30秒(miǎo)快读:
1. 东莞一公厕的识别厕纸机备受质疑,為(wèi)了60公分(fēn)的厕纸出卖自己的脸,而同一家生产的设备早已进驻上海,销售人员还宣称,上海已经安装上万部。
2. 商(shāng)家不罢手,难道以后只能(néng)戴头盔出行吗?多(duō)地开始禁用(yòng)人脸,政协委员多(duō)年提案,拒用(yòng)人脸识别等唯一的生物(wù)特征信息作身份认证。
不戴头盔看房我可(kě)能(néng)损失30万,為(wèi)了60公分(fēn)的厕纸我出卖了自己的脸……是的,我知道我的脸正在被滥用(yòng),但是我有(yǒu)什么办法?
很(hěn)多(duō)人脸识别是强制使用(yòng)的,如果拒绝刷脸,我可(kě)能(néng)上不了班、回不了家,因為(wèi)门禁系统都升级為(wèi)人脸识别,且没有(yǒu)门禁卡等替代方案。一旦我坐(zuò)在教室里上课,举了多(duō)少次手、趴了多(duō)少次桌子、打了多(duō)少次瞌睡都会被记录。
有(yǒu)网友调侃说,“我这张老脸使用(yòng)从未如此频繁”。如果没有(yǒu)这张脸,寸步难行。
很(hěn)多(duō)人脸识别是无感的,我看了一眼電(diàn)子广告屏,脸就被保存了。逛了一次商(shāng)场,我就会被精准推荐广告。
那么,如果我的脸“丢”了,被“偷”了,最坏的后果是什么?
一
上万台人脸识别厕纸机进驻上海,為(wèi)了60公分(fēn)的纸出卖我的脸。
去年12月底,在上海世博公园2号口的公厕里,记者偶遇了一部人脸识别厕纸机,将自己的脸靠近摄像头,机器立马吐出约60公分(fēn)的厕纸。再次刷脸时,设备语音告知,需要再过9分(fēn)钟才能(néng)取。
设备屏幕显示,这台厕纸机已吐纸12295次。
图源/IT时报
而这个机器的设备商(shāng)生产商(shāng),跟近日上热搜的东莞公厕人脸识别厕纸机是同一家——天津首联科(kē)技有(yǒu)限公司。
“上海已经安装了上万台人脸识别厕纸机。”天津首联科(kē)技上海分(fēn)公司一位销售人员向《IT时报》记者透露。这些人脸识别厕纸机售价9500元/部,10台以上采購(gòu)单价為(wèi)7000元/部,后续每年运维费用(yòng)899元/年。
根据其首联智能(néng)小(xiǎo)程序的搜索结果,在上海,这种人脸识别厕纸机已经遍布世博公园2号口、威海路陕西北路路口、延安中路、大融城等十几处的公厕。
一份天津首联销售人员发来的产品介绍上,天坛公园卫生间减少用(yòng)纸高达85%,哈尔滨高铁减少用(yòng)纸75%,上海延安中路公厕减少用(yòng)纸80%等成為(wèi)其节约用(yòng)纸的成功案例。这些只是他(tā)们在全國(guó)1000多(duō)家渠道中的一部分(fēn)。
图源/首联智能(néng)
12月9日,天津首联发布声明称,首联智能(néng)人脸识别供纸机不存储、泄露人脸信息,设备的工作原理(lǐ)是通过离線(xiàn)的人脸识别模块进行识别,公众可(kě)在无联网状态下使用(yòng),并且在设定时间内在本机内自动消除。同时,首联智能(néng)人脸识别供纸机已经通过公安部安全与警用(yòng)電(diàn)子产品质量检测中心的检测,人脸识别信息自动删除功能(néng)检验结果是“符合要求”,判定的级别“p”。
图源/首联智能(néng)
但在其产品介绍上,产品规格参数内显示“联网:4G”,该公司客服人员也曾向《IT时报》记者表示,设备里存有(yǒu)4G流量卡,能(néng)把采集到的人脸信息等数据传输到云服務(wù)器上,但云服務(wù)器每隔9分(fēn)钟就会自动覆盖数据。
图源/首联智能(néng)
质疑:人脸识别的应用(yòng)边界在哪里?
