论文部分内容阅读
有卖家公开兜售个人特征信息
专业人士指出,只要有一张人脸高清照片,通过AI技术就可以构建仿真人脸模型,并能模拟真人“眨眨眼、抬抬头、张张嘴”等动作,从而顺利骗过人脸识别系统。一些“网络黑产”从业者在电商平台上批量倒卖非法获取的人脸等个人特征信息,甚至相关的网络工具及教程。这些信息有可能被用于虚假身份注册、电信网络诈骗等违法犯罪活动。
笔者在参与一些相关案件审理的过程中了解到,在一些网络交易平台上,通过搜索特定关键词,就能找到专门出售AI加工过的个人特征信息和所谓“照片活化”工具的店铺。一些卖家甚至以“出售人脸四件套,懂的来”等暗语招徕买家。点进某出售各大平台“人脸商品”的店铺,在卖家的主页上,售卖的商品包含人脸、指纹信息。为了保证店铺“正常运营”,一些不法商家经常怂恿买家通过微信或QQ沟通议价。
除了售卖人脸、指纹相关信息外,一些“胆大”的卖家还出售所谓“照片活化”工具,利用这种工具,可以将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的验证视频。有的“照片活化”软件加上相关教程,竟然只售35元。“客户”直接付款,确认收货后会收到链接。“客户”可以在对话框内使用语音与不法商家议价。在完成支付并确认收货后,卖家给“客户”发送容量约20GB的“工具箱”,里面有虚拟视频刷机包、虚拟视频模拟器和人脸视频修改软件等工具,还有相关工具的操作教程文件。
还有一些不法商家在添加“客户”为好友后,先发送一些单人手持身份证的样本照片,随后展示其利用AI工具修改上述照片后,欺骗网络社交平台人脸识别机制的效果视频,以此证明自己出售的商品拥有“技术优势”。
“网络黑市”上售卖的人脸信息并非单纯的人脸照片,而是包含公民个人身份信息(身份号、银行卡号、手机号等)的一系列敏感数据。
一个倒卖“人脸视频工具箱”并声称“包教包会”的卖家声称,只要学会熟练使用“工具箱”,不仅可以利用人脸信息帮他人解封电子支付平台的冻结账号,还能绕过婚恋交友平台及手机卡实名认证等人脸识别机制。这个卖家还会给“客户”传送一些帮其他人成功解封冻结账号的截图,以此证明自己的“专业性”。
从技术角度看,将人脸信息和身份信息相关联后,利用系统漏洞骗过部分平台的人脸识别机制是有可能的。技术专家指出,尽管一些金融平台在大额转账时需要多重身份认证,但所谓“道高一尺,魔高一丈”,“网络黑产”的技术手段也在不断更新,不能因此忽视账户安全。
如果人脸信息和其他身份信息相匹配,可能会被不法分子用于盗取网络社交平台账号或窃取金融账户内的财产;如果人脸信息和行踪信息相匹配,可能会被不法分子用于精准诈骗、敲诈勒索等违法犯罪活动。
个人信息被泄露除了可能导致财产损失外,还有可能导致“被贷款”。一些网贷机构进行“活体检测”时,仍使用人工审核或技术含量偏低的机器审核,一旦公众的面部识别信息被不法分子掌握,用上述黑科技“活”过来的面孔,很可能以假乱真,让不知情者“被网贷”,背上巨额债务。
杭州野生动物世界为了“方便消费者快速入园”,在2019年10月将年卡系统从“指纹识别入园”升级为“人脸识别入园”,结果被消费者起诉。起诉者是浙江理工大学特聘副教授郭兵,他在5个月前办理了杭州野生动物世界年卡。
郭兵认为:“园区升级后的年卡系统进行人脸识别,将收集我的面部特征等个人生物特征信息。该类信息属于个人敏感信息,一旦泄露、被非法提供或者滥用,极易危害消费者人身和财产安全。”这是面部识别技术被推广以来,首例诉诸法庭的案件,被称为“国内人脸识别第一案”。这起事件引起大众对于个人隐私权的重视,也引发人们对于相关技术法律监管的思考。
AI窃取、利用个人信息犯罪
在上述案例中,郭兵的担忧并非杞人忧天。通过几起典型案例,可以了解AI窃取、利用个人信息犯罪的严重程度。
