刷牙时代如何保护我们的“脸”
一个人的手指上只有10个指纹,虹膜上只有两个指纹,手掌上只有两个指纹,只有一组声纹,只有一张脸。 生物特征认证是不可撤销的。 一旦其信息泄漏,将无法补救。
在某种程度上,在没有安全感的情况下刷脸与将ID卡和银行卡密码移交给其他人没有什么不同。
浙江科技大学杰出副教授,浙江大学法学博士郭兵状告杭州野生动物世界,将其告上法庭,因为他不同意去动物园刷脸。 此案成为国内消费者起诉企业的“第一张面部识别案”。
2020年12月29日,该案在杭州市中级法院二审,郭兵提起诉讼,要求指纹识别和面部识别中有关格式条款的内容无效。
不久前,“戴头盔去看房子”的视频广为流传,因为一些销售办公室的工作人员会使用面部识别来确定买家的身份,然后决定是否给予购房折扣。
在互联网时代,“扫脸”等新技术的发展和应用带来了便利,同时也给个人信息保护带来了新的挑战。 近年来,围绕人脸识别的争议仍在继续。 这些争议在一定程度上反映了人脸识别的广泛使用以及由此引起的公众关注。
在互联网时代如何确保个人信息的安全? 生物特征认证技术的弱点是什么? 是否有有关生物识别认证应用场景和技术(包括面部识别)的相关法规和监管? 科技日报记者采访了有关专家。
生物识别是我们的另一张身份证
在机场或高铁站检查您的身份并检查自己的脸; 在酒店登记入住并检查自己的脸; 远程在银行开一个账户并检查你的脸; 在线付款,通过门禁,检查您的脸…
近年来,以深度学习为核心的人工智能技术发展迅速。 其中,视觉识别技术的应用十分广泛,人脸识别已经从一些安全场景逐渐渗透到人们的日常生活中。 自今年年初以来,新的冠状肺炎流行带来了对非接触场景的需求,这加速了这一过程。
人脸识别实际上是一种生物特征认证。 其他生物特征认证包括指纹识别,虹膜识别和语音识别。 生物特征认证的最大特征是唯一性,例如,每个人都有唯一的面孔,指纹和虹膜。
因此,生物识别技术也可以视为我们的其他身份证。 “生物特征认证是为了识别个人特征。例如,面部特征与检查ID号码相同。它可以引用我的个人身份。” 江苏省科学技术协会党组成员,南京理工大学副理事长,信息处处长李干木说。
想象一下,身份证在不使用时要么放在钱包里,要么锁在保险箱中。 如果有一天,您的生物特征识别码存储在物业公司,动物园,银行,酒店等不知道的计算机硬盘中,您是否仍然认为刷脸进行身份验证安全吗?
北京永新智成科技有限公司首席战略官潘竹亭告诉记者,密码可以定期更改,也可以更改。 但是一个人只有十个指纹,只有两个虹膜,两个手掌指纹,只有一组声纹和只有一张脸。 生物特征认证是不可撤销的。 一旦其信息泄漏,将无法补救。
在某种程度上,在没有安全感的情况下刷脸与将ID卡和银行卡密码移交给其他人没有什么不同。
“这种技术的推广和应用应该充分证明其可能的收益和风险比。但是在杭州野生动物世界的案例中,我们没有看到使用面部识别技术的必要性和不可替代性。我看不到用户对风险的充分考虑和准备。这种促进技术的行动需要警惕和反思。” 东南大学程国斌副教授是这样认为的。
为什么面部识别被黑客反复破坏
早在2017年3月15日,人们就发现刷脸登录存在安全漏洞:通过听众的自拍,可以成功“改变”手机的脸部认证系统以破解。
从那时起,就发生了面部数据泄漏事件,一些是因为存储照片的数据库被黑了,还有一些是因为员工为了牟利而出售了数据副本。
李干木告诉记者,目前生物特征认证的弱点主要体现在两个方面:一是生物特征认证主要依靠图像或视频进行特征验证。 图像和视频可以伪造到一定程度。 “现在有一种方法称为AI伪造。即通过AI算法’创建’一个不存在的人脸,或自适应地生成其他人脸。该算法称为GAN,也称为对抗神经网络,可以生成一些不存在的面孔通过大量的样本训练伪造样本,伪造样本。”
