人脸识别技术存在的重大网络安全风险

阅读 58  ·  发布日期 2017-03-20 14:36:59  ·  admin

2017年春运人脸识别在部分火车站进站检票时开始应用,引起很多关注,部分媒体也报道了生产商的核心技术掌控在日本企业手中,以及由此引发的对信息安全的担忧。前不久央视“3·15”晚会现场对于人脸识别的实验演示,再一次将网络产品的人脸识别的风险清晰展示在观众面前。

安软科技|智慧公安|智慧警务

人脸识别技术

虽然生物识别的准确性等问题会随着技术进步逐步获得解决,但生物识别身份却存在难以克服的重大潜在法律风险,甚至可能上升到危害国家安全的高度。因此,大规模应用必须慎之又慎,不能放任商业企业自行其是。

生物识别技术与现有身份识别体系的异同

做任何一件事情,我们都需要知道是在跟谁做,这就是身份识别。生物识别仅仅是一种识别行为人身份的技术手段,事实上身份识别的手段有很多,其目的都是要识别真实而不是假冒的身份,保证身份识别的准确、不可仿冒和篡改。传统社会往往依靠人与人之间的熟人关系,中国古代则有官凭路引,这些都能实现身份识别。最近100年左右,人类社会开始用介绍信、护照、身份证等记载证明身份的凭证辅助识别身份。

进入网络时代以来,开始是使用密码作为身份识别的主要手段,几乎所有网站协议都写明,用户名、密码一致,后果由当事人承担。早期法院对这类约定是支持的,2005年左右,网上曾有过一个大约500人参加的工商银行网银受害者维权联盟网站,当时就是受害者证明不了不是自己实施的款项转移,而当时法院不了解也不像现在对于伪卡交易要判银行赔偿,因而用户无奈之下组团抗议。

但随着互联网技术的不断发展,各种盗窃密码、假冒身份事件层出不穷,因此密码验证不再是客观唯一的可信任手段。在智能手机普及后,法官也开始逐渐熟悉了互联网,现在银行卡失窃如能证明伪卡交易,法院会支持用户向银行的索赔请求。

生物识别技术提取和识别人体生物学特征的唯一性,是很多人看好这个领域商业前景的主要原因。比如人脸、虹膜、指纹、声纹,由于这些特征只有当事人自己才有,别人不能假冒,因而能够解决目前比较普遍的诈骗者利用密码等技术手段易失窃、易复制、易滥用的漏洞。但是,这些人忽视了一点,那就是任何技术只要大规模使用,尤其是非现场使用,一定要通过信息网络,而通过信息网络,任何技术都要转化为计算机识别的0-1这样的二进制代码。人脸不能复制,转化的二进制计算机代码却可以复制,也完全可能被盗窃。

生物识别技术的识别原理和提取的数据都会存储成为企业的数据库,在目前全世界的情况看来,都存在重大的数据泄露、失窃的潜在安全风险。而且,更为可怕的是,由于生物识别技术是唯一的、终身不变的,是不可再生或重建的,因此,一旦泄露或者丢失,就是永久泄露,将贻害无穷。

有资料记载,当年某著名空难发生后,苏联能在第一时间精准判断死者身份就因死者曾在苏联就医的牙齿档案。这个原理是成立的。所以有人对于日本企业提供的人脸识别设备在火车检票时的使用涉及数据安全的担忧,是成立的。这种数据一旦被收集存储,会成为永久的安全隐患。

由于生物识别的这种唯一性特点,全球比较统一的做法是在识别犯罪嫌疑人、识别灾祸中很难辨认死难者身份时,采用DNA等生物识别技术,例如在空难后尸体受到严重毁坏无法辨认时,通过基因等识别技术,识别死难者身份。我国至今常见的警察让犯罪嫌疑人在笔录上按手模,也是一种通过指纹生物特征来固定证据的方式。

由于我国强制推行网络实名制,公共机构和互联网企业数据相当多都是实名制的真实信息。目前全球无一例外存在着数据泄露和信息被滥用的严峻现实。因此,不能侥幸地指望人脸识别技术建立的数据库在眼下的环境中,能幸免于违法犯罪行为的黑手窃取。

生物识别技术资料一旦泄露无可挽回

身份证系统是以一定规则的编码作为确定身份标识的,这种唯一身份标识,可以通过技术研发,今后逐步转向不需要直接填写和披露身份证号码,比如公安部下属的研究所正在研究的电子身份证eID项目,已在银行等领域开始使用。

诈骗分子始终在和身份证管理的官方技术博弈。其实身份证系统还好,即使现在泄露严重、必须放弃,还可以推倒重建,但如果生物识别技术泄露,那就是永久泄露,只要掌握了这些生物技术数据,不仅能在商业和公共服务领域获得很大价值,而且会使国家安全等产生重大潜在风险。

有关企业正在积极研发生物识别的相关技术和应用,因为这是最新技术潮流,全球都在做类似研发。从产业和技术角度,我们不能禁止中国企业进行相关的研发和应用尝试。但有关主管部门对于风险一定要有清醒的意识。火车站等公共服务领域不能强制推行人脸识别,也不能将这些技术作为法定身份识别的依据,可以允许企业作为辅助身份验证依据,但必须告知用户潜在风险,提供替代方案,不得直接、间接、暗示、强制用户使用。

需有正确的技术和法律设计与应对

目前阶段,笔者认为无论从技术上还是法律上考虑,都还不宜将生物识别作为唯一的身份识别手段。

今年央视“3·15”晚会的演示揭示了一个问题,那就是很多照片、视频等资料,是可以通过媒体、网络社交软件如朋友圈获得的,如果单纯依赖这些技术识别,一定会发生错误甚至严重后果。

媒体曾报道赵薇的丈夫被冒名卖掉房产,原因就是公证处使用的人脸识别系统通过了审查。其实,任何技术都有一定的原理,也有一定的参数设置,也肯定有一定误差,参数设置高了,老是报警或通不过;参数设置低了,假的错的都通过,也不行。就算企业验证精度达到可以商用、可以出厂实际使用的水平,也一定有误差和错判问题,就像所有合法出厂的其他工业品一般都有合格证,但并不代表质量就一定没问题。从概率上来说,仍有一定比例的产品是有问题但没检验出来的。

对于生物识别技术产品本身来说,哪怕验证重复,精度达到99.99%,仍然还有不准确的,一旦大规模应用,由于基数太大,遭遇影响的就不会是小数字。很多互联网企业对外都宣传自己的正品率有多高、技术有多牛,但对于在具体个案当中的具体当事人来说,虽然他们在那个被故意忽视的小数字里面,他的人身财产利益却是100%会受到影响的。

所以,我们的研发技术专家和法官脑子里必须有根弦:哪怕对于产品是十万分之一的差错,对当事人的影响也是百分百的。只有了解了这一点,在规则制定和案件处理时,才能兼顾公平与效率