每經(jīng)編輯 王星平    

無(wú)人便利貨架資料圖 CFP圖

每經(jīng)記者 王星平 每經(jīng)編輯 文 多

“刷臉”安全嗎？2017年央視“3·15晚會(huì)”曝出的人臉識(shí)別安全隱患，給市場(chǎng)預(yù)留了一個(gè)大大的問號(hào)和感嘆號(hào)。

也正是2017年，“無(wú)人零售”的異軍突起，讓“刷臉”消費(fèi)成為新的風(fēng)向標(biāo)。不僅如此，在各種無(wú)人化消費(fèi)場(chǎng)景中，消費(fèi)者所有的消費(fèi)軌跡都開始被人工智能等科技一一記錄，零售產(chǎn)業(yè)鏈的全面數(shù)據(jù)化已經(jīng)成為無(wú)人零售背后的戰(zhàn)略核心。那么，對(duì)消費(fèi)者而言，無(wú)人零售信息安全有保障嗎？

時(shí)值又一年“3·15”臨近，《每日經(jīng)濟(jì)新聞》記者特別針對(duì)“無(wú)人零售”這個(gè)零售創(chuàng)新升級(jí)探索新風(fēng)口的信息安全，進(jìn)行了全面深入的調(diào)查采訪。

消費(fèi)者信息被“全”記錄

早上，你“刷臉”進(jìn)入一家便利店，店中沒有售賣員，和往常一樣，你挑選了自己最喜歡的面包和咖啡，不需要人工結(jié)賬，靠“刷臉”就可以自動(dòng)結(jié)算，即拿即走……如今，這樣的生活已經(jīng)隨著無(wú)人零售的到來(lái)變成現(xiàn)實(shí)，并逐漸成為人們?nèi)粘Ｉ畹囊徊糠帧?/p>

“無(wú)人零售”這一概念自2016年提出，就掀起了創(chuàng)業(yè)熱潮。2017年在資本助推下，作為未來(lái)零售的一個(gè)重要突圍方向，“無(wú)人零售”更加成為市場(chǎng)的“寵兒”。據(jù)業(yè)界不完全統(tǒng)計(jì)，截至去年底，我國(guó)已有約138家無(wú)人零售企業(yè)，其中57家獲得融資，總?cè)谫Y額超48億元。除了無(wú)人便利店，無(wú)人超市、無(wú)人貨架等一系列無(wú)人消費(fèi)場(chǎng)景都相繼涌現(xiàn)。

作為“無(wú)人零售”中最重要的場(chǎng)景之一，無(wú)人便利店是智能化程度最高的場(chǎng)景——但也正是因其高度的智能化，可以實(shí)現(xiàn)對(duì)消費(fèi)者信息的全記錄。

以最早推出無(wú)人便利店，廣為人知的Amazon Go為例，消費(fèi)者從“刷臉”進(jìn)入店內(nèi)的那一刻開始，身份、消費(fèi)記錄、支付記錄等信息即被記錄，甚至在店中或貨架前停留的時(shí)間和次數(shù)，每次拿起/放回的商品類型、個(gè)數(shù)等行為軌跡，也會(huì)被一一記錄。

無(wú)人便利店的“刷臉”安全嗎？

無(wú)人零售對(duì)消費(fèi)者信息采集的全面程度已經(jīng)空前，但《每日經(jīng)濟(jì)新聞》記者注意到，公眾對(duì)其中信息安全的關(guān)注仍然不夠。在記者的隨機(jī)采訪中，消費(fèi)者對(duì)無(wú)人零售信息安全所知的，也基本僅限于2017年央視“3·15晚會(huì)”所提到的人臉識(shí)別安全隱患。

那么，無(wú)人便利店的“刷臉”安全嗎？

回顧那場(chǎng)晚會(huì)現(xiàn)場(chǎng)，主持人利用兩部手機(jī)、一張正面照、一個(gè)換臉APP，幾分鐘內(nèi)便完成了用戶人臉的“復(fù)制”。接下來(lái)，主持人憑借這個(gè)“復(fù)刻版”的用戶面部，輕松完成了一名觀眾的人臉識(shí)別系統(tǒng)檢測(cè)，并成功登陸了該觀眾的賬戶。

2017年央視“3·15晚會(huì)”截圖

據(jù)人臉識(shí)別資深專家、中科院博士李子青公開表示，當(dāng)時(shí)晚會(huì)人臉識(shí)別復(fù)制演示用的是face2face技術(shù)，通過(guò)人臉關(guān)鍵點(diǎn)定位和變形算法，實(shí)現(xiàn)對(duì)圖片或視頻中人物表情和動(dòng)作的操縱控制，從而達(dá)到“盜臉”的目的。

如此順利的“盜臉登錄”確實(shí)不免讓公眾對(duì)人臉識(shí)別等身份驗(yàn)證存在顧慮。無(wú)人便利店的刷臉和上述刷臉有何不同？又如何避免這種安全隱患的發(fā)生？

據(jù)《每日經(jīng)濟(jì)新聞》記者了解，國(guó)內(nèi)對(duì)標(biāo)亞馬遜Amazon Go的無(wú)人便利店簡(jiǎn)24，便是通過(guò)“攝像頭+感應(yīng)器”設(shè)備進(jìn)行人臉識(shí)別。簡(jiǎn)24創(chuàng)始人兼CEO林捷接受《每日經(jīng)濟(jì)新聞》記者采訪表示，人臉識(shí)別在無(wú)人便利店中的使用一般只是在出入店門的身份驗(yàn)證，并且通常只是正臉的采集。相比手機(jī)對(duì)人臉各個(gè)角度的采集數(shù)據(jù)更簡(jiǎn)單。

