雷鋒網(wǎng) AI 科技評(píng)論按：人臉識(shí)別技術(shù)已經(jīng)進(jìn)入了大規(guī)模應(yīng)用，個(gè)人數(shù)據(jù)的隱私問題也得到越來越多關(guān)注，針對(duì)隱私保護(hù)、躲避和攻擊人臉識(shí)別系統(tǒng)的研究也陸續(xù)出現(xiàn)。

這其中，有篡改輸入人臉識(shí)別系統(tǒng)的圖像，讓它無法識(shí)別圖中存在人臉的，比如多倫多大學(xué)的《Adversarial Attacks on Face Detectors using Neural Net based Constrained Optimization》。

也有 CMU 設(shè)計(jì)的特殊眼鏡，佩戴以后，即便經(jīng)過監(jiān)控設(shè)備的采集，仍然無法識(shí)別到圖像中存在人臉，或者會(huì)被識(shí)別為另一個(gè)人；而且這種裝飾方法算不上夸張，不那么容易引起別人懷疑。（論文《Accessorize to a Crime: Real and Stealthy Attacks on State-of-the-Art Face Recognition》）

隱藏身份的「換臉」

近日又出現(xiàn)了一篇新的論文，來自挪威科技大學(xué)的《DeepPrivacy: A Generative Adversarial Network for Face Anonymization》（arxiv.org/abs/1909.04538），從新的、更有挑戰(zhàn)的角度欺騙人臉識(shí)別系統(tǒng)：在不改變?cè)瓉淼臄?shù)據(jù)分布的前提下把人臉匿名化，更通俗地說就是模型的輸出還是一張逼真的人臉，姿態(tài)和背景也和原圖相同，但完全無法識(shí)別出原來的人臉身份，也就是「換了一張臉」。

作者們提出的模型 DeepPrivacy 是一個(gè)條件生成式對(duì)抗網(wǎng)絡(luò)（conditional GAN），生成器能夠以原有的背景以及稀疏的動(dòng)作標(biāo)注生成逼真的匿名（其它身份的）人臉。生成器的架構(gòu)是一個(gè) U-net，用逐步擴(kuò)大圖像尺寸的方式最終生成 128x128 尺寸的圖像。

為了避免向這個(gè)模型泄露個(gè)人信息，按照作者們的設(shè)計(jì)，這個(gè)模型的輸入就直接是經(jīng)過隨機(jī)噪聲遮擋的人臉，模型完全觀察不到任何原有面部信息。不過，為了保證生成的質(zhì)量以及動(dòng)作的一致性，作者們?nèi)匀恍枰獌山M簡(jiǎn)單的圖像標(biāo)注結(jié)果：圈出了面部位置的邊界框，以及（與 Mask R-CNN 中相同的）標(biāo)出了耳朵、眼睛、鼻子、肩膀一共 7 個(gè)關(guān)鍵點(diǎn)的稀疏姿態(tài)估計(jì)值。

根據(jù)作者們的測(cè)試，經(jīng)過他們的模型匿名化的人臉仍然保持了接近于原圖的人臉可識(shí)別性，普通的人臉識(shí)別模型對(duì)于匿名化后的圖像，識(shí)別出人臉的平均準(zhǔn)確率只相對(duì)下降了 0.7%。而人臉含有的身份信息自然是 100% 不重合的。

不同人臉匿名方式的對(duì)比，從左到右依次為：原圖，DeepPrivacy 模型的遮擋后的輸入，馬賽克，高斯模糊，DeepPrivacy 模型輸出

在論文中作者們也做了一項(xiàng)帶有一定前瞻性的工作，那就是整理發(fā)布了一個(gè)新的多姿態(tài)人臉數(shù)據(jù)集 Flickr Diverse Faces。數(shù)據(jù)集共含有 147 萬張人臉，并按照他們的這個(gè)模型輸入所需，標(biāo)出了含有面部位置的邊界框以及 7 個(gè)關(guān)鍵點(diǎn)。這個(gè)數(shù)據(jù)集的獨(dú)特之處在于它的多樣性，它涵蓋了許多不同的面部姿態(tài)、部分遮擋、復(fù)雜背景、以及不同的人。

