5毛一份,人臉信息“裸奔”,隱私與偏見如何解?

雲棲號資訊:【點擊查看更多行業資訊
在這裏您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來!

技術的發展從來就是一把雙刃劍,我們在享受技術發展帶來的便利與高效的同時,也必須要認識到,相關技術可能帶來的危害也在增加。

眼下,人臉識別技術早已遍佈各行各業:隨便一筆小額的支出,都可以直接刷臉支付;一些學校小區的門禁也與時俱進,完成從指紋識別到人臉識別的遞進;各類App上的實名認證,基本上都離不開人臉識別……

無處不在的人臉識別技術,一開始都是爲了“更安全”“更便捷”而設立,但在不能充分確定預期可能出現的發展軌跡的情況下,人臉識別技術的安全性目前引起不少質疑。

5毛一份的數據要用來做什麼?

當下,用戶信息和個人隱私泄露現象非常普遍,但沒想到,人臉信息也近乎處於“裸奔”狀態。

最近媒體報道了一則令人震撼的新聞:一些網絡黑產從業者利用電商平臺,批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程,手持身份證的人臉照片信息5毛一份、修改軟件35元一套。

據媒體調查,目前人臉信息主要來自於三個方面:一是爬蟲軟件爬取網絡上的人臉數據;二是獲取公共場所攝像頭採集到的人臉數據;三是在各類人臉識別應用的場景下,每進行一次識別,就採集了一次新的數據,這些數據存在後臺或雲端。收集這些人臉信息後要用來做什麼是大家主要擔心的問題。

“如果只是採集個人的人臉信息,比如在馬路上你被人拍了照,但是沒有獲得你的其他身份信息,隱私泄露風險並不大。”中國電子技術標準化研究院信安中心測評實驗室副主任何延哲說,問題在於,當前網絡黑市中售賣的人臉信息並非單純的“人臉照片”,而是包含公民個人身份信息(包括身份證號、銀行卡號、手機號等)的一系列敏感數據。

一位倒賣“人臉視頻工具箱”並聲稱可以“包教會”的賣家告訴記者,只要學會熟練使用“工具箱”,不僅可以利用這些人臉數據幫他人解封微信和支付寶的凍結賬號,還能繞過知名婚戀交友平臺及手機卡實名認證的人臉識別機制。這位賣家還給記者傳來了幫一些“客戶”成功解封凍結賬號的截圖。

人臉信息濫用隱憂

人臉識別,是生物識別領域中的核心細分領域,也被稱爲面部識別。人臉識別是基於人類臉部特徵信息進行身份識別的一種生物識別技術。與指紋識別相比,在安全性上面有較大提升,是當前全球主流的識別技術之一,發展勢頭向好。

人臉識別的幾大優勢,主要是非侵擾性、便捷性、友好性、非接觸性、可擴展性。基於其良好的可拓展性,對於人像、物體等各類數據的處理和應用,在很大程度上決定着人臉識別設備的實際應用,如應用在上下班刷卡、出入社區門禁控制、人臉圖片搜索、犯罪分子識別等各個領域。

目前,國內主要的人臉識別企業有曠視科技、商湯科技等新崛起的“新勢力”,也有老牌的安防及上市企業如歐比特、海康威視、大華股份、川大智勝等。與此同時,華爲、阿里、騰訊、百度等互聯網巨頭也陸續進入這一領域,通過投資、自研、企業合作等方式獲取市場份額。

從產業轉化角度來看,已經有大量人工智能型應用程序利用機器學習算法實現自主自助服務、提高代理生產力以及工作流程的可靠性。伴隨着技術的不斷成熟,人臉識別也給我們帶來了諸多驚喜。

戴着口罩和安全帽,也能進行“刷臉打卡”,這無疑是需要強大的技術作支撐的。當前,進入社區或者辦公區域的員工不用摘下口罩或帽子,僅在屏幕前簡短停留,員工信息及體溫狀況就出現在了屏幕上,這背後離不開機器學習、圖像識別、人臉識別等技術的支持。

不久前,備受輿論關注的“人臉識別第一案”在杭州市富陽區人民法院第一次開庭審理。案件所涉事實並不複雜:一家從事野生動物園經營的企業,爲了驗票入園更加方便快捷,也爲了避免可能發生的冒用他人門票入園的行爲,啓用了人臉驗證入園系統。爲此需要收集那些購買了動物園年票的用戶的人臉信息。但有用戶不同意園方這一做法,後雙方協商未果、爭執不下,用戶遂將園方告上法庭。

