如何守護“臉”安全

時間

——

評論

　　一張“神奇的貼紙”，將其放置在面部，就可以使人臉識別門禁系統誤認為是本人，從而輕而易舉打開大門﹔把其放置在眼鏡上，就可以1秒解鎖手機人臉識別，從而輕鬆探取隱私。這正是9月16日首屆人工智能安全大賽頒獎典禮現場展示的真實攻防場景，人臉識別技術的安全性問題再次被關注。
　　手機解鎖、移動支付、車站進站……當下，“刷臉”已成為最廣泛的身份驗証方式之一。但人臉識別真的安全嗎?如何明晰人臉識別技術的應用邊界，兼顧效率與安全，更有效地保護我們的“臉”？連日來，記者對此進行了採訪。

十幾元即可購買“一張人臉”

　　很難想到，僅僅通過一張貼紙就能完成“刷臉”。
　　事實上，人臉識別被破解已非新鮮事。早在2017年的“3·15”晚會上，主持人在技術人員支持下，僅憑觀眾自拍照就現場“換臉”破解了“刷臉登錄”認証系統。2021年底，“考勤打卡神器”的新聞刷屏網絡。就職於某保險公司的梁女士，每天無需到公司上班，通過屏蔽攝像頭影像採集、攔截無線網絡檢測，並對GPS劫持，偽造虛假的地理位置。在進行相關設置后，代理人輸入自己的工號、上傳照片，在家裡就能完成每日打卡並拿到全勤獎。
　　“網上定制人臉面具，游戲申訴秒過！”9月12日，在太原工作的劉承宇用購買的“人臉”完成游戲解鎖，給網店打出了5星好評。劉承宇告訴記者，他閑暇時間喜歡玩網游，但由於賬號是朋友幫忙申請的，游戲中頻頻出現的人臉識別讓他犯難了。偶然看到微信群中有網友分享，定制的人臉識別面具通過的概率大，就果斷下單嘗試，沒想到一次就成功了。
　　記者在淘寶上搜索“定制面具”“人臉識別”等關鍵詞，隨機出現很多人臉識別面具定制商家，價格在10元至40元之間，多用於上班打卡、手機解鎖、游戲申訴等。
　　“您的識別系統，平時打卡需要眨眼張嘴嗎？第一次錄系統時是打卡機拍照，還是錄制的視頻？平時打卡的時候有沒有一個方框或者圓框鎖定臉部？清晰回復讓客服判斷一下通過的概率高不高。”記者選擇了一款月銷量高達900余件的人臉識別面具，咨詢是否能順利打卡成功，客服表示該款面具材質是平面相冊紙經塑封制作而成，客戶發送清晰的正面頭部圖像即可制作，針對人臉識別的打卡機通過率很高，但各地識別系統不同，識別的維度也不同，並不能保証百分之百能夠通過。
　　該款人臉面具的評論中，大多數買家給予了好評：“成功率很高，活物識別也可以，已經2次回購了”“順利打卡成功，上下班省了很多事，下次會讓同事再光顧”“游戲申訴一次成功，解了燃眉之急”……
　　明明不是自己的臉，卻能輕鬆完成識別，不少用戶擔憂，我的人臉信息還安全嗎？

破解人臉識別案件頻發

　　8月初，一條“收集個人信息提供‘代過人臉’被公訴”的新聞登上熱搜，犯罪嫌疑人利用網絡工具收集整理了公民個人信息44萬余條，用特定軟件破解人臉識別的方法，以遠程操作方式幫助未成年人繞過防沉迷系統，並向游戲代練出售可以“代過人臉”的手機。忻州網友@五谷配方在微博留言：“如今人臉信息與個人身份、金融、位置甚至偏好等信息均為綁定關系。一旦人臉被‘偷走’，在不法分子面前用戶相當於在‘裸奔’，合法權益極易遭受侵害。”
　　無獨有偶，“刷臉”安全頻遭質疑。去年3月，超5億元的虛開發票案牽出非法人臉識別案，犯罪嫌疑人從他處購買他人的高清頭像和身份証信息，處理后讓照片“動起來”，形成包括點頭、搖頭、眨眼、張嘴等動作視頻，利用特殊處理“劫持”手機，使系統不啟動攝像頭，而是獲取之前做好的視頻，破解了多款用戶量巨大的App。去年6月，一名儲戶從網站下載了假冒的詐騙軟件和視頻會議軟件，被套取了銀行卡和密碼以及人臉信息等關鍵內容，遠程操控其手機，在本人不知情的情況下進行6次人臉識別，被騙走近43萬元。
　　人臉識別為何會被破解？中北大學視覺計算與大數據技術研究所副所長喬鋼柱教授介紹，人臉識別技術即為特征碼識別，對瞳孔到鼻子、眉毛、耳朵、嘴的距離，進行特征點提取，通過算法比較與數據庫中預存的人臉信息是否匹配。當靜態照片、通過播放預錄制動態視頻、利用圖像處理或三維建模軟件將照片轉換為動態視頻等虛假人臉中的特征點與預存的人臉信息吻合，極有可能騙過人臉識別算法。
　　除了人臉識別算法被“鑽空子”，系統本身也亟待優化。人工智能算法工程師吳昊表示，不法分子常通過入侵人臉識別設備，或在設備上植入后門，通過特定程序劫持攝像頭、劫持人臉識別App或應用，繞過人臉的核驗﹔或劫持人臉識別系統與服務器之間的報文信息，對人臉信息進行篡改，將真實信息替換為虛假信息，以實現虛假人臉信息的通過。

守護“臉”安全任重道遠

　　如何更有效地保護我們的“臉”？喬鋼柱認為，要提升人臉識別算法的精准度。增加算法檢測、唇語檢測、顏色漫反射檢測、紅外攝像頭掃描等。隨著公安部、網信辦等監管單位近期整治工作的開展，部分人臉識別開發商已經逐步升級活體校驗算法，增加校驗機制，從一定程度上增強了攻防對抗門檻，降低攻擊風險。
　　吳昊也建議，要建立人臉識別安全評估機制，做好加固工作，保証人臉數據存儲以及傳輸的完整性、機密性。
　　“單依靠技術升級，無法完全避免人臉識別安全隱患。”北京市匯京律師事務所律師朱琴認為，優化人臉識別系統可以短暫解決安全問題，但人臉信息屬於生物識別信息，也屬於個人敏感信息，需進一步以立法立規、制定標准等方式，對其應用安全加以引導。
　　針對“人臉”安全痛點，我國在立法層面有了明確規定和高規格的保護。去年8月1日，最高法發布司法解釋，對人臉信息處理予以專門規定，其中包括收集人臉信息需征得單獨同意、禁止物業強制刷臉等。《個人信息保護法》也對“敏感個人信息的處理規則”作出專門規定，明確“隻有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息”“處理敏感個人信息應當取得個人的單獨同意”等。
　　朱琴表示，目前我國《個人信息保護法》中採用的是多部門管理機制，網信部門、市場監管部門等都是個人信息保護監管部門。要進一步明確各部門監管職能定位，加大對涉“臉”違法行為的處罰力度，同時，盡快設置“人臉識別”業務類企業准入門檻，加強對經營和購買“人臉識別”相關業務企業的監管力度。

本報記者劉聰

(責編：candy、李琳)

今日熱點