生活中,需要采集人脸信息的场景越来越多,交通安检、课堂监控、金融支付、社区门禁、手机解锁等,但你想过自己的人脸信息或许会被盗用吗?
近日,据新京报报道,前不久,上海市虹口区人民检察院公诉了一起特大虚开增值税普通发票案。案件中,被告人通过破解人脸识别技术等方式,注册“皮包公司”,为他人虚开增值税普通发票,涉案金额超过5亿元。
在上述案件中,犯罪嫌疑人一般先从他处以30元每个的价格购买他人的高清头像和身份证信息,之后利用手机APP对高清头像进行处理,让照片“动起来”,从而制作包括点头、摇头、眨眼、张嘴等动作视频。
获取视频后,再利用特殊处理的手机“劫持”摄像头,在人脸认证环节时,手机摄像头不会启动,系统获取的是之前做好的视频,但系统会认为是本人在摄像头前,最后顺利通过认证。
在部分社交平台和网站上,不少卖家将人脸识别视频明码标价,还打包票称所售验证视频,能通过大多数App平台验证流程。
而上述这类用动态软件将人脸照片制作而成的 “动态视频”价格相对真人人脸识别视频来说更低廉,一套只要几元钱,需求量大的话甚至可以低至 0.5 元一套。
真人人脸识别视频使用了真人录制的动态验证视频,包含身份证正反面照片、手持身份证照片和点头、摇头张嘴视频,验证通过率较高,因此属于 “价高质优”产品,一套售价100元。
那么这些人脸信息是怎么被泄露的呢?据了解,真人验证视频多来自“网络兼职”。
多名黑产卖家称,他们开发包括借贷、走路赚钱等App,其售卖的这些信息便来自于用户下载注册这些App时所采集的。其中大多是工厂工人,还有一些网络兼职人员。
据了解,这些网络兼职人员在做App认证的单子时,会被要求扫描对方提供的二维码下载App然后进行实名认证,实名认证的过程中,大多都需要上传身份证正反面照片、进行人脸识别,之后才算注册成功。
不法分子就是用这种方式来收集个人信息,但网络刷单兼职人员并不知道自己在做App认证的单子时会泄露隐私。
不过,兼职刷单认证造成的数据泄露还是少数,曾有媒体报道,有80%的个人信息数据泄露,都是企业内部员工所为,比如小额贷款平台。
此前,关于保护个人信息的专门立法一直未出台,强制刷脸是否合规合法一直处于社会讨论当中,今年正式生效的《民法典》在一定程度上填补了这一领域的空白。
针对人脸识别的乱象,《民法典》做了哪些规定呢?(指纹、人脸、虹膜等生物识别信息都属于个人信息)
1、告知用途
《民法典》一千零三十五条第(三)项要求处理个人信息应“明示处理信息的目的、方式和范围”即体现了公开搜集的原则,必须告知被采集者采集信息的用途、目的和使用范围。
2、确保安全
《民法典》一千零三十八条第二款规定:信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
3、有权要求更正、删除
《民法典》第一千零三十七条规定:自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
4、公权力机关应当保密
政府机关搜集个人信息的体量庞大、情况特殊,根据《民法典》第一千零三十九条规定:国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
那么用“脸”之余如何护“脸”?360 AI安全实验室专家建议:
建立国家级的统一、安全的商业人脸数据库,部署安全防护措施及脱敏机制,保护公众的隐私信息的安全性。
同时,业界和应用厂商也应提升对伪造人脸、对抗样本等攻击的识别能力,采用对抗训练等多种防护技术提升模型的安全性,从根源上解决“过脸”问题。
此外,需要加强人脸识别应用及设备安全性,防止通过设备及应用中的软硬件漏洞实现绕过。监管部门应该加强人脸数据的管控,建立相关法律法规,对采集人脸数据的设备采用授权机制,防止人脸数据的滥采滥用。(编辑:崔崔)