网友质疑,為(wèi)了取60公分(fēn)的厕纸,丢了自己的脸,简直就是捡了芝麻,丢了西瓜。人脸识别的过度使用(yòng)已经成為(wèi)普遍现象,人脸识别厕纸机尚没有(yǒu)将人脸与姓名、電(diàn)话、住址等信息挂钩。
而在上海宝山(shān)區(qū)某一所高校的快递代收点,来取快递的學(xué)生、老师们被强制要求刷脸取快递,為(wèi)的是防止偷窃和误拿(ná)。
在这一拍照设备的功能(néng)介绍中写明“底单照片和人脸照片合二為(wèi)一,自动上传快递超市云端并存储”,这意味着人脸和姓名、電(diàn)话、住址等敏感信息绑定后被留档。
联系起最近圆通快递“内鬼”泄露40万条用(yòng)户信息,以及此前小(xiǎo)學(xué)生用(yòng)照片就打开丰巢快递柜的消息,网友们议论纷纷,原来我手撕快递单成了徒劳。
二
无感抓拍:商(shāng)场、售楼处、電(diàn)梯“偷偷”拍你。
戴着头盔去看房為(wèi)何能(néng)在全國(guó)掀起人脸识别的大讨论?因為(wèi)此前國(guó)内较少发生人脸信息大规模泄露的案件,售楼处也是首例人脸识别牵扯到用(yòng)户端经济利益的场景,被人脸识别抓到是自然到访客户,客户就无法享受中介带看的返佣,可(kě)能(néng)相差几十万元。
图源/网络
那么,售楼处為(wèi)什么要装人脸识别?如果中介在门口截胡自然到访客户,成交后也可(kě)以向开发商(shāng)收取一筆(bǐ)佣金,装人脸识别主要是為(wèi)了防止中介“飞单”。有(yǒu)房产中介表示,80%的售楼处都装了人脸识别系统。
《IT时报》记者在走访售楼处时了解到,人脸识别应用(yòng)在楼盘销售已有(yǒu)2年光景,许多(duō)大型开发商(shāng)都深谙此道。至于是否告知客户有(yǒu)人脸识别摄像头,每个售楼处都有(yǒu)各自的做法。
在万科(kē)上海某售楼处,20多(duō)平方米的售楼处内,安装了10多(duō)个大大小(xiǎo)小(xiǎo)的摄像头。万科(kē)方面也向记者证实,万科(kē)许多(duō)项目安装了人脸识别摄像头,不过仅记录用(yòng)户的到访时间。
图源/IT时报
和售楼处如出一辙的是商(shāng)场、品牌门店(diàn),也早已成為(wèi)人脸识别技术的使用(yòng)者和受益者,商(shāng)家借此进行出入口客流、业态客流、楼层客流、商(shāng)户客流的智能(néng)分(fēn)析。消费者逛一次商(shāng)场就可(kě)能(néng)被“人脸抓拍”,行动轨迹可(kě)能(néng)被记录。下一次再来,这家店(diàn)就“认识”你了。
《IT时报》记者在上海爱琴海購(gòu)物(wù)公园发现,每个进入商(shāng)场的大门和電(diàn)梯口,均安装了球體(tǐ)摄像头,这栋6层楼的商(shāng)场内有(yǒu)200多(duō)个人脸识别球體(tǐ)摄像头,且没有(yǒu)任何提示,消费者根本无法发现自己已被人脸识别。
图源/IT时报
甚至,进入商(shāng)场電(diàn)梯,也有(yǒu)可(kě)能(néng)被抓拍人脸。在浦东八佰伴直达電(diàn)梯内的電(diàn)子广告屏上,《IT时报》记者就发现广告屏下方有(yǒu)一个不起眼摄像头,只要看向这个广告屏,后台就可(kě)以记录電(diàn)梯内的人是否看向广告屏幕、看了多(duō)久等数据,广告商(shāng)会得到相应的数据。
有(yǒu)类似功能(néng)的電(diàn)子广告屏也有(yǒu)可(kě)能(néng)出现在你家的電(diàn)梯里。
质疑:商(shāng)家不罢手,难道以后只能(néng)戴头盔出行吗?
