?
當人臉識別站上風口,爭議也未曾間斷。
“刷臉解鎖手機”“刷臉購物”“刷臉驗證身份辦理銀行卡”……我們與生俱來的“臉”除了與顏值形象掛鉤,也在逐漸演變成我們身份的唯一識別標識,逐漸深入我們的日常生活,為我們提供了極大的便利。
但當人臉識別遇上現實,隱私問題依舊是不可跨越的現實問題。所以,當人臉識別應用到更多場景中,我們的隱私還安全嗎?
今天,我們從人臉識別在 App 應用中的隱私安全說起。
近日,中國信息通信研究院安全研究所與北京百度網訊科技有限公司聯合發布了《人臉識別技術在 App 應用中的隱私安全研究報告》,(以下簡稱《報告》)。
《報告》梳理了人臉識別技術的市場情況、特點和難點以及在 App 中的應用場景和使用目的,結合實際案例分析人臉識別技術在 App 應用過程中存在的安全問題。并針對安全問題分別挑選了應用市場中下載量較多的應用人臉識別技術的 App 進行了評估。并從法律法規、監管體系、技術標準、行業自律等方面結合我國實際情況提出了有針對性的建議。
人臉識別技術概述
人臉識別是基于人的臉部特征信息進行身份識別的一種生物識別技術。具體而言,就是計算機通過視頻采集設備獲取識別對象的面部圖像,再利用核心算法對其臉部的五官位置、臉型和角度等特征信息進行計算分析,進而和自身數據庫里已有的范本進行對比,最后判斷出用戶的真實身份。
人臉識別技術
從采集人臉到辨識人臉的整個過程中來看,人臉識別技術一般包括:人臉圖像采集及檢測;人臉特征提取;人臉規整和人臉識別比對等。
人臉圖像采集及檢測
不同的人臉圖像都能通過攝像頭采集下來,比如靜態圖像、動態圖像、不同的位置、不同的表情等都可以得到很好的采集。當用戶在采集設備的拍攝范圍內時,采集設備會自動搜索并拍攝用戶的人臉圖像。人臉檢測在實際應用中主要用于人臉識別的預處理,即在圖像中準確標定出人臉的位置和大小。
人臉特征提取
人臉識別系統可使用的特征通常分為視覺特征、像素統計特征、人臉圖像變化系數特征、人臉圖像代數特征等。人臉特征提取就是針對人臉的某些特征進行的。人臉特征提取,也稱人臉表征,它是對人臉進行特征建模的過程,人臉特征提取的方法歸納起來分為兩大類:一種是基于知識的表征方法,一種是基于代數特征或統計學習的表征方法。
人臉規整
對于人臉圖像的預處理是基于人臉檢測結果,對圖像進行處理并最終服務于特征提取的過程。系統獲取的原始圖像由于受到各種條件的限制和隨機干擾,往往不能直接使用,必須在圖像處理的早期階段對它進行灰度校正、噪聲過濾等圖像預處理。對于人臉圖像而言,其預處理過程主要包括人臉圖像的光線補償、灰度變換、直方圖均衡化、歸一化、幾何校正、濾波及銳化等。
人臉識別對比
提取的人臉圖像特征數據與數據庫中存儲的特征模板進行搜索匹配,通過設定一個閾值,當相似度超過這一閾值,則把匹配得到的結果輸出。人臉識別就是將待識別的人臉特征與已得到的人臉特征模板進行比較,根據相似程度對人臉的身份信息進行判斷。可分為1:1、1:N、屬性識別。其中,1:1 是將 2 張人臉對應的特征值向量進行對比,1:N 是將 1 張人臉照片的特征值向量和另外 N 張人臉對應的特征值向量進行對比,輸出相似度最高或者相似度排名前 X 的人臉。
身份驗證中的人臉識別技術應用
人臉識別在 App 中的身份驗證過程如下:
用戶拍攝自己的身份證信息并上傳 App ,App 通過公民身份信息查詢獲取用戶信息及身份證系統證件照片,建立用戶檔案并關聯用戶人臉,當App 掃描用戶人像時,經活體檢測、人臉質量檢測、人臉圖像等處理后與先前獲取的用戶人像照片進行人臉對比,完成身份驗證。
特點
自然性
自然性是指該識別方式同人類進行個體識別時所利用的生物特征相同。例如人臉識別,人類也是通過觀察比較人臉區分和確認身份的,另外具有自然性的識別還有語音識別、體形識別等。而指紋識別、虹膜識別等不具有自然性。
