近日，國內某公司在杭州造物節上公布了一段李佳琦帶貨的直播視頻，不過這次直播的并非李佳琦本人而是AI而成的。通過AI技術合成李佳琦影像并且配上其日常帶貨名言，現場演繹了一段眼藥水和方便面的帶貨直播。

雖然官方強調本次的合成視頻獲得了李佳琦本人授權，并且此項技術并不面向民間，但隨著各種面部乃至整人的AI合成產品越來越多，人們對于個人隱私泄露的恐慌也慢慢浮現。

前段時間，上海信息安全行業協會副主任張威在2019年國家網絡安全宣傳周全民體驗日活動上向公眾提示了剪刀手泄露指紋信息的風險，迅速引起網友熱議。

他表示，1.5米內拍攝的剪刀手照片，基本上能100%還原出被攝者的指紋；在1.5米-3米的距離內拍攝的照片，能還原出50%的指紋。

有網友甚至直言，“人的指紋一生都不會變化，一旦泄密，就是永遠泄密，所以市面上那些打著指紋安全旗號的數碼產品我都是不敢用的。”

剪刀手照片是否真的有被提取指紋的可能？生物識別技術是否真如人們恐慌一般成為隱私泄露的重災區？網友熱議的背后是人們關于讓渡安全還是讓渡隱私的矛盾。

理論上可行，實操很難

對此，圖正科技董事長、創始人劉君對CV智識解釋，剪刀手拍照泄露指紋信息在理論上可行，但操作起來很難。

實操很難的一個原因就是：技術門檻。

他指出，目前的指紋識別存在一個等比例變化的問題，這就意味著從現場取到的指紋必須按照1:1比例復制出來，這本身需要專業的提取技術、提取設備以及復制設備等，而如果剪刀手照片經過處理之后還要考慮形變的問題。

一位生物識別領域專家對CV智識直言，這么高門檻的犯罪活動一般針對的是價值比較高的目標，普通人被盜的機率會小一些。

但技術門檻高并不意味著絕對安全。

“大家在設計這些指紋識別產品系統的時候，只是把它設計在一個安全維度上就可以了，讓不法分子攻擊時候的攻擊時間成本和攻擊難度到一定的程度就可以了，安全是一個沒有邊界的問題。”

中國科學院院士鄭建華曾對媒體表示，目前指紋識別安全鏈條還不夠完整。

去年，網上一篇《一塊橘子皮就能秒開你的手機指紋鎖，還能轉賬付款》的文章及視頻就曾引起了網友關注。

一位用戶由于手機摔到地上，導致指紋觸摸鍵出現了裂紋，之后其他人居然都可以用指紋解鎖他的手機，手機支付什么也都可以了。

后來經過蘇州一家科技公司技術人員的試驗發現，破解指紋驗證的關鍵在于指紋觸摸鍵上的圖案。事實上，指紋傳感器接收到的信息包含指紋貼上的導電涂層，并不完全是機主手指的指紋。在進行指紋比對時，只要部分信息相同就能通過驗證。

只要指紋觸摸鍵上的圖案是擋在手指前面，軟件系統就會收到已經有了這些圖案成分的圖，“它收了這個圖，認證也是個圖”，而裂痕本身會在傳感器上形成一些圖案，這名用戶將指紋覆蓋在裂痕上成功解鎖開機幾次后，別人便都可以隨意開機了。

一位指紋識別公司的技術人員告訴CV智識，利用指紋識別系統上的軟件漏洞進行攻擊是當前指紋識別比較有效的一種方式。

劉君指出，目前行業內提高生物識別安全的路線有兩種，一種是增加獲取生物信息的難度，比如研發骨骼識別、靜脈識別等產品，這些生物特征信息都不在表面，通過正常的拍個照片，杯子殘留等是無法獲取的；另外一種則是增加偽造難度，比如加入活體指紋檢測技術或者增加3D人臉識別的復制難度等。

除了產品設計本身的安全度提高之外，人們平時該如何避免隱私泄露呢？

除了不向陌生人提供自己的指紋、不在不可信的設備上錄入自己的指紋，不在網上亂發帶有自己指紋信息的照片之外，劉君還提出一個建議，在用完指紋鎖或者手機之后，用手在傳感器表面上擦一下，通過這個動作，指紋圖像就會完全模糊化了，也就沒有了任何提取價值。

不只剪刀手

這并不是生物識別技術首次受到安全質疑。

隨著計算機、光學、聲學、生物傳感器和生物統計學原理等技術的發展，利用人體固有的生理特性，如指紋、人臉、虹膜等，以及行為特征，如筆跡、聲音、步態等來進行個人身份鑒定的現象越來越常見。

