人脸识别场景实测:照片视频无法骗过识别 部分隐私政策有漏洞
人脸识别技术正在越来越多的场景得到应用:多款手机推出人脸解锁功能;支付宝、微信先后推出刷脸支付设备并对外推广;部分写字楼、小区引入人脸识别门禁系统;广州地铁APM线近日也正式启用刷脸过闸设备……但也有不少人对人脸识别技术的安全性和隐私泄露风险提出质疑。近期引发广泛关注的AI换脸APP“ZAO”就因为隐私政策不完善、存在安全风险而被要求整改。
为了解目前人脸识别技术的应用情况和安全性,南都民调中心近日抽选了5款手机品牌、10款常用APP和2处门禁系统,对其人脸识别功能的识别方式、数据存储以及隐私政策等方面进行实际测试。结果发现,部分APP并未向用户提供删除人脸数据的途径;还有部分APP隐私政策不完善,用户使用相关服务存在一定的隐私泄露风险。南都民调中心同时发起的网络调查结果也显示,超过九成受访者担心人脸信息会在不知情的情况下被滥用,希望有关部门制定相关法律法规,完善公民生物识别数据的监管。
测评员共对5款带有人脸解锁功能的智能手机进行了实际测试。在本次测试中,测评员尝试使用提前拍摄的照片或视频解开手机锁屏,5款被测手机均提醒未检测到人脸,无法解锁。但测评员发现部分手机品牌的隐私政策并未将人脸数据列为用户个人信息,对相关数据的去向也未有明确告知。
苹果自iPhone X开始使用原深感摄像头系统为用户提供人脸识别解锁以及手机支付授权。在实际测试中,苹果手机仅提供5次的人脸识别尝试机会,如果连续5次识别均未能成功解开手机锁屏,则会要求使用者输入密码,降低手机锁屏被恶意破解的可能性。虽然本次测试中照片和视频未能解开苹果的人脸识别,但自苹果推出该项服务以来,国内外都曾报道过有双胞胎或外貌相似的两人可解锁对方手机。其面容ID的安全性似乎仍有提升空间。
而在苹果的面容ID隐私说明中,苹果则承诺会对用户的面部特征数据作加密处理,并且只保存在设备的本地空间内,不会共享给第三方。
另外4款测评手机的品牌分别是华为、小米、锤子科技和摩托罗拉。由于这几款手机都只是采用普通的前置摄像头完成人脸识别,所以设置页面中都有对用户作出提示:人脸识别的安全性较指纹识别及密码低,有可能被他人利用照片等方式骗过识别系统,解锁手机。但在本次测试中,测评员多次尝试都未能使用照片或视频通过这几款手机的人脸识别。
值得注意的是,在《华为消费者业务隐私声明》和《小米隐私政策》中,测评员均未能找到关于人脸数据采集的说明条款。华为手机仅在开通人脸解锁功能时展示一份《免责声明》,表示相关数据仅存储在设备的本地空间内;而小米手机则仅展示一段简单的风险提示,说明人脸识别的安全性较低,但并未提及人脸数据的去向。
相较之下,锤子科技和摩托罗拉的隐私政策内均有提及人脸数据的采集。其中,摩托罗拉更明确告知相机、相册等部分应用也会使用脸部检测功能,但其相关数据仅保留在手机中,不会上传给摩托罗拉或其他第三方。
支付宝、京东可用刷脸登录和刷脸支付
测评员本次共对10款提供人脸识别服务的手机APP进行了测评。同样地,这些APP都拒绝使用提前拍摄的照片或视频来完成人脸识别验证。测评员在测试过程中还发现,目前不少APP会选择使用身份证件照片作为人脸识别的比对基准,确保用户身份的真实性。也有部分企业在隐私政策中承诺建立信息安全部门,保障用户信息安全。
其中,支付宝目前允许用户使用人脸识别方式进行账户登录、刷脸支付等操作。在测评员实际测试过程中,支付宝的人脸识别速度非常快,没有要求用户作出眨眼、摇头、读数等动作来配合活体识别,一瞬间就完成了识别验证。
