当前位置:华夏生活门户网 >> 科技前沿 >> 脸数据黑制作调查:800元可以买一个“整容”教程 攻击设备不需要黑客

脸数据黑制作调查:800元可以买一个“整容”教程 攻击设备不需要黑客

发布于:2021-01-12

仅人脸数据的泄露就给个人隐私和信息安全带来了极大的隐患。如果获得了与身份数据相匹配的人脸信息,损失将更加难以估计,这也为人脸数据进入灰色交易市场提供了空间。

《财经深水区》由腾讯新闻和优质媒体联合制作,专注于金融领域的深度调查和报道。

时代周刊记者:杨玲玲张孟林

人脸识别在给人们的日常生活带来便利的同时,也让人担心:如果人脸数据被盗会发生什么?

人脸识别在移动APP认证中得到了广泛的应用,它关系到用户财产和隐私的安全。对于林诚(化名)来说,“绕过”人脸识别完成身份认证成了他赚钱的方式。“你想学吗?教给你们所有人。”为了让《时代周刊》记者相信卖人脸数据交易的林成(化名)在自我认证技术上是高人一等的,在一分钟之内就查出了很多与记者QQ号相关的密码、邮箱账号和密码、手机号码等信息,“我还可以提供独家高清照片资源”。

在林诚看来,人脸数据是一个可交易的产品。2020年12月3日,他告诉《时代周刊》记者,花800块钱上一节教程,就能学会如何拾取人脸数据。

“关于1元购买健康宝的查询”“2元购买70多位艺人健康宝的照片”……近日,杨幂、鹿晗、李易峰、罗伊等多位明星的核酸检测照片被泄露,在粉丝中引起轩然大波,同时也引发了很多人的担忧:我的脸是这样卖的吗?

“面部,包括你的面部特征,也与身份数据、行为轨迹、财务信息、消费记录等相关联。并且是打开个人数据的关键。”近日,中国政法大学传播法研究中心副主任朱伟在接受《时代周刊》采访时表示。

长期以来,人脸信息采集前的知情权、采集范围和使用边界、人脸数据存储的安全性很少受到关注和不透明。

人脸识别行业一路狂奔。据前瞻产业研究院研究,中国人脸识别整体市场增长迅速,市场渗透力迅速上升。预计到2021年中国人脸识别市场规模将达到53.16亿元,到2024年将超过100亿元。

2020年12月初,360城市安全集团副总裁、360视觉科技总经理邱在接受《时代周刊》采访时透露,市场上90%以上的人脸识别产品处于“裸奔”状态。

1月8日,CCID咨询人工智能部负责人邹德宝对《时代周刊》表示,照片数据信息的采集和存储涉及很多环节,包括数据采集、平台研发、App运营等。一个环节的任何问题都会导致信息泄露。

聊天群里交易数据

仅人脸数据的泄露就给个人隐私和信息安全带来了极大的隐患。如果获得了与身份数据相匹配的人脸信息,损失将更加难以估计,这也为人脸数据进入灰色交易市场提供了空间。

《泰晤士报》记者发现,目前依靠出售和搜索人脸信息牟利的黑市交易十分猖獗。

“支付宝解封,需要一张脸,可以私聊”,“可以有脸”,“牌照照片,SFZ捧半身,好货,新老资料”在一个近400人的“人脸识别技术交流群”。群里不断有人发上面的消息,中间也有群主。“谁先付款,99%都是骗子,有需要可以找团主担保。”

林诚是这个交流小组的成员。他告诉《泰晤士周刊》记者,他手中的独家照片是从特殊渠道获得的。出于自我保护,林诚不愿意详细谈特殊渠道。

所谓的特殊频道,虽然林盛没有详细介绍,是关于人脸识别的

别相关技术,这些不能见光的渠道,都隐藏在蓬勃发展的人脸识别产业之下。

武威(化名)是一家数据标注公司的老板,1月7日,他告诉时代周报记者,需要标注的人脸数据一般由AI公司提供,数据标注公司也可以采集标注一体。

按照正常的商业规则,一批出售给客户的脸部数据,过了保密期时效才可以进行二次售卖,保密期从数年到数十年不等,有的合同甚至规定终身。

“有的公司还在保密期时效内就进行二次售卖。”武威称,这样的数据,AI公司买时多半也知情,部分AI公司收二手数据,就是因为数据价格便宜、速度快,同时使用效果也不会打折扣。

