1、人脸识别:“透明人”时代的安全困惑 张力 人民网新媒体智库 9 月 13 日, 苹果发布新品 i Phone X, 新功能“Face ID”引人瞩目。无论是解锁 i Phone X 还是用其进行支付, 用户只需看一眼手机即可。几乎同一时间上市的小米手机 Note 3 以及此前的三星手机 S8, 也同样具备人脸识别功能。此外, 多所高校在今年 9 月入学季尝试“刷脸”注册, 肯德基有餐厅上线“刷脸”支付, “京东之家”有门店实现“人即钱包”, 甚至有些公厕用上了人脸识别厕纸机, 靠脸取纸巾, 更别说银行“刷脸”转账了一大波“刷脸”场景出现, 当不少人沉浸在惊喜中时, 也有人发出疑问:“刷脸”安全
2、吗?人脸识别技术的普及人脸识别功能带来的安全担忧不无道理, 除了已经在手机上得到应用, 该技术也在众多生活场景中不断得到尝试与应用。日前, 交警部门对江苏泰州城区三处“人脸抓拍”系统进行了全面升级, 对闯红灯的行人和非机动车进行抓拍并同步曝光, 敦促行人自觉遵守交通规则。在“人脸抓拍”系统高清显示屏上, 循环播放着行人和非机动车闯红灯的图片, 闯红灯者的面部在显示屏上清晰可见, 显示屏右下角还会同步曝光其姓名和身份证号码等信息。截至目前, 深圳、济南、芜湖、泰州、海口、上海、菏泽、绵阳、苏州、无锡与沈阳等多个城市已启用人脸识别系统, 对行人和非机动车闯红灯进行抓拍, 并连接户籍系统现场曝光。“
3、靠脸吃饭”也是当前人脸识别技术应用的重要场景。9 月初, 京东线下体验店推出了“刷脸支付”功能, 可以实现准确、快速、友好地获取用户面部信息, 单次交易可以控制在两秒左右完成支付。同一时期, 支付宝也宣布在肯德基的KPRO 餐厅上线刷脸支付。更早的时候, 中国农业银行已在贵阳市两台自助取款机上线“刷脸”取款, 用户站在 ATM 机前, 看一眼摄像头, 再输入手机号、取款金额、密码, ATM 机自动吐钞, 用户取走现金。该功能将于今年年底在贵州实现全省覆盖。此外, 招商银行也于 2016 年在全国 106 个城市近千台 ATM 机上实现了“刷脸”取款。在海外, 人脸识别技术的商业应用更是如火如荼
4、。在德国, 简单的面部特征识别系统被用于广告创意中, 可以探测人的基本特征, 比如性别与年纪。德国某啤酒公司的户外数字广告屏幕就用了该技术, 啤酒主要面向年轻女性, 因此一旦有目标受众走过广告屏幕时, 屏幕里就会发出啤酒开瓶的声音。人脸识别的浪潮显然已经盖过了指纹识别、数字密码等其他技术, 发展前景不可估量, 有望成为未来世界的标志性应用之一。IDC (国际数据公司) 中国研究经理金迪曾表示, “像人脸识别这样的生物特征识别技术肯定会是未来的主流趋势”, 她同时认为, 长远来看, 肯定会有越来越多的硬件厂商加入人脸识别的行列。数据安全问题公众对人脸识别技术安全问题的担忧, 一定程度源自今年的“
5、315”晚会。晚会现场, 央视主持人演示一张静态照片只要通过特殊处理, 如完成眨眼、动嘴后, 就可以登录个人账户。另外, 也可以通过动态换脸的方式突破人脸识别, 成功登录个人账户。在科技网站 36 氪网上, 有文章总结了当前四种破解人脸识别技术的途径:第一, 注入应用绕过活体检测。首先在程序中布置一个断点, 通过不断演示人脸识别流程来触发该断点, 然后分析并修改程序储存的值, 来达到最终绕过活体检测的效果。第二, 视频攻击绕过活体检测。安装一个能够将人脸照片制作成视频的手机软件, 然后在“朋友圈”、个人空间等地方找到对方的一张正面照片, 输入到软件中, 就可以令其开口说话, 所谓的活体检测也就
