江苏龙网

  1. 首页 > 社会 > >

10亿张人脸数据被抓取我们正面被偷脸( 二 )

10亿张人脸数据被抓取我们正面被偷脸
7月6日 , 山西太原市 , 即将参加2020年全国高考的考生前往考点查看考场 , 考务人员运用“人脸识别”技术核验考生身份 。 摄影/本刊采访人员 韦亮云从科技相关负责人对《中国新闻周刊》解释 , 公司为客户提供服务时 , 不管什么合作模式 , 一般情况下 , 数据都存储在客户那边 , 客户不可能愿意把数据给人脸识别技术公司 。 “特别是银行、公安都有内网 , 我们的服务器都是建在他们内网 , 相当于他们的私有服务器 , 没有办法外传数据 。 ”北京市安理律师事务所合伙人王新锐长期关注数据安全和人工智能 , 在他看来 , 大公司不可能把数据传给AI公司 , 数据是大公司的核心竞争力 , “万一AI公司把数据卖给别人怎么办?”不过 , 早期一些人脸识别技术公司疏于对数据的保护 。 2015年 , 黄昊注意到 , 有一家公司的人脸数据标注是由其他公司外包的 , 从一个网站上就能直接看到所有数据 。 那次泄露只有业内人士了解 , 他自己也下载了一批数据 , 不过没持续很长时间 , 漏洞得到了修复 。 黄昊解释 , 保护数据需要成本 , 对于初创公司而言是不小的费用 。 更为重要的是 , 对很多公司来说 , 对数据过分保护 , 会阻碍人脸识别技术的发展 。 “一些公司只能从服务器上获取数据 , 我想在自己的电脑上做一些可视化处理 , 也拿不到数据 , 就少了一些做分析的手段 。 ”被“疏漏”的数据 , 很多流入了人脸信息贩卖的黑市 。 北京青年报曾报道 , 有商家在网络商城兜售“人脸数据” , 涵盖2000人的肖像 , 每个人有50到100张照片 , 共计17万条 , 照片的主人公不仅有明星 , 还有不同职业、不同年龄的普通人 。 此外 , 每张照片搭配一份数据文件 , 包括眼睛、耳朵、鼻子、嘴巴、眉毛等轮廓信息 。 商家告诉采访人员 , 这些人脸数据 , 一部分从搜索引擎抓取 , 另一部分来自境外一家软件公司的数据库 。更严重的是 , 随着越来越多的人脸数据被上传到云端 , 数据泄露或违规使用的可能性大大增加 , 不排除运营工作人员的盗取、数据库被黑客入侵、公司破产倒闭数据库被倒卖等等可能 。“从数据保管环节来看 , 一旦收集主体未能善加保护 , 会导致大规模泄露的情况;即便其采取合理的保管措施 , 也仍然面临被黑客侵入而泄露的危险 。 由于个人的生物学数据具有稳定不变性 , 一旦泄露 , 相应的风险及危害即不可逆转 , 也无法有效弥补 。 ”劳东燕认为 , 可以确定的是 , 人脸数据的泄露 , 所带来的潜在的安全风险 , 远比手机号与账户信息的泄露更为严重 。 人脸、声音、虹膜等生物信息泄露后 , 没有办法再更改 。匹配身份后的人脸数据危害极大中商产业研究院的一份报告显示 , 据预测 , 2020年我国生物识别技术(含人脸识别技术)行业市场规模将突破300亿元 。 围绕人脸识别 , 已经形成了基础层(芯片、算法、数据)、技术层(视频人脸识别、图片人脸识别、数据库对比检验)、应用层(硬件、应用和应用方案)的完整产业链结构 。当下人脸识别技术的风险点 , 更多集中在存储环节 。 近期 , 央视新闻报道指出 , 由于人脸识别应用五花八门 , 也没有统一的行业标准 , 大量的人脸数据都被存储在各应用运营方 , 或是技术提供方的中心化数据库中 。 数据是否脱敏、安全是否到位、哪些用于算法训练、哪些会被合作方分享 , 外界一概不知 。 而且 , 一旦服务器被入侵 , 高度敏感的人脸数据就会面临泄露风险 。在曾毅看来 , 去年深圳深网视界科技有限公司(SenseNets , 以下称深网视界)发生的数据泄露事件集中体现了存储端的薄弱 。 2019年2月 , 荷兰著名安全研究员 Victor Gevers发现 , 中国安防视觉领域的一家企业深网视界未进行安全保护 , 导致其数据库在公网“裸奔” , 任何人都可以访问数据 。 