今年的315晚会上,央视通过暗访20多家有名品牌商户,戳穿了一个惊悚的事实:你的脸,正在被人脸识别系统偷走。
这些被暗访的品牌里,不乏像科勒卫浴、宝马、Max Mara等有名品牌。遗憾的是,没有一个商家明确奉告消费者,征得赞许更是无从谈起。
和人脸信息一起被偷走的,还熟年龄、身份、消费习气等个人隐私。无孔不入的人脸识别下,你的脸还安全吗?
人脸识别已经无处不在。
2017年9月,苹果在新品发布会上首次推出了FaceID,这是人脸识别首次被"大众年夜众所认识。“刷脸解锁”不仅成为了那一年苹果新手机最大的卖点,也成为了部分消费者用来炫耀吹嘘的新潮技能。
仅仅三年韶光,这一项被视作AI最范例运用的“黑科技”逐渐成为了生活中的“标配”。刷脸支付、刷脸打卡、刷脸开门、刷脸出行……脸被刷得越来越多,曾经感慨的便捷逐渐也引起了担忧和不安。越来越多的"大众年夜众开始质疑,人脸识别技能是否有被滥用的嫌疑?无处不在的摄像头下,自己的人脸数据是否还和过去一样安全?
放工回家,溘然被人脸识别设备挡在了家门口
2020年12月15日,居住在北京市朝阳区垡头街道某小区的居民们放工回家时创造,逐日都在利用的门禁卡溘然失落效了,楼栋大门无法正常开启。此前门禁卡感应器的阁下,多了一套名为“美关公”的人脸识别设备。“美关公”设备上方的提示称,小区已全部更新安装“美关公”智能门禁,居民需下载干系APP,并在APP中填写信息提交至物业后台,待物业审核通过后方可利用人脸识别和手机远程开门。
《中国经济周刊》 周琦 | 摄
“早上出门的时候还好好的,晚上一回来就变了。要不是下面贴了临时密码,我都进不去门。”一位该小区居民向《中国经济周刊》表示,此前物业、居委会均未关照居民将改换门禁设备,这些人脸识别设备是在12月15日下午溘然安装的。此前的门禁系统有连接到各家的对讲机,可在家远程开门,如今这套系统已经失落效。
根据该小区物业职员的描述,改换门禁系统是为了安全升级。若要完成完全的认证,须要提交房家当主的身份证正反面、房产证照片等信息。认证通过后,再在APP中录入人脸识别信息,即可通过人脸识别开门。此外,也可通过APP远程遥控开门或用更新后的门禁卡开门。
对付这套新门禁系统,小区居民有着不同的意见。一位居民对《中国经济周刊》说,自己年事大了,如果和老伴一起出门忘带了钥匙,以前只能找子女送钥匙,现在有了人脸识别,方便了许多,而且不用担心外人毁坏门禁了。
一位卖力该小区的快递员对新门禁系统也非常支持:“有些收件人不在家,有了这个往后,业主可以远程开门,我们就不用再在门外等有人进出才能进楼道了。”他还透露,由于长期在周边送货的快递员、外卖员都知道临时密码,现在他们可以直接用临时密码进入楼栋,“方便多了。”
也有部分居民对新门禁系统此表示了担心。“人脸识别说得挺好,但又录入人脸,又要身份证、房产证。现在科技那么发达,万一这些信息透露出去,屋子被人卖了都不知道。更何况,人脸又不是密码,想改就改,一辈子都要担惊受怕。总不能信息透露出去了往后让我们去换脸吧。”
据《中国经济周刊》理解,截至目前,该小区物业未和小区内居民签署过关于人脸识别干系的安全协议,也未公开磋商过信息透露后如何处理的问题。
该小区居民们的担心,也是目前人脸识别门禁在全国各地小区推广碰着的难点之一。与“康健宝”等由政府部门或大型国企开拓的APP不同,各小区选择的人脸识别门禁系统,由规模大小不一企业开拓,且中小型民企霸占很大的比例。这些民企的数据安全防护水平,能否达到“担保不透露”,尚待磨练。
《中国经济周刊》理解到,由于诸多居民担心信息透露,目前垡头街道这个小区的物业已经放松了哀求。在新门禁系统认证时,只需居民前往物业现场办理,即可通过,不再须要在APP中供应身份证、房产证照片等信息,但是注册APP仍需供应手机号、门牌号等。
对此,仍有居民表示不满:“用手机开门也好、用门禁卡开门也好,只要有这个门禁系统在,我在不在家,它都门儿清。万一有人‘黑’了系统,他们又不知道,趁我们不在家的时候来行窃,怎么办?”
