红星新闻|“裸奔”的脸：起底刷脸违法利益链条

_本文原题：“裸奔”的脸：起底刷脸违法利益链条
“2元能买上千张人脸照”、“一套照片活化软件加教程35元”……红星新闻采访人员梳理近几年法院公布的大量判决案例和以往媒体报道后发现，人脸信息泄露背后存在一条分工明确的非法产业链。

本文插图
有些不法分子利用非法获取的公民个人信息，将相关公民头像照片制作成公民的3D头像，再通过人脸识别验证，从事各项非法活动，甚至有人并不知情就欠下巨额债务。那么，在使用APP或进入一些场所时，个人信息如何远离“裸奔”风险？为此，红星新闻采访人员通过大量案例、相关法律法规等，向大众深度揭露“刷脸”违法背后的利益链。
【被盗走的“人脸”】
“虽然从技术层面上来讲，可以保证人脸识别技术的安全性，但也不能排除一些别有用心的机构，出于一些目的，私自保存人脸的原始照片。 ”河北工业大学电子信息系主任、教授邱波曾这样表示。
人脸信息是如何被泄露的？红星新闻采访人员通过梳理中国裁判文书网和大量媒体报道的有关人脸识别案件时发现，人脸数据流出的途径有很多，一种是黑客通过技术手段入侵人脸数据库，拷贝、泄露数据信息；也有一些拥有人脸信息的第三方单位，其内部工作人员将数据拿出倒卖；还有人利用技术到各类网站上，将网友自己传到网上的相关照片抓取并保存下来；还一些不法分子利用手机APP欺骗用户，非法收集用户个人信息等。

本文插图
2019年2月，深圳一家专注人工智能领域的企业被曝光发生大规模数据泄露事件，其中包括身份证信息、人脸识别图像以及捕捉地点等超过250万人的数据、680万条记录均可被他人获取。据发现漏洞的人员表示，该企业人脸识别数据库没有密码保护，在线可供任何人查找，并允许完全访问，这意味着超过250万用户的信息在“裸奔” 。
另一起案件中，吴某利用担任广东省湛江市霞山区公安局东新派出所联防队员的工作便利，利用派出所民警插在电脑上的数字证书，进入公安内网系统内查询并下载公民身份证头像，以每张公民身份证头像4元的价格出售。在2017年10月至12月的两个多月内，吴某赚取94176元，贩卖了2.3万余条公民身份信息，因此获刑。
据江苏南通一法院公布的一份判决显示， 2015年10月份左右，一名男子通过网络搜索的方式获取大量公民个人身份信息，将相关的公民个人身份信息保存到云服务器中，并利用该软件在网上将上述公民个人信息出售。据悉，警方在该男子的云服务器账号里提取到了逾1874万条的公民信息。
【红星新闻|“裸奔”的脸：起底刷脸违法利益链条】此外，有不法者利用APP吸引用户注册，以此收集公民个人信息。浙江一法院公布的一个案件材料显示， 2016年3月至2018年2月，阮某、薛某等人出资建立一科技公司，在未依法取得网络现金贷资质，亦不实际从事借贷业务的情况下，先后上线运营“借来花”、“掌上花”APP ，对外以提供网络借贷为名，并付费通过第三方进行网络推广，吸引具有借贷需求的被害人在APP上注册并提交个人信息数据或授权查询、获取个人信息数据。随后，阮某等人将收集的个人信息保存到网络服务器售卖。案发后，阮某等人均被判刑。

