上傳“自拍照”也可能會泄露個人隱私���,這可不是危言聳聽。
隨著生物特征識別技術(shù)在生活中的廣泛使用���,人臉����、聲紋����、虹膜、指紋����,甚至是步態(tài)都已經(jīng)成為重要的個人身份信息,同時也有可能成為個人隱私的泄露方式�。
“秀自拍”背后的“泄密風(fēng)險”
“掃一掃二維碼,上傳一張自己的照片�,來看看你過去的樣子。”
不久前�����,一場網(wǎng)絡(luò)互動活動火了一把����。它讓網(wǎng)友上傳自己的照片,并在朋友圈中分享“自己過去的樣子”��。隨后,有人質(zhì)疑這樣的活動存在泄漏網(wǎng)友生物特征信息的風(fēng)險����,盡管活動主辦方迅速澄清,表示不會保存用戶照片和其他個人信息����,但依舊引發(fā)了人們的關(guān)注。
從一張照片中可以提取到用戶的哪些信息?上世紀八十年代��,某雜志一張封面照片《阿富汗少女》吸引了眾多讀者的目光�。十多年后,為找尋照片中當(dāng)年那個神秘少女���,技術(shù)人員通過虹膜識別技術(shù)����,在上千個自稱是照片主角的人中找到了她��。北京理工大學(xué)光電學(xué)院副教授何玉青向記者講述了這一故事�����。
“那是用30多年前的相機拍攝的照片����,以現(xiàn)在的攝影技術(shù)��,想要獲取某個人的虹膜信息并非難事��。”何玉青說�����。
當(dāng)前,人臉識別技術(shù)更加普及���,隨意上傳自己的照片是否存在安全風(fēng)險?記者向多位技術(shù)專家求證��,多位給出了肯定答復(fù)���。
“盡管不少互聯(lián)網(wǎng)企業(yè)都聲稱有自己的人臉識別算法,并能夠通過機器深度交互學(xué)習(xí)來甄別是活體還是照片����,”360視覺技術(shù)專家邱學(xué)侃表示,“但是任何人臉識別技術(shù)都無法保證100%不被照片等影像騙過去��。”
上海市信息安全行業(yè)協(xié)會會長談劍峰表示:“生物認證最大的共性是唯一性����,每個人都有獨一無二的臉��、指紋和虹膜等��,正是這種唯一性讓大家認為生物認證是安全的����。但生物特征數(shù)據(jù)庫一旦被攻破�,大量帶有唯一性的生物特征數(shù)據(jù)被盜取,這帶來的風(fēng)險要比盜刷嚴重得多�。”
“如果你的郵箱密碼被盜用,你可以重新設(shè)置密碼來彌補損害���。但如果你的虹膜或者指紋等信息被盜用�,你是不可能重新設(shè)置虹膜或者指紋的�。”英特爾公司軟件工程師郭向陽說。
把“我”變成“你”���,其實很簡單
除了人臉信息之外���,虹膜、聲紋、指紋���、掌紋����、手指靜脈甚至步態(tài)都可以作為身份識別的重要生物特征��。一旦這些信息被他人盜取利用��,輕則造成個人財產(chǎn)損失�,重則危及國家安全。
今年春節(jié)期間���,一些機構(gòu)通過社交軟件發(fā)布了“口令紅包”的小游戲。在此類游戲中��,用戶需要根據(jù)文字提示的內(nèi)容錄制一段繞口令��,隨后系統(tǒng)會根據(jù)用戶發(fā)送的音頻來判斷該段繞口令是否標(biāo)準(zhǔn)����,并派發(fā)一定數(shù)額的紅包。有專家指出����,若上述活動被不法分子控制利用����,極有可能泄露用戶的聲紋信息���。
科大訊飛聲紋識別技術(shù)負責(zé)人李晉表示�,從目前的技術(shù)手段來看�����,聲紋解析并不復(fù)雜�����,“當(dāng)用戶的聲紋信息被不法分子獲取�����,有可能會被解析����,進而根據(jù)其特性合成與該用戶音色相同的聲音,或者把其他人的聲音轉(zhuǎn)換成該用戶的�����,用于電話詐騙等犯罪活動。”
在一些視頻網(wǎng)站上��,甚至還出現(xiàn)了利用指模工具復(fù)制他人指紋的教學(xué)視頻��。何玉青表示�����,“復(fù)刻”他人指紋并非難事�,一些人出于指紋考勤需要,將自己的指紋信息提供給他人用來制作指紋倒模�,從而給自己的生物特征信息泄露埋下了隱患。
專家呼吁:用戶需謹慎����,監(jiān)管要加強
“一張沒有其他附加信息的照片泄露隱私的可能性不大,但應(yīng)該防范他人惡意將照片與其他個人信息串聯(lián)后做非法用途���。”安全專家提醒,對于一些要求上傳手持身份證照片或視頻的服務(wù)�,用戶應(yīng)保持警惕。
戴美瞳能避免被復(fù)制虹膜信息嗎?何玉青的團隊通過實驗證明�����,目前市面上銷售的美瞳或隱形眼鏡等產(chǎn)品均無法完全遮擋虹膜信息,“虹膜信息主要處在靠近瞳孔的邊緣部分���,由于瞳孔大小會隨光照變化而發(fā)生改變���,因此即便是花紋多的美瞳也只是能遮擋住極少部分的虹膜信息。因此我們建議�,使用虹膜驗證身份的敏感人群不要隨意上傳照片到網(wǎng)絡(luò),也不要輕易接受他人拍攝照片的要求����。”
騰訊玄武實驗室負責(zé)人于旸表示,生物識別信息的存儲應(yīng)遵循最小化原則��,特別是應(yīng)禁止存儲生物識別信息的原始數(shù)據(jù)����。因為人的生物特征只有一套,所以將生物識別技術(shù)用于身份驗證����,實際上就相當(dāng)于在不同網(wǎng)站上使用相同的密碼。一旦攻擊者竊取了這些生物識別信息的原始數(shù)據(jù)����,用戶在其他網(wǎng)站上的賬號也就危險了�。
“我國對個人信息保護的基本要求都有了��,但是制度設(shè)計中還沒有明確哪個部門來履行監(jiān)督管理職責(zé)����,一些法律中對‘有關(guān)主管部門’的指向也還不夠具體。”中國信息安全研究院副院長左曉棟說�。
“《個人信息安全規(guī)范》已經(jīng)發(fā)布,要考慮如何進一步提升規(guī)范標(biāo)準(zhǔn)的約束力�,進而提升個人生物特征信息的保護效果。”左曉棟建議�����,相關(guān)法律法規(guī)��、政策要積極引用《個人信息安全規(guī)范》����,在特定領(lǐng)域強化國標(biāo)的約束力。
