购物“扫脸”支付、“扫脸”解锁手机、进小区“扫脸”开门、坐高铁“扫脸”……如今,越来越多的事情可以通过“扫脸”来解决,也就是利用面部识别技术。
近日,由全国信息安全标准化技术委员会等机构成立的App专项治理工作组发布了一份《人脸识别应用公众调研报告(2020年)》。
报告显示,超过九成受访者使用过人脸识别,具体用途中,“刷脸支付”最为普及。但六成受访者认为人脸识别技术有被滥用的倾向,三成受访者表示因人脸信息泄露、滥用而遭受隐私或财产损失。
调查显示,越来越多的人开始接受并使用人脸识别,但同时也担心随处“刷脸”是否会导致个人信息泄露。在“刷脸”时代,我们的面部信息还安全吗?
大多数人对人脸识别都是又爱又恨,喜欢它的便捷、快速,却讨厌它的安全风险。
今年8月13日,杭州钱塘新区公安部门抓获两名窃取多个网络平台数千条个人信息转卖的犯罪嫌疑人。今年早些时候,浙江衢州也破获了一起侵吞公民个人信息案件,犯罪嫌疑人利用窃取的信息在某金融平台注册账户,非法获利数万元。值得注意的是,两起案件中的犯罪嫌疑人均利用“AI换脸技术”,非法获取公民照片进行一定的预处理,再利用“照片激活”软件生成动态视频,欺骗人脸验证机制实施犯罪。
那么,即使不是自己的脸,人脸识别又如何发挥作用呢?以广泛用于解锁手机的人脸识别为例,研究人员用口罩代替人脸进行测试。
测试时软件自动化测试,研究人员先将手机放在三脚架上,再将口罩放在手机对面,然后调整光线、色温和角度。经过多次对比,手机成功解锁,这意味着手机将口罩识别为人脸。专家表示,这种口罩的生产成本并不高,只要不是在极暗或极亮的背景下,透过口罩或头饰进行人脸识别的成功率高达30%。
中国科协“源新闻”专家库成员、中国信息通信研究院科研工程师王嘉懿:3D打印可以制作出精度比较好的人体脸部口罩,头饰也是利用同样的原理制作的。
专家表示,目前最简单的人脸识别,只需要采集并提取人脸上6个、8个特征点,复杂的人脸识别则需要采集并提取人脸上几十个甚至上百个特征点,相比于手机解锁、“刷脸”支付、“刷脸”进社区等应用,采集的面部特征点更多,安全性自然更高。
目前,专门针对生物特征的活体检测技术已经发展起来,可以有效识别被扫描对象的生命体征,大大降低识别系统将照片或面具误认为人脸的风险。
中国科协“源新闻”专家库成员、中科院自动化研究所研究员张兆祥表示:比如传感器中我们经常用到的近红外摄像头,一方面可以采集人脸的信息,另一方面还可以采集人脸的温度,包括温度变化带来的一系列变化。这些信息可以帮助我们判断这张脸是照片、视频,还是真实的活体人脸。
活体人脸检测技术主要集中在细微面部动作、3D人脸重建、红外人脸检测三个领域,更多的活体生物特征识别技术也在不断拓展。在中国科学院自动化研究所,张兆祥研究员现场为我们演示了“视频心率检测系统”。该系统可以通过人脸识别技术锁定皮肤区域,提取人体生理脉搏信号,经过多重滤波处理,得到心率。
中国科协专家库成员、中科院自动化研究所研究员张兆祥表示:“比如说,我们可以从人脸肤色的变化跟心跳的血流变化中提取出微弱的信号,来估计人的心跳。这个技术还可以用在整个人脸识别系统中做活体检测,如果是照片的话,我们是没法估计心跳的,只有真实的人脸才能估计心跳。”这也能帮助我们提高人脸识别技术的安全性。
专家认为,目前人脸识别技术的风险更多集中在存储环节。那么我们的人脸信息被采集之后,存储在哪里呢?