作为国民级的支付工具,支付宝在隐私政策中承诺在内部建立个人信息保护责任部门以及相关内控制度,保障用户的个人信息安全。
但值得注意的是,测评员查阅支付宝的隐私政策以及自助客服说明后,发现目前支付宝并不允许用户自行变更身份实名认证,相关人脸数据也不允许进行修改。也就是说,虽然人脸识别服务可以由用户自行选择是否开启,但当用户初次绑定个人身份信息,并录入人脸数据后,除非彻底注销支付宝账号,否则相关资料将一直保留且无法修改。
同样地,京东APP内也提供刷脸登录和刷脸支付服务,但两项功能有单独的入口和数据上传方式。其中,刷脸登录需要用户使用手机摄像头拍摄人脸数据。在测评员实际测试过程中,如果尝试使用提前录制的视频来登录,APP会识别到视频画面中的眨眼动作,但随后仍会拒绝登录请求,似乎是APP的活体识别机制发挥了作用。而在刷脸支付功能中,用户则可以选择直接使用手机自拍,或上传手机相册中的照片提供人脸数据,而且,用户还可以随时在APP中更换作为人脸比对基准的照片。
而在京东的隐私政策中,测评员看到,京东也承诺建立信息安全委员会,由专人负责个人信息安全事务,并定期举办相关培训课程,加强员工对保护个人信息重要性的认识。此外,京东还承诺,用户的个人信息仅保存至账号注销之日后的一个月。
银行类应用:微众银行人脸识别标准十分严格
本次测评的APP中,包括微众银行、中国工商银行、招商银行3款银行类应用。3家银行的人脸识别应用场景均有所区别。
其中,微众银行APP在开设账户或绑定其它银行账户时,需要用户进行人脸识别完成身份验证。该APP的人脸识别标准十分严格,用户需要在APP内采用屏幕反光进行识别,然后把录制下来的视频上传,进行审核。测评员在第一次识别的过程中还由于角度及光线问题被告知审核失败。如果尝试使用照片或视频进行识别,APP更会停留在头像识别的步骤,无法开始下一步的视频录制。
而在中国工商银行(工银融e行)中,云保管和设备保护两项功能均涉及人脸识别认证。在实际测试中,用户需要正对手机屏幕并眨眼完成活体识别,照片及视频均无法通过该识别环节。由于银行业务的特殊性,其只能通过注销电子银行账户的方式删除用户的所有个人信息。
招商银行APP则允许用户自行开通刷脸支付功能。测评员在使用过程中发现,开通这一功能只需输入支付密码,APP并未重新录入用户人脸数据。但用户可以点击上传辅助验证照片,再次拍摄一张个人照片,以免证件照比对不通过,影响支付体验。值得注意的是,在招商银行的刷脸支付协议中,测评员并未看到银行对人脸数据的使用范围、共享范围以及存储方式作出承诺。虽然用户可以自行关闭刷脸支付功能,但APP中并未提及会否一并删除用户自行上传的辅助验证照片。
广州地铁官方APP未发现人脸数据删除方式
目前,广州地铁已在APM线广州塔站正式启用刷脸过闸设备。市民如果想体验刷脸过闸,需要提前在广州地铁官方APP中录入人脸数据。测评员在实际操作过程中发现,用户在开通刷脸过闸功能前,需要先登录APP账户,并且通过微警认证模块完成相关的实名认证以及活体认证。身份识别通过后,app还会要求用户提供一张个人正面头像照作为刷脸过闸的比对基准照片。
但在广州地铁的《人脸业务开通服务协议》中,仅提及广州地铁会按照公安部规范获取相关资料,而未提及用户提交的个人照片会存储于何处以及有何数据保护措施。而且,测评员在APP内也找不到自行删除相关人脸数据以及关闭该服务的方式。
百度APP未说明人脸数据会否删除