付费采集的高精度、多角度、符合特定要求的人脸数据,只是AI公司庞大的人脸数据网络中一环。

使用爬虫工具抓取互联网上公开的照片,是另一个重要来源。也就是说,用户在社交平台分享的脸部照片可能正在产生本人无法知晓,也不会拿到报酬的商业价值。

邱召强在接受时代周报记者采访时表示,当前市面上大多数人脸识别产品的确处在“裸奔”状态。

数据保护需要成本。“安全是一种能力,是一个体系的建设,一分钱一分货,如果要找专家级的安全大咖做安全加固,相应付出的成本也比较高。”邱召强称,这对于初创公司来说,是一笔需要持续投入的费用,压力不小。

“去年2月-3月,360 AI安全研究院和攻防实验室对市面上销量不错的厂商进行了一次摸底测试,结果不容乐观,80%以上的人脸识别系统没有活体识别,90%以上的设备存在数据安全问题。”邱召强说道。

邱召强介绍,攻击它们甚至不需要黑客,一个网络工程师就能通过wifi、蓝牙或者网线等方式远程接入端口,把设备里的照片、身份证、家庭住址、手机号码等信息拷贝出来,还能植入定向传输的木马程序,让设备自动传输数据到指定IP。

报酬几元到数十元不等

事实上,市面上有正常的人脸数据买卖渠道,前提是被采集者知情和同意。

“大多在村镇做采集,那边人力成本便宜,”武威介绍,他的公司开在成都,人脸数据采集地也位于西南部农村地区,有专门的中介组织信息采集,流程已非常熟练。

如果只是拍照,数分钟就能搞定,如果有声音或者视频需求,则要数十分钟或者半小时,报酬也从几元到数十元不等。

1月7日,数据标注公司红蚁数标相关负责人告诉时代周报记者,对人脸进行标注,就是根据AI公司的算法要求,对人脸的关键点进行打点。

“有的要求低,只需要画框,有的要求标注眉毛、眼睛或其他五官中的一个,有的要求比较高,是全脸36点,甚至136点。”在该负责人发给时代周报记者的一张图片中,一名中年男性的脸部轮廓和五官都被打上密密麻麻的点。

日前,有数据标注行业人士向时代周报记者透露,很少有AI公司自己成立数据采集团队,大多是外包。因为很多AI公司在一二线城市,人力成本高,公司的标注需求也不连续,可能一年就2-3个月时间需要数据标注,自己招人、管理、培训投入较大。但像百度、阿里、科大讯飞这样的大型企业,也有自己的标注基地。

武威介绍,数据标注公司跟AI公司的合作流程,一般是AI公司告知具体的数据需求,然后进行报价,标注公司提供一些样本数据,AI公司对数据质量满意后,再进行正式的采集。

“现在人脸采集已经相对规范,都会让被采集人签订同意采集书,AI公司也会签订保密协议,收到的采集数据不能再进行转卖。”武威透露。

在人脸识别领域,商汤科技、旷视科技、依图科技、云从科技四家AI独角兽,被称为计算机视觉“四小龙”,是资本的宠儿。

去年9月,李开复在一个公开场合的发言,触碰了行业敏感神经。李开复称,“曾在早期帮助旷视科技公司找了包括美图和蚂蚁金服等合作伙伴,让他们拿到了大量的人脸数据,并在随后的摸索过程中找到了几个有价值的商业化方向”。

这一言论很快被旷视科技、蚂蚁金服否认,但仍在业内引起不小震荡。

近日,时代记者尝试联系商汤科技、旷视科技、依图科技、云从科技等企业人士,采访了解数据采集渠道以及存储安全等问题,均被婉拒。

2020年12月25日,一位接近云从科技的行业人士告诉时代周报记者:“云从的技术部署不会采集数据,所有数据是存放在客户私有云上,最后用于识别的数据是处理过后的编码,理论上不具有回溯性。”

应用遍地开花

数据采集位于产业链前端,算法需要海量的数据来“投喂”,底层技术实现飞跃后,人脸识别的应用场景也呈现出爆炸式增长。

“标配3万级人脸库、人脸辨认精确率>99.97%、辨认速度

这样的产品,在新冠肺炎疫情后悄然走俏,出现在商场、写字楼、地铁站、火车站等入口处。除了测温,这些产品的另一个被忽视的功能是采集人脸信息。

人脸信息采集后被存储在运营方或技术提供方的中心化数据库中,数据是否脱敏、哪些会被“喂”给算法训练,用户一无所知。

与人脸识别测温系统类似,安装在各个角落的摄像头,也在“悄悄”记录人们的行动轨迹,餐饮店食客品尝菜品时的面部表情,过街天桥的人流密度,商场顾客的男女比例、年龄段……都成为有售卖价值的信息被一一记录。