快速扩展的“刷脸”商业版图
《中国经济周刊》理解到,改换“美关公”人脸识别系统,上述小区业主并不须要支付任何用度。不仅如此,在全国多个城市,“美关公”都打出了“免费”旗号。公开宣布显示,仅在安徽省合肥市,“美关公”就前后就投入了数千台免费设备。
如此大手笔,难道是纯挚为了做公益?《中国经济周刊》通过天眼查APP创造,截至2021年2月3日,“美关公”APP的运营商合肥优恩物联网科技有限公司(下称“优恩物联网”),共申请了14种专利。个中,包括“基于自主人脸识别推送精准广告的系统及方法”“基于门禁视频信息采集的千人千面信息推送云平台”“基于探针的社区人口流量剖析系统”等。
优恩物联网“基于门禁视频信息采集的千人千面信息推送云平台”的专利显示,可根据通畅职员的通畅情形,以不同年事、不同韶光和不同兴趣爱好,剖析出通畅职员行为习气,并可通过进一步剖析,在不同韶光段推送不同的广告。
而“基于探针的社区人口流量剖析系统”专利则显示,可以通过WIFI探针对社区的人口流量进行检测,提升了检测效率,不须要对职员进行繁琐登记。
普通地说,优恩物联网可能拥有通过人脸识别剖析出住户习气并精准推送广告的能力,也可通过WIFI探针检测附近的手机,进而剖析出楼栋附近的人流量。
不过,这些专利是否被运用到“美关公”门禁系统中,目前外界尚不知晓。
实在人脸识别技能用于广告推送,在全国范围内并不鲜见。海内专注做楼宇电梯广告投放的梯影传媒CEO任斌在2018年接管媒体采访时就曾表示,梯影传媒的广告投影设备加入了人脸识别等人工智能技能:“能粗略识别到性别、年事等维度,若用户在其他场景也留有公开数据,可以进行打通,完善用户画像,做更加精准的投放。”
在业内看来,人脸识别与语音识别技能是人工智能领域近年来进展最快的赛道,同样也成为了浩瀚成本瞄准的主要变现渠道。
目前人脸识别技能已在全国各处落地。酒店住宿、机场、高铁站的人脸识别提高了安检的速率和效率,同样也对掩护社会治安起到了主要浸染,如警方在张学友演唱会现场逮捕逃犯、在重庆机场逮捕弑母案凶手吴谢宇,都有人脸识别的功劳。北京各大医院录入的号贩子人脸信息,也对杜绝黄牛,确保现场号源留在患者手中起到了积极的浸染。
前瞻家当研究院2019年发布的一份报告显示,估量未来5年人脸识别市场规模将保持年均25%的增速,2022年市场规模将达到约67亿元。天眼查APP的数据显示,目前我国共有超过1万家人脸识别干系企业。
在商业版图的快速拓展下,一些本不须要运用到人脸识别技能的场景也涌现了“刷脸”的情形。2019年,一套监控学生上课行为数据的人脸识别实时剖析系统就曾引发热议。2020年,广东东莞市一家厕所曾引入具备人脸识别功能的供纸机,网络上也有不少争议,末了终止利用。
2020年7月13日的一场金融峰会上,央行科技司司长李伟指出,人脸是暴露在外的非常敏感的个人信息,有的技能在3公里之内就能识别人脸,有的机构热衷于把这些新技能用在金融领域,一旦被泄露和盗刷,是很危险的事情。“有技能也不能滥用,有技能也不能任性。”他强调。
谁有权利获取我的脸?