當事人表示,起訴的目的不在於經濟補償,而是對目前人臉識別技術濫用的一種鬥爭。此案之所以引發關注,主要是因爲觸動了普通大衆在最近一段時間不斷增長的人臉信息被不當收集、被過度濫用的擔憂。

如此頻繁而且廣泛地收集人臉信息,合理合法嗎?收集了大量人臉信息的私營機構,有足夠的技術能力來防止數據庫不被黑客攻破從而竊取嗎?他們有完善的內控制度來防範這些信息不被內外勾結,祕密倒賣嗎?進而言之,誰能保證這些機構不會爲了獲利,將其收集來的人臉信息私下裏賣給他人?而這些人臉信息一旦流入網絡黑灰產人員手中,必然對個人信息主體產生嚴重危害。

進入互聯網時代以來,個人信息保護問題日益成爲關注焦點。這方面我國相關的法律法規也不少。不久前頒佈的民法典也在人格權編專門作出規定,其中第1034條關於個人信息的定義中提到的“生物識別信息”,就包括了人臉信息。

在諸多個人信息中,人臉信息受到特別關注。首先,人臉信息作爲生物識別信息,一般來說伴隨着人的一生,是不可更改的,一旦泄露很難救濟。這與手機號碼之類的可變化的個人信息存在不同。後者發生泄露,實在不行,還可以換一個號碼,但人臉信息發生泄露,不太可能去“換臉”。從這個角度看,人臉信息泄露的後果可能更加嚴重。

其次,即使同爲生物識別信息,人臉信息與指紋、虹膜、基因之類的生物識別信息相比,也存在重要差別。人的指紋、虹膜雖然也是終身不變的,但要通過指紋、虹膜的比對來識別出某個特定自然人,卻並不那麼容易。因爲這些信息具有相當程度的私密性,如果不刻意去獲取,就無法實現比對,而在這種刻意獲取的過程中,相關主體至少能夠知曉他人正在試圖對其進行身份識別。

相比之下,人臉信息卻不具有這種私密性。隱藏在任何一個角落的高清攝像頭都可以毫不費勁地抓拍到他人清晰的臉部照片,然後即時上傳到人臉信息數據庫中進行比對,從而快速識別出相關主體的身份。

而這一切,可以在相關當事人毫不知情的情況下發生。利用人臉信息來快速、精確識別個人主體,對於個人行動軌跡的追蹤非常高效,但因此對自然人隱私權可能帶來的侵害,也最爲嚴重。

爲何需要買賣人臉數據?

不論是現在較爲主流的人臉識別數據庫當中保存的圖像數據,還是攝像頭採集到的人臉數據,大部分都是一張2D圖像,2D圖像本身就存在很多缺陷,並且2D圖像在拍攝過程中,非常容易受到光線,表情,姿勢等等因素的影響,人臉的鼻子,下巴,嘴巴並不是處於一個平面的上面,人臉具有天然的立體效果,2D圖像不能很好地反映人臉的特徵。

目前國內3D人臉識別設備的應用,尚且處在一個比較初級的階段,導致3D人臉識別技術無法廣泛應用的原因主要包括以下這些,一是3D人臉識別一般都需要特定的採集設備,就比如3D攝像機或者雙目攝像機,一般來說這些攝像機的價格都比較貴。

第二是對3D圖像進行處理,一般來說都需要進行3D圖像的建模,3D人臉識別對於硬件的要求一般都比較高,第三是現有的3D人臉圖像數量不夠多,目前也沒有成熟的3D人臉識別圖像數據庫,缺少足夠數量的3D人臉識別樣本。

現在主流的人臉識別技術,大多數都是根據輕量級的人臉識別數據庫,對於未來發展更大容量的數據庫條件還不夠成熟,需要研究基於深度學習的人臉識別數據庫,在未來如果想要建立十億或者百億,這時就會出現大量的表徵相似,關鍵點相似的人臉數據,如果沒有經過深度學習的人臉識別技術,建立起較爲複雜的人臉識別模型,想要快速精準的進行人臉識別是一件比較困難的事情。

對現有的人臉識別數據庫進行升級,建立起來具有優良多樣性和通用性的數據庫,是一件必然的事情,和目前主流的人臉識別數據庫相比,它的提升主要包括以下這幾個方面,一個是人臉識別數據庫量級的提升,會從十萬級、百萬級提升到十億級和百億級,第二個就是質量的提升,將會由2D人臉圖像提升到3D人臉圖像,第三個是人臉圖像類型的提升,在人臉識別時將會採集每個人在不同的姿勢,光線,表情下的人臉圖像,擴充每個人的人臉表徵,實現更爲精準的人臉識別。

