危險!拍照習慣性的“剪刀手”,正在泄漏你的指紋信息

4 評論 5473 瀏覽 8 收藏 14 分鐘

技術(shù)在帶來便利的同時也帶來了信息安全的隱憂,目前針對這方面的規(guī)范并不全面,甚至沒有參考案例。面對來勢洶洶的信息安全危機,生物識別行業(yè)的監(jiān)管和自律需要盡快形成體系并逐步完善。

“剪刀手”照片通過照片放大技術(shù)和人工智能增強技術(shù),就能將照片中人物的指紋信息還原出來?。。?/p>

9月15日,2019年國家網(wǎng)絡(luò)安全宣傳周在上海舉辦,上海信息安全行業(yè)協(xié)會副主任張威表示,大家在拍照時一般不太會注意到自己比的“剪刀手”很容易泄露身份信息。

“基本上1.5米內(nèi)拍攝的剪刀手照片就能100%還原出被攝者的指紋,在1.5米-3米的距離內(nèi)拍攝的照片能還原出50%的指紋,只有超過3米拍攝的照片才難以提取其中的指紋。”

ZAO事件收集“面部信息”輿論風波還未平息,“指紋信息”又成為了一個新的熱點。

大眾為何對于指紋、面部如此敏感?這與人臉識別、指紋識別技術(shù)在支付、安防等領(lǐng)域的大量使用密不可分,而人臉、指紋這些生物信息正在成為互聯(lián)網(wǎng)時代的“萬能鑰匙”。

一、生物信息識別技術(shù),互聯(lián)網(wǎng)時代的“萬能鑰匙”

時間線回到2015年,馬云在德國漢諾威IT博覽會上演了經(jīng)典的“掃臉”。為螞蟻金服的Smile to Pay(微笑支付)掃臉技術(shù)站臺,刷自己的臉從淘寶網(wǎng)上購買了一枚20歐元的1948年漢諾威紀念郵票。

也就是在那一年,支付寶正式推出“刷臉登錄”功能,即用戶用人臉驗證取代賬號密碼進行登錄。

經(jīng)過四年的發(fā)展和迭代,“刷臉登錄”從支付寶一個隱藏在四級子菜單、體驗大于實用的“展示功能”,逐步前置,權(quán)限放手,發(fā)展為幾乎面向所有智能機型開放的“刷臉支付”,應(yīng)用場景進入到互聯(lián)網(wǎng)金融的核心陣地。

而手機指紋支付的普及還經(jīng)歷過段小小的插曲,這段插曲的主角就是同屬于深圳的兩家企業(yè)——騰訊與華為。

在2013年,蘋果推出支持指紋識別的iPhone 5s,并在次年推出便捷的Apple Pay,國內(nèi)廠商開始陸續(xù)普及指紋支付這項功能。

微信支付、支付寶等移動支付商家也開放了指紋支付的接口,使用戶付款更加便捷。而華為mate7也成為了第一臺支持微信指紋支付的手機。

但在數(shù)年間,mate7是第一臺也是最后一臺支持微信指紋支付的手機;直到雙方和解后,仍未披露當時未繼續(xù)合作的原因。但是據(jù)了解,對于用戶指紋信息到底是存儲在騰訊的云平臺還是手機本地這個問題,雙方發(fā)生的巨大分歧是未繼續(xù)合作的重要原因。

現(xiàn)在使用支付寶和微信的指紋支付已經(jīng)成為了一件非常普遍的事情,而生物識別技術(shù)應(yīng)用的便捷性,已經(jīng)成為了兩大支付應(yīng)用跑馬圈地的重要籌碼。

但是生物識別技術(shù)真的百分之百安全嗎?

二、生物識別技術(shù)的爭議

2019年4月8日,一則看似稀松平常的民生新聞,引發(fā)了大家的隱憂。

寧波公安局在其官方微信公眾號中發(fā)表了一篇《一男子睡夢中“被支付”上萬元,竟是用了人臉識別!》的文章,介紹了袁先生在睡夢期間被同宿舍的劉某和楊某用人臉識別轉(zhuǎn)走銀行存款的事情。這件看起來很標題的民生新聞背后,卻暴露了生物識別技術(shù)的隱患。