隐私问题是对人脸识别最为普遍的质疑。人脸面部特色本身并不是隐私信息。基于算法的人脸识别并不是大略地获取人脸信息,而是将人脸面部特色作为识别要素进行身份验证,并实现对个体的精准数据画像。当该信息与个人数据、尤其是身份信息、金融信息互联互通后,不仅涉及到陵犯个人隐私,还蕴藏着巨大的安全风险。尤其是面部信息具有天然的唯一性和不可变动性,一旦被滥用或泄露,后果不堪设想。
2020年10月1日履行的推举性国家标准《信息安全技能个人信息安全规范》(GB/T 35273-2020)中提到,对包括人脸在内的个人生物识别信息网络要“单独奉告”和“昭示赞许”,并且原则上不应存储原始个人生物识别信息,可以存储不可逆、无法回溯到原始信息的择要;或在采集终端中直策应用此类信息以实现身份识别、认证等功能,识别后删除可提取个人生物识别信息的原始图像。
但在现实生活中,由于具有自然性和非打仗性的特点,人脸信息每每会在不知情的情形下被采集,乃至被透露或者贩卖。
2019年8月,一款名为“ZAO”的运用曾一度风靡社交网络。用户上传自拍或本地图片后,就可以通过该运用过一把“换脸”的瘾。通过这个APP,你可以成为影视作品中的任何人。
火爆传播下,很快就有用户创造“ZAO”默认勾选的《用户协议》中暗藏玄机:用户将付与ZAO及其关联公司在环球范围内,对包括但不限于人脸照片、视频资料等肖像资料中的肖像权,以及利用技能对肖像权利人的肖像进行的改动,“完备免费、不可撤销、永久、可转授权和可再容许的权利”,乃至权利还能转移给任何第三方公司。
在朝阳区垡头街道这个小区的案例中,《中国经济周刊》把稳到,除了人脸信息,“美关公”APP(版本号5.14)的隐私及利用条款(下称“条款”)同样暗藏“危险”。
“美关公”APP显示,注册、登录、利用,均相称于赞许其隐私及利用条款。条款显示,用户在注册时将许可APP利用手机号码、手机设备识别码等信息用于注册,其搜集的信息包括用户姓名、地址(小区门牌号)等。即便是用户做事终止,APP仍有权连续保存用户的信息。
“条款”还明确规定,用户赞许利用APP后,风险和产生的后果将完备由用户自己承担。因第三方攻击、毁坏、损毁或做事器本身缘故原由导致信息透露的,用户应免除APP运营商的任务。
值得把稳的是,这份协议不仅会授权给“美关公”APP,还会同时授权给其运营商的关联企业和家当业务关系的企业,并且是“永久授权”。
也便是说,“美关公”APP运营商等网络完用户的手机、门牌号、人脸等信息后,可以一贯保存这些信息,而一旦涌现信息透露,造成的后果与其无关。此外,《中国经济周刊》在“美关公”APP(版本号5.14)中,也没有找到任何注销信息的按钮,类似选项只有“退出登录”。
如果说,在这些APP上,用户最最少还保留了是否上传人脸数据等个人信息的选择权,那么一些没有搜聚被采集人赞许,以"大众年夜众利益为由,或者出于商业目的,在被采集者不知情情形下采集人脸数据的做法,则更加令公众年夜众担忧。
2017年,上海曾试点“电子警察”抓拍行人闯红灯设备,一旦监测到有行人闯红灯,会对该行人进行人脸识别,并将隐蔽了部分数字的身份证号码公布在路口的设备上。很快,这项技能就在深圳、天津、太原、济南等多个城市展开利用。
2020年11月,一则“男子戴头盔看房”的短视频在互联网上热传。视频中,该男子拍摄自己戴着头盔进售楼处看房,以戒备人脸识别系统的抓拍。其背后,是售楼处未经许可采取人脸识别技能对“购房者”进行区分,从而决定售价及成交后的佣金归属。
在中国信息通信研究院安全研究所数据安全研究部研究员葛鑫看来,售楼处人脸识别的曝光就犹如“撕开了一道口子”,让大家意识到大量线了局景也在利用数字技能网络个人信息。
清华大学法学院教授劳东燕剖析,从数据网络环节来看,人脸识别具有无意识性与非打仗性,可以远间隔发挥浸染,并能永劫光大规模地积累数据而不被用户察觉,具有很强的侵入性。
“不用疑惑,只要开始利用人脸识别技能,就始终有一双眼睛随时紧盯着你我。成为透明人一样的存在,不是出于想象,而便是活生生的现实。”劳东燕说。
我的脸还安全吗?
