30秒快讀:
1. 東莞一公廁的人臉識別廁紙機備受質疑,為了60公分的廁紙出賣自己的臉,而同一家生產的設備早已進駐上海,銷售人員還宣稱,上海已經安裝上萬部。
2. 商家不罷手,難道以後只能戴頭盔出行嗎?多地開始禁用人臉,政協委員多年提案,拒用人臉識別等唯一的生物特徵信息作身份認證。
不戴頭盔看房我可能損失30萬,為了60公分的廁紙我出賣了自己的臉……是的,我知道我的臉正在被濫用,但是我有什麼辦法?
很多人臉識別是強制使用的,如果拒絕刷臉,我可能上不了班、回不了家,因為門禁系統都升級為人臉識別,且沒有門禁卡等替代方案。一旦我坐在教室裡上課,舉了多少次手、趴了多少次桌子、打了多少次瞌睡都會被記錄。
有網友調侃說,「我這張老臉使用從未如此頻繁」。如果沒有這張臉,寸步難行。
很多人臉識別是無感的,我看了一眼電子廣告屏,臉就被保存了。逛了一次商場,我就會被精準推薦廣告。
那麼,如果我的臉「丟」了,被「偷」了,最壞的後果是什麼?
一
上萬臺人臉識別廁紙機進駐上海,為了60公分的紙出賣我的臉。
去年12月底,在上海世博公園2號口的公廁裡,記者偶遇了一部人臉識別廁紙機,將自己的臉靠近攝像頭,機器立馬吐出約60公分的廁紙。再次刷臉時,設備語音告知,需要再過9分鐘才能取。
設備屏幕顯示,這臺廁紙機已吐紙12295次。
圖源/IT時報
而這個機器的設備商生產商,跟近日上熱搜的東莞公廁人臉識別廁紙機是同一家——天津首聯科技有限公司。
「上海已經安裝了上萬臺人臉識別廁紙機。」天津首聯科技上海分公司一位銷售人員向《IT時報》記者透露。這些人臉識別廁紙機售價9500元/部,10臺以上採購單價為7000元/部,後續每年運維費用899元/年。
根據其首聯智能小程序的搜索結果,在上海,這種人臉識別廁紙機已經遍布世博公園2號口、威海路陝西北路路口、延安中路、大融城等十幾處的公廁。
一份天津首聯銷售人員發來的產品介紹上,天壇公園衛生間減少用紙高達85%,哈爾濱高鐵減少用紙75%,上海延安中路公廁減少用紙80%等成為其節約用紙的成功案例。這些只是他們在全國1000多家渠道中的一部分。
圖源/首聯智能
12月9日,天津首聯發布聲明稱,首聯智能人臉識別供紙機不存儲、洩露人臉信息,設備的工作原理是通過離線的人臉識別模塊進行識別,公眾可在無聯網狀態下使用,並且在設定時間內在本機內自動消除。同時,首聯智能人臉識別供紙機已經通過公安部安全與警用電子產品質量檢測中心的檢測,人臉識別信息自動刪除功能檢驗結果是「符合要求」,判定的級別「p」。
圖源/首聯智能
但在其產品介紹上,產品規格參數內顯示「聯網:4G」,該公司客服人員也曾向《IT時報》記者表示,設備裡存有4G流量卡,能把採集到的人臉信息等數據傳輸到雲伺服器上,但云伺服器每隔9分鐘就會自動覆蓋數據。
圖源/首聯智能
質疑:人臉識別的應用邊界在哪裡?
