“两元钱就能够买到上千张人脸照片，5000多张人脸照片标价还不到10块钱。”

不久前，媒体对人脸识别信息安全的 道，引发了不少人的担忧。 道中，一些不法分子通过非法途径获取大量个人生活照、自拍照后，再通过照片活化软件生成动态视频，从而“骗过”人脸核验机制实施犯罪行为。

“过人脸认证”软件教学演示过程

此外，3D面具也是一种攻击途径。在相关 道中，面具很容易骗过手机的人脸识别机制，成功解锁手机。专家表示，这种面具的制作成本并不高，用3D打印技术就可以制作出精度尚可的人脸面具或头套。只要不是在极暗或极亮的背景下，通过面具或头套进行人脸识别的成功率高达3成。

目前，很多支付类、 交类、婚恋交友类以及生活服务类手机应用都需要用户进行人脸识别实名认证。黑产上游的需求方，拿到批量生成的假人脸后，可以参与平台的拉新活动、提升借款额度等进行薅羊毛。在一些婚恋交友平台，黑产还会通过注册假用户从事电信诈骗、非法引流等活动。

人脸识别安全问题如何解决和监管缺一不可

据 道，2022年全球人脸识别市场规模将会达到75.95亿美元，约合508亿人民币。截至今年10月，我国人脸识别相关企业已经突破了1万家，预计到2024年市场规模将会突破100亿元。

随着人脸识别技术在各行业各厂家的深入应用，人脸识别安全问题亟待解决。人脸识别安全需要技术和法律法规双管齐下，已经成为行业共识。

专家表示，技术方面，需要软件硬件一体化的解决方案，比如对于活体检测算法的不断优化、加强个人信息数据的存储安全管理等。

活体检测是在身份验证场景确定对象真实生理特征的技术，用来验证用户是否为真实活体本人操作，避免照片、换脸、面具、遮挡以及屏幕翻拍等常用攻击手段。目前，从技术路线上划分，活体检测分为三种，其防伪级别由低到高依次是：配合式活体检测、静默活体检测、双目活体防伪检测。

配合式活体检测是最常见的活体检测方式，是指通过眨眼、张嘴、摇头、点头等配合式组合动作，使用人脸关键点定位和人脸追踪等技术，验证用户是否为真实活体本人操作。配合式活体检测也是最常被黑产攻克的，前面提到的照片活化软件就是例子。

静默式活体检测不需要用户做任何动作，只需要自然正对摄像头三、四秒钟，就可以完成整个检测过程。静默式活体检测直接基于算法甄别纸张照片、屏幕成像、人脸面具等伪造人脸攻击，因为真实的人脸和照片相比，即使不刻意做动作，也会有微表情存在的，比如眼皮、眼球的律动眨眼、嘴唇以及周边面颊的伸缩等。与配合式相比，静默式用户体验更好，速度更快，可在无感的情况下直接进行活体检测。

双目活体防伪检测是一种“可见光+近红外”光电一体化的人脸活体检测技术。其原理在于对不同光照条件下的人脸皮肤反射的光谱信息进行分析分类，有效区别出真实人脸皮肤和其他所有攻击材质的不同。可见光技术可实现人脸快速识别，近红外成像技术具有对光照不敏感，电子屏幕无法成像，可穿透墨镜成像等特点，可更加有效地防止照片、视频、3D面具等各类手段的攻击。

魔高一尺道高一丈。目前在活体检测方面，业界主流采用硬件(红外双目摄像头)+软件(算法)结合的方式，来堵住人脸识别安全漏洞。目前，商汤科技、旷视科技、虹软科技等主流人脸识别算法厂商在活体检测算法方面不断攻坚，实现持续突破和升级优化。

譬如，旷视科技在其神行系列人脸门禁一体机上通过深度学习的方法，利用大量攻击样本，不断加强活体算法训练。每次活体检测算法的升级都要经过30万件活体物料的攻击，覆盖30大类11种光照环境，经历2000人时的测试，并且使用了对抗攻击的强化学习策略。由此训练出的算法，可以防御各种材质的照片、面具和头膜的非活体攻击。

虹软科技已经在虹软视觉开放平台上免费开放了ArcFace人脸识别SDK，赋能行业内开发者，同时，虹软还推出RGB单目活体、IR双目红外活体、3D Depth活体三种技术路线的检测方案，为企业提供不同软硬件方案组合。其中，RGB单目活体检测技术，普通RGB摄像头即可实现，成本较低，对屏幕成像和纸张照片类攻击有着良好防御性；IR双目红外活体加入了红外摄像头，对于屏幕成像和纸张照片类的防御力更加优秀；3D Depth活体检测采用结构光/TOF等深度摄像头，对屏幕、纸张和面具类攻击的防御能力最好，但是同时硬件成本也是最高的。

另一方面，当下人脸识别技术的风险点更多的是集中在存储环节。目前，我国人脸识别应用还没有统一的行业标准，大量的人脸数据都被存储在各应用运营方或技术提供方的中心化数据库中。对此，专家提出了分层授权分布式存储的数据脱敏和加密方式。被脱敏处理过的大数据不再带有个人信息，直接或间接都无法识别对应到自然人的身上。同时，人脸数据存储应该建立更严格的标准和规范，技术开发方、手机应用运营方应该在更趋严格的监管、法律以及行业规范下采集、使用、存储数据。

在监管方面，尽快推进相关法律法规的出台和完善，加强对个人信息采集、使用的法律监管，才能从根本治理人脸识别安全乱象。

《关于加强 络信息保护决定》指出了个人信息采集和使用处理的“九字原则”：合法性、正当性和必要性。专家表示，同时还要有告知的责任，个人信息的采集方必须事先告知被采集者，包括使用何种方式采集，个人信息保存的期限等等。

目前，“个人信息保护法”正在面向 会公开征求意见，草案提出在公共场所安装图像采集，个人身份识别设备，应当为维护公共安全所必须，遵守国家的有关规定，并且设置显着的提示标志。所收集的个人图像，个人身份特征信息，只能用于维护公共安全的目的的公开或者向他人提供，取得个人单独同意或者法律行政法规另有规定的除外。

此外，专家还建议，在不必要的场景下不要滥用人脸识别技术。对于一些没有明确法律规定的场景(如门禁考勤)，不宜使用人脸识别作为唯一的验证方式。

人脸识别安全关乎智能时代每一个人的切身利益。相信随着活体检测技术的不断优化，以及相关法律法规的不断完善，人脸识别会让我们用的更安心。

相关资源：Wikka高速可伸缩性软件v1.3.1-其它代码类资源-CSDN文库