声明:本文(wén)来自于微信公众号深燃(ID:shenrancaijing),,授权站長(cháng)之家转载发布。
“不知道到底谁搜集了你的信息,也不知道一般如何保存,更不知道这些信息会被拿(ná)来做什么。”
家住北京通州區(qū)某小(xiǎo)區(qū)的业主张先生,最近突然被小(xiǎo)區(qū)物(wù)业通知“小(xiǎo)區(qū)门禁要改成人脸识别”。在业主们的一片欢呼声中,他(tā)显得有(yǒu)些“异类”,“我比较担忧的是,这些搜集的人脸信息会存储到哪儿?数据会不会被泄露?但小(xiǎo)區(qū)大部分(fēn)人不关心人脸识别的隐患,也觉得自己的脸不值钱。”
而遠(yuǎn)在广东东莞的市民(mín)最近发现,去公共厕所上厕所需要刷脸取厕纸。市民(mín)需要站在机器前的识别區(qū)内,将脸对准机器上人脸识别的显示屏,间隔3秒(miǎo)钟,机器缓缓“吐”出長(cháng)约90厘米的厕纸。
前不久,一段“男子戴头盔看房”的视频在网络上疯传。原来是一些地产售楼部开始使用(yòng)人脸识别技术进行客户比对,以防“飞单”,而头盔男子是為(wèi)了保护自己的脸。
人脸识别几乎充斥了我们的生活,躲都躲不掉。
相对应的,灰产也随之猖獗。深燃发现,在QQ、淘宝、闲鱼、百度贴吧、知乎等平台上,人脸相关信息和“代过人脸识别”的服務(wù)正在被堂而皇之地交易着。
要命的是,“目前对于采集数据的防护,更多(duō)的看厂商(shāng)的自觉”。尽管人脸识别市场巨头扎堆,長(cháng)出了不少独角兽,市场规模即将突破百亿元,但行业目前的状态是缺乏监管规范。
不止一位业内人士指出如果应用(yòng)开发公司和云端公司技术能(néng)力跟不上,或内部人员泄密,很(hěn)有(yǒu)可(kě)能(néng)泄露人脸信息。无论采集、运营、存储哪一环出现了问题,你的脸以及身份证等私人信息很(hěn)容易在大数据时代裸奔。有(yǒu)媒體(tǐ)曾曝出几十万张戴口罩的人脸照片正以2毛钱一张的价格贩卖,这些照片一半是通过网络爬取,一半来自真实世界。
而由于人脸与个人身份信息绑定,一旦丢失人脸信息,个人将面临难以想象的后果。对于人脸识别安全的担忧,一时间让这个日渐普及的新(xīn)技术站上了风口浪尖,究竟谁在拿(ná)我们的脸赚钱?这项技术日趋泛滥,我们究竟该如何保护自己?
泛滥的人脸识别
不知从何时起,我们已经被各式各样的人脸识别包围,尤其疫情之后,无接触的需求更是加速了人脸识别出现在普通人生活中的频率。现在,进入任何一个公共场所之前,请先刷脸。
进入医院,先在门口人脸识别测温;去商(shāng)场逛街(jiē),门口保安拦下你让你刷脸;出入車(chē)站,需要人脸识别认证;很(hěn)多(duō)小(xiǎo)區(qū)物(wù)业以安全的名义,先斩后奏引进人脸识别系统;部分(fēn)演唱会需要人脸识别实名入场,一些人脸识别系统甚至通过摄像头识别出了有(yǒu)案底的在逃人员……
我们每天使用(yòng)的有(yǒu)支付功能(néng)的APP也纷纷上線(xiàn)了活體(tǐ)人脸识别技术,它们都需要实名认证,那都离不开人脸识别。
在这些安防、金融风控领域,人脸识别成了身份认证的强制手段,普通人难以拒绝。
除此之外,不少场景以方便快捷之名也“刷起了脸”。去便利店(diàn)購(gòu)物(wù),可(kě)以选择刷脸支付;去健身房运动可(kě)以选择刷脸出入;刷脸认证已经成為(wèi)手机APP、電(diàn)子产品密码解锁的替代选择。更為(wèi)极端的情况是,据媒體(tǐ)报道,北京某小(xiǎo)區(qū)的垃圾桶都用(yòng)上了人脸识别,垃圾桶盖在识别出居民(mín)身份后才自动打开。
2019年发布的《中國(guó)刷脸支付技术应用(yòng)社会价值专题研究报告》显示,这一年将成為(wèi)中國(guó)刷脸支付的元年,用(yòng)户数将达到1.18亿,2022年國(guó)内刷脸支付的用(yòng)户将超过7.6亿人。
人脸识别技术还进入了部分(fēn)高校和中小(xiǎo)學(xué)校。有(yǒu)學(xué)校开始用(yòng)人脸识别记录分(fēn)析學(xué)生在课堂上的表情,目的是為(wèi)了“方便”老师教學(xué)。
