舉張照片也能成功刷臉？

圖一、二：人臉識別測試中，一位女性以男性照片騙過門禁卡。
■本報記者 武曉莉　　

一位女性手拿一張打印的男性照片擋在自己臉前，對著某品牌人臉識別門禁打卡機打卡，居然成功地被識別為這位男員工——這是中國信息通信研究院云計算與大數(shù)據(jù)研究所（以下簡稱信通院云大所）測試團隊，在真實場景下進行的一項人臉識別測試。
　　很多人都覺得人臉識別非常方便，且潛意識里認為人臉信息是唯一的、不可更改的，因此是最安全的。但在互聯(lián)網(wǎng)安全專家看來，將人臉識別作為唯一且重要的安全密碼，是非常危險的。越是重要的應用，例如銀行卡、家庭門鎖等，用刷臉來做密碼，就越發(fā)不安全。
人臉識別技術良莠不齊　　

拿起手機不到一秒鐘，就自動解鎖；湊近智能門鎖，門就自動開了；使用銀行APP時抬起手機，就能自動登錄……如今，人們已經(jīng)對生活中隨處可見的人臉識別應用習以為常。
　　信通院云大所相關負責人對《中國消費者報》記者說，自2021年6月起，該所啟動了對可信人臉識別評測，上述以男性照片騙過門禁卡的實驗，就是測試項目之一。
　　其實，人們早就對刷臉技術的安全性產生了擔憂。2019年10月，浙江嘉興上外秀洲外國語學校的同學們在一次課外科學實驗中發(fā)現(xiàn)，只要用一張打印照片就能代替真人刷臉，騙過小區(qū)的豐巢智能柜取出快遞件。當時有媒體記者驗證后發(fā)現(xiàn)確實如此。
　　“像支付寶或者銀行的人臉識別系統(tǒng)，應該是屬于技術或安保程度比較高的，但也發(fā)生過問題。曾有被告人用別人的人臉信息，輕易繞過支付寶的人臉認證系統(tǒng)，順利開設了賬戶，而被告人并不是什么高級黑客。”中國人民大學法學院教授、民商事法律科學研究中心執(zhí)行主任石佳友對《中國消費者報》記者說。
　　“說實話，人臉識別并沒有那么準確和安全可靠?！笔延颜f，“從純技術角度看，人臉識別算法的品質本身差異就會非常大；鏡頭所拍攝照片的質量對匹配的精度也有顯著影響。此外，識別度有一個置信度閾值（Confidence thresholds），如果識別度過高，可能會導致更多的漏網(wǎng)，識別度過低，又會誤識別一大片，準確率又太低，這本身就是一個矛盾。”
　　據(jù)信通院云大所相關人士介紹，目前市場上人臉識別系統(tǒng)安全防護能力良莠不齊，一些人臉識別技術或產品存在明顯的安全漏洞，在當前人臉識別技術廣泛應用的背景下，給消費者的人身財產安全帶來了極大的風險。
智能騙臉技術門檻低　　

做過人臉識別錄入的用戶都知道，被采集者需要通過眨眼、轉頭、張嘴等動作來配合采集“活體信息”。
　　“一張照片用那種活化程序，普通人都能夠做到讓照片搖頭、眨眼睛?！鼻迦A大學法學院教授勞東燕對《中國消費者報》記者說，“那種軟件技術層級比較低?！?br style="font-size: 18px; line-height: 1.8;">　　“過去人們常說有圖有真相，但在智能換臉術面前，別說圖了，連視頻都不可信?！逼姘残偶瘓F行業(yè)安全研究中心主任裴智勇博士對《中國消費者報》記者說，通過人工智能技術，可以將一張普通的靜態(tài)照片（正面、側面均可），轉化生成一張表情生動的人臉，甚至可以輕松地貼在另一個人的臉上，隨著另一個人的動作和表情自動變化。
　　裴智勇說，以2017年左右的技術水平，已經(jīng)完全有能力騙過絕大多數(shù)人臉識別系統(tǒng)，不過當時能夠掌握這種技術的主要是人工智能專家。而隨著技術的成熟，各種軟件層出不窮，現(xiàn)如今這種“操作”普通人也能輕易做到。
　　勞東燕認為，雖然所有的個人信息泄露后都有風險，但人臉識別技術有其特殊性。其他的個人信息可能需要結合另外一些個人信息，才能識別到具體的某個人，而人臉本身就具有單一的可識別性，即用人臉信息直接就可以識別到特定的個人，因此風險更大。
　　“智能換臉的技術門檻比絕大多數(shù)人的想象要低得多，”裴智勇說，“我們既然可以通過滿大街的攝像頭輕易捕捉到動態(tài)的人臉，那么用人工智能技術給這張臉換一套皮膚也不是什么難事?！?br style="font-size: 18px; line-height: 1.8;">人臉信息不符合密碼規(guī)則　　