其中應用最為廣泛的是指紋識別、人臉識別。

指紋識別并不新鮮，多年前指紋識別就應用在考勤、門禁、保險箱柜等領域，隨著iPhone5s的推出，指紋識別才迎來了一個跳躍性發展的時期。

最初的手機安全鎖解決方案是設置開機密碼，一般是 4 位數或者是 6 位數的密碼，之后流行的是圖案解鎖，相比開機密碼，圖案解鎖破解的幾率更高。iPhone5s之后，指紋解鎖逐漸成為各類手機的標配。

之后指紋識別場景進一步挖掘，已經廣泛應用于各類識別身份的渠道，例如指紋支付、指紋門鎖等領域。

但就在2019年5月，中國消費者協會等對29款主流智能門鎖商品開展比較試驗時發現，48.3%的樣品密碼開啟存在安全風險，50%的樣品指紋識別開啟存在安全風險，85.7%的樣品信息識別卡開啟存在安全風險。

從2017年開始，生物識別的風向標轉向了人臉識別：手機刷臉解鎖、刷臉支付；火車站、機場刷臉檢票；銀行開戶時需要人臉識別確認，現在還愈發向娛樂化發展，比如之前刷屏的換臉APP—ZAO。

“ZAO”在App協議中要求獲得用戶人臉照片“完全免費、不可撤銷、永久、可轉授權和可再許可的權利”，這意味著用戶上傳到 ZAO 里面的照片，ZAO 除了可免費使用并修改你的肖像，還可以將它任意授權給自己想授權的第三方，當做信息進行販賣，而且是永久的、不可撤銷的。

倘若這一數據被居心叵測的人利用，極有可能成為新的犯罪工具，特別是對于騙術識別能力差的老人，很容易就被犯罪分子偽裝的“子女”、“親人”騙走錢財。

目前，許多高校宣傳的“刷臉時代”：門禁刷卡、食堂刷臉、人臉識別考勤等也受到了質疑。前些時間，一張帶有“MEGVII曠視”圖標、面向校園學生學習狀態的視頻監控圖像也在網絡上引發熱議，網上對于通過人臉識別監控教室內學生一舉一動的批評聲浪很高。

這與ZAO的爭議類似：技術帶來效率，帶來更多的娛樂方式無可厚非，但前提是需要界定什么數據是隱私？什么數據可開放？

無論是指紋還是人臉等生物識別數據一旦被泄露，后果不可想像。畢竟，每一個生物識別特征的背后都是一個人現實身份的確認。

未來：技術融合、立法快行

隱私問題凸顯，并不意味著人們因此因噎廢食，生物識別技術依舊會是安全的一道鎖，但這把鎖未來會如何發展呢？

“融合”是CV智識在與行業人士交流過程中聽到最多的方案。

比如當用戶回到家里，走到距離門兩米遠的位置，人臉識別系統啟動，人臉識別成功之后，指紋識別傳感器亮起來，用戶直接去按指紋解鎖，雖然整個過程跟單純的指紋識別并無區別，但在這個過程中卻進行了多重認證。

目前與大家財產安全極為相關的手機支付系統便是需要多因素驗證，不會簡單根據指紋或者口令這些東西來識別人的身份。

但劉君也表示，在生物識別技術之前的年代，安全性和便利性一直存在矛盾。生物識別技術出現之后，核心解決的是便利性的問題，兼顧安全行為。現在大家追求的是怎么變得更懶而不是更復雜，因此在解決更多的安全鏈條上的問題之后，單一的生物識別技術仍然是會是主流。

也可能會催生更加新奇的生物特征識別，比如利用每個人獨特的眼球運動來進行身份識別；基于耳朵識別的手機App，用戶可以通過把手機貼在耳朵和臉頰部位來進行識別；基于心跳識別技術的Nymi腕帶。..。..

除了從技術、產品設計、用戶自身防范角度之外，立法是另一個保護措施。

比如，美國伊利諾斯州和德克薩斯州就通過了生物特征識別法，要求收集和使用人臉識別的公司和個體必須遵循一套基本的隱私協議。包括在收集前得到知情同意、規定數據保護義務和限制保留位置、禁止從生物特征數據中獲利等。

我國也開始探索數據相關立法。國家互聯網信息辦公室在今年5月發布的《數據安全管理辦法（征求意見稿）》中規定：“如果收集使用規則包含在隱私政策中，應相對集中，明顯提示，以方便閱讀。另僅當用戶知悉收集使用規則并明確同意后，網絡運營者方可收集個人信息。”

這依然有很長的路要走。