百度APP目前为用户提供刷脸登录的功能。但测评员在百度的隐私政策等协议中均未找到与人脸数据相关的说明条款,只在APP的登录设置中看到了一段简单的《刷脸登录规则说明》,提醒用户的人脸数据可能会提交给法律法规允许或政府机关授权的机构进行比对核验。
在实际测试过程中,测评员尝试使用照片和视频进行登录,都被APP拒绝了请求。虽然在关闭刷脸登录后,需要再次录入面部数据方可重新使用这一功能,但整个过程中都未说明关闭刷脸登录是否意味着此前提交的人脸数据一并作删除处理。
小区门禁系统:照片存储在管家电脑内
在广州大道中某写字楼,人脸识别技术已经应用在了门禁系统上。员工需要提交个人照片作为识别系统的比对基准照片。在实际测试过程中,测评员使用其中一位男员工的照片顺利通过了该写字楼的门禁系统,但当再尝试使用其他员工的照片时,门禁系统却又能正确判断出该照片并非真人。尽管不是任意照片都能通过人脸识别,但已经说明该系统存在一定的安全漏洞。
而在番禺的某大型住宅小区,同样采用了人脸识别作为小区的门禁系统。该识别系统的比对基准照片也是由业主提交给小区的片区管家或管家助理。测评员使用其中一名业主的照片尝试通过识别,多次测试均被门禁系统拒绝。此外,测评员还了解到,该小区物管采集到的业主照片,会存储在负责该片区的管家电脑中,作简单的加密处理。
网络调查:近九成受访者用过人脸识别
近日,南都民调中心就人脸识别技术话题联合“热点站站队”平台发起网络调查,在一周之内共收到3052位网友的投票。结果显示,79.7%的受访者对人脸识别技术有一定的了解,仅20.3%的受访者不清楚人脸识别技术。
进一步问及人脸识别技术的使用情况时,仅10.1%的受访者未使用过人脸识别技术,而手机解锁(55.7%)、申请办理证件(49.4%)和门禁系统(43%)则是最常使用人脸识别技术的场合。由此可见,目前人脸识别技术已逐渐渗透到市民的日常生活中。
九成受访者担忧人脸识别安全隐患
尽管人脸识别技术的应用已经十分普遍,但依然有不少受访者表示对该技术并不放心。本次调查中,有41.8%的受访者表示非常担心人脸识别技术存在安全隐患,有55.7%表示有一定担心但可以多加防范,完全不担心的仅占2.5%。
而问及对人脸识别技术的使用存在哪些担忧时,受访者最担心的3种情况是“人脸信息会在不知情的情况下被滥用”“犯罪分子利用该技术制造违反法律和道德的软件”和“人脸信息被非法贩卖”,分别占93.7%,86.1%和83.5%。
受访者呼吁完善公民生物识别数据监管
面对上述担忧,有92.4%的受访者希望有关部门制定相关法律法规,完善公民生物识别数据的监管;而希望“有关服务平台提升技术甄别手段,防止人脸信息被盗用”“限制人脸识别技术的使用主体和使用范围”“使用该技术的机构或企业必须与用户签订使用协议”的受访者分别占81%,79.7%和75.9%。
完善相关数据监管,让大家放心刷脸
从本次的测试结果来看,虽然有门禁系统凭照片便通过了识别,但也并非任意照片都能顺利通过,依靠偷拍、网上抓取等渠道获取的照片视频骗过人脸识别系统的可能性较低。人脸识别相关技术已经较为成熟。但部分服务平台在使用人脸识别技术时,并未对人脸数据保护作出明确承诺,甚至连数据的去向都未能说明,则难免令用户产生担忧。
毫无疑问,人脸识别技术的普及方便了不少市民的日常生活,其市场潜力十分巨大。但在人脸识别技术逐渐走向成熟,应用场景越来越多的同时,有关的行业标准、隐私保护政策也应尽快出台。保护用户隐私不仅需要靠相关企业和机构的自律,更需要在有关部门的引导下建立起整个行业的统一规范,共同筑起保护用户隐私的防火墙。