中国消费者报 |举张照片也能成功刷脸?人脸不应作为重要场景的唯一密码( 二 )


刘鹏认为 , 除了识别技术本身良莠不齐外 , 计算机的人脸生成技术如今已经相当成熟 , 因此 , 人脸信息作为密码本身就有风险 。 目前还没有一个兜底的方案 , 来保证它的安全性 。
刘鹏明确表示 , 我非常支持《个人信息保护法》里把人脸识别这种生物信息 , 明确界定为用户敏感信息 。
人脸识别是一种非常方便的验证方式 , 随身携带 , 不易丢失 , 但从网络安全角度看 , 人脸识别不适合单独使用或作为唯一的安全验证方式 。 裴智勇也持同样的观点 。 他认为 , 人脸信息一旦泄露 , 无法追回更无法换脸 , 这不仅会让犯罪分子钻空子 , 在各种场合冒用身份 , 还有可能因此泄露当事人的行为轨迹及更多隐私信息 。
人脸信息泄露之后 , 很难进行有效补救 。 劳东燕说 , 手机信息泄露了 , 你可以选择换一个手机号;住址泄露了 , 你甚至还可能换一个住址 。 如果你的人脸泄露了 , 即便犯罪嫌疑人最终被抓到 , 但泄露了就是泄露了 。
在安全工作者的眼里 , 人脸、指纹、声纹、虹膜等生物识别技术所识别的生物特征 , 都是静态的、可复制的信息 , 本质上和一串复杂的字符口令没什么区别 , 安全性也不会高到哪儿去 , 只是可以很方便地随身‘携带’而已 。 裴智勇表示 , 尽管有些公司声称可以识别出真人和照片 , 那其实也不过是增加了信息复制或模仿的难度而已 , 并没有从根本上改变生物特征可以被复制、且很容易被复制的本质 。
人脸信息应用要设置前提
在远程身份认证的场景下 , 几乎所有的生物识别技术都不适合单独使用 。 裴智勇说 , 刷脸虽方便 , 但并不是哪里都可以用 。 从纯粹安全工作的视角来看 , 人脸信息用作身份认证一定要结合应用场景 。
他认为 , 绑定设备本身既是一种使用场景限定 , 也是一种辅助验证方法 。 在如刷脸支付、手机验证等远程验证场景下 , 则需要配合手机绑定、短信验证码、大数据验证等辅助手段进行组合验证 。 如绑定手机支付 , 用自己的手机刷脸可以 , 用别人的手机就不行 。 从使用环境角度看 , 最好有人值守 , 如机场、火车站、小区、办公楼等 , 有保安人工值守或监控值守 , 可以一定程度上防止有人利用照片、假脸或数字仿真等方法欺骗识别系统 。 同时 , 必须要配合必要的网络安全保障措施 , 如身份管理、数据加密、威胁监测、运营监控等 , 以防系统被入侵、篡改和泄露 。
配合其他安全措施共同使用 , 人脸识别完全可能做到既方便又能保障安全 。 裴智勇解释道 , 比如刷脸支付 , 如果用户装有支付APP的手机原先一直在北京活动 , 某一天刷脸行为突然发生在广西 , 支付系统就应阻止验证被通过 , 这就是大数据安全验证模型保障用户账户安全的例子 。 支付机构使用的辅助认证技术还有很多 , 只不过对普通消费者来说是隐形的 , 不易被感知罢了 。
相关链接
新城亿恒售楼处装人脸识别系统被罚
电话、家庭住址、人脸信息等个人信息关乎消费者人身及财产安全 , 但部分不法商家为了谋取不当利益 , 非法搜集、买卖、使用消费者个人信息 , 并利用大数据杀熟 , 严重侵害了消费者的合法权益 。 近日 , 天津市市场监管局公布一批侵害消费者个人信息的违法案件 。 其中包括天津新城亿恒房地产开发有限公司侵害消费者个人信息案 。
2021年7月至8月 , 当事人在其营业场所新城泊阅项目售楼处安装人脸识别摄像系统 , 其间 , 当事人未经消费者同意共采集消费者人脸信息907条 , 并对其中的89条人脸信息进行比对使用 。 该公司收集并使用消费者人脸信息时 , 未取得消费者同意 。
当事人的上述行为 , 违反了《消费者权益保护法》第二十九条第一款规定 , 被处以罚款5万元 。 (万晓东)