钱江晚报·小时新闻首席记者 肖菁
支付刷脸、进公司门禁刷脸、回家进小区刷脸,大学生上课刷脸考勤,还有一款叫做“人脸识别厕纸机”,意思是刷脸取纸杜绝在短时间内频繁取纸……
人脸识别,正在跑步进入我们生活的各个场景。
但是,作为敏感个人信息的生物识别技术,一旦泄露无从弥补和更改,各应用场景中“人脸识别”真的是必要的吗?
我们被多次、反复、在不同场合下被摄录的人脸信息安全吗。
这几天,钱江晚报小时新闻持续关注人脸识别话题。
继昨天走访楼盘和小区之后,今天,我们从数据的收集和存储这一人脸识别链路中的一个环节来切入,看能否找到我们想到的答案。
1】从原理上来说,刷卡和刷脸只是比对信息的类型差别
杭州某大型公司,有员工3000余人,从今年3月起,公司改原本的员工刷卡入园为人脸识别。
公司在园区大门处安装了两个人脸识别通道,在进入办公大楼以后,无论是停车库进楼还是一楼门禁都采用了人脸识别闸机。
安装之处,有员工提出过能够继续用工作卡入内,而不摄录人脸,被拒绝。
公司称安装人脸识别的原因,一是杜绝以往手持别人员工卡帮忙考勤的情况,将考勤和人员做到精准对应;从另一层面上来说,也是保障工作环境无闲杂人员进入,更为安全。
安装人脸识别以后,在上下班高峰时段,通过效率明显提高,人脸闸机基本上能实现秒级的人脸读取和开闸。
浙江正元智慧科技股份有限公司是国家重点高新技术企业、国家重点软件企业。
公司的主要业务就是运用物联网、人工智能、大数据、云计算等技术,帮助企事业单位和政府部门,以及校园实现智慧化服务。
公司相关负责人说,从原理上来说,刷脸和以往的刷卡并没太大区别,都是一种通过信息比对来激活应用的技术。
以往单位考勤用员工卡,技术上叫实体卡,在公司数据后台先将员工姓名部门等相关工作信息录入,同时储存到卡中。当员工刷卡的一瞬间,其实就是卡内数据和公司后台数据发起比对,一旦核验通过,就开启门禁,或者视为考勤成功。
现在单位采用刷脸,前期做脸部摄像,建立人脸信息库,刷脸的过程就是拿闸机摄录到的人脸信息和人脸信息数据库进行比对。
而人脸信息数据库有的是建立在单位信息后台,有的直接储存在刷脸机器中。
所以,无论人脸还是岗位信息都是身份识别的一种载体,从原理上来说,刷卡和刷脸的差别仅仅是比对信息的类型差别。
2】照片、三维面具能不能刷脸成功
之前曾有媒体报道,照片也能通过刷脸机;而网上也有售卖三维面具,声称通过一张照片就能制造出一张三维面具;近日,杭州也有新闻报道一起案件,有犯罪分子通过视频聊天摄录了被害人影响从而突破了刷脸支付。
中国传媒大学信息与通信工程学院杨磊教授说,人脸识别作为一项新技术、新应用,也是一个不断更新迭代的过程。
人脸之所以会被“识别”,是人脸识别设备或后端平台基于对人脸特征数据的分析和比对来实现的,不同厂家的设备或平台的人脸识别的原理是类似的,但算法不尽相同,识别效果就不尽相同,即使是同一种算法,因设定的参数、阈值不同,识别效果也会不同。
早期的算法相对比较“low”,分析的是平面的、静止的特征,结果会出现一张平面照片也能通过刷脸机的情况。当发现这样的BUG以后,技术人员进一步改进算法,增加人脸特征维度,比如将面部信息的识别“三维化”“立体化”,增加深度特征值的比对。
之后,人们发现在设计刷脸支付的环节,我们已经进步到“活体识别”,即你我可能都经历过的“摇摇头”“眨眨眼”。
针对记者提及的这则最新的新闻,在视频聊天过程中摄录视频,通过支付识别,杨磊教授说,这就是我们常常说的“道高一尺、魔高一丈”,是一种攻防的对抗,犯罪分子通过制作动态视频来对抗活体识别,所以需要技术人员通过深度学习、人工智能技术在算法上做进一步的优化提升。
所以,在人脸识别等先进科技时代,技术的更新迭代更加迅速和频繁。
正元智慧的科技人员说:人脸识别在应用中还具有通过“不断喂招”而实现自我升级的智能化。比如你一次次刷脸,系统会一次次“加深”对你的了解,所以当你的面容出现胖瘦的改变,表情的差异,戴上眼镜等等,系统都能准确将你识别。
