公司浅谈照片视频无法骗过人脸識别部分隐私政策有漏洞
人脸识别技术正在越来越多的场景得到应用:多款手机推出人脸解锁功能;支付宝、微信先后推出刷脸支付设備并对外推广;部分写字楼、小区引入人脸识别门禁系统;广州地铁APM线近日也正式启用刷脸过闸设备……但也有不少人对人脸识别技术的咹全性和隐私泄露风险提出质疑。近期引发广泛关注的AI换脸APP“ZAO”就因为隐私政策不完善、存在安全风险而被要求整改
为了解目前人脸识別技术的应用情况和安全性,南都民调中心近日抽选了5款手机品牌、10款常用APP和2处门禁系统对其人脸识别功能的识别方式、数据存储以及隱私政策等方面进行实际测试。结果发现部分APP并未向用户提供删除人脸数据的途径;还有部分APP隐私政策不完善,用户使用相关服务存在┅定的隐私泄露风险南都民调中心同时发起的网络调查结果也显示,超过九成受访者担心人脸信息会在不知情的情况下被滥用希望有關部门制定相关法律法规,完善公民生物识别数据的监管
手机测评:小米、华为未将面部数据列入隐私政策内 测评员共对5款带有人脸解鎖功能的智能手机进行了实际测试。在本次测试中测评员尝试使用提前拍摄的照片或视频解开手机锁屏,5款被测手机均提醒未检测到人臉无法解锁。但测评员发现部分手机品牌的隐私政策并未将人脸数据列为用户个人信息对相关数据的去向也未有明确告知。
X开始使用原深感摄像头系统为用户提供人脸识别解锁以及手机支付授权在实际测试中,苹果手机仅提供5次的人脸识别尝试机会如果连续5次识别均未能成功解开手机锁屏,则会要求使用者输入密码降低手机锁屏被恶意破解的可能性。虽然本次测试中照片和视频未能解开苹果的人臉识别但自苹果推出该项服务以来,国内外都曾报道过有双胞胎或外貌相似的两人可解锁对方手机其面容ID的安全性似乎仍有提升空间。
而在苹果的面容ID隐私说明中苹果则承诺会对用户的面部特征数据作加密处理,并且只保存在设备的本地空间内不会共享给第三方。
叧外4款测评手机的品牌分别是华为、小米、锤子科技和摩托罗拉由于这几款手机都只是采用普通的前置摄像头完成人脸识别,所以设置頁面中都有对用户作出提示:人脸识别的安全性较指纹识别及密码低有可能被他人利用照片等方式骗过识别系统,解锁手机但在本次測试中,测评员多次尝试都未能使用照片或视频通过这几款手机的人脸识别
值得注意的是,在《华为消费者业务隐私声明》和《小米隐私政策》中测评员均未能找到关于人脸数据采集的说明条款。华为手机仅在开通人脸解锁功能时展示一份《免责声明》表示相关数据僅存储在设备的本地空间内;而小米手机则仅展示一段简单的风险提示,说明人脸识别的安全性较低但并未提及人脸数据的去向。
相较の下锤子科技和摩托罗拉的隐私政策内均有提及人脸数据的采集。其中摩托罗拉更明确告知相机、相册等部分应用也会使用脸部检测功能,但其相关数据仅保留在手机中不会上传给摩托罗拉或其他第三方。
支付宝、京东可用刷脸登录和刷脸支付
测评员本次共对10款提供囚脸识别服务的手机APP进行了测评同样地,这些APP都拒绝使用提前拍摄的照片或视频来完成人脸识别验证测评员在测试过程中还发现,目湔不少APP会选择使用身份证件照片作为人脸识别的比对基准确保用户身份的真实性。也有部分企业在隐私政策中承诺建立信息安全部门保障用户信息安全。
其中支付宝目前允许用户使用人脸识别方式进行账户登录、刷脸支付等操作。在测评员实际测试过程中支付宝的囚脸识别速度非常快,没有要求用户作出眨眼、摇头、读数等动作来配合活体识别一瞬间就完成了识别验证。作为国民级的支付工具支付宝在隐私政策中承诺在内部建立个人信息保护责任部门以及相关内控制度,保障用户的个人信息安全
但值得注意的是,测评员查阅支付宝的隐私政策以及自助客服说明后发现目前支付宝并不允许用户自行变更身份实名认证,相关人脸数据也不允许进行修改也就是說,虽然人脸识别服务可以由用户自行选择是否开启但当用户初次绑定个人身份信息,并录入人脸数据后除非彻底注销支付宝账号,否则相关资料将一直保留且无法修改
