危險(xiǎn)!拍照習(xí)慣性的“剪刀手”,正在泄漏你的指紋信息
技術(shù)在帶來便利的同時(shí)也帶來了信息安全的隱憂,目前針對(duì)這方面的規(guī)范并不全面,甚至沒有參考案例。面對(duì)來勢(shì)洶洶的信息安全危機(jī),生物識(shí)別行業(yè)的監(jiān)管和自律需要盡快形成體系并逐步完善。
“剪刀手”照片通過照片放大技術(shù)和人工智能增強(qiáng)技術(shù),就能將照片中人物的指紋信息還原出來?。?!
9月15日,2019年國(guó)家網(wǎng)絡(luò)安全宣傳周在上海舉辦,上海信息安全行業(yè)協(xié)會(huì)副主任張威表示,大家在拍照時(shí)一般不太會(huì)注意到自己比的“剪刀手”很容易泄露身份信息。
“基本上1.5米內(nèi)拍攝的剪刀手照片就能100%還原出被攝者的指紋,在1.5米-3米的距離內(nèi)拍攝的照片能還原出50%的指紋,只有超過3米拍攝的照片才難以提取其中的指紋?!?/p>
ZAO事件收集“面部信息”輿論風(fēng)波還未平息,“指紋信息”又成為了一個(gè)新的熱點(diǎn)。
大眾為何對(duì)于指紋、面部如此敏感?這與人臉識(shí)別、指紋識(shí)別技術(shù)在支付、安防等領(lǐng)域的大量使用密不可分,而人臉、指紋這些生物信息正在成為互聯(lián)網(wǎng)時(shí)代的“萬能鑰匙”。
一、生物信息識(shí)別技術(shù),互聯(lián)網(wǎng)時(shí)代的“萬能鑰匙”
時(shí)間線回到2015年,馬云在德國(guó)漢諾威IT博覽會(huì)上演了經(jīng)典的“掃臉”。為螞蟻金服的Smile to Pay(微笑支付)掃臉技術(shù)站臺(tái),刷自己的臉從淘寶網(wǎng)上購(gòu)買了一枚20歐元的1948年漢諾威紀(jì)念郵票。
也就是在那一年,支付寶正式推出“刷臉登錄”功能,即用戶用人臉驗(yàn)證取代賬號(hào)密碼進(jìn)行登錄。
經(jīng)過四年的發(fā)展和迭代,“刷臉登錄”從支付寶一個(gè)隱藏在四級(jí)子菜單、體驗(yàn)大于實(shí)用的“展示功能”,逐步前置,權(quán)限放手,發(fā)展為幾乎面向所有智能機(jī)型開放的“刷臉支付”,應(yīng)用場(chǎng)景進(jìn)入到互聯(lián)網(wǎng)金融的核心陣地。
而手機(jī)指紋支付的普及還經(jīng)歷過段小小的插曲,這段插曲的主角就是同屬于深圳的兩家企業(yè)——騰訊與華為。
在2013年,蘋果推出支持指紋識(shí)別的iPhone 5s,并在次年推出便捷的Apple Pay,國(guó)內(nèi)廠商開始陸續(xù)普及指紋支付這項(xiàng)功能。
微信支付、支付寶等移動(dòng)支付商家也開放了指紋支付的接口,使用戶付款更加便捷。而華為mate7也成為了第一臺(tái)支持微信指紋支付的手機(jī)。
但在數(shù)年間,mate7是第一臺(tái)也是最后一臺(tái)支持微信指紋支付的手機(jī);直到雙方和解后,仍未披露當(dāng)時(shí)未繼續(xù)合作的原因。但是據(jù)了解,對(duì)于用戶指紋信息到底是存儲(chǔ)在騰訊的云平臺(tái)還是手機(jī)本地這個(gè)問題,雙方發(fā)生的巨大分歧是未繼續(xù)合作的重要原因。
現(xiàn)在使用支付寶和微信的指紋支付已經(jīng)成為了一件非常普遍的事情,而生物識(shí)別技術(shù)應(yīng)用的便捷性,已經(jīng)成為了兩大支付應(yīng)用跑馬圈地的重要籌碼。
但是生物識(shí)別技術(shù)真的百分之百安全嗎?