更可(kě)怕的是,越来越多(duō)的场景在当事人没有(yǒu)感知的情况下,悄无声息获取人脸信息,成了商(shāng)家“熟客识别”、营销定位的数据来源。比如為(wèi)了精准营销,不少地區(qū)上線(xiàn)了人脸识别广告屏,这些广告屏通常设置在電(diàn)梯间旁,路过電(diàn)梯间的人们会被摄像头捕捉人脸信息。比如,“看房戴头盔”事件背后是几乎所有(yǒu)的房地产售楼部都安装了人脸识别系统,通过对客户进行人脸比对,防止“飞单”。
总的来说,“安防是人脸识别落地最早和最广的应用(yòng)场景,其次是金融行业的风控、营销等。”爱分(fēn)析分(fēn)析师黄勇总结道。
但细思极恐的是,大部分(fēn)人脸信息的收集未经当事人同意,没人知道自己的人脸信息存储在何处,更不知道自己的“脸”是否会被私下贩卖、交易甚至用(yòng)于违法勾当。
因為(wèi)人脸信息涉及到身份ID认证,一张脸对应一个身份信息,如果一个人的人脸信息、身份证信息同时被不法分(fēn)子获取,相当于实现了个人信息匹配,就有(yǒu)极大的可(kě)能(néng)性被冒用(yòng)身份办理(lǐ)网贷、注册软件或网站、甚至解锁支付软件、精准诈骗等等。
“不同于一般的账号、手机号,人就一张脸,人脸信息被盗取只能(néng)去整容换脸了,否则被盗取了经匹配的人脸信息后,你每天出门就相当于脑门上顶着信用(yòng)卡在走路,是很(hěn)危险的。”日本二维码聚合支付平台NETSTARS CTO陈斌曾对深燃指出。
猖獗的灰黑产
泛滥的人脸识别背后,则是规模庞大、乱象丛生的人脸识别市场,有(yǒu)水面之上光鲜的一面,就有(yǒu)隐藏在水面之下的灰黑产业链。
深燃观察发现,因為(wèi)需求旺盛,靠人脸信息赚钱的灰产遍布百度贴吧、淘宝、知乎、QQ等我们常用(yòng)的社交平台。
深燃在QQ上搜索“人脸识别”相关关键词,就跳出了数个QQ群,进群后发现,不断有(yǒu)买方卖方发布需求和可(kě)承接的业務(wù),一分(fēn)钟就有(yǒu)十几条消息滚动,不难看出生意热火朝天。
“微信支付限制谁可(kě)以解”、“登录闲鱼人脸有(yǒu)没有(yǒu)人能(néng)做”、“拼多(duō)多(duō)人脸能(néng)搞来,第一次合作先搞后费,后期大量单”,底下立马有(yǒu)人回应:“我加你”。
群里还有(yǒu)人是“收料的”(也就是購(gòu)买身份证信息、人脸信息),“真人现拍也行,价格到位。”一位群友在群里说道。
据深燃观察,群里最多(duō)的业務(wù)当属针对微信和支付宝等支付类产品的人脸识别破解技术。有(yǒu)人不停地吆喝(hē)售卖,“接微信人脸解封,本人冻结、收款限制,接别人过不去的采集,成功率99%”。
其次是互联网产品的代过人脸识别的需求,社交类平台如陌陌、探探,電(diàn)商(shāng)类如拼多(duō)多(duō),以及爱迎彼、58同城的公司注册。
应灰黑产的需求,滋生出了诸多(duō)提供身份证、人脸信息以及“代过人脸识别”技术的中间商(shāng)。
提供“代过人脸识别”服務(wù)的商(shāng)家能(néng)将照片“活化”,生成动态视频,从而骗过人脸核验机制。
有(yǒu)些黑产买家非法获取支付宝账号的相关信息后,如登陆邮箱账号、登陆密码、支付密码、注册人姓名、身份证号码等,还需要借助“代过人脸识别”技术将倒卖来的账号实名认证,再将账号卖出。
还有(yǒu)些活跃在社交、電(diàn)商(shāng)APP上的黑产从业者,也是借助人脸信息以及代过技术绕过平台上的人脸识别认证,实施精准诈骗。据媒體(tǐ)报道,绕过58同城人脸识别的骗子就能(néng)发布招聘信息实施诈骗,在陌陌等社交平台有(yǒu)骗子借助“代过人脸识别技术”绕过实名认证,进行情感诈骗等勾当。
深燃与人脸技术提供方的QQ对话
深燃以手中掌握大量支付宝账号的买家身份,加了一位可(kě)以“代过人脸识别”的商(shāng)家,对方表示提供支付宝账号就可(kě)以帮忙搞定动态人脸识别认证,一张脸25元,另外,还可(kě)针对社交平台上的活體(tǐ)动态人脸识别认证提供“代过服務(wù)”。
深燃与代过人脸技术提供方的QQ对话
群内另一位售卖人脸信息的卖家对深燃介绍,一张大头照是25元,一张身份证信息是30元。并且随手发来了两张清晰的大头照和身份证照片,但又(yòu)迅速撤回。
对于这个定价,对方解释道,以前那些便宜的5毛钱一张的,都被人脸识别过多(duō)次了,根本过不了,而他(tā)提供的是“最新(xīn)的”,价格贵一些。
