2 元打包 70 位当红明星素颜照,人脸数据泄露远超你想象

公司

2020-12-31 09:07

前几天,只要你花 2 元,就可以买到 70 个当红明星的登记证件照,你没看错,只要 2 元,一瓶矿泉水的钱。

照片怎么来的呢?

有人发现,在「健康宝」小程序中,只要输入姓名和身份证号,无需再次人脸识别,即可查询到指定人的健康宝照片。

▲ 明星人脸照片被打包售卖. 图片来自:红星新闻

根据官方介绍,「健康宝」小程序,是北京市大数据中心依托北京市防疫相关数据和国家政务服务平台相关功能推出的一项数字化信息服务工具。

近一年,有关人脸识别是否安全的讨论已发生变化,大家从讨论「人脸识别技术是否安全」,改为讨论「人脸识别数据的保存和使用是否安全」。

人脸识别普及超出想象

人脸识别技术已深入我们生活的方方面面,普及程度超出想象。

今年 4 月,小区保安把我拦在门口,略表歉意地说:「小区有规定,要人脸识别才可以进去,麻烦现场录一下人脸数据。」

我认为不合理,于是拒绝了。和我一样拒绝的人越来越多,逐渐堵住了小区大门,在大家的抗议声中,保安最终让居民进了小区。

回到家打开手机,发现小区业主群里像炸开了锅一样,很多人都在吐槽物业公司。

说什么为了安全管理,根本就是借口,搞什么人脸识别,就是搜集数据吧?刷一个人的脸就开了门,想进小区的人还是进小区,和门禁卡有什么区别?!!!!

物业工作人员在群里给的答复是:「(这是为了)疫情防控,刷脸可以识别到底有哪些人进出小区,也是为了大家好。」

可是,疫情期间大家都戴着口罩,一群人为了人脸识别取下口罩堵在门口近距离接触,不是增加了风险吗?

看到大家发到群里的灵魂拷问,工作人员再也没有任何答复。

▲ 武汉某小区保安正在演示人脸识别门禁功能. 图片来自:楚天都市报

爱范儿发现,从 2019 年 9 月开始,已有武汉市青山区的小区居民质疑人脸识别门禁的新闻报道,而居民表示人脸识别门禁 3 个月前就已开始运行。很显然,改用人脸识别门禁是为了疫情防控,这个说法站不住脚。

除了小区门禁,人脸识别早已「遍地开花」,健康码小程序、刷脸支付、银行业务、售卖商品房等等和生活息息相关的领域都能见到它的身影。

你的人脸值多少钱?说不定是几十万元。

去售楼中心看房要带着头盔已成为公开的秘密 —— 不少售楼中心安装了带有人脸识别功能的摄像头,会记录每个到访顾客的人脸数据,如果数据比对发现某位顾客多次到访,则证明其为高意向客户,「一套房可以贵几十万卖给他们」。

大家都在调侃头盔的「魔性」,却忘了一件事,那些被搜集的人脸数据到哪里去了,会不会已经被各个房地产商共享?

人脸识别数据安全吗?

之所以大众讨论从「人脸识别技术是否安全」,变为讨论「人脸识别数据的保存和使用是否安全」,是因为人脸数据泄露事件不止发生了一次。

前几天,只要你花 2 元,就可以买到 70 个当红明星的自拍人脸照,事情从发生到相应公司回应暂告一段落,几乎没有人关心绝大多数普通人的照片是否已泄露。

令人担心的是,部分手机前置摄像头拍摄的人像照片带有 3D 深度信息,只要拿到原图,用普通 app 即可查看深度信息。

▲ 这张自拍不仅有我的人脸深度信息,还有精确定位信息

3 个月前,四川人社 app 被曝出漏洞,如果用户的手机不慎遗失,不法分子可以取出手机里的 SIM 卡,利用四川人社 app 拿到手机号对应人的身份证信息、人脸证件照片和社保金融卡里的银行卡,然后用拿到的信息去办理各种小额贷款或充值虚拟卡,套现后消失。

▲ V2EX 网友制作的漏洞图 . 图片来自:V2EX

2019 年 1 月,美国出现了一款名为 Twinning 的爆款 app,用户只需上传人脸照片,就能通过人脸识别找到与其容貌最相似的明星。

有人在 Twinning 官网站代码中直接找到了云服务器地址,进去后能直接看到用户实时上传的人脸照片信息流。发生泄露事件后,直接可以在谷歌中搜到不少人的人脸照片。

破解人脸识别,并不难

实际上,专业黑客最快只需 150 秒就可以破解人脸识别,就连小学生都可以做到。

2017 极棒嘉年华大赛上,毕业于浙江大学计算机系的 90 后女黑客 tyy 利用设备漏洞,在 150 秒内成功破解了使用人脸识别的门禁系统。

2019 年 10 月,一群小学生发现,只需要拿着打印出来的人脸照片,就可以轻松打开丰巢快递柜。随后丰巢立即表示,紧急下线刷脸取件的功能,在技术完善之前不会再上线该功能。

不过,中科院自动化研究所研究员王金桥表示,要找到一个合适的人、了解他的账户信息、建模攻击,成本是非常高的。

比如用人脸照片破解丰巢快递柜,破解者需要弄到一个人的照片,然后弄清楚 TA 什么时候网购了,还了解快递到到达的时间,并且知道 TA 的快递放在哪个快递柜,最后的灰色利益也不过是偷走了对方一个价值几十元的快递。

