【资料图】
人脸识别技术&数据安全
在科学技术日新月异的当下,被摄像头包围对于现代人来说已经是习以为常的生活现状。自去年以来,人脸识别技术得益于底层技术的突破,在准确度与实用性上得到了极大的提升和突破,随之而来的应用场景也更加多元广泛。在IT行业关心的安全技术与破解问题上,人脸识别技术似乎可以给出一个不错的方案,来解决密码容易泄露和破解的弊端。
但近日交通银行人脸识别造破解的案件似乎又在说明,人脸识别技术并非如同人们期待的那般安全可靠。根据多家新闻媒体的报道,诈骗分子使用短信+人脸识别的方式,远在台湾就能将北京储户的存款轻易转走。根据法院的判决书,案涉交易采用了交易密码、动态密码以及辅助人脸识别的客户鉴别模式,符合监管要求,但是根据后台调出的人脸识别记录,案涉借记卡在案发当天共有7次操作涉及人脸识别,包括借记卡申请、登录密码重置和大额转账,7次操作均显示人脸识别成功。判决书并未描述诈骗技术细节,法院认为此案中交通银行并未存在明显的过错与过失,无须承担资金被盗的赔付责任,本案主要过错在于储户自身,储户自身遭遇了电信诈骗。
如果对此再做进一步调查,会发现为交通银行提供人脸识别技术核心的供应商是一家名为北京眼神科技有限公司的企业,其官网上还将交通银行作为典型的金融客户案例进行展示。该企业提到为交通银行提供全天候多渠道的生物鉴权服务,交通银行多个渠道端应用的多个应用场景都使用了眼神科技生物平台提供的相关服务,包括ITM,MUIP、BBOS、手机银行等,实现生物信息的采集、比对和认证。构建完整的生物识别平台,除提供静态1:1注册、比对服务外,还能提供 1:N动态识别的技术服务。而使用此类服务的不止交通银行,还涉及中国邮储、中国银行、光大银行、渤海银行、华夏银行等机构。
该公司声称自己掌握10亿级别的人脸抓拍历史和生物身份认证信息,每小时还新增200万张人脸数据,若以上数据属实,那么这一家既非事业单位、也非国有公司的私营企业,注册资金只有五千万,却掌握了中国如此大规模人口的人脸数据,在人脸识别应用技术越来越广泛的当下,不可谓不是一件险事。这样的私营百人小公司却服务几十家银行、公共事业客户,此番交通银行爆出问题究竟是个例还是冰山一角,我们不得而知。作为个体储户,不仅个人信息被掌握在私企手中,其使用范围和权限都难以得到有效监督,出现问题还需要自行买单,未免过于不公。
清华大学刑法学教授劳东燕就曾反复呼吁人们不要总是选择轻易隐忍来让渡自己的合法权益,一味选择隐忍看上去获得了暂时的稳定,但长远来看却贻害无穷,甚至因为我们的每一次隐忍而使既有制度一次次丧失获得反思性审查的机会,难以纠正存在的问题。就拿人脸识别技术为例,人们将其视作便捷生活的新技术,未对其迅速推广产生不满和怀疑,是因为很多时候人们对其潜在的风险并不了解。实际上公共场所遍布的摄像头正是为例与人脸识别技术相配套,令其如虎添翼。这种技术从来不是简单的识别与印证,而是可以抓取个人的面部生物信息来与既有数据库的相应数据进行比对,进一步追踪到个人的身份信息,日常行踪、社交关系与财产信息等等,这一切信息只取决于掌控数据的人想不想使用。
现行的人脸识别技术在收集、保管和使用的环节都存在诸多问题,这些问题都会涉及到国民重大的切身权益,绝不只是一些隐私那么简单。许多数据在收集时令人毫无感知,很多场合的信息抓取也根本没有征得被收集人的同意,即便有也会存在告知不充分的情况。在数据保管环节中,一旦收集主体未能有效保护,就会造成大规模信息泄露,也面临着黑客入侵的风险。且因为生物数据的稳定不变性,数据一旦泄露危害即不可逆转。而这些重要数据就被掌握在上文所提到的一些私营无参保人的小公司手中,无疑是埋下了一颗颗威力极大的不定时炸弹,稍有一丝火星就可能引燃爆炸性事件,后果不堪设想。
因此,若尚未对人脸生物信息数据的收集、保管与使用作出相应的严格法律规制的背景下,大肆推广人脸识别技术,无异于打开一个不受控制的潘多拉魔盒,那时我们需要付出的代价将远不止于隐私。