本文插图
▲图据网络
与此同时，还有不少人被“商家活动”吸引，提供身份证信息等，被骗取个人信息。分页标题
红星新闻采访人员梳理的一起案件资料显示，在2016年1月至8月间，韩某等四人先后在多个县市的超市内，以顾客购物满一定金额可获赠礼品为名，要求顾客在领取礼品时提供姓名、身份证号码，并采集顾客的肖像信息，在顾客不知情的情况下，将非法获取的公民个人信息注册成为某公司开发运营的借贷宝APP用户，共计注册成功1万2千多个账户，每注册成功一个借贷宝APP用户，就能获取20元至40元不等的报酬。
此外广东一法院的一则判决书则显示， 2016年12月，梁某玩游戏时被人拉入一个微信群，群内发布“注册淘宝店铺获得提成”的广告，梁某就进入链接按步骤使用个人信息注册完善了一个淘宝店铺，因此获取了180元。据悉，注册淘宝店铺需要梁某的身份证正反面照片、本人持居民身份证的半身照、银行卡账号、手机号码等资料。不止梁某，还有多人和他一样落入了这个“赚提成”的圈套，让犯罪团伙收集了6千余份个人信息用以转卖牟利。
【售卖利益链】
由全国信息安全标准化技术委员会等机构成立的App专项治理工作组，最近发布了一份《人脸识别应用公众调研报告（2020）》，显示有九成以上的受访者使用过人脸识别。天眼查显示，目前我国与人脸识别相关企业超过1万多家。
人们采用“刷脸”的方式，进入各种手机App或者某个场地已经融入人们的现实生活，信息“裸奔”时代，你的“脸”可能在不知不觉中就被公开售卖。
红星新闻采访人员在梳理中国裁判文书网和媒体报道多起关于人脸识别的案件时发现，尽管相关部门重拳打击，仍有不法分子盗取、出售人脸信息，这些照片落入不法分子手中后，通过技术将非法获取的公民照片进行一定预处理，制作成3D头像或通过“照片活化”软件生成动态视频，成功骗过人脸核验机制，从而实施犯罪获取利益，从而形成了一道人脸信息售卖“利益链” 。
据****近日报道，在网络交易平台上，只要花2元就能买到上千张照片人脸信息， 5000张人脸照片还不到10元。另据报道， “新华视点”采访人员在淘宝、闲鱼等网络交易平台上，不少卖家公开兜售人脸数据， “5毛钱一份就能打包带走2万份人脸信息” ，一些“胆大”的闲鱼卖家还出售“照片活化”工具， “一套照片活化软件加教程35元” ，利用这种工具，可将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。

本文插图
北京青年报曾报道，该报采访人员在一网络商城发现有商家公开兜售“人脸数据” ，数量约17万条。这些“人脸数据”涵盖2000人的肖像，每个人约有50到100张照片。此外，每张照片搭配有一份数据文件，除了人脸位置的信息外，还有人脸的106处关键点，如眼睛、耳朵、鼻子、嘴、眉毛等的轮廓信息等。数据中还能提供人物性别、表情情绪、颜值、是否戴眼镜等信息。一些照片属于知名演艺界人士，也有一部分照片来自医生、教师等市民群体，还有部分照片为未成年人。
有人为了学习破解人脸识别的技术交学费学习并以此牟利。一法院公布的一则案例显示， 2018年8月，唐某通过他人介绍先后两次前往山东，在李某处学习破解支付宝人脸识别认证系统的3D人脸动态图，购买了相关设备，支付李某2.3万元。唐某在网络上发布信息，称能够提供破解支付宝人脸识别认证的服务，并非法获取利益，因非法获取计算机信息系统数据罪被判刑1年10个月。
不法分子利用已非法获取的公民个人信息，将相关公民头像照片制作成公民3D头像，通过人脸识别验证，从事各项非法活动，有的人甚至在不知不觉中欠下债务。
据媒体报道， 2019年深圳龙岗警方发现有辖区居民的身份信息被人冒用，驾驶证被不法分子通过网络服务平台冒用扣分。另外，龙岗警方还侦查发现，有不法分子使用AI换脸技术，绕开多个社交服务平台或系统的人脸认证机制，为违法犯罪团伙提供虚假注册、刷脸支付等黑产服务。分页标题

本文插图
浙江一法院公布的另一则判决书显示， 2018年7月份开始，一犯罪团伙使用其购买的公民个人身份信息注册支付宝账号，通过使用软件将相关公民头像照片制作成公民3D头像，从而通过支付宝人脸识别认证，并使用上述公民个人信息注册支付宝账户，通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励，均被法院判刑。

