图片 1

在信息化加速发展的今天,人脸识别、指纹验证等技术正逐步普及。享受科技进步给生活带来便利的同时,也不能忽视个人生物信息被泄露、滥用等风险——

在信息化加速发展的今天,人脸识别、指纹验证等技术正逐步普及。享受科技进步给生活带来便利的同时,也不能忽视个人生物信息被泄露、滥用等风险——

刷脸取款、刷脸支付、刷脸进车站……

“刷脸”的风险,你知道多少?

“刷脸”的风险,你知道多少?

2016年我国人脸识别行业市场规模超10亿元

图片 2

图片 3

但存在个人隐私泄露风险、相关法律滞后等问题

伴随着生物医学研究的进步,人体的指纹、虹膜、面容、DNA等个人生物信息的获取、采集、存储和应用越发便利和普及。不少平台通过收集个人生物信息作为用户登录密钥,如人脸识别、指纹识别等,甚至连支付也进入了“刷脸”时代。

伴随着生物医学研究的进步,人体的指纹、虹膜、面容、DNA等个人生物信息的获取、采集、存储和应用越发便利和普及。不少平台通过收集个人生物信息作为用户登录密钥,如人脸识别、指纹识别等,甚至连支付也进入了“刷脸”时代。

评论:刷脸时代,如何才能刷得放心安心

据悉,“刷脸支付”的模式采用了人工智能、生物识别、大数据风控技术,使用户凭借“一张脸”就能轻松、高效、便利地完成支付。从2018年以来,“刷脸”支付在全国多地落地应用,有“刷脸”功能的自助收银机已在零售、餐饮、医疗等大型商业中得到广泛运用。

据悉,“刷脸支付”的模式采用了人工智能、生物识别、大数据风控技术,使用户凭借“一张脸”就能轻松、高效、便利地完成支付。从2018年以来,“刷脸”支付在全国多地落地应用,有“刷脸”功能的自助收银机已在零售、餐饮、医疗等大型商业中得到广泛运用。

因苹果新手机上市,“刷脸”成了热词。但是你知道吗,用照片和视频可以代替“刷脸”。用生物信息做验证,个人隐私存在巨大的泄露风险。

近日,记者在购物时看到,不少商店超市都开始试行“刷脸识别支付”的付款方式,于是现场体验了一把。按照流程,将购买的物品放在自助付款设备上,待屏幕显示已购买的商品信息,即可点击“刷脸支付”,记者将脸对准摄像头进行“人脸识别”后,再输入手机号码,几秒钟后即成功支付。记者经观察发现,虽然选择“刷脸支付”不用排队等候,但选择该付款方式的顾客并不多。

近日,记者在购物时看到,不少商店超市都开始试行“刷脸识别支付”的付款方式,于是现场体验了一把。按照流程,将购买的物品放在自助付款设备上,待屏幕显示已购买的商品信息,即可点击“刷脸支付”,记者将脸对准摄像头进行“人脸识别”后,再输入手机号码,几秒钟后即成功支付。记者经观察发现,虽然选择“刷脸支付”不用排队等候,但选择该付款方式的顾客并不多。

刷脸时代的个人信息保护

随着人工智能应用的成熟,越来越多的生物识别技术被广泛应用到生活和工作中,人们也越来越关注自己的生物信息安全问题。不久前,一种“人工智能测面相”的小程序走红于朋友圈,用户扫码进入应用界面后,上传个人照片或是实时拍照来进行下一步的面相测试,最后转发至朋友圈即可得出测试结果。但同时,也有不少用户体验完后转发称,“不要进行扫码面相测试,小心你的用户面部信息被盗用”。

随着人工智能应用的成熟,越来越多的生物识别技术被广泛应用到生活和工作中,人们也越来越关注自己的生物信息安全问题。不久前,一种“人工智能测面相”的小程序走红于朋友圈,用户扫码进入应用界面后,上传个人照片或是实时拍照来进行下一步的面相测试,最后转发至朋友圈即可得出测试结果。但同时,也有不少用户体验完后转发称,“不要进行扫码面相测试,小心你的用户面部信息被盗用”。

