科普園地 新聞中心

人臉識別,要方便更要安全

馮傑

2020年10月12日 01:58

本报记者 刘坤
本报记者 刘坤 光明日报( 2020年10月11日 05版)

國慶中秋“雙節”期間,很多遊客在乘車安檢、入住酒店等過程中都有“刷臉”的經曆。實際上,越來越多的人已經習慣了“刷臉”:購物時“刷臉”支付、玩手機時“刷臉”解鎖、進入小區時“刷臉”開門……如今,人臉識別技術應用于金融支付、身份認證、小區安防等諸多場景,給人們的生活帶來不少便利。但與此同時,人臉數據等個人隱私數據信息也存在被過度分析和濫用的風險,數據安全不容忽視。

11月1日,国家标准《信息安全技术 远程人脸识别系统技术要求》将正式实施。该标准将推动我国人脸识别技术产业化发展,进一步丰富人脸识别技术体系和应用场景。当前,我国人脸识别技术及应用现状如何?人脸数据等个人隐私数据信息存在哪些安全风险?今后应如何更好地应用人脸识别、保护数据安全?记者就此采访了有关专家。

1 “刷脸才能进小区,谁来保护我的人脸信息”

【案例】

近日,北京市民楊女士所在的小區加裝了人臉識別門禁,這讓她“喜憂參半”。“喜”的是出門可以不用帶門禁卡,“憂”的是數據信息存在被泄露的風險。“小區門禁使用人臉識別,需要拍照並登記電話號碼、身份證號、房産證上具體住址等個人信息,如果這些隱私數據信息泄露了,後果簡直不堪設想。刷臉才能進小區,誰來保護我的人臉信息?”楊女士說。

人臉識別是基于人的臉部特征信息進行身份識別的一種生物識別技術。具體而言,就是計算機通過視頻采集設備獲取識別對象的面部圖像,再利用核心算法對其臉部的五官位置、臉型和角度等特征信息進行計算分析,進而與數據庫裏已有的範本進行比對,最後判斷出用戶的真實身份。

“簡單的人臉識別,可能需要采集、提取人臉上的六個或八個關鍵點,用這些點和數據庫裏的點進行比對,如果比對上就可以進行識別。人臉識別不是爲了更加安全,而是爲了方便。”通信行業觀察家項立剛說。

中國通信工業協會區塊鏈專委會副主任委員于佳甯在接受本報記者采訪時表示,以人臉識別爲代表的生物識別技術規模化商用確實爲經濟社會運行和人們生活帶來很多便利,但是生物信息屬于社會基礎性資源,具有終身不可更改等特點,這些數據在采集、傳輸、保存、使用以及第三方調用過程中,可能會出現數據泄露和濫用問題,給社會正常運行和發展帶來額外風險。

中國電子信息産業發展研究院網絡安全研究所副所長闫曉麗也認爲,人臉數據作爲高敏感的生物識別信息,具有不可變更性,一旦被過度分析和濫用,將會對個人隱私權等權利構成侵害。例如,未經個人同意,通過與人臉識別系統連接的攝像頭、智能設備等收集人臉數據,並利用機器學習等技術對其加以分析,對個人“畫像”,將會獲得個人行蹤、行爲特征等私密信息。

闫曉麗告訴記者,國內外已有對人臉數據過度分析的情況。基于人臉識別技術被濫用的擔憂,美國以及歐洲一些國家對人臉識別技術使用進行了限制。在實踐中,未經個人同意或在非必要場景下收集人臉數據、因管理不當導致大規模泄露等情況,都可能導致人臉數據被進一步濫用,從而給個人隱私權等造成侵害。

2 人脸数据“3元包邮”,窃取、滥用和误用成三大难题

【案例】

有調查發現,在一些網絡交易平台上,部分賣家以“0.5元一份”的價格售賣人臉數據,甚至也賣“照片活化”網絡工具及教程。近日,AI(人工智能)換臉涉嫌侵犯肖像權的話題登上微博熱搜,同時也有媒體報道,在某二手交易平台上,有人售賣具有400張人臉數據信息的人臉二維碼識別程序,稱“3元包郵”。

有專家稱,當前,網絡黑市中售賣的人臉信息並非單純的“人臉照片”,而是包含公民個人身份信息(包括身份證號、銀行卡號、手機號等)的一系列敏感數據。如果人臉信息和其他身份信息相匹配,可能會被不法分子用以盜取網絡社交平台賬號或竊取金融賬戶內財産;如果人臉信息和行蹤信息相匹配,可能會被不法分子用于精准詐騙、敲詐勒索等違法犯罪活動。

