本文作者:周继凤、 唐亚华,编辑:黎明,题图来自:视觉中国


你的脸有可能被偷了。


今年的3·15晚会上,央视告诉了普通消费者一个惊悚的事实——你的脸,随时都有可能被“偷”。


在央视的报道里,包括科勒卫浴、宝马、江苏大剧院在内的20多个知名品牌或机构,通过安装人脸识别摄像头,非法采集甚至滥用人脸信息。这些商家掌握了人脸信息,能洞察你的年龄、身份甚至情绪以及消费习惯。


你在这些商家面前,个人隐私暴露无遗。


事后,科勒卫浴回应:公司已连夜拆除摄像头。


深燃进一步深入研究发现,不止是科勒卫浴们,市面上的很多知名品牌,比如KFC、喜茶、良品铺子、顺电,甚至是小米、苹果线下门店……都曾安装过人脸识别摄像头。安装人脸识别摄像头,搜集消费者信息,似乎成为了线下零售店公开的秘密。


这也就意味着,在这样一个信息化时代,消费者一方面享受着极为便捷的服务,一方面又成为了待宰的羔羊——在不知不觉间被窃取了人脸信息。


而且,由于人脸与个人身份信息绑定,一旦丢失人脸信息,个人将面临难以想象的后果。事实上,因为缺乏具体的法律法规,越来越多普通人的人脸信息在互联网上裸奔,甚至因此滋生了一条人脸信息倒卖黑色产业链。


今天,深燃扒一扒人脸识别产业,探究一下究竟谁在盗用我们的人脸信息,谁又提供了这样的技术服务,普通消费者该如何维权。


谁在盗用你的人脸信息?


设想这样一个场景,你闲来无事走进一家门店,看了几眼觉得没有想买的东西,转头就离开了。但是你从进门开始,商家安装人脸识别功能的摄像头就已经开始工作了,它在你毫无知觉的情况下已经抓取并记录了你的人脸信息,甚至通过人脸掌握了你的性别、年龄、职业、心情状态等等信息……


这并非小说或者电影里虚构的场景,这样信息裸奔的案例,确确实实发生在现实生活中,就发生在你我身边。


央视3·15晚会曝光了这样惊悚的案例:科勒、宝马等20多家知名企业在门店内安装人脸识别摄像头,在未经消费者知情的情况下,窃取消费者人脸信息,标注顾客第几次到店、男女、年龄等信息,从而进行营销分析。


晚会上,央视点名了四家企业,深燃顺藤摸瓜查询了其中一家为企业提供人脸功能摄像头的公司——万店掌。从官网中,深燃发现仅仅万店掌这一家公司,合作的客户就遍布医药、鞋服、餐饮、快消、家居、数码等各行各业。其官网中介绍,万店掌陆续为1000多家知名品牌、30多万家门店服务。一些消费者耳熟能详的餐饮头部企业如喜茶、和府捞面、KFC,数码线下实体店如京东、华为、小米、苹果等都与万店掌有过合作。


而这些线下门店,几乎遍布当下各个商圈,这也就意味着,消费者的人脸信息随时都有可能被偷走。


事实上,在数字经济时代里,对于商家来说,数据是一笔巨大的财富。


一家广告技术公司的负责人就曾指出:“我们的钱、预算怎么分配,在曝光层面如何推动用户去选择产品,还有最终临门一脚——怎么让用户购买。整个路径的预算分配,可以有更科学的做法,即用更多的数据做出更好的决策。”而AI则是很好的抓手。


在基于AI的人脸识别技术不断成熟的当下,人脸识别不仅能够辨识一些生物特征,比如男女性别、年龄等,甚至能通过人脸自动生成编号,对用户的行为进行评级。


“只要有了人脸识别的ID号(即FRID),去匹配一些其他信息,比如手机设备号,再去把这个设备号数据库里边的一些标签或画像拿来做匹配,然后获得对这个FRID和这个人更丰富的了解。”一家广告技术公司Sizmek的中国区负责人就曾在发表演讲时指出,有了更为丰富的信息,商家就能够识别出客户是贵宾、老顾客还是新客户,甚至预测出消费者的消费行为,从而进行精准营销。


如今,越来越多的线下商家开始把人脸识别作为精准营销的手段,越来越多的场景在当事人没有感知的情况下,悄无声息地获取人脸信息,成了商家“熟客识别”、营销定位的主要数据来源。


不止是商场线下门店,不少地区上线了人脸识别广告屏,这些广告屏通常设置在电梯间旁,路过电梯间的人们会被摄像头捕捉人脸信息。除此之外,还有些房地产售楼部都安装了人脸识别系统,通过对客户进行人脸比对,防止“飞单”。


谁在背后提供服务?