9月13日,苹果公司发布的新机让“刷脸”立即成了高频词。

除了这些使用场景,人脸识别技术还在“互联网+政务”领域被广泛应用。有媒体报道,在湖北武汉,一台“刷脸”缴费机在武汉市公安局出入境窗口上线,办事群众只需扫描出入境回执单,完成“刷脸”,输入手机号确认,就能完成办证缴费;在宁夏回族自治区,退休老年人通过手机客户端输入身份证号等信息,进行“刷脸”认证,即可完成社保待遇资格认证;在浙江,省直住房公积金中心与合作银行进行数据联网,缴存客户无需再到银行开具流水证明或现场排队办理,只需轻点鼠标、刷脸认证便可完成还贷提取网上申请……

除了这些使用场景,人脸识别技术还在“互联网+政务”领域被广泛应用。有媒体报道,在湖北武汉,一台“刷脸”缴费机在武汉市公安局出入境窗口上线,办事群众只需扫描出入境回执单,完成“刷脸”,输入手机号确认,就能完成办证缴费;在宁夏回族自治区,退休老年人通过手机客户端输入身份证号等信息,进行“刷脸”认证,即可完成社保待遇资格认证;在浙江,省直住房公积金中心与合作银行进行数据联网,缴存客户无需再到银行开具流水证明或现场排队办理,只需轻点鼠标、刷脸认证便可完成还贷提取网上申请……

“人类为征服自然,而发明了科技;人类为克服人性的弱点,而发明了法律。但技术和法律有时候是冲突的:一方面,技术有时会把法律抛到身后;另一方面,如果没有法律的约束,技术有可能会成为一场灾难。如何使法律既能促进技术的发展,又能限制技术不会被滥用,这是我们应该思考的。”9月22日晚,在西安交通大学信息安全法律研究中心博士论坛上,一位老师在做总结时说了这么一段话。

“人脸和指纹都在裸奔”

“人脸和指纹都在裸奔”

作为一种新技术,不论人们怎么看待,“刷脸时代”还是到来了。潘多拉盒子打开后,究竟该怎么办?近日,华商报记者就此采访了多位专家。

对于此类“刷脸”操作模式带来的便利,不少用户给出“好评”称:“太厉害了,以后出门带张脸就行,门锁都靠脸部识别,吃饭都不用再带手机了”“刷脸比扫二维码方便多了,未来是人脸识别的时代,一脸走遍天下!”

对于此类“刷脸”操作模式带来的便利,不少用户给出“好评”称:“太厉害了,以后出门带张脸就行,门锁都靠脸部识别,吃饭都不用再带手机了”“刷脸比扫二维码方便多了,未来是人脸识别的时代,一脸走遍天下!”

“用生物信息做验证风险在个人隐私的泄露”

但也不少用户表示担忧。一位网友称:“人脸和指纹都在裸奔,只有密码在你的脑里。”另一位网友评论道:“当我们走到大街上,我的脸就已经被记录到数据库中了。”也有网友表示:“祈祷我的脸不要被坏人们利用。”

但也不少用户表示担忧。一位网友称:“人脸和指纹都在裸奔,只有密码在你的脑里。”另一位网友评论道:“当我们走到大街上,我的脸就已经被记录到数据库中了。”也有网友表示:“祈祷我的脸不要被坏人们利用。”

受访对象:西安电子科技大学网络与信息安全学院教授、中央网信办网络安全人才培养基地副主任杨超

那么,“刷脸”技术是否成熟、安全是否有保障呢、隐私是否会被泄露呢?

那么,“刷脸”技术是否成熟、安全是否有保障呢、隐私是否会被泄露呢?

华商报:从最早的密码验证到现在的刷脸,身份验证技术大概经历了几个阶段?

