商家公開兜售“人臉數據”?刷臉時代誰來保護人臉信息

胡春艷

2019年10月10日08:31  來源:中國青年報
 
原標題:商家公開兜售“人臉數據”?刷臉時代誰來保護人臉信息

  刷臉時代 誰來保護我的“人臉信息”

  眨一眨眼睛手機就能解鎖,刷臉能直接通過機場安檢……當人們盡享技術給生活帶來便捷的同時,與之相伴而來的,還有各種想象不到的陷阱。

  近日有媒體報道,有商家在網絡商城上公開兜售“人臉數據”。這17萬條數據背后,是2000張臉,他們的主人有明星、普通市民,還有部分未成年人。而被採訪的當事人表示,自己不僅對自己的“人臉數據”被出售毫不知情,甚至連自己的面部數據是什麼時候被採集的都不清楚。這些數據包括帶人臉的位置信息,以及人臉的106處關鍵點,如眼睛、耳朵、鼻子等輪廓信息。

  售賣這些“人臉數據”的店家,是一位從事人工智能相關工作的技術人員,收集了大量人臉數據,自稱出售信息只是為了“掙個飯錢”,並不提供當事人的人名和身份証號等信息。

  盡管該商品被舉報后下架,但該事件卻把一直以來被忽略的人臉信息的數據安全問題擺到了人們面前。特別是近日來在社交軟件中一度風靡的換臉游戲,讓人們忽然驚覺:假如我的臉被“賣”了怎麼辦?密碼被盜可以換,可我去哪兒換一張臉?

  我的臉能証明“我是我”嗎?

  與指紋、虹膜、DNA一樣,人臉識別是基於人臉部特征進行身份識別的一種生物識別技術,被認為可以非常便捷地証明“我是我”。事實上在人們習慣使用人臉識別解鎖手機之前,那些立在路邊的監控攝像頭,藏在手機裡的美圖軟件、猜年齡軟件等,都在應用著面部信息識別的技術。

  從技術操作的流程來說,人臉識別技術大致需要通過採集、定位、匹配與識別等幾大步驟來完成,而它的背后需要有龐大的數據庫和精密的電腦計算。

  值得注意的是,人臉信息又不同於密碼和指紋,它的搜集過程可以是不被察覺的,被識別者可能在沒有意識或沒有直接接觸時,就被採集信息。很多時候人們在“被刷臉”,而自己卻連說“不”的機會都沒有。你走在路上、坐在地鐵裡,臉部信息可能就在不知不覺中被搜集走了,可你卻絲毫意識不到。

  當然,目前已經証明,人臉識別技術用於抓捕危險逃犯、查獲拐賣人口以及確認交通肇事逃逸者等維護社會治安穩定的領域,表現出精准高效的優勢。很多人認為,“隻要我不做違法違規的壞事,我的信息被採集也無所謂。”

  “人臉識別技術並沒有人們想象得那麼安全。”中國圖象圖形學學會可視化與可視分析專委會秘書長、天津大學軟件工程專業教授張加萬表示,人臉識別技術近年來發展非常迅猛,很多高校和科研機構都在從事相關研究。現在,專業技術人員可以用技術手段合成二維、三維照片,輕鬆欺騙電腦系統,讓大家相信,那個並不是“我”的人,就是“我”。

  這是智能技術帶來的安全隱患,即使人臉識別中的活體檢測技術,也並非銅牆鐵壁般牢靠,“一旦被破解,整個面部識別也就形同虛設了。”

  技術遠遠“跑”在監管前面

  電影《碟中諜4》裡有一個令人印象深刻的場景:男主角湯姆·克魯斯戴著神奇的“眼鏡”,在人頭攢動的火車站行走,一眨眼的工夫已經被認出,隨即被特工盯梢。迎面走來美女殺手,手機發出滴滴的報警聲,上面已經顯示出對方完整的姓名和信息……

