信息化觀察網(wǎng)

近日，國內(nèi)某公司在杭州造物節(jié)上公布了一段李佳琦帶貨的直播視頻，不過這次直播的并非李佳琦本人而是AI而成的。通過AI技術(shù)合成李佳琦影像并且配上其日常帶貨名言，現(xiàn)場演繹了一段眼藥水和方便面的帶貨直播。

雖然官方強調(diào)本次的合成視頻獲得了李佳琦本人授權(quán)，并且此項技術(shù)并不面向民間，但隨著各種面部乃至整人的AI合成產(chǎn)品越來越多，人們對于個人隱私泄露的恐慌也慢慢浮現(xiàn)。

前段時間，上海信息安全行業(yè)協(xié)會副主任張威在2019年國家網(wǎng)絡(luò)安全宣傳周全民體驗日活動上向公眾提示了剪刀手泄露指紋信息的風(fēng)險，迅速引起網(wǎng)友熱議。

他表示，1.5米內(nèi)拍攝的剪刀手照片，基本上能100%還原出被攝者的指紋；在1.5米-3米的距離內(nèi)拍攝的照片，能還原出50%的指紋。

有網(wǎng)友甚至直言，“人的指紋一生都不會變化，一旦泄密，就是永遠(yuǎn)泄密，所以市面上那些打著指紋安全旗號的數(shù)碼產(chǎn)品我都是不敢用的。”

剪刀手照片是否真的有被提取指紋的可能？生物識別技術(shù)是否真如人們恐慌一般成為隱私泄露的重災(zāi)區(qū)？網(wǎng)友熱議的背后是人們關(guān)于讓渡安全還是讓渡隱私的矛盾。

理論上可行，實操很難

對此，圖正科技董事長、創(chuàng)始人劉君對CV智識解釋，剪刀手拍照泄露指紋信息在理論上可行，但操作起來很難。

實操很難的一個原因就是：技術(shù)門檻。

他指出，目前的指紋識別存在一個等比例變化的問題，這就意味著從現(xiàn)場取到的指紋必須按照1:1比例復(fù)制出來，這本身需要專業(yè)的提取技術(shù)、提取設(shè)備以及復(fù)制設(shè)備等，而如果剪刀手照片經(jīng)過處理之后還要考慮形變的問題。

一位生物識別領(lǐng)域?qū)＜覍V智識直言，這么高門檻的犯罪活動一般針對的是價值比較高的目標(biāo)，普通人被盜的機率會小一些。

但技術(shù)門檻高并不意味著絕對安全。

“大家在設(shè)計這些指紋識別產(chǎn)品系統(tǒng)的時候，只是把它設(shè)計在一個安全維度上就可以了，讓不法分子攻擊時候的攻擊時間成本和攻擊難度到一定的程度就可以了，安全是一個沒有邊界的問題。”

中國科學(xué)院院士鄭建華曾對媒體表示，目前指紋識別安全鏈條還不夠完整。

去年，網(wǎng)上一篇《一塊橘子皮就能秒開你的手機指紋鎖，還能轉(zhuǎn)賬付款》的文章及視頻就曾引起了網(wǎng)友關(guān)注。

一位用戶由于手機摔到地上，導(dǎo)致指紋觸摸鍵出現(xiàn)了裂紋，之后其他人居然都可以用指紋解鎖他的手機，手機支付什么也都可以了。

后來經(jīng)過蘇州一家科技公司技術(shù)人員的試驗發(fā)現(xiàn)，破解指紋驗證的關(guān)鍵在于指紋觸摸鍵上的圖案。事實上，指紋傳感器接收到的信息包含指紋貼上的導(dǎo)電涂層，并不完全是機主手指的指紋。在進行指紋比對時，只要部分信息相同就能通過驗證。

只要指紋觸摸鍵上的圖案是擋在手指前面，軟件系統(tǒng)就會收到已經(jīng)有了這些圖案成分的圖，“它收了這個圖，認(rèn)證也是個圖”，而裂痕本身會在傳感器上形成一些圖案，這名用戶將指紋覆蓋在裂痕上成功解鎖開機幾次后，別人便都可以隨意開機了。

一位指紋識別公司的技術(shù)人員告訴CV智識，利用指紋識別系統(tǒng)上的軟件漏洞進行攻擊是當(dāng)前指紋識別比較有效的一種方式。

劉君指出，目前行業(yè)內(nèi)提高生物識別安全的路線有兩種，一種是增加獲取生物信息的難度，比如研發(fā)骨骼識別、靜脈識別等產(chǎn)品，這些生物特征信息都不在表面，通過正常的拍個照片，杯子殘留等是無法獲取的；另外一種則是增加偽造難度，比如加入活體指紋檢測技術(shù)或者增加3D人臉識別的復(fù)制難度等。

除了產(chǎn)品設(shè)計本身的安全度提高之外，人們平時該如何避免隱私泄露呢？

除了不向陌生人提供自己的指紋、不在不可信的設(shè)備上錄入自己的指紋，不在網(wǎng)上亂發(fā)帶有自己指紋信息的照片之外，劉君還提出一個建議，在用完指紋鎖或者手機之后，用手在傳感器表面上擦一下，通過這個動作，指紋圖像就會完全模糊化了，也就沒有了任何提取價值。

不只剪刀手

這并不是生物識別技術(shù)首次受到安全質(zhì)疑。

隨著計算機、光學(xué)、聲學(xué)、生物傳感器和生物統(tǒng)計學(xué)原理等技術(shù)的發(fā)展，利用人體固有的生理特性，如指紋、人臉、虹膜等，以及行為特征，如筆跡、聲音、步態(tài)等來進行個人身份鑒定的現(xiàn)象越來越常見。

