“一键换脸”有风险 ZAO梦空间宜谨慎

  目前全球的监管机构并未针对生物特征识别软件的应用给出明确指引

  钱童心

  “一键切换”,你就能成为热门剧集中的心仪角色,与当红明星同台飙戏,现场感和代入感爆棚——8月末到9月初短短数天,朋友圈被人脸识别软件ZAO刷屏。人们在消遣娱乐的不经意中,就将自己的身份信息给“出让”了。

  生物识别技术在大步快进。如今人们已经习惯了用人脸解锁手机屏幕,或者进行支付,但对人脸识别的可靠度与安全隐患的防备戒心仍然不足。专家警告称,这或许会造成一些不可逆转的风险。

  “很抱歉……我们一直在反思和修正。”9月3日,ZAO在最新声明中回应称,不会存储个人面部生物识别特征信息。ZAO表示,用户使用过程中,为保护肖像权不被冒用,还设置真人验证环节。公司还表示,刷脸支付安全门槛极高,仅通过一张照片实现的“换脸”技术完全无法突破刷脸支付的安全系统。

  然而这则声明并不能抹去人们的疑虑。

  ZAO回应隐私质疑

  因为安全存疑,此前ZAO悄然改变了其用户协议,以回应用户对其隐私泄露的质疑。旧版用户协议当中要求用户须授予该应用“完全免费、不可撤销、永久、可转授权和可再许可的权利”相关内容已经被删除。此外,ZAO的微信分享功能也已被屏蔽。

  而针对诸如ZAO这样的“换脸”应用是否会让刷脸支付产生安全风险?蚂蚁金服日前也予以回应:刷脸支付采用的是3D人脸识别技术,在进行人脸识别前,会通过软硬件结合来进行检测,从而判断采集到的人脸是否由照片、视频或者模拟软件生成。

  不过业内人士还是对人脸识别软件的滥用提出了担忧。

  “现在很多人脸都是与个人的详细信息绑定的,包括身份证号码和家庭住址等,一旦泄露出去,后患无穷。”一位上海人工智能企业的高管对第一财经记者表示。

  上个月,网上疯传了一个使用3D打印制作蜡像人头,骗过支付宝人脸识别系统,成功买上火车票的视频,令人后怕。而在前不久的一场白帽黑客大会上,腾讯的一位安全研究员研发的一副简单眼镜,攻破了苹果最先进的FaceID人脸解锁系统。

  由于生物特征数据具有唯一性,生物特征一旦被非法窃取利用,基于此特征的身份认证系统均可被轻易绕过,从而导致大规模隐私泄露,产生系统性风险。专家建议,在生物识别中,要避免过度采集和存储人脸、指纹这些完全暴露于外的生物特征,而虹膜、指静脉等隐性的生物特征则相对较为安全。

  国际电气与电子工程师协会(IEEE)会员、身份和访问管理企业IntegralPartners信息安全部门主任麦克格雷(KayneMcGladrey)此前接受第一财经记者专访时表示:“加入监测额外的生物识别特征数据,如心率、体温,可以进一步改良现有的解锁方式。例如,早在1964年心脏科专家已经发现每个人的心率都是独一无二的,可以考虑利用PQRST波形心电图特征解锁设备。但是目前,这还需要用户佩戴额外的穿戴设备才能得以实现。”

  尽管目前中国的人工智能初创企业在人脸识别技术方面已经非常领先,面部识别的准确率也可谓接近百分之百,但也有一些企业正在绕开人脸识别可能带来的道德风险。

  上海的人工智能企业深兰科技就采用了独特的“手脉”生物识别技术,对个人身份进行验证。

  通过特殊的光电转换设备和计算机图像处理技术,根据人体血液中的血红素有吸收近红外线光的特质,这种手脉识别技术能将获取到的手脉图像进行数字处理,并使用复杂的算法从数据库中进行匹配,从而达到验证身份的目的。该技术已经在一些智能汽车和智慧楼宇中开始使用。