和针对单一个人的精准破解相比,我们更应该关注的是人脸识别数据在采集、保管、使用过程中的大规模泄露,背后的公司甚至连你的生活习惯、浏览偏好、经济水平、社会关系都「摸」得一清二楚,再加上大规模的人脸数据说不定整出什么幺蛾子,这也是目前需要加强监管的重点。

破解不难,维权很难

破解仅需 150 秒,维权路却很难走。

据《人物》报道,2020 年 3 月,清华大学法学院教授劳东燕发现小区启用了人脸识别门禁后,写好了详细的法律意见,指出小区的收集行为与现行法律框架相违背,分别寄给了物业和居委会。

▲ 杭州居民戴口罩刷脸进小区,该系统在居民戴着口罩的情况下,也可以精准识别 . 图片来自:人物(公众号)

经过漫长的调解,最终,街道办给出 3 种可替代方案:刷门禁卡、身份证登记和使用手机 app。

劳东燕表示,如果生物信息被别人获取,别人就可能用你的脸结合你的身份证信息,去登陆你的银行账户,转移账户中的钱,进入你本该进入的单位、小区,或者恶心你一下,把你的脸换到淫秽视频里。这些风险,是和居民的日常生活最相关的。而且人脸、指纹这样的生物信息,一旦泄露,无法改变,也无法获得救济,你可能永远暴露在这样的风险下。

劳东燕认为「人脸」维权十分特殊,因为互联网上的信息删之不尽。

即便公安机关把犯罪分子抓住了,也只是把他关在监狱。你的信息泄露了就是泄露了,他已经卖给下家,下家可能又卖给另一下家,已然失控,你没办法恢复原状……数据与财物不一样,数据具有共享性,使用时不具有排他性。在数据的问题上,不告而取地收集当然有其危害,但是即便经作为数据主体的当事方同意,接下来难道就可以随意使用他相应的个人数据吗?肯定不能。

人脸数据泄露根源在哪?

几年前在另一家公司的时候,我经手过一些招投标工作,代表公司去和相关部门洽谈,给地方做一些需要用到人脸识别功能的产品。

谈判时,对方更关心的问题是成本构成,什么时候能上线,能不能赶在某个时间前上线配合宣传工作,后期每年运维价格多少。没有一个人问过,人脸数据搜集之后怎么保存,会不会发生泄漏。

▲ 大多数民生服务项目都需要验证人脸,这些民生服务项目大多由互联网公司承担技术开发和后期运维工作.

这并不能怪他们漠视数据,俗话说隔行如隔山,他们不理解大数据,就像我们不理解他们的工作内容一样。

如果真的发生人脸数据的泄露,以我有限的经验来看,「外包」环节出纰漏的几率大一些。

项目顺利上线了,宣传工作到位了,大伙儿用起来没什么太大问题,没有人去关心那些人脸数据会不会泄露,有些敏感的隐私数据处于「裸奔」状态,稍微懂点技术的人都可以抓取,运行一年下来早就不知道被保存了多少次,被放到暗网上打包出售。—— 某项目负责人

更有甚者,有些公司不惜亏本甚至倒贴来赢得项目,目的不是为了赚项目的钱,而是借机搜集极其敏感的大数据,例如人脸和指纹数据。

所以,强力监管那些搜集和保存大数据的公司,是防止公民隐私数据泄露的关键。

大数据监管,迫在眉睫

近几年,各地方都出台了有关大数据的管理条例,国家网信办也开展了《数据安全管理办法(征求意见稿)》公开征求意见,国家也颁布了《个人信息保护法(草案)》,我们很欣喜地看到公民数据越来越得到重视。

相关条例中,对公民大数据的搜集、整理、保存、使用等方式都做出了明确的规定,这是非常大的进步。

同时,我也有一些担忧,目前大数据的采集、保存和使用主要靠相应公司自觉,具体的搜集手段、保存位置、使用权限等方面,没有一个顶级的国家级技术团队来监督,或者没有一个处于管控的「大数据库」来把关(例如采集、保存和使用都需要向这个库申请权限,使用范围也被严格限定等),可能存在一些可钻的空子。

人脸数据并不像一些人说的「我就是个普通人,用了就用了」那么简单,当大规模的人脸数据被不法利用时,掌握大数据的手甚至可以在互联网上虚拟出一群不存在但又「活生生」的人,这会给现实世界带来更具危险性的挑战。

正如清华大学法学院教授劳东燕在接受《人物》采访时说的一样:

个人信息是否值得保护,不取决于这个信息是否涉及隐私,而取决于通过这个信息能否识别到你。如果可以通过某个信息或结合其他信息识别到特定的自然人,这样的信息就是法律要加以保护的。这次《民法典》也在隐私权之外,额外地规定了个人信息权利。匿名性是现代社会运作的基础。你并不想所有举动都被毫无遗漏地永久记载下来,曝光在每一个人的面前。不然,你可能发现,在任何地方,都可能有一只眼睛始终在盯着你。你因此丧失了自由,并且也不见得会拥有安全感。

备注:清华大学法学院教授劳东燕的观点,援引自「人物」公众号文章《困于人脸识别

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中