“刷脸解锁手机”“刷脸购物”“刷脸验证身份办理银行卡”……我们与生俱来的“脸”不仅与颜值形象挂钩,还逐渐演变为我们身份的独特标识,逐渐渗透到我们的日常生活中,为我们提供了极大的便利。
然而,当人脸识别遇到现实时,隐私仍然是不可逾越的现实。那么,当人脸识别应用到更多场景时,我们的隐私还安全吗?
今天,我们从应用程序中人脸识别的隐私和安全性开始。
近日,中国信息通信研究院安全研究所与北京百度网讯科技有限公司联合发布《App应用中人脸识别技术隐私与安全研究报告》。
2.企业应用
目前,人脸识别在中国发展迅速,各种新企业如雨后春笋般涌现。中国人脸识别的独角兽看不上科技和商汤科技。与此同时,从云科技、易图科技等初创公司也在努力抢占市场。从人脸识别产业产业链来看,人脸识别产业上游有硬件基础支撑,包括高清摄像头、处理芯片、服务器和数据视频传输设备;人脸识别算法和软件服务主要处于产业链的中游,而具体的场景应用,即应用方案、消费终端或服务则处于产业链的下游。
国内互联网公司百度、阿里巴巴、腾讯都非常重视人脸识别的方向。
阿里巴巴持有轻蔑科技、商汤科技和易图科技,并开发了自己的人脸识别界面。全面将人脸识别技术应用于支付宝、淘宝等app,并联合集团其他业务板块研究人脸识别的应用场景。
腾讯有自己的Youtu团队,为QQ 空等50多个应用、腾讯地图、腾讯游戏提供影像技术支持。
依靠庞大的数据资源,百度的人脸识别也发展迅速,利用人脸识别技术推出了百度识别图片和优秀人脸的App。
3.应用场景
金融应用中的应用场景
接入金融app的人脸识别功能,主要目的是保证用户使用过程中的资金交易安全。以支付宝为例,用户通过“借钱”借钱时,一般需要进行人脸检测,确认此时的App操作者就是自己。人脸识别可以有效防止支付宝账户被盗造成的用户财产损失。此外,金融App还可以通过人脸识别技术提供远程开户、卡绑定、账户登录、分期购物、人脸考勤、人脸支付等服务。
在人脸识别落地金融行业的过程中,各大银行都尝试将人脸识别引入到人脸支付、即时开卡、VYM等金融场景中,但从技术角度来看,技术并非万能。虽然现在的人脸识别技术已经非常成熟,但是光线条件、天气、整容手术等仍然会影响人脸识别的结果。
此外,人脸识别在转账支付、即时开卡等高安全级别的业务应用需谨慎。我们不能单纯依靠人脸识别技术来解决用户身份验证问题,还需要采用包括人脸识别在内的双因素甚至多因素认证来提高安全性。
在线教育应用中的应用场景
在线教育App接入人脸识别的目的之一就是为了核对学生身份,避免一个账号被多人使用的情况。通过人脸识别,可以大大减少账户共享的问题。通过以一定频率触发人脸识别机制,验证当前使用网校账号的人脸是否为同一个人。
此外,人脸识别的另一个主要目的是帮助教师了解学生的学习状态。线上课堂不同于线下课堂,教师无法通过观察学生的表情来识别学生对课程的接受程度。通过面部表情识别,老师可以更好地了解学生的需求。
在线教育应用主要服务于中小学生。由于儿童的认知能力、风险识别能力和自我保护能力相对较弱,儿童个人生物保护信息是各行各业关注的焦点。根据杜南个人信息保护研究中心发布的《人脸识别落地场景观察报告》的调查结果,33.84%的受访者不同意人脸识别技术在教育相关系统中的应用,这说明我们在对未成年人使用人脸识别技术时应该更加谨慎。
电信应用的应用场景
电信App接入人脸识别功能的主要目的是实现SIM卡激活时的真人认证。以“中国移动App”为例,用户在中国移动App上购买SIM卡后,需要在App的“卡号激活”业务功能中完成真人认证,在激活过程中上传身份证信息,然后进行人像视频认证。在视频认证过程中,用户需要录制6秒的视频,录制的内容是阅读屏幕上随机生成的4位验证码。只有在视频获得批准后,SIM卡才能成功激活。
2019年9月27日,工业和信息化部办公厅印发《关于进一步完善电话用户实名登记管理的通知》,指导电信企业脚踏实地开展电话用户实名登记工作。为确保人们识别的一致性,创新运用人工智能等技术手段,工信部要求电信企业从2019年12月1日起在物理渠道全面实施人像比对技术措施,人像比对一致后方可办理入网手续。因此,为了维护公民在网络中的合法权益空,有效防范电信网络诈骗,在线激活SIM卡时也需要人脸识别。
