方便不等于一切!生物识别信息的安全谁来守护?
2021-03-12
售楼处人脸采集事件
2020年底,一则“戴头盔看房”的新闻在网络上引发热议,一方面,开发商为了杜绝“内单外挂”,在销售处安装了具有人脸识别功能的摄像设备,锁定客户所属渠道;另一方面,销售、中介以及客户,设法避开开发商的智能识别系统,以谋求更大利益。
这原本本是房地产商业生态的问题,但却因人脸识别技术的应用,而受到整个网络的关注。技术本是中立的,“戴头盔买房”引发热议,并不是人脸识别技术本身的问题,而是开发商在未告知、未明示、未经同意的情况下,擅自抓取并储存、使用了个人信息。
进一步想,无论是在售楼处,还是在写字楼、商场、超市,摄像头随处可见,从外观上看,我们根本没办法区别哪些摄像头具有人脸识别功能,而如何防止这一技术被滥用,正是我们所讨论、担心的地方,也反映出当下生物识别信息被滥用的问题。
强制“要脸”惹争议
以人脸识别为代表的生物识别信息技术的崛起让人欣慰,可当下在具体的落地过程中,却出现明显的滥用问题。
从刷脸支付到刷脸取钱,从刷脸安检登机再到刷脸认证办事……刷脸深入到生活的方方面面,一些公共厕所更安装了“人脸识别供纸机”,刷脸可取90厘米厕纸名义上是为提倡节约,可也引来不少人关于个人信息安全的担忧。
而在高校,一些能识别人脸的摄像头也步入许多学校的课堂,学生逃课、打瞌睡、走神都逃不过人脸识别的“眼睛”,在教室里使用人脸识别,是否侵犯了学生的隐私?
相对于一些明面上的强制“要脸”行为,真让人害怕的是一些“无感抓拍”。遍布商场、售房部、游乐场等公共场所的摄像头,究竟有没有搭载以往用于公安、安防领域的“无感抓拍”技术呢?这无疑存在“偷”脸的可能了。
刷脸之外,指纹识别更是早已在企业打卡、游乐场领币、第三方支付等等领域被广泛使用,大量个人生物识别信息被采集的同时,生物信息安全问题也频繁发生。
生物信息安全问题频发
2块钱打包70张艺人照片,1块钱买1000个身份证号。如此低价且侵犯隐私的交易,在名为“明星代拍群”中大量展开……
2020年底,“明星健康宝照片被泄露”时间同样成为公众热议的话题,只要有明星的姓名和身份证号就能获得他们的素颜照片,还能得知他们的核酸检测情况。这对于“靠脸吃饭”,需要时刻保持神秘的明星来说,不仅涉嫌侵犯他们的隐私,还对他们的商业价值产生了伤害。
个人生物信息直接采集于人体、且是个人生理特性的直接体现并唯一对應,这决定生物识别信息的价值和重要性。除了明星生物信息泄露会对其商业价值产生影响外,普通人生物信息泄露同样会造成个人信息安全、生命财产安全等相关问题,而且会导致大量深层信息被挖掘、曝光,给公民造成物质和精神上的极大损害。
大众不断提升的自我保护意识
当企业与互联网平台意识到个人生物识别信息价值后,用“越界”的方式采集这类信息的同时,个人对于生物识别信息的重视与自我保护意识也在不断提升。
2019年4月,消费者郭兵购买野生动物世界双人年卡,确定指纹识别入园方式。之后,野生动物世界将年卡客户入园方式调整为人脸识别,并更换了店堂告示。2019年7月、10月,野生动物世界两次向郭兵发送短信,通知年卡入园识别系统更换事宜,要求激活人脸识别系统,否则将无法正常入园。
因双方就入园方式、退卡等相关事宜协商未果,郭兵遂提起诉讼,要求确认野生动物世界店堂告示、短信通知中相关内容无效,同时野生动物世界违约且存在欺诈行为,被媒体称为“人脸识别第一案”。
从一审到二审,该案引发大众讨论的同时,也让越来越多的人开始重视生物识别信息安全问题。“人脸和指纹都在裸奔,只有密码在你的脑里。”、“当我们走到大街上,我的脸就已经被记录到数据库中了。”等论调开始频繁出现在社交平台上,而随着讨论的深入,隐秘在生物识别信息背后的黑产也开始浮出水面。
早已被黑产盯上的生物识别信息
趋利的不法分子通过一切手段,试图盗取“人体密码”,道高一尺魔高一丈的“猫鼠游戏”每天都在上演。人脸数据0.5元一份、修改软件35元一套……电商平台、社群的普及,为以人脸数据为代表的生物识别信息交易提供了便利,很多人认为人脸数据买过来无非用AI换脸软件恶搞娱乐,可在庞大的互联网黑产运作下,本身就极具价值的个人生物识别信息更会遭到压榨。