非接觸性
人臉識別完全利用可見光獲取人臉圖像信息,不同于指紋識別需要利用手指接觸傳感器采集指紋,用戶不需人臉與設備直接來接觸,可以同時滿足多人連續進行人臉圖像信息的識別和分揀,可應用于醫院測溫、小區門禁等一些應用場景下。
難點
相似性
不同個體之間的區別不大,所有的人臉結構都相似,甚至人臉器官的結構外形都很相似。這樣的特點對于利用人臉進行定位是有利的,但是對于利用人臉區分人類個體是不利的。例如雙胞胎現象,全世界平均出生率為 1:89 ,有些雙胞胎面部存在差異,有些雙胞胎甚至從面部特征來看相似度極高,對于人臉識別系統來說這是一大挑戰。
易變性
人臉的面部特征具有不穩定性,人可以通過臉部的變化產生很多表情,而在不用觀察角度,人臉的視覺圖像也相差很大,另外,人臉識別還受光照條件、人臉遮蓋物(口罩、墨鏡、胡須、頭發)、年齡等多方面的影響。
易攻擊性
隨著書數字拍照、視頻合成技術等發展,越來越容易獲得某個特定人的人臉信息或者合成人臉信息。隨著對抗訓練的深度學習技術的發展,計算機可以合成高精度的任何人的人臉信息。
人臉識別技術的應用
市場前景
2018 年中國計算機視覺人臉識別市場規模為 151.7 億元。根據前瞻產業研究院對六大權威機構的匯總,樂觀估計 2020 年我國計算機視覺人臉識別市場規模有望突破 1000 億。
根據億歐智庫研究報告顯示,人臉識別市場應用涵蓋安防、金融、智慧園區、交通出行、互聯網服務等多個領域。根據億歐智庫的統計結果顯示:2018 年安防占人臉識別市場份額的 61.1%,金融占 17.1%,智慧園區占 6.7%,互聯網服務占 3.9%,交通出行占 3.3%,個人智能占 2.9%,其他(智能汽車、智能零售、政務服務、運營商服務)占 5%。
企業應用情況
人臉識別目前在國內發展迅速,各種新興企業如雨后春筍,中國人臉識別的獨角獸曠視科技、商湯科技,同時,云從科技、依圖科技等初創公司也在持續發力搶奪市場。從人臉識別行業產業鏈條來看,人臉識別產業的上游是硬件基礎的支撐,包括高清攝像頭、處理芯片(TPUCPU GPU )、服務器和數據與視頻傳輸設備;產業鏈中游主要是人臉識別算法和軟件服務,產業鏈下游則是具體的場景應用,即應用方案,消費類終端或服務等。
國內的互聯網企業百度、阿里巴巴、騰訊對人臉識別方向相當重視。
阿里巴巴控股曠視科技,商湯科技、依圖科技,并且開發了自己的人臉識別接口,已全面將人臉識別技術應用支付寶、淘寶等 App 中,并聯合集團旗下其他業務板塊,研究人臉識別的應用場景。
騰訊旗下擁有自己的優圖團隊,為QQ 空間、騰訊地圖、騰訊游戲等 50 多款 App 提供圖像技術支持。
百度人臉識別也依靠龐大的數據資源發展迅速,通過使用人臉識別技術已推出百度識圖、臉優等 App 。
應用場景
金融類 App 中的應用場景
金融類 App 接入人臉識別功能主要是為了保障用戶在使用過程中的資金交易安全性。以支付寶為例,用戶在利用“借唄”借錢時,除了輸入密碼之外一般還需要進行人臉檢測來確認此時的 App 操作者是本人,通過人臉識別可以有效防止支付寶賬號被盜造成用戶財產損失的情況出現,除此之外,金融類 App 還可以通過人臉識別技術提供遠程開戶、綁卡核身、賬戶登錄、分期購物、人臉考勤、人臉支付等服務。
在人臉識別落地金融行業的過程中,各大銀行也紛紛嘗試將人臉識別引入刷臉支付、即時開卡、VYM等金融場景中,但從技術角度來看,技術不是萬能的。雖然現在人臉識別技術已經非常成熟,但是光線條件、天氣、用戶整容等仍然會影響人臉識別結果。