其中應(yīng)用最為廣泛的是指紋識別、人臉識別。

指紋識別并不新鮮，多年前指紋識別就應(yīng)用在考勤、門禁、保險箱柜等領(lǐng)域，隨著iPhone5s的推出，指紋識別才迎來了一個跳躍性發(fā)展的時期。

最初的手機安全鎖解決方案是設(shè)置開機密碼，一般是4位數(shù)或者是6位數(shù)的密碼，之后流行的是圖案解鎖，相比開機密碼，圖案解鎖破解的幾率更高。iPhone5s之后，指紋解鎖逐漸成為各類手機的標(biāo)配。

之后指紋識別場景進一步挖掘，已經(jīng)廣泛應(yīng)用于各類識別身份的渠道，例如指紋支付、指紋門鎖等領(lǐng)域。

但就在2019年5月，中國消費者協(xié)會等對29款主流智能門鎖商品開展比較試驗時發(fā)現(xiàn)，48.3%的樣品密碼開啟存在安全風(fēng)險，50%的樣品指紋識別開啟存在安全風(fēng)險，85.7%的樣品信息識別卡開啟存在安全風(fēng)險。

從2017年開始，生物識別的風(fēng)向標(biāo)轉(zhuǎn)向了人臉識別：手機刷臉解鎖、刷臉支付；火車站、機場刷臉檢票；銀行開戶時需要人臉識別確認(rèn)，現(xiàn)在還愈發(fā)向娛樂化發(fā)展，比如之前刷屏的換臉APP—ZAO。

“ZAO”在App協(xié)議中要求獲得用戶人臉照片“完全免費、不可撤銷、永久、可轉(zhuǎn)授權(quán)和可再許可的權(quán)利”，這意味著用戶上傳到ZAO里面的照片，ZAO除了可免費使用并修改你的肖像，還可以將它任意授權(quán)給自己想授權(quán)的第三方，當(dāng)做信息進行販賣，而且是永久的、不可撤銷的。

倘若這一數(shù)據(jù)被居心叵測的人利用，極有可能成為新的犯罪工具，特別是對于騙術(shù)識別能力差的老人，很容易就被犯罪分子偽裝的“子女”、“親人”騙走錢財。

目前，許多高校宣傳的"刷臉時代"：門禁刷卡、食堂刷臉、人臉識別考勤等也受到了質(zhì)疑。前些時間，一張帶有“MEGVII曠視”圖標(biāo)、面向校園學(xué)生學(xué)習(xí)狀態(tài)的視頻監(jiān)控圖像也在網(wǎng)絡(luò)上引發(fā)熱議，網(wǎng)上對于通過人臉識別監(jiān)控教室內(nèi)學(xué)生一舉一動的批評聲浪很高。

這與ZAO的爭議類似：技術(shù)帶來效率，帶來更多的娛樂方式無可厚非，但前提是需要界定什么數(shù)據(jù)是隱私？什么數(shù)據(jù)可開放？

無論是指紋還是人臉等生物識別數(shù)據(jù)一旦被泄露，后果不可想像。畢竟，每一個生物識別特征的背后都是一個人現(xiàn)實身份的確認(rèn)。

未來：技術(shù)融合、立法快行

隱私問題凸顯，并不意味著人們因此因噎廢食，生物識別技術(shù)依舊會是安全的一道鎖，但這把鎖未來會如何發(fā)展呢？

“融合”是CV智識在與行業(yè)人士交流過程中聽到最多的方案。

比如當(dāng)用戶回到家里，走到距離門兩米遠(yuǎn)的位置，人臉識別系統(tǒng)啟動，人臉識別成功之后，指紋識別傳感器亮起來，用戶直接去按指紋解鎖，雖然整個過程跟單純的指紋識別并無區(qū)別，但在這個過程中卻進行了多重認(rèn)證。

目前與大家財產(chǎn)安全極為相關(guān)的手機支付系統(tǒng)便是需要多因素驗證，不會簡單根據(jù)指紋或者口令這些東西來識別人的身份。

但劉君也表示，在生物識別技術(shù)之前的年代，安全性和便利性一直存在矛盾。生物識別技術(shù)出現(xiàn)之后，核心解決的是便利性的問題，兼顧安全行為?，F(xiàn)在大家追求的是怎么變得更懶而不是更復(fù)雜，因此在解決更多的安全鏈條上的問題之后，單一的生物識別技術(shù)仍然是會是主流。

也可能會催生更加新奇的生物特征識別，比如利用每個人獨特的眼球運動來進行身份識別；基于耳朵識別的手機App，用戶可以通過把手機貼在耳朵和臉頰部位來進行識別；基于心跳識別技術(shù)的Nymi腕帶......

除了從技術(shù)、產(chǎn)品設(shè)計、用戶自身防范角度之外，立法是另一個保護措施。

比如，美國伊利諾斯州和德克薩斯州就通過了生物特征識別法，要求收集和使用人臉識別的公司和個體必須遵循一套基本的隱私協(xié)議。包括在收集前得到知情同意、規(guī)定數(shù)據(jù)保護義務(wù)和限制保留位置、禁止從生物特征數(shù)據(jù)中獲利等。

我國也開始探索數(shù)據(jù)相關(guān)立法。國家互聯(lián)網(wǎng)信息辦公室在今年5月發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》中規(guī)定：“如果收集使用規(guī)則包含在隱私政策中，應(yīng)相對集中，明顯提示，以方便閱讀。另僅當(dāng)用戶知悉收集使用規(guī)則并明確同意后，網(wǎng)絡(luò)運營者方可收集個人信息。”

這依然有很長的路要走。