虽然部分(fēn)城市已经对人脸识别“开刀(dāo)”,11月29日,有(yǒu)媒體(tǐ)报道,南京多(duō)家售楼处接到南京市住房保障和房产局紧急通知,要求楼盘未经消费者同意,不得拍摄人脸信息。这是全國(guó)属于首例。杭州、天津等城市都开始颁布部分(fēn)场景禁用(yòng)人脸识别的条例。
隐藏在背后的一个问题是消费者的知情权,根据《规范》,收集个人生物(wù)识别信息前,应单独向个人信息主题告知收集、使用(yòng)个人生物(wù)识别信息的目的、方式、范围和存储时间等。
众人科(kē)技创始人谈剑峰告诉《IT时报》记者,一个人刚从商(shāng)场出来,就会接到一条手机短信,说“某某某,你刚刚在商(shāng)场消费多(duō)少金额,如果是你本人消费请点这个链接,如果不是你本人消费请点那个链接”。这种情况下,当事人一旦点击链接,金融卡号、密码就等于交给了黑客。
正是因為(wèi)“无感抓拍”,让消费者一无所知,难道只有(yǒu)戴上头盔才安全吗?难道我们的脸,只能(néng)取决于商(shāng)家的良心吗?
三
强制:不刷脸,不能(néng)回家、不能(néng)上班、不能(néng)上课
在上海越来越多(duō)的小(xiǎo)區(qū)和楼宇,“脸”成了主要通行证,别无选择。
一位在普陀某商(shāng)務(wù)楼办公的白领曾告诉《IT时报》记者,今年4月中旬,物(wù)业要求大楼里的员工去录入人脸,而大堂内8个人脸识别闸机已经安装好,就等大家的人脸了。“闸机没有(yǒu)开启刷卡功能(néng),要进大楼就只有(yǒu)刷脸。”无奈之下,这位白领只能(néng)录入了自己的脸。
图源/IT时报
虽然刷脸过闸机方便了很(hěn)多(duō),但当人脸信息被保存到并不靠谱的系统上,风险将被无限放大。有(yǒu)安全人士曾告诉《IT时报》记者,很(hěn)多(duō)企业喜欢把数据放在本地,在系统的设计和实现过程中,可(kě)能(néng)发生代码失误等问题造成数据库被攻破,数据泄露,甚至有(yǒu)的信息是明文(wén)保存。
遗憾的是,在个人生物(wù)信息领域,很(hěn)少有(yǒu)企业会进行安全等级认证,如何防护、投入多(duō)少都由企业自己决定,你的人脸信息,也许就保存在小(xiǎo)區(qū)大妈手里。
2019年9月2日,全國(guó)开學(xué)第一天,一张图片在网上刷屏,课堂上,趴桌子几次、玩手机几次、睡觉几次、举手几次、阅读几次、听讲几次,都被摄像头捕捉,因為(wèi)印有(yǒu)旷视的logo,这被认定為(wèi)是它的视觉AI系统。
旷视因此备受大众质疑,回应称这张图片只是一个概念演示,公司在教育领域的产品专注于还在校园的安全,但其实类似的AI课堂分(fēn)析系统已经开始进入课堂。南京中國(guó)药科(kē)大學(xué)教室里装人脸识别,防止學(xué)生逃课。
2018年的安博会上,可(kě)提供场景解决方案的安防厂商(shāng)中,有(yǒu)一半都表示可(kě)以做AI+教育為(wèi)基础的人脸识别监控。
未来花(huā)朵们在课堂上的一举一动都会被监控,老师和學(xué)生们都没有(yǒu)其他(tā)选择。
质疑:我的脸一旦丢失不能(néng)再生,為(wèi)何强制刷脸?
在众人科(kē)技创始人谈剑峰看来,生物(wù)特征的唯一性意味着,一旦“丢失”就不可(kě)再生。关键点就在于储存人脸数据的“数据库”,它正是隐私的最后一道防線(xiàn),“数据库”真的安全吗?谁对“数据库”有(yǒu)使用(yòng)权?又(yòu)是谁来管理(lǐ)“数据库”?一旦被盗,我们只能(néng)眼睁睁地看着自己的脸、指纹等被滥用(yòng),“脸权”自由没了。
更重要的是,明明有(yǒu)其它方式可(kě)以达到同样的目的,比如可(kě)以用(yòng)刷卡过门禁,為(wèi)什么无法非要强制刷脸,提高隐私泄露风险?这等同于“强买强卖”。
四
后果:我的脸“丢”不起!
