你的臉,正在被“偷走”
2年前

刷臉時代,你的人臉信息安全嗎?

7月21日,國家互聯網信息辦公室對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰的決定,其違法事實中提到“過度收集乘客人臉識別信息1.07億條”。

去年315晚會上,央視揭露了一個令人驚悚的事實——你的臉,隨時都有可能被“偷”。在商場、小區,甚至是路邊並不起眼的門店,人臉信息都可能被悄無聲息竊取。

目前人臉識別在金融政務、安防、交通、教育、醫療等行業都有廣泛應用。相比指紋、聲紋、虹膜、步態等其他基於生物特徵的身份認證技術而言,人臉識別技術更受青睞。

技術飛速發展的背後,又該如何保障我們的信息安全?

資料圖 據視覺中國

(一)

人臉信息糾紛正屢屢發生

經過6次人臉識別後,李紅(化名)被騙子利用人臉識別騙走近43萬元。而這一切,卻並非李紅“本人操作”。

《中國新聞周刊》報道稱,銀行系統後台顯示,在進行密碼重置和大額轉账時,“李紅”進行了6次人臉識別比對,均顯示“活檢成功”。事實是,那幾次人臉識別並不是身在北京的李紅本人操作,登錄者的IP地址顯示在台灣。

據報道,詐騙分子讓李紅從網站下載了假冒的詐騙軟件和視頻會議軟件,套取了她的銀行卡和密碼以及人臉信息等關鍵內容,並遠程操控了她的手機。

因懷疑銀行人臉識別系統的安全性,李紅以“借記卡糾紛”爲由將銀行告上法庭,要求賠償。6月30日,北京市豐台區人民法院一審駁回了李紅的全部訴求。法院認爲,李紅在42.9萬元被盜過程中“過錯明顯”,銀行作爲指令付款方,已通過多個登錄密碼、驗證碼、人臉識別的合理方式識別使用人身份,未見存在明顯的錯誤或過失。

李紅的遭遇並非個案。據浙江電視台某新聞欄目報道,2020年,杭州趙女士也被類似的套路騙走了52萬,犯罪分子在和趙女士視頻聊天時錄制了她的人臉畫面,從而通過了轉账時的人臉識別步驟。

清華大學法學教授勞東燕在去年提出過一個預測,她認爲包括人臉數據在內的利用個人信息進行精准詐騙等犯罪的浪潮才剛到來。“犯罪的高潮還在後面,尤其是這種多中心的信息收集模式,一定會暴雷。”

紅星資本局梳理發現,去年平安銀行光大銀行等多家銀行均發布公告,提示人臉識別盜用風險。

在此之前,有關“人臉識別”的相關糾紛已經在發生。2019年,因不愿意使用人臉識別,浙江理工大學特聘副教授郭兵作爲消費者將杭州野生動物世界告上了法庭。該案也成爲中國“人臉識別第一案”。今年“天津人臉識別案”中,天津的顧先生因拒絕“刷臉”回家,將自己小區物業告上法庭。此外,“廣西南寧業主刷臉房子被過戶”“94歲老人被抱起做人臉識別”等事件也在輿論場中引發熱議。

(二)

人臉數據被交易,成本只有幾毛錢

從法律角度來講,人臉信息屬於典型的“生物識別信息”。人臉識別也一直被視爲最安全的生物識別技術。

而李紅的遭遇意味着人臉識別並不完全可靠。紅星資本局梳理公开信息後注意到,解鎖人臉識別在技術上並不難。

去年10月,清華大學Real AI團隊用15分鐘解鎖了19部國產智能手機,解鎖的道具爲人臉照片;2019年,浙江有小學生科技團隊爆料,用照片就能破解居民小區的快遞櫃。

大部分人很難想到,僅僅通過自己的一張照片就能完成“刷臉”。事實上,由靜態照片變成冒充人臉識別的動態視頻的過程,僅需數十秒。

去年10月,合肥警方搗毀了一個僞造他人人臉動態視頻的犯罪團夥。現場繳獲的涉案電腦裏,保存了大量的公民人臉數據,包括公民身份證正反面以及生活照等。

據警方了解,這些照片售價幾毛錢到一塊錢不等,而嫌疑人幫別人僞造人臉識別的收費一般在2塊錢到10塊錢不等。

今年1月,奇安信集團行業安全研究中心主任裴智勇在接受《中國消費者報》採訪時表示,智能換臉的技術門檻比絕大多數人的想象要低得多。通過人工智能技術,可以將一張普通的靜態照片(正面、側面均可),轉化生成一張表情生動的人臉,以2017年左右的技術水平,已經完全有能力騙過絕大多數人臉識別系統。