本文插图
红星新闻新闻采访人员梳理时发现，不法分子获取他人个人信息后，有的再提价转卖给技术人员用于做人脸识别认证样本，从而通过工商、税务实名认证，有的开放端口有偿提供给实施网络套路贷业务的恶势力犯罪集团使用，据此获利，而那些人脸信息“裸奔”者，可能在毫不知情下就被人利用其身份借下巨款。
黑龙江一法院此前公布的一起案件的判决书就显示，多人发现在自己未操作的情况下，突然发现自己在一些贷款平台上借款上万元，报案后经公安、法院调查发现，是一个犯罪团伙共同预谋非法获取公民个人信息盗刷他人银行卡资金。
【无法自己做主的“脸”】
“如果单从技术角度看，这种私密性争议毫无意义，因为我们正常情况下日常都会露脸，那就有人脸随时被‘抓取’到的可能性，人脸本身没有秘密可言。 ”河北工业大学电子信息系主任、教授邱波在接受媒体采访时曾表示，相对于指纹，人脸是外露的，并不需要如指纹识别的按压等操作，人脸数据即可被监测系统采集，类似的生物特征识别还有虹膜识别、步态识别等。所以，从技术角度上看，指纹识别技术的阻力应该更大一些，而人脸识别相对来说是比较“温柔”的一种方式了。
红星新闻采访人员在梳理案件时还发现，由于人的脸是“外露”的，倘若一个人受到他人控制或者意识不清时，他的“脸”可能不由他的意志来管控，反而被其他人掌控，从而遭遇财产等方面的损失。
据贵州一法院公布的判决书显示， 2019年10月，男子罗某将张某带至凯里市一出租屋内向其索要支付宝密码，被拒绝后，罗某殴打并强迫张某刷脸解锁。随后，罗某成功登陆张某的支付宝账号修改密码，并将其账号内的一万多元转至自己的支付宝内。案发后，罗某被抓，因抢劫罪获刑3年。

本文插图
图据***
无独有偶，湖北省随州市的一则案例显示， 2018年8月中旬左右，几名男子携带透明胶带、蒙面面罩、电警棍等作案工具，驾驶一辆白色长城小轿车，在没有安装监控设备的马路上，将下班回家、独自行走的一名女子王某强行劫持到小轿车上，并用事先准备好的透明胶带将其捆绑。上述几名男子通过王某手机下载网贷APP ，并迫使她进行面部识别，办理网络贷款，还将其强奸。
多起案件资料显示，有的人被传销组织控制后，传销组织成员直接实施暴力、胁迫行为，强迫被害人进行了人脸识别，转走其大量钱财。
不过，不少人在生活中很注重保护自身权益。据媒体报道，今年3月，清华大学法学教授劳东燕所居住的小区要求业主录入人脸信息用于门禁系统升级。在劳东燕看来，一些推动人脸识别的落地机构，或许未意识到随之而来的风险。劳东燕指出，人脸识别技术给社会带来的巨大风险，远远大于它带来的各种便利，且根据《信息安全技术个人信息安全规范》规定，收集人脸信息需要单独告知并获得个人信息主体的授权同意。因此，劳东燕向物业公司和居委会寄送了法律函。最终当地街道办表示，不愿录入人脸的居民可以靠门禁卡、身份证登记等方式回家。分页标题
值得一体的是，在一年多前（2019年10月），浙江理工大学特聘副教授郭兵提起了我国关于人脸识别的第一次诉讼。郭兵告诉红星新闻采访人员，其在杭州野生动物世界办了不限次数的年卡，但却收到野生动物世界的通知，年卡用户只能人脸识别入院。协商无果后，郭兵以违背《消费者权益保护法》为由，将杭州野生动物世界告上了法庭，不过截至目前此案尚未宣判。
【正在规范的个人信息收集】
在人脸信息被暴露的同时，我国关于人脸识别行业监管也在逐渐完善。
根据南方都市报人工智能伦理课题组和App专项治理工作组发布的《人脸识别应用公众调研报告（2020）》显示， 6成受访者认为人脸识别技术有滥用趋势， 3成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。相对而言，受访者更能接受基于安防场景的人脸识别应用，比如公共安全摄像头、闯红灯记录系统，而对于“部分商城会运用人脸识别技术”、“些高校运用人脸识别技术收集学生的抬头率、微表情、上课的姿态”让很多人无法接受。
继2017年12月《信息安全技术个人信息安全规范》发布之后，今年10月1日起实施的新版《信息安全技术个人信息安全规范》，对于个人信息保护的热点问题，例如人脸识别信息的收集处理等，进行了回应。要求在收集个人生物识别信息前，需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则，并征得用户的明示同意；其次，个人生物识别信息要与个人身份信息分开存储，原则上不应存储原始个人生物识别信息。

本文插图
机场安检通道启用人脸识别，实现便捷高效通行图据IC Photo
10月26日，《杭州市物业管理条例（修订草案）》被提请至杭州市第十三届人大常委会审议。草案拟规定，物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。若修订草案通过，将成为国内首部对小区人脸识别作出规范的正式立法。
人脸识别等公民生物识别信息，将于2021年1月1日起施行的《民法典》第1034条中明确被定义为自然人的个人信息，受法律保护。该条指出，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。
红星新闻采访人员陈卿媛
编辑郭宇
（下载红星新闻，报料有奖！）