人臉識別技術存在重大網絡安全風險

2020-12-05 第一財經

2017年春運人臉識別在部分火車站進站檢票時開始應用,引起很多關注,部分媒體也報導了生產商的核心技術掌控在日本企業手中,以及由此引發的對信息安全的擔憂。前不久央視「3·15」晚會現場對於人臉識別的實驗演示,再一次將網絡產品的人臉識別的風險清晰展示在觀眾面前。

雖然生物識別的準確性等問題會隨著技術進步逐步獲得解決,但生物識別身份卻存在難以克服的重大潛在法律風險,甚至可能上升到危害國家安全的高度。因此,大規模應用必須慎之又慎,不能放任商業企業自行其是。

生物識別技術與現有身份識別體系的異同

做任何一件事情,我們都需要知道是在跟誰做,這就是身份識別。生物識別僅僅是一種識別行為人身份的技術手段,事實上身份識別的手段有很多,其目的都是要識別真實而不是假冒的身份,保證身份識別的準確、不可仿冒和篡改。傳統社會往往依靠人與人之間的熟人關係,中國古代則有官憑路引,這些都能實現身份識別。最近100年左右,人類社會開始用介紹信、護照、身份證等記載證明身份的憑證輔助識別身份。

進入網絡時代以來,開始是使用密碼作為身份識別的主要手段,幾乎所有網站協議都寫明,用戶名、密碼一致,後果由當事人承擔。早期法院對這類約定是支持的,2005年左右,網上曾有過一個大約500人參加的工商銀行網銀受害者維權聯盟網站,當時就是受害者證明不了不是自己實施的款項轉移,而當時法院不了解也不像現在對於偽卡交易要判銀行賠償,因而用戶無奈之下組團抗議。

但隨著網際網路技術的不斷發展,各種盜竊密碼、假冒身份事件層出不窮,因此密碼驗證不再是客觀唯一的可信任手段。在智慧型手機普及後,法官也開始逐漸熟悉了網際網路,現在銀行卡失竊如能證明偽卡交易,法院會支持用戶向銀行的索賠請求。

生物識別技術提取和識別人體生物學特徵的唯一性,是很多人看好這個領域商業前景的主要原因。比如人臉、虹膜、指紋、聲紋,由於這些特徵只有當事人自己才有,別人不能假冒,因而能夠解決目前比較普遍的詐騙者利用密碼等技術手段易失竊、易複製、易濫用的漏洞。但是,這些人忽視了一點,那就是任何技術只要大規模使用,尤其是非現場使用,一定要通過信息網絡,而通過信息網絡,任何技術都要轉化為計算機識別的0-1這樣的二進位代碼。人臉不能複製,轉化的二進位計算機代碼卻可以複製,也完全可能被盜竊。

生物識別技術的識別原理和提取的數據都會存儲成為企業的資料庫,在目前全世界的情況看來,都存在重大的數據洩露、失竊的潛在安全風險。而且,更為可怕的是,由於生物識別技術是唯一的、終身不變的,是不可再生或重建的,因此,一旦洩露或者丟失,就是永久洩露,將貽害無窮。

有資料記載,當年某著名空難發生後,蘇聯能在第一時間精準判斷死者身份就因死者曾在蘇聯就醫的牙齒檔案。這個原理是成立的。所以有人對於日本企業提供的人臉識別設備在火車檢票時的使用涉及數據安全的擔憂,是成立的。這種數據一旦被收集存儲,會成為永久的安全隱患。

由於生物識別的這種唯一性特點,全球比較統一的做法是在識別犯罪嫌疑人、識別災禍中很難辨認死難者身份時,採用DNA等生物識別技術,例如在空難後屍體受到嚴重毀壞無法辨認時,通過基因等識別技術,識別死難者身份。我國至今常見的警察讓犯罪嫌疑人在筆錄上按手模,也是一種通過指紋生物特徵來固定證據的方式。

由於我國強制推行網絡實名制,公共機構和網際網路企業數據相當多都是實名制的真實信息。目前全球無一例外存在著數據洩露和信息被濫用的嚴峻現實。因此,不能僥倖地指望人臉識別技術建立的資料庫在眼下的環境中,能倖免於違法犯罪行為的黑手竊取。

