人臉信息“裸奔”危害不容忽視

2020年08月14日10:25  來源:人民網-輿情頻道
 
原標題:人臉信息“裸奔”危害不容忽視

  近日,據媒體報道,一些網絡黑產從業者利用電商平台,批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程,可將人臉照片修改為執行“眨眨眼、張張嘴、點點頭”等操作的人臉驗証視頻。警方偵查發現,有不法分子使用AI換臉技術,繞開多個社交服務平台或系統的人臉認証機制,為違法犯罪團伙提供虛假注冊、刷臉支付等黑產服務。人臉數據、“照片活化”工具在網絡平台待價而沽,甚至附帶有操作教程,令人細思極恐。

  人臉識別技術“高歌猛進”

  近年來,伴隨人工智能的飛速發展,人臉識別技術日趨普及,被廣泛應用於政務服務、辦公出行、電子支付、智慧安防等諸多場景,極大提高了人們工作生活的便利性。據調研機構Gen Market Insights發布的《全球人臉識別設備市場研究報告》顯示,全球人臉識別設備市場價值在2018年至2025年期間將以26.8%的速度增長,到2025年底將達到71.7億美元。中國是人臉識別設備最大的消費區域,2023年佔全球比例將達到44.59%,在2018年至2023年復合年增長率為29.53%。

  具體到國內,由於應用場景廣闊、監管相對寬鬆等原因,生物識別技術的發展尤其迅速,目前已經普及化。如今,人臉的捕捉、特征的提取、特征的比對都已經進入300毫秒以內,人証比對的識別率也達到了99.99%。同時,諸多廠商紛紛將算法與硬件終端相結合,推出了一系列的人臉識別門禁、人臉識別閘機、人臉識別人証核驗、人臉識別抓拍機等產品,這些都得到了廣泛的應用。

  億歐智庫研究報告顯示,人臉識別市場應用涵蓋安防、金融、智慧園區、交通出行、互聯網服務等多個領域。近期也有許多落地新聞:山東今年高考報名已採用人臉識別,不再要求考生在簽到表按手印﹔影院復工,人臉識別售取票助力行業復蘇﹔重慶移動打造的首個全場景雙千兆平安小區,啟用人臉識別檢測高空拋物和人員鎖定。根據前瞻產業研究院數據,到2024年,國內人臉識別市場規模將突破100億元,人臉識別產業發展如火如荼。

  生物識別信息泄露“暗箭難防”

  人臉識別站上風口,對於它的爭議也未曾間斷。2019年8月,AI換臉應用“ZAO”一度刷爆了朋友圈,隨后很快無疾而終。究其原因,大張旗鼓搜集人臉數據的做法,引起了公眾對這一技術的恐懼和反思。人臉識別技術在快速發展、深入社會的同時,給我們帶來了諸多信息安全挑戰。

  人臉識別技術的不過關易造成數據泄露。從央視“3?15”晚會曝光刷臉漏洞,到小學生用照片打開取件櫃,再到“照片活化”攻破人臉識別,也說明某些技術本身並不過關,不僅易被破解,也容易讓垃圾樣本通過識別分類系統。其次,個人生物識別信息泄露后,還有可能被偽造甚至破解高級安全防護﹔更糟糕的是,黑色產業鏈中兜售的人臉數據不只是單純的照片,而是綁定了身份証號、銀行卡號、手機號等一系列敏感數據的“資料包”,可能會被不法分子用以盜取網絡社交平台賬號,竊取金融賬戶內財產,或者用於精准詐騙、敲詐勒索等違法犯罪活動。

  相關標准和規范的不完善為數據泄露埋下隱患。有關人臉識別技術的安全技術標准和使用規范不夠完善,對於採集者的責任和義務,以及人臉數據在收集、存儲、處理等各環節應採取的安全措施缺少相關規定。因此,對於一些安全能力薄弱、終端無安全防護措施的人臉識別公司而言,其大數據平台很容易被不法分子攻擊利用,用戶隱私極易泄露。近幾年人臉數據庫泄露事件也屢見不鮮,2019年,中國深網視界科技有限公司發生大規模數據泄露事件,超過256萬人的個人信息可供任何人訪問,例如身份証號碼、性別、住址、生日、照片等,大約有668萬條記錄。

  應用過程的不規范為人臉數據濫用提供可能。一些機構或開發者出於“炫技術”“趕時髦”的目的使用人臉識別技術,忽略了公民對於人臉信息採集的選擇權與知情權。南都傳媒發布的《人臉識別落地場景觀察報告(2019年)》數據顯示,在公租房、交通、校園、商場等場景下,都各有半數以上的受訪者表示沒有或不清楚是否簽署隱私政策﹔此外,很多應用軟件,存在用戶授權不到位、超范圍收集、申請權限目的不明、濫用個人敏感信息的行為,使得人臉數據被動收集、使用成為常態。2020年6月,國內“人臉識別第一案”開庭引發廣泛關注。因不願意使用人臉識別,浙江理工大學特聘副教授郭兵將杭州野生動物世界公園訴至法院。