一方面,利用这些人脸数据帮他人解封微信和支付宝的冻结账号,还能绕过知名婚恋交友平台及手机卡实名认证的人脸识别机制;另一方面,如果人脸信息和其他身份信息相匹配,可能会被不法分子用以盗取网络社交平台账号或窃取金融账户内财产;如果人脸信息和行踪信息相匹配,可能会被不法分子用于精准诈骗、敲诈勒索等违法犯罪活动。
如果仅仅只是采集个人的人脸信息,而没有获得其他身份信息,隐私泄露风险还并不算大。但在大数据时代,多数用户为了方便,往往使用“一套密码走天下”,但这也为黑灰产提供了极大的便利。黑客利用大量已经泄露的用户社交软件和邮箱的账号等,建立起字典表,使用软件将其在不同的网站上不停地批量尝试登录,这就是“撞库”。这意味着,只要黑客拿到一个平台上泄露的信息,在其他网站上进行尝试,就可以“撞”出更多目标网站上的账号信息。
具有特殊性的生物识别信息
手机号码信息、密码信息一旦泄露,社会公众可以随时随地修改,但个人生物信息一旦泄露,并无修改的可能性,即便陷入危险境地,也难以寻求有效的解决对策。
人脸和其他生物特征数据间的一个巨大区别是,它们可以远距离起作用,这意味着我们在网上自拍或在街上走路时,都有可能不自觉交出了自己的个人生物信息。可以说,随着摄像头越来越普及,我们将真正进入“弱隐私”时代。如今,人脸、声纹、虹膜、指纹,甚至是步态都已经成为重要的个人身份信息,随着生物特征识别技术在生活中的广泛使用,极有可能成为个人隐私的泄露方式。
从某种程度上说,缺乏安全保障的刷脸,与把身份证和银行卡密码随便交给他人,没什么区别。在智能时代背景下,个人生物信息安全不仅要由应用者进行维护和保障,社会公众也要增强保护意识,尽量避免个人生物信息外泄,在面对便捷APP应用时,多一份警觉就会少一份担忧。
不太安全的生物识别信息
个人生物识别信息安全性的重要性不言而喻,可在具体应用过程,却存在不小的问题,作为一个新兴技术领域,生物识别信息本身存在一些弱点。
目前生物认证的弱点主要有两个方面:一是生物认证主要靠图像或者视频来进行特征确认,图像和视频在某种程度上是可以伪造的,现在有一种方法叫做AI伪造,就是通过AI算法‘造出一个不存在的人脸,或者自适应生成其他人脸,这种算法叫GAN,也称为对抗式神经网络,它可以通过大量的样本训练生成一些不存在的假样本、伪样本;二是生物认证本质上是字符映射,在计算机里人脸特征是用0和1这样的数字来描述,所以即使系统里不存在这张脸,但是通过黑客攻击的方法,就可以用数字的方式把这些特征输入进去,人脸识别就有可能会通过。与此同时,从扫描、采集到传播、处理等等环节,大众的个人生物信息已经存在于社会中无数个节点,所谓的泄露往往是在某一个特定的滥用环节上,很难去确定是哪一个节点。
人们总是一味地强调保密,防止泄露等安全问题,但在很多情况下数字生活又必须使用这些信息,因此强调保密不如去有效地防范个人生物信息的滥用,去打击滥用。
对于个人信息的非商业应用行为,鉴于信息适用主体为政府相关机构,相对一般的网络服务提供者来说,公民提供给政府机构的个人生物信息的真实性以及准确性更高,因此,建议对该类机构应当予以更为严格的规范,应当明确规范相关机构在个人信息处理行为中的权利以及义务范围,避免个人信息的过度使用。
大量创新应用开始亮相
从技术上来说,传统生物识别技术在鲁棒性、准确性以及抗攻击能力等方面,近年来都有大幅提升。比如突破2D人脸存在景深数据丢失的局限性,3D人脸识别技术因其具有更强的描述能力开始在高准确性应用中逐渐增多;在3D识别的基础上人脸活体检测的新技术也进一步被采用;防止人脸数据库被盗库的识别技术也已被提出;指纹识别则开始引入基于手指皮肤颜色和的脉搏心率信号的活体检验,用于防止被仿生导电材料做成的假手指攻击;声纹识别可结合使用电磁场检测,来判断声源为真人还是扬声器等。另一方面,考虑到应用场景的不同需求:持续认证、移动设备上识别、个人隐私保护等,新型生物识别技术也是应需而生。比如,浙江大学网络空间安全团队针对持续认证,开发了“心脏密码”系统通过不间断用生物雷达的无线信号来感知心脏运动,实现了易用性高的非接触式可持续认证;针对移动设备上的生物识别,利用设备内置摄像头捕捉到的眼球运动,智能手环上测量到的心电图,以及虚拟现实头罩测量到的眼电图和脑电波都相应的实现了可靠的生物识别;针对生物识别中的个人隐私保护,采用无线信号成像来代替摄像头,既避免了摄像头受视角和阻挡等条件的限制,更消除了直接获取图像的隐私泄露风险。
