“人臉數(shù)據(jù),五毛一份”

燃財經(jīng)
一直以來,人臉識別不僅意味著個人和部分場所更高級別的安全防控,也曾是公安在茫茫人海識別抓獲罪犯的好幫手,人臉識別技術(shù)作為一種創(chuàng)新事物,備受各行各業(yè)青睞。

圖片來源@視覺中國

很難想象,有一天,你的人臉信息會被人賣掉,作價5毛錢。而這帶給你的困擾或許是一生的,除非你去“換臉”。

如今這一切正在變成現(xiàn)實。近日有報道顯示,一些電商平臺正以0.5元一份出售匹配了身份信息的人臉數(shù)據(jù),與此同時,幫助不法分子將照片活化的工具和教程也僅僅售賣35元。

燃財經(jīng)通過調(diào)查,證實了這個黑色產(chǎn)業(yè)鏈的存在。在一些QQ群里,3元錢就能買到用戶的詳細身份信息和人臉照片。

相關(guān)技術(shù)專家指出,單純的個人照片不構(gòu)成太大風險,但匹配了身份信息的照片可以做出模擬真人的點頭、搖頭、眨眼、說話等行為,能實名注冊市面上大多數(shù)軟件,加上驗證碼破解方式,不法分子在辦理網(wǎng)貸、精準詐騙等方面幾乎毫無障礙。

互聯(lián)網(wǎng)時代,盡管我們獲得服務需要讓渡一定的個人信息,但不同于一般的賬號和手機號,人臉信息屬于高度敏感的個人信息,我們可以更改賬戶密碼,但我們能換臉嗎?

也就是說,一旦丟失匹配了身份信息的人臉信息,我們終身將面臨安全隱患。那么,如此嚴重的信息泄露,到底該誰負責?第三方公司在采集、利用、儲存、傳播中人臉信息時該如何規(guī)范,販賣交易個人信息的中間環(huán)節(jié)又觸犯了哪些法律條款?

01、你的臉只值5毛錢

信息裸奔時代,人臉識別都能買賣了。

近日,一些網(wǎng)絡黑產(chǎn)從業(yè)者利用電商平臺,批量倒賣非法獲取的人臉等身份信息和“照片活化”網(wǎng)絡工具及教程,“人臉數(shù)據(jù)0.5元一份、修改軟件35元一套”引起了大眾的激辯。

“我一張臉就值5毛?”、“我的支付寶賬號瑟瑟發(fā)抖”、“憑啥APP們要求我們實名,而你們做不到保護我們的隱私?”網(wǎng)友對此表達了強烈不滿,甚至有人“有點抗拒互聯(lián)網(wǎng)大數(shù)據(jù)了”。

類似于指紋、虹膜、DNA可以識別個人生物特征一樣,人臉識別也是這樣的手段,它是基于人的臉部特征進行身份識別的一種生物識別技術(shù),被認為可以非常便捷地證明“我是我”。

方便的同時也帶來了不小的隱患。與身份信息匹配了的人臉信息可用于注冊應用軟件、借貸等,利益驅(qū)使之下,網(wǎng)絡黑產(chǎn)應運而生。

為了驗證傳言的真實性,燃財經(jīng)加入一個名為“人臉技術(shù)組團學習群”的QQ群,里面充斥著各種“微信解封、代過人臉”、“出售三色人臉技術(shù)”、“代注冊”等廣告。隨后記者添加了一位經(jīng)營人臉信息的群友后,對方聲稱一份信息售價3元,包括人臉和身份信息,并發(fā)過來一個支付寶付款碼。付款后,對方隨即發(fā)來一張圖片,上面附有女士李XX的身份證號、姓名、民族、詳細地址和照片。這樣的信息他表示還有幾十個。

賣家出售的人臉信息3元一份

賣家出售的身份信息

同時,他還出售三色人臉技術(shù),即人臉活化技術(shù),對方向燃財經(jīng)展示了照片活化前后對比圖片,“888元教技術(shù)外帶虛擬視頻機刷包”。

賣家展示的人臉活化技術(shù)

前不久媒體曝光的黑產(chǎn)從業(yè)者更是在淘寶、閑魚上以人臉數(shù)據(jù)0.5元一份、“照片活化”網(wǎng)絡工具及教程35元一套在售賣,“要的話五毛一張打包帶走,總共兩萬套,不議價。”有賣家透露,自己所售賣的人臉信息來自一些網(wǎng)貸和招聘平臺。

“照片活化”工具可將人臉照片修改為執(zhí)行“眨眨眼、張張嘴、點點頭”等操作的人臉驗證視頻。也就是說,不法分子拿到公民的照片和身份信息后,利用“照片活化”工具就可以執(zhí)行搖頭、點頭、眨眼等動作,由此來騙過一些人臉識別驗證方式。

人臉識別這個曾經(jīng)被認為安全的個人信息驗證方式,正遭遇嚴重的質(zhì)疑。

02、人臉信息丟失,后果多嚴重?