“我個人是非常反對生物特征的人臉識別作為用戶的密碼，去訪問一些重要服務的?！笨拼笥嶏w副總裁、大數(shù)據(jù)研究院院長劉鵬對《中國消費者報》記者說，“人臉作為密碼去訪問服務，除非是非常小額的支付，或者是無關緊要的一些登錄。從人臉識別的生物特征看，它是違反密碼基本原則的。密碼的基本原則之一，就是用戶可以隨時更改，而人臉改不了?！?br style="font-size: 18px; line-height: 1.8;">　　劉鵬認為，除了識別技術本身良莠不齊外，計算機的人臉生成技術如今已經(jīng)相當成熟，因此，人臉信息作為密碼本身就有風險。“目前還沒有一個兜底的方案，來保證它的安全性?！?br style="font-size: 18px; line-height: 1.8;">　　劉鵬明確表示，“我非常支持《個人信息保護法》里把人臉識別這種生物信息，明確界定為用戶敏感信息。”
　　“人臉識別是一種非常方便的驗證方式，隨身攜帶，不易丟失，但從網(wǎng)絡安全角度看，人臉識別不適合單獨使用或作為唯一的安全驗證方式?！迸嶂怯乱渤滞瑯拥挠^點。他認為，人臉信息一旦泄露，無法追回更無法“換臉”，這不僅會讓犯罪分子鉆空子，在各種場合冒用身份，還有可能因此泄露當事人的行為軌跡及更多隱私信息。
　　“人臉信息泄露之后，很難進行有效補救?！眲跂|燕說，“手機信息泄露了，你可以選擇換一個手機號；住址泄露了，你甚至還可能換一個住址。如果你的人臉泄露了，即便犯罪嫌疑人最終被抓到，但泄露了就是泄露了?！?br style="font-size: 18px; line-height: 1.8;">　　“在安全工作者的眼里，人臉、指紋、聲紋、虹膜等生物識別技術所識別的生物特征，都是靜態(tài)的、可復制的信息，本質上和一串復雜的字符口令沒什么區(qū)別，安全性也不會高到哪兒去，只是可以很方便地隨身‘攜帶’而已?！迸嶂怯卤硎?，盡管有些公司聲稱可以識別出真人和照片，那其實也不過是增加了信息復制或模仿的難度而已，并沒有從根本上改變生物特征可以被復制、且很容易被復制的本質。
人臉信息應用要設置前提　　

“在遠程身份認證的場景下，幾乎所有的生物識別技術都不適合單獨使用?！迸嶂怯抡f，“刷臉雖方便，但并不是哪里都可以用。從純粹安全工作的視角來看，人臉信息用作身份認證一定要結合應用場景?！?br style="font-size: 18px; line-height: 1.8;">　　他認為，綁定設備本身既是一種使用場景限定，也是一種輔助驗證方法。在如刷臉支付、手機驗證等遠程驗證場景下，則需要配合手機綁定、短信驗證碼、大數(shù)據(jù)驗證等輔助手段進行組合驗證。如綁定手機支付，用自己的手機刷臉可以，用別人的手機就不行。從使用環(huán)境角度看，最好有人值守，如機場、火車站、小區(qū)、辦公樓等，有保安人工值守或監(jiān)控值守，可以一定程度上防止有人利用照片、假臉或數(shù)字仿真等方法欺騙識別系統(tǒng)。同時，必須要配合必要的網(wǎng)絡安全保障措施，如身份管理、數(shù)據(jù)加密、威脅監(jiān)測、運營監(jiān)控等，以防系統(tǒng)被入侵、篡改和泄露。
　　“配合其他安全措施共同使用，人臉識別完全可能做到既方便又能保障安全?！迸嶂怯陆忉尩?，“比如刷臉支付，如果用戶裝有支付APP的手機原先一直在北京活動，某一天刷臉行為突然發(fā)生在廣西，支付系統(tǒng)就應阻止驗證被通過，這就是大數(shù)據(jù)安全驗證模型保障用戶賬戶安全的例子。支付機構使用的輔助認證技術還有很多，只不過對普通消費者來說是隱形的，不易被感知罷了?！?br style="font-size: 18px; line-height: 1.8;">●相關鏈接
新城億恒售樓處裝“人臉識別”系統(tǒng)被罰　　

電話、家庭住址、人臉信息等個人信息關乎消費者人身及財產安全，但部分不法商家為了謀取不當利益，非法搜集、買賣、使用消費者個人信息，并利用大數(shù)據(jù)“殺熟”，嚴重侵害了消費者的合法權益。近日，天津市市場監(jiān)管局公布一批侵害消費者個人信息的違法案件。其中包括天津新城億恒房地產開發(fā)有限公司侵害消費者個人信息案。
　　2021年7月至8月，當事人在其營業(yè)場所新城泊閱項目售樓處安裝人臉識別攝像系統(tǒng)，其間，當事人未經(jīng)消費者同意共采集消費者人臉信息907條，并對其中的89條人臉信息進行比對使用。該公司收集并使用消費者人臉信息時，未取得消費者同意。
　　當事人的上述行為，違反了《消費者權益保護法》第二十九條第一款規(guī)定，被處以罰款5萬元。（萬曉東）

責編：康玉潔

來源：中國消費者報