高维

他花10万元制作3D打印口罩“复制”自己，用口罩解锁多部手机，并在支付APP上成功刷脸支付……近日，一名博主发布的测试视频引发网友担忧：刷脸支付难道没有风险？

从安防到支付，从交通到门禁，我们进入了一个“看脸”的时代。电影《碟中谍》中，用人脸面具欺骗世界的场景，似乎正在成为现实。看似更安全、更便捷的人脸识别，并非牢不可破。比如2019年8月，安徽南斗星仿真机器人科技有限公司董事长王军，3D打印了自己的头部模型，通过了某APP的人脸识别验证。被“刷脸”打脸的，不仅仅是上述实验，现实中也有相关案例：据成都市郫都区人民法院披露，有犯罪分子获取他人信息，制作“3D人脸动态图”，突破人脸识别认证系统，登录支付软件，转走2.4万余元。

虽然博主强调3D口罩“突破”付费体系的条件十分苛刻，无需过度焦虑，但媒体的跟踪调查显示，其背后的监管漏洞和法律风险不容忽视：制作者不必亲自到场，也可以在线提供人脸数据或多张人脸照片；对于3D口罩的相关业务，部分厂商报价8万至20万不等，也有厂商称，制作一个人脸口罩仅需1万元左右；更令人担忧的是，有两家公司表示，制作人脸口罩无需提供身份证信息备案。换言之，无论理论上还是现实中，这一隐患都无法完全杜绝，仍需积极防范。

此外，不同应用场景的防护程度也不同，“人脸识别安全”并不局限于支付安全，比如浙江嘉兴市不少小学生，无需真人脸识别，仅凭打印的照片便可从智能柜中取快递。毋庸置疑，与数字密码不同，作为个人信息中最敏感的“个人生物特征信息”，人脸信息具有唯一性，不可更改性，一旦泄露或被3D建模，可能引发连锁反应，损失难以有效挽回。无疑需要在源头上截断和防范风险，将相关服务限制在“最低必要”的范围内。

近年来，监管层面的一系列动作基本都遵循了这一思路：2021年，最高人民法院发布司法解释，规定不得强制将人脸识别作为出入小区的唯一验证方式；前不久发布的《人脸识别技术应用安全管理规定（试行）（征求意见稿）》也指出，若有其他非生物特征识别技术方案达到相同目的或满足相同业务需求的，应优先考虑非生物特征识别技术方案。在攻防的“猫捉老鼠游戏”中，当技术尚不够成熟时，筑起“防火墙”、拧紧“安全阀”，减少管理盲区更显重要。

网络安全为了人民、依靠人民，现在是全国网络安全宣传周，讨论3D口罩漏洞堵塞问题正当时：形成安全共识，知道风险在哪里，也是“我的脸我做主”的重要一步。