3】人脸信息的数据收集存储环节和普通个人信息并无差别
但是,我们始终关注的是,人脸信息和原先的那些姓名、电话号码等信息不一样。它和指纹、虹膜、还有静脉流等属于个性化非常明显的高度敏感个人信息,是能够对个人做出“一键识别”的生物信息。一旦泄露,无从弥补,无法更改,“我们总不至于去换脸吧”。
那么,在人脸识别普遍应用的情况下,我们对于人脸信息的保护力度和手段是否比以往的个人信息更有效或者更严密。
可惜,在我们的走访中,发现事实并非如此。
大型企事业单位采用人脸识别,像正元智慧这样的科技公司提供的只是技术上的实现,而不真正触碰数据。
这些人脸信息通常储存在单位自家数据后台上,单位自行维护,也就是技术称的数据“本地化”。
记者走访了不少实行刷脸的单位以及小区,发现大多数对人脸信息的管理和以往传统数据并无二致,所采取的手段,也无非是要求相关技术人员签订保密协议和承诺书,在硬件上实施专网管理,原则上希望达成数据不能上外网的管理效果,但是对于别有用心的人来说,这些抵挡措施显然是不够的。
而各个实施刷脸的小区,其数据的留存更加令人担忧,有的直接储存在物业,有的交由提供人脸识别系统的第三方科技公司保管,有科技公司说,数据存在云端,但是科技公司人员能够凭借密匙查看和下载数据。
4】在追求便利性的今天,我们为什么要多问几个“有必要吗”
2020年10月1日实施的国家标准《信息安全技术个人信息安全规范》,将包括人脸识别信息在内的个人信息列入到个人敏感信息当中,并对个人信息的收集行为进行了明确。
杨磊教授说,对于个人信息安全的保障,我国有相关国家标准、行业标准,要求在信息保管、存储和传输各环节,采取相应的保密手段,系统要满足加密方式,但是毕竟整个环节中都会有人的参与。
当然,我们的法律也设置了事后的惩戒,如今年10月首次亮相的《个人信息保护法(草案)》中,规定了个人在个人信息处理活动中的权利,即个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理。
《个人信息保护法(草案)》也对侵害个人信息权益的违法行为如何处罚做出规定:侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,5%的额度甚至超过了在个人信息保护方面规定“最严”的欧盟。
所以说,现在我们面临的课题是这些保密手段如何能够抵挡一个蓄意犯罪的人,这些法律所规定的惩戒手段是否能在犯罪成本上对贩卖个人信息获取利益起到遏制作用。
在记者就人脸识别这个话题的采访中,有不少受访者表示,在大踏步的应用落地中的“人脸识别”就像一把双刃剑。在进行利益衡量后,多问几个“有必要吗”真的很有必要。
新闻+
“南方都市报个人信息保护研究中心”在近期也发布了两份关于人脸识别应用场景观察和公众调研报告,报告基于2万余份问卷调查。
其结果显示,大多数人对人脸识别技术本身持认可态度,但已经普遍意识到“推广应用时仍需注意风险,保障用户知情权和选择权”;报告还显示,有30.86%的受访者称自己已经因为人脸信息泄露、滥用遭受损失或者隐私被侵犯;其中高达82.7%的受访者表示关心过个人的人脸原始信息(如照片)是否会被收集方保留和如何被处理;有64.39%的受访者认为人脸识别技术有被滥用的趋势,其中,学历越高越认为人脸技术有被滥用趋势。
在规范人脸识别应用的问题上,受访的七成公众认为“政府应加强相关立法,为企业划定准则和底线”,70.49% 的受访者认为应设立专门的监管机构,60.72% 的受访者认为要加强相关立法,还有44.7%的受访者认为应限制人脸识别的使用场景。
【来源:钱江晚报】
声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。