  如今電影裡的設想已經出現在我們真實的生活中。上述報道中,盡管兜售臉部信息的賣家稱,自己並未出售相關的個人身份証等信息,但張加萬認為,這依舊存在著很大的個人信息泄漏的風險。

  通過不同數據庫的交叉比對,很容易証明一個人的身份。他舉例說,比如一個人留的快遞收件人姓名是假名,但他的住址信息在其他數據庫中依然有其真實身份信息,隻需要幾個數據庫進行比對,則很容易找到兩個名字之間的關聯。有了人臉信息,可以實現實時換臉,直接解鎖手機、打開門禁、刷臉支付,倘若再配合音頻仿真技術,則更具有迷惑性,可能產生一系列的安全問題。

  對於人臉識別技術的運用,國際社會早已有所討論。2013年聯合國大會通過決議——“數字時代的隱私權”。其中強調,“盡管對公共安全的關注可說明收集和保護某些敏感信息的合理性”,但各國政府需充分遵守其按照國際人權法所承擔的義務,各國應“設立或維護現有的獨立有效的國內監督機制,使其能夠確保國家通信監控、通信截獲以及個人數據收集工作具備適當的透明度並接受問責”。

  不久前,科技巨頭聚集地——美國舊金山通過法案,成為美國第一個禁止警察和當地政府機構使用人臉識別的大城市。這個法案也引起了不少爭議,反對者認為,不應該完全禁用,而應該對如何使用這項技術進行更細致、更全面的規范。

  技術顯然遠遠“跑”在了監管的前面。目前在大部分國家,仍然沒有關於人臉識別技術及其數據使用的相關立法,人們不知道這些屬於自己的數據信息被收集到哪裡,又將被如何使用。即使對從事人臉識別技術的研究人員,也看不清其未來發展將走向何方。正如人們往往隻看得見浮現於大海中的部分冰山,而隱藏在海面以下的才是更巨大的冰山。

  加強人臉特征信息全鏈條防護

  “技術是一把雙刃劍。”中國青少年科技輔導員協會人工智能教育專委會一位委員在接受採訪時表示,一些隱藏的安全隱患也可能來自誤操作等其他原因。比如智能攝像頭將數據向雲端上傳時需要網絡傳輸,這個過程可能會出現數據泄露﹔也有可能數據管理者與一些不具備足夠服務能力的第三方合作出現安全漏洞。當然也不排除一些人為的因素,都可能會導致人臉數據的泄漏。

  9月20日舉辦的金融網絡安全論壇上,央行科技司司長李偉表示,在網絡空間僅依靠人臉等單一特征進行金融交易驗証,存在嚴重交易隱患。金融機構在相關交易時,人臉數據採集應提前告知用戶信息使用的方式,明確獲得客戶授權。

  張加萬也提醒,現在對於人臉數據的科普還遠遠不能讓人們充分意識到其隱藏的風險,“很多客戶根本看不懂那些授權文件裡的內容代表哪些具體內涵,但為了使用那些服務,還是同意了授權。”

  “不要簡單地將人臉特征作為唯一的交易驗証因素,須根據風險等級結合用戶口令等其他因素進行多因素認証。”李偉表示,人臉屬於弱隱私生物特征,信息誤用風險比較大。部分機構高估了弱隱私特征的識別作用,在網絡空間僅依靠單一特征進行金融交易驗証,存在嚴重隱患。這是一個需要引起注意的問題,張加萬也在各種場合呼吁,在技術仍存在風險的時候,別太急於廣泛應用於各種商業領域。

  從與老百姓錢袋子直接相關的人臉識別支付應用角度,李偉認為目前線下應用風險相對可控,但也應遵循“用戶授權、最小夠用”“表達意願、多重認証”以及“風險補償、全程防護”原則。他建議要主動建立健全風險賠付資金、保險計劃、應急處置等風險補償機制,綜合運用多種信息技術,加強人臉特征信息端到端的全鏈條安全防護。

(責編:楊虞波羅、呂騫)