為什麼ZAO是生物特徵信息安全的災難?

來源：古老溼（ID:gulaoshi_ops）

　　

AI換臉應用ZAO已經火爆了幾天了，我遲遲沒有寫自己的意見。在各類熱火朝天的討論中，大家關注的焦點多是ZAO霸道的用戶協議、濫用用戶肖像權及隱私的風險。確實，目前各類App中，能達到ZAO的蠻橫水平的，確實不多。 

　　

在協議中，用戶一旦使用了ZAO，將在全球範圍內完全免費、不可撤銷地將包括人臉照片在內的肖像資料授權給ZAO及其關聯公司，ZAO卻未對「關聯公司」做出任何定義。用戶得到了一小段可以發朋友圈的有趣視頻，而ZAO卻得到了用戶照片的永久使用權和面部識別信息。

　　

然而在法律風險以外，還有一個更為重要的問題——生物特徵信息的洩露（如指紋、面部特徵等）。

　　

當你的網絡帳戶密碼遭到洩露，馬上更換密碼就是一個標準操作。然而想一想，如果你的每天用來登錄手機的指紋、刷臉支付的面部特徵遭到洩露，你應該怎麼做？

　　

生物特徵信息的洩露是永久、不可逆的，你就是密碼本身。由於用戶幾乎不可能修改自己的指紋、樣貌、聲紋乃至DNA，也就意味著對信息濫用者來說，存在著「一次竊取，永久有效」的「超便捷性」和「超高性價比」。這無疑是「匹夫無罪，懷璧其罪」。每個人的生物特徵信息，都是讓黑客大快朵頤的活體錢包。

　　

什麼是生物特徵信息

　　

今天，我們已經把個人的信息和數據寄存在網絡的各個角落，到底哪些數據，算是生物特徵信息呢？

　　

歐盟的GDPR（通用數據保護法規EU2016/679）曾對生物特徵信息作出如下定義：

　　

生物特徵信息，是「通過對自然人的身體、生理或行為特徵有關的特定技術處理產生的能夠識別該自然人的唯一特徵的個人數據，例如面部圖像或指紋（指紋）數據」。

　　

我以此為標準，列舉一些常用的生物特徵信息。

　　

首先，就是面部特徵。一般用於安全識別、執法等領域，目前也常用於手機和電腦的解鎖、支付等。

　　

第二，是虹膜。一般用於非消費級領域的安全識別。最近幾年，微軟、谷歌等大企業也在推進虹膜識別的應用，甚至有些手機上已經配備了虹膜識別傳感器。

　　

第三，指紋。我們最常見的場景就是手機和筆記本電腦的指紋解鎖及支付。

　　

第四，聲紋。聲紋常用於安全識別場景（例如微信的聲波解鎖），以及智能音箱等設備的語音識別、輸入法的語音輸入等。雖然人類可以模擬不同的聲音，但其聲紋特徵卻無法在計算機面前偽裝。

　　

第五，手型。通過記錄手部的寬、厚、長、表面紋路等數據，進行安全識別。這種識別方式效率高、原理簡單，我們在科幻及諜戰類電影中經常見到。

　　

第六，DNA。執法機關經常通過研究人體DNA分子的結構，從而判斷DNA所有者的身份。

　　

第七，行為特徵。行為特徵包括步態、筆跡等。這些特徵雖然可以偽裝，但極難徹底改變，也是法庭上經常出現的證據。

　　

為什麼生物特徵信息的洩露，比密碼洩露更嚴重？

　　

不誇張的說，ZAO在涉嫌「生物特徵信息洩露」這一問題上的嚴重性，遠遠超過其對用戶「肖像權」或「隱私權」的侵犯。甚至可以說，ZAO類產品帶來的問題，已經超過了法律所能解決的範圍，觸及了所有當代人最深刻的身份識別危機——如果某人擁有你的一切生物特徵信息，那麼他將可以竊取你的身份、財產、地位，甚至在法律上取代你。面對這些生物型信息的洩露，法律也顯得力不從心！

　　

2019年始，生物特徵信息洩露事件頻發，各國開始為此類信息安全立法。

　　

2019年3月15日，美國參議院通過了《商業面部識別隱私法案（Commercial Facial Recognition Privacy Act）》，這是第一個涉及面部識別技術的隱私保護法案。該法案禁止那些使用面部識別技術的商業公司，在未經照片主人明確同意下共享他們的照片數據；同時，還要求這些公司通過第三方測試後才能進入市場，以確保不會傷害消費者的信息安全。

　　

2019年8月3日，生物科技公司Suprema資料庫遭洩露，其中包含100多萬人的指紋和面部識別數據，涉及英國大都會警察局、當地小型企業和各大政府機構收集的面部和指紋識別信息。這些數據的洩露，意味著這100萬人的生物信息，從此再也不可能回到原初的「安全狀態」。即便這些用戶們通過法律途徑向Suprema進行索賠，也將永久的暴露在巨大的個人信息安全隱患之中。

　　

生物特徵信息有著「生命不能承受之重」，這就是「生物特徵信息安全」尤其重要的原因。

　　

如何保護生物特徵信息？

　　

我為大家列出幾個可以有效保護個人生物特徵信息安全的方法：

1.使用強密碼來存儲生物特徵信息。

　　

存儲生物特徵信息的外圍，往往還有一層密碼進行保護。由於生物特徵信息的極端重要性，請務必使用強密碼、而非自己的常用密碼進行加密。

　　

2.只在少數幾個場景中保存自己的有限種類生物信息。

　　

出於便捷性和政策性的要求，我們不可能完全不使用自己的生物特徵信息。那麼，就需要在便捷性與安全性之間做出適當的妥協。如果要使用，請儘量挑選規模較大、無信息洩露歷史、商譽良好的企業，同時嚴格限定信息種類，僅存儲必要的信息。

　　

3.拒絕或減少使用手機、電腦等設備上的生物識別工具

　

如果非必要，則減少使用諸如掃碼支付、刷臉登錄等功能，尤其是對於陌生或不常用的App，不要輕易使用其自帶的生物識別功能。

　　

4.永遠記得，你沒有第二張臉、第二套指紋、第二對虹膜、第二個DNA

　　

鑑於生物特徵信息的珍貴與稀缺性，未來將不可避免的有無數商業機構、黑產人士對這些信息虎視眈眈，還會有無窮的場景誘惑用戶洩露自己的生物信息。都要時刻記住，你沒有第二張臉、第二套指紋、第二對虹膜、第二個DNA，生物特徵信息的洩露意味著你將永久的暴露在他人視野範圍內，永遠承受生物信息洩露帶來了的風險。

　　

結語

　　

百度創始人李彥宏曾經說，中國的消費者很多時候是願意以犧牲部分個人信息為代價，去換取更加便捷的服務。這顯然是扯淡，當個人信息洩露導致的風險遠遠大於所獲取的利益時，沒人會去做這種不公平的交易。

　　

真相是，很多企業在消費者或不知情、或被誤導的情況下，索要過多權限、並強行攫取用戶信息，然后冠之以「用戶同意」的名號，再對信息進行濫用。我們能做的，就是提高警惕，珍惜自己的信息安全，把那些不乾淨的App，一個不落、挨個卸載！