二、生物識(shí)別技術(shù)的爭(zhēng)議
2019年4月8日,一則看似稀松平常的民生新聞,引發(fā)了大家的隱憂。
寧波公安局在其官方微信公眾號(hào)中發(fā)表了一篇《一男子睡夢(mèng)中“被支付”上萬元,竟是用了人臉識(shí)別!》的文章,介紹了袁先生在睡夢(mèng)期間被同宿舍的劉某和楊某用人臉識(shí)別轉(zhuǎn)走銀行存款的事情。這件看起來很標(biāo)題的民生新聞背后,卻暴露了生物識(shí)別技術(shù)的隱患。
雖然最終核實(shí),僅是在解鎖階段運(yùn)用了人臉識(shí)別技術(shù),支付階段是通過密碼的方式進(jìn)行了轉(zhuǎn)賬,但新聞還是引起了一定范圍內(nèi)的恐慌。
看起來設(shè)置了很多道“防火墻”的生物識(shí)別技術(shù),實(shí)際上仍有很大的安全隱患。
三、到底是誰(shuí)在使用你的生物信息?——生物信息的收集與處理
在大眾看來,很多生物識(shí)別技術(shù)的應(yīng)用看起來是一樣的。就是刷個(gè)臉、按個(gè)指紋的事情,但在具體的實(shí)現(xiàn)路徑上,不同的應(yīng)用之間實(shí)際上是不同的。
就拿人臉識(shí)別這件事情來看,支付寶和微信的技術(shù)方案就有所不同。
微信現(xiàn)有的方案主要是本地3D人臉認(rèn)證方案,而支付寶采用的是2D人臉支付模式,乍一聽好像3D要比2D安全的多。
所以為確保在二維方案下的人臉識(shí)別準(zhǔn)確性,支付寶會(huì)調(diào)用阿里系平臺(tái)更多的數(shù)據(jù)維度,如消費(fèi)數(shù)據(jù)、消費(fèi)習(xí)慣、信用數(shù)據(jù)、消費(fèi)能力等,結(jié)合人臉識(shí)別結(jié)果一同針對(duì)該用戶的金融行為做出評(píng)判,來保障整個(gè)交易的安全。
無論采用的是哪種技術(shù)方案,在這個(gè)過程中,大家可能最關(guān)心的一點(diǎn)就是到底是誰(shuí)收集走了自己的生物信息,自己的生物信息又是怎樣被運(yùn)用了。
因?yàn)椴皇翘貏e專業(yè)的技術(shù)人員,為了解開這個(gè)謎團(tuán),我們翻找了支付寶與微信的部分公開協(xié)議。
我們先看支付寶的部分協(xié)議:
首先是支付寶的《隱私權(quán)政策》:第一部分第10條就寫明了,“我們僅接收驗(yàn)證結(jié)果,并不收集您的指紋或面容ID信息”。
我們簡(jiǎn)單做個(gè)翻譯,這句話的意思就是,支付寶是按照你用的手機(jī)發(fā)過來的驗(yàn)證結(jié)果,來判斷是不是要付這筆錢的;支付寶沒有收集你的指紋或者面容信息去做比對(duì),都是你的手機(jī)告訴我的,用戶手機(jī)才是收集和處理信息的地方。
而支付寶《生物識(shí)別服務(wù)通用規(guī)則》的2.1條描述:“您理解對(duì)您生物識(shí)別信息的采集、存儲(chǔ)和比對(duì)將由您使用的手機(jī)或設(shè)備及其系統(tǒng)來完成”,也同樣重復(fù)了原來《隱私權(quán)政策》里的意思。
再看下微信的《隱私政策》,在《我們收集的信息》第1.10條中,微信并沒有聲明在使用支付功能時(shí)會(huì)收集用戶的指紋或者面容信息,其生物識(shí)別信息技術(shù)的實(shí)現(xiàn)路徑很難從協(xié)議中推斷。
在歐盟,GDPR(General Data Protection Regulation,《通用數(shù)據(jù)保護(hù)條例》)就針對(duì)“個(gè)人生物識(shí)別數(shù)據(jù)”專門提出了“除非獲得用戶明確同意,或者具有其他正當(dāng)理由,否則禁止收集、處理上述個(gè)人數(shù)據(jù)”的要求。
在國(guó)內(nèi),在《個(gè)人信息保護(hù)規(guī)范》中要求個(gè)人生物識(shí)別信息應(yīng)僅收集和使用摘要信息,避免收集其原始信息。
由此可見,生物識(shí)別信息的收集和使用本身有更高的標(biāo)準(zhǔn)。
雖然兩家應(yīng)用沒有直接收集使用,但作為支付功能的提供方,兩家支付企業(yè)都沒有很明確地說明,在整個(gè)指紋或者面部支付使用過程中,信息核驗(yàn)的過程到底是怎么樣的?如果出現(xiàn)問題,應(yīng)用方到底是什么角色或者責(zé)任方式該如何承擔(dān)。
四、人工智能時(shí)代繞不過的“Deepfake”問題——誰(shuí)來承擔(dān)責(zé)任?
疑惑隨著各類事件的爆發(fā)開始凸顯,大眾的焦慮也越來越深了。這種焦慮不僅僅是來自于傳統(tǒng)的風(fēng)險(xiǎn),而是在技術(shù)不斷進(jìn)步的情況下,一些黑灰產(chǎn)業(yè)也在不停地膨脹。
“Deepfake”,人工智能時(shí)代的深度偽造成為了生物識(shí)別技術(shù)應(yīng)用的一大挑戰(zhàn)。而如果因?yàn)樯疃葌卧彀l(fā)生的盜刷損失,到底責(zé)任該由誰(shuí)承擔(dān)?
