刷脸进社区、刷脸考勤、刷脸乘车、刷脸购物等,人脸识别设备已广泛应用于各种公共服务场景。尤其随着常态化疫情防控的需要,越来越多的公共服务管理场合开始采用非接触式的人脸识别应用来保障人员的出入安全。
人脸识别系统方便,快捷,无接触的方式能有效避免病毒的传播,但是也带来诸多新的安全风险。
公共服务中的人脸识别安全隐患
由于人脸识别技术运用主体的技术条件和管理水平良莠不齐,其次一些不法分子甚至会开发黑客工具来绕过、干扰或攻击人脸识别技术背后的系统和算法,进而引发盗窃、诈骗、侵入住宅等下游犯罪,危及被害人的数据安全、财产安全乃至人身安全。
第一,人脸被盗用仿冒风险。
无数小区安装了刷脸门禁,住户进入小区刷脸就能进出,人脸识别门禁能把大部分陌生人阻隔在门外,可谓小区的一道防线。有网友反馈,小区的门禁识别精准度尚待提高,住户如果戴帽子、墨镜、化妆后则小区门禁无法识别,导致未能正常出入。此外也有网友反馈,所在小区的门禁安全性不高,使用住户人脸照片的仿真面具也可以正常通过。
关于人脸仿冒的风险,2017年“3·15”晚会就做过演示。主持人在技术人员支持下,仅凭观众自拍照就现场“换脸”破解了“刷脸登录”认证系统。
第二,遭遇虚假欺诈行为。
很多公司采用人脸识别的考勤系统,提升员工考勤率和工作效率,同时也带来新的安全隐患。
2021年底,“考勤打卡神器”的新闻刷屏网络。就职于某保险公司的梁女士,每天无需到公司上班,通过屏蔽摄像头影像采集、拦截无线网络检测,并对GPS劫持,伪造虚假的LBS地理位置。在进行相关设置后,代理人输入自己的工号、上传照片,在家里就能完成每日打卡并拿到全勤奖。
第三,敏感信息泄露风险。
人脸是重要的隐私信息,一旦信息出现泄露,不仅可能或者流向黑市被反复贩卖,更可能被不法分子进行用于诈骗。2019年2月,深圳“AI+安防”公司因人脸识别数据库缺乏保护导致数据泄露,致使超过250万人的人脸信息能被不受限制地访问。
人脸识别应用安全需多重防护
公共服务人脸识别应用遭遇的威胁攻击主要有三个层面:针对人脸识别系统或算法、针对承载人脸识别系统的设备、针对存储人脸识别存储数据的数据库和接口等。
风险隐患是一个点,安全防护需要一个面。因此,在人脸识别的公共服务上,需要在多方面加强防护,提升整体安全能力。
第一,提升人脸识别系统的精准度。基于空间域的检测、图像取证的检测、生物频率、GAN的伪影检测、基于生物信号的检测,视声不一致以及视觉上不自然等措施,通过模型和算法提高真伪判别。
第二,保障人脸识别系统的安全性。防范API接口被篡改劫持,保证输出效果、生成网络效果的真实;保障发现设备和系统端口、通讯的异常;及时预警,防止灌入虚假人像、混淆真假人像、库内人像信息被篡改;保障人脸数据存储以及传输的完整性、机密性等。
第三,提升人脸识别识别的风控能力。人脸识别是一种技术核验,但不能作为唯一的手段。需要采用身份证、手机号码、银行卡、操作行为、设备、环境等综合手段进行核验,甚至需要人工电话核实。通过立体的风控体系,增强人脸识别从源头到应用的全链条预警、拦截、防护能力,提升人脸识别应用的安全性。
法律法规护航人脸应用安全
2021年4月9日,“人脸识别第一案”终审判决。判决野生动物世界赔偿消费者郭某合同利益损失及交通费共计1038元,并删除郭某办理指纹年卡时提交的包括照片在内的面部特征信息,以及指纹识别信息。
2022年两会上最高人民法院表示,最高法院针对一个具体问题专门出台一个司法解释是不多见的。司法规范“刷脸”,体现的是法院依法维护个人信息安全的鲜明态度,就是专门回应大家对人脸信息安全的担忧,作出了相应的规范。
司法为人脸识别护航。2021年7月,最高法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。解释明确规定,在宾馆、商场、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定,使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。
行业机构也在牵头制定应用标准。2021年4月7日,中国信息通信研究院云计算与大数据研究所倡议发起成立“可信人脸应用守护计划”。顶象等多家公司入选第二批“可信人脸应用守护计划”成员单位,将与各界通力合作,积极探索人脸应用治理与发展的可信指引,助力人脸识别应用安全发展,共建可信的人脸应用生态。
通过不断完善法律法规,既有力服务数字经济发展,又守护好人脸应用安全。