刷脸=刷钱?专家提醒刷前洞察三大安全隐忧

2018 年 7 月 8 日1940

  近来,苹果手机推出“Face ID”人脸识别功能,蚂蚁金服、京东、苏宁等互联网企业推出刷脸支付功能,中国农业银行启用刷脸取款机,人脸识别掀起新一轮热潮。伴随着人工智能时代的到来,人脸识别技术在深度学习和大数据驱动下,获得革命性突破,展现出巨大的发展潜力,其应用场景不断拓展,由安防等公共领域向支付及验证等商业领域逐步扩展。不容忽视的是,在人脸识别技术持续演进、应用不断扩展的同时,也带来了数据泄露、个人隐私遭受侵犯等信息安全问题。如何最大限度降低信息安全风险,确保人脸识别技术安全、可靠、可控发展,值得深入思考。

  人脸识别发展进入重要窗口期

  政策环境优化,产业发展前景广阔。人脸识别作为人工智能重点细分领域,迎来了深入发展的重要窗口期。自2015年以来,我国密集出台了《关于银行业金融机构远程开立人民币账户的指导意见(征求意见稿)》《安全防范视频监控人脸识别系统技术要求》等政策文件,为人脸识别技术在安防、金融等领域的应用拓展奠定了坚实基础。未来,人脸识别政策红利将持续释放,产业将呈现高速发展的态势,预计至2022年,我国人脸市场规模将达到66.73亿元。

  应用场景拓展,从公共安防领域扩展到商业领域。随着人脸识别技术突破演进,其应用领域从传统的公共安防领域向商业领域逐步拓展。一是人脸识别在公共安防领域应用不断深入。目前,安防市场是人脸识别的最大市场,在智慧城市、平安城市等重要战略部署推进下,人脸识别在公共安防领域的应用更将加速跃进。二是人脸识别正逐渐渗透至对安全可靠性需求较高的支付及验证等商业领域,不仅在在线开户、在线支付认证、柜台身份验证等传统金融领域展开应用,在O2O、P2P等互联网金融领域也将成为保障网络交易和支付安全的重要手段。

  企业争先布局,市场迅速扩张。各大企业正争先布局人脸识别市场,抢占市场先机。海康威视(002415)、旷视科技等人脸识别科技公司早已切入以安防为主的人脸识别市场,国内外互联网巨头也加速进军人脸识别市场。互联网巨头的涉足为市场扩张带来有利影响:一方面,互联网巨头在竞争中具有明显的用户规模及数据优势,有望率先打开人脸识别的消费者市场;另一方面,互联网巨头涌进市场,促使国内人脸识别技术专利数量不断攀升,为商业化产品的迅速普及打下坚实基础。从目前累计专利数量来看,我国人脸识别公开专利已达4000多例,在国际上位列前茅。

  人脸识别面临的信息安全问题不容忽视

  人脸识别技术在实验条件下取得长足进步,但其在现实场景中的应用尚未成熟,仍存在较大的误判风险、网络安全隐患和个人隐私泄露风险。

  识别技术应用尚未成熟,误判风险难以消除。图像识别的准确性对机器学习并执行用户指令的有效性至关重要,也是保障人脸识别广泛应用的先决条件。然而,人脸识别技术发展尚未成熟,在现实应用中仍存在较大误判风险。

  第一,依赖于传统算法的人脸识别技术存在很大局限。基于模板匹配、几何特征、代数特征、人工神经网络等传统算法的人脸识别技术,由于其特征提取方法由人工设计,导致其在应对处理复杂多变的表情、姿势、分辨率和环境等非线性因子上存在重大缺陷。加之传统方法受到算法能力和计算机设备的限制,尚无法训练大规模的人脸数据集,因而无法有效提升识别精度,存在很大误判风险。

  第二,基于深度学习的人脸识别技术尚未发展成熟。相对传统人脸识别技术,基于深度学习的人脸识别技术能有效处理复杂非线性因子以及海量数据(603138)集,识别能力得到极大提升。然而,其目前尚处于发展初级阶段,面临诸如缺乏成熟人脸预处理方法、人工智能决策系统产生错误信息等问题,在环境复杂多变的现实应用中亦存在较大误判风险。

  2.网络安全防护能力不足,存在数据泄露隐患。人脸识别与大数据融合发展趋势,导致人脸识别成为汇集海量数据、产生关键基础信息的重要载体。但当下,我国网络安全防护能力薄弱,使人脸识别面临极大的数据泄露威胁。

  第一,人脸识别的系统环境安全防护能力不足。目前,我国智能监控设备存在严重安全漏洞,例如,2017年3月,海康威视智能摄像头因通用网关接口协议存在漏洞,导致黑客通过模拟账户实现对智能摄像头系统的管理控制,造成大规模视频数据泄露。另外,个人影像数据库的系统防护能力较弱,已造成多起数据泄露事件。

  第二,网络传输安全防护能力不足。一方面,在数据的网络传输环节,个人影像数据即使配合指纹进行多重生物特征识别,也必须转换为二进制代码进行网络传输,存在失窃风险。另一方面,蓝牙传输存在严重的安全漏洞。目前,人脸识别系统所依赖的智能摄像头、移动设备几乎都具有蓝牙功能,存在重大的数据泄露安全隐患。