在現(xiàn)有的法律框架下,主張合同糾紛和侵權(quán)責(zé)任糾紛是兩條可能的路徑。
1. 主張合同糾紛,論證安全保護(hù)措施是否到位難度大,勝訴幾乎沒有可能
我們以支付寶舉例,一般的用戶與支付寶之間成立的是服務(wù)合同關(guān)系。
如果主張合同糾紛,就需要舉證支付寶在此期間未履行相應(yīng)的安全保護(hù)義務(wù),但顯然這種舉證責(zé)任對(duì)于技術(shù)的要求是非常高的,需要論證現(xiàn)有的安全保護(hù)措施是否真正到位,在未有普遍性的規(guī)范標(biāo)準(zhǔn)下,勝訴的可能幾乎不存在。
2. 如果被盜刷用戶主張的是侵權(quán)責(zé)任糾紛,可以主張的對(duì)象增加,但是難度依然很大
如果主張侵權(quán)責(zé)任糾紛,可以主張的對(duì)象是信息泄露者、偽造者、未合理提供安全保護(hù)技術(shù)的手機(jī)廠商和應(yīng)用商家。
偽造者和信息泄露者作為侵權(quán)的直接實(shí)施方、過錯(cuò)方,承擔(dān)責(zé)任或者補(bǔ)充責(zé)任不難理解,這在現(xiàn)實(shí)中已經(jīng)有很多判例,比較著名的就是東航因泄露個(gè)人信息被判道歉的案件。
有爭(zhēng)議的是如何合理區(qū)分手機(jī)廠商與應(yīng)用商家之間的責(zé)任。
第一個(gè)爭(zhēng)議
如果手機(jī)廠商未嚴(yán)格按照應(yīng)用商家的標(biāo)準(zhǔn)提供核驗(yàn),在此基礎(chǔ)上,手機(jī)廠商顯然需要對(duì)于自身的行為承擔(dān)責(zé)任。但是,此時(shí)是否要區(qū)分用戶是否知曉驗(yàn)證服務(wù)實(shí)際由手機(jī)廠商提供呢?
如果應(yīng)用商家未在用戶協(xié)議中寫明驗(yàn)證路徑,用戶顯然是不知曉如何發(fā)生生物信息識(shí)別驗(yàn)證的,發(fā)生問題只能由應(yīng)用商家先承擔(dān)責(zé)任,再由應(yīng)用商家向手機(jī)廠商追償。
第二個(gè)爭(zhēng)議
如果因?yàn)樯疃葌卧斓募夹g(shù)突破了現(xiàn)有的安全保障技術(shù)手段,在這種情況下是否可以追究手機(jī)廠商或者應(yīng)用商家的責(zé)任?
我們認(rèn)為需要論證現(xiàn)有安全保護(hù)措施到底是否可以充分保證用戶的支付安全。在這種情況下,同樣回到了原有的問題,到底什么樣的安全保護(hù)措施才是到位?
解決這些問題,最好的方式是統(tǒng)一現(xiàn)有移動(dòng)設(shè)備生物特征識(shí)別行業(yè)的標(biāo)準(zhǔn)。
據(jù)了解編號(hào)為ISO/IEC27553《移動(dòng)設(shè)備生物特征識(shí)別身份認(rèn)證安全要求》的標(biāo)準(zhǔn)現(xiàn)正由支付寶帶頭起草,這將是基于生物識(shí)別的身份認(rèn)證領(lǐng)域首個(gè)ISO國(guó)際標(biāo)準(zhǔn),而關(guān)于生物信息識(shí)別領(lǐng)域標(biāo)準(zhǔn)和規(guī)范的落地可以更清晰界定各方的責(zé)任,現(xiàn)有生物識(shí)別技術(shù)應(yīng)用的法律問題僅僅只是冰山一角。
如今,人臉識(shí)別等生物識(shí)別技術(shù)的發(fā)展與應(yīng)用漸入佳境,市場(chǎng)規(guī)模日益壯大。
統(tǒng)計(jì)顯示:目前從事生物支付行業(yè)的企業(yè)超過1000家,2018年市場(chǎng)規(guī)模超過1000億元以上。可以預(yù)見在不久的未來,這個(gè)行業(yè)除了更快的發(fā)展速度外,監(jiān)管和自律將會(huì)成為重要的旋律。
參考文章:
《你認(rèn)為手機(jī)“刷臉支付”有多安全?我們測(cè)出準(zhǔn)確率不足七成 | 獨(dú)家深度調(diào)查》 ,機(jī)器之能四月
《一男子睡夢(mèng)中“被支付”上萬元,竟是用了人臉識(shí)別!》 ,寧波公安
作者:嚴(yán)哲瑀,公眾號(hào):星光法顧(ID:gh_1d905d36d4ad)
本文由 @星光法顧 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可,禁止轉(zhuǎn)載
題圖來自Unsplash,基于CC0協(xié)議
?? 這種謠言都能信的,很難相信是互聯(lián)網(wǎng)人了。。。。
加個(gè)活體檢測(cè)是否可行
這種謠言也有人信……
公眾號(hào):星光互聯(lián)網(wǎng)觀察(ID:xglawyer001) ?? 公眾號(hào)已經(jīng)變更過了