生物識別技術資料一旦洩露無可挽回

身份證系統是以一定規則的編碼作為確定身份標識的,這種唯一身份標識,可以通過技術研發,今後逐步轉向不需要直接填寫和披露身份證號碼,比如公安部下屬的研究所正在研究的電子身份證eID項目,已在銀行等領域開始使用。

詐騙分子始終在和身份證管理的官方技術博弈。其實身份證系統還好,即使現在洩露嚴重、必須放棄,還可以推倒重建,但如果生物識別技術洩露,那就是永久洩露,只要掌握了這些生物技術數據,不僅能在商業和公共服務領域獲得很大價值,而且會使國家安全等產生重大潛在風險。

有關企業正在積極研發生物識別的相關技術和應用,因為這是最新技術潮流,全球都在做類似研發。從產業和技術角度,我們不能禁止中國企業進行相關的研發和應用嘗試。但有關主管部門對於風險一定要有清醒的意識。火車站等公共服務領域不能強制推行人臉識別,也不能將這些技術作為法定身份識別的依據,可以允許企業作為輔助身份驗證依據,但必須告知用戶潛在風險,提供替代方案,不得直接、間接、暗示、強制用戶使用。

需有正確的技術和法律設計與應對

目前階段,筆者認為無論從技術上還是法律上考慮,都還不宜將生物識別作為唯一的身份識別手段。

今年央視「3·15」晚會的演示揭示了一個問題,那就是很多照片、視頻等資料,是可以通過媒體、網絡社交軟體如朋友圈獲得的,如果單純依賴這些技術識別,一定會發生錯誤甚至嚴重後果。

媒體曾報導趙薇的丈夫被冒名賣掉房產,原因就是公證處使用的人臉識別系統通過了審查。其實,任何技術都有一定的原理,也有一定的參數設置,也肯定有一定誤差,參數設置高了,老是報警或通不過;參數設置低了,假的錯的都通過,也不行。就算企業驗證精度達到可以商用、可以出廠實際使用的水平,也一定有誤差和錯判問題,就像所有合法出廠的其他工業品一般都有合格證,但並不代表質量就一定沒問題。從概率上來說,仍有一定比例的產品是有問題但沒檢驗出來的。

對於生物識別技術產品本身來說,哪怕驗證重複,精度達到99.99%,仍然還有不準確的,一旦大規模應用,由於基數太大,遭遇影響的就不會是小數字。很多網際網路企業對外都宣傳自己的正品率有多高、技術有多牛,但對於在具體個案當中的具體當事人來說,雖然他們在那個被故意忽視的小數字裡面,他的人身財產利益卻是100%會受到影響的。

所以,我們的研發技術專家和法官腦子裡必須有根弦:哪怕對於產品是十萬分之一的差錯,對當事人的影響也是百分百的。只有了解了這一點,在規則制定和案件處理時,才能兼顧公平與效率。

(作者系段和段律師事務所合伙人)

