“盗面戏法”：六张照片克隆一张脸

　　民声调查

　　“真人头套定制，可通过公司人脸识别系统打卡。”电商平台上，这样的宣传并不少见。

　　高仿真人脸面具，这项源于影视特效的技术，正通过电商平台悄然渗入日常生活。它既可用于医疗康复、影视娱乐等正当场景，也可能沦为伪造身份、侵犯隐私乃至实施犯罪的工具。当“刷脸”日益普及，而我们的“脸”竟能被轻易复制、佩戴，谁该为随之出现的安全漏洞负责？技术、法律与商业之间的界限，又该如何划定？

　　文/广州日报全媒体记者张慧琪

　　一张脸竟能“穿”在身上？

　　24元面具“骗过”考勤机

　　日前，多名干部被指用人脸面具“刷脸”考勤打卡。带头使用“人脸面具”刷脸打卡，“一个人拿着好几个人的面具，帮其他人签到”。此消息一出，瞬间引发热议。这样的人脸面具究竟从何而来？

　　在电商平台搜索“人脸面具”“仿真硅胶头套”等关键词，可轻易找到多家提供真人头套定制服务的商家，价格从18元到上万元不等。其中一款3D打印人脸面具销量已超过3000件。

　　记者以消费者身份咨询时，商家表示只需提供一张清晰的正面照片，即可制作对应的人脸面具，单价24元，材质为平面相册纸。被问及是否能用于公司打卡机时，商家回应称，因识别系统不同，无法保证全部成功，但确实有通过刷脸打卡的案例，可尝试使用。商家发来一段验证视频：无需佩戴，仅将面具对准某一品牌打卡设备，屏幕显示识别成功。在该商品的评价区，不少用户表示可轻松通过单位的人脸考勤机。

　　相比上述平面相册纸材质的面具，另一家提供硅胶头套定制的商品则显得更为“逼真”。该产品采用硅胶材质，并植入真实毛发，所需人脸信息也更复杂：“如果是照片，需提供正面、背面、左右侧脸等共六张；也可线下预约三维扫描，我们在多数大城市设有网点。”其价格也显著提高，介于8800元至23000元之间。

　　对于能否通过人脸识别考勤系统，这位商家表示：“虽然不能保证百分之百，但我们接待的客户基本能通过。”

　　在技术专家看来，商家的这种自信，恰恰暴露了当前部分人脸识别系统的软肋。东南大学网络空间安全学院副教授宋宇波指出，在考勤机和低端门禁这类场景里，许多人脸识别系统基于普通摄像头的二维图像比对设计，重点追求便捷与效率，在安全机制上未对高仿真人脸攻击做充分防范。“因此不仅仿真面具，甚至高清照片、动态视频都可能使系统产生误判。从该角度看，商家所谓‘可破解考勤系统’的说法，并非完全虚构。”

　　“人脸”信息正在泄露中

　　面容无法像密码一样“重置”

　　当前，人脸识别技术已从办公考勤延伸到智能门锁、移动支付等各类生活场景，随之而来的安全忧虑也与日俱增。有人担忧：如果定制价格高昂的硅胶仿真面具，是否也能骗过家里的门锁，甚至盗刷支付账户？

　　对此，宋宇波指出，将这一推论直接套用在手机解锁、刷脸支付或高安全级别的门锁上，容易造成误解。他解释，主流手机与支付设备通常会配备更精密的传感器与更严格的安全策略。它们不仅能识别面容，还会通过结构光或ToF等深度感知技术，捕捉皮肤纹理、微表情，乃至皮下毛细血管的血液流动与红外热感等生物信号。而硅胶或树脂面具在红外反射率、透光率上与真人皮肤存在本质差异，无法模拟人体的恒温特性及面部热力分布。

　　“理论上，只有使用高精度的3D打印面具，并辅以特殊涂层模拟皮肤的红外反射与眼部细节，在特定条件下才有可能突破手机或支付系统。”宋宇波表示，“但这通常需要极高的成本与专业技术。普通商家售卖的面具，在材质反射、立体结构、眼部与嘴部动态配合等方面，远达不到这种要求。”

　　尽管破解高安全级别设备的门槛不低，但宋宇波强调，商家在定制过程中收集用户人脸信息所带来的风险，绝不容忽视。一旦个人的高清面部照片，尤其是三维数据遭到泄露，其风险将是深远且难以挽回的。

　　与可随时更改的密码不同，人脸信息具有可反复利用和几乎无法撤销的特性。一套高质量的面部数据一旦泄露，就可能在不同验证场景中被反复尝试使用。“而比反复利用更根本的困境在于，我们的面容无法像密码一样‘重置’。这意味着泄露带来的并非一次性威胁，其影响往往是长期甚至终身的。个人在事后往往只能被动地减少对人脸验证的依赖，转而寻求多重认证方式，以期降低持续存在的安全风险。”宋宇波说。

　　国浩律师（深圳）事务所的刘艳律师指出，如果以极低的成本定制仿真面具，并用于违法犯罪，放任仿真面具自由流通将带来极大的风险，也将突破社会安全的防线。在去年6月，上海市闵行区法院审理了一起“换脸盗窃”案，犯罪嫌疑人通某通过佩戴老年硅胶面具伪装外貌，连续实施入户盗窃。“此类行为极大增强了犯罪的隐蔽性，干扰侦查视线，对公共安全构成严重威胁。”

　　守护“脸”的安全技术

　　人脸识别应与多样化验证方案结合

　　宋宇波指出，要真正降低人脸面具的社会风险，监管的关键并非“一刀切”禁售，而在于精准管住高风险环节。监管应从三个核心环节发力。首先是源头数据的管控。定制面具需要采集多角度照片或进行3D扫描，这实质上是在处理敏感的生物识别信息。因此，监管应要求数据采集最小化、用途特定化，并设定最短留存期与可核验的删除机制，无法满足这些安全要求的主体应被禁止开展定制业务。其次是平台交易环节的治理。电商平台必须对高拟真度定制类商品提高准入门槛，加强人工审核，重点清理“代打卡”“破解刷脸”等违规宣传，同时严格落实商家实名与订单留痕，确保交易行为可追溯、问题可追责。最后是明确法律红线与强化执法。对于“未经授权使用他人照片定制面具”以及“买卖、倒卖人脸照片或3D数据”的行为，应予严厉打击，并推动市场监管、网信、公安等部门协同联动，提高违法违规成本。

　　刘艳从构建系统性框架的角度提出了补充建议。监管部门应建立一套以风险为导向、全链条可追溯的精准监管体系。具体而言，可对仿真面具实施分级分类管理：对装饰性面具（如卡通造型）放宽监管，而对高仿真人脸的模型则严格管控。销售平台应要求商家在交易前验证购买者身份、使用用途及肖像权授权情况，并对异常交易行为向监管部门报备。同时，可探索技术溯源手段，例如在高仿真面具中植入不可更改的唯一性编码。从长远看，技术应用方应提供多样化验证方案，如在关键场景辅以虹膜识别、静脉识别等更不易仿冒的技术，从而在根本上降低人脸面具的“破解价值”。