如今电影里的设想已经出现在我们真实的生活中 。 上述报道中 ， 尽管兜售脸部信息的卖家称 ， 自己并未出售相关的个人身份证等信息 ， 但张加万认为 ， 这依旧存在着很大的个人信息泄漏的风险 。

　　通过不同数据库的交叉比对 ， 很容易证明一个人的身份 。 他举例说 ， 比如一个人留的快递收件人姓名是假名 ， 但他的住址信息在其他数据库中依然有其真实身份信息 ， 只需要几个数据库进行比对 ， 则很容易找到两个名字之间的关联 。 有了人脸信息 ， 可以实现实时换脸 ， 直接解锁手机、打开门禁、刷脸支付 ， 倘若再配合音频仿真技术 ， 则更具有迷惑性 ， 可能产生一系列的安全问题 。

　　对于人脸识别技术的运用 ， 国际社会早已有所讨论 。 2013年联合国大会通过决议——“数字时代的隐私权” 。 其中强调 ， “尽管对公共安全的关注可说明收集和保护某些敏感信息的合理性” ， 但各国政府需充分遵守其按照国际人权法所承担的义务 ， 各国应“设立或维护现有的独立有效的国内监督机制 ， 使其能够确保国家通信监控、通信截获以及个人数据收集工作具备适当的透明度并接受问责” 。

　　不久前 ， 科技巨头聚集地——美国旧金山通过法案 ， 成为美国第一个禁止警察和当地政府机构使用人脸识别的大城市 。 这个法案也引起了不少争议 ， 反对者认为 ， 不应该完全禁用 ， 而应该对如何使用这项技术进行更细致、更全面的规范 。

　　技术显然远远“跑”在了监管的前面 。 目前在大部分国家 ， 仍然没有关于人脸识别技术及其数据使用的相关立法 ， 人们不知道这些属于自己的数据信息被收集到哪里 ， 又将被如何使用 。 即使对从事人脸识别技术的研究人员 ， 也看不清其未来发展将走向何方 。 正如人们往往只看得见浮现于大海中的部分冰山 ， 而隐藏在海面以下的才是更巨大的冰山 。

　　加强人脸特征信息全链条防护

　　“技术是一把双刃剑 。 ”中国青少年科技辅导员协会人工智能教育专委会一位委员在接受采访时表示 ， 一些隐藏的安全隐患也可能来自误操作等其他原因 。 比如智能摄像头将数据向云端上传时需要网络传输 ， 这个过程可能会出现数据泄露；也有可能数据管理者与一些不具备足够服务能力的第三方合作出现安全漏洞 。 当然也不排除一些人为的因素 ， 都可能会导致人脸数据的泄漏 。

　　9月20日举办的金融网络安全论坛上 ， 央行科技司司长李伟表示 ， 在网络空间仅依靠人脸等单一特征进行金融交易验证 ， 存在严重交易隐患 。 金融机构在相关交易时 ， 人脸数据采集应提前告知用户信息使用的方式 ， 明确获得客户授权 。

　　张加万也提醒 ， 现在对于人脸数据的科普还远远不能让人们充分意识到其隐藏的风险 ， “很多客户根本看不懂那些授权文件里的内容代表哪些具体内涵 ， 但为了使用那些服务 ， 还是同意了授权 。 ”

　　“不要简单地将人脸特征作为唯一的交易验证因素 ， 须根据风险等级结合用户口令等其他因素进行多因素认证 。 ”李伟表示 ， 人脸属于弱隐私生物特征 ， 信息误用风险比较大 。 部分机构高估了弱隐私特征的识别作用 ， 在网络空间仅依靠单一特征进行金融交易验证 ， 存在严重隐患 。 这是一个需要引起注意的问题 ， 张加万也在各种场合呼吁 ， 在技术仍存在风险的时候 ， 别太急于广泛应用于各种商业领域 。

　　从与老百姓钱袋子直接相关的人脸识别支付应用角度 ， 李伟认为目前线下应用风险相对可控 ， 但也应遵循“用户授权、最小够用”“表达意愿、多重认证”以及“风险补偿、全程防护”原则 。 他建议要主动建立健全风险赔付资金、保险计划、应急处置等风险补偿机制 ， 综合运用多种信息技术 ， 加强人脸特征信息端到端的全链条安全防护 。