究竟谁向这些商家提供了所谓的“人脸互动营销解决方案”?央视的报道给我们指出了方向——在港汇恒隆Max Mara专卖店安装的摄像头来自万店掌公司,无锡宝马汽车4S店安装了瑞为公司的人脸识别摄像头。除此之外,报道中的涉事企业还包括悠络客、雅量科技


这些公司都是什么来头?


天眼查显示,2017年6月,万店掌完成金沙江创投1500万元A轮投资。去年5月,万店掌宣布完成8000万元B轮融资,由德同资本领投,远海明华、苏高新跟投,并获得多家银行累计5000万元授信。其中,著名投资人朱啸虎是董事。


根据官网,万店掌打造了一套针对连锁企业运营管理的高效运营系统,通过AI等技术为零售门店提供智能巡店、人脸互动、客流统计、会员识别、考勤门禁等服务。而根据悠络客官网,悠络客是一家新零售新门店人工智能服务商,其通过人脸识别、人工智能、数据对比分析为零售商铺的营销、巡店和管理环节提供服务。


事实上,“相比体态识别、行为轨迹识别等更为复杂场景的识别技术来说,人脸识别相对比较简单,主要是静态场景,而且数据也比较丰富。”爱分析分析师黄勇指出。这也就意味着人脸识别的技术门槛没那么高。


技术门槛不高,就意味着其他企业好进入。而作为个人生物特征的人脸,实际上已经成为对一个人进行身份认证的重要手段,一张脸只对应一个人,这种唯一性,满足了大量需要身份认证的场景需求,也使得人脸识别的应用场景非常广泛,落地场景、商用变现都变得容易。


技术成熟,还能立马落地商用,没有哪家公司愿意放弃这块蛋糕。“营销是仅次于安防、金融行业风控的第三大人脸识别落地应用场景。”黄勇指出。这也就意味着,营销解决方案在人脸识别公司的应用非常普遍。


事实上,有媒体就曾报道发现,众多人脸识别企业,除了安防、汽车、身份验证等方案外,大多也提供了智慧商业、智慧零售、智慧营销等解决方案。即便是AI四小龙(商汤科技、旷视科技、云从科技、依图科技),也或多或少涉及了这类型服务。比如云从科技就在其官网中显示,目前涉及的四类服务之一就是“智慧商业”。其中,云从科技在助力长嘉汇购物公园数字化转型这个案例中表示,帮助接入平台摄像机数量105路,并帮助客户打通顾客线上线下数据孤岛,精准营销。


云从科技官网,显示智慧商业中的一大经典案例


并且,广证恒生在一份研报中指出:“人脸识别对场景要求非常强,产品能否达到实际使用要求,核心并不只在于算法本身,还在于对场景的深耕。”


这也给了一些小型玩家机会。打着“智能零售”旗号的企业服务商,比如上述被曝光的万店掌等等,以及营销公司、广告公司都开始打起了人脸识别的算法生意。只要是线下场景解决方案里需要用到人脸识别,其业务或多或少都会涉及到这一技术。这些公司一起助推了人脸识别技术在线下零售店的泛滥。


一次泄露,终身危险


人脸信息是人独有的生物特征,目前已经成为很多人的支付密码、账号密码等,由于用户无法更改自己的人脸信息,一旦泄露,将严重威胁用户的财产安全、隐私安全。


企业合理追求商业利益无可厚非,但必须在法律的边界内。


本次央视3·15晚会中曝光的科勒卫浴以及背后的整体方案提供商万店掌,首先是在用户不知情的情况下采集了人脸信息,且有了基本的比对,比如识别用户是第几次进店,至于后续有没有将人脸信息和用户的消费信息、个人信息匹配,甚至转卖给其他人,尚不可知。


那么,采集和使用这些信息的企业违反了哪些法律法规?