  第三,针对机器学习的深度攻击构成全新威胁。随着信息技术发展进入人工智能时代,针对人工智能系统的恶意软件已发展成为“对抗机器学习”,通过对抗性数据污染、算法修改、恶意样本攻击等方式,对深度学习框架进行深层次、智能化攻击,导致计算设备被入侵、错误命令被执行,以及连锁反应造成的严重后果。这已成为攻击人工智能系统的主要趋势,《美国国家人工智能研究和发展战略计划》早已指出这一安全威胁,并极为重视此类新型攻击对人工智能系统造成的独特危害。

  3.个人影像数据疏于管理,个人隐私遭受威胁。人脸识别市场刚刚兴起,个人影像数据的采集、储存、使用等环节尚缺乏相应管理机制,个人影像数据面临泄露及滥用风险,一旦与用户的其他信息相结合,极易识别定位出特定个人,暴露个人隐私。

  第一,在识别核心算法上拥有自主知识产权的企业极少,市场上人脸识别产品质量良莠不齐、安全防护技术不统一,因系统安全漏洞造成个人影像数据泄露的事件频有发生。

  第二,各类社交平台、电子商务、自助服务、拍摄软件等商业领域,广泛使用人像采集功能,智能摄像头随时随地采集个人影像数据,有些企业出于盈利目的,滥用收集的大量个人影像数据的现象比比皆是。

  第三,人脸识别在商业领域展开应用,将使得个人影像数据成为身份认证的关键生物信息,各类私营互联网企业、金融机构掌握着海量的个人影像数据,对个人隐私、信息安全保护造成极大考验。

  第四,公民普遍缺乏信息安全知识及个人隐私保护意识,时常疏于防范,向不安全的网站、软件上传个人影像数据,暴露个人隐私。

  建立监管体系 促进人脸识别产业发展

  建立人脸识别的网络及信息安全监管体系,强化网络安全保障。一是加快制定人脸识别应用技术标准体系。针对人脸识别技术发展与安全防护问题,鼓励政府与人脸识别龙头企业合作推进标准的研究制定,明确对人脸识别软硬件应用的安全技术要求,依据人脸识别在公共或商业应用对安全的差异化需求,制定分级别、多层次的国家安全标准及行业安全标准。加快落实《安全防范人脸识别应用静态人脸图像采集规范》等标准文件,促进人脸识别行业应用规范化。二是建立人脸识别应用的安全评估及审核制度。针对不同应用领域进行安全评估,对人脸识别产品的应用及推广实行审批环节,保证产品符合安全技术要求。同时,指导企业建立人脸识别数据安全风险管理及防控机制,制定企业合规体系,孕育有效的内在约束机制。三是建立常态化个人影像数据管理机制。落实《网络安全法》,规范企业采集、传输、存储、使用个人影像数据等行为,对于不遵守审核制度、非法采集、泄露及滥用个人隐私、不正当竞争的企业,加大处罚力度,督促其落实安全主体责任。同时,监管部门应依法规实施监管,兼顾发展问题,避免不当监管措施抑制人脸识别技术创新和市场发展。

  鼓励人脸识别技术创新突破,助力产业化应用推广。一是促进人脸识别核心技术创新发展。围绕《新一代人工智能发展规划》及《“互联网+”人工智能三年行动实施方案》提出的智能安防推广、多种生物特征识别的基础身份认证平台、智能金融、智能交通等重点工程建设,推动人脸识别核心技术攻关。依托骨干企业,加大深度学习及人脸识别核心算法产品的研发和产业化投入力度,促进人脸识别与大数据、云计算、人工智能等信息技术的深度融合,研发集成图像与视频精准识别、生物特征识别、编码识别等多种技术的人脸识别产品。二是加强网络安全技术研究。促进人脸识别企业和网络安全企业合作,展开针对人脸识别的网络安全技术研发,推动基于人工智能技术的新型自主网络安全系统研究。三是推进技术成果的市场化应用。鼓励企业与科研机构联合创新,发挥创新创业平台的资源汇聚作用,通过建立研发中心、产业联盟、共同承担国家重大项目等方式,促进人脸识别技术成果的应用推广。四是培育人脸识别发展新业态。面向安防、金融、支付等重点市场需求,建立涵盖从核心技术到智能应用的全产业链运营模式,带动智能摄像头、传感器、操作系统、存储系统、服务器、关键网络设备等相关软硬件产品研发,提升产业配套能力。

  完善人脸识别相关法律法规,加强个人隐私保护。一是加快制定个人信息保护相关的法律法规,确立个人影像数据控制权、删除权、遗忘权等信息基本权利,建立健全个人对信息权利的诉讼及救济机制,维护个人名誉及隐私。二是加快推进大数据相关立法,推动出台电信和互联网行业数据安全保护指导意见,规范企业对个人影像数据采集、传输、存储及使用的权利和义务,落实数据生命周期各环节的安全主体责任,促进人脸识别数据流通及交易市场法治化。三是制定生物特征信息相关的规范及管理办法,保障个人影像数据的安全、规范使用。四是加速推进《网络安全法》配套规定出台,明确网络等级的划分标准、网络安全的层级、网络安全监督检查的主体等规定,依据人脸识别的特定应用领域,制定兼顾信息技术与信息安全平衡发展的法律规范。

  作者何明智 吕海霞供职于赛迪智库软件产业研究所

关注同花顺财经(ths518),获取更多机会

责任编辑:lishenjian

0 0