曾有(yǒu)媒體(tǐ)曝光,有(yǒu)黑产从业者在淘宝、闲鱼上以人脸数据0.5元一份、“照片活化”网络工具及教程35元一套在售卖。
北京青年报也曾报道,有(yǒu)商(shāng)家在网络商(shāng)城兜售“人脸数据”,涵盖2000人的肖像,共计17万条,照片的主人公不仅有(yǒu)明星,还有(yǒu)不同职业、不同年龄的普通人。此外,每张照片搭配一份数据文(wén)件。
尽管近来人脸识别灰产被频繁关注,但并不妨碍从业者们赚钱。深燃在淘宝、闲鱼、百度贴吧、知乎上也发现了“代过人脸识别”交易,据了解,提供的服務(wù)和前文(wén)所述大同小(xiǎo)异。
淘宝、闲鱼、知乎、百度贴吧上的“代过人脸识别”交易
靠“脸”吃饭的企业们
灰黑产丛生,但必须要承认,人脸识别本是一门正当的好生意。
首先,技术本身是相对成熟的。“相比體(tǐ)态识别、行為(wèi)轨迹识别等更為(wèi)复杂场景的识别技术来说,人脸识别相对比较简单,主要是静态场景,而且数据也比较丰富。”黄勇指出。
技术门槛没那么高,就意味着好进入。而作為(wèi)个人生物(wù)特征的人脸,实际上已经成為(wèi)对一个人进行身份认证的重要手段,一张脸只对应一个人,这种唯一性,满足了大量需要身份认证的场景的需求,也使得人脸识别的应用(yòng)场景非常广泛,落地场景、商(shāng)用(yòng)变现都变得容易。比如人称”AI四小(xiǎo)龙”的商(shāng)汤科(kē)技、旷视科(kē)技、云从科(kē)技、依图科(kē)技都是从人脸识别起家。
技术成熟,还能(néng)立马落地商(shāng)用(yòng),没有(yǒu)哪家公司愿意放弃这块蛋糕。事实上,“无论是传统厂商(shāng)、互联网巨头,还是中小(xiǎo)创新(xīn)型厂商(shāng),只要是场景解决方案里需要用(yòng)到人脸识别,其业務(wù)或多(duō)或少都会涉及到这一技术”黄勇指出。
闻到钱的味道,上游的人工智能(néng)芯片、算法技术和数据集公司,中游提供解决方案的技术公司,以及下游人脸识别相关具體(tǐ)场景的应用(yòng)公司,各种看似与人脸识别八竿子打不着的机构纷纷跑步入场,推动着整个赛道驶入快車(chē)線(xiàn)。
就目前来看,如今的赛道已经被这几类玩家瓜分(fēn)。
最令人瞩目的当属“AI四小(xiǎo)龙”在内的AI初创企业,它们以核心识别算法為(wèi)主打优势,最早将目光瞄准了人脸识别技术,且商(shāng)业模式以2B、2G為(wèi)主。比如旷视科(kē)技在2014年选择与支付宝合作,找到了第一个商(shāng)业化落地场景;云从科(kē)技最早布局的是金融、安防领域,先后拿(ná)下了公安部、四大银行等标杆单位,最近还成為(wèi)了“海关总署2020年动态人脸识别综合应用(yòng)系统”的解决方案提供商(shāng)。
老牌的安防企业如海康威视、大华股份、川大智胜、欧比特等也在虎视眈眈。掌握用(yòng)户数据的运营商(shāng)如移动、联通等,以及集成商(shāng)(如中移建设、东华软件)、各省广電(diàn)公司等都试图分(fēn)食蛋糕。
值得注意的是,互联网巨头们已经成為(wèi)一股不可(kě)小(xiǎo)觑的势力,早已开始投资或自研相关的人脸识别技术。比如,蚂蚁金服开始独立研发人脸识别技术;百度最近发布了四款度目硬件:人脸应用(yòng)套件H1、AI镜头模组C1、视频分(fēn)析盒子B1、人脸抓拍机VH-01;腾讯推出腾讯优图,积累研发有(yǒu)关人脸识别的技术与应用(yòng),于今年年初研发出了口罩佩戴识别专用(yòng)AI,戴着口罩也能(néng)人脸识别。
“人脸识别相当于人工智能(néng)时代的一个基础技术能(néng)力,而巨头本身就有(yǒu)大量的可(kě)应用(yòng)场景,同时,这些巨头不缺资金和技术,目前也在对外输出,转而做to B业務(wù)。”黄勇称。
谁在泄露你的脸
2019年,一位杭州大學(xué)教授将杭州野生动物(wù)园告上了法庭,引发了全國(guó)关于人脸识别技术安全隐患的讨论。人们这才发现,便捷、无处不在的人脸识别背后,实际上存在着想象不到的安全隐患。
水面之上,人脸识别市场巨头丛生、前景广阔,便捷了生产和生活,但水面之下,大量泄露的人脸信息被贩卖交易,作价只有(yǒu)几毛钱。人们刷一下脸,个人信息就有(yǒu)可(kě)能(néng)裸奔在互联网上。
问题和漏洞究竟出在哪?