Flickr Diverse Faces 數(shù)據(jù)集中一些人臉樣本

相關(guān)研究比較

另一些人臉匿名化結(jié)果 —— 左圖大家本來可能熟悉，現(xiàn)在就難認(rèn)出來了

這篇論文的模型中的生成器設(shè)計(jì)參考了《Progressive Growing of GANs for Improved Quality, Stability, and Variation》（arxiv.org/abs/1710.10196）論文，從低分辨率的圖像開始，逐級(jí)地提高分辨率、增加細(xì)節(jié)，最終可以同時(shí)兼顧圖像中的內(nèi)容高度協(xié)調(diào)、高穩(wěn)定性、高多樣性。這種方法是 GANs 首次可以生成 1024x1024 尺寸的高清圖像。作者們還一并討論了一些改進(jìn) GANs 訓(xùn)練過程的技巧。

可能有人已經(jīng)想到了，DeepPrivacy 所做的「生成匿名逼真人臉」的任務(wù)，其實(shí)就和圖像補(bǔ)全（Image Inpainting）高度相似，都是讓模型為圖像中的指定區(qū)域填充全新的內(nèi)容。不過圖像補(bǔ)全任務(wù)中要補(bǔ)全的內(nèi)容就不僅僅是人臉了，包含了各種日常物體和場(chǎng)景。也有圖像補(bǔ)全的研究人員嘗試過補(bǔ)全人臉的效果，他們?cè)诟咔逦取?shù)據(jù)豐富、姿態(tài)單一的 Celeb-A 數(shù)據(jù)集上進(jìn)行嘗試，結(jié)果模型并不能生成逼真的、身份不同且隨機(jī)的人臉。

另外，雷鋒網(wǎng) AI 科技評(píng)論認(rèn)為值得一提的是來自英偉達(dá)的《A Style-Based Generator Architecture for Generative Adversarial Networks》（arxiv.org/abs/1812.04948），它是 CVPR 2019 的 最佳論文之一，也是目前為止生成高清晰度、高多樣性的人臉效果最好的方法。毋庸置疑，這種方法生成的人臉比 DeepPrivacy 更逼真，而且也同樣可以生成隨機(jī)的新身份，不過就沒辦法控制同樣的姿態(tài)和背景了。

一些討論

作者們認(rèn)為大企業(yè)可能能夠通過這種方法躲避歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）的約束。GDPR 中要求，使用個(gè)人的隱私數(shù)據(jù)的時(shí)候必須定期征得當(dāng)事人的同意；但是當(dāng)無法根據(jù)數(shù)據(jù)識(shí)別定位某個(gè)個(gè)人的時(shí)候，企業(yè)無需同意就可以使用這些數(shù)據(jù)。這種人臉匿名化方法就可以成為「無法識(shí)別個(gè)人，從而繞過 GDPR 限制」的幫手。

不過，在高度遮擋、不常見的角度、復(fù)雜的背景中，模型還是會(huì)出現(xiàn)一些錯(cuò)誤的生成結(jié)果的（扭曲的人臉看起來有一些可怕）。作者們也通過對(duì)照試驗(yàn)說明了更大的模型大小、7 個(gè)動(dòng)作關(guān)鍵點(diǎn)的標(biāo)注都有助于生成更高質(zhì)量的圖像。

在 Reddit 以及 Twitter 的討論上，有人提出，僅僅更改面部是不足以完全隱藏身份的，有的人（比如奧巴馬）僅憑發(fā)際線就有機(jī)會(huì)認(rèn)得出來，再加上穿著、場(chǎng)景、身邊的人的話，知名人物能夠被認(rèn)出來的可能性大大增加；也有人提出，變成隨機(jī)的身份，還不如都用 DeepFake 把所有的臉都換成同一張生成的虛擬人臉，同樣可以達(dá)到無法通過面部識(shí)別確定身份的效果。（另外網(wǎng)友們還吐槽了為什么要起 DeepPrivacy 這么一個(gè)爛大街的名字）

論文地址：https://arxiv.org/abs/1909.04538

開源項(xiàng)目地址：https://github.com/hukkelas/DeepPrivacy

雷鋒網(wǎng) AI 科技評(píng)論報(bào)道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。