人脸识别App面临的安全风险

中国信通院：2020年人脸识别技术在App应用中的隐私安全研究报告 节选

人脸识别App面临的安全风险

人脸识别技术应用在提升身份认证便捷度和效率的同时，也给个人隐私和数据保护带来了巨大的挑战。通过评估具有人脸识别功能的App以及梳理国内外人脸识别相关的安全事件，本报告归纳总结出以下三方面的安全问题，并针对这三方面的安全问题分别挑选了应用市场中下载量较多的应用人脸识别技术的App进行了评估，评估结果见报告附件。

（一）网络和数据安全保障机制欠缺易造成人脸数据泄漏

当前关于人脸识别技术的安全技术标准和使用规范不够完善，对于人脸数据控制者的责任和义务，人脸数据主体的权利以及人脸数据在收集、存储、处理等各环节应采取的安全措施缺少相关规定。因此，人脸识别技术的大部分开发企业和应用服务提供商已采取的安全措施可能难以应对人脸识别技术面临的安全威胁，容易发生人脸数据泄露等安全事件。除此之外，网络安全生态环境持续恶化，系统的安全漏洞几乎不可避免，因此人脸数据库泄漏事件也屡见不鲜。更为可怕的是，由于生物识别信息是唯一的，是不可再生的，因此，一旦丢失或者泄露，则是永久泄露，将贻害无穷。2019年2月15日，深网视界公司（主营业务为人脸识别、Al和安防）被曝发生大规模数据泄露，致使256万人的个人信息能够不受限制地被访问，其中包含身份证号码、身份证发行日期、性别、国家、住址、生日、照片和过去24小时内的位置，大约有668万条记录。2020年2月27日，美国人脸识别初创企业ClearviewAl称其整个客户名单被盗。据悉,C1earviewA1具有超过30亿张人像照片，形成了庞大的生物特征信息数据库。虽然本次案件声称仅泄露了客户名单，但ClearviewAl数据库中30多亿人脸数据信息的安全性令人担忧。ClearviewA1律师表示，公司的系统跟网络并没有受到破坏，目前已修复了相关漏洞，并保证类似事件不会再次发生。

（二）人脸识别技术应用不规范为人脸数据滥用提供可能

随着人脸识别技术越来越普遍的应用到人们的生活中，人脸特征也逐渐成为了人们的身份证件之一，但是人脸识别技术的应用存在一些不规范的问题。首先，大部分App在采集人脸数据时并未依据《规范》单独明确告知并征得用户同意，甚至未在隐私政策中说明使用人脸识别技术的目的、范围和方式，使得人脸数据被动收集、使用成为常态。其次，部分社交娱乐类App、在线教育类App未按照相关法律法规要求收集、使用人脸数据，导致人脸识别技术滥用事件时有发生。2019年6月6日，微软公司疑似因未经用户授权使用公众人物面部照片的原因删除了曾为全球最大的人脸识别数据库MSCelebo据悉，MSCeleb数据库拥有超过1000万张图像以及将近10万人的面部信息。在微软删除该数据库前，IBM、松下电气、阿里巴巴、辉达、日立、商汤科技、旷视科技等多个商业组织都曾使用过MSCeleb数据库。2019年10月20日，伊利诺伊州的一起集体诉讼案指控脸书公司滥用面部识别数据，脸书的人脸识别功能在未经过用户同意的情况下被自动激活，系统会要求用户识别照片中标记的人是否是他们认识的朋友。此案涉及700万用户，总罚款金额最高可能达到350亿美元。法庭文件说：“脸书的面部识别技术违反了伊利诺伊州的生物特征信息隐私法(BIPA)O违反BIPA的规定实际上损害了用户的隐私，或会对他们的隐私构成实质性的威胁。

（三）人脸的深度伪造技术严重威胁用户财产甚至人身安全

由于人脸识别技术具有非接触性、成本低、检测快、自动学习等特点，人脸识别已经成为身份识别中的重要手段。但是，与人脸识别技术共同发展的，还有借助机器学习系统、图像视频更改人脸的“深度伪造”技术。自2017年以来，深度伪造技术开始活跃在网络中，随着这一技术算法的日趋成熟，无论是人像还是声音、视频都可以被伪造或合成，并可达到几乎不能辨别真伪的程度，身份欺骗成功率高达99·5‰，甚至成为许多人脸识别系统的克星。鉴于此，借助深度伪造技术破解人脸识别等验证系统，非法盗刷他人支付账户、获取他人个人信息或从事其他冒名的违法活动已成为可能，严重威胁到公民财产安全和人身安全，甚至会使国家安全和公共安全受到威胁，引发社会忧虑和信任危机。2018年5月，美国总统特朗普宣布中止全球气候变化协议，随后被比利时某政党利用“深度伪造”技术篡改，做出一个“特朗普宣告比利时政府也应退出”的假视频，引起比利时民众的公愤。根据浙江省衢州市中级人民法院的判决书显示，从2018年7月份开始，被告人张富、余杭飞等4人以牟利为目的，使用其呐买的公民个人身份信息注册支付宝账号，并使用软件将公民头像照片制作成公民3D头像，从而通过支付宝人脸识别认证。通这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励，共获利4万元，现已判刑。