錢江晚報·小時新聞首席記者 肖菁
支付刷臉、進公司門禁刷臉、回家進小區刷臉,大學生上課刷臉考勤,還有一款叫做“人臉識別廁紙機”,意思是刷臉取紙杜絕在短時間內頻繁取紙……
人臉識別,正在跑步進入我們生活的各個場景。
但是,作為敏感個人資訊的生物識別技術,一旦洩露無從彌補和更改,各應用場景中“人臉識別”真的是必要的嗎?
我們被多次、反覆、在不同場合下被攝錄的人臉資訊保安嗎。
這幾天,錢江晚報小時新聞持續關注人臉識別話題。
繼昨天走訪樓盤(詳情戳這裡)和小區(詳情戳這裡)之後,今天,我們從資料的收集和儲存這一人臉識別鏈路中的一個環節來切入,看能否找到我們想到的答案。
1】從原理上來說,刷卡和刷臉只是比對資訊的型別差別
杭州某大型公司,有員工3000餘人,從今年3月起,公司改原本的員工刷卡入園為人臉識別。
公司在園區大門處安裝了兩個人臉識別通道,在進入辦公大樓以後,無論是停車庫進樓還是一樓門禁都採用了人臉識別閘機。
安裝之處,有員工提出過能夠繼續用工作卡入內,而不攝錄人臉,被拒絕。
公司稱安裝人臉識別的原因,一是杜絕以往手持別人員工卡幫忙考勤的情況,將考勤和人員做到精準對應;從另一層面上來說,也是保障工作環境無閒雜人員進入,更為安全。
安裝人臉識別以後,在上下班高峰時段,透過效率明顯提高,人臉閘機基本上能實現秒級的人臉讀取和開閘。
浙江正元智慧科技股份有限公司是國家重點高新技術企業、國家重點軟體企業。
公司的主要業務就是運用物聯網、人工智慧、大資料、雲計算等技術,幫助企事業單位和政府部門,以及校園實現智慧化服務。
公司相關負責人說,從原理上來說,刷臉和以往的刷卡並沒太大區別,都是一種透過資訊比對來啟用應用的技術。
以往單位考勤用員工卡,技術上叫實體卡,在公司資料後臺先將員工姓名部門等相關工作資訊錄入,同時儲存到卡中。當員工刷卡的一瞬間,其實就是卡內資料和公司後臺資料發起比對,一旦核驗透過,就開啟門禁,或者視為考勤成功。
現在單位採用刷臉,前期做臉部攝像,建立人臉資訊庫,刷臉的過程就是拿閘機攝錄到的人臉資訊和人臉資訊資料庫進行比對。
而人臉資訊資料庫有的是建立在單位資訊後臺,有的直接儲存在刷臉機器中。
所以,無論人臉還是崗位資訊都是身份識別的一種載體,從原理上來說,刷卡和刷臉的差別僅僅是比對資訊的型別差別。
2】照片、三維面具能不能刷臉成功
之前曾有媒體報道,照片也能透過刷臉機;而網上也有售賣三維面具,聲稱透過一張照片就能製造出一張三維面具;近日,杭州也有新聞報道一起案件,有犯罪分子透過影片聊天攝錄了被害人影響從而突破了刷臉支付。
中國傳媒大學資訊與通訊工程學院楊磊教授說,人臉識別作為一項新技術、新應用,也是一個不斷更新迭代的過程。
人臉之所以會被“識別”,是人臉識別裝置或後端平臺基於對人臉特徵資料的分析和比對來實現的,不同廠家的裝置或平臺的人臉識別的原理是類似的,但演算法不盡相同,識別效果就不盡相同,即使是同一種演算法,因設定的引數、閾值不同,識別效果也會不同。
早期的演算法相對比較“low”,分析的是平面的、靜止的特徵,結果會出現一張平面照片也能透過刷臉機的情況。當發現這樣的BUG以後,技術人員進一步改進演算法,增加人臉特徵維度,比如將面部資訊的識別“三維化”“立體化”,增加深度特徵值的比對。
之後,人們發現在設計刷臉支付的環節,我們已經進步到“活體識別”,即你我可能都經歷過的“搖搖頭”“眨眨眼”。
針對記者提及的這則最新的新聞,在影片聊天過程中攝錄影片,透過支付識別,楊磊教授說,這就是我們常常說的“道高一尺、魔高一丈”,是一種攻防的對抗,犯罪分子透過製作動態影片來對抗活體識別,所以需要技術人員透過深度學習、人工智慧技術在演算法上做進一步的最佳化提升。
所以,在人臉識別等先進科技時代,技術的更新迭代更加迅速和頻繁。
正元智慧的科技人員說:人臉識別在應用中還具有透過“不斷喂招”而實現自我升級的智慧化。比如你一次次刷臉,系統會一次次“加深”對你的瞭解,所以當你的面容出現胖瘦的改變,表情的差異,戴上眼鏡等等,系統都能準確將你識別。