第二点是生物特征认证本质上是字符映射。 在计算机中,面部特征由数字(例如0和1)描述,因此即使系统中不存在面部,该数字也可以通过黑客使用。 输入这些功能,面部识别可能会失败。
2020年10月,一项涉及20,000多人的调查研究—《面部识别应用程序公开调查报告(2020)》显示,超过90%的受访者使用了面部识别,而60%的受访者中有人认为面部识别技术已经有滥用的趋势,有30%的受访者表示由于面部信息的泄漏和滥用而遭受了隐私或财产损失。
与身份证号码和手机号码等个人信息的泄露相比,没有多少公开的面部数据泄露事件可供公众查看。 但是,据媒体报道,一些网络犯罪从业者使用电子商务平台出售非法获得的人脸和其他身份信息,以及“照片激活”在线工具和教程。
一个积极的变化是,公众对隐私保护的意识有所提高。 该报告显示,多达80%的受访者对收集者是否保留原始面部信息以及如何处理原始面部信息表示担忧。 关于面部信息的处理规则,受访者最想知道“采集者采取了什么样的技术和管理措施,以确保所采集的面部信息的安全性”和“面部识别技术是否由第三方提供” ,如果是,则第三方“谁是谁”和“当前使用哪个场景的面部信息,以及使用目的是否已更改”。
行业自律和法律监督必不可少
大多数接受采访的专家表示,他们很高兴看到人工智能等新技术的应用和开发,但也迫切需要加强对个人信息的保护。
李干木认为,对于滥用人脸识别技术,一是要形成强有力的监督机制,以制止违法行为。 二是进行技术防范,利用人工智能手段识别和区分人工智能,并建立相应的认证数据库或第三方认证中心对生物认证进行认证。 第三是加快立法,加大对违法行为的处罚力度。
放眼世界,一些发达国家已经率先制定了立法。 2015年,美国发布了“面部识别技术-商业用途,隐私问题和适用的联邦法律”报告,限制商业实体使用面部识别技术来识别或追踪个人。 2018年,《欧盟通用数据保护条例》(GDPR)生效,明确规定个人数据是个人拥有的数据资产,并且被称为历史上“最严格的”数据保护法。
我国有关个人信息保护的立法也得到了加速。 例如,“民法典”列出自然人的生物特征信息作为个人信息; 《个人信息保护法(草案)》打算处以罚款,例如没收非法收益和侵犯个人信息权的罚款。
不可否认,技术具有非常强大的工具属性,任何人都可以使用它。 有些人用钢铁建造数以千万计的建筑物,有些人用枪杀了数千人。 因此,成国斌认为,对于人脸识别技术的滥用,除了对行业自律的法律监督外,还必须进行深刻的伦理反思和伦理治理。
“开发新技术时,人类始终具有一定的价值趋势或价值追求。这种特定的初始价值与应促进社会发展和人类幸福的技术总价值之间的关系由技术来考虑。这是道德上的重要工作。” 程国斌说。
2019年7月,中央全面深化改革委员会第九次会议审议通过了《国家科学技术伦理委员会组成计划》。 实施科学技术伦理审查的目的是划定科学技术创新的必要伦理渠道和价值底线,明确科学技术活动中“有所作为,无所作为”的道德界限,并防止“潘多拉魔盒”可以随意打开。
“但是据我所知,我国目前的伦理审查机制在医学领域只是相对完善的,在大学和机构的科学研究中基本上是空白的。与欧美一些发达国家相比,我国科学技术伦理学评论的范围从系统的完整性来看,还有很大的改进空间。” 成国斌说,建立组织仅仅是开始,需要迅速培育出完整的机制,政策,法律制度和微妙的科学道德。
本报记者张烨