此外,正如每种生物特征各有特点,在充分考虑各种攻击场景下,任何單一生物识别技术往往都呈现出特定的优势和局限。每个模态都具有不同的数据安全程度、采集适应场景、隐私敏感度等,因此解决方案并不能通过单一技术完全达成,多模态多因子生物识别技术融合因此非常重要。比如夜晚光照不理想,人像识别率低,结合红外成像和热成像的跨模态互补就能增强人像识别的准确度。
行业自律法律监管缺一不可
生物识别信息安全被大规模应用的同时,相关法律法规也在不断完善中。目前,我国在《民法典》《网络安全法》《出境入境管理法》《反恐怖主义法》等法律法规中对个人信息的保护作了一些原则性规定。少数地方的政府规章对公共安全图像采集进行了规定,但整体看来,生物识别信息的法律功能、属性和作用并没有明确规定,相关的法律原则和权利义务也不够细致,事后权利救济尚缺乏相应的规定。在未来立法制度的完善过程中,一是正确处理好生物识别技术的创新与保障组织收益和保存生物数据安全的关系,尽量实现两者之间的平衡。
2020年11月份公开的《个人信息保护法(草案)》提及,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。网信办等四部门12月1日印发的《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》中也规定,3种金融类App必要个人信息不包含人脸信息等生物识别信息,App运营商不得强制收集并将其作为提供服务的必要条件。
这些政策等同于掐住了人脸识别模型研发的命脉,从监管发布的指导文件来看,人脸识别技术不会被“一棒子打死”,不过对参与者的准入门槛或将抬高,甚至收缩到持牌金融机构范围内,而这就是生物识别信息技术应用的边界问题了。
值得思考的技术应用边界
随着生物识别技术的深度发展,引发社会公众对隐私权、肖像权、名誉权、荣誉权等人格权的担忧。2020年10月1日起实施的新版《信息安全技术个人信息安全规范》明确提出,在收集人脸、指纹等个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息目的、方式和范围以及存储时间等规则,并征得个人信息主体明示同意。这一安全规范的实施,划定了人脸识别的安全责任边界,也传递出保护个人信息安全的坚定决心。
实际上,针对不同的使用情景,生物识别信息也应有不同的边界。在商业化场景中,满足个人信息主体“知情同意”情形下,鉴于人脸信息蕴含着更高的信息安全风险以及潜在的更广泛的信息内涵,企业应当谨慎评估使用行为是否遵循“合法、正当、必要”原则,避免被质疑“杀鸡焉用宰牛刀”。
而在基于公共利益的应用场景中,与传统法学上对于肖像权的限制观点相类似,基于社会公共利益所需的情形下,自然人就其人脸信息所享有的权利也得以在一定程度内被限制。
关注AI的推动作用
AI换脸绝非AI与生物识别信息融合的主流方向,数字化世界,需要迭代新的信任交互,生物识别技术是技术发展演进到一定阶段的必然产物,也是一种新型数字身份的基础设施。
它基于个体生物特征进行自动识别的一种技术,结合计算机与光学、声学、生物传感器和生物统计学原理等,依靠人体的生理特征或者行为特征来进行身份验证的识别,是当前人工智能技术和信息安全技术在工业界落地应用最显著的代表性成果之一。数字化时代,大数据的最终目的是数据挖掘,声、光、电、压等信息在AI看来,只是数据,并通过机器学习等算法实现识别的功能。而通过生物识别采集数据是人工智能应用的重要一环。随着数据库的不断积累、算法进一步优化,人工智能将拓展到更多应用
后记: 或可按下暂停键
生物识别信息能够在数字时代为人们带来颇多便利,也能加速各产业发展,但在技术爆炸,产业快速更迭的当下,狂飙猛进的生物识别信息技术也埋下了诸多隐患。随着尝鲜者越来越多,人脸识别已经呈现滥用趋势,而滥用就意味着人脸信息泄露的环节越来越多,且不易控制。一份针对2万人的问卷调查显示,6成受访者认为人脸识别有滥用趋势,3成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。
由于人脸的唯一性和不可复制,人脸信息泄露所造成的后果难以预估。在严重的后患和加速落地带来的短暂利益面前,或许按下暂停键会是当下生物识别信息安全更好的选择。