多(duō)位业内人士表示,如今的人脸识别技术应用(yòng)广泛,这些收集上来的人脸信息,依据部署方式不同、数据存储的地方也不尽相同,有(yǒu)些是上传到云端,有(yǒu)些则是上传到本地化的后端服務(wù)器上。
“而数据的泄露大概率出现在两个环节,应用(yòng)开发公司和云服務(wù)厂商(shāng)。”一位业内人士向深燃表示,这两个环节可(kě)能(néng)由于技术能(néng)力不足而遭黑客攻击、或因对内部员工的权限管理(lǐ)不严,而数据外泄,成了灰黑产的盘中餐,不过大公司在安全防护上相对好一些。
360城市智能(néng)集团执行总裁、360视觉总经理(lǐ)邱召强曾对媒體(tǐ)证实,“360视觉曾对市面上的人脸识别设备测试,发现70-80%没有(yǒu)任何安全防护,基本处于裸奔状态。攻击它们甚至不需要黑客,一个网络工程师就能(néng)通过wifi、蓝牙或者网線(xiàn)等方式遠(yuǎn)程接入端口,除了‘窃取’数据,还能(néng)植入定向传输的木(mù)马程序,让设备自动传输数据到指定IP。”
但这不单是技术的问题,一位長(cháng)期关注AI行业的投资人表示,“针对数据泄露,最有(yǒu)可(kě)能(néng)解决的是區(qū)块链技术,但实际上在现有(yǒu)的框架下,数据很(hěn)难做到100%安全。所以只能(néng)通过法律法规强制性规定的方式。技术永遠(yuǎn)是道高一尺魔高一丈,只要有(yǒu)技术存在,就一定有(yǒu)漏洞。”
一位分(fēn)析师也告诉深燃,“因為(wèi)缺乏具體(tǐ)的法律法规,目前对于采集数据的防护,更多(duō)的看厂商(shāng)的自觉。”
商(shāng)汤科(kē)技CEO徐立也曾对媒體(tǐ)表达过相应的观点,他(tā)认為(wèi)应对方法不是限制人脸识别的使用(yòng),而是在技术发展早期或者到一定阶段时,制定相应标准规定在什么情况下可(kě)以使用(yòng)这些数据,什么情况下不能(néng)使用(yòng)。
不过好在,已经有(yǒu)部分(fēn)地區(qū)行动了起来。
天津在12月1日通过《天津市社会信用(yòng)条例》,突出了对信用(yòng)主體(tǐ)的权益保护,规定任何组织和个人不得非法采集、归集、使用(yòng)、加工、传输社会信用(yòng)信息,不得非法买卖、提供或者公开社会信用(yòng)信息。
即将于明年1月1日起施行的《民(mín)法典》在“人格权编”中提出,处理(lǐ)人脸在内的个人信息,应当遵循合法、正当、必要原则。
至于人脸所有(yǒu)者,我们每一个个體(tǐ)如何保护自己的脸,不少专家指出,大众应该在面对需要人脸识别的场景时提高自我防范意识,认真阅读隐私政策;尤其要警惕举着身份证拍照的需求,因為(wèi)既有(yǒu)身份证又(yòu)有(yǒu)人脸信息;在个人信息侵权事件发生后,应当及时向法院起诉、向政府有(yǒu)关部门举报。
在線(xiàn)客服