该数据库有超过250万名用户的信息 , 除了用户名 , 还有非常详细且敏感的信息 , 比如身份证号码、身份证签发日期、性别、家庭住址、出生日期、照片、工作单位以及过去24小时的到访记录等 。深网视界并非业内知名企业 , 但与多地公安部门长期合作 。 数据库可供任何人在线访问 , 这意味着有恶意的人可以随时添加和删除、倒卖记录 。 Gevers曾给公司发送提醒 , 但是对方都置之不理 。 “很显然 , 一些地方政府主要关注系统的功能 , 忽略了公司以及它服务的对象对信息安全的保护 。 ”曾毅对《中国新闻周刊》说 。类似深网视界这样的数据泄露 , 后果是灾难性的 。 不少业内人士都指出 , 单纯的个人照片不构成太大风险 , 但匹配了身份信息的照片 , 危害极大 。人脸照片与身份信息相互匹配的渠道 , 越来越多样化 。 “第一种是通过支付软件 , 上面可能本来就有了个人信息 , 再加上人脸信息 , 就能匹配;第二种是一些园区、旅游景点 , 刷身份证进入 , 就有了数据库;第三种是不少金融服务公司会拿客户的信息去查询比对权威部门的数据库 , 对比完以后 , 有的公司会把信息储存下来 , 存在泄露的可能 。 ”有业内人士分析 。有专家提醒 , 不少场景或者应用软件 , 要求消费者举着身份证拍照 , 这是最危险的 , 因为既有身份证又有人脸信息 , 一定要尽量避免提供这样的信息 。不少媒体都曾曝光 , “照片活化”工具可将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频 。 匹配了身份信息的照片 , 经过“照片活化”后 , 能实名注册市面上大多数软件 , 加上验证码破解方式 , 不法分子在办理网贷、精准诈骗等方面几乎毫无障碍 。2019年1月 , 四川省公安机关网安部门打掉一个使用软件制作动态人脸图片 , 破解人脸识别系统 , 盗窃支付宝资金的犯罪团伙 , 抓获犯罪嫌疑人8名 , 查获公民个人信息数据3000余万条 。2019年8月 , 深圳市龙岗警方抓获一个人脸识别认证黑产团队 。 据报道 , 一位市民在某机构网站办理业务时 , 发现自己早已是网站注册用户 , 而注册这个网站 , 必须输入姓名、身份证号、手机号、验证码 , 并且要进行人脸识别认证才可以注册 。 警方破获案件后了解到 , 黑产团伙的做法是 , 在黑市购买“姓名+身份证号+头像照片”的资料 , 然后利用软件 , 对照片进行调色、3D建模、渲染 , 让照片活化 , 此时 , 照片便可以做出张嘴、摇头、眨眼等验证指定动作 。 团伙把事先做好的视频保存在经过特殊处理的手机上 , 验证时 , 手机会直接弹出“选择媒体”的模块 , 而不是打开摄像头 。 打开事先准备好的视频 , 该团伙便能顺利通过认证 , 注册该网站的会员 。王斌(化名)曾在腾讯优图实验室做人脸识别的活体检测工作 , 他告诉《中国新闻周刊》 , 2017年 , 他就曾见过上述操作的黑产攻击用户的其他系统 , 获取重要资产 , 当时技术骗过了算法 , 但是幸好被后续的人工审核查了出来 。 “人眼可以轻易判断这是个假人 , 但让当时的活体检测技术识别这种攻击 , 仍有一定难度 。 ”王斌说 。“谷歌已经明确拒绝将人脸与身份进行匹配 , 担心因此遭到滥用 。 其他科技公司似乎没有那么坚决 。 亚马逊和微软都在使用云计算服务提供人脸识别 , 而Facebook也将其列为核心计划 。 ”《经济学人》杂志在2017年的一篇文章中指出 。有专家指出 , “人脸识别应用主要存在技术风险(包括误识率风险、歧视风险以及技术对抗漏洞)、滥用风险以及信息风险 , 继而导致‘钱、安全’等各方面的风险随着人脸识别应用的普遍化而增长 。 ”被滥用的技术早在2017年 , 前美国中央情报局技术分析员斯诺登就曾经预言:以手机解锁为代表的人脸应用出现 , 会让人脸扫描正常化 , 也会让人脸识别终将被滥用 。如今 , 预言已经成为现实 。 2017年 , 苹果推出支持人脸识别解锁的新款手机iPhone X , 同年 , 支付宝、京东、苏宁也都先后开启刷脸支付功能 。 