行业研究 > 正文
关注App使用人脸识别技术的安全问题!
2020/9/30 9:40:00   中国电子技术标准化研究院      关键字:App 人脸识别 安全 问题      浏览量:
然而正如所有新技术一样,人脸识别也开始呈现出“双刃剑”效应,在提高社会效率、增加便利性的同时,在隐私、安全、公平等方面亦引发了诸多争议。
  网安周特别节目联动
  关注App使用人脸识别技术的安全问题
  得益于近年来人工智能技术发展和海量数据的累积,人脸识别应用在近年呈现出加速落地的态势。大到智慧城市建设,小到手机客户端的登录解锁,都能见到人脸识别技术的影子,2019年更被很多人称为“人脸识别大规模商用元年”。
  然而正如所有新技术一样,人脸识别也开始呈现出“双刃剑”效应,在提高社会效率、增加便利性的同时,在隐私、安全、公平等方面亦引发了诸多争议。一些企业因应用方式不规范、安全措施不到位导致用户的人脸、行踪轨迹等个人敏感信息泄露,更是有媒体曝出人脸信息买卖黑色产业链,5000多张人脸照片仅标价10元。人脸识别技术和应用安全问题亟待得到高度重视,以切实保障用户权益和人脸识别信息安全。
  一、与网安周特别节目互动,曝光
  典型人脸识别技术和应用问题
  App专项治理工作组配合2020年国家网络安全宣传周特别节目对部分App应用人脸识别技术过程中的典型问题进行曝光和分析。其中,涉及的问题具体包括:
  1、某刷脸解锁手机App存在“反复明文传输人脸图片”“未提供注销账号等渠道支持用户删除人脸信息”“使用照片即可通过刷脸核验”等现象和问题。
  问题1
  人脸信息明文传输,且每次刷脸解锁均会反复上传。
  问题2
  人脸识别可靠性差,录入人脸信息后,使用翻拍照片即可轻易破解。
  问题3
  隐私政策中对收集人脸信息等敏感的个人生物识别信息收集使用规则未做任何说明,用户无法通过注销机制删除上传的人脸信息。
  近期,小区强制安装人脸识别的话题被大家所密切关注,很多人表示了对人脸数据是否能被安全存储、使用方面的担忧,工作组在对部分使用了人脸识别的智慧社区App进行检测后发现:
  2、某智慧社区App存在“人脸等图片明文传输且可被互联网公开访问”“人脸等个人信息可被互联网公开渠道批量下载”等现象和问题。
  问题1
  用户为开通刷脸开门输入的小区、房间、身份证、人脸等个人信息明文上传,且能被明文访问。
  问题2
  数据传输接口缺乏安全措施,可以从互联网批量下载用户人脸等信息。
  除以上典型案例,检测评估过程中还发现,某些App在使用人脸识别技术时,还存在以下问题:
  3、某粉丝追星社区App存在“强制要求用户使用人脸识别”“传输身份证等图片且可被互联网公开访问”“未提供注销账号等渠道支持用户删除人脸信息”等现象和问题。
  问题1
  强制收集人脸信息和身份证照片,打开App后,需要强制进行实名认证和人脸识别,否则无法正常使用。
  问题2
  实名认证过程,身份证照片(含人脸)被传输到多个不同的服务器中,且身份证照片(含人脸)上传服务器后,可被互联网直接访问。
  问题3
  在App隐私政策里面,未说明收集人脸信息、身份证照片等信息的规则,无法撤回被收集的人脸信息,无法进行账户注销。
  二、万人问卷调查显示
  人脸识别是否安全成为最大担忧
  2020年4月,人脸识别技术应用安全调研课题组发布了一份线上问卷,以了解人脸识别技术应用的普及情况与公众态度,9月20日,发布了《人脸识别应用公众调研报告》,在对回收的2万余份匿名问卷分析后,发现:
