奧推網

選單
科技

【智慧公會】人工智慧時代,人臉識別門禁、閘機類產品的安全性挑戰

2021-05-19由 安全自動化 發表于 科技

這幾年來,隨著人工智慧技術的快速發展,以人臉識別為代表的AI技術逐漸從公檢法、金融等高安全性領域朝普通行業市場滲透。人臉識別的應用出現在社群門禁、公司考勤、展會通道閘機、景區入口通道等多個場景,貫穿到大眾生活的諸多方面。

 而隨著人臉識別技術應用的日趨普及,個人生物特徵資訊隱私的安全性問題也迎來挑戰。

越來越多商業場所為謀求便利或意欲收集顧客個人資訊,單方面的安裝部署人臉識別攝像頭或人臉識別門禁、通道閘機類產品,使得大眾在日常生活中“刷臉”的頻次越來越高。而部分商家在資訊保安方面又缺乏較強的監管機制,這就留下了隱私洩露的漏洞。

今年3。15晚會上曝光的諸多品牌在人臉識別事件上“觸黴”,也揭開了“刷臉”時代背後所隱藏的風險隱患。

脫離了人證核驗為本的人臉識別應用需謹慎

3。15關於人臉識別被曝光的點主要在於商家未明示的情況下擅自安裝人臉識別攝像機採集顧客人臉資訊,並美其名曰是為精準營銷。

也正是這點觸動了消費者敏感神經。消費者在不知情的情況下被採集了人臉資訊,一旦商家資訊保安監管出現問題,那麼就有可能造成消費者人臉資訊洩露的風險。

對此,a&s也特別採訪了業內某知名生物識別企業,該企業相關負責人明確指出該類事件中關於人臉識別技術應用的不當之處。

首先,商家並沒有明示消費者便單方面進行顧客人臉資訊的採集,這不合規。

依據《資料安全法》和《個人資訊保護法》規定,收集個人生物識別(個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特徵等)資訊前,應單獨向個人資訊主體告知收集、使用個人生物識別資訊的目的、方式和範圍,以及儲存時間等規則,並徵得個人資訊主體的明示同意。

其次,人臉圖片資訊不可以被直接儲存,而應該是以特徵值呈現。

以人證核驗的應用為例,一般是透過AI攝像機抓拍人臉資訊後生成特徵值,然後再將解析出來的特徵值放到另一個庫進行相似度比對。這其中包含兩套系統:一個是個人身份的比對系統,另一個是計算機視覺計算出來的特徵值比對。整個人證核驗的過程中,所有的人臉資訊均以特徵值呈現,不會直接儲存為人臉面部圖片。

最後,該負責人還特別強調,

關於人臉識別技術的採集和應用,出發點要聚焦到以人本身的身份核驗為根。

而這裡被詬病的商家的出發點並不在於身份核驗,而是將客戶人臉資訊作為一種輔助銷售的資料資源,這種做法本身就是本末倒置。

當下國內商業領域關於人臉識別的技術應用,其最大的問題並非是技術的安全性問題,而是倫理性的問題。

”上述負責人補充道。

如何規範人臉識別技術應用的倫理建設?這很大程度上還依賴相關政策標準及法規的完善。

標準出臺,規範人臉識別倫理建設

人臉識別技術和裝置應用,屬於典型的“使用先於規範”、“應用先於立法”。今年兩會期間,關於人臉識別立法的討論呼聲也相當高。有多位代表相繼提到人臉識別立法的必要性以及關於人臉識別立法法規的重點方向。

其中,全國政協委員、中國科學院近代物理研究所研究員蔡曉紅與國家計算流體力學實驗室研究員葉友達、中國科學院微電子研究所副所長周玉梅等6位全國政協委員聯合提案,圍繞加強人臉識別監管提出了多項建議。

建立人臉識別的網路及資訊保安監管體系,加快制定人臉識別應用技術標準體系,明確對人臉識別軟硬體應用的安全技術要求;建立人臉識別應用的安全評估及稽核制度,針對安防、金融、電商、支付等不同應用領域進行安全評估,對人臉識別產品的應用及推廣增加審批環節,保證產品符合安全技術要求。

儘管當前《資料安全法》和《個人資訊保護法》中均有提到人臉識別技術應用在收集、儲存、共享、披露等不同環節應遵循的標準,但在執法和監管層面仍需要介入更具有針對性的監管手段。

比如有代表建議生物識別資訊管理參照身份證,在公安或網信系統增設專門的資料保護部門;設必要門檻,杜絕任何企業都可染指公民生物識別資訊的現狀,乃至參照身份證管理辦法,原始資料應統一由國家掌控。

在眾多人臉識別相關提案中,可以看出加強對人臉識別技術應用的監管已經成為共識,人臉識別應用將迎來強監管階段。

而就在近日(4月22日),《資訊保安技術人臉識別資料安全要求》國家標準的徵求意見稿正式面向社會公開徵求意見。

國標要求,收集人臉識別資料時應徵得資料主體明示同意,不得利用人臉識別資料評估或預測資料主體工作表現、經濟狀況、健康狀況、偏好、興趣等情況。這些條例可有效規範部分商家對人臉識別資料的非身份核驗的使用行為。

同時,該國標還對進行人臉識別的開發商提出了技術資質門檻,要求其具備相應的資料安全防護和個人資訊保護能力,以防範人臉識別被“活照片”等非法破解。

技術把控,提高人臉識別資訊保安等級

加強對人臉識別技術應用的監管有望從立法層面自上而下逐步落實,但這也將是一個道阻且長的過程。而眼下,面對人臉識別在商業領域現存的安全隱患困境,用技術手段提升生物識別技術的安全等級也是當務之急。

上述國標中提到要提高人臉識別開發商的技術資質門檻,這裡的技術門檻,既包括人臉防偽技術也包括資料加密技術。

在這方面,目前業內領先的生物識別技術和解決方案提供商都非常重視構建生物識別技術的資訊保安屏障。

在人臉防偽技術方面,主流的生物識別廠商基本都會採用相關演算法來提高人臉識別活體檢測的能力,以防止被照片、面具等“假人臉”破解。

另外在資料加密環節,國標有明確提到應採取安全措施儲存和傳輸人臉識別資料,包括但不限於加密儲存和傳輸人臉識別資料,採用物理或邏輯隔離方式分別儲存人臉識別資料和個人身份資訊等。

不過,由於強化生物識別的資訊保安等級本身具有較高的技術門檻,並且會增加產品研發的投入成本,這也成為很多小廠無法兼顧的地方。一套人臉識別系統的價格優勢和高安全等級優勢,這對於以追求經濟效益為目的的商業領域而言,往往會選擇前者而忽視後者。而這也是人臉識別在商業領域頻繁“暴雷”的原因之一。

綜合來看,

要提升商業領域人臉識別技術應用的安全等級,亟待從立法層面加強監管、產品研發設計層面構築裝置安全和資訊保安屏障以及提升商業市場的整體資訊保安意識等多方面著手,多方協同才能更好的完善商業領域人臉識別的技術應用安全規範。

人臉識別技術人臉應用資訊保安

相關文章閱讀