也就是說(shuō)，無(wú)人店的人臉識(shí)別數(shù)據(jù)只能用于無(wú)人店身份識(shí)別，放到其他場(chǎng)景，一般會(huì)需要更多維度的臉部數(shù)據(jù)。甚至在林捷看來(lái)，“不會(huì)構(gòu)成什么風(fēng)險(xiǎn)”。

同時(shí)，有業(yè)內(nèi)人士進(jìn)一步解釋，盡管人臉比對(duì)的精確度可以達(dá)到較高水平，但在實(shí)際應(yīng)用過(guò)程中，很多企業(yè)考慮到成本等因素，使用的人臉識(shí)別系統(tǒng)算法相對(duì)比較簡(jiǎn)單，雖然破解起來(lái)并不困難，但也正是為了保證安全性，往往不會(huì)單一的被嵌入到消費(fèi)場(chǎng)景中。所以無(wú)人便利店的刷臉也并非想象中“危險(xiǎn)”。

除了“刷臉”還有更多新問題

在業(yè)內(nèi)人士眼中，當(dāng)前無(wú)人便利店“刷臉”安全隱患并不如此前央視“3·15晚會(huì)”曝光的那么危險(xiǎn)。但是，未來(lái)無(wú)人零售所呈現(xiàn)的智能化應(yīng)用，遠(yuǎn)非一項(xiàng)人臉識(shí)別身份驗(yàn)證，因此無(wú)人便利店采集消費(fèi)者數(shù)據(jù)的方式與時(shí)間點(diǎn)也并非單一，信息安全仍不容忽視。

無(wú)人便利店資料圖 據(jù)CFP

有無(wú)人便利店從業(yè)人士就對(duì)《每日經(jīng)濟(jì)新聞》記者指出，目前市場(chǎng)上部分無(wú)人值守貨柜的智能鎖安全模塊加密程度不高，可能只需要在這種智能鎖上安裝一個(gè)硬件，就可以盜取用戶信息，是值得注意的。

同時(shí)，北京億達(dá)(上海)律師事務(wù)所律師董毅智提到，當(dāng)消費(fèi)者進(jìn)入無(wú)人店鋪消費(fèi)，消費(fèi)者的軌跡信息商家是否就可以使用？如果使用，是否需要提前告知？用在哪些領(lǐng)域、邊界何在？這些問題在之前的法律條款中也并沒有涉及，都是新生的問題。

“無(wú)人便利店需要在消費(fèi)者進(jìn)入店內(nèi)或者使用移動(dòng)APP時(shí)，對(duì)消費(fèi)者有非常明顯的獲取消費(fèi)者相關(guān)數(shù)據(jù)的提示，至少是要在消費(fèi)者首次進(jìn)入到這一場(chǎng)景時(shí)要有非常明顯的風(fēng)險(xiǎn)提示，不然就不屬于明示同意。”談及風(fēng)險(xiǎn)，董毅智對(duì)《每日經(jīng)濟(jì)新聞》記者進(jìn)一步表示，他認(rèn)為這實(shí)際上在“合同法”里也是有明確的，因?yàn)檫@屬于一種典型的合同條款。

無(wú)人技術(shù)規(guī)范標(biāo)準(zhǔn)正在路上

在記者采訪的多數(shù)業(yè)內(nèi)人士看來(lái)，智能化與信息安全風(fēng)險(xiǎn)沒有必然的關(guān)系。在無(wú)人零售領(lǐng)域，要想真正保護(hù)用戶信息，最重要的是要有監(jiān)管協(xié)議來(lái)規(guī)范技術(shù)標(biāo)準(zhǔn)。

而可喜的是，當(dāng)前包括宏觀層面、行業(yè)在內(nèi)，都開始關(guān)注和制定一些標(biāo)準(zhǔn)來(lái)規(guī)范無(wú)人零售中運(yùn)營(yíng)商、消費(fèi)者的安全問題。

2017年10月24日，中國(guó)百貨商業(yè)協(xié)會(huì)無(wú)人店分會(huì)公布了《中國(guó)無(wú)人店業(yè)務(wù)經(jīng)營(yíng)指導(dǎo)規(guī)范（意見征詢稿）》，要求無(wú)人店經(jīng)營(yíng)者應(yīng)在提交報(bào)備的同時(shí)提供安全性審核材料。

董毅智同時(shí)告訴記者，2018年1月24日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)制定和歸口管理的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T35273-2017)（下簡(jiǎn)稱《規(guī)范》）已經(jīng)正式發(fā)布。在個(gè)人信息收集方面，《規(guī)范》明確，不得隱瞞產(chǎn)品或服務(wù)所具有的收集個(gè)人信息的功能等；對(duì)于個(gè)人敏感信息的收集，《規(guī)范》指出，應(yīng)取得個(gè)人信息主體的明示同意，應(yīng)確保個(gè)人信息主體的明示同意是其在完全知情的基礎(chǔ)上自愿給出的、具體的、清晰明確的愿望表示。

《信息安全技術(shù) 個(gè)人信息安全規(guī)范》文件截圖

該《規(guī)范》將于2018年5月1日實(shí)施。這被認(rèn)為也同樣適用于無(wú)人零售的信息采集。

“法律界對(duì)于信息安全的重視在逐步提升，但由于無(wú)人零售相對(duì)還比較新，加上法律相對(duì)于商業(yè)具有天然的滯后性，所以這塊目前法律界還只是先以一些小型化的規(guī)范來(lái)嘗試。”董智毅說(shuō)。如何平衡好由科技所帶來(lái)的方便與安全之間的關(guān)系，對(duì)未來(lái)無(wú)人零售的長(zhǎng)遠(yuǎn)發(fā)展和消費(fèi)者權(quán)益保護(hù)都顯得越來(lái)越為重要。