谨防被央视曝光的人脸识别软件“曲线求活”

《IT时报》记者跟踪采访了多家被央视315晚会曝光的人脸识别技术提供商，看似各家都在整改，但细看内容，发现很多家都在想办在推卸责任的基础上继续提供服务。

（《停用！零售场景人脸识别将被整顿 危险！用一张照片解开人脸识别》）

摘录部分内容：

1、目前涉及人脸收集并分析的应用已经停用，只能通过“数人头”的方式进行客流统计。

分析：摄像头还在悄悄拍摄，然后只用于“数人头”，你很难说，该系统没有保留人脸信息，或者说，该信息安全地保护了人脸及其他个人信息。

2、对已安装人脸识别的商家，根据商家自己的意愿，如果不想使用人脸识别，就通过后台升级停用人脸识别功能。

分析：任何未经用户许可的人脸信息收集，不论是否“人脸识别”，都是违法的。商家同意就保留该功能，应该重罚商家，技术提供方也有责任。

3、悠络客的解决方案是通过人体识别去重，简单来说就是对衣服颜色和款式进行辨别。

分析：改人脸识别为人体识别、衣服识别，虽然去掉了部分敏感信息，但是，1）不能保证未收集人脸信息，2）未经许可收集人体信息，同样可能侵犯了用户个人隐私。

（在软件厂商经理的手机上，实时查看人脸识别后的用户信息）

4、一位雅量科技的客户经理却表示，平台升级后还能继续做人脸识别的分析，也就是通过抓拍人脸识别消费者性别、年龄等信息并打标签，“只不过在客户电脑里将人脸信息隐藏掉，将人脸照片变成一串数值就可以了。”尽管他强调，人脸数据是安全的，经过了18层加密，但这个所谓升级，实质上依然收集了用户的信息，而这些数据对于计算机而言，本质上是一样的。

分析：首先肯定已经未经许可收集了消费者的人脸信息，第二，即使180层加密，加密的内容仍是人脸信息，仍可能被拿着钥匙的人（软件提供商和客户）获取。

5、据AI行业人士透露，一方面，多家新零售人脸识别系统供应商被监管部门介入调查，另一方面，没有被媒体曝光、没有被调查的友商生意却更好了。

分析：不是抓住的才是贼。行业监管应该针对所有企业，而非被曝光的企业。

（某软件厂商的实时数据，已服务2353个客户）

6、一家使用悠络客摄像头和人脸识别分析的智慧门店经过后台升级停用了人脸识别，但搭建该系统的技术人员告诉《IT时报》记者，他们要将人脸识别系统搭建在自己的内网上，才能保证人脸识别数据不出自己的服务器。但是，大多数连锁门店不具备这个能力，所以将人脸识别数据跑在技术提供方服务器上。

分析：这里混淆了两个概念。人脸数据和人脸识别数据，未经许可拍摄存储人脸数据已经越权。一旦引入人脸识别，对于连锁门店来说，除非连锁门店自己搭建了VPN，把数据控制在门店内部，否则，数据都是向技术方开放的，或者说，技术方只要远程提供技术支持，就很容易获得全部的用户信息。

另外，万店掌应该说一下，“在我们系统上”“累计到现在肯定上亿了”的人脸信息，都怎么处理了？其他公司已收集的信息呢？

再重复一下，人脸信息采集应遵从的三个原则：

1、非必需不采集，采集需明示，且“用后即焚”。

2、非必要不存储，存储需经审计，（1）存储有充足理由，（2）存储信息有足够的安全保障。

3、使用前（包括人脸识别前）已获得许可，包括行业许可和被采集信息的用户许可。

另外，在《IT时报》文章《停用！零售场景人脸识别将被整顿 危险！用一张照片解开人脸识别》最后，提到，“记者打印了一张自己的照片，同事用这张照片遮住脸，竟然也轻松解锁了录入了记者人脸信息的办公楼人脸识别门禁”，这并不意外，在安全等级较低的应用上，例如人流较大场合的门禁，人脸识别的安全性并不高，为了保证快速通过，这时被误识别的可能性就会高一些。