6、不攻自破。第三, 三维建模绕过云端检测。在网上下载的两个用来制作 3D 建模的软件, 参照照片中的脸部特征, 做出了对应的 3D 建模图像, 人脸检测软件对比结果显示, 这两个在短时间内制作出来的模型与原照片的相似度分别高达 73.17%和 86.71%, 可以用来破解一般的人脸识别。第四, 利用接口防护不当和各种奇葩的设计缺陷。部分应用程序在使用上传人脸图像时, 没有对图像数据进行签名, 导致图片可以被工具截获然后篡改, 而有的则是在数据报文没有加入时间戳, 可以通过重放数据报文的方式来实施破解。生物识别技术提取和识别人体生物学特征的唯一性, 是该领域商业前景一直被看好的主要原因。比如人脸、
7、虹膜、指纹、声纹, 由于这些特征只有当事人自己才有, 别人不能假冒, 因而能够解决目前诈骗者普遍利用的密码等技术手段易窃取、易复制、易滥用的漏洞。但不能忽视的一点是, 任何技术只要大规模使用, 尤其是非现场使用, 一定要通过信息网络, 而通过信息网络, 任何技术都要转化为计算机识别的 0 和 1 的二进制代码。人脸不能复制, 转化的二进制计算机代码却可以复制, 也完全可能被盗窃。而且, 生物识别技术的识别原理和提取的数据都会存储成为企业的数据库, 就目前全世界的情况来看, 都存在重大的数据泄露、失窃的潜在安全风险。更为可怕的是, 由于生物识别技术是唯一的、终身不变的, 是不可再生或重建的, 因
8、此一旦泄露或者丢失, 就是永久泄露。只要掌握了这些生物技术数据, 就能在商业和公共服务领域获得很大价值, 但也可能会使国家安全产生重大潜在风险。有律师指出, 从产业和技术角度, 我们不能禁止企业进行相关的研发和应用尝试。但有关主管部门对于风险一定要有清醒的意识。火车站等公共服务领域不能强制推行人脸识别, 也不能将这些技术作为法定身份识别的依据, 可以允许企业作为辅助身份验证依据, 但必须告知用户潜在风险, 提供替代方案, 不得直接、间接、暗示、强制用户使用。我们都是大数据时代的“透明人”一边是风险的不断披露, 另一边则是技术发展步伐的不断前进。当下已有很多科学家正在开发新的人脸识别系统:即使人
9、们的脸被遮盖, 也能识别这个人的身份。这可能意味着, 想要避免隐私泄露将愈加困难。20 世纪 90 年代, 我们曾慨叹生活在一个“信息爆炸”的年代;伴随信息生产与交换技术的升级, 我们曾将当前称为“信息过剩”年代。现在, 在数据挖掘与信息收集技术不断提高的背景下, 我们似乎在走向一个“透明人”时代。在信息宽度上, 个人的任何信息都可能被收集、再使用乃至泄露, 只要我们使用手机、电脑、身份证、护照、社保卡、车载卫星定位等;在信息深度上, 经济水平、喜怒哀乐等, 似乎也已经在不断被解读出来。美国华盛顿特区的法律和隐私权教授阿尔瓦罗贝多亚曾警告称, 面部识别将创造出一个“透明无隐私的世界”, 当你走
10、入一个零售店铺, 店员知道你的姓名以及你的收入, 还会依据你的消费水平来给你下菜碟。无独有偶, 加拿大多伦多大学的一项研究发现, 人脸能够泄露我们的经济地位, 这是因为与生活经历相联系的表情会在脸上留下印记。研究者称:平静的脸部表情是可以用来判断人的经济状况的因素, 并且可以影响人际关系和职场的成功。这一研究表明, 表情依赖与人脑对人脸识别过程中后期的分支模型相一致 (在这种模型中, 脸部要素的改变和识别都在相同的框架下进行编码) , 这对于揭示人脑识别人脸的原理是一个较大推动。曾担任白宫首席信息官的特雷莎M佩顿与信息技术和数据管理方面的律师西奥多克莱普尔合著了大数据时代的隐私一书。在书中, 尽管两位作者已经从日常生活角度为读者尽可能地提供技术防范举措, 但他们也在书中坦承, “信息收集和挖掘技术已经远远超出政府的能力范围, 以致难以深思熟虑地通过一项兼顾商业和隐私保护的法律。正因如此, 商业公司不知道它不可以做什么, 而民众也没有得到保护”。