相關焦點

  • 人臉識別存在法律風險該如何防範?
    第一,技術可靠性和可用性受局限。由於受限於人臉特徵可能存在外界幹擾,識別技術準確率尚未全部達到100%,存有誤判、誤報小概率風險隱患。一是受光照、遮擋、姿態、圖像質量等條件影響,人臉識別系統識別率會下降。據報導,來自東京國立信息學研究院和工學院大學的兩位教授已研製出能夠通過發出近紅外光來阻止面部識別的眼鏡,這種眼鏡通過透光材質能夠吸收特定波長的光,從而阻斷人臉識別系統的光路。
  • 兩元錢能買到上千張人臉照片 人臉識別存在信息洩露風險
    目前,在生活中使用最多的生物識別技術是指紋識別和人臉識別  ● 人臉信息屬於個人信息中的敏感個人信息,其一旦洩露或者被非法使用,可能導致人臉的主體受到歧視或者人身、財產安全受到嚴重威脅或危害  ● 在法律法規已有明確要求的「強認證」場景(如公共安全、金融支付)下,使用人臉識別完成精確的身份比對和驗證,有其必要性和合理性,但也要對人臉數據進行妥善保管,不得洩露、濫用。
  • 人臉識別真的安全嗎?關於人臉識別技術發展的瞻望
    人臉識別的數據安全據蘇教授介紹,人臉識別技術在我國起步較晚,最早應用於美國,於新世紀初發展至中國他同時表示,如今人臉識別技術已廣泛應用於各個行業,其中在安防行業的體現尤為「突出」;另外,該技術在國家安全中具有非常重要的意義,是全球重點發展的高新技術。
  • 人臉識別技術濫用存在哪些風險?在法律上又該如何築牢防線呢?
    隨著國內「人臉識別第一案」日前宣判,人臉數據信息保護問題再一次引發關注和討論。11月20日,杭州野生動物世界因強制刷臉入園,被判賠償當事人郭先生1038元。緊隨其後的21日,合肥市公安局也在政務平臺上答覆了市民對刷臉門禁是否會洩露信息的擔憂。與快速應用的人臉識別技術共同發展起來的,是人們隱私保護意識的不斷增強。那麼,人臉識別技術濫用存在哪些風險?
  • 擔憂人臉識別技術有照片洩露風險 如何應對?
    當你的臉變成 一串「密碼」之後……不少人對於人臉識別技術的應用表示擔憂,主要認為其有照片洩露的風險。照片洩露就是人臉識別技術的「鍋」嗎?面對洩露風險,我們要如何應對?伴隨著人臉識別技術的發展,其爭議始終存在。
  • Pixel 4 人臉識別有風險!閉眼解鎖安全嗎?
    Pixel 4 人臉識別有風險!閉眼解鎖安全嗎?  「未經授權的人可以在你睡著時不知不覺地解鎖你的手機,」格雷厄姆·克盧利說,「我不相信它能夠保護我手機上的私人對話和數據。」  發布前洩露的Pixel 4 在面部識別菜單中,可以設置「檢測閉眼」功能,而BBC 測試中的設備卻並沒有此功能,而谷歌也表示10月24日發售的Pixel 4 不會配備功能。也就是說,消費者買到的設備上,的確可以通過閉眼解鎖。
  • 人臉識別和生物識別在支付領域上的風險
    以上兩種技術方案權且稱之為「本地對比」與「服務端對比」。其中,用戶事先留存的生物特徵數據,在「本地對比」方案中保存在用戶自有設備或用戶從發卡機構領用的專門設備上,因此只要相關設備保存得當,不存在生物特徵被收集以及洩漏的可能。而「服務端對比」方案中,則存在用戶生物特徵數據被採集、集中,從而洩漏或被非法利用的風險。
  • 人臉識別技術面臨的困難與挑戰
    據微信公眾號"App個人信息舉報"29日消息,一份萬人問卷調查顯示,人臉識別技術的便捷性受到認可,但受訪者對其安全性感受一般,很多時候遭遇強制要求使用現象;六成受訪者認為人臉識別技術有被濫用的趨勢。  網絡平臺過度掠取信息  2020年國家網絡安全宣傳周特別節目對部分App應用人臉識別技術過程中的典型問題進行曝光和分析。
  • 智能門鎖風險多:網傳「小黑盒」可開 指紋人臉識別難言安全
    主流企業產品已解決「小黑盒」問題專家告訴記者,解決這一問題在技術上並不難,只是成本會提高,目前市場上主流企業的產品已經解決了這一問題。市場監管總局組織的這次涉及全國範圍的智能門鎖風險監測,共涉及識別方式安全、信息安全、電子安全和功能安全四個方面的17個項目,我們再來詳細了解下。
  • 人臉識別技術和產業風險凸顯 需構建相應的監管機制
    不僅是垃圾分類,隨著以人臉識別為代表的生物識別技術迅速普及,行業投融資日益活躍,各種「刷臉」應用不斷湧現:火車站刷臉檢票進站、高考考生刷臉進考場、城市救助管理刷臉尋人……但如火如荼的發展盛景背後,生物特徵數據的安全風險也隨之凸顯,亂象漸增。一方面是虛火漸旺。
