一张人脸照片不到1分钱?人脸信息被非法泄露和非法售卖?

担心的事情还是发生了,我们的人脸信息存在被非法泄露和非法售卖的情况。央视新闻在周一晚间的《一问到底》栏目中报道称,经调查发现,在某些网络交易平台上,只要花2元钱就能买到上千张人脸照片,而5000多张人脸照片标价不到10元。也就是说,一张人脸照片不到1分钱。

 

“浏览商家的照片库,里面都是真人生活照、自拍照等充满隐私的照片。这些照片落入不法分子手中,很可能被用到精准诈骗甚至洗钱、涉黑等违法犯罪事件中。”央视表示。

今年年初,浙江衢州破获一起运用技术手段骗过支付宝人脸识别认证、并使用公民个人信息注册支付宝账户非法获利数万元的案件。

8月13日,杭州市钱塘新区公安部门抓获两名盗取个人信息的犯罪嫌疑人,他们通过技术手段骗过平台人脸识别,在多个网络平台共盗取数千条个人账号信息,准备以每单80~100元的价格倒卖。

图片:央视新闻
      央视称,上述两起盗用公民个人信息案中,犯罪嫌疑人都是利用“AI换脸技术”非法获取公民照片进行一定预处理,而后再通过“照片活化”软件生成动态视频,骗过了人脸核验机制,得以实施犯罪的。而在实验室测试时,科研人员在手机对面放上3D打印的面具,然后进行光线、色温以及角度的调节,通过几次比对,手机成功解锁。

报道援引专家的话称,目前最简单的人脸识别,只需要采集、提取人脸上的6个或8个特征点就能实现;复杂的人脸识别,需要采集、提取人脸上的数十个乃至上百个特征点才能实现。

尽管我们或许早已做好了我们的人脸原始图片信息有可能被泄漏的心理准备,但当报道无情证实了猜测时,其造成的心理冲击仍然是震撼且无法接受的。

这是央视新闻根据全国信息安全标准化技术委员会成立的App违法违规收集使用个人信息专项治理工作组和南方都市报于10月13日联合发布的《人脸识别应用公众调研报告(2020)》(下称《报告》),进行的一次跟进调查报道。

其实这不是人脸识别信息第一次被报道和关注了。

外媒报道称,罗马尼亚两名黑客在2017年1月9日入侵了美国首都华盛顿警方部署的户外监控系统——123个部署在华盛顿哥伦比亚特区警视厅 (MPDC) 闭路 TV 系统的安全摄像头(共187个),这些系统包含了该城市的所有公共空间实时情况,并要求华盛顿警方支付赎金。警方不得不在特朗普就职总统典礼的前两周,连续四天关闭了该系统。

2019年7月,就有媒体报道称,围绕AI换脸已经形成了一条完整的黑色产业链——100元打包200部换脸情色片——无数女明星中招,5张照片就可以帮你定制换脸视频,400元就可以购买换脸软件及教程

现在人脸识别的应用场景无处不在,上述《报告》称,通过问卷调查得出结论:94.07%的受访者使用过人脸识别技术,64.39%的受访者认为人脸识别技术有被滥用的趋势。

截图:《人脸识别应用公众调研报告(2020)》

在十大人脸识别场景中,支付转账(67.2%)、解锁解密(54.1%)、交通安检(49.6%)、实名登记(47.68%)、开户销户(45.26%)、门禁考勤(43.33%)最为普及。

问卷数据还显示,30.86%受访者已经因为自己的人脸信息泄露、滥用等遭受损失或隐私被侵犯。在有关人脸识别的安全隐患中,受访者最担心的依次是“人脸信息泄露”(63.64%)、“个人行踪被持续记录”(54.4%)和“账户被盗刷,导致财产损失”(53.72%)。

其实自从手机摄像头有了人脸识别解锁等功能以来,关于人脸识别的安全性问题的讨论就没有停过。甚至有存在个人信息被过度采集、被用于非法途径的案例时常见诸媒体报道。比如遍布城市各个角落的安全摄像头、AI换脸软件、机场/火车站安检、酒店入住,以及因为疫情导致进小区、进商场等公共场合的摄像头红外测温,网友补充说还有AI算命等。

这些人脸信息采集后被存储在各App运营方或是技术提供方的中心化数据库中,至于人脸数据是否脱敏、安全是否到位、哪些被用来算法训练、哪些会被合作方分享,用户一无所知。而且,一旦服务器被入侵,高度敏感的人脸数据就会面临泄露风险。