3】人臉資訊的資料收集儲存環節和普通個人資訊並無差別
但是,我們始終關注的是,人臉資訊和原先的那些姓名、電話號碼等資訊不一樣。它和指紋、虹膜、還有靜脈流等屬於個性化非常明顯的高度敏感個人資訊,是能夠對個人做出“一鍵識別”的生物資訊。一旦洩露,無從彌補,無法更改,“我們總不至於去換臉吧”。
那麼,在人臉識別普遍應用的情況下,我們對於人臉資訊的保護力度和手段是否比以往的個人資訊更有效或者更嚴密。
可惜,在我們的走訪中,發現事實並非如此。
大型企事業單位採用人臉識別,像正元智慧這樣的科技公司提供的只是技術上的實現,而不真正觸碰資料。
這些人臉資訊通常儲存在單位自家資料後臺上,單位自行維護,也就是技術稱的資料“本地化”。
記者走訪了不少實行刷臉的單位以及小區,發現大多數對人臉資訊的管理和以往傳統資料並無二致,所採取的手段,也無非是要求相關技術人員簽訂保密協議和承諾書,在硬體上實施專網管理,原則上希望達成資料不能上外網的管理效果,但是對於別有用心的人來說,這些抵擋措施顯然是不夠的。
而各個實施刷臉的小區,其資料的留存更加令人擔憂,有的直接儲存在物業,有的交由提供人臉識別系統的第三方科技公司保管,有科技公司說,資料存在雲端,但是科技公司人員能夠憑藉密匙檢視和下載資料。
4】在追求便利性的今天,我們為什麼要多問幾個“有必要嗎”
2020年10月1日實施的國家標準《資訊保安技術個人資訊保安規範》,將包括人臉識別資訊在內的個人資訊列入到個人敏感資訊當中,並對個人資訊的收集行為進行了明確。
楊磊教授說,對於個人資訊保安的保障,我國有相關國家標準、行業標準,要求在資訊保管、儲存和傳輸各環節,採取相應的保密手段,系統要滿足加密方式,但是畢竟整個環節中都會有人的參與。
當然,我們的法律也設定了事後的懲戒,如今年10月首次亮相的《個人資訊保護法(草案)》中,規定了個人在個人資訊處理活動中的權利,即個人對其個人資訊的處理享有知情權、決定權,有權限制或者拒絕他人對其個人資訊進行處理。
《個人資訊保護法(草案)》也對侵害個人資訊權益的違法行為如何處罰做出規定:侵害個人資訊權益的違法行為,情節嚴重的,沒收違法所得,並處5000萬元以下或者上一年度營業額5%以下罰款,5%的額度甚至超過了在個人資訊保護方面規定“最嚴”的歐盟。
所以說,現在我們面臨的課題是這些保密手段如何能夠抵擋一個蓄意犯罪的人,這些法律所規定的懲戒手段是否能在犯罪成本上對販賣個人資訊獲取利益起到遏制作用。
在記者就人臉識別這個話題的採訪中,有不少受訪者表示,在大踏步的應用落地中的“人臉識別”就像一把雙刃劍。在進行利益衡量後,多問幾個“有必要嗎”真的很有必要。
新聞+
“南方都市報個人資訊保護研究中心”在近期也釋出了兩份關於人臉識別應用場景觀察和公眾調研報告,報告基於2萬餘份問卷調查。
其結果顯示,大多數人對人臉識別技術本身持認可態度,但已經普遍意識到“推廣應用時仍需注意風險,保障使用者知情權和選擇權”;報告還顯示,有30。86%的受訪者稱自己已經因為人臉資訊洩露、濫用遭受損失或者隱私被侵犯;其中高達82。7%的受訪者表示關心過個人的人臉原始資訊(如照片)是否會被收集方保留和如何被處理;有64。39%的受訪者認為人臉識別技術有被濫用的趨勢,其中,學歷越高越認為人臉技術有被濫用趨勢。
(圖片來自南都報告)
在規範人臉識別應用的問題上,受訪的七成公眾認為“政府應加強相關立法,為企業劃定準則和底線”,70。49% 的受訪者認為應設立專門的監管機構,60。72% 的受訪者認為要加強相關立法,還有44。7%的受訪者認為應限制人臉識別的使用場景。
(圖片來自南都報告)
本文為錢江晚報原創作品,未經許可,禁止轉載、複製、摘編、改寫及進行網路傳播等一切作品版權使用行為,否則本報將循司法途徑追究侵權人的法律責任。