一个人只有10个指纹,只有两个虹膜,只有两个掌纹,只有一个声波纹,只有一张脸。生物认证是不可撤销的。它的信息一旦泄露,就没有补救办法了。
在某种程度上,没有安全感的刷脸和把身份证、银行卡密码给别人没什么区别。
浙江科技大学著名副教授、浙江大学法学博士郭冰起诉杭州野生动物园,称其在进入动物园时不同意刷牙。此案成为国内消费者起诉商家的“首例人脸识别案”。
2020年12月29日,该案在杭州市中级人民法院进行二审,郭冰提起诉讼,主张指纹识别、人脸识别相关格式条款无效。
前不久,一段“戴着头盔看房”的视频广为流传,因为有的售楼处工作人员会通过人脸识别来判断买家的身份,然后决定是否给买家优惠。
互联网时代,“刷脸”等新技术的发展和应用带来便利的同时,也给个人信息保护带来新的挑战。近年来,围绕人脸识别出现了许多争议。这些争议在一定程度上反映了人脸识别的广泛应用及其引起的公众关注。
网络时代如何保护个人信息安全?生物认证技术有哪些弱点?包括刷脸在内的生物认证应用场景和技术是否有相关规范和监管?《科技日报》记者采访了相关专家。
生物识别是我们的另一张身份证
在机场和高铁站查身份刷脸;入住酒店刷脸;在银行远程开户刷脸;在线支付,通过门禁,刷脸.
近年来,以深度学习为核心的人工智能技术发展迅速,其中视觉识别技术得到了广泛应用,人脸识别也从少数安全场景逐渐渗透到人们的日常生活中。今年以来,新冠肺炎的肺炎疫情带来了对非接触场景的需求,加速了这一进程。
人脸识别实际上是一种生物认证,其他生物认证包括指纹识别、虹膜识别、语音识别等。生物认证最大的特点是唯一性,比如每个人都有唯一的脸、指纹和虹膜。
所以,生物识别技术也可以看作是另一种身份证。“生物认证是识别个人特征,比如识别面部特征,和查身份证号一样。可以参考我的个人身份。”江苏省科学技术协会会员、副会长、南京科技大学信息部主任李说。
想象一下,身份证不用的时候,不是在钱包里,就是锁在保险柜里。如果有一天,你的生物身份证被储存在一个你不能被物业公司、动物园、银行、酒店等知道的电脑硬盘里。你还会觉得刷脸认证安全吗?
北京永新志诚科技有限公司首席战略官潘告诉记者,密码可以定期更换。但是一个人只有10个指纹,只有两个虹膜,只有两个掌纹,只有一个声波纹,只有一张脸。生物认证是不可撤销的。它的信息一旦泄露,就没有补救办法了。
在某种程度上,没有安全感的刷脸和把身份证、银行卡密码给别人没什么区别。
“这种技术的推广应用应充分展示其可能的效益和风险比。但以杭州野生动物园为例,我们看不到使用人脸识别技术的必要性和不可替代性,也看不到用户对风险的充分考虑和准备。这种促进技术的行动需要警惕和反思。”东南大学的程副教授是这样认为的。
为什么人脸识别会被黑客反复破解
早在2017年3月15日,就有消息披露刷脸登录存在安全漏洞:用一张观众自拍,就可以成功“变脸”破解手机的人脸认证系统。
之后也出现了数据泄露事件,有的是因为存储照片的数据库被黑客攻击,有的是因为工作人员出售数据拷贝牟利。
李告诉记者,生物认证主要有两个弱点:第一,生物认证主要依靠图像或视频进行特征确认,图像和视频在一定程度上是可以伪造的。“现在有一种方法叫AI伪造,就是通过AI算法‘创建’一个不存在的人脸,或者自适应生成其他人脸。这个算法叫GAN,也叫对抗性神经网络,通过大量的样本训练,可以生成一些不存在的伪样本。
第二,生物认证本质上是字符映射,人脸特征在计算机中是用0、1等数字来描述的,所以即使系统中不存在这张脸,这些特征也可以通过黑客攻击用数字输入,人脸识别就有可能通过。
2020年10月,一项涉及2万多人的调查显示,超过90%的受访者使用过人脸识别,60%的受访者认为人脸识别技术有滥用倾向,30%的受访者表示因人脸信息被泄露和滥用而遭受隐私或财产损失。
相比身份证号、手机号等个人信息的泄露,暴露在公众面前的人脸数据泄露事件并不多。但据媒体报道,一些网络黑制作商利用电子商务平台,批量转卖非法获取的人脸、“照片激活”等身份信息网络工具和教程。
一个良性的变化是,人们的隐私保护意识有所提高。据报道,多达80%的受访者表示担心人脸的原始信息是否会被收集者保留以及如何处理。具体到人脸信息的处理规则,受访者想知道“采集者采取了哪些技术和管理措施来保证采集到的人脸信息的安全”,“人脸识别技术是否由第三方提供,如果是,第三方是谁”,“目前使用的人脸信息是哪些场景,使用目的是否已经改变”。
行业自律和法律监管缺一不可
大多数受访专家表示,他们很高兴看到人工智能等新技术的应用和发展,但也迫切需要加强对个人信息的保护。
李认为,对于人脸识别技术的滥用,一是要形成有力的监管,震慑违法行为;二是采取技术防范措施,利用人工智能方法识别和甄别反人工智能,建立相应的认证库或第三方认证中心对生物认证进行验证;三是加快立法,加大对违法行为的处罚力度。
放眼世界,一些发达国家已经率先立法。2015年,美国发布了《人脸识别应用公众调研报告(2020)》报告,限制商业实体使用面部识别技术识别或跟踪个人。2018年,《面部识别技术——商业用途、隐私问题及其适用的联邦法律》 (GDPR)生效,明确规定个人数据为个人拥有的数据资产,被称为“历史上最严格的数据保护法案”。
中国关于个人信息保护的立法也加快了步伐。例如《欧盟通用数据保护条例》将自然人的生物特征信息列为个人信息;《民法典》拟对侵犯个人信息权益行为进行没收非法所得、罚款等处罚。
不可否认,技术有很强的工具属性,任何人都可以使用。有些人用钢铁建造成千上万的建筑,有些人用枪杀死成千上万的人。因此,认为,对于人脸识别技术的滥用,除了行业自律的法律监管外,还必须进行深刻的伦理反思和伦理治理。
“人类在开发一项新技术时,总会有某种价值倾向或价值追求。考虑这种特定的初值与技术应该促进社会发展和人类幸福的整体价值之间的关系,是科技伦理学的一项重要工作。”程对说道。
2019年7月,中央全面深化改革委员会第九次会议审议通过《个人信息保护法(草案)》。实施科技伦理审查是为了明确科技创新的必要伦理途径和价值底线,明确科技创新的伦理边界
“但据我所知,目前我国的伦理审查机制只在医学领域比较完备,而在高校、院校、企业的科研方面基本空白。与欧美一些发达国家相比,我国科技伦理审查的覆盖面和制度的完备性还有很大的提升空间。”程说,机构的建立只是一个开始,需要迅速培养一整套机制、政策、法律制度和潜移默化的科学伦理意识。