此外,人臉識別在轉賬支付、即時開卡等高安全級別中的業務應用還是要審慎一點,不能單純依靠人臉識別技術來解決用戶身份核查的問題,還需要采用包括人臉識別在內的雙因素甚至多因素認證來提升安全性。
在線教育類 App 中的應用場景
在線教育類 App 接入人臉識別的用途之一是為了查驗學員身份,避免一個賬號多個人使用的情況。通過人臉識別可以很大程度降低賬號共用的問題,通過一定頻率的觸發人臉識別機制,校驗當前使用網校賬號的面孔是否為同一人。
除此之外,人臉識別的另一大用途是幫助老師了解學生學習狀態,在線課堂與線下課堂不同,老師無法通過觀察誒為學生的表情來識別學生對于課程的接收程度。通過面部表情識別,可以讓教師更加理解學生的需求。
在線教育類 App 主要服務對象是中小學生,由于兒童認知能力、危險識別能力和自我保護能力相對薄弱,兒童的個人生物保護信息更是各界重點。根據南都個人信息保護研究中心發布的《人臉識別落地場景觀察報告》的調研結果顯示,33.84% 的受訪者不同意將人臉識別技術應用到教育類相關系統中,由此可見,在對未成年人使用人臉識別技術時應更加謹慎。
電信類 App 的應用場景
電信類 App 接入人臉識別功能的主要目的是為了實現 SIM 卡激 活過程中的實人認證。以“中國移動 App”為例,用戶在中國移動 App 上購買 SIM 卡之后,需要在 App 的“卡號激活”業務功能中完成實人認證,在激活的過程中上傳身份證信息后進行人像視頻認證, 視頻認證過程中需要用戶錄制一段 6 秒的視屏,錄制的內容為朗讀 屏幕上隨機產生的 4 位驗證碼。視頻審核通過后 SIM 卡才可激活成功。
2019 年 9 月 27 日,工信部辦公廳印發了《關于進一步做好電話 用戶實名登記管理有關工作的通知》,指導電信企業扎實開展電話用戶實名登記工作。為確保電話入網環節人證一致,創新運用人工智 能等技術手段,工信部要求電信企業自 2019 年 12 月 1 日起在實體渠道全面實施人像比對技術措施,人像比對一致后方可辦理入網手續。因此,為了維護公民在網絡空間的合法權益,有效防范電信網絡詐騙的問題,在線上辦理 SIM 卡激活時也同樣需要進行人臉識別。
出行類 App 的應用場景
出行類 App 接入人臉識別功能能夠最大限度的保障司機的安全、乘客的安全以及載運貨物的安全。
以“滴滴出行”這一款人臉識別 App 為例進行說明,司機在 App 中填寫完各種基礎資料之后,還需要 進行人臉圖像的認證這最后一步操作才能進行接單,它一方面可以保障司機的身份信息和財產安全,防止出現盜號的情況;另一方面 也可以保障乘客的人身安全,防止遇到不良司機。
2018 年 9 月 11 日,交通運輸部、中央網信辦、公安部等多部門組成的專項工作檢查組陸續進駐網約車和順風車平臺公司,開展安全專項檢查,并且規定相關 App 在派單前應用人臉識別等技術,對車輛和駕駛員一致性進行審查。同時,人臉識別技術應用到出行類 App 中可以有效保障司機、乘客的財產和人身安全。
美圖娛樂類 App 的應用場景
美圖娛樂類 App 接入人臉識別功能除了保障賬號安全性之外還可以利用人臉識別功能實現各種極具創意的互動營銷活動。
以“美 圖秀秀”這一款人臉識別 App 為例進行說明,用戶在下載美圖秀秀軟件進行拍照后,一般都會使用圖片美顏功能,此時 App 可接入人臉關鍵點定位功能來幫助用戶定位包括眉毛、眼睛、下巴等在內的 人臉關鍵部位,方便用戶使用美顏功能。
同時,用戶還可以自定義設計個性夸張、搞怪、迥異的人臉照片。例如去年十分火爆的 ZAO,還可通過人臉識別技術提供照片換臉、視頻換臉、同款表情包、換裝換發型等服務。
