刷脸时代该如何护好我们的“面子”

一个人的手指指纹只有10个,虹膜只有两个,掌纹只有两个,声纹只有一套,脸也就只有一个。生物认证是不可撤销的,一旦其信息泄漏了,就没有什么补救措施。

从某种程度上说,缺乏安全保障的刷脸,与把身份证和银行卡密码随便交给他人,没什么区别。

因不同意进动物园要刷脸,浙江理工大学特聘副教授、浙大法学博士郭兵,将杭州野生动物世界告上了法庭。此案成为国内消费者起诉商家的“人脸识别第一案”。

2020年12月29日,该案二审在杭州中院开庭,郭兵提出指纹识别和人脸识别相关格式条款内容无效的诉讼请求。

之前不久,一则“戴着头盔看房”的视频广为流传,因为一些售楼处的工作人员会通过人脸识别判断购房者身份,进而决定是否给予购房优惠。

互联网时代,“刷脸”等新技术的发展和应用带来便利的同时,也为个人信息保护带来了新挑战。近年来,围绕人脸识别的争议不断。这些争议一定程度上反映了人脸识别应用之广泛及由此引发的公众担忧。

互联网时代如何保障个人信息安全?生物认证技术有哪些弱点?包括刷脸在内的生物认证应用场景和技术是否有相关的规范和监管?科技日报记者采访了有关专家。

生物特征就是我们的另一张身份证

在机场、高铁站进站核验身份,刷脸;到酒店办理入住,刷脸;在银行远程开户,刷脸;网上支付、通过门禁,刷脸……

近年来,以深度学习为核心的人工智能技术飞速发展,其中,视觉识别技术应用落地颇为广泛,人脸识别逐渐从少数安防场景渗透到人们的日常生活之中。今年以来,新冠肺炎疫情带来无接触的场景需求,更是加速了这一进程。

人脸识别其实是生物认证的一种,其他生物认证还有指纹识别、虹膜识别、声音识别等。生物认证最大的特点是唯一性,比如每个人都有独一无二的脸、指纹和虹膜等。

因此,生物特征也可以看作是我们的另一张身份证。“生物认证就是识别个人特征,比如说识别面容特征,跟查验身份证号码是一个道理,它可以指代我的个人身份。”江苏省科协的党组成员、副主席,南京理工大学信息处处长李千目说。

可以想象一下,身份证不用时,要么放在钱包里,要么锁在保险柜里。如果有一天,你的生物身份证被物业公司、动物园、银行、酒店等存放在你无法知晓的电脑硬盘里,你还会觉得刷脸认证是安全的吗?

北京永信至诚科技股份有限公司首席战略官潘柱廷告诉记者,密码可以定期换,可以改。但是一个人的手指指纹只有10个,虹膜只有两个,掌纹只有两个,声纹只有一套,脸也就只有一个。生物认证是不可撤销的,一旦其信息泄漏了,就没有什么补救措施。

从某种程度上说,缺乏安全保障的刷脸,与把身份证和银行卡密码随便交给他人,没什么区别。

“这样一种技术的推广应用,应该对其可能的收益和风险比进行充分论证。但在杭州野生动物世界这个案子中,我们看不出使用人脸识别技术的必要性和不可替代性,也看不到使用方对风险的充分考虑和准备。此类为推广技术而推广的行动都是需要警惕和反思的。”东南大学程国斌副教授这样认为。

人脸识别为何屡被黑客攻破

早在2017年3·15维权活动中,就曝出刷脸登录存在安全漏洞:凭借一张观众的自拍照,可以成功“换脸”破解手机的人脸认证系统。

其后,也有过人脸数据泄露事件发生,有的是因为存储照片的数据库被黑客攻击,有的是因为工作人员将数据拷贝贩卖获利。

李千目告诉记者,目前生物认证的弱点主要有两个方面:一是生物认证主要靠图像或者视频来进行特征确认,图像和视频在某种程度上是可以伪造的,“现在有一种方法叫做AI伪造,就是通过AI算法‘造出’一个不存在的人脸,或者自适应生成其他人脸,这种算法叫GAN,也称为对抗式神经网络,它可以通过大量的样本训练生成一些不存在的假样本、伪样本。”

二是生物认证本质上是字符映射,在计算机里人脸特征是用0和1这样的数字来描述,所以即使系统里不存在这张脸,但是通过黑客攻击的方法,就可以用数字的方式把这些特征输入进去,人脸识别就有可能会通过。

2020年10月,一项涉及2万多人的调查研究——《人脸识别应用公众调研报告(2020)》显示,有九成以上的受访者使用过人脸识别,有六成受访者认为人脸识别技术有滥用趋势,还有三成受访者称,已经因为人脸信息被泄露和滥用而遭受到隐私或财产损失。

相较于身份证号、手机号之类的个人信息泄露,目前曝光于大众视野的人脸数据泄露事件还不算多。但已有媒体报道,一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程。

一个良性的变化是,民众的隐私保护意识有所提升。报告显示,高达八成的受访者表示关心过人脸原始信息是否会被收集方保留以及会被如何处理。具体到人脸信息的处理规则,受访者最想知道收集方“采取何种技术和管理措施保证收集的人脸信息安全”,以及“人脸识别技术是否为第三方提供,如是则第三方是谁”和“人脸信息目前被使用在哪些场景,是否变更了使用目的”。

行业自律与法律监管缺一不可

受访专家大多表示,乐于看到人工智能等新技术的应用和发展,但加强个人信息保护同样刻不容缓。

李千目认为,对于人脸识别技术的滥用,一是形成强有力的监管,对不法行为进行威慑;二是进行技术防范,用人工智能方法进行反人工智能的识别和判别,并建立相应的认证库或第三方认证中心,对生物认证进行核查;三是加快立法,加大对违法行为的惩罚力度。

放眼全球,一些发达国家已经在立法上先行一步。2015年,美国发布《面部识别技术——商业用途、隐私问题及其适用的联邦法律》报告,对商业实体使用面部识别技术来识别或跟踪个人进行限制。2018年,《欧盟通用数据保护条例》(GDPR)正式生效,明确规定个人数据是个人所有的数据资产,被称为“史上最严”的数据保护法案。

我国在个人信息保护层面的立法也已提速。例如《民法典》将自然人生物识别信息列为个人信息;《个人信息保护法(草案)》拟对侵害个人信息权益行为,给予没收违法所得和罚款等处罚。

不可否认,技术有很强的工具属性,谁都可以用,有人用钢铁造广厦千万间,有人用枪炮屠戮生灵万千。所以,程国斌认为,对于人脸识别技术的滥用,除了法律监管行业自律,还必须对其进行深刻的伦理反思和伦理治理。

“开发一项新技术的时候,人类总是带有某种价值倾向或价值追求。对这个具体的初始价值与技术应该促进社会发展和人类幸福的总体价值之间的关系做出考量,是科技伦理重要的工作。”程国斌说。

2019年7月,中央全面深化改革委员会第九次会议审议通过了《国家科技伦理委员会组建方案》。实施科技伦理审查就是为科技创新划定必要的伦理航道和价值底线,明晰科学技术活动中“有所为,有所不为”的伦理边界,防止随意打开“潘多拉魔盒”。

“但据我所知,目前我国伦理审查机制仅在医学界建设得相对完备,而在高校院所和企业科研中基本是空白。与欧美的一些发达国家相比,我国科技伦理审查的覆盖面和制度的完备性方面,还有较大的提高空间。”程国斌说,成立机构只是开始,一整套的机制、政策、法律体系和潜移默化的科学伦理意识还需加快培育。


责任编辑:周思扬