刷臉時(shí)代：如何守護(hù)“臉安全”？

來源：互聯(lián)網(wǎng)   發(fā)布日期：2020-11-11 19:58:22   瀏覽：7346次  

袁慧晶

手機(jī)解鎖、賬單支付、車站進(jìn)站……刷臉已成為當(dāng)下最廣泛最便捷的證明身份的方式之一。近日，一條“面具可代替人臉解鎖手機(jī)”的報(bào)道，讓人臉識(shí)別技術(shù)的安全性問題再次被關(guān)注。人臉識(shí)別技術(shù)真的不安全嗎？是什么導(dǎo)致“你的臉你說了不算”？新技術(shù)應(yīng)用推廣階段，如何兼顧效率與安全？

不同人臉識(shí)別系統(tǒng)

可能被不同方式破解

日前有媒體報(bào)道稱，科研人員以使用率較高的人臉識(shí)別解鎖手機(jī)進(jìn)行測試發(fā)現(xiàn)，用面具可代替人臉解鎖手機(jī)。有網(wǎng)友回復(fù)：“公司刷臉打卡上下班，手機(jī)照片一掃，照樣可以。”還有網(wǎng)友說：“在臉上貼了錫紙，只露出眼睛，某政務(wù)系統(tǒng)也給判定通過。”

人臉識(shí)別被破解已非新鮮事。2019年8月，安徽南斗星仿真機(jī)器人科技有限公司董事長王峻曾3D打印了自己的頭部模型，通過了某APP的人臉識(shí)別驗(yàn)證。此后，浙江嘉興的幾名小學(xué)生發(fā)現(xiàn)，小區(qū)里的快遞柜用一張打印照片就能解鎖。在浙江警方今年破獲的兩起盜用公民個(gè)人信息案中，犯罪嫌疑人利用“AI換臉技術(shù)”非法獲取公民照片進(jìn)行預(yù)處理，再通過“照片活化”軟件生成視頻來騙過核驗(yàn)機(jī)制。

專家指出，不同的人臉識(shí)別系統(tǒng)可能被不同的方式破解。中國科學(xué)院自動(dòng)化研究所研究員雷震說，基于二維掃描原理的人臉防假體攻擊技術(shù)可能被照片破解，基于點(diǎn)頭、眨眼等互動(dòng)的人臉防假體攻擊技術(shù)可能被活化軟件根據(jù)照片生成的動(dòng)態(tài)視頻欺騙，基于多光譜融合的人臉防假體攻擊技術(shù)則可能被高仿真度的3D打印面具或頭部模型破解。

同一對象用不同終端識(shí)別的結(jié)果也不同。王峻說，他用3D打印模型還進(jìn)行了手機(jī)解鎖測試，發(fā)現(xiàn)能解鎖大多數(shù)手機(jī)，但擁有3D結(jié)構(gòu)光掃描和紅外攝像頭的手機(jī)則不行。

刷臉安全單靠技防難保障

《人臉識(shí)別應(yīng)用公眾調(diào)研報(bào)告（2020）》顯示，在有關(guān)人臉識(shí)別的安全隱患中，受訪者最擔(dān)心“人臉信息泄露”，隨后是“個(gè)人行蹤被持續(xù)記錄”和“賬戶被盜刷，導(dǎo)致財(cái)產(chǎn)損失”；超三成受訪者表示已經(jīng)遭遇人臉信息泄露或?yàn)E用。人臉信息具有唯一性和不可更改性等特點(diǎn)，一旦泄露就是終身泄露，當(dāng)其與個(gè)人銀行賬號(hào)、個(gè)人身份信息進(jìn)行關(guān)聯(lián)后，可能成為不法分子牟利的新手段。

據(jù)了解，人臉識(shí)別系統(tǒng)的工作過程大致分為四步：預(yù)存人臉信息、人臉信息采集、人臉信息比對、輸出比對結(jié)果。比對環(huán)節(jié)通過算法完成，比較的是當(dāng)前識(shí)別的人臉信息與數(shù)據(jù)庫中預(yù)存的人臉信息是否匹配。

“有的廠商為降低硬件成本，簡化了臉部特征提取點(diǎn)，造成了識(shí)別精度下降。”360城市安全集團(tuán)視覺科技首席執(zhí)行官邱召強(qiáng)說，人臉識(shí)別技術(shù)又被稱為特征碼識(shí)別，即以瞳孔為基點(diǎn)，對瞳孔到鼻子、眉毛、耳朵、嘴的距離，進(jìn)行特征點(diǎn)提齲提取點(diǎn)數(shù)越多，構(gòu)成的生理特征越復(fù)雜，設(shè)備成本投入也隨之增加。

邱召強(qiáng)說，要確保人臉識(shí)別技術(shù)安全可靠，就要把照片、手機(jī)視頻、3D面具、3D頭部模型等情況全排除掉；對于手機(jī)來說，識(shí)別的安全性會(huì)更低，因?yàn)闆]有專業(yè)的識(shí)別設(shè)備。王峻舉例說，市場上許多手機(jī)都是二維攝像頭，且不帶紅外探測器，即便算法已排除掉風(fēng)險(xiǎn)，但由于采集端、識(shí)別端的硬件缺陷，依然難以保證安全。

專家呼吁構(gòu)建技術(shù)應(yīng)用標(biāo)準(zhǔn)體系

專家認(rèn)為，人臉信息作為個(gè)人信息中最為敏感的一類“個(gè)人生物識(shí)別信息”，需進(jìn)一步以立法立規(guī)、制定標(biāo)準(zhǔn)等方式，對其應(yīng)用安全加以引導(dǎo)。

“雖然網(wǎng)絡(luò)安全法明確將個(gè)人生物識(shí)別信息納入個(gè)人信息范圍，但對于信息的使用、存儲(chǔ)、運(yùn)輸、管理不夠細(xì)化。”江西師范大學(xué)政法學(xué)院副院長顏三忠建議，頂層設(shè)計(jì)應(yīng)盡快建立從人體生物識(shí)別技術(shù)層面制定的各個(gè)行業(yè)應(yīng)用的標(biāo)準(zhǔn)體系。

正在征求意見的《中華人民共和國個(gè)人信息保護(hù)法（草案）》雖明確了安裝設(shè)備應(yīng)當(dāng)為“維護(hù)公共安全所必需”，但哪些情形屬于必需也應(yīng)進(jìn)一步明確，誰能安裝設(shè)備、如何審批也需細(xì)化。

網(wǎng)絡(luò)安全法中規(guī)定的“告知同意”規(guī)則也可能因?yàn)樾畔⒉粚ΨQ失去意義。“很多人對于人臉識(shí)別的認(rèn)知不夠，技術(shù)提供方有義務(wù)充分告知風(fēng)險(xiǎn)，且不得以個(gè)人不同意采集信息為由拒絕提供產(chǎn)品或者服務(wù)。”顏三忠認(rèn)為，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，讓被采用者享有應(yīng)有的知情權(quán)，且有權(quán)撤回。

通過預(yù)防性制度來確保科技創(chuàng)新與應(yīng)用的安全邊界是當(dāng)務(wù)之急。受訪人士認(rèn)為，人臉識(shí)別技術(shù)應(yīng)用也可作為初篩環(huán)節(jié)，綜合其他信息進(jìn)行比對來降低誤判風(fēng)險(xiǎn)。

贊助本站