首先我們來了解一下,哪些地方正在搜集人臉信息?這些信息究竟是從哪些渠道泄露的?泄露之后又有多大的風險?

NETSTARS CTO陳斌告訴燃財經(jīng),以前有刷臉支付、門禁、手機應用軟件,今年因為疫情,一些測體溫的設備也在采集人臉數(shù)據(jù),“從技術(shù)上來看,采集人臉信息很簡單,只要有攝像頭就可以不間斷采集。”

他指出,第三方平臺采集到數(shù)據(jù)有兩種泄露的可能性:一種是黑客技術(shù)入侵數(shù)據(jù)庫,把庫里的信息拷貝盜走,很多公司都不知道自己的數(shù)據(jù)庫泄露了;另一種是公司內(nèi)部有人拿數(shù)據(jù)出去倒賣交易。

事實上,如果第三方只有人臉信息,用處不太大,但如果匹配了身份證信息,危害就非常大,這中間的難點在于跟身份信息關(guān)聯(lián)。

至于怎么匹配個人信息,“第一種是通過支付軟件,上面可能本來就有了個人信息,再加上人臉信息,就能匹配;第二種是一些園區(qū)、旅游景點,刷身份證進入,就有了數(shù)據(jù)庫;第三種是不少金融服務公司會拿客戶的信息去查詢比對權(quán)威部門的數(shù)據(jù)庫,對比完以后,有的公司會把信息儲存下來,存在泄露的可能。”陳斌分析。

再加上,現(xiàn)在不法分子也可以操作手機號驗證碼,信息的全面匯集,讓形勢更加嚴峻。陳斌提到,目前有技術(shù)可以操作偽基站,也就是說,不法分子可以做一個假的移動或聯(lián)通基站,向?qū)氖謾C號發(fā)驗證碼他們就能收到。

也就是說,“照片活化”技術(shù)可以通過照片作出搖頭、點頭、眨眼、吐舌頭等動作,“甚至配合說一句話都沒有難度,可以用語音操作”,再加上手機號驗證碼的操作空間,不法分子一旦有了身份證信息和照片,冒用別人的身份去辦理網(wǎng)貸、注冊軟件或網(wǎng)站、解鎖支付軟件、精準詐騙等,可以無障礙做很多不法的事情。

“不同于一般的賬號、手機號,人就一張臉,人臉信息被盜取只能去整容換臉了,否則被盜取了經(jīng)匹配的人臉信息后,你每天出門就相當于腦門上頂著信用卡在走路,是很危險的。”陳斌說。

真實的案例已經(jīng)發(fā)生在現(xiàn)實生活中。

2019年,深圳龍崗警方發(fā)現(xiàn)有轄區(qū)居民的身份信息被人冒用,其駕駛證被不法分子通過網(wǎng)絡服務平臺冒用扣分。另外,龍崗警方還偵查發(fā)現(xiàn),有不法分子使用AI換臉技術(shù),繞開多個社交服務平臺或系統(tǒng)的人臉認證機制,為違法犯罪團伙提供虛假注冊、刷臉支付等黑產(chǎn)服務。龍崗警方在廣東、河南、山東等地已抓獲涉案犯罪嫌疑人13名。

2019年11月,浙江省江山市人民法院對一起侵犯公民個人信息案件作出判決,案件緣由是,支付寶推廣政策中有一條是當老用戶介紹新用戶來注冊支付寶,老用戶可以獲得28元推廣獎金,有一個詐騙團隊搜集了數(shù)千人的照片信息,利用這些照片制作可以動的3D視頻注冊支付寶賬號賺錢,共注冊成功數(shù)千個賬號,非法獲利共計30324元。

對此,支付寶回應媒體稱,2018年,支付寶安全系統(tǒng)監(jiān)測到部分用人臉識別進行身份認證開通賬戶行為異常,及時上報警方,并且升級人臉識別身份認證的防攻擊技術(shù)。

據(jù)悉,犯罪嫌疑人利用非法獲取的公民照片進行一定預處理,而后通過“照片活化”軟件生成動態(tài)視頻,騙過人臉核驗機制。隨后,通過網(wǎng)上批量購買的私人社交平臺賬號登錄各網(wǎng)絡服務平臺注冊會員或進行實名認證。

所以,人臉信息和身份信息丟失最危險的后果是全民都需要“換臉”,這是一件一次丟失,終身都有危險的事情。

03、誰該為人臉信息泄露負責?