人脸识别的消费级应用场景开始不断延伸 。“由于未作任何限定 , 随着人脸识别技术应用场景的大肆扩张 , 滥用与歧视的现象必将不可避免 。 当下常见的应用场景 , 除了安保、门禁、支付与认证等之外 , 人脸识别技术也被广泛用于商场流量统计、社区管理、养老金领取、办税认证、物品保存、景区出入与演出场所的检票等 。 它甚至还进一步被推广用于教学过程 , 以监控与管理学生的课堂行为 。 ”劳东燕撰文写道 。教育是人脸识别的“重灾区” 。 不少教育科技公司都推出过类似旷视的监控功能 , 声称可以分析学生在课堂上的行为 , 并对异常行为实时反馈 。 除了课堂以外 , 高校所谓的“智能校门” , 教室门及宿舍的出入也都在加装人脸识别系统 。 《2019年中国智慧教育行业市场发展及趋势研究报告》数据显示 , 2018年智慧教育的市场规模超过5000亿元 。 众多AI技术公司、教育场景公司加入红利的争夺中 。小区引入人脸识别门禁系统 , 在今年也引发越来越多的争议 。 近四五年来 , 国内不少小区都开始引入人脸识别做门禁 。 2017年 , 一家技术公司厦门云脉曾宣传 , “人脸识别门禁正逐渐成为国内‘智慧小区’标配 , 传统小区的开发模式已逐渐被颠覆 。 ”但是 , 作为法学教授 , 劳东燕本能地意识到其中的法律漏洞和安全隐患 。 “我们上传的人脸数据怎么保存 , 如何使用?”街道办主任说 , 数据使用局域网存储 , 也可以保存在政府部门的数据库 , 这个回答依旧让劳东燕摸不清头脑 。 她对《中国新闻周刊》说 , 假如由物业保管 , 此后物业如果没有动力投入安保 , 数据就有安全隐患 。 她经常接触信息泄露的法律案件 , 一些房地产公司、物业将个人详细的地址、联系方式等泄露出去 , 只要其中有利益 , 就难以防范 。劳东燕从多方了解到 , 小区安装人脸识别门禁 , 并非物业的主意 , 而是街道办的“规划” 。 2017年 , 北京有12家小区入选首批智慧小区示范工程建设单位 , 人脸识别门禁便是标配 。 不仅北京 , 作为“智慧城市”、“智慧社区”、“旧改”、“雪亮工程”中的一个重要系统 , 集人脸识别、门禁控制于一体的智能门禁闸机 , 正在渗透中国许多省市的社区 。北京太川科技有限公司的一位销售人员告诉《中国新闻周刊》 , 去年年底开始 , 找他们安装人脸识别门禁的小区多了起来 。 据他介绍 , “石景山区30个社区300台云对讲门口机、西城区旧改23个社区的楼宇智能化系统改造、昌平回龙观街道5个社区智慧化改造 , 以及通州的雪亮工程等” , 使用的都是该公司的产品 。 这些项目多是对方主动找上门合作 , 一些街道办有相应的补贴政策 。在劳东燕看来 , 政府部门有需求 , 公司要抢占市场 , 二者“合谋” , 让存在大量风险隐患的人脸识别应用“遍地开花” 。 “从政府角度 , 人脸识别不失为便捷的技术工具 , 为安全需要 , 尽可能做出严密的防控 。 在资本的维度 , 从事研发推广的企业 , 接近疯狂地拓展业务 , 是为了尽快提升自身的市场估值与利润 。 不得不说 , 正是二者的亲密合作 , 人脸识别技术跑马圈地 , 得以像洪水一样势不可挡 。 ”面对越来越多的人脸识别“入侵”生活 , 劳东燕一直站出来抗争 。 2019年10月29日 , 北京市轨道交通指挥中心主任战明辉在一个论坛上透露 , 北京将应用人脸识别技术实现乘客分类安检 , 安检人员据此对应采取不同的安检措施 。 两天后 , 劳东燕便发表文章《地铁使用人脸识别的法律隐忧》 , 坚决反对这样的做法 。 目前 , 北京地铁引入人脸识别技术的计划被暂时搁浅 。“由于对如何收集、保存、传输、使用与处理数据 , 以及是否允许出售或提供给第三方 , 能否放在网上等 , 现行法律并未做任何的介入 , 这就使得应用场景的大肆扩张可能引发的风险 , 也呈几何倍数地增长 。 ”劳东燕直言 , 这不只是细思极恐 , 根本就是不敢想象 。


推荐阅读


上一篇:看人看混沌吧你,呵~

下一篇:中科院等发布研究前沿热度指数美国第一 中国第二