对抗人脸识别的一个新方法：隐藏身份、随机换脸

AI 科技评论按：人脸识别技术已经进入了大规模应用，个人数据的隐私问题也得到越来越多关注，针对隐私保护、躲避和攻击人脸识别系统的研究也陆续出现。

这其中，有篡改输入人脸识别系统的图像，让它无法识别图中存在人脸的，比如多伦多大学的《Adversarial Attacks on Face Detectors using Neural Net based Constrained Optimization》。

也有 CMU 设计的特殊眼镜，佩戴以后，即便经过监控设备的采集，仍然无法识别到图像中存在人脸，或者会被识别为另一个人；而且这种装饰方法算不上夸张，不那么容易引起别人怀疑。（论文《Accessorize to a Crime: Real and Stealthy Attacks on State-of-the-Art Face Recognition》）

隐藏身份的「换脸」

近日又出现了一篇新的论文，来自挪威科技大学的《DeepPrivacy: A Generative Adversarial Network for Face Anonymization》（arxiv.org/abs/1909.04538），从新的、更有挑战的角度欺骗人脸识别系统：在不改变原来的数据分布的前提下把人脸匿名化，更通俗地说就是模型的输出还是一张逼真的人脸，姿态和背景也和原图相同，但完全无法识别出原来的人脸身份，也就是「换了一张脸」。

作者们提出的模型 DeepPrivacy 是一个条件生成式对抗网络（conditional GAN），生成器能够以原有的背景以及稀疏的动作标注生成逼真的匿名（其它身份的）人脸。生成器的架构是一个 U-net，用逐步扩大图像尺寸的方式最终生成 128x128 尺寸的图像。

为了避免向这个模型泄露个人信息，按照作者们的设计，这个模型的输入就直接是经过随机噪声遮挡的人脸，模型完全观察不到任何原有面部信息。不过，为了保证生成的质量以及动作的一致性，作者们仍然需要两组简单的图像标注结果：圈出了面部位置的边界框，以及（与 Mask R-CNN 中相同的）标出了耳朵、眼睛、鼻子、肩膀一共 7 个关键点的稀疏姿态估计值。

根据作者们的测试，经过他们的模型匿名化的人脸仍然保持了接近于原图的人脸可识别性，普通的人脸识别模型对于匿名化后的图像，识别出人脸的平均准确率只相对下降了 0.7%。而人脸含有的身份信息自然是 100% 不重合的。

不同人脸匿名方式的对比，从左到右依次为：原图，DeepPrivacy 模型的遮挡后的输入，马赛克，高斯模糊，DeepPrivacy 模型输出

在论文中作者们也做了一项带有一定前瞻性的工作，那就是整理发布了一个新的多姿态人脸数据集 Flickr Diverse Faces。数据集共含有 147 万张人脸，并按照他们的这个模型输入所需，标出了含有面部位置的边界框以及 7 个关键点。这个数据集的独特之处在于它的多样性，它涵盖了许多不同的面部姿态、部分遮挡、复杂背景、以及不同的人。

Flickr Diverse Faces 数据集中一些人脸样本

相关研究比较

另一些人脸匿名化结果 —— 左图大家本来可能熟悉，现在就难认出来了

这篇论文的模型中的生成器设计参考了《Progressive Growing of GANs for Improved Quality, Stability, and Variation》（arxiv.org/abs/1710.10196）论文，从低分辨率的图像开始，逐级地提高分辨率、增加细节，最终可以同时兼顾图像中的内容高度协调、高稳定性、高多样性。这种方法是 GANs 首次可以生成 1024x1024 尺寸的高清图像。作者们还一并讨论了一些改进 GANs 训练过程的技巧。

可能有人已经想到了，DeepPrivacy 所做的「生成匿名逼真人脸」的任务，其实就和图像补全（Image Inpainting）高度相似，都是让模型为图像中的指定区域填充全新的内容。不过图像补全任务中要补全的内容就不仅仅是人脸了，包含了各种日常物体和场景。也有图像补全的研究人员尝试过补全人脸的效果，他们在高清晰度、数据丰富、姿态单一的 Celeb-A 数据集上进行尝试，结果模型并不能生成逼真的、身份不同且随机的人脸。

另外值得一提的是来自英伟达的《A Style-Based Generator Architecture for Generative Adversarial Networks》（arxiv.org/abs/1812.04948），它是 CVPR 2019 的 最佳论文之一，也是目前为止生成高清晰度、高多样性的人脸效果最好的方法。毋庸置疑，这种方法生成的人脸比 DeepPrivacy 更逼真，而且也同样可以生成随机的新身份，不过就没办法控制同样的姿态和背景了。

一些讨论

作者们认为大企业可能能够通过这种方法躲避欧盟《通用数据保护条例》（GDPR）的约束。GDPR 中要求，使用个人的隐私数据的时候必须定期征得当事人的同意；但是当无法根据数据识别定位某个个人的时候，企业无需同意就可以使用这些数据。这种人脸匿名化方法就可以成为「无法识别个人，从而绕过 GDPR 限制」的帮手。

不过，在高度遮挡、不常见的角度、复杂的背景中，模型还是会出现一些错误的生成结果的（扭曲的人脸看起来有一些可怕）。作者们也通过对照试验说明了更大的模型大小、7 个动作关键点的标注都有助于生成更高质量的图像。

在 Reddit 以及 Twitter 的讨论上，有人提出，仅仅更改面部是不足以完全隐藏身份的，有的人（比如奥巴马）仅凭发际线就有机会认得出来，再加上穿着、场景、身边的人（比如有另一些政府首脑）的话，知名人物能够被认出来的可能性大大增加；也有人提出，变成随机的身份，还不如都用 DeepFake 把所有的脸都换成同一张生成的虚拟人脸，同样可以达到无法通过面部识别确定身份的效果。（另外网友们还吐槽了为什么要起 DeepPrivacy 这么一个烂大街的名字）

论文地址：

https://arxiv.org/abs/1909.04538

开源项目地址：

https://github.com/hukkelas/DeepPrivacy

AI 科技评论报道。