劃定人臉識別技術使用紅線

一旦使用“人臉監控”,他將對現代社會的匿名性產生負面影響,公共場所的空間特徵和非特定羣體的客體特徵,使得個人事先同意面部監控註定要不可能,從而侵犯了公民的匿名權。正因爲如此,公共空間中的人臉監控非常謹慎。歐盟《人工智能白皮書(草案)》表示,在公共場所使用人臉識別技術將被禁止3至5年,儘管歐盟委員會最終取消了人臉識別技術禁令,但他對遠程生物識別系統的使用提出了嚴格的限制,比如面部監控。

在美國,即舊金山成爲第一個城市禁止警察和其他政府機構使用面部監控的城市,隨後,馬薩諸塞州、加州奧克蘭和聖地亞哥的薩默維爾也緊隨其後。今年在明尼阿波利斯警察殺死喬治弗洛伊德(GeorgeFloyd)的背景下,IBM,亞馬遜和微軟宣佈暫停人臉識別技術進行監控。亞馬遜的暫停期爲一年,而微軟則表示,在該法頒佈之前,他將是無限期的。

因此應儘量降低人臉監控的合法性邊界。除了進一步明確事先合法授權的原則和“非必要不監控”比例外,人臉識別技術的透明度應從操作層面提升。

比如,所有監控設備的位置都要明確標示,設立權限和聯繫方式要用短文字說明,並補充二維碼和隱私政策鏈接,幫助公衆隨時獲取詳細信息,便於後續監督和救濟。

與“人臉監控”固有的威脅不同,“人臉驗證”通常是中立的。他不僅得到了用戶的授權,而且提高了服務質量,甚至是服務本身的一部分,如面向盲人的臉部娛樂或醫療服務。另一個實際的例子是,對於“子女冒用家長身份信息繞過監管”問題,騰訊遊戲使用人臉驗證來篩選可疑的未成年人。然而人臉驗證仍然面臨着保護人臉信息這一敏感的個人信息的挑戰。在這裏,我們不妨用“知情同意、自由選擇、安全保障”三根柱子來建立他的適當邊界。

“知情同意”要求用戶瞭解收集人臉信息的目的、使用方式、存儲期限等,並獲得明確同意,而不是默示的同意;“自由選擇”要求相關機構提供人臉驗證的替代方案,用戶有權根據自己的意願選擇和更改認證方法,在一些特殊場合,如防止兒童利用他人提供身份久遠或涉及用戶重大權益的服務,用戶可被要求使用指紋和其他難以僞造的生物信息作爲替代。

最後,一方面,“安全保障”需要事先對人臉驗證系統進行全面的風險評估,包括對隱私的影響、潛在的錯誤、對非公正歧視的敏感度、黑客攻擊和網絡攻擊的風險,並證明人臉驗證技術選擇的合理性。

在這方面,這種風險評估就像一個門檻,只有當收益大於成本時,才能面臨驗證“登堂入室”。以騰訊防止孩子用父母的身份玩遊戲爲例,並非所有的用戶訪問都需要驗證,只有被判定爲高度可疑的未成年遊戲行爲的成人賬戶才能被引入到有條件中,以反映對雙刃劍人臉驗證效果的謹慎態度。

另一方面,在事件發生期間和之後,相關組織應遵循“經由設計的隱私原則”,在操作過程中嵌入個人信息保護,並部署一個有人蔘與的備份系統,以解決異常和數據安全問題。

人們總是害怕不熟悉的技術。要戰勝魔鬼,我們必須瞭解魔鬼。理解後,明白惡魔就在細節中,人臉識別也是。只有認真分析不同情景下的風險,才能更好地控制和馴服風險,使之永遠不會偏離科學技術的正確道路。

【雲棲號在線課堂】每天都有產品技術專家分享!
課程地址:https://yqh.aliyun.com/live

立即加入社羣,與專家面對面,及時瞭解課程最新動態!
【雲棲號在線課堂 社羣】https://c.tb.cn/F3.Z8gvnK

原文發佈時間:2020-07-23
本文作者:苗弋
本文來自:“獵雲網”,瞭解相關信息可以關注“獵雲網

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章