劳东燕表示,从数据保管环节来看,一旦网络主体未能善加保护,也会导致大规模透露的情形;即便其采纳合理的保管方法,也仍旧面临被黑客侵入而透露的危险。由于个人的生物学数据具有稳定不变性,一旦透露,相应的风险及危害即不可逆转。
“美关公”APP官网显示,优恩物联网已覆盖中国17个一二线城市,包括北京、上海、广州、深圳、合肥、杭州等。粗略估算,“美关公”已经入驻全国近万个小区,数十万人将数据上传到了其运营后台。那么,优恩物联网有能力保管好用户的个人数据吗?
公开信息显示,2020年8月12日,优恩物联网的“美关公智能门禁”系统,得到了公安部二级信息系统安全等级保护备案证明。
据悉,信息安全等级保护共分为5个等级,第一级为最低,第五级为最高。个中,第二级对应的受损后侵害客体及程度为“严重危害个人、企业权柄,危害社会秩序、公共权柄”,监管强度为“辅导保护”,一样平常企业的关键系统可申请备案定级。
作为比拟,《中国经济周刊》的官方网站——经济网(http://www.ceweekly.cn),信息安全等级保护为三级。比储存有大量人脸、住址、电话等个人信息的优恩物联网等级还要高一级。
针对人脸数据透露的风险,劳东燕分享了她的担忧。在她看来,信息透露具有无法有效救援的风险,探求透露者实际上存在极大困难,而人脸无法改变,因此人脸识别的运用应该更为谨慎。
人脸数据透露早有先例发生。2019年2月视频监控公司深网视界透露了超过250万条个人信息,包括身份证号码、性别、国籍、地址、生日、照片、店主等信息,以及这些人过去24小时内经由的地点,合计约668万条记录。
网络黑产也同样盯上了人脸数据。多家媒体曾宣布,在社交平台上存在着公开兜售人脸数据的情形,价格从几十元到上百元不等。《中国经济周刊》在中国裁判文书网上同样找到了多起涉及倒卖人脸数据的案件。
将人脸面部特色作为识别要素进行身份验证于识别,本身是基于面部信息具有天然的唯一性和不可变动性。万一壁部信息可以被假造呢?
2021年1月尾,依托清华大学人工智能研究院成立的人工智能企业瑞莱聪慧 RealAI 表露了新的研究成果:研究职员通过对抗样本攻击,破解了 19 款安卓手机的人脸识别解锁系统。据悉,这 19 款手机覆盖了排名前五的国产手机品牌,从低端机到旗舰机型,个中还有一款是2020年 12 月份最新发布的旗舰机。不仅如此,他们还用抗样本破解了几款政务和金融APP的人脸识别系统,伪装机主完成了银行开户。
也便是说,在一定条件下,黑客可以伪装身份,骗过人工智能的“眼睛”,破解手机面部解锁、伪装成他人完成身份认证,乃至通过人脸识别支付来盗取财产。
令人担忧的是,这统统在现实中已经发生了。2020年3月,中国裁判文书网公布了一起黑客攻破厦门银行APP的人脸识别系统,进而利用虚假身份信息注册多个账户并倒卖牟利的案件。根据讯断书,这名只有初中文化水平的黑客成功利用黑客技能手段,打破人脸识别系统,利用虚假身份信息,注册厦门银行Ⅱ类账户76个,并通过网络售卖赚取22010元。
“无论是线了局景还是线上场景,干系支付做事供应商和技能做事供应商都难以担保人脸特色(生物特色)数据的绝对安全性。事实上,现阶段鱼龙殽杂的人脸识别技能公司已经成为重大的信息安全隐患,一旦发生大规模人脸特色数据透露,其后果不堪设想。”中国社科院支付清算研究中央特约研究员赵鹞曾撰文表示。
如何保护你我的脸?