2019年初,浙江衢州中级人民法院判决一起侵犯公民个人信息案,4名被告人用购买的公民个人身份信息注册支付宝账户,将公民头像照片制作成3D头像,通过支付宝人脸识别认证,获取支付宝邀请注册新用户的红包奖励。
其实这还只是“小儿科”的把戏,如果人脸信息和其他身份信息相匹配,就可能被不法分子用以盗取目标人物的网络社交平台账户,窃取金融账户内的财产,或者用于精准诈骗、敲诈勒索等违法犯罪活动,细思极恐。
2019年8月,深圳市龙岗区警方发现有辖区居民的身份信息被人冒用,其驾驶证被不法分子通过网络服务平台冒用扣分。在“净网2020”行动中,龙岗警方经多方侦查发现,有不法分子使用AI换脸技术,绕开多个社交服务平台或系统的人脸认证机制,为违法犯罪团伙提供虚假注册身份信息、刷脸支付等“黑产”服务。龙岗警方在广东、河南、山东等地抓获涉案犯罪嫌疑人多达13名。
在上述案件中,犯罪嫌疑人利用非法獲取的公民照片进行一定处理,然后通过所谓“照片活化”软件生成动态视频,骗过人脸核验机制。随后,犯罪嫌疑人通过从网上批量购买的私人社交平台账户登录各网络服务平台,注册会员或进行实名认证。
事后打击与事前防范
个人信息关系到每个人的生命财产安全。对倒卖人脸特征信息等个人信息的“黑色产业链”必须予以严厉打击。立法机关应统筹考虑技术发展与信息安全,划定人脸识别技术的使用红线;监管部门也应对恶意泄露他人特征信息的违法行为予以坚决制止。
2021年1月1日起施行的《民法典》,对自然人个人信息的范畴进行了专门说明,生物特征信息被纳入其中。中国信息安全研究院副院长左晓栋指出,除《民法典》外,正在制定的《个人信息保护法》和《数据安全法》也应对人脸等生物特征信息的保护作出安排;立法要充分考虑个人特征信息的可获得性,不能让制定出来的法律因执行难而流于形式。
网络平台对平台上的交易行为负有监管义务,应严谨审核卖家资质,对平台内经营者的合规情况进行监控、记录,不允许经营任何侵犯他人人身财产权利或法律法规禁止的物项。
相关平台在制定人脸识别安全规范的过程中,要强调“人脸信息等生物特征信息”与“其他身份信息”实行完全隔离存储,避免将人脸信息与身份信息相关联后发生批量泄露。
对于曾经上传过清晰手持身份证照片或同时上传人脸照片并填写身份号、银行卡信息的用户,专家建议,应在开启人脸验证的同时,尽可能选择多重验证方式,规避单一验证的风险。
保障AI采集的个人信息安全,事前防范重于事后打击。在依法严惩利用个人信息进行违法犯罪的同时,更应强化全链条监管,筑牢信息安全防火墙,切断个人特征信息的非法采集、销售渠道。
首先,应提高公众防范意识。一些民众往往缺乏这方面的防范意识,平时很随意地将自己的照片发到微信朋友圈,还有老年人在不法分子发放洗衣粉、香皂等物品的诱惑下,答应拿自己身份证拍照给对方。对此,有关部门必须加大宣传力度,增强公众的隐私保护意识,从源头避免个人特征信息轻易泄露。
其次,应厘清人脸识别的边界。近年来,从刷脸付款、刷脸就餐到刷脸就医、刷脸寄快递,人脸特征信息的应用可谓遍地开花,大有“万物皆可刷脸”之势。相比之下,相关标准制定却远远滞后。究竟哪些主体在哪些范围内有权利采集人脸信息,信息如何做到规范存储,泄露需要承担怎样的责任,这一系列问题并没有明确规定。
《民法典》明确了个人信息的定义,将身份号码、生物特征信息等一并纳入其中,规定“自然人的个人信息受法律保护”。在这一背景下,人脸识别技术标准制定也应加快步伐,厘清合理采集和使用规则,给刷脸划出清晰的红线。
最后,要加强网络平台监管。电商平台是倒卖个人特征信息的主要渠道。眼下,在一些电商平台搜索关键词,就能找到专门出售人脸信息和“照片活化”工具的店铺。《电子商务法》规定,电子商务平台经营者发现平台内销售或者提供法律、行政法规禁止交易的商品或者服务,应当依法采取必要的处置措施,并向有关主管部门报告。各电商平台应认真履行监督义务,运用大数据技术进行监控,及时发现和下架不合规商品,斩断出卖个人特征信息的利益链条。