美圖娛樂類 App 使用人臉識別技術是業務功能所必要的,但是應對其收集、使用個人生物識別信息進行規范。新版《信息安全技術個人信息安全規范》(以下簡稱《規范》)規定,收集個人生物識別信息前應單獨告知使用目的、方式和范圍,并征得個人信息主體的明示同意。
同時,《規范》還規定原則上不應存儲原始個人生物識別信息。因此,在美圖娛樂類 App 擴展業務功能中應該本著最小必要原則合理使用人臉識別技術,并應按照《規范》單獨告知并征得用戶同意,當用戶拒絕授權擴展業務功能使用人臉識別技術的相關權限時,App 不得反復征求授權,也不能影響其他與該權限無關的業務功能的使用。
電商類 App 的應用場景
電商類 App 接入人臉識別功能的主要用途之一是為了保障用戶 賬號的安全。通常作法是在登錄賬號時進行人臉識別實現實人認證,防止不法分子通過破解密碼登錄用戶賬號。
其次,電商類 App 為了提升用戶服務體驗,利用人臉識別功能提供在線換裝、試戴等服務。除此之外,電商類 App 的人臉識別應用場景還包括:后臺圖像數據 管理,即對違禁圖片和廣告圖片的管理、直播、短視頻等。
電商類 App 使用人臉識別技術基本上都是為了提升用戶服務體驗、增強用戶粘性或者為用戶提供便捷性,屬于電商類 App 的擴展業務功能。因此,電商類 App 在使用人臉識別技術獲取面部特征信息時,應告知并征得用戶的同意,用戶有權拒絕使用相關服務,不可強制要求用戶提供面部特征信息。
智慧園區類 App 的應用場景
智慧園區類 App 接入人臉識別功能主要是為了進行門禁管理、考勤管理、會議管理等。在門禁管理應用場景下,員工通過 App 實現一張臉解決企業樓宇園區內所有權限管理問題。
在考勤管理應用場景下,App 基于人臉識別技術,結合網絡和 GPS 定位,可以杜絕代打卡現象,解決外勤人員考勤難的問題。
在會議管理應用場景下,參會人員通過錄入人臉進行會議注冊,會議簽到時 App 的人臉識別 功能會錄入來賓面部信息,并自動與后臺信息進行比對,可以快速地識別出來賓的身份。
智慧園區類 App 使用人臉識別技術為企業節省人工成本,操作 高效快捷且便于管理。但是,智慧園區類 App 在使用人臉識別技術 的過程中存在一定的風險,通過深度偽造來欺騙人臉檢測的安全事件層出不窮。因此,國家機關、保密單位等重要部門不應單純依靠人臉識別技術進行門禁管理。
人臉識別 App 面臨的安全風險
1、網絡和數據安全保障機制欠缺易造成人臉數據泄漏
當前關于人臉識別技術的安全技術標準和使用規范不夠完善,對于人臉數據控制者的責任和義務,人臉數據主體的權利以及人臉數據在收集、存儲、處理等各環節應采取的安全措施缺少相關規定。
因此,人臉識別技術的大部分開發企業和應用服務提供商已采取的 安全措施可能難以應對人臉識別技術面臨的安全威脅,容易發生人臉數據泄露等安全事件。
除此之外,網絡安全生態環境持續惡化,系統的安全漏洞幾乎不可避免,因此人臉數據庫泄漏事件也屢見不鮮。更為可怕的是,由于生物識別信息是唯一的,是不可再生的, 因此,一旦丟失或者泄露,則是永久泄露,將貽害無窮。
2、人臉識別技術應用不規范為人臉數據濫用提供可能
隨著人臉識別技術越來越普遍的應用到人們的生活中,人臉特征也逐漸成為了人們的身份證件之一,但是人臉識別技術的應用存 在一些不規范的問題。首先,大部分 App 在采集人臉數據時并未依據《規范》單獨明確告知并征得用戶同意,甚至未在隱私政策中說明使用人臉識別技術的目的、范圍和方式,使得人臉數據被動收集、使用成為常態。
其次,部分社交娛樂類 App、在線教育類 App 未按照 相關法律法規要求收集、使用人臉數據,導致人臉識別技術濫用事件時有發生。
3、人臉的深度偽造技術嚴重威脅用戶財產甚至人身安全