2020年12月29日,备受关注的中国“人脸识别第一案”在杭州市中级法院二审开庭。据媒体宣布,原告郭兵于2019年购买了杭州野生动物天下双人年卡。在办理该年卡时,杭州野生动物天下明确承诺可凭此卡及指纹于该年度内不限次数畅游。同年10月,郭兵收到一条杭州野生动物天下发来的短信,短信中称,园区年卡系统已升级为人脸识别入园,原指纹识别取消,即日起,未注册人脸识别的用户将无法正常入园。
在郭兵看来,杭州野生动物天下在没有奉告网络和利用的规则的情形下,利用格式条款并借助技能手段逼迫网络了他的面部特色信息及指纹信息,未遵照正当必要原则。因此,他哀求确认相应的店堂告示、短信关照内容无效。
这场引人瞩目的官司背后,是"大众年夜众对付包括人脸数据在内的个人信息被任意搜集、透露乃至被买卖的焦虑和不安。
“我国目前含有个人信息保护干系描述的法律超过100部,干系法律阐明也超过100部,行政法规、部门规章、地方法规规章更多。随着技能发展,陵犯个人信息安全的不法行为依然‘道高一尺、魔高一丈’。加上我国对个人信息的保护看似热闹,实在是处于‘九龙治水’的状态,法律、司法本钱较高,难以取得空想效果。” 北京外国语大学法学院教授、电子商务与网络犯罪研究中央主任王文华说。
这一情形下,制订一部专门的个人信息保护法变得格外主要。
2020年10月13日,个人信息保护法草案正式提交全国人大常委会审议。12月21日,全国人大常委会法工委发言人岳仲明在会上先容,在民法典有关规定的根本上,已经初审的个人信息保护法草案细化、充足了个人信息保护制度规则,明确了个人信息处理活动中个人的权利和处理者的责任,进一步增强了法律规范的系统性、针对性和可操作性。
“个人信息保护法草案,对处理包括人脸等个人生物特色在内的敏感个人信息,作出专门规定,哀求只有在具有特定目的和充分必要性的条件下,方可处理敏感个人信息,并在事提高行风险评估。”岳仲明说。
与此同时,人脸识别运用规范也在各地陆续落地。2020年10月,提请审议的《杭州市物业管理条例(修订草案)》中明确规定,禁止逼迫业主通过指纹、人脸识别等生物信息办法进入小区。12月,天津市十七届人大常委会第二十四次会议表决通过了《天津市社会信用条例》,个中明确禁止市场信用信息供应单位(指信用做事机构、行业协会、商会及其他企业奇迹单位等市场信用信息供应单位,在生产经营、供应做事或者行业自律管理活动中产生、获取的信用信息。)采集自然人生物识别信息。
中国之外,人脸识别的运用泛滥也已经在环球其他国家引起了警觉。2019年8月,瑞典北部的谢莱夫特奥市政府因许可该市Anderstorp高中利用人脸识别技能进行考勤,被瑞典数据保护局以违反欧盟《通用数据保护条例》为由,处以20万瑞典克朗(约合2万美元)罚款。
在美国一些城市,人脸识别技能同样被严格禁止利用。2019年5月,加利福尼亚州旧金山市立法机构监事会通过《停滞秘密监视条例》,禁止该市的警察、交通管理等53个市政部门利用人脸识别技能。6月,马萨诸塞州萨默维尔市议会投票通过一项法案,禁止当地警方和市政部门利用面部识别软件。
责编 | 姚坤