  深兰科技创始人、CEO陈海波告诉第一财经记者,自己最早在澳大利亚创业时,也曾使用人脸识别技术,但在采集人脸图像时受到很大的阻碍,于是便萌生了开发手脉识别技术的想法。

  呼吁监管规则尽快出台

  人脸识别在美国和欧洲已经开始面临更加严厉的监管,但标准存在争议。今年早些时候,微软CEO萨提亚·纳德拉就曾警告要防止人脸识别助长市场的恶性竞争。

  美国独立研究人员斯蒂芬妮·黑尔(StephanieHare)表示,人脸作为人体重要的生物特征,它的收集应该像DNA那样被严肃地对待。

  美国政界对人脸识别的态度也趋于保守。今年7月,马萨诸塞州的萨默维尔市议会通过了禁止在公共场所使用面部识别软件的投票,成为继旧金山之后全美第二个禁止面部识别技术的城市。新政策生效后,该市各机构、分局或下属部门,均不得在公共场所使用面部识别技术。

  专家警告称,由于这项技术推出太快并且存在严重缺陷,可能会导致调查人员对潜在嫌疑人进行误判。亚马逊的人脸识别软件Rekognition就曾将28名议员错误地识别为罪犯,引发巨大争议。

  欧洲已经出台了严厉的《通用数据保护条例》(GDPR),其中也纳入了生物指征的数据。该条例要求企业在收集用户生物特征以及其他个人隐私信息时,获得用户的明确允许。在瑞典,已经有政府相关部门因为使用高中生人脸识别做试验违反GDPR而被处罚金。

  身份和访问管理软件供应商Veridium公司首席营收官(CRO)杰森·图勒(JasonTooley)表示,监管者对人脸识别等软件进行严厉打击,对于创新并不是一件好事。“通过人脸识别等创新的技术,可以提升警务效率,为公众提供更好的服务。我们必须阻止创新停滞不前。”图勒说。

  目前全球的监管机构并未针对生物特征识别软件的应用给出明确指引。微软表示,他们至少希望看到相关的监管指引能够尽快出台,从而保证该技术在符合道德伦理情况下被使用。微软总裁布拉德·史密斯(BradSmith)曾表示2019年将成为“监管元年”。

  亚马逊云业务AWS负责全球公共政策的副总裁迈克尔·庞克表示:“新技术不能因为存在被滥用可能性而被完全禁止或受到谴责。”谷歌则称,在重要的技术和政策问题没有得到回答之前,公司不会对外出售相关的技术产品。

  但业内一致认为,监管不能成为解决问题的全部。网络安全公司Darktrace全球威胁分析部门主管麦克·贝克(MikeBeck)表示:“禁止实时的人脸识别不是解决方法,监管者应该公开回答的是公众生物指征的数据是如何被收集以及如何被机构处理的问题。保证数据收集时的安全与第一时间对技术应用软件进行监管同样重要。”

  与此同时,清晰的监管框架也能够帮助公众理解技术给人们带来的好处。亚马逊的Rekognition指出的好处之一,是能够防止贩卖人口并找到失联儿童。

  “政策制定者必须让公众确信,实时的人脸识别只会被用于以合法化利益为目的的情况下。”身份认证软件供应商英国GBG公司战略主管格斯·汤姆林森(GusTomlinson)表示。

  欧盟人工智能高级别专家组(AIHLEG)近期也发布报告,提议政府应承诺只部署和采购值得信赖的人工智能系统,其设计宗旨是尊重法律和基本权利,符合伦理原则,社会技术健全。

  技术从来都是一把“双刃剑”。不得不承认,近年来,由于深度学习技术的普及,面部识别的准确率得到了显著的改善,但如何让技术的进步在监管的框架下服务好人类和社会经济的发展,这是决策者需要思考的。

特色专栏

热门推荐