“人脸识别的便捷性与安全性不可兼得。”在电子科技大学信息与通信工程学院副教授曾辽原看来,不管什么技术总有其特有的使用场景,人脸识别技术应该作为核实身份的辅助手段,而不是唯一的、关键的手段,特別是在安全性要求高的领域,更不能作为单一的识别手段。

“人脸识别的便捷性与安全性不可兼得。”在电子科技大学信息与通信工程学院副教授曾辽原看来,不管什么技术总有其特有的使用场景,人脸识别技术应该作为核实身份的辅助手段,而不是唯一的、关键的手段,特别是在安全性要求高的领域,更不能作为单一的识别手段。

杨超:要仅仅说身份认证,发展到现在大概有三大类:基于秘密信息的身份认证,即根据你独知的秘密信息进行认证,例如口令;基于信任物体的身份认证,即根据你独有的东西进行身份认证,例如调兵符;基于生物特征的身份认证,即直接根据你独特的体征来认证。生物特征类的也包括多种,比如声纹、指纹、掌型、虹膜、脸型、视网膜、血管分布和DNA等,甚至步态、说话语气等,也都可以成为生物特征。

“个人生物信息直接采集于人体、且是个人生理特性的直接体现并唯一对应……”今年两会期间,全国人大代表、北京科学学研究中心副主任伊彤提交了一份《关于开展公民个人生物信息保护立法的建议》,伊彤认为,个人生物信息与我们平时设定的密码不同,如果密码泄露,我们可以随即换一个密码;而个人生物信息一旦泄露,就是终身泄露,会将用户个人信息安全置于更大的不确定性中,进而引发一系列风险。

“个人生物信息直接采集于人体、且是个人生理特性的直接体现并唯一对应……”今年两会期间,全国人大代表、北京科学学研究中心副主任伊彤提交了一份《关于开展公民个人生物信息保护立法的建议》,伊彤认为,个人生物信息与我们平时设定的密码不同,如果密码泄露,我们可以随即换一个密码;而个人生物信息一旦泄露,就是终身泄露,会将用户个人信息安全置于更大的不确定性中,进而引发一系列风险。

华商报:用生物信息做验证,最大的风险是什么?

曾辽原同时指出,“一旦带有唯一性的生物特征数据被他人盗取利用,会造成个人信息安全、生命财产安全等相关问题,而且会导致大量深层信息被挖掘、曝光,给公民造成物质和精神上的极大损害。”

曾辽原同时指出,“一旦带有唯一性的生物特征数据被他人盗取利用,会造成个人信息安全、生命财产安全等相关问题,而且会导致大量深层信息被挖掘、曝光,给公民造成物质和精神上的极大损害。”

杨超:用生物信息做验证,风险在于个人隐私的泄露。因为个人的生物信息是人固有的特征,一旦丢失被非法使用,则危害很大,而且较难纠正。生物特征的采集也需要技术支撑和成本。另外,因为生物特征的不完全确定性,导致采集和对比都有一定的出错率。比较理想的身份认证应该具有便捷、安全、方便记忆、不易复制、容易管理等特点。如果从安全层面考虑,最好是多种验证方式混合使用,甚至可以考虑兼顾个人经常所处位置及行为模式等信息设定一定阈,超出阈值就及时提醒。

2018年11月28日,中国消费者协会曾发布《100款App个人信息收集与隐私政策测评报告》。报告显示10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App中,多达91款App列出的权限涉嫌“越界”,即存在过度收集用户个人信息的问题。其中,10款App对可识别生物信息的收集未能向用户明确重点告知,涉嫌过度收集个人生物识别信息。比如美图秀秀就遭到“点名”。作为一款以修图为主的App,美图秀秀不聚焦主业,却涉嫌过度收集可识别生物信息等。不少用户表示:我只想安安静静地美个颜,你却偷偷惦记我的生物信息,还能不能愉快地玩了?对此,中消协表示,个人财产信息、个人生物识别信息属于个人敏感信息。个人敏感信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控,可能对个人信息主体人身和财产带来重大风险。因此,中消协建议,有关部门综合考虑当前App隐私保护方面的严峻形势,加强隐私保护立法,落实具体措施,提高立法立规水平,为消费者个人信息安全提供更好的法律和制度保护。