中国政法大学传播法研究中心研究员朱巍指出,《民法典》规定,用户的个人信息,包括生物识别信息,而人脸识别是一个典型的生物识别信息。在进门店的时候未经用户同意随意采集,并进行了相关处理,是典型的侵害用户隐私权和个人信息权的行为。


“此外,人的行踪轨迹、身份识别信息都是核心隐私,是敏感信息,这些权益在刑事法律中有具体的规定。如果商家把大量的人脸识别信息收集之后进行匹配,比如叫什么名字,来过店里几次,消费过多少钱的信息转卖出去,就是典型的犯罪行为了。”朱巍告诉深燃。


北京至普律师事务所合伙人李圣指出,通过安装人脸识别摄像头,获取公民个人信息,只要其超越了公民个人相应授权和许可,即可认定为“非法”。本次事件中科勒卫浴门店就是未经授权获取了用户的信息。同时,“企业非法获取公民个人信息后,如果出售或者非法提供给他人,情节严重的,构成侵犯公民个人信息罪,可以处三年以下有期徒刑或者拘役,并处罚金”。


这些已经是明确的违法行为,侵犯了用户的隐私权和个人信息权。人脸信息泄露发生在我们不知不觉中,可能追责都无从下手。


首先,人脸识别信息的泄露途径有很多,包括我们日常使用的刷脸支付、门禁、手机应用软件等,从技术来看,人脸信息采集非常简单,只要有一个摄像头,即可以源源不断地采集。


不过,如果采集的人脸信息只是孤立的信息,其实危害并不算大。但事实是,人脸信息总是存在各种各样被泄漏的风险,如数据库黑客入侵、企业内部人事倒卖交易数据等。


“我们在各个地方的消费记录,人脸识别作为一个接口,通过点和面的方式就能把所有的信息结合起来,比如你去过哪个店、消费过多少、行踪轨迹是什么、对什么商品感兴趣、联系方式是什么。这带来的后果轻则是发精准广告,重则有心人在背后可能会‘撞库’,将你的账户信息、人脸信息一对接,我们的财产安全都可能有很大的隐患。”朱巍表示担忧。


人脸识别黑色产业链还在蔓延


事实上,近几年来,网络上的人脸信息倒卖已经形成了一条黑色产业链。


早在2019年,一款名叫ZAO的AI换脸软件短暂走红。该软件只需一张照片,就能实现AI换脸,制作出表情包,出演电影片段。此举引发了大众对人脸安全问题的热议,试想,一张照片就能换脸,借着这张脸,不法分子能做多少违法乱纪的事情,这个世界将会变得多么可怕。后监管部门称ZAO涉嫌侵权,该软件随之也被下架。


但行业乱象屡禁不止。2020年7月,有报道显示,有网络黑产从业者在电商平台倒卖非法获取的人脸信息,“人脸数据0.5元一份、修改软件35元一套”,不少网友站出来表示强烈不满:“我一张脸就值5毛钱?”


而深燃在一些QQ群里找到一位倒卖人脸信息的人士,3元钱就买到了一位用户的详细身份信息和人脸照片。而且对方声称888元可以教授三色人脸活化技术外带虚拟视频机刷包。


此外,靠人脸信息赚钱的黑产分布在淘宝、百度贴吧、知乎、QQ等各种平台上,购买和打包售卖人脸和身份证信息、代过人脸识别(即将照片“活化”,生成动态视频,从而骗过人脸核验机制),庞大的利益产业链交织在这个混乱的市场上。


有技术专家告诉深燃,人脸识别黑产市场可以将拿到的平面人脸照片做出模拟真人的点头、摇头、眨眼、说话等行为,随后用这个信息实名注册市面上大多数软件,从而帮助不法分子办理网贷、实施精准诈骗等。


有媒体报道过,有骗子通过58同城人脸识别,就能发布招聘信息实施诈骗,也有人在一些社交平台通过照片活化技术通过实名认证,进行情感诈骗。


经匹配了的人脸信息一旦被盗取,我们只有一个彻底的解决办法,那就是“换脸”。


深燃在此提醒所有人,对待要求刷脸、刷身份证、填写详细个人信息的网站、软件都要小心谨慎,同时,尽量避免举着身份证拍照,一次性提供人脸和身份信息。


“保护人脸识别信息不仅仅是保护我们的脸,更多的是保护脸背后的个人信息,人脸本身就相当于一个钥匙,要保护的是钥匙背后的宝库,所以再怎么严格也不过分。”朱巍指出。


本文作者:周继凤、 唐亚华,编辑:黎明