未经同意私自采集人脸信息的问题终于在地产行业最先爆发。2019年12月,一名男子“戴着头盔看房”的短视频在网上流传。事情的起因是,售楼处为对客户进行“精准分类”,利用无感人脸采集系统,对用户进行人脸信息采集。为保护个人信息,该男子不得不采取头戴头盔的非常规方法。

此举随后引发人们的激烈讨论,也使得地方政府高度重视。短短数天,天津、南京、杭州纷纷出台政策,禁止非法采集人脸信息、禁止强制进行人脸识别。

不仅针对消费能力较强的成年人,在未成年人的世界,人脸识别技术同样被广泛应用。

课堂里,学生们依次拿着铅笔、剪刀等器物,对着摄像头,让人工智能系统进行“学习”,系统与数据库中的模型进行对比……这是华师附中同学们的人工智能课程日常。

2020年11月下旬,一名向学校提供智慧课堂解决方案的AI公司高层人士告诉时代周报记者,“人脸识别进课堂不是为监视学生,而是希望通过记录学生的学习数据,帮助了解他们的兴趣点和知识薄弱点,有利于老师因材施教”。

监管亟待归位

要求读取相册权限的各种App、提供人脸解锁功能的智能手机、进行面部识别验证的各类金融App,甚至是住宅小区、办公楼里的门禁系统……必须承认,人脸识别产品已经遍地开花。

“面对人脸识别技术的迅速推广,人们所表现出的平静与愉悦,大体上是因为,很多人将人脸识别技术理解为单纯的识别与印证,不觉得有什么风险。”清华大学法学教授劳东燕撰文指出。

劳东燕认为,这是一种重大的误解。人脸识别技术不仅用来抓取个人的面部生物信息,并与既有数据库中的相应数据相比对。它还能进一步追踪到个人的身份信息、日常的行踪轨迹、人与车的匹配、亲属关系的匹配以及经常接触人员的匹配等。这一切,只取决于掌控之人想不想使用。

产业狂飙猛进背后,是越来越明显的冲突与矛盾。

“技术的发展有不同阶段,当我们对于技术的潜在隐患不具备控制能力的时候,应当将更多精力投入到改进技术并降低风险与安全隐患上。”中国科学院自动化所研究员、北京智源人工智能研究院AI伦理中心主任、国家新一代人工智能治理专委会委员曾毅称,支持针对具有高度风险和不确定性的技术与应用领域给予严格的控制甚至禁用。

疫情期间,公共卫生事件的爆发屡屡触碰到AI伦理安全的边界,曾毅表示,从不认为在拯救生命等严肃问题面前,AI伦理红线应有任何程度的放宽。

邹德宝也提出,人脸已成为个人信息的准入码,人脸数据的使用底线,应围绕本人的社会活动来限定,任何非经允许或未经授权的行为,都应纳入违法侵权行为。

2020年10月1日,由国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术个人信息安全规范》(GB/T35273-2020)正式实施。这是目前国内针对个人信息保护的标准规定。

根据这份文件,面部识别特征等个人生物识别信息,属于个人敏感信息,企业在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。

今年1月1日起施行的《民法典》也在“人格权编”中提出,处理人脸在内的个人信息,应当遵循合法、正当、必要原则。

2019年4月,浙江理工大学特聘副教授郭兵在杭州野生动物世界办理年卡,6个月后,该园将入园方式由指纹识别升级为人脸识别,双方就入园方式、退卡等相关事宜协商未果,郭兵将杭州野生动物世界诉至法院。由于涉及到人脸信息安全,此案件也被称为“人脸识别第一案”,引起社会各方广泛关注。

“2020年12月29日开过一次庭,现在没有新进展。”1月5日,“人脸识别第一案”主诉人郭兵告诉时代周报记者。据媒体报道,该案已在杭州中院二审。案件将择日宣判。

“一切隐私数据都应得到保护。”2020年12月25日,一家头部AI公司的负责人在接受时代周报记者采访时表示,制定监管规则是一回事,还要有技术能力保障涉密的数据、隐私的数据以及商业机密不会外泄。

标签: 数据 周报 的人
最新文章
猜你喜欢
本类推荐
TOP 10