面面俱到:“刷臉”引發(fā)的安全思考
責(zé)編:gltian |2024-08-13 14:09:06一、背 景
刷臉技術(shù),即人臉識(shí)別技術(shù),是一種基于人的臉部特征信息進(jìn)行身份識(shí)別的生物識(shí)別技術(shù)。刷臉技術(shù)如今在公共安全、場(chǎng)所進(jìn)出、信息處理等領(lǐng)域已經(jīng)得到了廣泛應(yīng)用,在為我們帶來(lái)便利的同時(shí),也伴隨著法律風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)等安全隱患。
央視網(wǎng)曾經(jīng)報(bào)道,23歲的李某,在讀大學(xué)的時(shí)候做了一份需要人臉驗(yàn)證的“兼職”,泄露了個(gè)人信息,莫名其妙成為了多家公司的法人或高管,同年9月,他在報(bào)考公務(wù)員考試時(shí)被告知不能通過(guò)資格審查,無(wú)法參加考試,考公、考編之路寸步難行。
碩士畢業(yè)的周某,通過(guò)了一家公司的面試,但在背景調(diào)查階段,信息顯示他名下有多家企業(yè),且部分企業(yè)被列入經(jīng)營(yíng)異常名錄,導(dǎo)致他的錄用流程無(wú)法推進(jìn)。經(jīng)調(diào)查,是周青在校時(shí)做過(guò)的一份“兼職”在手機(jī)上下載安裝了兩款手機(jī)應(yīng)用程序,且進(jìn)行了人臉和實(shí)名認(rèn)證,被不法分子盜取了當(dāng)時(shí)的人臉識(shí)別信息,并且冒用身份注冊(cè)了多家公司。
這些真實(shí)發(fā)生的案件,為我們敲響了警鐘,揭示了人臉信息泄露可能給我們的生活帶來(lái)無(wú)窮無(wú)盡的負(fù)面影響,更加凸顯了保護(hù)人臉信息在我們生活中的重要性。
二、風(fēng) 險(xiǎn)
刷臉時(shí)代,即人臉識(shí)別技術(shù)的廣泛應(yīng)用,為人們的生活帶來(lái)了便利的同時(shí),也對(duì)個(gè)人信息泄露帶來(lái)了不容忽視的風(fēng)險(xiǎn)。
(一)過(guò)度收集和濫用
人臉識(shí)別技術(shù)具有非強(qiáng)制性和非接觸性的特點(diǎn),這意味著個(gè)人在無(wú)意識(shí)的狀態(tài)下就可能被采集人臉信息,這種特性使得人臉數(shù)據(jù)容易被過(guò)度收集和濫用,違反《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、 《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》、《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》、GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》、GB/T 41819-2022《信息安全技術(shù)人臉識(shí)別數(shù)據(jù)安全要求》等相關(guān)的法律法規(guī)、條例規(guī)定及國(guó)家標(biāo)準(zhǔn)的相關(guān)要求。
(二)數(shù)據(jù)泄露
人臉識(shí)別技術(shù)在不斷發(fā)展和完善,但仍然存在著很多安全隱患。人臉信息作為個(gè)人生物特征的一部分,一旦泄露,就可能導(dǎo)致個(gè)人的身份信息、行蹤軌跡等敏感信息等被暴露,進(jìn)而引發(fā)隱私泄露的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)不僅會(huì)對(duì)個(gè)人生活名譽(yù)、財(cái)產(chǎn)等造成困擾,還會(huì)威脅公共安全,擾亂市場(chǎng)秩序。人臉信息如果被不法分子進(jìn)行制造假身份證、偽造證件等非法活動(dòng),將對(duì)社會(huì)治安造成威脅,從而導(dǎo)致社會(huì)信任體系的崩潰,使得人們對(duì)人臉識(shí)別技術(shù)的信任度降低,進(jìn)而影響社會(huì)的穩(wěn)定和發(fā)展。
三、應(yīng)對(duì)措施
為了保障個(gè)人信息安全和社會(huì)穩(wěn)定,我們需要加強(qiáng)人臉識(shí)別技術(shù)的監(jiān)管和管理,同時(shí)提高個(gè)人的信息安全意識(shí),采取多種有效的措施保護(hù)個(gè)人人臉信息不被泄露和濫用。
(一)政策要求
人臉數(shù)據(jù)是敏感個(gè)人信息,泄漏可能導(dǎo)致大數(shù)據(jù)殺熟、被冒用和詐騙等風(fēng)險(xiǎn),目前已經(jīng)出臺(tái)《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、 《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》、《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》、GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》、GB/T 41819-2022《信息安全技術(shù) 人臉識(shí)別數(shù)據(jù)安全要求》等相關(guān)的法律法規(guī)、條例規(guī)定及國(guó)家標(biāo)準(zhǔn),都對(duì)收集個(gè)人信息做出了嚴(yán)格的限定和要求。人臉數(shù)據(jù)等個(gè)人信息在應(yīng)用過(guò)程中受到相應(yīng)的保護(hù),將減少個(gè)人信息泄露給我們的生活、財(cái)產(chǎn)、名譽(yù)等帶來(lái)的負(fù)面影響,進(jìn)而保護(hù)個(gè)人安全,維護(hù)社會(huì)秩序。
