新闻观察:大数据时代的个人信息与群体安全
“刷脸”时代 人脸信息安全吗?
购物时“刷脸”支付、用手机时“刷脸”解锁,进小区时“刷脸”开门,坐高铁时“刷脸”进站……如今,越来越多的事情都可以“刷脸”进行,也就是用人脸识别技术来解决。科技进步给我们生活带来了更多的便利,不过近日,记者发现,在某些网络交易平台上,只要花2元钱就能买到上千张人脸照片;此外,还有科研人员用面具替代人脸,成功解锁手机,这不禁让大家开始担忧人脸识别安全问题。在“刷脸”时代,用脸有风险,人脸识别安全该如何保证呢?
最近,有科研人员以使用率较高的人脸识别解锁手机为例,用面具代替人脸进行了测试。测试中,科研人员先将手机放置在一个三脚架上,再在手机对面放上面具,然后进行光线,色温以及角度的调节。通过几次比对,手机被成功解锁了。专家表示,这款面具的制作成本并不高,通过它进行人脸识别的成功率高达三成。
中国信息通信研究院科研工程师 王嘉义:3D打印就可以制作出来,一个精度尚可的一个人脸面具,头套也是同样的制作原理。
此外,记者调查发现在某些网络交易平台上,只要花两元钱就能够买到上千张人脸照片。浏览商家的素材库,里面全都是真人生活照、自拍照等充满个人隐私内容的照片。人脸照片在网络上被随便交易、面具也可以代替人脸解锁,这样的现象让个人信息安全保护再次进入了大家的视野。
那么“刷脸”时代,我们的人脸信息安全吗? 专家表示,目前最简单的人脸识别,只需要采集、提取人脸上的六个或八个特征点就能够实现。而复杂的人脸识别则需要采集提取人脸上的数十个乃至上百个特征点才能实现。相比于解锁手机,刷脸支付,刷脸进小区等应用,采集的人脸特征点更多,安全性自然也更高。不过目前相关人员已经研发出了专门针对生物特征的活体检测技术,可以有效识别扫描对象的生命体征。
中科院自动化所研究员 张兆翔:近红外的摄像头一方面可以采集人脸当中的一些信息,另一方面也可以采集人脸的温度,包括它随着温度的变化所带来的一系列的这个变化。这些变化的信息是可以帮助我们去判断这张人脸究竟是一张照片?是一个视频?还是一个真正的活生生的真实的人脸?
在专家看来,当下人脸识别技术的风险点更多的是集中在存储环节,那么我们的人脸信息被采集之后,究竟保存在了什么地方呢?由于人脸识别应用五花八门,也没有统一的行业标准,大量的人脸数据都被存储在各应用运营方或技术提供方的中心化数据库中,一旦服务器被入侵,高度敏感的人脸数据就会面临泄露风险。专家指出,人脸数据存储应该建立更严格的标准和规范,技术开发方、软件运营方不能成为各自为战的数据孤岛,只求技术更迭,忽视隐私风险,而是应该在严格的监管,以及法律和行业规范下采集、使用、存储数据。
360人工智能研究院安全专家 肖胜涛博士:从算法到数据库,都需要有比较好的抗攻击手段。比如门禁系统最好能做到多模态,以及动态的防御,同时能防止新技术带来的挑战。比如AI换脸,数据库和服务的问题,就是需要服务搭建方,有更好的防黑客攻击手段。
目前,《中华人民共和国个人信息保护法(草案)》正在面向社会公开征求意见。草案提出,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供。
四川拓越律师事务所律师 黄锐:在这当中对于个人图像,和个人身份特征信息等,是做出了明确的界定。从上述的相关法律法规,以及草案的内容可以看到,在我国对于公民个人信息的保护,是日趋完善的。
新闻链接:杭州拟立法:物业不得强制业主人脸识别进小区
一方面是刷脸提供的便捷,另一方面是个人信息泄露带来的风险。居民小区门禁究竟能否使用人脸识别系统,屡屡引发争议。近日,《杭州市物业管理条例(修订草案)》提请杭州市十三届人大常委会第三十次会议审议。“修订草案”规定:不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权。“修订草案”如获得通过,将成为我国首部明确写入人脸识别禁止性条款的地方性法规。
近日发布的《人脸识别应用公众调研报告(2020)》显示,有九成以上的受访者都使用过人脸识别,不过,有六成受访者认为人脸识别技术有滥用趋势。还有三成受访者表示已经因为人脸信息泄露,滥用而遭受到隐私或财产损失。如今,越来越多的物业公司、学校都把手伸向了民众的脸,不录人脸可能会限制进出、限制使用,影响到个人生活。其实,按新版《信息安全技术个人信息安全规范》,收集人脸信息需要单独告知并获得个人信息主体的授权同意,且不得存储原始图像。也就是说,不刷脸才是权利;刷脸必须征得当事人的同意。可以说,这次《杭州市物业管理条例(修订草案)》重述了这个“常识”,刷脸不是业主的义务。
这堪称是向“人脸识别”滥用开出的第一枪。关于人脸识别技术的应用场景,目前并无明确法律条文做出规定。但并不是所有的行为都“法无禁止即可为”。对于个人信息中最为敏感的一类“个人生物识别信息”,在滥用成为趋势的情况下,亟需进一步以立法立规、制定标准等方式,加以引导。
而个人也需强化个人信息保护意识。对于“人脸识别”的使用,除了法律法规明确要求的“强认证”场景,比如公共安全、金融支付等。其余凡是发现有“滥用”嫌疑的,都应该大声说“不”。
【新闻观察:大数据时代的个人信息与群体安全】
看完新闻之后,多少有些对于轻易“刷脸”之后信息安全的担忧,这种担忧是过虑吗?怎么消除这样的担忧?
我觉得要引起高度重视,但也不必过于焦虑。这也是社会转型过程中我们需要保持的一种心态。
个人信息安全看不见摸不着,发生问题都属于事后发现,很难提前预防。事发之后基本上都造成损失,而且较难挽回。这就要求每个人在自己的信息数据保护方面必须时刻保持警惕,对于敏感信息的采集要求要慎之又慎,三思而后行。我想,对于一些完全没有必要的数据采集要求,一定要明确拒绝,切不可贪小利而造成日后的重大损失,这种例子很多。
从公共安全的角度,对于公民个人信息安全的保护必须提高到一个新的认识层面——就是群体安全甚至是国家安全的高度来认识理解。个人敏感的数据信息泄露看似直接影响个人,但如果大量的个人信息都被窃取,那么由众多个体组成的群体安全就面临直接威胁。这种威胁影响面极广,甚至可能影响人心和社会的安定。毕竟我们现在生活在两个随时切换的线上和线下的环境里,而安全感来自的是这两个环境。客观上说,个人数据存在云端,个人很难掌控。因此,现在相关涉及信息安全的立法不断出台,就是在回应这种日渐强烈的社会关切。
在这方面,我们应该持续出台法律、办法和可操作的技术保护手段来因应各种信息技术创新场景之下的公共安全。重点防止打着创新的名号随意采集和滥用个人信息数据,当然对公众的宣传也很重要。总之一定要搭起一张足够张力的信息安全防护网,去随时应对可能出现的风险和挑战。从现在开始,必须加大全要素的投入去确保公众存在云端的敏感信息安全,才会收获将来信息社会更加蓬勃发展的果实。没有安全,就不会有发展,这种关系非常清楚。