专家表示,由于人脸识别应用种类繁多,缺乏统一的行业标准,大量人脸数据存储在各个应用运营商或技术提供商的中心化数据库中。外界并不清楚这些数据是否脱敏、安全措施是否到位、哪些数据用于算法训练、哪些数据会与合作伙伴共享。而且,一旦服务器被黑客入侵,高度敏感的人脸数据将面临泄露的风险。
为了堵塞这个漏洞,专家提出了分层授权、分布式存储、数据脱敏和加密的方法。
中国科协专家数据库专家、中科院自动化研究所研究员张兆祥介绍说:“人脸识别从人脸原始图像到整个信息提取的过程是可以分层次的,不同的阶段分配给不同的用户。当对数据进行脱敏处理或者去除其身份信息后,提供一系列的人脸识别服务。”
专家进一步指出,人脸数据存储应制定更加严格的标准和规范,技术开发商和App运营商不应成为各自为政的数据孤岛,只追求技术升级而忽视隐私风险,而应在更严格的监管下以及法律和行业监管下对数据进行收集、使用和存储。
中国科协“源新闻”专家库成员、中科院自动化研究所研究员张兆祥:其实从安全角度来讲,我们迫切需要业界能提供一套标准,让我们有一个规范可循,能够有效防止人脸数据等敏感身份数据的泄露。
越来越多的人使用人脸识别,在越来越多的场合,想象一下,当所有这些聚集在一起时,会有多少人脸信息。那么,这些人脸信息是用来做什么的呢?一些技术开发商或App运营者确实存在信息泄露问题,导致人脸信息被滥用,甚至形成黑色产业链。
记者发现,在一些网络交易平台上,仅需2元钱就能买到上千张人脸照片,5000多张人脸照片售价不到10元。浏览商家的素材库,充斥着真人照、自拍等充满个人隐私的照片。当记者向客服询问这些图片是否涉及版权时,客服予以否认,但又拿不出任何资料证明照片的版权。可想而知,如果这些包含个人信息的人脸照片落入不法分子手中,那么照片主人不仅可能遭受精准诈骗和财产损失,甚至可能因为人脸信息被用于洗钱、涉黑犯罪等违法活动而卷入刑事诉讼。相关部门也在不断加大对倒卖人脸信息违法行为的打击力度。
为了减少信息泄露,人脸识别技术需要不断升级。如何实现呢?这又引出了海量人脸信息的另一个用途。
专家表示,人脸识别技术的发展不仅需要算法的不断优化,还需要大量的人脸数据进行训练和测试。在用户授权的情况下,大部分人脸数据被技术提供商用来完善系统。而用于完善系统的人脸数据是经过脱敏处理、不再包含个人信息的大数据,无法直接或间接识别出与自然人相对应的人脸数据。
除了技术的不断完善外,相关法律法规的出台对于消除人脸识别领域的风险更为重要。
针对人脸信息被滥用、窃取、随意收集的现象,法律专家朱炜指出,《网络安全法》明确将个人生物特征信息纳入个人信息范围。我国《民法典》规定,收集、处理自然人个人信息,应当遵循合法、正当、必要的原则,并经自然人或者其监护人同意,被使用人同意后,有权撤回。
中国科协“源新闻”专家库成员、中国政法大学传播法研究中心副主任朱炜:从2012年12月28日全国人大常委会通过加强网络信息保护的决定的时候,就提到了一个重要的原则,就是合法、正当、必要原则,这是个人信息收集使用最基本的九字原则。同时,还有通知,比如我去一个地方,有人在我不知情的情况下收集了我的信息,这个是不行的,必须事先通知,要征得个人的同意,包括使用目的、收集方式、保存期限等。第二,如果我一开始同意,允许对方处理我的个人信息,但是事后又反悔了,这个在个人信息保护法草案里叫撤回同意。这个权力就交给了我们这些被收集者手里软件自动化测试,我们可以同意、授权、拒绝、撤回。
目前,《中华人民共和国个人信息保护法(草案)》正在向社会公开征求意见。
草案提出,在公共场所安装图像采集和个人身份识别设备,应当是维护公共安全所必需的,符合国家有关规定,并设置显著的警示标志。所收集的个人图像和个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供,但取得个人单独同意或者法律、行政法规另有规定的除外。
专业数据显示,到2022年,全球人脸识别市场规模将达到75.95亿美元,约合人民币508亿元。在我国,截至今年10月14日,人脸识别相关企业已超过1万家,预计到2024年市场规模将突破百亿元。人脸识别已在金融、教育、交通、政务、医疗等领域深度应用。相信随着技术的不断进步,以及相关行业规范、法律法规的完善,人脸识别不仅会更加便捷,也会更加安全。