  • 人臉識別技術風險的法律防範
    當前隨著信息化的迅猛發展,生物識別技術在警務實戰及個人財產保護中得到廣泛的應用。作為生物識別技術的一種,人臉識別技術以其獨特的優勢,利用人的個體面部特徵的區別,廣泛用於政府、軍隊、銀行、電子商務、安全防務等多重領域。
  • 「人臉識別」,我們還能承受多少風險?
    公司幾個月前發表的一份營銷稿現在看來已大不相同,而人臉識別技術的用途看起來也完全不同。人們擔心ICE和其他移民機關可能會把像人臉識別這樣的技術應用到工作中。這是否意味著,當移民在城市街道上行走時,連接到雲端的攝像機可以用來識別他們的身份?這是否意味著,鑑於這項技術的現狀,以及它可能產生偏差的風險,它可能會錯誤辨識某個人並導致其被錯誤拘留?這只是許多問題中的兩個。
  • 反人臉技術並非壞事 促進人臉識別技術進化和成熟
    人臉識別技術作為十大突破性技術之一,可見其無法比擬的優勢和發揮的商用價值,近幾年,基於人臉識別技術的產品和解決方案層出不窮,隱隱有著百花齊放,百家爭鳴的發展趨勢,所應用的場景也涉及到了各行各業,尤其是在支付、驗證、通行等等場景應用尤其突出。科技向善,隨著人臉識別技術的深入和成熟,「反人臉識別技術」也逐漸頻繁的出現,僅用照片、模型等方式方法幹擾人臉識別技術的新聞也不少。
  • 無感「刷臉」沒商量 技術濫用埋風險:人臉識別竟成售樓處標配
    視頻中,該男子戴著頭盔進售樓處看房,以防範人臉識別系統的抓拍。  視頻的流傳令人好奇,人臉識別技術竟已無孔不入?記者走訪發現,人臉識別系統在北京各售樓處同樣已成標配,甚至絕大多數是在看房人不知情的情況下,以無感方式收集其面部信息。
  • 人臉識別技術應用廣泛不代表是安全最好?
    如今,在安防設備如視頻、門禁、梯控,在支付場景如手機刷臉支付等,在我們生活當中大部分人都使用過人臉識別技術,人臉識別的智能便捷讓我們的生活距離未來智能更進一步了,但人臉識別背後所帶來和引發的安全問題也一直存在也毋容置疑,當然,人臉識別技術作為生物識別技術其中一種,也不僅僅是人臉識別,包括指紋識別
  • 用臉有風險,人臉識別安全該如何保證?
    現在微博有個話題引起了很高的關注度:面具可代替人臉解鎖手機。有一個科研人員進行了用面具代替人臉的測試,結果手機被成功解鎖。不用真人也可以解鎖手機,有人因此提出了對人臉識別安全問題的擔憂。「刷臉」支付、進站、籤到等智能人臉識別技術的應用越來越普及、方便快捷,但並不十分安全。這些信息容易被人在不知不覺中採集,再利用3D列印等技術偽造出來,讓當事人財產或名譽嚴重受損。
  • 淺談人臉識別技術日益普及背後的利與弊
    比如說AI人工智慧、人臉識別技術、自動駕駛等等。尤其是人臉識別技術的落地應用非常多,在國內的行動支付中,「刷臉」支付早已深入人心。此外,「刷臉」在金融、醫院、企業以及各種機構單位中也是被廣泛的應用。不過,人臉識別技術雖然使用越來越多,存在的風險似乎也暴露出來。前段時間有報導稱,說人臉的信息被以0.5元一份的價格在網上進行出售。因此,人臉識別技術對我們來講到底是利大於弊還是弊大於利呢?
  • 基於深度學習的人臉識別技術全解
    (徵求意見稿)》,給人臉識別普及打開了門縫;其後,《安全防範視頻監控人臉識別系統技術要求》、《信息安全技術網絡人臉識別認證系統安全技術要求》等法律法規,為人臉識別在金融、安防、醫療等領域的普及打下了堅實的基礎,掃清了政策障礙。
  • 人臉識別技術的基本方法是什麼?
    分析算法人臉識別技術中被廣泛採用的區域特徵分析算法,它融合了計算機圖像處理技術與生物統計學原理於一體,利用計算機圖像處理技術從視頻中提取人像特徵點,利用生物統計學的原理進行分析建立數學模型,即人臉特徵模板。
  • 馬上評|蘋果X又「臉盲」,人臉識別的安全底線在哪裡?
    蘋果在新機型發布會上宣稱,人臉識別成功率極高,被破解的可能性只有百萬分之一,比指紋解鎖還要安全。但劉太太、顏女士等用戶的遭遇讓人無法放心。尤其是現在的手機儲存有太多重要信息,一旦安保系統失守,損失與風險極大。即便對於廠家是「小概率」的事件,對消費者來說,危害都不容忽視。