人臉數據只是一個縮影。當前,數據作爲新型生産要素,已成爲信息時代國家重要戰略資源,數據安全關系到經濟社會發展的方方面面。

360集團首席安全官杜躍進認爲,目前,數據安全現狀有兩個關鍵詞:恐慌、混亂。“恐慌”表現在很多普通人以及企業非常擔心數據安全出問題,但是會出什麽問題說不太清楚,甚至有一些人擔心“手機無時無刻不在監聽著自己”;“混亂”表現在産業界等尚不知道該如何解決數據安全問題。竊取、濫用和誤用是當前數據安全面臨的三大難題。從數據安全發展趨勢看,痛點在加強、需求在加快、動作在加大。

在于佳甯看來,數據安全已經不僅僅是個人隱私問題,更是網絡安全甚至是國家安全的重要組成部分。他表示,我國目前在數據安全方面已建立部分法律法規,總體數據安全保障體系正在逐步建立,但數據安全還存在一些痛點和隱患。例如,個人和企業數據普遍托管在中心化互聯網平台,無法控制數據的使用和流動,導致個人數據被濫用,且數據價值和收益分配極爲不合理。總之,我國數據安全保護體系仍然亟待完善。

闫曉麗介紹,目前,我國確立了數據安全的基本制度,包括數據分類分級、重要數據出境安全評估、個人信息安全保護等。相關部門落實法律要求,通過個人信息專項治理、數據安全合規性評估等工作,促進了企業和機構數據安全管理能力的提升,以及社會各界數據安全意識的提高。

“但整體看,我國數據安全保護還處于較低水平。”闫曉麗說,非法收集和使用個人信息的情況屢見不鮮,人臉數據等個人信息買賣黑色産業鏈屢禁不止;尤其是一些關系國計民生的重要行業和領域,尚未建立起針對重要數據的數據安全管理體系,企業數據安全風險監測、預警和事件處置能力還較爲薄弱。此外,針對數據流通各環節的安全風險,相關企業的數據安全保障能力也有待提高。

3 个人信息采集应“正当化”,从源头上确保数据安全

【案例】

如今,人臉識別也進入了校園。一些學校除了運用人臉識別技術進行校園智能安防外,還在“試水”用人臉識別保證出勤率和提高聽課效率,不僅能全程監控課堂,就連學生發呆、打瞌睡和玩手機等行爲都能識別出來。有學生表示,一舉一動都被攝像頭監視,“讓人後背發涼”。專家認爲,人臉數據采集應“正當化”,人臉識別技術應用的基本原則是被監控者知情同意和最大程度隱私保護。

對于人臉識別,不能抱“鴕鳥”心態、不能因噎廢食,要進一步規範、謹慎應對。專家建議,立法機關應劃定人臉識別技術的使用紅線;監管部門也應對惡意泄露他人人臉和身份信息的違法行爲予以堅決制止。

“目前,數據安全問題之所以非常突出,部分原因在于當前數字身份、數據確權、數據溯源和交易等方面的機制還不夠健全,技術也不夠完備。”于佳甯說,區塊鏈被認爲是一種“爲數據而生”的新型技術,借助區塊鏈可以在數據安全保護的同時,實現“數據價值最大化”。基于區塊鏈的公私鑰體系,可以確立統一化數字身份,進而實現數據的確權、有序流轉、可溯源和防篡改。

于佳甯認爲,今後要積極推動區塊鏈與5G、物聯網、人工智能等新技術融合發展,從源頭上保護人臉數據等個人隱私數據信息安全。隨著5G、物聯網等技術發展和新型基礎設施建設進程加快,智能物聯設備可能帶來的新型數據安全風險不可忽視。區塊鏈與這些技術具有天然的互補性,正所謂“5G是區塊鏈的加速器,區塊鏈爲5G穿上防彈衣”。因此,有必要盡早推動技術融合,構建從數據源頭就開始生效的可信數據流轉體系,從根源上確保數據的可信和安全。

于佳甯建議,加快建設數據資産生命周期管理新型基礎設施。數據的存儲和共享是確保數據安全的核心環節,要結合雲計算和區塊鏈技術,構建以數據爲基礎、算法爲支撐、算力爲動力的數字經濟資源開放服務平台。另外,要建立企業數據資産新型管理模式。加快實現數據資産化,並從司法、會計、稅務等方面修訂現行法律法規,讓數據資産管理標准化、規範化、常態化,進而在充分保障數據權屬和安全的前提下,帶動不同企業之間數據的共采共享與可信交易。

闫曉麗表示,保護人臉數據等個人隱私數據信息安全,制度建設要先行。盡快出台《數據安全法》《個人信息保護法》等法律;重要行業和領域加快制定實施細則和指引,指導行業企業強化數據安全管理。同時,要大力發展數據安全技術和産業。支持網絡安全等企業開展差分隱私技術、多方安全計算、數據監控與追溯等關鍵技術研發,培育數據安全咨詢、數據保護設計、數據安全管理等服務。


]]>

2020年10月12日 09:51
181
影響人類生活的十大諾獎成果