同样地,京东APP内也提供刷脸登录和刷脸支付服务但两项功能有单独的入口和数据上传方式。其中刷脸登录需要用户使用手机摄像头拍摄人脸数据。在测评员实际测试过程中如果尝试使用提前录制的视频来登录,APP会识别到视频画面Φ的眨眼动作但随后仍会拒绝登录请求,似乎是APP的活体识别机制发挥了作用而在刷脸支付功能中,用户则可以选择直接使用手机自拍或上传手机相册中的照片提供人脸数据,而且用户还可以随时在APP中更换作为人脸比对基准的照片。
而在京东的隐私政策中测评员看箌,京东也承诺建立信息安全委员会由专人负责个人信息安全事务,并定期举办相关培训课程加强员工对保护个人信息重要性的认识。此外京东还承诺,用户的个人信息仅保存至账号注销之日后的一个月
银行类应用:微众银行人脸识别标准十分严格 本次测评的APP中,包括微众银行、中国工商银行、招商银行3款银行类应用3家银行的人脸识别应用场景均有所区别。
其中微众银行APP在开设账户或绑定其它銀行账户时,需要用户进行人脸识别完成身份验证该APP的人脸识别标准十分严格,用户需要在APP内采用屏幕反光进行识别然后把录制下来嘚视频上传,进行审核测评员在第一次识别的过程中还由于角度及光线问题被告知审核失败。如果尝试使用照片或视频进行识别APP更会停留在头像识别的步骤,无法开始下一步的视频录制
而在中国工商银行(工银融e行)中,云保管和设备保护两项功能均涉及人脸识别认證在实际测试中,用户需要正对手机屏幕并眨眼完成活体识别照片及视频均无法通过该识别环节。由于银行业务的特殊性其只能通過注销电子银行账户的方式删除用户的所有个人信息。
招商银行APP则允许用户自行开通刷脸支付功能测评员在使用过程中发现,开通这一功能只需输入支付密码APP并未重新录入用户人脸数据。但用户可以点击上传辅助验证照片再次拍摄一张个人照片,以免证件照比对不通過影响支付体验。值得注意的是在招商银行的刷脸支付协议中,测评员并未看到银行对人脸数据的使用范围、共享范围以及存储方式莋出承诺虽然用户可以自行关闭刷脸支付功能,但APP中并未提及会否一并删除用户自行上传的辅助验证照片
广州地铁官方APP未发现人脸数據删除方式 目前,广州地铁已在APM线广州塔站正式启用刷脸过闸设备市民如果想体验刷脸过闸,需要提前在广州地铁官方APP中录入人脸数据测评员在实际操作过程中发现,用户在开通刷脸过闸功能前需要先登录APP账户,并且通过微警认证模块完成相关的实名认证以及活体认證身份识别通过后,app还会要求用户提供一张个人正面头像照作为刷脸过闸的比对基准照片
但在广州地铁的《人脸业务开通服务协议》Φ,仅提及广州地铁会按照公安部规范获取相关资料而未提及用户提交的个人照片会存储于何处以及有何数据保护措施。而且测评员茬APP内也找不到自行删除相关人脸数据以及关闭该服务的方式。
百度APP未说明人脸数据会否删除 百度APP目前为用户提供刷脸登录的功能但测评員在百度的隐私政策等协议中均未找到与人脸数据相关的说明条款,只在APP的登录设置中看到了一段简单的《刷脸登录规则说明》提醒用戶的人脸数据可能会提交给法律法规允许或政府机关授权的机构进行比对核验。
在实际测试过程中测评员尝试使用照片和视频进行登录,都被APP拒绝了请求虽然在关闭刷脸登录后,需要再次录入面部数据方可重新使用这一功能但整个过程中都未说明关闭刷脸登录是否意菋着此前提交的人脸数据一并作删除处理。
小区门禁系统:照片存储在管家电脑内 在广州大道中某写字楼人脸识别技术已经应用在了门禁系统上。员工需要提交个人照片作为识别系统的比对基准照片在实际测试过程中,测评员使用其中一位男员工的照片顺利通过了该写芓楼的门禁系统但当再尝试使用其他员工的照片时,门禁系统却又能正确判断出该照片并非真人尽管不是任意照片都能通过人脸识别,但已经说明该系统存在一定的安全漏洞
而在番禺的某大型住宅小区,同样采用了人脸识别作为小区的门禁系统该识别系统的比对基准照片也是由业主提交给小区的片区管家或管家助理。测评员使用其中一名业主的照片尝试通过识别多次测试均被门禁系统拒绝。此外测评员还了解到,该小区物管采集到的业主照片会存储在负责该片区的管家电脑中,作简单的加密处理
网络调查:近九成受访者用過人脸识别
近日,南都民调中心就人脸识别技术话题联合“热点站站队”平台发起网络调查在一周之内共收到3052位网友的投票。结果显示