2018年11月28日,中国消费者协会曾发布《100款App个人信息收集与隐私政策测评报告》。报告显示10类(通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化)100款App中,多达91款App列出的权限涉嫌“越界”,即存在过度收集用户个人信息的问题。其中,10款App对可识别生物信息的收集未能向用户明确重点告知,涉嫌过度收集个人生物识别信息。比如美图秀秀就遭到“点名”。作为一款以修图为主的App,美图秀秀不聚焦主业,却涉嫌过度收集可识别生物信息等。不少用户表示:我只想安安静静地美个颜,你却偷偷惦记我的生物信息,还能不能愉快地玩了?对此,中消协表示,个人财产信息、个人生物识别信息属于个人敏感信息。个人敏感信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控,可能对个人信息主体人身和财产带来重大风险。因此,中消协建议,有关部门综合考虑当前App隐私保护方面的严峻形势,加强隐私保护立法,落实具体措施,提高立法立规水平,为消费者个人信息安全提供更好的法律和制度保护。

华商报:用生物信息做验证可能带来什么问题?

而在今年2月份,中国就发生了一起广受争议的隐私安全事件——一家专注安防领域的人工智能企业被曝发生大规模数据泄露事件,超过250万人的数据可被获取,有680万条数据疑似泄露,包括身份证信息、人脸识别图像及图像拍摄地点等。据悉,该企业主要研发“人脸识别技术”,与不少部门机构都有人工智能的安防合作。

而在今年2月份,中国就发生了一起广受争议的隐私安全事件——一家专注安防领域的人工智能企业被曝发生大规模数据泄露事件,超过250万人的数据可被获取,有680万条数据疑似泄露,包括身份证信息、人脸识别图像及图像拍摄地点等。据悉,该企业主要研发“人脸识别技术”,与不少部门机构都有人工智能的安防合作。

杨超:当一个国家很多人的信息被掌握在企业尤其是个别外资企业手里,这确实是个令人担心的问题。先不说生物信息数据,仅仅是国内众多用户的常用口令这一项被外企知道,就可能形成威胁。而大量公民的面部特征、身份信息、健康状况、年龄特征、流动特点等数据,从中可以分析出很多重要信息。这些都应该属于我们国家的关键基础数据,其重要性等同于国家基础设施,可以说属于战略资源。但外资厂商通过产品终端收集的相关数据,存储、传输和销毁等是怎么进行的,即便拥有管辖权的我国相关部门都不一定知情。其实,收集这样的数据本身,就有触犯我国网络安全法的嫌疑。和这些情况的严重性相比,最后才是个人信息和隐私的保护问题。

“目前,个人生物信息的安全问题是不可控的。”曾辽原表示,人脸和其他生物特征数据间的一个巨大区别是,它们可以远距离起作用,这意味着我们在网上自拍或在街上走路时,都有可能不自觉交出了自己的个人生物信息。可以说,随着摄像头越来越普及,我们将真正进入“弱隐私”时代。如今,人脸、声纹、虹膜、指纹,甚至是步态都已经成为重要的个人身份信息,随着生物特征识别技术在生活中的广泛使用,极有可能成为个人隐私的泄露方式。

“目前,个人生物信息的安全问题是不可控的。”曾辽原表示,人脸和其他生物特征数据间的一个巨大区别是,它们可以远距离起作用,这意味着我们在网上自拍或在街上走路时,都有可能不自觉交出了自己的个人生物信息。可以说,随着摄像头越来越普及,我们将真正进入“弱隐私”时代。如今,人脸、声纹、虹膜、指纹,甚至是步态都已经成为重要的个人身份信息,随着生物特征识别技术在生活中的广泛使用,极有可能成为个人隐私的泄露方式。

“场景要求不严的‘刷脸’,有可能被照片攻击掉”

中国法学会网络与信息法学研究会副秘书长周辉此前在接受媒体采访时建议,人们应提高风险防范认知水平,了解“人脸识别”类应用可能存在的风险。对于应用方,应当增加风险提示说明。另外,监管部门也应加强消费者教育,对应用方依法加强管理。如果应用方存在非法利用采集到的相关信息,可依据网络安全法第64条等有关规定进行处罚。