一直以來,人臉識別不僅意味著個人和部分場所更高級別的安全防控,也曾是公安在茫茫人海識別抓獲罪犯的好幫手,人臉識別技術(shù)作為一種創(chuàng)新事物,備受各行各業(yè)青睞。

然而,不可避免的是,技術(shù)跑在監(jiān)管前面,風險也如影隨形。

從技術(shù)上來看,陳斌認為:“這樣的情形其實是技術(shù)不夠先進造成的安全隱患,因為目前的人臉識別技術(shù)不是活體識別,它識別的是面部的物理特征數(shù)據(jù),比如眼睛之間的距離,鼻子到眼球的距離,鼻子到嘴的距離等,這和真人的識別差別很大。其實就是人臉識別技術(shù)還不夠完善,不法分子才有空子可以鉆。如果技術(shù)能區(qū)分活體和照片、視頻,那就不一樣了,未來可能隨著技術(shù)進步能解決這個問題,但是目前的情形還很值得憂慮。”

那么,從人臉信息的采集、儲存、傳播到再利用,中間哪些環(huán)節(jié)該為信息泄露負責?

中國政法大學傳播法中心研究員朱巍從法律角度給出了解釋,個人信息保護法見于《網(wǎng)絡安全法》《刑法》第二百五十三條、即將生效的《民法典》第一千零三十八條,以及全國人大發(fā)布的《加強網(wǎng)絡信息保護的決定》等。

“這種出售人臉信息黑產(chǎn),主要是用作精準詐騙或刑事犯罪的,按照刑事法律的規(guī)定,明知道是用作犯罪依舊出售的,屬于典型的侵犯公民個人信息犯罪,一般出售50條就構(gòu)成刑事犯罪了。”朱巍表示。

北京至普律師事務所合伙人李圣也指出,無論是依據(jù)《消費者權(quán)益保護法》第十四條規(guī)定消費者享有個人信息依法得到保護的權(quán)利,還是依據(jù)《電子商務法》第五條電子商務經(jīng)營者有個人信息保護的義務,以及即將實施的《民法典》第111條,對于個人信息保護也作出了明確的約束,任何組織或者個人不得非法收集、使用、傳輸他人個人信息,不得非法提供或者公開他人個人信息。隨意買賣人臉信息明顯違法,不僅構(gòu)成民事侵權(quán),也違反了《治安管理處罰法》,可處拘留或罰款。嚴重的涉嫌侵犯公民個人信息罪,應受刑事處罰。

陳斌認為,如今的人臉識別行業(yè)監(jiān)管還不到位,針對采集人臉信息的公司沒有規(guī)范的管理辦法,比如哪些公司可以采集、什么用途、保存多久、誰可以看、要不要加密、什么樣的清晰度,這些應該有一些法律規(guī)范,目前行業(yè)比較混亂。

“不過互聯(lián)網(wǎng)發(fā)展向來就比法律規(guī)范更快,監(jiān)管如果太快了所有的技術(shù)創(chuàng)新都被殺死了,太慢了用戶的信息安全存在隱患,要尋找一個平衡點。”陳斌表示。

對于普通用戶來說,別輕易貪便宜,要求刷臉注冊,填寫身份證號等個人信息的應用軟件、公司、網(wǎng)站等都要高度提防。專家提醒,舉著身份證拍照是最害人的,因為既有身份證又有人臉信息,一定要盡量避免提供這樣的信息。

“事實上,在合適的規(guī)范之下發(fā)展人臉識別技術(shù)是應該的,人類總要進步,要探索在合適的方式下發(fā)展,怕的是不成熟的技術(shù)廣泛應用。如果真的能識別活體,這個問題一定程度上也可以得到解決。”陳斌說。

個人之外,企業(yè)也該加強技術(shù)管控和審核力度,選擇多重驗證方式,不能僅僅看外部特征。

“你還要臉嗎?”一句日常俗語,道出了人臉的特殊性。不管是物理上,還是道德上,每個人只有一張臉,它關(guān)乎個人安全的方方面面,值得所有人警惕。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論