刷臉時代我們的個人隱私或財產安全嗎?專家解讀→
購物時“刷臉”支付、用手機時“刷臉”解鎖,進小區時“刷臉”開門,坐高鐵時“刷臉”進站……如今,越來越多的事情可以“刷臉”,也就是用人臉識別技術來解決。
近日,由全國信息安全標準化技術委員會等機構成立的App專項治理工作組,發佈了一份《人臉識別應用公眾調研報告(2020)》。
報告顯示,有九成以上的受訪者都使用過人臉識別,具體用途當中“刷臉支付”最為普及。不過有六成受訪者認為人臉識別技術有濫用趨勢,還有三成受訪者表示,已經因為人臉信息泄露、濫用而遭受到隱私或財產損失。
正如調查顯示,越來越多的人開始接受並使用人臉識別,但同時也在擔心,四處“刷臉”會不會造成個人信息泄露。“刷臉”時代,我們的人臉信息安全嗎?
對於人臉識別,多數人是又愛又恨,愛的是它的方便快捷,而恨的當然就是安全風險。
今年8月13日,杭州錢塘新區公安部門抓獲兩名犯罪嫌疑人,他們在多個網絡平台盜取了數千條個人信息準備倒賣。而今年年初,浙江衢州也破獲了一起盜用公民個人信息案,犯罪嫌疑人使用盜取的信息註冊某金融平台賬號,非法獲利數萬元。值得注意的是,這兩起案件的犯罪嫌疑人都是利用“AI換臉技術”非法獲取公民照片進行一定預處理,而後再通過“照片活化”軟件生成動態視頻,騙過了人臉核驗機制,得以實施犯罪的。
明明不是自己的臉,也能通過人臉識別嗎?以使用率較高的人臉識別解鎖手機為例,科研人員用面具代替人臉,進行了測試。
測試中,科研人員先將手機放置在一個三腳架上,再在手機對面放上面具,然後進行光線、色温以及角度的調節,通過幾次比對,手機被成功解鎖了。這代表手機將面具識別成了人臉。專家表示,這款面具的製作成本並不高,只要不是在極暗或極亮的背景下,通過面具或頭套進行人臉識別的成功率高達3成。
中國科協“源新聞”專家庫成員 中國信息通信研究院科研工程師 王嘉義:3D打印就可以製作出來一個精度尚可的一個人臉面具,頭套也是同樣的製作原理。
專家表示,目前最簡單的人臉識別,只需要採集、提取人臉上的六個或八個特徵點就能實現。而複雜的人臉識別,則需要採集、提取人臉上的數十個乃至上百個特徵點才能實現。相比於解鎖手機,“刷臉”支付、“刷臉”進小區等應用,採集的人臉特徵點更多,安全性自然也更高。
目前已經研發出了專門針對生物特徵的活體檢測技術,可有效識別掃描對象的生命體徵,大大降低了識別系統把照片或面具當人臉的風險。
中國科協“源新聞”專家庫成員 中科院自動化所研究員 張兆翔:比如説我們很多時候在傳感器當中用到的近紅外的攝像頭,近紅外攝像頭一方面可以採集人臉當中的信息,另一方面也可以採集人臉的温度,包括它隨着温度的變化所帶來的一系列的這個變化。這些變化的信息是可以幫助我們去判斷這張人臉究竟是一張照片,是一個視頻,還是一個真正的活生生的真實的人臉。
活體人臉檢測技術主要集中在人臉細微動作、3D人臉重建、紅外人臉檢測三領域。而更多的活體生物識別技術也在不斷拓展。在中科院自動化研究所,張兆翔研究員現場為我們演示了“視頻心率檢測系統”,該系統可通過人臉識別技術鎖定皮膚區域,提取人體生理脈搏信號,經過多種濾波處理從而得到心率。
中國科協“源新聞”專家庫成員 中科院自動化所研究員 張兆翔:比如我們可以根據人臉的膚色,隨着心跳的血流變化的規律,從當中抽取微弱的信號,這種微弱的信號可以去估算這個人的心跳是怎樣。這個技術在整個人臉識別系統中,還可以用於活體的檢測,如果是一個照片我們是估算不出心跳的,而只有真實的人臉才能估算出心跳,這個也可以幫助我們去提升人臉識別技術的安全性。
在專家看來,當下人臉識別技術的風險點,更多集中在存儲環節。那麼我們的人臉信息被採集之後,究竟保存在了什麼地方呢?