中国法学会网络与信息法学研究会副秘书长周辉此前在接受媒体采访时建议,人们应提高风险防范认知水平,了解“人脸识别”类应用可能存在的风险。对于应用方,应当增加风险提示说明。另外,监管部门也应加强消费者教育,对应用方依法加强管理。如果应用方存在非法利用采集到的相关信息,可依据网络安全法第64条等有关规定进行处罚。

受访对象:国内某人脸识别项目研究团队项目组成员叶女士

个人生物信息被滥用

个人生物信息被滥用

华商报:为什么有人说“刷脸”技术可能被攻击?

据了解,当前个人生物信息保护的相关法律法规,散见于民法总则、网络安全法、消费者权益保护法以及最高法、最高检和国务院颁布的相关司法解释和规定中,远未形成完整体系。伊彤代表称,我国行政机关和特定行业针对个人生物信息也有一些规定,如公安机关对犯罪分子、刑事被告人的相关生物信息有保密义务,安保服务、征信行业对个人生物信息收集也有所规定,但这类规定的涵盖范围比较有限。

据了解,当前个人生物信息保护的相关法律法规,散见于民法总则、网络安全法、消费者权益保护法以及最高法、最高检和国务院颁布的相关司法解释和规定中,远未形成完整体系。伊彤代表称,我国行政机关和特定行业针对个人生物信息也有一些规定,如公安机关对犯罪分子、刑事被告人的相关生物信息有保密义务,安保服务、征信行业对个人生物信息收集也有所规定,但这类规定的涵盖范围比较有限。

叶女士:这种攻击也被称为“非活体攻击”,也就是说拿纸片或手机视频去代替活人“刷脸”。不是说人脸识别技术不能避免这种情况,而是有些场景本就不需要这么严格的“活体检测”,比如说上班考勤就没必要买很贵的设备,当然有可能拿照片就攻击掉了。

“我国目前的刑事法律主要以‘侵犯公民个人信息罪’为切入点,对向他人提供、出售以及非法获取个人信息的行为予以处罚。”北京师范大学刑事法律科学研究院副教授、中国互联网协会研究中心副秘书长吴沈括介绍说,一些民事类以及行政类规定,则对一般事业性单位以及网络服务提供者作出了义务性规定,要求其对公民个人信息收集、使用等活动遵循合法、正当等一般原则。

“我国目前的刑事法律主要以‘侵犯公民个人信息罪’为切入点,对向他人提供、出售以及非法获取个人信息的行为予以处罚。”北京师范大学刑事法律科学研究院副教授、中国互联网协会研究中心副秘书长吴沈括介绍说,一些民事类以及行政类规定,则对一般事业性单位以及网络服务提供者作出了义务性规定,要求其对公民个人信息收集、使用等活动遵循合法、正当等一般原则。

华商报:您如何看待苹果的“刷脸解锁”和国内的人脸识别技术?

在伊彤代表看来,目前我国个人生物信息的法律保护面临着以下三个问题,一是个人生物信息权作为具有人格权属性的私权,尚未明确纳入私法保护范围;二是针对个人生物信息在刑事侦查、治安管理、人口治理、医疗卫生等领域的非商业应用,以及政府和相关机构的责权利,特别是个人生物信息权保护边界等急需明确;三是针对个人生物信息商业应用和相关产业侵权风险及不正当竞争,目前缺乏相应的特殊规制,法律救济、行政处罚也无法律依据。

在伊彤代表看来,目前我国个人生物信息的法律保护面临着以下三个问题,一是个人生物信息权作为具有人格权属性的私权,尚未明确纳入私法保护范围;二是针对个人生物信息在刑事侦查、治安管理、人口治理、医疗卫生等领域的非商业应用,以及政府和相关机构的责权利,特别是个人生物信息权保护边界等急需明确;三是针对个人生物信息商业应用和相关产业侵权风险及不正当竞争,目前缺乏相应的特殊规制,法律救济、行政处罚也无法律依据。