網友質疑,為了取60公分的廁紙,丟了自己的臉,簡直就是撿了芝麻,丟了西瓜。人臉識別的過度使用已經成為普遍現象,人臉識別廁紙機尚沒有將人臉與姓名、電話、住址等信息掛鈎。
而在上海寶山區某一所高校的快遞代收點,來取快遞的學生、老師們被強制要求刷臉取快遞,為的是防止偷竊和誤拿。
在這一拍照設備的功能介紹中寫明「底單照片和人臉照片合二為一,自動上傳快遞超市雲端並存儲」,這意味著人臉和姓名、電話、住址等敏感信息綁定後被留檔。
聯繫起最近圓通快遞「內鬼」洩露40萬條用戶信息,以及此前小學生用照片就打開豐巢快遞櫃的消息,網友們議論紛紛,原來我手撕快遞單成了徒勞。
二
無感抓拍:商場、售樓處、電梯「偷偷」拍你。
戴著頭盔去看房為何能在全國掀起人臉識別的大討論?因為此前國內較少發生人臉信息大規模洩露的案件,售樓處也是首例人臉識別牽扯到用戶端經濟利益的場景,被人臉識別抓到是自然到訪客戶,客戶就無法享受中介帶看的返傭,可能相差幾十萬元。
圖源/網絡
那麼,售樓處為什麼要裝人臉識別?如果中介在門口截胡自然到訪客戶,成交後也可以向開發商收取一筆佣金,裝人臉識別主要是為了防止中介「飛單」。有房產中介表示,80%的售樓處都裝了人臉識別系統。
《IT時報》記者在走訪售樓處時了解到,人臉識別應用在樓盤銷售已有2年光景,許多大型開發商都深諳此道。至於是否告知客戶有人臉識別攝像頭,每個售樓處都有各自的做法。
在萬科上海某售樓處,20多平方米的售樓處內,安裝了10多個大大小小的攝像頭。萬科方面也向記者證實,萬科許多項目安裝了人臉識別攝像頭,不過僅記錄用戶的到訪時間。
圖源/IT時報
和售樓處如出一轍的是商場、品牌門店,也早已成為人臉識別技術的使用者和受益者,商家藉此進行出入口客流、業態客流、樓層客流、商戶客流的智能分析。消費者逛一次商場就可能被「人臉抓拍」,行動軌跡可能被記錄。下一次再來,這家店就「認識」你了。
《IT時報》記者在上海愛琴海購物公園發現,每個進入商場的大門和電梯口,均安裝了球體攝像頭,這棟6層樓的商場內有200多個人臉識別球體攝像頭,且沒有任何提示,消費者根本無法發現自己已被人臉識別。
圖源/IT時報
甚至,進入商場電梯,也有可能被抓拍人臉。在浦東八佰伴直達電梯內的電子廣告屏上,《IT時報》記者就發現廣告屏下方有一個不起眼攝像頭,只要看向這個廣告屏,後臺就可以記錄電梯內的人是否看向廣告屏幕、看了多久等數據,廣告商會得到相應的數據。
有類似功能的電子廣告屏也有可能出現在你家的電梯裡。
質疑:商家不罷手,難道以後只能戴頭盔出行嗎?
雖然部分城市已經對人臉識別「開刀」,11月29日,有媒體報導,南京多家售樓處接到南京市住房保障和房產局緊急通知,要求樓盤未經消費者同意,不得拍攝人臉信息。這是全國屬於首例。杭州、天津等城市都開始頒布部分場景禁用人臉識別的條例。
隱藏在背後的一個問題是消費者的知情權,根據《規範》,收集個人生物識別信息前,應單獨向個人信息主題告知收集、使用個人生物識別信息的目的、方式、範圍和存儲時間等。
眾人科技創始人談劍峰告訴《IT時報》記者,一個人剛從商場出來,就會接到一條手機簡訊,說「某某某,你剛剛在商場消費多少金額,如果是你本人消費請點這個連結,如果不是你本人消費請點那個連結」。這種情況下,當事人一旦點擊連結,金融卡號、密碼就等於交給了黑客。
正是因為「無感抓拍」,讓消費者一無所知,難道只有戴上頭盔才安全嗎?難道我們的臉,只能取決於商家的良心嗎?
三
強制:不刷臉,不能回家、不能上班、不能上課
在上海越來越多的小區和樓宇,「臉」成了主要通行證,別無選擇。
一位在普陀某商務樓辦公的白領曾告訴《IT時報》記者,今年4月中旬,物業要求大樓裡的員工去錄入人臉,而大堂內8個人臉識別閘機已經安裝好,就等大家的人臉了。「閘機沒有開啟刷卡功能,要進大樓就只有刷臉。」無奈之下,這位白領只能錄入了自己的臉。
圖源/IT時報
雖然刷臉過閘機方便了很多,但當人臉信息被保存到並不靠譜的系統上,風險將被無限放大。有安全人士曾告訴《IT時報》記者,很多企業喜歡把數據放在本地,在系統的設計和實現過程中,可能發生代碼失誤等問題造成資料庫被攻破,數據洩露,甚至有的信息是明文保存。
遺憾的是,在個人生物信息領域,很少有企業會進行安全等級認證,如何防護、投入多少都由企業自己決定,你的人臉信息,也許就保存在小區大媽手裡。
2019年9月2日,全國開學第一天,一張圖片在網上刷屏,課堂上,趴桌子幾次、玩手機幾次、睡覺幾次、舉手幾次、閱讀幾次、聽講幾次,都被攝像頭捕捉,因為印有曠視的logo,這被認定為是它的視覺AI系統。
曠視因此備受大眾質疑,回應稱這張圖片只是一個概念演示,公司在教育領域的產品專注於還在校園的安全,但其實類似的AI課堂分析系統已經開始進入課堂。南京中國藥科大學教室裡裝人臉識別,防止學生逃課。
2018年的安博會上,可提供場景解決方案的安防廠商中,有一半都表示可以做AI+教育為基礎的人臉識別監控。
未來花朵們在課堂上的一舉一動都會被監控,老師和學生們都沒有其他選擇。
質疑:我的臉一旦丟失不能再生,為何強制刷臉?
