新華社北京5月10日電(記者顏之宏 汪奧娜 張鐸)上傳「自拍照」也可能會洩露個人隱私,這可不是危言聳聽。
隨著生物特徵識別技術在生活中的廣泛使用,人臉、聲紋、虹膜、指紋,甚至是步態都已經成為重要的個人身份信息,同時也有可能成為個人隱私的洩露方式。
「秀自拍」背後的「洩密風險」
「掃一掃二維碼,上傳一張自己的照片,來看看你過去的樣子。」
不久前,一場網絡互動活動火了一把。它讓網友上傳自己的照片,並在朋友圈中分享「自己過去的樣子」。隨後,有人質疑這樣的活動存在洩漏網友生物特徵信息的風險,儘管活動主辦方迅速澄清,表示不會保存用戶照片和其他個人信息,但依舊引發了人們的關注。
從一張照片中可以提取到用戶的哪些信息?上個世紀八十年代,某雜誌一張封面照片《阿富汗少女》吸引了眾多讀者的目光。十多年後,為找尋照片中當年那個神秘少女,技術人員通過虹膜識別技術,在上千個自稱是照片主角的人中找到了她。北京理工大學光電學院副教授何玉青向記者講述了這一故事。
「那是用30多年前的相機拍攝的照片,以現在的攝影技術,想要獲取某個人的虹膜信息並非難事。」何玉青說。
當前,人臉識別技術更加普及,隨意上傳自己的照片是否存在安全風險?記者向多位技術專家求證,多位給出了肯定答覆。
「儘管不少網際網路企業都聲稱有自己的人臉識別算法,並能夠通過機器深度交互學習來甄別是活體還是照片,」360視覺技術專家邱學侃表示,「但是任何人臉識別技術都無法保證100%不被照片等影像騙過去。」
上海市信息安全行業協會會長談劍峰表示:「生物認證最大的共性是唯一性,每個人都有獨一無二的臉、指紋和虹膜等,正是這種唯一性讓大家認為生物認證是安全的。但生物特徵資料庫一旦被攻破,大量帶有唯一性的生物特徵數據被盜取,這帶來的風險要比盜刷嚴重得多。」
「如果你的郵箱密碼被盜用,你可以重新設置密碼來彌補損害。但如果你的虹膜或者指紋等信息被盜用,你是不可能重新設置虹膜或者指紋的。」英特爾公司軟體工程師郭向陽說。
把「我」變成「你」,其實很簡單
除了人臉信息之外,虹膜、聲紋、指紋、掌紋、手指靜脈甚至步態都可以作為身份識別的重要生物特徵。一旦這些信息被他人盜取利用,輕則造成個人財產損失,重則危及國家安全。
今年春節期間,一些機構通過社交軟體發布了「口令紅包」的小遊戲。在此類遊戲中,用戶需要根據文字提示的內容錄製一段繞口令,隨後系統會根據用戶發送的音頻來判斷該段繞口令是否標準,並派發一定數額的紅包。有專家指出,若上述活動被不法分子控制利用,極有可能洩露用戶的聲紋信息。
科大訊飛聲紋識別技術負責人李晉表示,從目前的技術手段來看,聲紋解析並不複雜,「當用戶的聲紋信息被不法分子獲取,有可能會被解析,進而根據其特性合成與該用戶音色相同的聲音,或者把其他人的聲音轉換成該用戶的,用於電話詐騙等犯罪活動。」
在一些視頻網站上,甚至還出現了利用指模工具複製他人指紋的教學視頻。何玉青表示,「復刻」他人指紋並非難事,一些人出於指紋考勤需要,將自己的指紋信息提供給他人用來製作指紋倒模,從而給自己的生物特徵信息洩露埋下了隱患。
專家呼籲:用戶需謹慎,監管要加強
「一張沒有其他附加信息的照片洩露隱私的可能性不大,但應該防範他人惡意將照片與其他個人信息串聯後做非法用途。」安全專家提醒,對於一些要求上傳手持身份證照片或視頻的服務,用戶應保持警惕。
戴美瞳能避免被複製虹膜信息嗎?何玉青的團隊通過實驗證明,目前市面上銷售的美瞳或隱形眼鏡等產品均無法完全遮擋虹膜信息,「虹膜信息主要處在靠近瞳孔的邊緣部分,由於瞳孔大小會隨光照變化而發生改變,因此即便是花紋多的美瞳也只是能遮擋住極少部分的虹膜信息。因此我們建議,使用虹膜驗證身份的敏感人群不要隨意上傳照片到網絡,也不要輕易接受他人拍攝照片的要求。」
騰訊玄武實驗室負責人於暘表示,生物識別信息的存儲應遵循最小化原則,特別是應禁止存儲生物識別信息的原始數據。因為人的生物特徵只有一套,所以將生物識別技術用於身份驗證,實際上就相當於在不同網站上使用相同的密碼。一旦攻擊者竊取了這些生物識別信息的原始數據,用戶在其他網站上的帳號也就危險了。
「我國對個人信息保護的基本要求都有了,但是制度設計中還沒有明確哪個部門來履行監督管理職責,一些法律中對『有關主管部門』的指向也還不夠具體。」中國信息安全研究院副院長左曉棟說。
「《個人信息安全規範》已經發布,要考慮如何進一步提升規範標準的約束力,進而提升個人生物特徵信息的保護效果。」左曉棟建議,相關法律法規、政策要積極引用《個人信息安全規範》,在特定領域強化國標的約束力。