旅游App的应用场景
出行App接入的人脸识别功能,可以最大限度保障司机、乘客、货物的安全。
以人脸识别App“点滴之旅”为例,司机在App中填写各种基础资料后,仍需进行人脸图像认证的最后一步才能接单。一方面可以保护司机的身份信息和财产安全,防止黑客入侵;另一方面也能保证乘客的人身安全,防止遇到不良司机。
2018年9月11日,由交通运输部、中央网信办、公安部等部门组成的专项工作督查组先后进驻网约车和乘用平台公司开展专项安全检查,并规定相关app在下订单前应应用人脸识别等技术对车辆与驾驶员的一致性进行审核。同时,人脸识别技术在出行app中的应用,可以有效保护驾乘人员的财产和人身安全。
美图娱乐App应用场景
美图娱乐App接入人脸识别功能,既保证了账号安全,又能利用人脸识别功能实现各种创意互动营销活动。
以人脸识别App“美图秀秀”为例,用户在下载美图秀秀软件后,通常会使用图像美颜功能进行拍照。此时App可接入关键点定位功能,帮助用户定位面部包括眉毛、眼睛、下巴等关键部位,方便用户使用美颜功能。
同时,用户还可以定制设计夸张、搞笑、与众不同的人脸照片。比如去年非常火爆的ZAO,也可以通过人脸识别技术提供照片换脸、视频换脸、同款表情包、换发等服务。
美图娱乐App有必要使用人脸识别技术进行业务功能,但应规范个人生物识别信息的采集和使用。新版《信息安全技术个人信息安全规范》规定,采集个人生物识别信息前,应当分别告知目的、方式和使用范围,并取得个人信息主体的明示同意。
同时,《守则》还规定,原则上不应存储原始的个人生物识别信息。因此,美图娱乐App在拓展业务功能时,应本着必要性最小的原则,合理使用人脸识别技术,并由用户按照“规范”进行单独告知和审批。当用户拒绝授权拓展业务功能的相关权利使用人脸识别技术时,App不应反复要求授权,也不能影响与权利无关的其他业务功能的使用。
电子商务App的应用场景
电商App接入人脸识别功能的主要用途之一就是保证用户账号的安全。常见的做法是登录账户时进行人脸识别,实现真人认证,防止不法分子通过破解密码登录用户账户。
其次,为了提升用户服务体验,电商app利用人脸识别提供在线穿衣试穿服务。此外,电商app的人脸识别应用场景还包括:后台图像数据管理,即对禁播图片和广告图片、直播、短视频等的管理。
电商app基本上是利用人脸识别技术来改善用户服务体验,增强用户粘性或者为用户提供便利,这是电商app的一种扩展业务功能。因此,在使用人脸识别技术获取面部特征信息时,电商app应告知并征得用户同意。用户有权拒绝使用相关服务,不能强制用户提供面部特征信息。
智慧园区App应用场景
智慧园区App接入人脸识别功能,主要用于门禁管理、考勤管理、会议管理等。在访问控制管理的应用场景中,员工可以通过App一张脸解决企业楼宇园区的所有权限管理问题。
在考勤管理的应用场景中,App基于人脸识别技术,结合网络和GPS定位,可以消除打卡现象,解决现场人员考勤难的问题。
在会议管理的应用场景中,参与者通过输入他们的面部来注册会议。会议签到时,App的人脸识别功能会输入客人的人脸信息,并自动与背景信息进行比对,可以快速识别客人身份。
智能园区应用使用人脸识别技术为企业节省人力成本,高效、快速、易于管理。然而,在智能校园应用中使用人脸识别技术的过程中存在一定的风险,通过深度伪造欺骗人脸检测的安全事件层出不穷。因此,国家机关、安全单位等重要部门不应单纯依靠人脸识别技术进行门禁管理。
三、人脸识别App面临的安全风险
1.缺乏网络和数据安全机制很可能导致人脸数据泄露
目前,人脸识别技术的安全技术标准和使用规范尚不完善,缺乏人脸数据控制者的责任和义务、人脸数据主体的权利以及在人脸数据采集、存储和处理中应采取的安全措施。
因此,大多数人脸识别技术开发企业和应用服务提供商采取的安全措施可能难以应对人脸识别技术面临的安全威胁,容易发生人脸数据泄露等安全事件。
此外,网络安全生态环境持续恶化,系统安全漏洞几乎不可避免,因此人脸数据库泄露也是屡见不鲜。更可怕的是,生物识别信息具有唯一性和不可再生性,因此一旦丢失或泄露,就会永久泄露,带来无尽的危害。