由于人臉識別技術具有非接觸性、成本低、檢測快、自動學習等特點,人臉識別已經成為身份識別中的重要手段。但是,與人臉識別技術共同發展的,還有借助機器學習系統、圖像視頻更改人臉的“深度偽造”技術。自 2017 年以來,深度偽造技術開始活躍在網絡中, 隨著這一技術算法的日趨成熟,無論是人像還是聲音、視頻都可以被偽造或合成,并可達到幾乎不能辨別真偽的程度,身份欺騙成功率高達 99.5%,甚至成為許多人臉識別系統的克星。
鑒于此,借助深度偽造技術破解人臉識別等驗證系統,非法盜刷他人支付賬戶、獲取他 人個人信息或從事其他冒名的違法活動已成為可能,嚴重威脅到公民財產安全和人身安全,甚至會使國家安全和公共安全受到威脅,引發社會憂慮和信任危機。
人臉識別 App 的個人信息保護相關建議
1、加快人臉識別相關法律法規研制進程
目前,我國對于公民生物信息等個人信息保護的相關法律法規散見于民法總則、網絡安全法、消費者權益保護法以及最高法、最高檢、國務院頒布的相關司法解釋和規定中,內容上也都僅是對個人信息收集、使用、存儲、傳輸等進行了一些原則性規定。因此,我國需盡快完善包括人臉識別在內的個人生物信息使用的法律法規,明確法律要保護的公民個人生物信息的范圍、公民個人生物信息保 護的義務主體,強化責任追究,保障個人生物信息的安全、規范使用,加大對侵害公民個人隱私行為,特別是對個人生物信息泄露、濫用的處罰力度。
2、加快構建人臉識別技術應用監管體系
建立人臉識別技術應用必要性評估制度。企業或組織在采用人臉識別技術前,需要根據技術實現方式、業務場景、數據收集使用情況,開展技術應用必要性評估;同時,相關監管部門可以預先建立人臉識別技術應用“負面清單”或“白名單”,以“清單+評估” 的監管方式強化事前監管。
此外,健全完善人臉識別技術應用事中 評估和事后問責制度。一方面督促使用人臉識別技術的企業或組織 依據相關安全規范,配套人臉識別技術安全防控措施,定期開展安全評估;另一方面,對發生人臉數據泄露等安全事件的涉事企業或組織嚴肅問責,并在三到五年內不定期對涉事企業進行回訪持續監督。
3、加快推進人臉識別技術的安全系列標準研制
人臉識別技術逐漸走向成熟,應用人臉識別技術的 App 越來越多,人臉識別技術的各類安全標準,包括保護個人生物信息的相關標準應盡快出臺。建議圍繞人臉識別技術的自身安全性、在 App 應用中的個人生物識別信息保護等方面的問題,加快研制人臉識別技術的安全技術要求和管理要求、個人生物信息保護要求、安全應用規范等一系列標準,指導行業依據標準規范人臉識別技術在 App 中的使用行為,提升人臉識別技術的自身安全保護水平,降低 App 應 用人臉識別技術的安全風險,從而保障用戶個人生物信息的安全性。
4、鼓勵行業協會或社會組織開展行業自律
當今,以人臉識別技術為代表的人工智能技術發展日新月異。但是,由于人臉識別技術較為復雜,存在保障人臉數據安全難的問題。因此,建立人臉識別技術企業聯盟類組織,鼓勵相關行業協會 或社會組織主動發揮行業自律平臺作用,推動各利益相關方共同制定收集使用人臉數據的行為準則,推廣宣傳相關最佳實踐,帶動提升個人生物信息保護整體水平,有利于人臉識別行業良性發展。
除此之外,App 運營者應自覺規范人臉識別技術在 App 中的應用,定期進行自評估或第三方評估。在采集人臉數據前須告知用途和可能風險,以保障用戶知情權與選擇權。同時,當用戶不想再繼續授權使用其人臉數據時,App 運營者必須提供“退出”或“刪除”渠道,以確保用戶的刪除權。
我們可以換手機,也可以在身份證、駕照上作假,但以目前的醫療技術,我們還沒法“換臉”。人臉識別技術有廣闊的前景,也潛藏著安全隱患。這項技術會是一場全新人機交互革命的開端,還是一場個人隱私的淪陷?我們拭目以待。
? ? ? ?責任編輯:pj
評論
查看更多