“現在大家提到人臉信息,更多的是把它作爲敏感個人信息中的生物識別信息去保護,但人臉信息越來越成爲人的數字身份中最重要的要素。這在過去的討論中是不夠充分的。”世輝律師事務所合夥人王新銳律師向紅星資本局表示,“人臉”已經成爲每個人數字身份中最底層、最基礎的要素。

換句話說,只要有“你的臉”就能夠連接“你”這個數字身份。反過來,如果有人造假了這張臉,那也能夠掌握這個數字身份。“盜用這個數字身份背後帶來的人格權、財產權的損害,是非常可怕的。”王新銳表示。

人臉信息跟數字身份的天然聯系,意味着一旦發生盜用,帶來的損害將是連鎖反應。

(三)

保護自己的臉已不僅是個人問題

從行業發展的角度來講,人臉識別技術未來可期。據預測,新冠疫情後全球人臉識別市場規模將從2020年的38億美元增長至2025年的85億美元。到2024年我國人臉識別市場規模將突破100億元人民幣,我國有望成爲全球最大人臉識別市場。

近些年在立法層面,我國對人臉信息使用也有了明確規定和高規格的保護。

去年8月1日,最高法發布司法解釋,對人臉信息處理予以專門規定,其中包括收集人臉信息需徵得單獨同意、禁止物業強制刷臉等。

《個人信息保護法》中也突出了作爲敏感個人信息的生物識別信息的特別保護,規定“處理個人敏感信息應該進行更多的告知,包括相應的風險,以及應當取得個人的單獨同意”。

盡管有法律上的相關約束,但現實中仍無法避免大量場景濫用人臉信息的情況發生。“在哪些場景下允許去用?是不是強制大家去用?在現實裏仍是一個很大的挑战。”王新銳說。特別是對人臉識別做評估和利益衡量的時候,往往會突出技術優點,對其背後風險的分析遠遠不夠。

北京大學法學教授、博士生導師張平向紅星資本局指出,保護自己這張臉,已經不僅僅是個人問題,有些時候甚至涉及社會問題,包括社會群體的安全問題。

張平提出了一種假設,“比如北大清華的老師們都被刷臉,根據分類就知道某些老師是研究哪類問題的,繼而會越來越精准畫像,而這種畫像已經不屬於個人安全和個人隱私範疇,甚至有可能是涉及群體安全和科技安全的問題。”

“我們一直都去推動個人信息保護的合規,包括各種技術標准和指南,但其實在個人信息裏邊,人臉這個信息應該特別給予重視。”張平注意到,各個機構在制定隱私政策的時候,很少把“人臉識別”的技術單獨拉出來強調,而是放在一般隱私政策當中,操作非常不規範。

(四)

人臉識別的安全與合規依然任重道遠

如果放在場景中去探討,張平認爲,從居住環境开始,就應該提高對人臉信息的重視。比如小區及超市商場,最容易出現“灰色地帶”。

“在商場收集的人臉信息,沒有公示也沒有聲明。這些信息將會做什么用、有沒有採取安全措施?數據一旦被泄露,又如何給予個人補償?這些問題都沒有說明。”

張平認爲,這些監管空白應該從當下就开始介入,如果等大量信息存在於數據庫和雲端,監管就失去了意義。

針對人臉信息的採集和使用,法律監管和行業自律缺一不可。“所有處理人臉信息的公司,都需要有一個自證清白的義務。”王新銳表示。

王新銳介紹,首先這些機構要有個人信息安全影響評估,但在實踐過程中,普遍做得並不好。

他指出,很多企業在處理人臉信息的時候,並沒有去做評估,或者做完評估以後,很多問題考慮仍比較簡單。他認爲不管是企業側還是政府側,針對人臉識別的各種授權文件、相關協議都需要更嚴謹的解釋。

“人臉信息跟一般的敏感個人信息相比還是有一些差異,所以我覺得在做人臉信息評估的時候,不能僅僅把它當做敏感個人信息,而是要把它更往前推一步。”

王新銳指出,目前全球對人臉信息的管控監管普遍趨嚴。“我們也認爲,未來在人臉信息的處理以及合規方面,還是應該採取疊加技術手段和管理手段的方式。在合法性基礎上,以更加嚴格的態度去對待人臉信息。”

紅星新聞記者 王田

編輯 余冬梅

(,!)

追加內容

本文作者可以追加內容哦 !

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。



標題:你的臉,正在被“偷走”

地址:https://www.breakthing.com/post/9855.html