在眾人科技創始人談劍峰看來,生物特徵的唯一性意味著,一旦「丟失」就不可再生。關鍵點就在於儲存人臉數據的「資料庫」,它正是隱私的最後一道防線,「資料庫」真的安全嗎?誰對「資料庫」有使用權?又是誰來管理「資料庫」?一旦被盜,我們只能眼睜睜地看著自己的臉、指紋等被濫用,「臉權」自由沒了。
更重要的是,明明有其它方式可以達到同樣的目的,比如可以用刷卡過門禁,為什麼無法非要強制刷臉,提高隱私洩露風險?這等同於「強買強賣」。
四
後果:我的臉「丟」不起!
2019年2月13日,一位GDI基金會荷蘭安全研究員爆料,中國深網視界科技有限公司發生大規模洩露事件,包括超256萬人的身份證號、性別、國家、住址和24小時內的位置等大約668萬條記錄,自2018年7月開始,任何人都能訪問。
2月14日,該資料庫才建起了防火牆。據天眼查信息,深網視界自從2017年7月融了A+輪後,就再也沒有公布過融資信息。2020年6月,該公司出現一條股權出質信息。
這是國內迄今發生的較大規模的人臉洩露事件。今年2月,美國Clearview AI被黑,雖然這家企業只是初創企業,但卻擁有超30億人臉數據。
據《IT時報》記者不完全統計,美國公開表示禁止人臉識別技術的城市已經達到8個。
雖然國內多個城市已經在部分場景禁用人臉識別,但是已經收集的人臉會刪除嗎?沒有明確答案。
人臉被賣,最壞的結果是什麼?
此前有媒體報導,在閒魚等平臺上,人臉識別信息以0.5元一張廉價打包出售,這種人臉信息往往沒有跟身份信息綁定,並不是最壞的結果。
在QQ群裡,更多的人臉生意是定製AI換臉視頻,150元就能定製素人的AI色情視頻,所需的素材就是幾張照片和幾條視頻。
圖源/IT時報
最令人擔憂的是,人臉識別並不是一項完美的技術,幫小學生人臉解鎖《王者榮耀》遊戲的青少年模式,人臉解封社交帳號等已是成熟的生財之道。
在頂級黑客眼中,人臉識別更顯稚嫩。在歷屆的GeekPwn國際安全極客大賽上,《IT時報》記者曾目睹極客用照片、口罩等方式騙過AI。比如在今年的GeekPwn上,主持人蔣昌建、特斯拉CEO馬斯克等名人的臉被複製,極客們戴上特製口罩,讓自動售貨機和ATM吐出了商品和美金。
圖源/GeekPwn 2020
這意味著,黑客只需拿到你的多張照片,就能騙過人臉識別支付。
政協委員拒用人臉識別
作為全國政協委員,談劍峰多次就此遞交提案,呼籲做好人臉等生物數據的隱私保護,他的觀點始終如一:「我反對用唯一的生物特徵信息用作身份認證。」
「健康碼」也讓談劍鋒擔心:「每個公民都在『刷臉』,這個人臉信息數據存在哪裡?誰能使用?保存時限是多少?法律監管是否到位?」在他看來,目前還沒有足夠安全的方式來保證生物特徵數據不被濫用,如果將各類生物特徵數據集中保管在資料庫中,再被採集到不安全的網絡上,一旦資料庫遭受攻擊,可能造成社會風險。
清華大學蘇世民書院院長、國家新一代人工智慧治理專業委員會主任薛瀾曾在今年的世界人工智慧大會上表示,現有的人工智慧治理體系中缺乏對數據權屬和使用的清晰規定,數據和隱私保護問題突出;算法監督能力薄弱,引發算法歧視的原因通常難以跟蹤;網際網路平臺中個性精準化的服務實際上將市場分割成了一個個獨立的個體,隔斷了消費者的搜尋行為,而平臺是唯一的「知情者」。
雖然人臉識別對於個體來說存在著較大風險,但在一些特定領域卻可以發揮出較好的作用。「從安全角度來看,目前生物識別認證不應在老百姓普遍使用的網際網路大面積推廣,但可以在特定的金融領域作為輔助應用。」談劍峰告訴《IT時報》記者,每一個個體要儘量地少用生物數據,或僅將生物數據用在不太敏感的場合,不建議用於關鍵場合的身份認證、轉帳交易等,這也是保護自己的方式。
人臉識別技術並不完美,並不代表它是個無用的技術,當下,比起一刀切式地全城禁用人臉識別技術,更恰當的應是為其劃定邊界,並給予使用者知情權和選擇權。人臉識別企業在尋求場景活下來之前,要先為用戶信息築起防火牆。