專家介紹,由於人臉識別應用五花八門,也沒有統一的行業標準,大量的人臉數據都被存儲在各應用運營方或是技術提供方的中心化數據庫中。數據是否脱敏、安全是否到位、哪些用於算法訓練、哪些會被合作方分享,外界一概不得而知。而且,一旦服務器被入侵,高度敏感的人臉數據就會面臨泄露風險。
為了封堵這個漏洞,專家提出了分層授權、分佈式存儲的數據脱敏和加密方式。
中國科協“源新聞”專家庫成員 中科院自動化所研究員 張兆翔:人臉識別從一張人臉的這個原始的圖象,到它整個信息抽取的過程,在這個過程當中我們可以分層級把不同的一個階段,分配使用在不同的使用者的手上。在一個脱敏的數據,或者是脱去它的本身的一個ID信息的情況下面,去進行一系列的人臉識別的服務的提供。
專家進一步指出,人臉數據存儲應該建立更嚴格的標準和規範,技術開發方、App運營方不能成為各自為戰的數據孤島,只求技術更迭,忽視隱私風險,而是應該在更趨嚴格的監管,以及法律和行業規範下采集、使用、存儲數據。
中國科協“源新聞”專家庫成員 中科院自動化所研究員 張兆翔:其實從安全性的角度來説,我們迫切需要行業能夠提供一套標準,使得我們能夠有一個規範去遵循,這樣可以有效防止這種人臉這樣一個敏感的身份數據的一個泄露情況。
越來越多的人在越來越多的場合使用人臉識別,想象一下,當這些匯聚在一起,是多麼海量的人臉信息。那這些人臉信息又被用來做什麼了呢?部分技術開發商或App運營商的確存在信息泄露的問題,造成有人臉信息被濫用,甚至形成了黑色產業鏈。
記者調查發現,在某些網絡交易平台上,只要花2元錢就能買到上千張人臉照片,而5000多張人臉照片標價還不到10元。瀏覽商家的素材庫,裏面全都是真人生活照、自拍照等充滿個人隱私內容的照片。當記者詢問客服,這些圖片是否涉及版權時,客服矢口否認,但卻提供不了任何可以證明照片版權的材料。可以想象,這些包含個人信息的人臉照片如果落入不法分子手中,那麼照片主人除了有可能遭遇精準詐騙,蒙受財產損失之外,甚至還有可能因自己的人臉信息被用於洗錢、涉黑等違法犯罪活動,而捲入刑事訴訟。對此倒賣人臉信息的違法行為,相關部門也在不斷加大打擊力度。
減少信息泄露,需要人臉識別技術不斷升級,而技術升級如何實現呢?這就要説到海量人臉信息的另一個用處了。
專家表示,人臉識別技術的發展,不僅需要不斷優化算法,更需要海量的人臉數據用於訓練和測試。而在用户授權的情況下,絕大多數的人臉數據,都被技術提供方用來進行系統錘鍊了。且用於錘鍊系統的人臉數據都是已經被脱敏處理過的大數據,不再帶有個人信息,直接或間接都無法識別對應到自然人的身上。
除了技術的不斷提升,破除人臉識別領域的風險,相關法律法規的出台更加必不可少。
針對人臉信息被濫用、盜用、隨意採集的現象,法律專家朱巍指出,《網絡安全法》明確將個人生物識別信息納入個人信息範圍,我國《民法典》規定,收集、處理自然人個人信息的,應當遵循合法、正當、必要原則,徵得該自然人或其監護人同意。且被採用者同意後還有權撤回。
中國科協“源新聞”專家庫成員 中國政法大學傳播法研究中心副主任 朱巍:從2012年12月28日,全國人大常委會通過了關於加強網絡信息保護決定開始,就提到了一個重要的原則,就是合法性,正當性和必要性原則,這是個人信息採集和使用處理的一個最基本的叫九字原則。同時還有告知,比如説我去了一個場所,別人採集我的信息我完全不知道,不知情這不行。必須要事先告知,而且要徵求個人的同意,包括使用目的、採集方式、保存的期限等等。第二個,如果我開始同意,我也允許他處理我的個人信息,但是我事後後悔了,這個在個人信息保護法草案中叫撤回同意,我撤回了。這個權力是交到被蒐集的,我們個人手中的,既可以同意、可以授權,當然也可以拒絕、可以撤回。
目前,《中華人民共和國個人信息保護法(草案)》正在面向社會公開徵求意見。
草案提出,在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,並設置顯著的提示標識。所收集的個人圖像、個人身份特徵信息只能用於維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。
有專業數據顯示,到2022年,全球人臉識別市場規模將達75.95億美元,約合508億人民幣。而在我國,截至今年10月14日,人臉識別相關企業已經突破1萬家,預計到2024年市場規模將突破100億元。如今人臉識別已在金融、教育、交通、政務、醫療等領域得到了深化應用,相信隨着技術水平的不斷提高以及相關行業規範、法律法規的健全,人臉識別會不僅更便捷,而且更安全。