如何?人工审核官方可以调取原图中国传媒大学计算机与网络空间安全学院一位老师表示,据他了解,正规公司只有在人脸识别触发风控规则时,才会采用人工审核。前述技术提供者还表示,能否在后台看到图像取决于企业使用的风控规则。“比如一天内异地刷脸登录,前后位置信息相隔8000公里。”在电信诈骗案件中,公安机关还需要人工调取原始图像凡因人脸识别诈骗导致的人脸识别登录、交易二次确认时收集的。图片的入口,但实际操作起来不太容易人工检查。多位专家表示,正规企业都会设置权限控制和相应的管理制度,比如多级授权审批、定期删除图片等,至于触发人工审核的频率,上述技术提供者表示,这不是常见的。一般是有问题的数据会被重新审核或者人工提交。“但一定不能多,否则需要的劳动量会比较大。”他强调,即便如此,市民在进行人脸识别时,还是要注意自己的容貌。三问:上传的人脸图像需要多长时间是否保留?合规性评估结果显示,只有7款APP标明了具体的存储期限,其他APP仅在隐私政策中声明将在“实现目的所必需的期限和法律规定的期限内”进行存储,上述技术提供商透露,他们会定期清图,但并未明确回答“定期”的期限是多长时间。至于其他公司或平台是否存储人脸原图,存储多长时间他们,这取决于业务需求。一位资深业内人士表示,一般来说,人脸识别在获取到上传的图片并提取面部特征值后,应该删除原人脸图片,否则会在服务器上存储大量的人脸图片,占用服务器存储容量。“这些图像已经不能产生其他价值了,除非公司一开始就想把这些图像用于其他目的,比如用用户的照片合成假身份证。”该人士还指出,虽然该公司可能会定期删除存储的人脸图像,但可能会存储人脸特征值。与包含许多像素值的图像相比,只有一串数字的人脸特征值占用的存储空间要小得多。事实上,国家对于人脸图像的存储方式早有规定。去年出台的《信息安全技术 个人信息安全规范》(GB/T35273-2020)对个人敏感信息的传输和存储规范进行了细化,其中明确:原则上不存储个人原始生物识别信息,但保留个人生物识别信息的摘要信息可以存储信息。《信息安全技术 个人信息安全规范》(GB/T35273-2020)相关条款。今年4月公布的国家标准《信息安全技术 人脸识别数据安全要求(征求意见稿)》也提出,除非数据主体另行书面授权同意,否则数据控制者不得存储人脸图像,并应在核实或识别后立即删除人脸图像。四个问题:我的人脸图像数据可能被用来做什么?生物识别信息具有唯一性和不可更改性,一旦泄露,意味着终生泄露。《信息安全技术 人脸识别数据安全要求(征求意见稿)》要求数据控制者在进行人脸验证或人脸识别时,人脸识别数据不得用于身份识别以外的目的,包括但不限于评估或预测数据主体的工作表现、经济状况、健康状况、偏好、兴趣等。《信息安全技术 人脸识别数据安全要求(征求意见稿)》在相关条款中。曾有业内人士指出,人脸识别的安全隐患之一是企业在未经用户许可的情况下收集用户人脸数据并将其用于商业用途。他透露,在行业野蛮发展时期,确实有一些企业利用人脸识别数据进行数据标注,但现在合规的企业不太可能这么做。“一是对龙头企业的技术水平没有要求,二是有法律限制。”但对于中小企业,他坦言“不排除不遵守规定的行为”。为什么有些公司选择保留人脸数据而不是立即删除?何彦哲猜测,有些公司可能是想用数据来训练机器模型,提高算法精度,“我觉得删了有点可惜。”深圳大学计算机视觉研究所所长沉琳琳表示,有的企业还会保留数据进行备份,以备日后出现问题时用于审计,以备不时之需。撰稿:实习生李梦涵、南都见习记者李亚宁、记者马嘉璐