(二)落實(shí)監(jiān)管
企業(yè)和機(jī)構(gòu)應(yīng)該嚴(yán)格遵守和落實(shí)各項(xiàng)關(guān)于保障和監(jiān)督人臉識(shí)別技術(shù)應(yīng)用的法律法規(guī)、條例規(guī)定及國(guó)家標(biāo)準(zhǔn),明確告知用戶信息收集的目的、范圍和方式,并征得用戶的明確同意,確保數(shù)據(jù)收集、存儲(chǔ)、使用和共享的規(guī)范,明確非法獲取、濫用或泄露人臉信息的行為將依照法律法規(guī)得到嚴(yán)厲懲治,確保人臉識(shí)別技術(shù)的合規(guī)使用。
近期,上海市旅館業(yè)治安管理信息系統(tǒng)中相繼發(fā)布通知和提示,嚴(yán)禁對(duì)已出示本人有效身份證件的旅客進(jìn)行“強(qiáng)制刷臉”核驗(yàn),嚴(yán)禁發(fā)生不“刷臉”不能入住問(wèn)題。不只是上海,杭州、廣州的一些酒店也確認(rèn)已取消入住“強(qiáng)制刷臉”。
(三)技術(shù)保障
通過(guò)技術(shù)保障人臉的安全,借助數(shù)據(jù)安全企業(yè)去保護(hù),提升系統(tǒng)的安全性和穩(wěn)定性。借助可信執(zhí)行環(huán)境(TEE)、安全多方計(jì)算(MPC)、數(shù)據(jù)安全沙箱等技術(shù)手段,確保在不歸集、不共享原始數(shù)據(jù)的前提下,對(duì)人臉特征信息進(jìn)行安全處理。采用訪問(wèn)控制技術(shù),防止未經(jīng)授權(quán)的訪問(wèn)和使用。采用數(shù)據(jù)加密技術(shù),對(duì)采集到的人臉數(shù)據(jù),進(jìn)行加密處理,保護(hù)人臉數(shù)據(jù)的存儲(chǔ)安全。采用去標(biāo)識(shí)化、匿名化等技術(shù),對(duì)人臉特征原始信息進(jìn)行脫敏處理,確保人臉數(shù)據(jù)在使用、處理和流轉(zhuǎn)過(guò)程中不發(fā)生泄露。
同時(shí),在使用人臉進(jìn)行識(shí)別的過(guò)程中,可以考慮結(jié)合其他認(rèn)證方式,如密碼、指紋等,形成多因素認(rèn)證機(jī)制。目前已經(jīng)有商家在自動(dòng)販賣(mài)機(jī)運(yùn)作中使用了這種多因素認(rèn)證方式,利用人臉識(shí)別付款技術(shù)時(shí),需要用戶手動(dòng)輸入個(gè)人身份證或手機(jī)號(hào)后六位才能付款成功,這樣的操作設(shè)置,在給我們提供付款便利的同時(shí),還可以提高身份驗(yàn)證的準(zhǔn)確性和安全性,降低單一因素認(rèn)證帶來(lái)的風(fēng)險(xiǎn)。
《中華人民共和國(guó)個(gè)人信息保護(hù)法》規(guī)定,個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)、查閱、復(fù)制、更正、補(bǔ)充、刪除和解釋說(shuō)明等權(quán)利。企業(yè)在收集和使用人臉數(shù)據(jù)時(shí),應(yīng)嚴(yán)格遵守有關(guān)法律法規(guī),借助自動(dòng)化的個(gè)人信息保護(hù)平臺(tái),檢索、定位個(gè)人信息,及時(shí)響應(yīng)個(gè)人信息主體的上述訴求,確保人臉使用的合規(guī)性。
(四)安全意識(shí)
個(gè)人應(yīng)提高隱私保護(hù)意識(shí),謹(jǐn)慎對(duì)待人臉信息的收集和使用。在使用需要人臉識(shí)別技術(shù)的服務(wù)時(shí),應(yīng)仔細(xì)閱讀隱私政策,了解個(gè)人信息的收集范圍和使用目的。對(duì)于不必要的人臉信息收集,應(yīng)予以拒絕。
四、小 結(jié)
“人臉識(shí)別技術(shù)是把雙刃劍”,我們應(yīng)該平衡技術(shù)進(jìn)步與個(gè)人隱私保護(hù)之間的關(guān)系,企業(yè)應(yīng)在嚴(yán)格遵守相關(guān)法律法規(guī)的前提下,合法、正當(dāng)、必要的使用人臉識(shí)別技術(shù),個(gè)人更要提高自我保護(hù)意識(shí),對(duì)于那些非必要、于法無(wú)據(jù)、于理不合的強(qiáng)制刷臉場(chǎng)景勇敢說(shuō)“不”,在享受科技進(jìn)步帶來(lái)的便利的同時(shí),保護(hù)好自己的人臉信息。
(本文作者:北京數(shù)安行科技有限公司 郭靈)
聲明:本文來(lái)自CCIA數(shù)據(jù)安全工作委員會(huì),稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng),轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán),請(qǐng)聯(lián)系rhliu@skdlabs.com,我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類(lèi)別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!