雖然最終核實,僅是在解鎖階段運用了人臉識別技術(shù),支付階段是通過密碼的方式進行了轉(zhuǎn)賬,但新聞還是引起了一定范圍內(nèi)的恐慌。

看起來設(shè)置了很多道“防火墻”的生物識別技術(shù),實際上仍有很大的安全隱患。

三、到底是誰在使用你的生物信息?——生物信息的收集與處理

在大眾看來,很多生物識別技術(shù)的應(yīng)用看起來是一樣的。就是刷個臉、按個指紋的事情,但在具體的實現(xiàn)路徑上,不同的應(yīng)用之間實際上是不同的。

就拿人臉識別這件事情來看,支付寶和微信的技術(shù)方案就有所不同。

微信現(xiàn)有的方案主要是本地3D人臉認證方案,而支付寶采用的是2D人臉支付模式,乍一聽好像3D要比2D安全的多。

所以為確保在二維方案下的人臉識別準確性,支付寶會調(diào)用阿里系平臺更多的數(shù)據(jù)維度,如消費數(shù)據(jù)、消費習慣、信用數(shù)據(jù)、消費能力等,結(jié)合人臉識別結(jié)果一同針對該用戶的金融行為做出評判,來保障整個交易的安全。

無論采用的是哪種技術(shù)方案,在這個過程中,大家可能最關(guān)心的一點就是到底是誰收集走了自己的生物信息,自己的生物信息又是怎樣被運用了。

因為不是特別專業(yè)的技術(shù)人員,為了解開這個謎團,我們翻找了支付寶與微信的部分公開協(xié)議。

我們先看支付寶的部分協(xié)議:

危險!拍照習慣性的“剪刀手”,正在泄漏你的指紋信息

首先是支付寶的《隱私權(quán)政策》:第一部分第10條就寫明了,“我們僅接收驗證結(jié)果,并不收集您的指紋或面容ID信息”。

我們簡單做個翻譯,這句話的意思就是,支付寶是按照你用的手機發(fā)過來的驗證結(jié)果,來判斷是不是要付這筆錢的;支付寶沒有收集你的指紋或者面容信息去做比對,都是你的手機告訴我的,用戶手機才是收集和處理信息的地方。

而支付寶《生物識別服務(wù)通用規(guī)則》的2.1條描述:“您理解對您生物識別信息的采集、存儲和比對將由您使用的手機或設(shè)備及其系統(tǒng)來完成”,也同樣重復了原來《隱私權(quán)政策》里的意思。

危險!拍照習慣性的“剪刀手”,正在泄漏你的指紋信息

再看下微信的《隱私政策》,在《我們收集的信息》第1.10條中,微信并沒有聲明在使用支付功能時會收集用戶的指紋或者面容信息,其生物識別信息技術(shù)的實現(xiàn)路徑很難從協(xié)議中推斷。

危險!拍照習慣性的“剪刀手”,正在泄漏你的指紋信息

在歐盟,GDPR(General Data Protection Regulation,《通用數(shù)據(jù)保護條例》)就針對“個人生物識別數(shù)據(jù)”專門提出了“除非獲得用戶明確同意,或者具有其他正當理由,否則禁止收集、處理上述個人數(shù)據(jù)”的要求。

在國內(nèi),在《個人信息保護規(guī)范》中要求個人生物識別信息應(yīng)僅收集和使用摘要信息,避免收集其原始信息。

由此可見,生物識別信息的收集和使用本身有更高的標準。

雖然兩家應(yīng)用沒有直接收集使用,但作為支付功能的提供方,兩家支付企業(yè)都沒有很明確地說明,在整個指紋或者面部支付使用過程中,信息核驗的過程到底是怎么樣的?如果出現(xiàn)問題,應(yīng)用方到底是什么角色或者責任方式該如何承擔。

四、人工智能時代繞不過的“Deepfake”問題——誰來承擔責任?

疑惑隨著各類事件的爆發(fā)開始凸顯,大眾的焦慮也越來越深了。這種焦慮不僅僅是來自于傳統(tǒng)的風險,而是在技術(shù)不斷進步的情況下,一些黑灰產(chǎn)業(yè)也在不停地膨脹。

“Deepfake”,人工智能時代的深度偽造成為了生物識別技術(shù)應(yīng)用的一大挑戰(zhàn)。而如果因為深度偽造發(fā)生的盜刷損失,到底責任該由誰承擔?

