消息顯示,十三屆全國人大常委會第七十二次委員長會議決定于10月13日至17日在京舉行十三屆全國人大常委會第二十二次會議。根據委員長會議建議,本次常委會將審議全國人大常委會委員長會議關于提請審議個人信息保護法草案的議案。
在技術不斷發展的今天,如何處理好個人信息利用和保護已經成為備受關注的問題。
消息顯示,十三屆**人大常委會第七十二次委員長會議決定于10月13日至17日在京舉行十三屆**人大常委會第二十二次會議。根據委員長會議建議,本次常委會將審議**人大常委會委員長會議關于提請審議個人信息保護法草案的議案。
*近,李開復“口誤”、雙胞胎姐妹脫口秀調侃人臉支付以及清華大學法學教授拒小區人臉識別門禁等系列事件的發生,引發社會上對人臉識別技術的數據安全以及使用邊界的大討論。
對于“人臉解鎖”、“刷臉支付”、“刷臉進出”等行為,很多人覺得在日常生活中已經變得非常普遍了,但這種普遍的另一面,則是人臉信息被濫用、被盜用風險的加大。比如我們用于支付交易的人臉識別流程,包括眨眼、張嘴、搖頭、點頭等一系列驗證方式,實際上已經被一些惡意人士破解,甚至用于借貸、套現等不法行為,而當事人卻對此一無所知。
正如有業內人士所稱,當前的情況是,技術跑在監管前面。人臉識別行業監管不到位,針對采集人臉信息的公司沒有規范的管理辦法,比如哪些公司可以采集、什么用途、保存多久、誰可以看、要不要加密、什么樣的清晰度,這些應該有一些法律規范,目前行業比較混亂。另外,從人臉信息的采集、儲存、傳播到再利用,中間哪些環節該為信息泄露負責?而泄露后的人臉數據,究竟會被什么樣的人使用,用于怎樣的場合,是否可能導致財產的損失與其他人身權益的侵犯,更沒有一個清晰的法律界定。
但可以確定的是,人臉數據的泄露,所帶來的潛在的安全風險,遠比手機號與賬戶信息的泄露更為嚴重。也因此,世界各國都在思考,如何對其設置更為合理和科學的監管規則來保護個人隱私與數據安全。
巨大市場背后的爭議
所謂人臉識別技術,是生物識別技術的其中一種,主要是基于臉部特征信息,用攝像機或攝像頭采集含有人臉的圖像,并自動進行檢測與追蹤等一系列相關技術,在目前的工作和生活中,包括掃臉支付、掃臉認證、掃臉過門禁閘機、掃臉乘坐電梯等場景。而隨著世界范圍內的人臉識別技術研發的突破,已經被廣泛應用于如行政服務、金融業務、單位考勤、門禁系統以及司法辦案之中。
據前瞻產業研究院數據顯示,2019年人臉識別市場規模達34.5億元;未來5年人臉識別市場規模,還將保持20%以上的增長速度;預計2024年,市場規模將達100億元左右。智研咨詢發布的《2019-2025中國人臉識別行業報告》也顯示,2015-2020年間全球人臉識別市場增長166.6%,在包括指紋識別的眾多生物識別技術中增幅居于首位,預計到2021年中國人臉識別市場規模將突破50億元。
人臉識別之所以能夠快速在我國發展,主要在于其能智能化的釋放雙手,無感通行,站在人臉識別儀面前,你根本不需要做什么,“門”自動就會開啟,加上人臉**性,人臉識別集體提供了更加智能、安全、便捷的功能,提升通行方式的效率和體驗,也在改變著未來通行方式。
值得注意的是,面部、指紋、虹膜、聲音等信息均屬于生物識別信息的范疇,具有**性和不可更改性等特點,一旦泄露就意味著終身泄露,就很有可能給個人帶來安全和經濟損失。360視覺科技CEO邱召強曾在接受媒體采訪時表示,隨著人臉識別算法的開源,進入人臉識別行業的門檻越來越低,整個行業可以用魚龍混雜來形容,現在市面上的人臉識別產品,基本90%都處在裸奔狀態。“有些設備是人臉識別算法本身就不過關,比如無法通過活體防偽檢測,一張照片就能通過;另外一些設備則是無法通過安全防護檢測,產品存在極大的安全漏洞,不用手段高明的黑客,一名普通的安全工程師都能輕易進入設備,拿到里面的用戶數據。”
對于人臉識別存在的安全隱患,上述業內人士認為,一是人臉識別未經用戶許可擅自采集用戶人臉數據,并用作商業用途;二是人臉數據被采集后,通常有很長的生態鏈,商家不僅擁有了用戶的人臉數據,還擁有了用戶的消費習慣、財務狀況等其他信息,這些信息一旦泄露,將對用戶的隱私造成巨大的損害。
黑產鏈的“魔高一丈”
石家莊網站建設消息此前,早有媒體報道指出,我們正處于信息裸奔的時代,一些網絡黑產從業者利用電商平臺,批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程,“人臉數據0.5元一份、修改軟件35元一套”。