  1、九成以上受访者用过人脸识别,其中“刷脸支付”最为普及。
  2、人脸识别技术的便捷性受到认可,但受访者对其安全性感受一般,很多时候遭遇强制要求使用现象。
  3、受访者关注人脸信息泄露、行踪被记录、财产损失等安全风险,受访者普遍关心人脸照片等原始信息保留和处理情况。
  4、六成受访者认为人脸识别技术有被滥用的趋势。
  5、多数受访者对人脸识别技术应用持肯定态度,认为有必要出台相关法律法规规范人脸识别发展。
  关于本次调研情况的完整报告,可扫描以下二维码下载。
  三、对于加强人脸识别
  技术和应用安全的建议
  作为人脸识别技术的提供方、运营方,除了不断强调新技术新应用的优势,将“迅速占领市场”的作为核心目标之外,是否关心过市场的反馈,关心过用户的呼声?调研数据显示,强制要求使用人脸识别、使用规则和安全措施不明、无法撤回并删除数据,技术可靠度不够可能被破解等等情况尚普遍存在,正是因为如此,调研结果显示大多数人得出了“人脸识别技术”有被滥用趋势的判断。如果人脸识别技术还是得不到正确的引导、监督,事情恐怕还会往更加糟糕的状况发展,到时候,不光是个人利益遭受侵害,安全与发展的失衡,可能将致产业受困,前景黯淡。
  近年来,涉及个人信息保护的规则细化、执法监管、治理倡议等方面动作频繁,不断加强个人信息保护已经成为了有关部门高度重视并持续开展的重点工作。人脸信息作为其个人信息中最为敏感的一类“个人生物识别信息”,更是应该成为重点关注和保护的对象,进一步以立法立规、制定标准等方式对人脸识别技术应用安全加以引导,将是切实保障公民合法权益的明智之举。目前,全国信息安全标准化技术委员会(TC260)新修订发布的GB/T 35273-2020《个人信息安全规范》中,对人脸信息等生物识别信息保护提出“增强型”要求。《生物特征识别信息保护要求》《人脸识别数据安全要求》等已经在信安标委重点制定的标准之列。
  App等在应用人脸识别技术时,应充分参照当前已有法律法规和相关标准,保障用户权益和人脸识别信息安全,以下具体建议供参考:
  一是评估人脸识别技术应用的必要性,个人身份核验准确性不会影响到个人重大利益或社会公共利益的情形可不优先考虑使用人脸识别技术;
  二是不宜将人脸识别技术设置为唯一的身份核验的手段,不应强制要求或频繁推荐用户开通基于人脸识别的相关功能;
  三是未经用户同意或法律法规授权,不得通过高清摄像头等私自采集人脸信息,不得使用人脸信息追踪个人行为;
  四是向用户明示人脸信息收集使用的规则,并建立严格的内部管理措施,防止人脸信息被滥用、非法提供给第三方;
  五是原则上应仅采取提取人脸特征信息进行比对的方式进行身份核验,完成身份核验等后及时删除人脸图片等原始样本;
  六是采用AI技术合成的数字人脸图像需明确注明其为技术生成的虚拟图像,生成和使用过程应经个人授权,遵循有关管理规定;
  七是加强人脸识别技术、相关信息系统和终端设备的安全性的检测与认证,推动人脸识别技术成熟度不断提升,防止人脸信息的伪造、冒用、泄露、丢失。
  对于App违法违规收集使用个人人脸信息相关问题,可向本公众号举报。
  结语
  人脸识别从刚出现到逐步推广应用,其“争议”一直存在,事实上,这也是每个新技术新应用出现时所都要面临的状况。随着广大网民个人信息保护意识的不断觉醒,单独靠新鲜感、便捷度,恐怕已不足以对用户产生足够的吸引力,安全和隐私的保障不再“边缘化”,已越来越成为人们决定是否尝试前的“首要”顾虑。只有切实解决好人脸识别的安全问题,才能让人脸识别走的、走得远、走的稳。

微信扫描二维码,关注中国安防行业网