2.人脸识别技术的应用不规范,使得滥用人脸数据成为可能
随着人脸识别技术在人们生活中的应用日益广泛,人脸特征逐渐成为人们的身份证件之一,但人脸识别技术在应用中存在一些不规范的问题。首先,大部分app在采集人脸数据时,并没有按照《规范》明确告知并取得用户同意,甚至没有说明隐私政策中使用人脸识别技术的目的、范围和方法,使得被动采集和使用人脸数据成为常态。
其次,一些社交娱乐类应用和在线教育类应用未能按照相关法律法规收集和使用人脸数据,导致人脸识别技术被滥用。
3.人脸深度伪造技术严重威胁用户的财产甚至人身安全
人脸识别技术具有非接触、低成本、快速检测和自动学习的特点,因此人脸识别成为身份识别的重要手段。然而,随着人脸识别技术的发展,也出现了借助机器学习系统和图像视频来改变人脸的“深度伪造”技术。自2017年以来,深度伪造技术在网络中变得活跃起来。随着这种技术算法的成熟,无论是人像、声音还是视频都可以伪造或合成,很难区分真伪。身份诈骗的成功率高达99.5%,甚至成为很多人脸识别系统的克星。
鉴于此,有可能借助深度伪造技术破解人脸识别等认证系统,非法窃取他人支付账户,获取他人个人信息或以虚假借口从事其他非法活动,严重威胁公民财产安全和人身安全,甚至威胁国家安全和公共安全,引发社会焦虑和信任危机。
四、人脸识别App的个人信息保护相关建议
1.加快人脸识别相关法律法规的发展进程
目前,我国关于保护公民生物信息等个人信息的法律法规散见于《民法通则》、《网络安全法》、《消费者权益保护法》、《最高法》、《最高人民检察院》以及国务院颁布的相关司法解释和规定。因此,我国需要尽快完善包括人脸识别在内的个人生物信息使用法律法规,明确公民个人生物信息受法律保护的范围、公民个人生物信息保护的义务主体,强化责任追究,保障个人生物信息安全规范使用,加大对侵犯公民个人隐私,特别是泄露、滥用个人生物信息的处罚力度。
2.加快人脸识别技术应用监管体系建设
建立人脸识别技术应用必要性的评价体系。企业或组织在采用人脸识别技术之前,需要根据技术实施模式、业务场景和数据收集使用情况,评估技术应用的必要性;同时,相关监管部门可以提前建立人脸识别技术应用的“负面清单”或“白名单”,通过“清单+评估”的方式提前加强监管。
此外,人脸识别技术应用后的评价和问责制度也有待完善。一方面,督促使用人脸识别技术的企业或组织按照相关安全规定支持人脸识别技术安全防控措施,并定期进行安全评估;另一方面,对涉及人脸数据泄露等安全事件的企业或组织严肃问责,三至五年内不定期对涉事企业进行持续督导走访。
3.加快制定人脸识别技术安全系列标准
人脸识别技术逐渐成熟,人脸识别技术的应用越来越多。应尽快出台人脸识别技术的各类安全标准,包括保护个人生物信息的相关标准。建议围绕App应用中人脸识别技术自身安全、个人生物识别信息保护等问题,加快制定安全技术要求、管理要求、个人生物信息保护要求、安全应用规范等一系列标准,引导行业按照标准规范App中人脸识别技术的使用行为,提高人脸识别技术的自我安全保护水平,降低App中人脸识别技术的安全风险,从而保障用户个人生物识别信息的安全。
4.鼓励行业协会或社会组织开展行业自律
如今,以人脸识别技术为代表的人工智能技术日新月异。然而,由于人脸识别技术的复杂性,很难保证人脸数据的安全性。因此,建立人脸识别技术企业联盟组织,鼓励相关行业协会或社会组织主动发挥行业自律平台作用,推动各利益相关方共同制定人脸数据收集使用行为准则,推广相关最佳实践,提升个人生物信息保护整体水平,有利于人脸识别行业的良性发展。
此外,App运营者应自觉规范人脸识别技术在App中的应用,定期进行自我评价或第三方评价。在收集人脸数据之前,应告知用户使用情况和可能存在的风险,以保护用户的知情权和选择权。同时,当用户不想继续授权使用其人脸数据时,App运营商必须提供“退出”或“删除”渠道,以确保用户的删除权限。
我们可以换手机,也可以伪造身份证和驾照,但以现在的医疗技术,我们是无法“变脸”的。人脸识别技术前景广阔,但也存在安全隐患。这项技术是人机交互新革命的开始,还是个人隐私的陨落?我们将拭目以待。
雷锋网雷锋网雷锋网