公共场所商业摄像头人脸识别技术的安全风险
刷脸支付、刷脸打卡、刷脸门禁……近年来,人脸识别作为一项新的信息技术在各领域得到广泛应用,同时因此产生的个人信息侵权纠纷也随之而来。
相比于其他生物特征,人脸信息还具有易于获取、获取过程无感化、与个人身份关联紧密等特性。某国际互联网数据公司技术人士直言,人脸信息与个人身份之间的关系可谓“一目了然”,一旦建立其关联信息,风险较大。
人脸识别技术的基本情况
人脸识别是指能够识别或验证图像或视频中的主体的身份的技术。首个人脸识别算法诞生于七十年代初。自那以后,它们的准确度已经大幅提升,现在相比于指纹或虹膜识别等传统上被认为更加稳健的生物识别方法,人们往往更偏爱人脸识别。让人脸识别比其它生物识别方法更受欢迎的一大不同之处是人脸识别本质上是非侵入性的。比如,指纹识别需要用户将手指按在传感器上,虹膜识别需要用户与相机靠得很近,语音识别则需要用户大声说话。相对而言,现代人脸识别系统仅需要用户处于相机的视野内即可,使得人脸识别成为了对用户最友好的生物识别方法。这也意味着人脸识别的潜在应用范围更广,因为它也可被部署在用户不期望与系统合作的环境中,比如监控系统中。人脸识别的其它常见应用还包括访问控制、欺诈检测、身份认证和社交媒体。
技术原理及模式
人脸识别技术的核心实际为“局部人体特征分析”和“图形/神经识别算法”。人脸检测是指在动态的场景与复杂的背景中判断是否存在面像;人脸跟踪是指对被检测到的面貌进行动态目标跟踪;人脸比对是对被检测到的面貌进行身份确认或在面像库中进行目标搜索。
在日常生活中主要有两种用途,一是用来进行人脸验证,验证“你是不是某某人”,还有一种用于人脸识别,验证“你是谁”。1:1模式,其身份验证模式本质上是计算机对当前人脸与人像数据库进行快速人脸比对,并得出是否匹配的过程,可以简单理解为证明你就是你;1:N模式,即系统采集了“我”的一张照片之后,从海量的人像数据库中找到与当前使用者人脸数据相符合的图像,并进行匹配,找出来“我是谁”;M:N模式,是通过计算机对场景内所有人进行面部识别并与人像数据库进行比对的过程。
主要问题和风险分析
随着大数据、人工智能、云计算、5G等技术迅猛发展,人脸识别技术获得了广泛应用空间。手机解锁、身份验证、上班打卡等,人脸识别技术在金融、医疗、安检、支付、文娱等诸多领域得到普及,这为数字经济社会发展和人们日常生活带来了新机遇。带来便捷的同时,各类风险隐患层出不穷。现行的人脸识别技术,无论是在收集、保管还是使用的环节,都存在诸多的问题。
一是获取人脸识别数据未征得被收集人同意。面部的生物数据明显属于个人信息,即便按现在的法律规定,人脸识别的收集环节也涉嫌严重的违法甚至犯罪。因为很多场合对个人面部数据的获取,根本没有征得被收集人的同意,难以认为是依法取得。
二是信息告知不充分。由于信息告知不充分,包括收集的主体、收集的数据范围、使用目的及范围、保护措施与相应风险等均未予明示。
三是缺乏合法监管。目前对于收集方获取的人脸识别数据的管理,缺乏完善的监管。
四是数据存储存在安全隐患。由于个人的生物学数据具有稳定不变性,一旦泄露,所带来的潜在的安全风险,远比手机号与账户信息的泄露更为严重。
五是商业化落地不当。随着数字经济的发展,竞争规则、数据规则和消费者保护规则存在竞合趋势,人脸识别杀熟就是其中典型代表。另外还存在歧视问题:研究表明,人脸可以显示性倾向,且预测结果大部分正确。所以,同性倾向的人很可能会成为歧视对象。
“护脸”需要监管与技术并行
发展与安全并重,监管部门多措并举推进人脸安全应用。技术上的“护脸”创新也在不断涌现:
提升人脸数据多维性。源头数据采用3D多维人像采集,让人像更加立体多维,从而避免人脸遭仿冒。
提升人脸识别精准度。通过模型和算法提高真伪判别。
保障人脸识别系统安全性。对人像识别做二次验证;防范API接口被篡改劫持,保证输出效果、生成网络效果的真实、发现设备和系统端口、通讯的异常;及时预警,防止灌入虚假人像、混淆真假人像、库内人像信息被篡改;保证人脸数据存储以及传输的完整性、机密性等。
提升人脸识别应用的风控能力。通过全生命周的安全管理,增强人脸识别从源头到应用全链条的预警、拦截、防护能力,提升人脸识别应用的风险预警及安全防护能力。
这几年,我国相继颁布了《民法典》、《数据安全法》和《个人信息保护法》,构建起我国数据安全与个人信息保护的基本框架。人脸信息是个人信息的重要组成部分,具有不可更改等特殊性,需要比一般个人信息更为严格的保护。日前发布人脸识别测试国家标准《信息技术生物特征识别人脸识别系统测试方法》(GB/T 42981—2023),已经于2024年1月1日开始实施,《标准》注重于人脸识别系统的安全性和可靠性,提出了人脸识别系统的安全测试方法,包括对人脸识别系统的抗攻击能力、抗干扰能力、抗异常能力等进行测试,评估人脸识别系统的安全性能和风险水平,防范和减少人脸识别系统的安全威胁和隐患。适用于各种人脸识别系统的测试,包括基于云端、边缘和终端的人脸识别系统,以及基于不同场景和应用的人脸识别系统,如安防、金融、教育、医疗、娱乐等。可作为人脸识别系统的技术参考和评价依据,为人脸识别系统的设计、开发、采购、部署、运维、监管等提供指导和支持。
新《标准》的制定和实施,将为人脸识别产品进行测试检验或认证服务提供有效指导,从而促进人脸识别行业的规范治理和健康发展。