據記者調查,在一些社交平臺就有賣家公開吆喝,稱“可以通過‘黑科技’技術,破解多款APP動態人臉識別,幫助買家完成實名認證。”如果買家提供App賬號,通過動態人臉識別的單價在20元至50元不等;如果買家要求賣家提供App賬號,過動態人臉識別的單價則在80元至300元不等。除此之外,買家還可以花費1800元至4000元不等的“學費”,讓賣家傳授“黑科技”技術,自己開辟“賺錢”的門道。
關于上述“黑科技”破解動態人臉識別的操作,有不具名的技術人員透露,人臉識別的信息存儲仍基于計算機可識別的語言,即數字或特定代碼,而隨著這些數據價值的提高,面臨黑客攻擊的風險也會越來越高。“所有帶有動態人臉識別的APP,都有‘活體檢測’功能,當該功能做得不夠嚴謹時,則會出現系統無法區分真實和偽造數據的漏洞。”
在此前偵破的一起利用人臉識別認證的詐騙案件中,據嫌疑人周某、楊某等人交代,在發現某支付存在人臉驗證漏洞之后,他們開始大量在網上大量購買公民個人信息,包含公民的身份證照片正反照片、公民持證照、公民手機號碼、銀行卡號和開卡地等信息。接下來就是破解了:
用手機自拍一張半身照,使用PS將購買的公民面部照片合成到自拍的半身照上面。
用手機對著自己錄制一些“張嘴”、“搖頭”、“眨眼等動作”的小視頻,將照片和視頻存在PC電腦中。
通過在手機上登錄該支付平臺,輸入他人的該支付平臺的賬號(即公民信息資料中的“手機號碼”),然后在系統提示下點擊“忘記登錄密碼”,再選擇輸入注冊身份證號碼,之后選擇人臉校驗。
將事先準備好的合成照片從電腦上打開,再將手機攝像頭對著合成照片,完成**步靜態人臉識別,然后再按照系統的指令,在電腦上播放事先錄制好的視頻片段,播放時仍然將手機攝像頭對著電腦屏幕,完成第二部動態驗證。系統僅會對**張靜態人臉照片進行識別,因此通過受害人的合成照片認證就可以通過校驗,系統不會對第二次的動態視頻再進行校驗,只需辨認視頻中的人是能夠活動的活體。
而針對一些平臺的人臉動態驗證動作,這些嫌疑人甚至還提供了多個動作腳本,比如有的是眨眼-搖頭-眨眼-點頭,有的則是張嘴-搖頭-張嘴-點頭。在軟件中導入人臉照片并標記眉峰、眼角等人臉關鍵點后,本來一張二維的人臉圖片便可按腳本做出眨眼、點頭、搖頭、張嘴的動作。其原理為將一張人臉照片通過軟件套在動作腳本上并制成MP4格式的視頻,從而繞過服務商的人臉識別認證。
一名不愿具名的人臉驗證安全專家曾對媒體表示,目前許多人臉驗證攝像頭會采用更為高級的算法來防止黑產的破解。如有攝像頭會專門看人臉深度的位置,一些前置攝像頭會突然放大一下(亮度)來刺激瞳孔收縮,以此來確認通過驗證的是一個活人,這樣那些采用3D模擬的假人臉就無法通過了。
而對于采用導入事先編輯好的視頻來欺騙攝像頭人臉驗證的破解方式,該名專家表示,這種方式其實也已經“落伍”了。“以前人臉驗證會要求人在攝像頭前做出動作,一般有四組一共36個動作,這樣事先拍攝好的視頻可以嘗試多次,以三十六分之一的幾率通過驗證。對于這種破解方式,只要采取更高級的算法就可以防御,在黑產端口,目前**的手法是黑客直接黑掉攝像頭,因為視頻采集人臉圖像時,攝像頭到服務器中間不一定安全,可能有人會竊取流量,**達到破解的目的,這更加難以防御。”
事實上,對于人臉識別技術存在公眾隱私和信息安全的爭論,一直是國內外長期爭論不休的話題。國外對于個人信息保護出臺了一系列條例,比如2018年5月,歐盟出臺了《通用數據保護條例》(GDPR),給予生物識別信息明確的定義,并對公民個人信息進行分類和設定不同的保護方式,即公司在收集用戶包括面部等生物特征數據之前,必須經得個人同意,否則被罰金額可以達其全球收入的4%。而美國在聯邦層面并沒有關于人臉識別的規制條款,則是由各州自行規定。
去年初,微軟CEO薩提亞·納德拉曾提出,需要對人臉識別技術制定相關監管規則,以避免市場利用這項技術進行惡性競爭。而臉書、谷歌、亞馬遜等科技巨頭,也面臨來自立法者和其他人對其隱私做法的強烈反對;微軟后來更是悄然刪除了此前全球**公開人臉識別數據庫。
有專家認為,要通過制定法律法規和**標準,明確企業從業資質與行為規范;在較為敏感的場景,應限制乃至禁止人臉識別的應用,并制定完善的準入機制、規制措施與問責制度,從而****地防范人臉識別技術的濫用。
| 