叶女士:苹果的人脸识别和国内技术相比,优势不是在软件层面,而是在硬件层面。我们的硬件没有跟上。

“大数据相关技术的发展以及云计算和人工智能技术的广泛应用,使得生物信息泄露方式多样化,监管技术难度会更高。”吴沈括指出,立法如何规定生物信息的使用范围或标准,既能使技术得以发展,又能使信息得到保护,这个重要问题亟待解决。

“大数据相关技术的发展以及云计算和人工智能技术的广泛应用,使得生物信息泄露方式多样化,监管技术难度会更高。”吴沈括指出,立法如何规定生物信息的使用范围或标准,既能使技术得以发展,又能使信息得到保护,这个重要问题亟待解决。

华商报:怎么看待面相数据被搜集?

目前,规范人脸识别技术都在强调个人生物信息的保密、防止泄露等问题。而北京师范大学法学院教授、亚太网络法律研究中心主任研究员刘德良则持不同观点,他认为目前个人生物信息所面临的问题并不是需要保护,而是信息被滥用的问题。“未来立法重点应放在包括个人生物信息在内的各种身份信息被利用时,该如何严管相关机构。”

目前,规范人脸识别技术都在强调个人生物信息的保密、防止泄露等问题。而北京师范大学法学院教授、亚太网络法律研究中心主任研究员刘德良则持不同观点,他认为目前个人生物信息所面临的问题并不是需要保护,而是信息被滥用的问题。“未来立法重点应放在包括个人生物信息在内的各种身份信息被利用时,该如何严管相关机构。”

叶女士:那就要看是拿去做什么了,如果被拿去做一般的事情,就相当于我们免费给人家提供了很多数据,这些人脸数据其实是很值钱的。但要知道,人脸的3D模型是可以复刻的,如果你的脸被人拿去做3D模型,指纹也被拿去会怎样?

“我们的个人生物信息已经存在于社会中无数个节点,所谓的泄露往往是在某一个特定的滥用环节上,很难去确定是哪一个节点。我们总是一味地强调保密,防止泄露等安全问题,但在很多情况下我们必须使用这些信息,因此强调保密不如去有效地防范个人生物信息的滥用,去打击滥用。”刘德良补充道,目前公众的焦点应该集中在个人生物信息被滥用或在使用过程中的规范问题。

“我们的个人生物信息已经存在于社会中无数个节点,所谓的泄露往往是在某一个特定的滥用环节上,很难去确定是哪一个节点。我们总是一味地强调保密,防止泄露等安全问题,但在很多情况下我们必须使用这些信息,因此强调保密不如去有效地防范个人生物信息的滥用,去打击滥用。”刘德良补充道,目前公众的焦点应该集中在个人生物信息被滥用或在使用过程中的规范问题。

“当前技术环境下,个人信息被收集几乎无法对抗”

吴沈括还表示,对于个人信息的非商业应用行为,鉴于信息适用主体为政府相关机构,相对一般的网络服务提供者来说,公民提供给政府机构的个人生物信息的真实性以及准确性更高,因此,建议对该类机构应当予以更为严格的规范,应当明确规范相关机构在个人信息处理行为中的权利以及义务范围,避免个人信息的过度使用。同时,相关部门对于个人DNA生物信息的使用应当进行严格的审核,考量使用目的是否具有必要性以及适当性。此外对于存储的时长等问题应当向个人信息主体作出必要的说明,以确保个人信息主体对其信息所享有的一般权利。

吴沈括还表示,对于个人信息的非商业应用行为,鉴于信息适用主体为政府相关机构,相对一般的网络服务提供者来说,公民提供给政府机构的个人生物信息的真实性以及准确性更高,因此,建议对该类机构应当予以更为严格的规范,应当明确规范相关机构在个人信息处理行为中的权利以及义务范围,避免个人信息的过度使用。同时,相关部门对于个人DNA生物信息的使用应当进行严格的审核,考量使用目的是否具有必要性以及适当性。此外对于存储的时长等问题应当向个人信息主体作出必要的说明,以确保个人信息主体对其信息所享有的一般权利。

相关文章