  深度偽造技術嚴重威脅用戶財產甚至人身安全。許多企業在進行人臉識別驗証的時候都需要配合活體檢測,以防被圖片蒙混過關。然而與人臉識別技術共同發展的,還有借助機器學習系統、圖像視頻更改人臉的“深度偽造”技術,其算法日趨成熟,並可達到幾乎不能辨別真偽的程度。2020年初,浙江省衢州市中級人民法院判決一起侵犯公民個人信息的案件,四名被告人將購買的公民頭像照片制作成3D頭像,通過支付寶人臉識別認証,獲取邀請新用戶注冊的紅包獎勵﹔此外,2019年的美國黑帽大會上,騰訊玄武實驗室的安全人員就通過給“無意識”的人員戴上專門設計的眼鏡,就能訪問機主的iPhone,並通過移動支付應用程序向他們自己轉賬。

  由此可見,人臉識別技術給個人隱私和數據保護帶來了巨大的挑戰。此外,由於生物識別信息是惟一的、不可再生的,這就決定了人臉識別數據一旦丟失或者泄露,則是永久泄露,將貽害無窮,用戶在使用生物信息作為身份認証的場合,可能被“李鬼”冒名頂替,身份安全形同“裸奔”。如果說,對指紋的破解是對身體實體的破解,那麼對人臉和聲音的破解則是對這個人的數據破解。這種不再為自己所獨有的“失控”,加劇了各方的不安。

  風險治理亟需多管齊下

  身處大數據時代,個人信息安全的重要性毋庸贅言。人臉信息觸及個體的隱私底線,關系到每個人的生命財產安全。保障人臉信息安全,除了事后打擊,事前防范也很重要,要強化全鏈條監管,多方共同作用,筑牢信息安全防火牆,切斷人臉信息非法採集、銷售的渠道,消除人臉識別技術誤用、濫用的隱患,保護公民個人隱私、保障社會安全。

  提高公眾的防范意識。追本溯源,要想有效預防人臉數據泄露,核心還在於用戶自身提高警惕,強化憂患意識,對個人隱私進行有效保護,開啟人臉驗証時,盡可能選擇多重驗証方式,降低單重人臉驗証風險﹔其次,用戶要提高自我保護意識,不對隱私泄漏沉默認栽,堅決維護合法權益﹔最后,有關部門加大宣傳力度,向公眾普及生物數據信息重要性及有關風險,從源頭上避免人臉信息泄露。

  加快厘清人臉識別邊界。2021年即將施行的《民法典》界定了個人信息的范圍,並將生物識別信息一並納入其中。在這一背景下,應加快人臉識別技術標准制定的步伐,厘清合理採集和使用規則。首先,要規范說明有權利採集人臉信息的主體、需要滿足的條件和范圍、信息的規范存儲和管理及泄露承擔責任等﹔其次,立法機關需統籌考慮技術發展與信息安全,在個人信息保護法、數據安全法等法律中明確“刷臉”技術的邊界、紅線,並對泄露生物識別信息等行為規定罰則。

  建立信息安全監管體系。隱私的泄露者隻能出自信息的採集者,這就要求採集者堅守道德底線,自覺建起信息安全的高牆﹔同時,監管部門對惡意泄露他人人臉和身份信息的違法行為以及倒賣人臉信息的黑色產業鏈也必須與時俱進予以堅決制止和嚴厲打擊﹔最后,利用相關技術的網絡平台也負有監管義務,絕不能忽視用戶安全,應在制定人臉識別安全規范的過程中,強調人臉數據等生物特征信息與其他身份信息完全隔離存儲,避免人臉數據與身份信息關聯發生批量化泄露。

  提升技術先進性與可靠性。政府與人臉識別龍頭企業合作推進技術標准的研究制定,建立個人影像數據管理機制,強化網絡安全保障﹔作為行業開發者而言,要實現終端、傳輸、平台三位一體的安全防護,提高算法實力,搭建安全屏障﹔例如,阿裡安全推出的人臉識別安全技術方案獲得美國專利局授權,根據這個新的專利方案,隻需要通過光影和手機位置變化,就可以有效防范此前技術上難以解決的3D人臉面具等攻擊。

  人臉識別技術方興未艾,隻有確保其健康發展,才能實現“科技使生活更美好”,而不是陷入焦慮和恐慌﹔隻有多管齊下,才能讓其在數字基建的浪潮中有更廣闊和安全的應用場景。全民刷臉的時代已經到來,但在隱私安全的路上,這項技術還有很長的路要走,相信未來人臉“裸奔”的時代終將徹底終結,人工智能安全新紀元必將全面開啟。

  (人民網新媒體智庫研究員 張力、見習助理研究員 廖芮)

(責編:劉穎婕、邢曼華)

推薦閱讀