正如一位受访者接受央视新闻采访时说的那样:密码我还可以随时修改,但我的人脸信息一旦被采集,我就没法修改或撤回了。

其实,关于人脸识别等个人信息被采集后应该如何处理,百度董事长李彦宏在今年5月的全国两会上就提出,针对新冠肺炎疫情期间采集的个人信息设立退出机制,加强对已收集数据的规范性管理,研究制定特殊时期的公民个人信息收集、存储和使用的标准和规范。

但这个提案不应只针对疫情期间采集的个人信息,而是任何时候采集的个人信息,都应该有退出机制,包括人脸识别信息。

上述《报告》表示,有没有解决好个人信息保护问题,是衡量网民在网络空间获得感、安全感、幸福感的重要因素,进一步以立法立规、制定标准等方式对人脸识别技术应用安全加以引导,将是切实保障公民合法权益的明智之举。它提出了七点关于人脸识别采集和使用的倡议:

一、目的合理、正当、必要。评估人脸识别技术应用的必要性,个人身份核验准确性不会影响到个人重大利益或社会公共利益的情形,可不优先考虑使用人脸识别技术;

二、保障用户的选择权。不宜将人脸识别技术设置为唯一的身份核验的手段,不应强制要求或频繁推荐用户开通基于人脸识别的相关功能;

三、确保授权同意后采集。未经用户同意或法律法规授权,不得通过高清摄像头等私自采集人脸信息,不得使用人脸信息追踪个人行为;

四、明示收集使用规则。向用户明示人脸信息收集使用的规则,并建立严格的内部管理措施,防止人脸信息被滥用、非法提供给第三方;

五、最小化存储和使用。原则上应仅采取提取人脸特征信息进行比对的方式进行身份核验,完成身份核验等后及时删除人脸图片等原始样本;

六、明确标注,避免混淆。采用AI技术合成的数字人脸图像需明确注明其为技术生成的虚拟图像,生成和使用过程应经个人授权,遵循有关管理规定;

七、持续提升准确度和安全性。加强人脸识别技术、相关信息系统和终端设备的安全性的检测与认证,推动人脸识别技术成熟度不断提升,防止人脸信息的伪造、冒用、泄露、丢失。

其实,相应的法律法规早已或陆续出台。《网络安全法》明确将个人生物识别信息纳入个人信息范围。《民法典》也规定,收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,征得该自然人或其监护人同意,且被采用者同意后还有权撤回。 而《中华人民共和国个人信息保护法(草案)》正在面向全社会公开征求意见,希望能尽快通过。

中科院自动化所研究院张兆翔表示:“人脸识别从一张人脸的原始图像到整个信息抽取的过程,我们可以分层级,把不同的阶段分配使用在不同的使用者手上,在一个脱敏的数据或者是脱去它本身ID信息的情况下,进行一系列人脸识别服务的提供。”

他还表示,人脸数据存储应该建立更严格的标准和规范,技术开发方、App运营方不能成为各自为战的“数据孤岛”,只求技术更迭、忽视隐私风险,而是应该在更趋严格的监管、法律以及行业规范下采集、使用、存储数据。

在9月底于海口举行的2020绿公司年会的一个圆桌会议上,当讨论到数据所有权问题时,APUS创始人兼CEO李涛说:“数据任何时候都属于用户自己的,无论是to B还是to C。”

北京兆易创新科技有限公司创始人、总裁兼CEO朱一明则认为,可以从几个层面来进行个人隐私数据保护:“第一,立法层面,在欧洲、美国,(个人隐私)保护意识很强,甚至深深烙印每个人的心里,自己觉得数据很重要,中国这一种意识不够;第二,执法层面,加强执法力度;第三,监管层面,数据分享出去以后,数据保存方和数据采集方要不要分离,数据要有监管方。”

张兆翔补充说:“从安全的角度来说,我们迫切需要行业能够提供一套标准、使得我们能够有一个规范去遵循,以有效防止人脸这样一个敏感的身份数据泄漏的情况。”

我们用我们的个人数据喂大了一只只蚂蚁、蚊子或蟑螂,拱高了他们的估值,让他们实现了财富自由。不希望我们的脸在黑产的世界里裸奔,尤其想到一张脸的信息不到1分钱就来气。

我们的脸很贵,谢谢。