本文来自微信公众号：IT时报（ID：vittimes），作者：潘少颖

复工以后，在张江创业工坊@环湖800商务楼内上班的白领体验到了不一样的测温方式，不需脱下口罩进行人脸识别或者伸出手腕测温，只要眼睛望向1米开外的、类似摄像头的小屏幕，站定两秒左右，听到“身份认证成功，体温正常”提示音后就可以进入大楼。同时，屏幕上会显示出该员工的姓名、身份证号（隐去部分数字）以及体温。

所谓虹膜测温，简单而言，就是将虹膜识别与红外测温模块集成在一个设备上，同步实现身份认证和测温，但前提是需要先采集人的虹膜信息。但这也带来隐忧，被称为目前最精确、最难伪造、处理速度最快的生物特征——虹膜信息被采集之后，我们最后一点隐私是否会被“扒光”？

01 虹膜测温走红

从春节到现在，刘进（化名）一直忙着接待那些想要安装虹膜测温设备的园区、企业负责人。刘进是北京一家虹膜测温设备企业的销售经理，他说这段时间设备的销量比之前提升了不少。

“每天可以出货二三十台设备，现货不多，出货时间在15个工作日左右，比较紧俏，工厂在过年之后就没有休息过，工人一直在加班。”刘进告诉《IT时报》记者。

虹膜识别的准确率很高，误识率低于千万分之一，在采集时需要提取超过200个虹膜特征点进行编码。

采集虹膜信息过程

在刘进发给《IT时报》记者的一个采集虹膜信息视频中，只需在系统内输入该被采集者的相关信息，包括姓名、身份证、手机号码等，让被采集者将眼睛对准采集器看几秒钟，电脑屏幕上就会出现被采集者的眼睛影像，表明虹膜信息已经采集成功并且和个人身份绑定，整个过程只需一两分钟。

之后，被采集者进入这幢大楼就可以实现身份认证和测温的同步进行。

张江创业工坊@环湖800是上海较早使用虹膜测温设备的商务楼宇，工作人员告诉《IT时报》记者，此前陆续对大楼内的白领进行了虹膜采集和身份登记，采集过程非常快。对于访客，也会使用这套设备采集访客的身份信息和虹膜信息，以便进行登记。

虹膜测温设备

不过，虹膜识别并非完美无缺。比如在流动人员较多的区域，如果没有事先采集过进出人员的虹膜信息，还是要依靠传统测温方式；采集虹膜时需要把隐形眼镜摘下，戴着隐形眼镜也无法进行虹膜识别。此外，即使识别到体温异常者，目前还无法找到体温异常者的密切接触者。

“但在一幢楼内可以，比如可以按楼层进行编组，一旦某一楼层出现体温异常员工，可以同时找到该楼层的其他人。”刘进说。

据《IT时报》记者了解，目前虹膜识别的设备基本都在万元以上，深圳一家虹膜设备企业生产的本地存储一体机价格为12800元一套，可以存储5000人信息。

刘进提供的报价单显示，集虹膜、人脸、体温一体的设备报价为18000元一套，可存储10000人信息，虹膜采集设备是5500元。

02 生物信息丢失风险加剧

对于个人生物信息，最大风险在于一旦被获取，就无法更改。正如全国政协委员、上海众人网络安全技术有限公司创始人谈剑峰所说，密码丢了可以换，但生物信息是不可再生的，一旦泄露，你不可能再有第二张脸了。

去年本报曾报道，有的人脸识别企业生产的门禁系统明文存储员工信息，包括员工姓名、人脸照片、身份证号、车牌号等，一旦被黑客或犯罪分子获取并利用，后果无法挽回。

对于虹膜来说，是否也会面临同样风险？

据《IT时报》记者了解，目前，虹膜测温设备在对人体进行识别后，主要显示姓名和ID号。“ID号可以是工号，也可以是身份证号，标准设备一般都是明文显示，因为虹膜测温设备安装在卡口处，通行速度比较快，也不会有人仔细看。”刘进坦言。

深圳一家虹膜设备企业项目经理朱达（化名）向《IT时报》记者表示，信息如何显示、显示哪些内容取决于企业如何设置，明文和加密都可以，包括在后台系统的修改查资料看也是如此，关键看企业怎么做。“也可以设置三个不同权限的账号，第一个账号只能看姓名和邮箱，第二个账号可以看姓名、邮箱和手机号，第三个账号是最高权限，可以看到员工的所有信息。”他说。

这些虹膜设备企业都表示自己的产品很安全。“采集虹膜后会转成特征码，再变成加密字符串，即使攻破，也无法还原。”刘进说。

在一些业内人士看来，无论是人脸还是虹膜，个人生物信息面临的风险如出一辙，“关键要看运行的信息环境怎么样，比如网络、操作系统、数据库等”。在碁震安全研究团队安全人员王海兵看来，环境如果有漏洞，就会导致安全问题。

“所有的生物特征都会转成特征码，再进行加密存储在服务器上，只要存在于服务器上，被攻击之后，就会逆向复原，而且存储在服务器上的虹膜信息一般都会和个人身份关联，很方便就能和个人联系起来。”谈剑峰说。

03 新规虽好，关键在落地

虽然安全可信的身份识别认证需求急速增长，但对生物特征图像和特征模板本身安全性的重视还远远不够，因此生物信息泄露事件屡屡发生，甚至在朋友圈上传一张“剪刀手自拍照”也可能会泄露个人隐私。

3月6日，《信息安全技术个人信息安全规范》（以下简称“《规范》（2020正式稿）”）发布，将于今年10月1日实施。和征求意见稿相比，《规范》（2020正式稿）在收集信息合法性、授权同意、传输存储等方面都进行了条款修改，比如在使用面部识别特征、指纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像；传输和存储个人敏感信息时，应采用加密等安全措施。

《信息安全技术个人信息安全规范》

“让我感触最深的是生物特征不留存于服务器，比如手机对指纹有认证机制，用户登录时进行认证匹配，然后反馈给服务器一个值，这个不带有生物属性的值告诉服务器验证通过。实际上，很多企业没必要通过生物信息对员工进行考核，因为不会下很大的成本和精力去保护这些信息。”谈剑峰说。

据《IT时报》记者了解，大多数企业都把数据存储在本地服务器，并自己维护。

按照我国规定，存储用户关键信息基础设施的系统要达到公安部信息系统安全等级保护三级标准，实际上，很多企业并达不到这个标准。

在谈剑峰看来，《规范》（2020正式稿）如果执行到位，可在一定程度上缓解目前个人信息泄露风险，但关键要看执行力度，比如做好本地存储和服务器端的加密和认证。

本文来自微信公众号：IT时报（ID：vittimes），作者：潘少颖