2019年2月13日,一位GDI基金会荷兰安全研究员爆料,中國(guó)深网视界科(kē)技有(yǒu)限公司发生大规模泄露事件,包括超256万人的身份证号、性别、國(guó)家、住址和24小(xiǎo)时内的位置等大约668万条记录,自2018年7月开始,任何人都能(néng)访问。
2月14日,该数据库才建起了防火墙。据天眼查信息,深网视界自从2017年7月融了A+轮后,就再也没有(yǒu)公布过融资信息。2020年6月,该公司出现一条股权出质信息。
这是國(guó)内迄今发生的较大规模的人脸泄露事件。今年2月,美國(guó)Clearview AI被黑,虽然这家企业只是初创企业,但却拥有(yǒu)超30亿人脸数据。
据《IT时报》记者不完全统计,美國(guó)公开表示禁止人脸识别技术的城市已经达到8个。
虽然國(guó)内多(duō)个城市已经在部分(fēn)场景禁用(yòng)人脸识别,但是已经收集的人脸会删除吗?没有(yǒu)明确答(dá)案。
人脸被卖,最坏的结果是什么?
此前有(yǒu)媒體(tǐ)报道,在闲鱼等平台上,人脸识别信息以0.5元一张廉价打包出售,这种人脸信息往往没有(yǒu)跟身份信息绑定,并不是最坏的结果。
在QQ群里,更多(duō)的人脸生意是定制AI换脸视频,150元就能(néng)定制素人的AI色情视频,所需的素材就是几张照片和几条视频。
图源/IT时报
最令人担忧的是,人脸识别并不是一项完美的技术,帮小(xiǎo)學(xué)生人脸解锁《王者荣耀》游戏的青少年模式,人脸解封社交账号等已是成熟的生财之道。
在顶级黑客眼中,人脸识别更显稚嫩。在历届的GeekPwn國(guó)际安全极客大赛上,《IT时报》记者曾目睹极客用(yòng)照片、口罩等方式骗过AI。比如在今年的GeekPwn上,主持人蒋昌建、特斯拉CEO马斯克等名人的脸被复制,极客们戴上特制口罩,让自动售货机和ATM吐出了商(shāng)品和美金。
图源/GeekPwn 2020
这意味着,黑客只需拿(ná)到你的多(duō)张照片,就能(néng)骗过人脸识别支付。
政协委员拒用(yòng)人脸识别
作為(wèi)全國(guó)政协委员,谈剑峰多(duō)次就此递交提案,呼吁做好人脸等生物(wù)数据的隐私保护,他(tā)的观点始终如一:“我反对用(yòng)唯一的生物(wù)特征信息用(yòng)作身份认证。”
“健康码”也让谈剑锋担心:“每个公民(mín)都在‘刷脸’,这个人脸信息数据存在哪里?谁能(néng)使用(yòng)?保存时限是多(duō)少?法律监管是否到位?”在他(tā)看来,目前还没有(yǒu)足够安全的方式来保证生物(wù)特征数据不被滥用(yòng),如果将各类生物(wù)特征数据集中保管在数据库中,再被采集到不安全的网络上,一旦数据库遭受攻击,可(kě)能(néng)造成社会风险。
清华大學(xué)苏世民(mín)书院院長(cháng)、國(guó)家新(xīn)一代人工智能(néng)治理(lǐ)专业委员会主任薛澜曾在今年的世界人工智能(néng)大会上表示,现有(yǒu)的人工智能(néng)治理(lǐ)體(tǐ)系中缺乏对数据权属和使用(yòng)的清晰规定,数据和隐私保护问题突出;算法监督能(néng)力薄弱,引发算法歧视的原因通常难以跟踪;互联网平台中个性精准化的服務(wù)实际上将市场分(fēn)割成了一个个独立的个體(tǐ),隔断了消费者的搜寻行為(wèi),而平台是唯一的“知情者”。
虽然人脸识别对于个體(tǐ)来说存在着较大风险,但在一些特定领域却可(kě)以发挥出较好的作用(yòng)。“从安全角度来看,目前生物(wù)识别认证不应在老百姓普遍使用(yòng)的互联网大面积推广,但可(kě)以在特定的金融领域作為(wèi)辅助应用(yòng)。”谈剑峰告诉《IT时报》记者,每一个个體(tǐ)要尽量地少用(yòng)生物(wù)数据,或仅将生物(wù)数据用(yòng)在不太敏感的场合,不建议用(yòng)于关键场合的身份认证、转账交易等,这也是保护自己的方式。
人脸识别技术并不完美,并不代表它是个无用(yòng)的技术,当下,比起一刀(dāo)切式地全城禁用(yòng)人脸识别技术,更恰当的应是為(wèi)其划定边界,并给予使用(yòng)者知情权和选择权。人脸识别企业在寻求场景活下来之前,要先為(wèi)用(yòng)户信息筑起防火墙。
在線(xiàn)客服