在現(xiàn)有的法律框架下,主張合同糾紛和侵權(quán)責任糾紛是兩條可能的路徑。

1. 主張合同糾紛,論證安全保護措施是否到位難度大,勝訴幾乎沒有可能

我們以支付寶舉例,一般的用戶與支付寶之間成立的是服務(wù)合同關(guān)系。

如果主張合同糾紛,就需要舉證支付寶在此期間未履行相應(yīng)的安全保護義務(wù),但顯然這種舉證責任對于技術(shù)的要求是非常高的,需要論證現(xiàn)有的安全保護措施是否真正到位,在未有普遍性的規(guī)范標準下,勝訴的可能幾乎不存在。

2. 如果被盜刷用戶主張的是侵權(quán)責任糾紛,可以主張的對象增加,但是難度依然很大

如果主張侵權(quán)責任糾紛,可以主張的對象是信息泄露者、偽造者、未合理提供安全保護技術(shù)的手機廠商和應(yīng)用商家。

偽造者和信息泄露者作為侵權(quán)的直接實施方、過錯方,承擔責任或者補充責任不難理解,這在現(xiàn)實中已經(jīng)有很多判例,比較著名的就是東航因泄露個人信息被判道歉的案件。

有爭議的是如何合理區(qū)分手機廠商與應(yīng)用商家之間的責任。

第一個爭議

如果手機廠商未嚴格按照應(yīng)用商家的標準提供核驗,在此基礎(chǔ)上,手機廠商顯然需要對于自身的行為承擔責任。但是,此時是否要區(qū)分用戶是否知曉驗證服務(wù)實際由手機廠商提供呢?

如果應(yīng)用商家未在用戶協(xié)議中寫明驗證路徑,用戶顯然是不知曉如何發(fā)生生物信息識別驗證的,發(fā)生問題只能由應(yīng)用商家先承擔責任,再由應(yīng)用商家向手機廠商追償。

第二個爭議

如果因為深度偽造的技術(shù)突破了現(xiàn)有的安全保障技術(shù)手段,在這種情況下是否可以追究手機廠商或者應(yīng)用商家的責任?

我們認為需要論證現(xiàn)有安全保護措施到底是否可以充分保證用戶的支付安全。在這種情況下,同樣回到了原有的問題,到底什么樣的安全保護措施才是到位?

解決這些問題,最好的方式是統(tǒng)一現(xiàn)有移動設(shè)備生物特征識別行業(yè)的標準。

據(jù)了解編號為ISO/IEC27553《移動設(shè)備生物特征識別身份認證安全要求》的標準現(xiàn)正由支付寶帶頭起草,這將是基于生物識別的身份認證領(lǐng)域首個ISO國際標準,而關(guān)于生物信息識別領(lǐng)域標準和規(guī)范的落地可以更清晰界定各方的責任,現(xiàn)有生物識別技術(shù)應(yīng)用的法律問題僅僅只是冰山一角。

如今,人臉識別等生物識別技術(shù)的發(fā)展與應(yīng)用漸入佳境,市場規(guī)模日益壯大。

統(tǒng)計顯示:目前從事生物支付行業(yè)的企業(yè)超過1000家,2018年市場規(guī)模超過1000億元以上。可以預見在不久的未來,這個行業(yè)除了更快的發(fā)展速度外,監(jiān)管和自律將會成為重要的旋律。

參考文章:

《你認為手機“刷臉支付”有多安全?我們測出準確率不足七成 | 獨家深度調(diào)查》 ,機器之能四月

《一男子睡夢中“被支付”上萬元,竟是用了人臉識別!》 ,寧波公安

 

作者:嚴哲瑀,公眾號:星光法顧(ID:gh_1d905d36d4ad)

本文由 @星光法顧 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可,禁止轉(zhuǎn)載

題圖來自Unsplash,基于CC0協(xié)議

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
星光法顧
深度互聯(lián)網(wǎng)觀察,公號:xglawyer001
6篇作品 34963總閱讀量
03-093153 瀏覽
B站難,UP主也難
07-182734 瀏覽
以“香飄飄”為例,闡析企業(yè)戰(zhàn)略 VS 品牌戰(zhàn)略
08-142785 瀏覽
淘寶的超預期業(yè)績,根子在戰(zhàn)略上
06-186300 瀏覽
小紅書直播到底要不要做,做的話怎么做?
02-1710540 瀏覽
“產(chǎn)品思維”和“業(yè)務(wù)思維”淺析,及售后服務(wù)標準化思考
評論
評論請登錄

  1. ?? 這種謠言都能信的,很難相信是互聯(lián)網(wǎng)人了。。。。

    來自上海 回復

  2. 加個活體檢測是否可行

    回復

  3. 這種謠言也有人信……

    回復

  4. 公眾號:星光互聯(lián)網(wǎng)觀察(ID:xglawyer001) ?? 公眾號已經(jīng)變更過了

    來自浙江 回復